个人信息保护国际比较研究
个人信息保护课题组
[ 2017-07-14 ]

 

个人信息保护国际比较研究

个人信息保护课题组 著

中国金融出版社 2017年7月


内容简介:

  本文横向比较欧盟、美国和亚洲等国家和地区个人信息保护的渊源、理念、原则、方法及其演变,从中总结出一些共同的原则和做法,并尝试树立我国个人信息保护的问题、立法和保护现状,提出我国保护个人信息的立法和政策建议。


个人信息保护课题组
课题负责人:
王晓蕾 中国人民银行征信中心副主任
课题组成员:
曹亚廷 中国人民银行征信中心
李 铭 中国人民银行征信中心
杨 渊 中国人民银行征信中心
王 融 中国信息通信研究院
王新锐 北京安理律师事务所
董 潇 君合律师事务所
葛 鑫 中国人民大学法学院
丁安平 中国人民银行征信中心
朱宣烨 北京安理律师事务所
朱芸阳 中央民族大学


目录

第一章 个人信息保护概述 

一、个人信息与隐私安全、财产利益和发展机会

(一)个人信息保护问题的渊源
(二)大数据时代个人信息保护的紧迫性

二、个人信息保护的对象

(一)数据与信息
(二)个人数据、个人信息和隐私
(三)保护与特定个人相关的信息
(四)确立“谁的信息谁做主”的保护理念

三、个人信息保护与行业发展、国家竞争力

(一)大数据时代的数据资源
(二)个人信息保护是互联网行业发展的基础
(三)个人信息保护有利于我国占领全球经济制高点

第二章 个人信息公平实践和保护原则

一、个人信息保护基本原则的演变

(一)个人数据保护基本原则的初次提出
(二)信息社会的个人信息保护基本原则
(三)大数据时代个人信息保护基本原则

二、大数据时代对个人信息保护原则的再思考

三、关于个人信息公平实践和保护原则的最低要求

(一)个人信息保护原则的国际应用
(二)个人信息保护最低原则

第三章 各国(地区)个人信息保护的立法实践

一、美国:个人信息保护的分散立法实践

(一)美国个人信息保护目标与原则
(二)公平信息实践原则在立法实践中的体现

二、欧盟:个人信息保护的统一立法实践

(一)对涉及个人信息的所有领域统一立法
(二)建立统一的个人信息处理标准

三、亚洲:个人信息保护立法实践

(一)亚洲国家和地区的统一立法保护日渐完善
(二)韩国:信息自决下的个人信息保护立法
(三)日本:保障个人权利的个人信息保护立法
(四)中国台湾:以保障人格权为核心的个人信息保护立法

