二、本书的内容安排
本书分为两大部分,第一部分为本书正文,即主报告,共八章,第二部分为附录,即副报告,共七章。其中,主报告主要研究了个人信息保护问题的渊源、个人信息保护相关原则的演进,当前世界主要经济体个人信息保护的立法与监管实践,并选择了与个人信息保护关系密切的个人征信和跨境数据流动两个专题进行研究,分析了当前我国个人信息保护的现状、不利影响和原因,并结合国际经验提出我们的政策和立法建议。副报告则比较研究了美国、欧盟、日本、韩国、新加坡和我国台湾、香港地区的个人信息保护的基本情况,特别是立法、监管实践和最新趋势等。
(一)主报告各章节内容简介
什么是个人信息?个人信息为何要保护?个人信息保护问题因何而起、在大数据时代如何发展?对此,主报告第一章探讨了个人信息保护的起源和大数据时代个人信息保护问题的紧迫性和国际趋势,对比研究了个人信息、数据和隐私等基础性概念,发现个人信息保护不仅是个人隐私安全层面的问题,还事关公民的财产利益、发展机会和互联网行业发展与国家竞争力。国际上,面对个人信息这一新型资源,世界各国不但没有放松,而是进一步强化了以人为本的个人信息保护制度,这既是个人全面发展的需要,更是保护互联网行业发展和国家经济发展的战略考量。
在认识个人信息保护的迫切、重要性的基础上,我们在第二章中从个人信息的基本原则发展演变出发,研究近四十年来欧美等国如何凝聚个人信息保护的共识,形成个人信息保护的基本原则。分为原则的初次提出、信息社会和大数据时代三个阶段,从欧洲和美国两条线出发,系统梳理了个人信息保护基本原则的国际演进和变化,总结形成了当前关于个人信息保护五大国际底线原则。发现即使在大数据的今天,这些原则也被世界各国普遍使用,并在保护个人权益方面得到进一步加强。
个人信息保护原则的落地首先体现在各国个人信息保护立法中,为此,在第三章中,我们对比研究了美国和欧盟个人信息保护的立法实践情况,以及部分亚洲国家、地区和新兴市场国家个人信息保护立法进程。发现各国、地区尽管路径和方法有所不同,既有以美国为代表的各领域分散立法保护,也有欧盟、日本、韩国、我国台湾地区,以及部分新兴市场国家逐渐形成的统一的个人信息保护立法,但是总体上都在各自的框架内让个人信息保护国际原则成为法律条文和基本制度。
紧接着,在主报告第四章中,我们从各个国家、地区的监管实践中研究个人信息保护原则的落地情况。总体上,在各自的立法模式下各个国家、地区逐渐形成了或专门统一或各领域分散的个人信息保护监管格局,重视信息服务行业自律和司法诉讼下个人信息保护法律实施,特别是加强面向公众、信息处理机构工作人员的个人信息保护宣传教育和培训工作。总体上,完善的个人信息保护立法、设置专门的个人信息保护监管部门,确保严格的侵权究责与个人信息主体有效的维权与救济渠道等,越来越成为个人信息保护的国际趋势。
第五章为征信与个人信息保护的专题研究。从本质功能上讲,征信是为缓解信贷市场的信息不对称问题而产生的。对此,为获得信贷融资机会,借款人必须让渡部分个人信息,供放贷人评估其还款能力、意愿和风险定价。同时,由于借款人未来履约与否,间接影响他人的信贷消费机会和金融稳定这一公共利益,所以强制采集、共享借款人负债信息已成为世界征信业的普遍做法。但即便如此,从个人信息保护的角度来看,个人借款人也并非完全放弃个人信息权利,征信业在评价信用风险时仍要遵循基本的公平和个人信息保护原则,个人对其征信数据拥有知情权、查阅访问权、异议权和纠错权,这也是世界各国发展征信业时的共识和普遍做法。
第六章为数据跨境流动规则,主要介绍了经合组织(OECD)、亚太经合组织(APEC)、欧盟以及美欧间的数据跨境流动政策,并特别补充了近年来部分国家数据本地化的政策趋势。总体上,目前数据的国际流动规则还没有相应的国际协调机制,这已经不适应以互联网为基础的世界经济的发展,为此,在形成跨境数据流动政策的国际共识和协调中需要各国的共同努力。在此过程中,对于个人信息保护不足的国家而言,及时跟上个人信息保护的国际步伐,补齐个人信息保护的短板,避免因个人信息保护不力而在国际服务贸易中成为他国对其实行贸易壁垒的新依据,是其首要解决的问题。
在国际个人信息保护的竞技场上,我国个人信息保护现状如何、原因何在等是第七章研究的重点。该章结合实际案例分析指出,虽然我国的一些法律规范也零星涉及了国际个人信息保护领域普遍接受的基本原则,但是认识不到位、立法不完善、保护框架失衡、行政监管缺位、违法惩戒不足等,导致我国个人信息保护严重不足、落后于全球步伐:个人信息不规范采集、不安全处理和无约束使用,导致公众的个人信息满天飞,营销性短信,邮件、骚扰电话和精准诈骗越来越多,严重威胁个人的隐私、安全、财产和发展机会,并对我国互联网行业发展和国家经济发展与国际竞争力都带来了不利的影响。
