从用户权利出发——境内外个人信息保护制度比较
互联网时代下,垃圾短信、推销邮件和诈骗电话几乎成了我们生活的日常。网络给人们生活带来便利的同时,也对许多网民的个人信息权利造成侵害。如何保护网络个人信息安全已成为当下社会高度关注的问题。互联网企业的个人信息保护水平参差不齐。根据北京大学互联网法律中心于2017年8月16日发布的《互联网企业个人信息保护抽样测评报告(2017)》,WhatsApp、Facebook、Amazon等国外产品评分较高,QQ、京东、微信等国内产品表现也较为突出。
为维护网络个人信息安全,2017年6月1日正式生效的《中华人民共和国网络安全法》(“《网络安全法》”)针对网络运营者规定了一系列个人信息保护要求。为确保这些个人信息保护规定的有效实施,中央网信办、工信部、公安部、国家标准委等四部门于2017年7月27日联合开展隐私条款专项工作,首批对京东商城、微信等10款网络产品和服务的隐私条款进行评审。《网络安全法》的实施,除了直接影响内资互联网企业,对于外资互联网企业,以及其他可能被定义为“网络运营者”的企业,如金融机构,也同样具有约束力。个人信息侵害是全球问题,在我国个人信息保护制度不断完善的背景下,本文对中国内地、香港、美国的个人信息保护制度,以及相关网络运营者的隐私政策进行简要比较。
一、 中国内地《网络安全法》
1.《网络安全法》确立的个人信息权利
根据《网络安全法》,“个人信息”指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。可否“识别个人身份”是判断个人信息的主要标准。《网络安全法》主要确立了以下七项个人信息保护规则。
序号 | 规则概要 | 规则内容 | 条款 |
1 | 明示信息收集功能并取得用户同意 | 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。 | 第22条 第3款 |
2 | 重要数据应当在境内存储 | 关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应当按照相关办法进行安全评估。 | 第37条 |
3 | 限制收集、使用个人信息的目的、方式和范围 | 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 | 第41条 |
4 | 不得泄露、篡改、毁损个人信息 | 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。 | 第42条 第1款 |
5 | 个人信息泄露、毁损、丢失时应采取补救措施 | 在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 | 第42条 第2款 |
6 | 用户可要求删除、更正个人信息 | 个人发现网络运营者违法或违约收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。 | 第43条 |
7 | 信息安全投诉、举报路径 | 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。 | 第49条 |
2.中国内地保护个人信息权利的个案分析——京东商城
在四部门评审活动的推动下,相关网络运营者已对自己的隐私政策进行了修改和完善,以下以京东商城为例简要分析。
2017年8月27日,京东商城(官方网站www.jd.com)更新的隐私政策(“京东隐私政策”)生效,从多方面加强了对用户个人信息的保护。对应《网络安全法》的要求,京东隐私政策明确界定了个人信息的内涵,并从收集和使用个人信息,共享、转让及公开披露个人信息,删除和更正个人信息,保护和保存个人信息,未成年人信息保护等方面进行具体规定。
此外,京东隐私政策在《网络安全法》的要求之上,对个人信息保护也进行了一些创新。
(1)弹窗式即时告知功能,给予用户“增强”的知情权。京东商城在隐私功能设计上在收集、使用和共享用户个人信息等多个环节,通过弹窗等形式以“增强式告知”和“即时告知”的方式,向用户展示收集、使用和共享用户个人信息的内容和用途,给予用户较全面的知情权。
(2)允许用户即时取消授权,保障用户的撤回选择权。京东隐私政策规定用户可以在京东商城通过“账户设置—设置—隐私”路径逐项查看相关权限的开启状态,并可以决定将这些权限随时开启或关闭。
(3)增加用户账户注销功能,实现用户个人信息删除权和被遗忘权。京东隐私政策允许用户注销自己的账户,删除自己的个人信息或使之匿名化处理。同时,京东隐私政策设立了“30天后悔期”制度,允许用户在注销申请通过后30天内随时申请恢复已经注销的京东账户。
