我国个人信息保护制度体系构建探析

2018-03-04 12:53安克万
网络安全技术与应用 2018年12期
关键词:数据保护保护法个人信息

◆李 怡 杨 帆 安克万

我国个人信息保护制度体系构建探析

◆李 怡 杨 帆 安克万

(陕西省网络与信息安全测评中心 陕西 710065)

针对当前我国个人信息保护面临的挑战,研究了美国、欧盟、日本和韩国的做法,分别从个人信息保护的法律法规体系、监督机制、分级分类处理、成立个人信息保护行业协会以及加大宣传力度这五方面提出建议,以期为我国构建完善的个人信息保护制度体系提供参考。

个人信息;个人信息安全威胁;个人信息保护制度体系

0 引言

大数据时代,大数据应用为人们的生产、生活带来了各种便利,个人信息保护面临着巨大的挑战[1]。个人信息蕴含的价值巨大,存在个人信息过度收集、诱骗收集、隐私政策“霸王条款”等问题,不仅威胁着人们的生命财产安全,还导致了诈骗、勒索等诸多社会问题[2],如携程泄露用户个人信息、蚂蚁金服泄露用户账单信息以及震惊全国的徐玉玉案件等,带来了恶劣的社会影响。

个人信息保护在我国已经引起了全社会的广泛关注,自2009年起,我国政府就加快了对个人信息保护的步伐,相继制定了个人信息保护相关法律法规和标准[3],全国信息安全标准化技术委员会也于2017年12月29日正式发布国家标准《信息安全技术 个人信息安全规范》,并于2018年5月1日实施。

然而,我国个人信息保护形势并不乐观,为了更好的解决个人信息保护面临的安全挑战,本文在分析我国个人信息保护存在问题的基础之上,分别研究了美国、欧盟、日本、韩国在个人信息保护方面采取的有效措施,并提出了我国个人信息保护的相关建议,以期完善我国个人信息保护制度体系。

1 我国个人信息保护中存在的问题

我国个人信息保护中存在的问题主要体现在以下几个方面:

(1)我国虽然在一些法律中提及侵害个人信息罪,且规定了个人信息接触者的做法,并出台了重点行业的相关规定,但是,个人信息保护的上位法的缺席,导致尚未形成个人信息保护的法律体系。

(2)政府对个人信息市场的监管效果不理想,主要体现在个人信息泄露事件频发,涉及面也较广[4],如快递、房屋中介、网上购物平台、酒店住宿等接触个人信息较多的行业,造成的社会影响和危害较为严重。究其泄露原因,主要为网络安全防护不严导致的信息被盗,企业或内部员工的法律意识淡薄。

(3)人民群众的个人信息保护意识不强。大家在生活中对于其个人信息保密意识不强,如网上或现实生活中为了一些礼品或者参与调查随意填写个人信息,快递空包裹(含有个人信息)直接丢弃。

2 国外个人信息保护措施

为了更好的解决我国个人信息保护中的问题,我们研究了美国、欧盟、日本、韩国在个人信息保护方面采取的措施[5]。

(1)美国

美国颁布了《隐私权法》后又制定了行业隐私保护法,如《电讯法》、《有线通讯隐私权法案》、《儿童在线隐私权保护法案》、《健康保险隐私及责任法案》、《公平信用报告法》和《金融隐私法案》等[6],构成较为完善的个人隐私保护法体系。《消费者隐私权利法案》为用户隐私保护设定了基本原则,FTC还建议美国国会考虑制定一般的隐私立法。

此外,美国还成立计算机安全协会、信息系统审查与控制协会、计算机应急协调中心、国际互联网协会、美国计算机协会等互联网信息安全行业组织,制定涵盖信息安全保护技术、从业人员自律教育等内容的行业规范。

(2)欧盟

欧盟发布了《个人数据保护指令》,并要求成员国以此为标准制定各国的个人数据保护法,后又制定了《电信行业数据保护指令》、《私有数据保密法》、《信息公路上个人数据收集、处理过程中个人权利保护指南》、《互联网上个人隐私保护的一般原则》、《隐私和电子通信条例》等法规,也形成了较为完善的个人数据法律保护体系。

2016年欧盟颁布的《个人数据保护一般规则》(GDPR)[7],成为目前世界范围内个人信息保护立法水平最高、保护力度最大的一部法律,此外,欧盟还积极建立并推进大数据个人信息保护跨境协作机制。

(3)日本

日本现行个人信息保护法主要有《日本个人信息保护法》、《关于行政机关持有的个人信息保护法》、《关于独立行政法人等持有的个人信息保护法》、《信息公开及个人信息保护审查会成立法》、《关于实施个人信息保护法相关的法制配套法》)和《个人信息保护法》修正案。

日本以地方政府和自治体为中心,相继制定了《个人信息保护条例》、《行政机关计算机处理的个人信息保护法案》、《计算机组织运营审议会条例》、《计算机组织运营条例》和《关于金融机构等保护个人数据的指针》[8]。