四、部分金砖国家个人信息保护立法实践

(一)印度个人信息保护法律框架
(二)巴西个人信息保护立法进展

第四章 各国(地区)个人信息保护的监管实践

一、全球个人信息保护监管概况

二、个人信息保护法律的实施

(一)专门统一监管下的个人信息法律实施
(二)各领域分散监管下的个人信息法律实施
(三)行业自律下的个人信息法律实施
(四)司法诉讼下的个人信息保护法律实施

三、个人信息保护的宣传教育实践

(一)面向公众的宣传教育实践
(二)面向信息处理机构和工作人员的培训

第五章 征信与个人信息保护

一、征信与信贷市场

二、征信的本质和主要特征

(一)征信的不同定义和实质
(二)征信活动的特征
(三)两个平衡

三、征信与个人信息保护

(一)欧洲信贷登记系统的发展
(二)美国市场化征信模式的发展
(三)新兴市场征信行业的发展

四、个人信息保护原则在征信业的应用

五、征信业个人信息保护面临的挑战

(一)全球征信业的新发展趋势
(二)加强信息保护的立法趋势
(三)我国征信业发展面临的挑战

第六章 数据跨境流动规则

一、数据跨境流动典型政策

(一)经合组织《关于隐私保护和个人数据跨境流动指南》 
(二)亚太经合组织《隐私保护框架》与跨境数据流动规则
(三)欧盟跨境数据流动政策
(四)美欧安全港框架

二、近年来数据本地化政策趋势

(一)典型国家的数据本地化政策
(二)跨境数据流动展望

第七章 我国个人信息保护的现状及分析

一、我国个人信息保护的立法现状

(一)个人信息保护立法概述
(二)现行个人信息保护法律体系概况

二、我国个人信息保护的实践状况

(一)个人信息收集环节
(二)个人信息加工处理环节
(三)个人信息输出环节
(四)中国个人信息保护的国际评价
(五)落实个人信息保护原则不能仅靠专项打击

三、个人信息保护不足的原因分析

(一)市场对个人信息利用存在合法需求
(二)背离合法需求的原因分析

第八章 我国个人信息保护的立法和政策建议

一、个人信息立法保护是大数据发展的基本保证

二、个人信息保护的立法和政策建议

(一)借鉴国际经验树立“以人为本”的个人信息保护理念
(二)推动出台统一专门的《个人信息保护法》
(三)对个人信息保护立法重点问题的建议
(四)明确个人信息保护的执法监管体制
(五)加强司法救济,拓宽个人信息保护渠道
(六)开展公众教育,提升个人信息保护意识

三、关于大数据时代个人信息保护的建议

(一)重视大数据及其技术对个人信息保护的深刻冲击
(二)提高公民对个人信息控制力是各国普遍共识
(三)我国大数据的立法监管建议

术语对照表

附录

部分国家和地区个人信息保护研究

第一章 美国个人信息保护研究

一、美国个人信息保护概述

(一)隐私权在美国的历史发展
(二)二美国个人信息保护的规范框架

二、美国个人信息隐私保护的立法

(一)对个人信息的定义
(二)公平信息实践原则
(三)个人信息保护立法

三、美国个人信息领域的执法

(一)行政监管
(二)私人诉讼

四、特殊领域个人信息的保护

(一)征信领域
(二)金融领域
(三)医疗领域
(四)通信领域

五、互联网时代隐私权面临的新挑战

(一)定向广告
(二)数据经纪
(三)最新发展

第二章 欧盟个人信息保护研究

一、个人信息保护在成员国的发展——以德国为例

(一)起源:“私领域”理论
(二)发展:“信息自决权”理论
(三)个人信息保护专项立法

二、个人信息保护在欧盟层面的立法演进

(一)基本规范:《欧盟指令》
(二)通讯领域:《欧盟通信指令》 
(三)犯罪领域:《数据存留指令》 

三、最新立法:《欧洲信息保护通用条例》

(一)修订原因
(二)主要修订内容
(三)尚待明确的相关规定
(四)修订的影响

第三章 日本个人信息保护研究

一、日本个人信息保护概况 

(一)日本个人信息保护的早期发展
(二)个人信息保护相关法律制定阶段

二、日本个人信息保护立法与监管

(一)日本《个人信息保护法》立法原则
(二)日本《个人信息保护法》的主要内容
(三)日本个人信息保护的监管
(四)行业自律标准和评价体系

三、日本《个人信息保护法》新修订

(一)主要修订内容
(二)《个人信息保护法》的新特点

第四章 韩国个人信息保护研究

一、韩国个人信息保护概况 

二、韩国个人信息保护的主要内容

(一)个人信息保护“由分到合”的历史演进
(二)韩国个人信息保护的创新与特点
(三)个人信息处理流程的立法保护
(四)公共领域个人信息立法保护

三、个人信息保护的监管和救济

(一)个人信息保护监管执法
(二)个人信息保护的事后救济制度
(三)个人信息保护的监管案例及趋势 

第五章 新加坡个人信息保护研究

一、新加坡个人信息保护立法演进 

(一)前统一立法阶段个人信息保护规范体系
(二)统一综合性立法的基本结构及生效前的窗口期

二、新加坡现行个人信息保护规范体系

(一)针对私主体收集处理个人信息的规范体系
(二)针对公权力机构收集处理个人信息的规范体系

三、个人信息保护的主要制度

(一)个人信息的界定 
(二)《个人信息保护法案》规制主体
(三)机构的个人信息保护义务

四、《个人信息保护法案》的实施和监管

(一)个人信息保护委员会为法律实施主体 
(二)责任追究和救济

第六章 台湾地区个人信息保护研究

一、“个人信息法”历史变迁

(一)起源:“电脑处理个人信息保护法”
(二)发展:“个人信息保护法”