二、 美国《隐私法》及《保护宽带和其他通信服务用户隐私条令》
虽然美国早在19世纪末就已开始了隐私权保护方面的理论研究和立法,但在个人信息权利保护方面也经历了较长的发展过程,至今美国也没有形成一部统一的个人信息保护法。我们主要通过1974年的《隐私法》和2016年的《保护宽带和其他通信服务用户隐私条令》(“《条令》”),简析美国法律规定的个人信息权利。
1.美国《隐私法》确立的个人信息权利
美国对个人信息保护影响最大的是《隐私法》,该法案对政府部门收集、使用和披露个人信息的方式,以及信息主体的权利都做出了详细的规定。其确立的个人信息权利包括:(1)个人信息决定权,即信息主体个人享有决定其个人信息是否被收集、储存和利用的权利;(2)个人信息知情权,即信息主体享有知道政府部门是否保有其个人信息并取得个人信息副本的权利;(3)个人信息更正修改权,即信息主体享有更正自己错误个人信息的权利。但《隐私法》只规范美国公权力机关,不适用于企业。由于规范对象受限,无形中大大减弱了《隐私法》的功能。尽管如此,《隐私法》就个人信息保护创设的制度,为规范企业运营过程中个人信息权利保护提供了参考。
相较于美国《隐私法》,我国《网络安全法》规定的网络运营者,包括网络的所有者、管理者和网络服务提供者。这一定义范围较广,除了互联网企业、电信运营商,提供线上服务的银行等金融机构也属于网络运营者,有利于保护个人信息。
2.《条令》的透明、选择、安全规则
美国联邦通信委员会于2016年12月2日发布《条令》,这是要求互联网服务提供者加强互联网个人信息保护的一部重要法案。《条令》将1934 年《通信法案》提出的用户隐私保护要求应用于宽带互联网接入服务,并提出了透明、选择、安全三大规则。
(1)透明规则
就透明规则,《条令》要求运营商在用户下单前提供清晰的隐私政策,告知用户其所收集的信息,并且明确告知分享所收集的信息时用户拥有选择的权利。《条令》还要求运营商在用户交易的时点显示其隐私政策,并且使隐私政策持续、可用地、容易获得地展示在其网站、应用程序及类似平台上。此外,《条令》还要求运营商预先告知用户其隐私政策的变化。
(2)选择规则
就选择规则,《条令》要求运营商给予用户使用或公开其信息的选择权,并且允许用户轻松地变更其选择。具体的选择权包括:(1)选择同意权利(Opt-in Approval),《条令》要求运营商使用、分享用户敏感信息,以及隐私政策重大更改时,必须获得用户的同意;(2)选择退出权利(Opt-out Approval),《条令》要求运营商给予用户选择不允许运营商使用和分享非敏感用户信息的权利,但如果用户未明确表示拒绝,运营商可以使用非敏感的用户信息。
(3)安全规则
就安全规则,《条令》要求电信运营商采取适当的安全措施保护他们收集的用户个人信息,并鼓励运营商采取数据最小化策略,即只收集必要的个人信息。《条令》并未规定运营商为满足合理的数据安全要求必须采取的具体措施,仅建议运营商参考《条令》建议的数据安全性问题类型制定自身政策。
尽管《条令》于2017年3月28日投票表决时以微弱劣势被美国国会废除(废除的原因较为复杂,主要在于《条令》较为严格而招致反对),但《条令》仍然具有一定的参考价值,一些州已经尝试以《条令》为蓝本出台州内的隐私保护条例。
3.美国保护个人信息权利的个案分析——亚马逊
除法律约束外,美国的行业或企业自律准则对个人信息保护也发挥了重要作用。下文将参照《隐私法》及《条令》要求,简要分析亚马逊公司(“亚马逊美国”)(官方网站www.amazon.com)的隐私声明(“亚马逊隐私声明”)。
亚马逊隐私声明包括“我们采集客户的哪些个人信息”、“我们是否会与他人共享所收到的信息”、“关于我的信息安全”、“我有哪些选择”等内容。参照《隐私法》的要求,亚马逊隐私声明体现了个人的信息决定权、信息知情权、信息更正删除权。参照《条令》的要求,亚马逊隐私声明在“透明”和“选择”方面与《条令》要求存在一些差距,尤其是在选择同意方面,对运营商使用其个人敏感信息并无决定权。由于《条令》已被废除,美国相关监管规则出现空白,随着互联网个人信息保护的重要性越来越凸显,美国也可能继续出台个人信息保护新规。
亚马逊美国与亚马逊卓越有限公司(“亚马逊中国”)的隐私声明基本一致。亚马逊中国属于其官方网站(www.amazon.cn)的运营者,其建设、运营、维护和使用该官方网站的行为应受中国法管辖。亚马逊中国目前对外公布的隐私声明为2013年11月25日的版本,暂未根据《网络安全法》推出新版,但亚马逊隐私声明未见违反《网络安全法》之处。
三、 香港地区《个人资料(私隐)条例》
1.香港地区《个人资料(私隐)条例》确立的个人信息权利