针对民营部门,主管机构制定方针、政策,行业成立认证机构进行自律为主的管理,颁布了《关于民营部门计算机处理个人信息保护指南》、《关于电信业的个人信息保护指南》。此外,日本实行行业主管大臣负责制,并设有个人信息保护工作专员。

(4)韩国

韩国行政安全部监管消费者和企业信息,政府管理部门进行保护,韩国广播通信委员会、互联网与安全局进行行业监管,现行主要法规包括《个人信息保护法》(基本法)、《信用信息保护法》、《电气通信事业法》、《通信秘密保护法》、《信息通讯网法》、《证券交易法》及《金融实名往来及秘密保障法》等。

3 对我国的借鉴与启示

针对当前我国个人信息保护方面存在的问题,借鉴美国、欧盟、日本、韩国的政策与法律法规制定,并结合我国基本国情,特提出以下五点建议,以为我国构建完善的个人信息保护制度体系提供参考。

(1)完善我国个人信息保护的法律法规和标准体系

法律方面,应尽快制定个人信息保护法作为上位法,做到有法可依。个人信息保护法中可明确界定个人信息的概念、范围、使用规则,明确个人信息的权利主体所享有的权利和应当履行的义务,并建立违法处罚与追责机制等。还应规定第三方经营者的法律责任,防止其推卸责任,充分保障消费者权益。

法规方面,政府相关部门应结合不同领域的需求,如互联网、卫生医疗、旅游、金融等收集个人信息较多的领域,制定相关的个人信息保护规定,以构建完整的个人信息保护法律法规体系。

个人信息安全标准方面,国家信息安全标准化技术委员会

(2)完善监督机制

从国家部委至各省、市(区)、县应设立个人信息保护独立的监督机构,明确机构职责,监管政府、企事业单位掌握的个人信息,以有效保障个人信息安全及使用合法合规。此外,还应指定公民举报机构、网站或热线,当个人信息泄露或滥用时,便于举报。

(3)分级分类处理

为了更好的保护个人信息,政府相关部门在采集、处理、共享个人信息时,首先应进行分级分类,并对分级分类后的个人信息分别采取相应的保护措施。分级时,可按照个人信息造成的损害个人名誉和身心健康、非个人意愿的工作、生活影响和导致歧视性待遇等影响进行分级;分类时,可参照去标识维度分类,分为原始数据、脱敏数据和群体数据。

(4)成立个人信息保护相关行业协会

为了促进行业自律和自我监督,政府应鼓励、引导科研机构和企业,从政策和经费上支持其研发个人信息安全保护的新技术,从技术层面加强个人信息保护。并协助成立个人信息保护相关的行业协会或联盟,组织制定相应的行业个人信息保护条例或规范,以期通过行业自律,达到规范个人信息保护、促进行业健康发展的作用。

(5)加大宣传力度

政府还应加强公众个人信息保护知识的宣传教育,提升公众个人信息保护意识和能力。针对不同的社会群体,采取多样化的宣传教育手段,如宣传进校园、社区等方式,帮助公众提升个人信息保护的意识和能力。

4 结束语

本文分析了我国个人信息保护的现状和存在的问题,在借鉴美国、欧盟、日本、韩国的政策基础之上,结合我国国情,分别从完善我国个人信息保护的法律法规体系、完善监督机制、分级分类处理、成立个人信息保护行业协会以及加大宣传力度这五方面提出建议,对我国建立较为完善的个人信息保护制度体系具有一定的参考。

[1] 陈国威.大数据时代的个人信息安全研究[J]. 网络安全技术与应用,2018.

[2] 王少辉,印后杰.基于政府管理视角的大数据环境下个人信息保护问题研究[J]. 中国行政管理,2015.

[3] 孙南翔. 论作为消费者的数据主体及其数据保护机制[J]. 政治与法律,2018.

[4] 郝思洋.大数据时代个人信息保护的路径探索[J]. 北京邮电大学学报(社会科学版),2016.

[5] 陶茂丽,王泽成. 大数据时代的个人信息保护机制研究[J]. 情报探索,2016.

[6] 国外个人信息保护模式研究[J].郎庆斌.信息技术与标准化,2012.

[7] 何治乐,黄道丽.欧盟《一般数据保护条例》的出台背景及影响[J].信息安全与通信保密,2014.

[8] 黄蓝.个人信息保护的国际比较与启示[J].情报科学,2014.

猜你喜欢
数据保护保护法个人信息
我国将加快制定耕地保护法
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
未成年人保护法 大幅修订亮点多
数据保护护航IT转型
——戴尔易安信数据保护解决方案
警惕个人信息泄露
欧盟通用数据保护条例中的数据保护官制度
聚众淫乱罪的保护法益及处罚限定
TPP生物药品数据保护条款研究
药品试验数据保护对完善中药品种保护制度的启示