二、我国台湾地区个人信息保护立法概况

(一)立法目的和理念
(二)“个资法”规范对象
(三)现行“个资法”的框架结构
(四)当事人权利的内涵

三、“个资法”的监管与执法

(一)损害赔偿追责
(二)刑事追责
(三)行政追责

第七章 香港地区个人信息保护研究

一、香港《个人信息(私隐)条例》简介

(一)来自英国的影响 
(二)立法背景与理论基础 
(三)法条及实务守则 
(四)基本概念
(五)六项保障信息原则
(六)《条例》对包括政府在内的公营部门的适用

二、香港个人信息(私隐)监管与执法
 
(一)个人信息(私隐)专员及职能 
(二)个人信息(私隐)专员公署的地位
(三)罪行及补偿
(四)豁免事项

三、网络技术发展的冲击及应对

(一)对互联网渠道个人信息的指引
(二)对应用程序的监管指引
(三)对网上行为追踪的监管
(四)对直接促销的监管规定
(五)对公共领域个人信息的监管


前言

  大数据时代,如何在保护个人隐私和权利的情况下,充分利用大数据发展生产力、提高人类福祉,不仅关系到当下每个人的切身利益和安全,也关系到国家的未来和发展。为此,近年来世界各国在制定大数据发展战略的同时,亦从促进互联网、信息行业发展和整体竞争力等角度,进一步加强对个人信息的保护,力求在制度、技术和监管等方面创新保护手段、完善保护框架、提升保护效力。在此背景下,从国际视角审视个人信息保护问题和进展,从源头、实践和理论上进一步加强个人信息保护问题研究,对于我们这一正在崛起的大国而言显得非常必要。为此,2015年4月起,我们承担了上海新金融研究院的个人信息保护问题研究课题。在一年多时间里,我们组建了专门的研究团队,邀请了立法、监管、学界、业界等专家共同研究。经过课题组反复研讨、修改,形成目前呈现在读者面前的课题研究报告。ꎮ

一、本书的主要研究内容和结论

  当前,个人信息不仅仅是个人隐私的载体,还塑造了个人的虚拟形象,更带有明显的财产和资源属性,在个人隐私、信息安全、财产利益和经济发展等诸多方面都产生了深刻的影响。作为互联网大国,面对我们个人信息保护落后的现实,ꎬ 要站在促进经济发展、提高国际竞争力的高度,深刻认识个人信息保护在促进个人信息有序利用、互联网和信息产业发展等方面的重要性,在理念培育、原则落地、立法立规、强化监管、宣传教育等方面,尽快构建个人信息保护的综合治理体系。

  (一) 个人信息广泛使用已经冲击个人隐私和安全

  在信息技术和互联网大数据快速发展的今天,通过数据挖掘手段,可以借助个人信息对用户的各种行为表现进行评价和预测,形成客户在不同场景下数字化的虚拟形象,即“虚拟我”。商家和企业可据此研究消费者行为、优化商品和服务,虚拟形象的存在有利于克服市场中的信息不对称问题,在信贷、就业、经商和公共服务等各个方面给人们带来了诸多便捷。

  但是,目前对个人信息的广泛使用已经冲击到个人隐私和安全。首先,个人信息不规范采集、不安全处理和无约束使用,导致公众的个人信息满天飞,营销性短信、邮件和电话骚扰越来越多,更有根据用户特征设计实施类似徐玉玉案件的精准诈骗,威胁公众的财产和人身安全。在2016年,仅公安机关侦破的侵犯公民个人信息犯罪的案件达1800余起,抓获犯罪嫌疑人4200余人,查获各类公民个人信息300余亿条。

  其次,由于目前法律对个人信息的财产属性尚未界定,互联网企业和商家利用服务客户过程中积累的用户数据,在客户不知情的情况下进行了数据交易和转让,也侵害了个人财产权益。此外,个人对其虚拟形象的存在不完全知情或不知情,因此,对虚拟形象在多大程度上影响诸如信贷、就业、经商、享受社会福利的机会等重大事项,个人亦不完全知情或不知情,当然也就无法谈及个人权益的保护了。

  (二) 个人信息保护不足也会给企业和国家带来不利影响

  对于互联网和信息行业而言,个人信息保护不力会影响该行业的健康可持续发展。分散的个人信息保护法规规定不清晰、不统一,缺乏确定的个人信息权属、流动和使用规则,导致个人信息孤岛和信息滥用并存,个人信息和大数据流通暗流涌动、秘而不宣,既冲击公众对互联网及信息行业的信任和信心,还阻碍了政府和商业领域个人信息的开放流通。相反,那些没有底线的企业打着改革创新的旗号行“倒卖数据”之实,因 “劣币驱逐良币” 而获得了竞争优势,这对信息行业的健康发展实际上是有百害而无一利。

