国外个人信息保护或隐私保护法规汇总
国外在企业收集、利用公众信息方面的
政策、措施、规定、法规。
一、美国
1.《隐私权法》
1974 年12 月31 日, 美国参众两院通过了《隐私权法》(Privacy Act)1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。
《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。
2.《电子通讯隐私法》
到目前为止,美国并没有一部综合性法典对个人信息的隐私权提供保护,主2摘自《情报科学》,周健:美国《隐私权法》与公民个人信息保护
要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986 年颁布的《电子通讯隐私法》(The Electronic Communication Privacy Act,简称ECPA)3。
尽管《电子通讯隐私法》还存在不足,但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。
3.《金融服务现代化法案》
Financial Services Modernization Act of 1999,也就是格雷姆-里奇-比利雷法(Gramm-Leach-Bliley Act,GLB Act)4,它规定了金融机构处理个人私密信息的方式。这部法案包括三部分:金融秘密规则(Financial Privacy Rule),它管理私密金融信息的收集和公开;安全维护规则(Safeguards Rule),它规定金融机构必须实行安全计划来保护这些信息;借口防备规定(Pretexting provisions),它禁止使用借口的行为(使用虚假的借口来访问私密信息)。这部法律还要求金融机构给顾客一个书面的保密协议,以说明他们的信息共享机制。
4、《儿童在线隐私权保护法案》
The Children’s Online Privacy Protection Act,,简称COPPA5,它规定网站经营者必须向父母提供隐私权保护政策的通知,以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对13 岁以下儿童个人信息的收集和处理。
3摘自
5.《健康保险携带和责任法》
The Health Insurance Portability and Accountability Act of 1996,简称HIPAA6,该法案通过建立电子传输健康信息的标准和要求鼓励健康信息系统的发展。保障个人的健康隐私信息的完整性和机密性;防止任何来自可预见的威胁、未经授权的使用和泄露;确保官员及其职员遵守这些安全措施。
2009年美国通过Health Information Technology for Economic and Clinical Health Act,简称HITECH法案7,该法案也增强了HIPAA的安全和隐私要求并扩展了相应的处罚。
6.《有效保护隐私权的自律规范》
1998年,美国商务部发表了《有效保护隐私权的自律规范》(Elements of Effective Self Regulation for Protection of Privacy)8,要求美国网站从业者必须制定保护网络上个人资料与隐私权的自律规约。
7.《公平信用报告法》
The Fair Credit Reporting Act,该法的全称为《公平信用报告法-消费者信用保护法标题VI》9,属于消费者保护法系列。这项法律规范的对象是消费者信用调查/报告机构(Consumer reporting agency)和消费者信用调查报告的使用者。主要规定了消费者个人对信用调查报告的权利,规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项,实际明确了消费者信用调查机构的经营方式。
8.身份信息盗窃红旗规则
ID Theft Red Flags Rule10,该条例是由美国联邦贸易委员会与货币总监署(OCC)、联邦存款保险公司(FDIC)、美国联邦储备委员会和其他几个联邦机构共同制定的,遵照2003年公正准确信用交易法(FACT Act)。条例规定,在RFR违规事件中,联邦贸易委员会可以展开民事诉讼,寻求不超过2,500美元的违规行为罚款。
该条例要求一些企业和组织制订和实施书面计划,以保护消费者免遭身份盗用。任何允许备兑账户的债权人或金融机构,必须为红旗规则实施一项防止身份盗用的计划(Identity Theft Prevention Program)。由于受到各方阻力,该规则生效的期限被再三拖延,目前的最终期限为2010年6月1日。
9. 其他的信息隐私条例
(1)《信息自由法》,该法规范了第三方对包含个人信息的政府记录的获取。
(2)《金融隐私权法案》(Right to Financial Privacy Act)11,它对银行雇员披露金融记录,及联邦立法机构获得个人金融记录的方式做出了限制。
(3)《有线通讯隐私权法案》》(Cable Communication Policy Act),它禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息12。
(4)1996年《电讯法》(Telecommunication Act),规定电讯经营者有保守客户财产信息秘密的义务。
10. 行业自律规则