第八章为我国个人信息保护的立法和政策建议。该章综合我国个人信息保护领域的问题和国际经验,研究认为个人信息保护与大数据价值挖掘并不冲突,清晰的个人信息、隐私监管规则和基于此的公众信任,有助于互联网行业和信息科技的蓬勃发展。为此,我国应树立“以人为本”的个人信息保护理念,尽快推动出台统一的个人信息保护法律,明确个人信息保护的执法监管机制并成立专门的监管机构,加强对个人信息保护的日常监管,同时,加强司法救济和公众教育,形成个人信息保护的综合治理体系。
(二)副报告各章节内容简介
在国际比较研究报告中,我们系统研究了美国、欧盟、日本、韩国、新加坡和我国台湾、香港等在个人信息保护上的立法和监管实践,分析大数据时代各经济体个人信息保护最新进展情况。
第一章从美国个人信息保护的立法、监管实施和最新趋势的角度介绍美国个人信息保护的情况。总体上,美国采取分散的立法和监管模式,在公法领域以成文法建立了政府机构数据保护标准,在私法领域对涉及金融、医疗、电子通信、儿童隐私、背景调查以及征信等领域,对个人信息的处理进行了立法规范。在个人信息保护监管和执法上,主要是联邦贸易委员会、联邦通信委员会、消费者金融保护局等监管机构,以及司法系统和隐私权诉讼的原告来推动实施。整体上,美国对个人信息隐私的保护,更依赖监管部门的执法以及私人诉讼,以威慑“不公正或欺骗性的”商业行为或者侵犯隐私权的行为。
在第二章中,我们以德国为例研究个人信息保护在欧盟成员国的发展,并梳理欧盟层面个人信息保护的历史发展和最新进展情况。总体上,欧洲将个人信息视为公民人格和人权的一部分,认为人格的自由发展要求个人有权对抗其个人信息无限制地被收集、存储、使用和传送。在实践中,欧洲对包括政府部门、各商业领域的所有个人信息处理,制定了统一的个人信息保护立法,实施统一的个人信息保护标准,并在监管机构和公民救助上,形成了一套独特的个人信息保护体系。2016年欧盟个人信息保护的最新条例,更是在加强对信息主体保护、强化机构的责任等方面又向前迈出了一大步。
第三章是对日本情况的介绍。日本借鉴了欧盟个人信息保护立法经验和法律外壳,以保障公民隐私权在内的人格权和财产权为核心,最终形成了一部规制政府部门、私营企业个人信息处理行为的综合性个人信息保护基本法。与此同时,日本也采用美国实用主义的立法方式,在个人信息保护基本法基础上,更加重视重点行业的特别立法、行业自律和第三方监督等,以追求个人信息权益保护和信息应用之间的平衡。
在第四章的韩国研究中,我们梳理了韩国个人信息保护的历史演变和最新进展情况。总体上,韩国以“保障每个人都有权决定是否将个人信息交付并提供给他人利用的权利”为核心,确保信息主体对其个人信息及产生影响的知情、控制。目前形成了以《个人信息保护法》为核心,以《信息通信促进法》《信用信息使用与保护法》等法律为补充的完整法律体系,搭建了以个人信息保护委员会为指导、韩国内政部牵头的个人信息保护综合执法体系,建立了被称为“亚洲最严厉的个人信息保护制度”。
第五章是对新加坡个人信息保护法律情况的介绍。目前在个人信息保护领域,新加坡逐步发展出了国家机构和商业机构分治,仅对商业机构的个人信息处理建立了统一立法的法律保护体系。在法律实施中,设置了个人信息保护委员会作为个人信息保护法律的执行机构,通过制定具体标准进行立法实施。总体上,新加坡有针对性地选择不同领域适用个人信息保护法律,体现了新加坡个人信息保护规范体系务实、兼顾个人利益保护和数据经济利用的特点。
第六章介绍了我国台湾地区个人信息保护的基本情况。台湾地区的个人信息保护立法经历了从专门规范特定产业的部门立法到全面统一立法的两大阶段,目前统一的“个人信息保护法”同时规范公务机关和非公务机关的个人信息处理行为。台湾地区的各行业监管部门担负个人信息保护监管职责,对违规行为苛以民事责任、刑事责任和行政责任。针对公务机关的违规行为采取无过错原则承担损害赔偿责任,针对非公务机关的违规行为则采取过错推定原则承担损害赔偿责任,是台湾地区损害赔偿的一大特点。
在第七章我国香港地区的情况介绍中,梳理了英国个人信息保护制度的发展历程以及对香港地区个人信息保护制度的影响,总结了香港个人信息保护的法律制度和监管框架,介绍了大数据背景下网络技术对个人信息保护的挑战及香港的应对措施。总体上,香港个人信息保护的“欧洲特征”明显,欧洲个人信息保护的基本原则、对信息主体的权益保护在香港得到有效实践,统一的个人信息保护法律和特设的隐私保护专员公署,负责对政府机关和私营机关个人信息处理行为的规范。近年来,我国香港还在互联网渠道和公共渠道个人信息采集、应用程序、网上追踪、直接促销等领域,对个人信息处理行为制定了针对性监管指引。