  进一步来看,个人信息保护不足还会对国家经济发展和国家安全带来不利影响。一方面,由于我国个人信息保护力度不及欧美等国,在国际经贸往来中我国公司不得在境内处理欧美个人客户信息,在华外资金融机构选择将境内客户的个人信息转移到新加坡、欧盟处理已成惯例,甚至至今也没有一家外国大型互联网企业将服务器设在中国境内。同时,一国落后的个人信息保护,将成为他国对其实行贸易壁垒的新依据,该国企业在“走出去”过程中会受到歧视性对待,个人信息流动的“逆差”状态会影响其国际竞争力和国际地位。另一方面,在个人信息保护不健全的情况下,与国内机构一样,国外机构也通过合法或不合法的渠道获得规模化的个人信息,对我国网民进行心理和行为特征分析,并基于此进行精准的政治营销和意识形态渗透,操控我国网民认知,威胁政治稳定和国家安全。媒体报道的大数据分析助力英国脱欧和特朗普赢得美国大选即是大数据干预政治的两个例子。

  (三) 全球已经形成个人信息保护的通用原则

  自20世纪70年代初个人信息保护问题提出以来,经过40余年的发展演变,目前基本形成了以下五大国际原则,作为各国和国际组织制定个人信息保护政策的基础: 一是公开性原则,即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践,禁止个人信息被秘密地处理;二是限制性原则,包括个人信息的所有处理行为要坚持合法原则,个人信息数据库要坚持服务特定目的,在最少必须原则下收集和处理个人信息,个人信息的收集和使用范围、保存期限和销毁应受到限制;三是数据质量原则,即个人信息应当准确、完整和适时更新ꎬ 作为信息控制者的机构对此责无旁贷;四是责任与安全原则,信息控制机构必须承担个人信息保护的主要责任,要将个人信息保护内化于其业务流程和技术设计中,同时采取必要的安全防范措施保护个人信息,防止数据丢失或未经授权的访问、销毁、使用、修改或泄露,并承担相应的责任;五是个人信息权利保护原则,充分保障信息主体的知情权、 查询权、 异议权与纠错权,甚至是可携带权等。

  进入21世纪,大数据时代个人信息的内涵、处理方式、技术手段和侵权形式已发生巨大的变化,对个人信息保护的基本原则带来了诸多挑战,但是,无论是从欧盟2016年新制定的 《信息保护通用条例》 (以下简称《欧盟条例》)、2013年经合组织(OECD)对《1980年个人信息保护指南》(以下简称 《经合组织指南》) 的修改,还是近年来美国对个人信息保护的立法和监管实践来看,以上个人信息保护的基本原则不但没有任何放松,相反,在一些原则的具体落实措施和监管手段上还有所加强。

  (四) 在立法和监管中落实保护原则是有益的国际实践

  从全球来看,从1973年全球第一部个人信息保护国内法律 《瑞典个人信息法》出现到2015年末,全球共有111个立法体建立了个人信息保护法律、 法规,且呈加速趋势。在地域分布上,欧洲国家和地区53个,非洲17个, 亚洲18个,美洲19个,大洋洲2个。在剩余的国家和地区中,21个已经形成了相关的法律草案,91个尚无相关的法律或草案。总体上,各立法体已经建立和正在建立的个人信息保护法律、法规,基本上都贯彻了以上保护原则。以欧美、亚洲和金砖国家为例,这些国家和地区正结合各自的文化、历史、社会和经济等方面的特征,选择不同的方法和路径因地制宜地践行个人信息保护的五大国际原则。

  欧盟作为全球个人信息保护的重要参照系,对包括政府部门、各商业领域个人信息处理实施统一的信息保护和监管标准。例如,20世纪70年代的瑞典、德国,以及后来的其他欧洲国家,都建立了同时适用于本国政府与非政府机构、适用于各行业统一的个人信息保护法律。在欧盟层面,从1995年欧盟 《个人信息保护指令》(以下简称《欧盟指令》)阶段各成员国在个人信息保护上求同存异,发展到2009年在欧盟宪法中确立个人信息保护的基本人权地位,再到2016年出台、2018年在欧盟成员国强制实施的《欧盟条例》均体现了欧洲国家在个人信息保护领域统一化、标准化和一体化的立法和执法特点,已将个人信息保护原则落实到立法和监管实践中。