除了上述分散的网络隐私权保护法律法规之外,美国还倾向于采取行业自律政策对网络隐私权提供保护。由于网络技术发展迅速,而立法总是滞后于现实状况,所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一
致鼓励和支持。总体而言,美国目前的行业自律形式有三类:建议性的行业指引、网络隐私认证、技术保护模式。
? 建议性的行业指引
许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则,如“在线隐私联盟”(Online Privacy Alliances)13、“银行家圆桌会议”、“直销协会”、“互动服务协会”等等。其中,“在线隐私联盟”最为着名,由超过80家的国际公司和协会组成,致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。它于1998 年 6 月发布了以联邦商业委员会的建议为原则的在线隐私指引,旨在指导网络和其他电子行业隐私保护。
? 网络隐私认证
不同于适用于同一行业内部的建议性行业指引,网络隐私认证适用于跨行业的联盟。他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志,以便于用户识别。美国着名的网络隐私认证组织有TRUSTe14、BBBOnLine15、WebTrust16等。
? 技术保护模式
技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。最常见的一种模式是由互联网协会推出的个人隐私选择平台(Platform for Privacy Preferences Project ,简称P3P )17。P3P 能让网站指明对个人数据使用和公布的状况,让用户选择个人数据是否被公布,以及哪些数据能被公布,并能让软件代理商代表双方达成有关数据交换的协议。在这种模式下,个人能够利用充足的信息做出明智的决定,同意或是拒绝提供本人的数据,并且能够委托软件代理商将决定付诸实践。
11. S.1490、S.139草案
美国参议院司法委员会2009年11月5日通过了两个有关建立数据泄漏通报标准的法案:《2009个人隐私与安全法案》(S.1490:Personal Data Privacy and Security Act of 2009)18以及《数据泄漏事件通报法案》(S.139: Data Breach Notification Act)19。这次投票结果意味着这两项法案现在可以进入参议院审批阶段。
《2009个人隐私与安全法案》建立了风险评估、漏洞检测以及对访问敏感信息的控制和审计相关标准,同时也有条款规定了在出差及在非工作时间的数据保护措施,以及在数据泄漏时需及时通报执法部门、信用报告机构及受影响的个人。作为补充,这一法案规定在联邦贸易委员会下设置联邦身份保护办公室。《数据泄漏事件通报法案》要求美国联邦政府机构以及业务范围跨州的企业在发生数据泄漏事件时必须通知所有信息可能被或者已经被访问、获取的当事人。
二、欧盟
1.《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》。
欧洲议会和欧盟理事会于1995 年10 月24 日通过的《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)20。简称数据保护指令(Data Protection Directive),这是欧盟在个人信息保护方面最重要的指令。3年后正式生效。这一指令要求欧盟各国采取欧盟统一标准对个人数据进行保护。为适应欧盟对其成员国个人数据保护的统一要求,欧盟各成员国相继制定了本国的数据保护法,或者对已有的数据保
护法进行修改21。
2.《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》
2000年12月18日,欧洲议会和欧盟理事会通过《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》
3.《关于在电子通信领域个人数据处理及保护隐私权的指令》
2002 年7 月12 日,欧盟理事会和欧洲议会共同颁布了新的《关于在电子通信领域个人数据处理及保护隐私权的指令》(Directive 2002/58 on Privacy and Electronic Communications)22,简称电子隐私权指令(E-Privacy Directive)。该指令于2004 年 4 月起在欧盟成员国生效实行。此项指令取代了1997 年12 月15 日通过的《有关电信行业中的个人数据处理和隐私权保护的指令》(简称电信业隐私权指令),是欧盟基于电子商务及互联网发展现状,而制定的旨在规范电子商务消费者隐私权保护的最新立法。指令包含有一系列专门针对电子通信领域个人信息处理和隐私权保护的特别规范,其中部分内容对欧盟电子商务指令的规定也做了进一步的补充和完善。
4. 欧盟数据保护监督专员
欧洲数据保护监督专员(European Data Protection Supervisor)23这一职位设立于2001年,职责是确保所有欧盟机构和组织在处理公民个人数据时尊重公民的隐私权。
当欧盟的组织或机关处理一位有确定身分的公民的个人数据时,它们必须尊重该公民的隐私权。欧洲数据保护监督专员确保它们会这么做,并在个人数据处理上给与他们指导.
