周汉华 中国社科院法学研究所研究员,2003年受原国务院信息化办公室委托,主持《个人信息保护法》课题组研究工作,2005年形成了《个人信息保护法》专家意见稿。
欧盟这样保护个人信息
近日,由于追踪使用苹果Safari浏览器的数百万用户的使用习惯,美国搜索引擎谷歌已经同意支付美国联邦贸易委员会(FTC)提出的2250万美元(约合人民币1.43亿元)高额罚款。
在中国公安部不久前对买卖公民个人信息开展专项打击,破获的众多案件中暴露出当前个人信息保护形势严峻的现实。在个人信息保护最为严格的欧盟和美国,即使制度已经相当健全,依然存在侵犯公民个人信息的问题。
欧盟在保护公民个人信息上以制度完备堪称典范,他们是如何保护公民个人信息的?有哪些是值得我们借鉴的?
从采集到销毁全流程保护
全流程保护,就是从个人信息的采集,到信息的使用和交流,一直到信息的销毁,整个信息的全流程、全周期都有很明确的行为规范要求。
新京报:目前在个人信息保护和立法方面,哪些国家做得比较好?
周汉华:在个人信息保护领域,欧盟和美国是两大主体。做得最有特点的,最成体系的是欧盟及其成员国,可以说欧盟一直是个人信息保护的旗帜和尖兵。1995年欧盟制定了个人数据保护指令,系统地建立了一整套个人信息保护的法律制度。
新京报:欧盟在个人信息保护上有哪些特点?
周汉华:主要是“全流程保护”;独立的个人信息保护执法机制,设有独立的权威的信息专员;明确了一系列个人信息保护的原则;建立了信息处理的许可或登记制度;建立了一套发挥行政执法长处的监督和检查制度;个人信息主体的参与;以及相应的法律责任的追究制度。
新京报:全流程保护是事前、事中和事后的保护,保护链条长,如何做到?
周汉华:全流程保护,就是从个人信息的采集,到信息的使用和交流,一直到信息的销毁,整个信息的全流程、全周期都有很明确的行为规范要求。
在个人信息的采集环节,要正当合法地获取和处理,实行“最少采集”原则,要尽量少地采集个人信息,采集之后只能用于特定目的,不能用于非采集的目的。相关机构采集到个人信息后,要建立一套安全保护制度,采集信息的目的达到后,要在一定期限之后予以销毁。
欧盟很多国家都建立了个人信息处理的许可或登记制度,经过许可才能进行信息收集。这是事前管理制度。
事中发挥行政执法监督和检查制度,欧盟实行了独立的个人信息保护执法机制,专设有信息专员。
事后则有相应的法律责任的追究和法律救济渠道。除了进行罚款,很多国家对违反法律泄漏个人信息是可以处以刑事责任,更不用说吊销信息处理的许可或登记资格了。欧洲的这套制度是最全面的,也是最严格的一套制度。
核心:信息主体知情
信息控制者必须公示采集哪些信息,有哪些目的,谁来使用个人信息等。
新京报:信息主体在保护机制中处于什么地位?
周汉华:信息主体必须参与,要知道谁在采集其个人信息。信息控制者须公示采集哪些信息,有哪些目的,谁来使用个人信息等。如果信息主体认为信息采集记录错误,他可以提出不能那么记录其个人信息。
比如,征信系统记录我的信息,记录说我的贷款没有还,根据欧盟的个人信息保护法律,我会告诉他们,之所以没还是因为对方违约在先,我会要求更改有关我的个人信息。如果不更改,那我就要申辩和说明,我会说,并不是我缺乏诚信,而是房子质量有问题正在打官司,这些申辩和说明也要放在系统里。以后他人再看我的信息时,也要提供我的说明和申辩部分的信息。
新京报:中国是否可以借鉴欧盟这个规定?
周汉华:欧盟的个人信息保护有非常明确的原则,中国即将出台的《信息安全技术、公共及商用服务信息系统个人信息保护指南》中确定的八项基本原则就是从欧盟吸取和借鉴过来的,包括目的明确原则、最少够用原则、公开告知原则、个人同意原则等。
保障:信息专员独立执法
信息专员就相当于准法官,虽然有任期,但在任期之内如果不犯错误,没有人可以免他的职务。
新京报:欧盟的信息专员有哪些职能?
