◎文/黄秋红
在数字经济时代的大背景下,数据已经成为五大生产要素之一,是社会经济发展的重要引擎。作为数字贸易的基本构成要素,数据流动的重要性越来越凸显,个人信息是数据的重要组成部分,数据流动必然涉及个人信息保护问题。考虑到个人信息安全对经济和社会效益的重要意义,美国、日本、俄罗斯和新加坡都对个人信息保护进行了规制,其立法特点各不相同,具有一定的借鉴意义。
美国没有个人信息保护的统一立法,立法分散多元化,就层级而言,包括联邦法、州法案和行业自律规范;就领域而言,分别针对公私领域予以不同规制,公共领域中强调政府部门对个人信息的正确收集和使用,私营领域中针对不同行业开展规范。
联邦层面,美国1970年《公平信用报告法》、1974年《隐私权法》、1978年《金融隐私权法》、1986年《电子通信隐私权法》等早期制度以保护隐私为重心,旨在通过行业和市场协调来保护个人信息,其中,《隐私权法》和《金融隐私权法》仅针对在公共领域中的个人信息,《公平信用报告法》则保护私人领域中的个人信息。
州层面,美国各州都制定了个人信息保护相关的法律,2018年加利福尼亚州颁布的《消费者隐私法案》,是目前美国最严格的消费者个人信息保护法案,它给相关实体新设了披露所收集的消费者个人信息类别等义务,给本州居民引入了信息访问和被遗忘权,消费者可以拒绝将个人信息出售给第三方,为消费者控制个人信息提供了合法途径。2021年3月,弗吉尼亚州通过《消费者数据保护法》,成为第二个制定全面隐私立法的州。
在美国,行业自律上的相关方式包括建议性的行业指引、网络隐私图章认证计划和技术平台三个方面。
尽管美国重视个人信息中的隐私保护,主张个人信息的跨境自由流动,实现经济效益的最大化。对于个人信息的跨境流动,美国倾向于市场调节,通过“行业自律”和“事后问责”两种规制方式企图达到国家监管和商业自由的统一。
2018年3月,美国颁布《澄清域外合法使用数据法案》,澄清了调取其境内服务商储存在域外服务器数据的合法性,对美国机构获取域外个人信息和外国机构获取美国境内个人信息都予以了规定,但外国机构获取信息的条件远比美国机构严苛。
日本个人信息保护立法始于20世纪70年代,以地方条例为主,至1988年才制定了首部国家层面的个人信息保护法《行政机关计算机处理的个人信息保护法》,该法仅规制行政机关。随后,针对不同的行业和领域,日本颁布了《民营部门计算机处理个人信息保护指南》《关于电信业的个人信息保护指南》等部门规章。
2003年5月,日本正式通过《个人信息保护法》,搭建了个人信息保护的制度体系。针对公私领域确立个人信息保护总原则的《个人信息保护法》处于该体系的顶层,中层由行政机关、独立行政法人、地方公共团体和私营企业所应遵循的个别规范构成,底层则为特定的行业规章。即日本采用统分结合的立法模式,制定了适用于公私领域的个人信息保护基本法《个人信息保护法》,该法再授予行政机关和民间行业制定配套法规和自律规范。
为推动个人信息保护法的与时俱进,日本先后于2015年、2020年两次对《个人信息保护法》进行了修订。2020年的修正案中,明确了国家和地方公关团体的责任、义务和保护措施,规定了信息处理者的义务、行政机关和个人信息保护委员会的职责等,该修正案旨在实现日本国家层面法律的统一化和形成地方公共团体的共同规则,通过个人信息保护委员会进行统一监管。
对于个人信息的跨境流动,日本在2015年《个人信息保护法》修正案中首次确立了相关规则,新设了独立监管机构“个人信息保护委员会”,明确了个人信息向国外第三方传输需获得信息主体的同意。
为促进信息流动,2021年1月,个人信息保护委员会颁布了《跨境数据流动指南》,进一步细化了信息流动的事项和程序等。总的来说,日本在个人信息跨境流动方面与欧盟立场相近,在国际上倡导可信数据自由流动,即在严格保护个人信息、网络安全和知识产权的基础上,推动工业、健康等领域中非个人、匿名、有用信息的自由流动。
俄罗斯对于个人信息保护的立法,最初仅在1993年联邦宪法第24 条中确立了个人私生活秘密权,1995年2月颁布的《关于信息、信息化与信息保护法》首次提及公民个人信息,并予以法律保护。《个人数据保存限制法》《博客法》《网络支付限制法》等均有涉及,至2006年7月才正式颁布《个人数据法》。
在欧美之间,俄罗斯《个人数据法》更接近于欧盟的立法模式,以个人信息处理为适用对象,规范指引各行业各领域的个人信息收集、处理、传输行为。截至2021年,该法已经进行了21 次修订,包括信息处理的原则和条件、信息主体的权利、信息处理者的义务、信息处理的监管以及违法责任等内容。
2021年2月,俄罗斯总统普京签署的《联邦行政犯罪法》修正案加大了对违反个人信息保护义务行为的处罚力度,提高了罚款数额。
俄罗斯在“棱镜门”事件后非常重视数据主权,以保护信息安全和网络主权为出发点,实施数据本地化政策,限制数据跨境流动。例如,《个人数据法》要求俄罗斯公民的个人信息必须存储在境内服务器上,并明确了个人信息跨境传输的条件,如信息主体的书面同意、履行合同要求或基于国家安全考量。同时,对于《关于个人数据自动化处理的个人保护公约》的缔约国和俄罗斯官方认可的“白名单”国家,俄罗斯许可个人信息的自由流动。
新加坡是东南亚地区法治化、信息化比较发达的国家,建立了较为完善的个人信息保护制度和个人信息跨境监管体系。
2012年通过的《个人数据保护法》是新加坡现行的个人信息专门立法,该基础性法律全文共10 章68 条,包括定义、目标等适用性规则和个人信息的收集、使用、披露、保护等规则,以及个人数据保护委员会与管理机构的职责等内容。该法明确了个人信息的内涵,厘清了个人信息保护的关键内容,设置了个人信息保护的责任主体和职责。
其后,新加坡制定了多部附属法例,其中包括2014年出台的《个人数据保护规例》。2020年底,新加坡通过《个人数据保护法修正案》,新增了个人信息携带权和数据传输义务相关内容,强化了信息主体对其信息的控制权,同时支持机构和企业基于公共利益和业务改善等合法目的,对个人信息的合法收集、使用和披露,坚持权利保护和信息利用并重。此外,修正案还加强了机构的问责制,明确了个人信息处理的违法行为,增强了对违法行为的处罚力度,提高了个人数据保护委员会的执行力和执法效率。
对于个人信息的本地化存储,新加坡在通用的个人信息保护要求中并没有作出强制性要求。对于个人信息的跨境流动,新加坡设定了向境外流出的条件,即在信息接收国家或地区的个人信息保护标准与新加坡《个人数据保护法》相当时,才许可个人信息的自由流动。但在获得信息主体的同意、履行合同义务需要、传输的个人信息属于公开信息、涉及生命健康等重大利益或仅在新加坡中转时,也符合个人信息跨境流动的条件。