各国个人信息安全立法进度

文章发表于2020-12-02 10:36:19,归属【信息安全】分类,已有1544人阅读

信息安全

自2012年以来,315晚会连续七年提到信息安全的隐患:手机应用要求不合理的授权、暗网兜售个人信息、无休止的数据泄漏事件、以及今年第315晚会上被点名曝光的高科技灰色产业链--通过"探测箱"收集附近用户的手机号;利用智能机器人进行大量骚扰,并从应用程序中获取用户隐私信息。

数据产业发展与个人信息隐私权之间必然存在一定的分歧。目前,各国都已开始修订并增加法律法规对个人信息安全的界定及制订的内容,并积极寻求数据经济发展与个人信息安全的保护之间的平衡。

 

1.中国保护个人信息安全的相关政策

2016年11月7日,全国人民代表大会常务委员会颁布了《中华人民共和国网络安全法》,首次从立法层面界定了个人信息的定义:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

之前,我国对个人信息安全的规定主要集中在民法、刑法、消费者权益保护法、征信管理条例等法律规定中,网络安全法首次对网络经营者的责任和非法使用个人信息的法律责任作出集中规定,弥补了我国法律制度上的巨大空白。

虽然我国没有关于个人信息安全的专门立法,但对个人信息安全保护法的探索已经开始。

经过企业(包括阿里、腾讯、华为等企业代表)、学术界和监管部门的长期博弈,2017年12月29日,国家信息安全标准化技术委员会发布了"信息安全技术个人信息安全规范",并于2018年5月1日正式实施。

这类规范属于推荐标准,不强制执行,不属于法律制度。这是个人信息安全立法的重要尝试。在该标准中,个人信息和个人敏感信息根据信息的敏感性进行划分,并分别规定了收集、保存、使用和处理的不同方法和原则。个人信息管理员收集个人信息后,应立即对信息进行识别,并采取技术和管理措施。可识别信息与可用于恢复个人身份识别的信息分开存储。

此外,该规范还对用户画像的界说及运用做出了规范:

直接运用特定自然人的个人信息,构成该自然人的特征模型,称为直接用户画像,直接用户画像的信息能够辨认某一特定自然人。

运用来源于特定自然人以外的个人信息,如其地址群体的数据,构成该自然人的特征模型,称为直接用户画像,直接用户画像的信息无法辨认某一特定自然人。

除为到达个人信息主体授权赞同的运用目的所必需外,运用个人信息时应消除清晰身份指向性,防止精确定位到特定个人。例如,为精确评价个人信用状况,可运用直接用户画像,而用于推送商业广告目的时,则宜运用直接用户画像。

2019年1月30日,全国信息安全规范化技术委员会对《信息安全技术 个人信息安全规范》进行了修订,并向社会各界主张定见咨询,新草案的首要改动是添加“个性化展示及推出”和“第三方接入办理”两大内容,进一步确保了个人信息主体对个人信息运用的主动权。

全国人大常委会在2019年两会上表示,已将拟定个人信息保护法列入本届立法规划。从两次发布的《信息安全技术 个人信息安全规范》来看,我国对个人信息安全监管的情绪渐近趋严。

 

2、 欧盟保护个人信息安全的相关政策

工信部发布的《2018年大数据白皮书》中指出,ePD 指令与GDPR 共同构成了欧盟数据保护法律框架的两大支柱,赋予数据主体包括访问权、纠错权、被遗忘权、限制处理权、反对权、拒绝权和自决权等权利,为欧盟各国的个人信息隐私权保护提供了法律依据。

2019年1月21日,谷歌被曝因违反GDPR被法国国家数据保护委员会处以5000万欧元的罚款。这并不是GDPR开出的第一张罚单,早在欧盟刚刚发布GDPR时就宣布,只有3%的企业符合该条例,Facebook、谷歌、苹果等巨头都被纳入重点监管的名单。

埃森哲形容GDPR为“近二十年来数据隐私规则领域发生的最重要变化”。其指出,在过去,只有收集和使用数据的数据拥有者需要对数据保护负责。如今,GDPR史无前例地规定了数据处理者也需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。埃森哲指出,GDPR大大增加了数据保护的强制性和责任性,对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%,二者取较高值。

作为与GDPR相辅相承的补充,ePD指令主要针对的是通信领域的数据保护,其针对的主体既包括传统电信业务,也包括新兴电信服务提供者,如WhatsAPP、Facebook Messenger、Skype等。ePD指令规定了电信业务中数据业务的开展边界、元数据和用户通信内容的处理、cookies的使用规则、垃圾函件,如骚扰电话、营销短信等的规定,并明确了GDPR的实施部门为各国数据保护机构。

 

3、 美国保护个人信息安全的相关政策

早在1974年,美国联邦就制定了《隐私法》,后续有关个人信息安全的法律规范都是在这一法律前提下进行立法。2015年10月,美国联邦通过《网络安全信息共享法》进一步规定了个人隐私、自由等私权利的保护。

美国的法律体系与欧盟大不相同,主要以行业作为划分,针对金融、医疗、电信、教育、娱乐、消费者保护和儿童隐私保护等领域制定了有关个人信息安全保护的细则。相比于欧盟而言,美国联邦显然更加关注数据产业所带来的经济效益,因此给个人信息使用者们提供了更为宽松的环境,但随着GDPR的推行,留住用户的心,还是留住企业的心也许是美国联邦政府需要重新考量的问题。

此外,在联邦法的基础上,各州也推出了自己的信息安全保护政策。其中,加州于2018年7月通过的《2018加州消费者隐私法案》借鉴了多条GDPR的核心内容,被称为美国迄今“最严厉、最全面”的个人数据隐私保护法案。不过,这法案2020年1月1日才会正式实施。

世界各国都在加快探索个人数据使用边界的进程:在GDPR的基础上,欧洲各国纷纷开始完善个人信息保护法,如2019年3月14日,荷兰发布GDPR惩罚细则,对罚款金额进行了具体分类;美国如德州、加州等发出了加强个人信息保护立法的声音,苹果CEO库克亦提议制定联邦法,向欧盟GDPR靠拢;澳大利亚近年来一直致力于修改联邦法案,增加对个人信息隐私权保护;2018年7月,印度政府关于《个人数据保护法案》草案的研究也提上了日程……

针对个人信息安全保护的立法是数字经济发展到一定阶段的必然产物,而在保护个人信息安全和保护合规企业的竞争力,引导市场“良币战胜劣币”的权衡上,我国显然更为谨慎。

商务咨询

13020133833

技术支持

18621663782

您的反馈是我们前行的动力