  美国则针对政府部门和商业领域个人信息分别立法,并建立强有力的监督执法机制。例如,针对联邦政府机构有《隐私法案》(1974年)针对征信医疗金融电信等若干行业,有以《公平信用报告法》(1970年)为代表的数十部信息保护特别法。相关法律在各自领域贯彻“目的特定、 公开透明、 保障权益”等基本保护原则,借助其发达的司法救济系统,特别是以联邦贸易委员会、联邦通信委员会、证券交易委员会、消费者金融保护局等为代表的监管机构强力执法,从督促机构守法、保障个人权益、规范个人信息处理等方面,有效地实现了对个人信息的保护。

  亚洲国家和地区、新兴市场国家的统一立法和统一保护也日渐完善。出于对个人隐私诉求进行保护的客观需要,以及融入经济全球化的战略考虑,加强个人信息保护是亚洲国家和地区与印度、巴西等新兴市场国家的一致性选择。以日本、韩国、新加坡等为代表的发达国家,紧跟欧美步伐逐步完善本国的保护体系,统一立法、统一监管的个人信息保护框架已经非常成熟,印度、巴西等新兴市场国家,也已经形成或正在形成专门的个人信息保护法,设置统一的个人信息监管机构,加紧推动个人信息保护国际原则在本国落地,并紧跟欧美步伐不断完善本国的法律和监管。

  (五) 个人信息保护事关大局ꎬ 推动国际通用原则落地尤为迫切

  横向比较,当前我国在个人信息保护领域的理念、原则、立法和实践,较欧盟、美国、日本、韩国、加拿大等落后。概括而言,导致我国个人信息保护严重不足的原因主要有:一是社会各界对个人信息保护有意识无认识,对为何要保护、要保护到什么程度和如何保护等没有概念,错误地认为只要“本人同意”就行,对机构处理个人信息没有“在什么时间内、为何目的、要最小化处理”等约束。二是相关法律以宣誓性条款散落在《全国人大关于加强网络信息保护的决定》、 《刑法修正案(九)》、《国家网络安全法》等中,没有一部专门的个人信息保护法对保护理念、原则、各方权责等做一致性约定,高度分散的法律文本停留在纸面上难以落实。三是分散监管下各部门职责未定、个人权利不明、机构责任不清,主要依赖公检法部门针对侵害公民个人信息犯罪不定期专项打击行动,没有专门的个人信息保护部门实施常规性行政执法、处罚和保护。为此,完善我国个人信息保护的政策和立法十分迫切。

  一是个人信息保护问题事关互联网行业的健康发展和国家竞争力,我们要站在促进经济发展和国家间竞争的高度看待个人信息保护问题,深刻认识个人信息保护对国家发展战略和占领全球制高点的战略意义,从对个人信息保护的研究、认识、理念、立法和监管等方面奋勇直追,紧跟个人信息保护全球步伐不掉队。

  二是要推动“以人为本”的个人信息保护理念落地。数据由人而产生,如果个人的权利得不到恰当的保护,就会动摇大数据产生和价值挖掘的基础。建立个人信息保护理念,根本目的就是要让个人信息有序流动起来。在这个过程中,不仅仅企业需要确立相应的保护理念,作为信息保护监管主体和个人信息处理机构的政府部门,更应带头凝聚尊重和保护个人信息的理念。

  三是要确立“我的信息我做主”原则,强化机构责任,建立国际通行规则。要强化网络运营者主体责任,将个人信息保护架构建立在机构责任基础上。除落实“本人同意”规则之外,还要制定明确的信息采集、加工和使用规则,严格规范企业、机构在我国境内收集用户数据活动,让国际社会已经普遍接受的个人信息处理公开原则、限制性原则、数据质量原则、安全与责任原则、个人权益保护原则等,尽快在我国落到实处。

  四是出台统一的《个人信息保护法》和配套立法,建立专门的个人信息保护机构,加强对公众的宣传教育和对信息主体的司法救济。要建立统一、专门的个人信息保护机构,集中担负个人信息保护的立法落地、督促相关机构落实执法监管责任,采取切实有效的技术和管理措施,防止泄露、损害、违法使用个人信息。同时,提高对信息处理违规行为的处罚和赔偿标准,严厉打击非法窃取、收集、买卖、转移个人信息的行为。此外,利用市场机制鼓励大型互联网企业间建立信息保护联盟和行业自律机制,推动企业从保护商业利益、企业商誉和竞争力角度加强个人信息保护,形成竞争性隐私保护和信息安全商业环境。