香港主要通过《个人资料(私隐)条例》(“《条例》”)保护个人信息。《条例》适用于任何收集、持有、处理或使用个人资料的主体,包括私营机构、公营机构及政府部门。《条例》规范个人资料的收集和使用方式,并防止任何人因滥用个人资料而侵犯个人信息权利。根据《条例》,“个人资料”指任何直接或间接与一名在世的个人有关的,可以直接或间接地确定有关个人身份,存在形式可以查阅及处理的资料。《条例》主要规定了以下六项保障个人资料的原则。
序号 | 原则概要 | 原则内容 |
1 | 收集个人资料的目的及方式 | 个人资料必需为合法目的而收集,收集目的也须直接与使用该资料的资料使用者的职能或活动有关。所收集到的资料足够便可,而不应超过有关目的之实际需要。 |
2 | 个人资料的准确性及保留期间 | 资料使用者必须确保所持有的个人资料是准确及最新的。如资料使用者怀疑所持有的个人资料并不准确,就应该立即停止使用有关资料。资料的保存时间,不能超过使用该资料而达到原定目的之实际所需。 |
3 | 个人资料的使用 | 除非得到资料当事人明确及自愿的同意,否则资料使用者不可以改变个人资料的用途,而只可将资料用于当初收集资料时所述明的用途。 |
4 | 个人资料的保安 | 资料使用者必须采取适当的保安措施去保护个人资料。他们必须确保个人资料得到足够保障,以避免有人在未获淮许或意外的情况下,去查阅、处理、删除或者使用该资料。 |
5 | 资讯须在一般情况下可提供 | 资料使用者须公开所持有的个人资料之类别,并公开其处理个人资料的政策。最佳做法是制订一份“私隐政策声明”,内容可以包括有关资料的准确性、保留期、保安、使用、如何处理由资料当事人提出的查阅资料及改正资料要求。 |
6 | 查阅个人资料 | 资料当事人有权向资料使用者查证是否持有其个人资料,以及有权要求获得有关资料的副本。如发现副本内的个人资料不准确,则有权要求改正有关资料。 |
2.香港保护个人信息权利的个案分析——汇丰银行
虽然香港暂时未就互联网的信息保护专门立法(主要是因为香港的互联网商业不甚发达),但香港传统行业线上和线下业务并行的模式并不罕见,特别是金融行业。如香港上海汇丰银行有限公司(“汇丰香港”)(官方网站www.hsbc.com.hk)配合线下及线上(网上银行与手机银行)的业务模式,根据《条例》前述六项保障个人资料的原则制定隐私政策,向用户阐明收集个人资料的原因、用途和查询个人资料记录的途径等信息。
此外,汇丰银行作为跨国金融机构,集团不同公司需要满足所在地的法律要求。《网络安全法》第2条规定,在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。汇丰银行(中国)有限公司(“汇丰中国”)属于其官方网站(www.hsbc.com.cn)的运营者,其建设、运营、维护和使用该官方网站的行为应受中国法管辖。
由于管辖法律不同,汇丰中国与汇丰香港的隐私政策也存在差异。《条例》要求资料使用者遵循六项保障个人资料的原则,《网络安全法》除了要求网络运营者遵循合法、正当、必要的原则,对隐私条款的要求更为明确。对应《网络安全法》的要求,汇丰中国的隐私政策具体列举了个人信息的范围,较为详细地规定了五方面内容:个人信息及隐私保护政策概述、信息安全、个人信息的收集、个人信息的使用及个人信息权利。
互联网个人信息保护已得到多国的普遍重视,英国也于今年8月发布了《数据保护法案》草案。《网络安全法》的出台是我国个人信息保护迈出的重要一步,然而构建全面的个人信息保护法律体系仍然任重而道远。目前我国立法对个人信息权利保护的基本原则与域外主流法系基本一致,我们认为以下两方面还有完善的空间:一是可以借鉴香港的查阅权利,在个人信息权利中加入查阅个人资料的权利;二是可以借鉴美国的选择退出权利,赋予个人灵活访问、更正、删除其个人信息的权利,例如可提出删除请求的信息不应仅限于“违反法律、行政法规的规定或者双方的约定收集的”(中国境内许多互联网企业已经给予用户这些选择权利,但出台的法规层面尚未明确)。由于互联网技术性较强,保护公民个人信息后续还需要有关部门配合《网络安全法》出台更具体的规定,使得网络运营者对公民个人信息的收集和使用更加合理。
本文仅为我们对相关法律、法规及政策的一般解读,不能作为正式的法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
张悦
合伙人
观韬中茂北京办公室
电话:+8610 6657 8066
传真:+8610 6657 8016
电子邮箱:vzhang@guantao.com
刘为文
律师
观韬中茂北京办公室
电话:+8610 6657 8066
传真:+8610 6657 8016
电子邮箱:liuww@guantao.com