21部分参考
上述的数据“处理”包括了许多行为,例如搜集信息、录制和储存、重新提取、发送或使其他人员获得以及阻止、删除或销毁数据。有严格的保密条例来管理这些行为。例如,欧盟机构或机关被禁止处理揭示公民种族或宗教,政治观点,宗教或哲学信仰,或工会成员资格的个人数据。
5. 欧盟数据保护工作组
Article 29 Data Protection Working Party24,数据保护指令第29 条规定:建立一个“在个人数据处理中保护个人的工作组”,一般称之为“第29 条工作组”。或者数据保护工作组。
欧盟数据保护工作组2009年分别致信谷歌、微软和雅虎三大搜索巨头,认为搜索引擎服务商保存用户搜索记录时间超过6个月的理由并不成立,因此要求这三大搜索引擎商必须缩短用户搜索信息的保留时间。
三、日本
1.《个人信息保护法》
日本政府于2003年5月颁布了日本《个人信息保护法》,并根据这部法律的基本理念,相继制定并颁布了针对行政机关、独立行政法人等持有个人信息机关的4部法律。《个人信息保护法》可以称作企事业单位规制法,它的规制对象是全部持有并处理个人信息的企事业单位,其行为受到行政厅的监督和管理25。
日本《个人信息保护法》是一部对于个人信息持有处理者的企事业单位的规制法。从法律条文中的公开制度的表述中我们也不难发现,法律中没有类似于“国民可以做出某某行为”的表述,而是以“企事业单位不可以做出某某行为”的表述代之。因此这部法律不是一部直接规定国民的权利和利益的法律,它直接约束的是企事业单位。国民的权利和利益在日本是依靠民法的权利保护条款去执行的,因此原则上隐私受到侵害时,在明确隐私权如何受到侵害及其侵害度后,应
25对外经贸大学硕士学位论文,张苑:日本《个人信息保护法》的实施及其对中国的启示
定性为民法的不法行为进行法律诉讼。
另一方面,企事业单位在利用消费者的个人信息时,需要告知“使用用途”,并有“通知、发布”的义务。事实上几乎所有的企业为了保证消费者的个人信息安全制定了相关的安全对策,并发布在各自的网站上。依据网站上的个人信息安全对策,个人信息的利用者、消费者和企业之间形成了一种合同约定,据此可以追究企事业单位的合同责任。
日本《个人信息保护法》目前只对于个人信息处理者的企事业单位的违法行为进行处罚。行政厅对于个人信息处理者的企事业单位进行各种规制管理,并通过要求其公开个人信息使用途径等方法了解其行为规范与否并对此进行法律监督。然而对于非企事业单位或者法律规定企事业单位范围之外的企事业单位,目前还没有具体的处罚规定,受害当事人可以对依据民法的规定对信息泄露者申请违约责任、不法行为等赔偿。
2. 其他
(1)《职业安定法》第五条之四规定了职业介绍机构等在保护求职者个人信息方面的责任26。
(2)通商产业省也曾于1997年3月公布了《关于保护民间部门电子计算机处理所涉及的个人信息的指南》(简称为“通产省指南”),以指导非政府部门的个人信息保护。
(3)财团法人日本情报处理开发协会于1998年开始运作“隐私标识”(Privacy Mark)制度,依据“通产省指南”向采取有力措施保护个人信息的非政府部门颁发“隐私标识”。
四、加拿大
1.《隐私法》
《隐私法》生效于1983年, 主要是规范加拿大联邦政府部门和机构收集、使26《中国社会科学院院报》,吕艳滨:日本隐私权保障的研究与启示
用和披露个人信息的行为。
2.《个人信息保护与电子文件法》
《个人信息保护与电子文件法》(Personal Information Protection and Electronic Documents Act,简称PIPEDA)是2000年通过的, 并于2001年1月、2002年1月和2004年1月等三个阶段逐步生效, 它是规范加拿大私营部门在商业活动过程中收集、使用或披露个人信息的行为。此外, 加拿大一些省还对某些方面的个人信息保护进行了专门立法,如阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和安大略省就对医护服务提供者和其他医疗机构收集、使用和披露个人健康资料进行了专门立法。27