二、本书的内容安排

  本书分为两大部分,第一部分为本书正文,即主报告,共八章,第二部分为附件,即副报告,共七章。其中,主报告主要研究了个人信息保护问题的渊源、个人信息保护相关原则的演进,当前世界主要经济体个人信息保护的立法与监管实践,并选择了与个人信息保护关系密切的个人征信和跨境数据流动两个专题进行研究,分析了当前我国个人信息保护的现状、不利影响和原因,并结合国际经验提出我们的政策和立法建议。副报告则比较研究了美国、欧盟、日本、韩国、新加坡和我国台湾、香港地区的个人信息保护的基本情况,特别是立法、监管实践和最新趋势等。

  (一) 主报告各章节内容简介

  什么是个人信息?个人信息为何要保护个人信息?保护问题因何而起、在大数据时代如何发展?对此,主报告第一章探讨了个人信息保护的起源和大数据时代个人信息保护问题的紧迫性和国际趋势,对比研究了个人信息、数据和隐私等基础性概念,发现个人信息保护不仅仅是个人隐私安全层面的问题,还事关公民的财产利益、发展机会和互联网行业发展与国家竞争力。国际上,面对个人信息这一新型资源,世界各国不但没有放松,而是进一步强化了以人为本的个人信息保护制度,这既是个人全面发展的需要,更是保护互联网行业发展和国家经济发展的战略考量。

  在认识个人信息保护的迫切、重要性的基础上,我们在第二章中从个人信息的基本原则发展演变出发,研究近四十年来欧美等国如何凝聚个人信息保护的共识,形成个人信息保护的基本原则。分为原则的初次提出、信息社会和大数据时代三个阶段,从欧洲和美国两条线出发,系统梳理个人信息保护基本原则的国际演进和变化,总结形成了当前关于个人信息保护五大国际底线原则。发现即使在大数据的今天,这些原则也被世界各国普遍使用,并在保护个人权益方面得到进一步加强。ꎮ

  个人信息保护原则的落地首先体现在各国个人信息保护立法中,为此,在第三章中,我们对比研究了美国和欧盟个人信息保护的立法实践情况,以及部分亚洲国家、地区和新兴市场国家个人信息保护立法进程,发现各国、地区尽管路径和方法有所不同,既有以美国为代表的各领域分散立法保护,也有欧盟、日本、韩国、我国台湾地区以及部分新兴市场国家逐渐形成的统一的个人信息保护立法,但是总体上都在各自的框架内让个人信息保护国际原则成为法律条文和基本制度。

  紧接着,在主报告第四章中,我们从各个国家、地区的监管实践中研究个人信息保护原则的落地情况。总体上,在各自的立法模式下各个国家、地区逐渐形成了或专门统一或各领域分散的个人信息保护监管格局,重视信息服务行业自律和司法诉讼下个人信息保护法律实施,特别是加强面向公众、信息处理机构工作人员的个人信息保护宣传教育和培训工作。总体上,完善的个人信息保护立法、设置专门的个人信息保护监管部门,确保严格的侵权究责与个人信息主体有效的维权与救济渠道等,越来越成为个人信息保护的国际趋势。

  第五章为征信与个人信息保护的专题研究,从本质功能上讲,征信是为缓解信贷市场的信息不对称问题而产生的。对此,为获得信贷融资机会,借款人必须让渡部分个人信息,供放贷人评估其还款能力、意愿和风险定价。同时,由于借款人未来履约与否,间接影响他人的信贷消费机会和金融稳定这一公共利益,所以强制采集、共享借款人负债信息已成为世界征信业的普遍做法。但即便如此,从个人信息保护的角度来看,个人借款人也并非完全放弃个人信息权利,征信业在评价信用风险时仍要遵循基本的公平和个人信息保护原则,个人对其征信数据拥有知情权、查阅访问权、异议权和纠错权,这也是世界各国发展征信业时的共识和普遍做法。

