美英新个人信息保护政策法规的考察与借鉴(5)
6 美英新个人信息保护政策法规对我国的借鉴与启示
6.1 完善个人信息保护法律法规体系
在我国,《宪法》是根本大法,属于最高效力的法律,但该法并不具有专门的隐私权保护的相关规定。就专门性的法律而言,我国没有一部完整的个人信息保护法,而是分散在各个相关法律中来对个人信息进行直接或间接保护。实际上,受国务院信息办委托,中国社会科学院法学研究所个人数据保护法研究课题组于2004年底完成了《中华人民共和国个人信息保护法》(专家建议稿)及立法说明[34];在2008年12月27日第十一届全国人民代表大会常务委员会第六次会议通过的《全国人民代表大会法律委员会关于第十一届全国人民代表大会第一次会议主席团交付审议的代表提出的议案审议结果的报告》中,山东团张志法等30名代表、黑龙江团孙桂华等31名代表、山东团杨伟程等31名代表提出关于制定个人信息保护法的议案(第14号、第277号、第360号),建议尽快制定个人信息保护法,完善合理的个人信息保护制度[35]。但是,目前国家尚未公布《个人信息保护法》草案。从法律制定的角度来看,个人信息保护法律的制定,本身就不简单。例如,英国在传统上比较保守,虽然在20世纪70年代就开始着手隐私权保护,但前后经过数十年才在1984年制定《数据保护法》。因此,我国有必要制定一部统一的个人信息保护法,对相关概念进行界定,完善个人信息处理的原则,如个人信息的收集应遵循合法性、适当性和必要性的原则,并应征得有关个人的同意。幸运的是,根据2018年9月7日发布的十三届全国人大常委会立法规划,《个人信息保护法》作为第一类项目:条件比较成熟、任期内拟提请审议的法律草案[36]。
6.2 进一步明确个人信息相关概念
如前所述,美国没有统一的个人信息定义,这是因为美国对数据隐私采取“部门”立法。美国有多个针对特定部门和特定的国家隐私或数据安全法,包括适用于金融机构、电信公司、个人健康、信用报告、儿童、电话销售和直接营销的法律和法规。这使得美国数据隐私受特定于市场部门的法律、规则和法规(如银行、医疗保健、支付处理等)以及违反通知法规等州法律的约束,而且Google等公司通常会在其隐私政策中包含自己对个人信息的定义。与美国类似的是,我国在没有统一的法律定义的情况下,“个人信息”“信息”等概念是根据许多特定于行业的规则而进行定义。因此,我国有必要明晰相关概念,构建完善的概念体系。第一,明确个人信息概念的相关要素。对个人信息进行界定时,要明确“识别”“信息”等相关概念。例如,美国《加州消费者隐私法案》(CCPA)通过嵌入其中四个紧密相连的模块,从而更好地对个人信息进行界定:①“信息”; ② “识别、关联、描述、能够与之相关或可能合理地联系在一起”;③“直接或间接”; ④“与特定消费者或家庭”。这意味着,任何特定的信息都必须符合上述四项要求才能被视为CCPA所称的个人信息[37]。第二,采取综合运用加列举式来进行界定。例如,根据周汉华主持的《中国个人信息保护法》(专家建议稿)第9条规定,个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可识别特定的个人的信息[38]。与英国类似的是,这个定义综合运用了概括及列举的方式,旨在明确概念的同时,列举个人信息的相关重要内容,从而使得这个概念更加全面。第三,区别相关概念。与“个人信息”这一概念相关的包括“个人可识别信息”“个人不可识别信息”等,因而需要进一步明确彼此差异。例如,在美国,所有州或所有法规对美国个人信息的定义并不统一,而且某些数据可能被视为出于一个目的而非另一个目的的个人信息。但是,美国联邦或州隐私法很少将“个人信息”定义为包含它本身并不能识别一个人的信息,这意味着“个人信息”不包括“个人不可识别信息”。此外,对于许多人来说,“个人可识别信息”是指可用于识别个人的信息,如个人姓名、地址、电子邮件地址、社会安全号码/驾驶执照号码等。
6.3 设置个人信息保护机构,完善相关制度建设
第一,设置个人信息保护机构。就我国而言,并没有一个国家级个人信息保护机构。因此,有必要设置专门的个人信息保护机构,而且在其组成上,应设置一定数量的工作人员,能够为相关组织提供内部培训,以确保它们了解自己的隐私义务;负责监督个人信息保护相关法律的宣传以及针对个人信息泄露事件进行调查,如对相关机构所持有的个人信息进行审核,以确定这些个人信息是否根据个人信息保护法律来进行维护。第二,制定个人信息登记规则。在中国,没有专门法律要求数据用户向数据保护机构进行个人信息登记,而是在相关领域有所涉猎。例如,根据2013年1月21日发布并于2013年3月15日实施的《征信业管理条例》的第二十二条,经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询工作人员的姓名,查询的时间、内容及用途[39]。由此看出,这个规定只是涉及征信领域,而且仅局限于个人信息查询情况的登记,而未涉及个人信息处理的其他活动。因此,有必要构建个人信息登记制度,记录个人信息的存储位置,规定谁可以获取这些信息、何时获取以及与谁进行共享等。第三,构建隐私侵犯通知制度。我国已有一些领域涉及隐私侵犯通知,如2016年11月16日发布的《〈消费者权益保护法实施条例〉(征求意见稿)》第22条规定,在发生或者可能发生信息泄露、丢失的情况时,经营者应当采取补救措施,及时通知消费者[40]。但是,这一规定并没有明确通知内容。为了完善隐私侵犯通知制度,应该明确所通知的内容,即应包括受影响的数据主体的类型、数量、内容和性质、违规的影响、已采取或将要采取的措施以及相关人员的联络信息。为了保障这一制度,可以考虑设置类似国外的数据保护官,负责处理隐私违规事件,并负责通知流程。
文章来源:《国外文学》 网址: http://www.gwwxzz.cn/qikandaodu/2021/0414/480.html
上一篇:国外危险品物流理论和对策研究
下一篇:国外循环经济法律制度对我国的启示