周汉华:信息专员由政府提名议会选举产生,是独立的机构,直接对行政长官负责,有自己的办公室,有的是好几个信息专员,可以主动进行调查,也可接受投诉到企业调查,调查后可下发警告令或制止令,或处罚,严重的可提交司法机关提起公诉,送到法院,最后进监狱。
新京报:信息专员执法和行政执法有区别吗?
周汉华:这和正常的行政管理没什么区别,唯一的区别是,他们是独立的机关。香港和澳门也借鉴了这一做法。信息专员就相当于准法官,虽然有任期,但在任期之内如果不犯错误,没有人可以免他的职务。
当然对信息专员也有相应的监督机制,主要是议会监督和舆论监督。同时在欧盟有国际压力,欧盟会认为某个国家的个人信息保护不够,前段时间欧盟就认为匈牙利的数据保护法达不到欧盟标准。欧盟的这种做法会对欧盟内的国家产生影响。
惩罚泄露信息政府企业一视同仁
如果政府机关不遵守法律,欧盟设立的独立信息保护机构可以对政府机关采取制裁。
新京报:一般来讲,政府机构是个人信息的最大拥有者,欧盟怎么约束政府机关以保护个人信息?
周汉华:对政府主体的约束跟其他主体是一样的要求,既对私人主体有要求,也对公共权力主体有要求。如果政府机关不遵守法律,欧盟设立的独立信息保护机构可以对政府机关采取制裁,对市场主体泄露个人信息可以采取的制裁手段对政府机关都可以采用,而且政府机关还要承担政治责任,官员要引咎辞职。
新京报:现在国内比较关注的是商业机构交易个人信息并从中牟利的情况。欧盟怎么惩罚这种行为?
周汉华:欧盟对个人信息泄露的主体一视同仁,政府机关和市场主体同时管。如果企业泄露个人信息,信息保护机构追究企业法律责任,可以去检查,可以要求整改,要求定期报告,可以罚款,也可以把责任人送进监狱。
最严重的是坐牢,根据情节的严重程度,包括披露了多少信息,给当事人造成了多少损失来判处,牟利多少,以及其他情节等,判处三年五年的有期徒刑。而且进入欧洲市场的企业也要遵守这些法律,欧盟企业向第三方转移个人信息,第三方也要遵守这些法律,欧盟才允许企业向第三方转移个人信息。新京报记者 郭少峰
欧盟隐私权标章认证机制
据中国软件评测中心研究员刘陶介绍,欧盟是最早关注个人信息保护的区域组织,但2012年的欧盟个人信息泄露事件表明,企业对个人信息保护不利的情况仍然存在,用户的个人信息泄露也在悄然发生着。
英国《每日邮报》2012年5月28日报道,美国谷歌公司因涉嫌在英国蓄意窃取数百万家庭电脑中的私人信息而将接受英国信息委员会(ICO)的调查。该委员会负责数据保护的信息专员将对涉嫌非法下载私人邮件、短信、照片、文档的谷歌“街景”服务车进行监察。
无独有偶,德国汉堡数据保护与信息安全局近日也表示,脸谱网(Facebook)的面部识别技术违反了欧洲和德国的数据保护法,脸谱网应删除相关数据。该局负责人称,自动面部识别是对个人信息的严重侵犯,即使是跨国企业也要尊重这一点。若脸谱网拒绝删除相关内容,将考虑对其进行罚款。
因此,欧盟为了进一步加强在个人信息保护方面的力度,特別建立了‘European Privacy Seal’欧盟隐私权标章认证机制。即凡是处理、交换或存储一定数量以上的个人资料的资讯产品或电子服务,都应通过正式的检测流程与验证程序,以确保该产品或电子服务对个人资料各生命周期阶段的安全保护。
通过认证机制,一方面可以作为欧盟成员国贸易交往中个人信息数据转移的依据,另一方面,可以通过认证机制了解各成员国对个人信息保护工作推动与发展的整体态势。对于搜集、使用和转移用户个人信息的服务提供商,通过欧盟隐私权标章认证的相应流程,可以对企业的个人信息保护水平进行评价,确保用户个人信息在其相应的生命周期内能得到安全保障,确保企业符合个人信息保护的系列技术标准和法律法规。