  第六章为数据跨境流动规则,主要介绍了经合组织(OECD)、亚太经合组织(APEC)、欧盟以及美欧间的数据跨境流动政策,并特别补充了近年来部分国家数据本地化的政策趋势。总体上,目前数据的国际流动规则还没有相应的国际协调机制,这已经不适应以互联网为基础的世界经济的发展,为此,在形成跨境数据流动政策的国际共识和协调中需要各国的共同努力。在此过程中,对于个人信息保护不足的国家而言,及时跟上个人信息保护的国际步伐,补齐个人信息保护的短板,避免因个人信息保护不力而在国际服务贸易中成为他国对其实行贸易壁垒的新依据,是其首要解决的问题。

  在国际个人信息保护的竞技场上,我国个人信息保护现状如何、原因何在等是第七章研究的重点,该章结合实际案例分析指出,虽然我国的一些法律规范也零星涉及了国际个人信息保护领域普遍接受的基本原则,但是认识不到位、立法不完善、保护框架失衡、行政监管缺位、违法惩戒不足等,导致我国个人信息保护严重不足、落后于全球步伐:个人信息不规范采集、不安全处理和无约束使用ꎬ 导致公众的个人信息满天飞,营销性短信,邮件、骚扰电话和精准诈骗越来越多,严重威胁个人的隐私、安全、财产和发展机会,并对我国互联网行业发展和国家经济发展与国际竞争力都带来了不利的影响。

  第八章为我国个人信息保护的立法和政策建议。该章综合我国个人信息保护领域的问题和国际经验,研究认为个人信息保护与大数据价值挖掘并不冲突,清晰的个人信息、隐私监管规则和基于此的公众信任,有助于互联网行业和信息科技的蓬勃发展。为此,我国应树立“以人为本”的个人信息保护理念,尽快推动出台统一的个人信息保护法律,明确个人信息保护的执法监管机制并成立专门的监管机构,加强对个人信息保护的日常监管,同时,加强司法救济和公众教育,形成个人信息保护的综合治理体系。

  (二) 副报告各章节内容简介

  在国际比较研究报告中,我们系统研究了美国、欧盟、日本、韩国、新加坡和我国台湾、香港等在个人信息保护上的立法和监管实践,分析大数据时代各经济体个人信息保护最新进展情况。

  第一章从美国个人信息保护的立法、监管实施和最新趋势的角度介绍美国个人信息保护的情况。总体上,美国采取分散的立法和监管模式,在公法领域以成文法建立了政府机构数据保护标准,在私法领域对涉及金融、医疗、电子通信、儿童隐私、背景调查以及征信等领域,对个人信息的处理进行了立法规范。在个人信息保护监管和执法上,主要是联邦贸易委员会、联邦通信委员会、消费者金融保护局等监管机构,以及司法系统和隐私权诉讼的原告来推动实施。整体上,美国对个人信息隐私的保护,更依赖于监管部门的执法以及私人诉讼,以威慑“不公正或欺骗性的”商业行为或者侵犯隐私权的行为。

  在第二章中,我们以德国为例研究个人信息保护在欧盟成员国的发展,并梳理欧盟层面个人信息保护的历史发展和最新进展情况。总体上,欧洲将个人信息视作公民人格和人权的一部分,认为人格的自由发展要求个人有权对抗对其个人信息无限制的收集、存储、使用和传送。在实践中,欧洲对包括政府部门、各商业领域的所有个人信息处理,制定了统一的个人信息保护立法,实施统一的个人信息保护标准,并在监管机构和公民救助上,形成了一套独特的个人信息保护体系。2016年欧盟个人信息保护的最新条例,更是在加强对信息主体保护、强化机构的责任等方面又向前迈出了一大步。

  第三章是对日本情况的介绍。日本借鉴了欧盟个人信息保护立法经验和法律外壳,以保障公民隐私权在内的人格权和财产权为核心,最终形成了一部规制政府部门、 私营企业个人信息处理行为的综合性个人信息保护基本法。与此同时,日本也采用美国实用主义的立法方式,在个人信息保护基本法基础上,更加重视重点行业的特别立法、行业自律和第三方监督等,以追求个人信息权益保护和信息应用之间的平衡。

  在第四章的韩国研究中,我们梳理了韩国个人信息保护的历史演变和最新进展情况。总体上,韩国以“保障每个人都有权决定是否将个人信息交付并提供给他人利用的权利”为核心,确保信息主体对其个人信息及产生影响的知情、控制。目前形成了以《个人信息保护法》为核心,以《信息通信促进法》、 《信用信息使用与保护法》等法律为补充的完整法律体系,搭建了以个人信息保护委员会为指导、韩国内政部牵头的个人信息保护综合执法体系,建立了被称为“亚洲最严厉的个人信息保护制度”。