对个人信息定义方面, 加拿大《隐私法》和《个人信息保护与电子文件法》对个人信息的定义并不完全一致。《隐私法》规定法律保护的个人信息是指以任何形式记载的可识别的个人的信息, 同时还明确列举了民族、种族、血型、指纹、个人看法和观点等一些个人信息的具体类型。而《个人信息保护与电子文件法》则规定, 个人信息是指除姓名、职务以及作为一个组织雇员的办公地址或电话号码外, 所有的可识别的个人的信息。很明显,《隐私法》保护的个人信息没有涵盖尚未形成记录的个人信息。
2. 隐私专员办公室
在机构设置上, 加拿大联邦的个人信息保护专门机构是加拿大隐私专员办公室(Office of the Privacy Commissioner)28, 同时各省也设立隐私专员办公室或类似机构, 但各省隐私专员与联邦隐私专员之间并没有隶属关系。联邦隐私专员是由加拿大总督与参、众两院的各政党领导人协商后提名, 并经两院批准任命的, 任期七年。隐私专员的职责主要有(1)受理和调查个人信息侵权投诉。(2)对私营部门和政府机构的个人信息保护政策措施进行审计。(3)向加拿大政府机构和私营部门就个人信息保护问题提供咨询。(4)开展个人信息保护政策措施的研
27《韶关学院学报》,许春尧:加拿大个人信息保护法律制度及借鉴
究。(5)向加拿大议会提交个人信息保护情况的年度报告和特别报告。
五、国际流通
1. OECD《关于保护隐私和个人数据国际流通的指南》
欧美各国在20世纪70年代就开始完善个人信息保护的相关法律。到了20世纪80年代,经济合作开发组织(OECD)理事会从协调各国法律规定的角度出发,颁布了《关于保护隐私和个人数据国际流通的指南》(Guidelines on the Protection of Privacy and Transporter Flows of Personal Data)29。
2.《安全港协议》
欧盟在规范公司如何采集和处理个人数据时,显得比美国谨慎。1998年生效的欧盟个人数据保护指令,不许向未达到欧盟标准的国家或地区传输客户的个人数据。鉴于这种现状,欧盟向美国传输客户的个人数据时,显得十分勉强。为了避免贸易摩擦,经过2年多的谈判,于2000年双方推出了由美国提出的《安全港协议》(Safe Harbor)30。按照此协议精神,美国公司可以自愿接受约束,以获取来自欧洲的更多商业机会。即便如此,《安全港协议》的严谨程度还是比不上现行的欧洲相关法律,遭到一些消费者权益保护组织的非难。
“信息安全港”其实是一个虚拟“社区”。它公布一些基本的隐私权保护原则。任何企业, 只要宣布自己遵守上述原则并提出了具体落实方案, 报有关部门或机构备案后, 就算进入了“信息安全港”, 可以“安全、合法地”从欧盟国家转移消费者资料了。如果事后发现该企业并未达到声称的保护标准, 则可以以欺诈论处。
1. 信息安全港要求成员企业必须有一个面向消费者的投诉机制。
2. 明确了信息安全港成员企业若违背信息安全港原则将受到何种惩罚。
3. 凡根据美国法律不受某个明确政府机构或其他有法律强制权力的机构监
管的行业, 其企业均不得进入信息安全港。
2.APEC隐私保护框架
亚太经合组织旨在建立一个地区隐私保护标准,该标准建立在经合组织已有原则的修订版之上,旨在处理跨国家的个人数据流动问题。自亚太经合组织电子商务领导小组于2004年期间修正之后,亚太经合组织隐私保护框架(APEC Privacy Framework)31最终于2004年11月被亚太经合组织成员国部长会议通过。