  第五章是对新加坡个人信息保护法律情况的介绍。目前在个人信息保护领域,新加坡逐步发展出了国家机构和商业机构分治,仅对商业机构的个人信息处理建立了统一立法的法律保护体系。在法律实施中,设置了个人信息保护委员会作为个人信息保护法律的执行机构,通过制定具体标准进行立法实施。总体上,新加坡有针对性地选择不同领域适用个人信息保护法律,体现了新加坡个人信息保护规范体系务实、兼顾个人利益保护和数据经济利用的特点。

  第六章介绍了我国台湾地区个人信息保护的基本情况。台湾地区的个人信息保护立法经历了从专门规范特定产业的部门立法到全面统一立法的两大阶段,目前统一的“个人信息保护法”同时规范公务机关和非公务机关的个人信息处理行为。台湾地区的各行业监管部门担负个人信息保护监管职责,对违规行为苛以民事责任、刑事责任和行政责任。针对公务机关的违规行为采取无过错原则承担损害赔偿责任,针对非公务机关的违规行为则采取过错推定原则承担损害赔偿责任ꎬ 是台湾地区损害赔偿的一大特点。

  在第七章我国香港地区的情况介绍中,梳理了英国个人信息保护制度的发展历程以及对香港地区个人信息保护制度的影响,总结了香港个人信息保护的法律制度和监管框架,介绍了大数据背景下网络技术对个人信息保护的挑战及香港的应对措施。总体上,香港个人信息保护的“欧洲特征”明显,欧洲个人信息保护的基本原则、 对信息主体的权益保护在香港得到有效实践,统一的个人信息保护法律和特设的隐私保护专员公署,负责对政府机关和私营机关个人信息处理行为的规范。近年来,我国香港还在互联网渠道和公共渠道个人信息采集、应用程序、网上追踪、直接促销等领域,对个人信息处理行为制定了针对性监管指引。

三、致谢与说明

  参加此次课题研究的同志主要有:课题负责人、中国人民银行征信中心副主任王晓蕾 (总撰稿、 统稿工作和报告审阅),征信中心曹亚廷(主报告第一章、第三章、第四章,副报告第四章)、李铭(主报告第二章)、杨渊(主报告第五章),中国信息通信研究院王融 (主报告第六章、 第八章),北京安理律师事务所王新锐(主报告第七章和副报告第七章),君合律师事务所董潇(副报告第一章),中国人民大学法学院葛鑫(副报告第二章),征信中心丁安平(副报告第三章),北京安理律师事务所朱宣烨(副报告第五章),中央民族大学朱芸阳(副报告第六章),中国人民大学法学院杨东、中国人民银行中关村支行夏楠和北京理工大学孟兆平亦有贡献。

  同时,要特别感谢在中期评审会上,全国人大财经委副主任委员吴晓灵、中国工商银行原行长杨凯生、中国人民银行征信管理局局长万存知对本课题的评审ꎬ 为本课题的进一步完善提供了有力的指导。同时,在课题研究中,各界专家学者为我们提供了真知灼见,主要有全国人大法工委杨合庆、最高人民法院姜强、中国人民银行金融消费权益保护局孙天琦、中国人民银行条法司张念念、工信部石玉春、中信银行袁东宁、中国联通范济安、瑞银中国彭彦杰等。此外,中国金融四十人论坛秘书长王海明、马冬冬等对课题的申请、写作、讨论和评审都给予了很多关心和支持,中国人民银行征信中心前后两任领导王晓明和王煜同志,对课题研究给予了大力支持和指导,在此表示衷心的感谢。

  需要特别指出,在课题的研究过程中,我们虽然尽了最大的努力,尽可能全地搜集文献、报告,与国内外相关领域的专家进行各种专题研讨、交流,但是由于当前信息科技快速发展,大数据时代个人信息处理和应用日新月异,在汗牛充栋的个人信息保护研究中,本书只是一家之言,受时间和能力限制,疏漏和不足之处在所难免。欢迎各位专家、读者批评指正,通过共同探讨和多方交流,使相关研究更加深入、成果更加丰硕。

了解更多关于CF40各书系图书,请点击↓↓↓

版权所有:北京四十人论坛顾问有限公司 秘书处电话(010-88088160)

联系我们:北京市西城区金融大街33号通泰大厦 010 88088160   邮箱:cf40@188.com