下载文档原格式
网络时代个人隐私保护的国际比较与借鉴在网络时代的今天,个人隐私保护变得越来越重要。
随着科技的发展和信息技术的普及,人们在网络上的活动也越来越多,而个人隐私也因此更加容易受到侵犯。
本文将从国际角度出发,探讨不同国家在个人隐私保护方面的做法,并借鉴其中的经验教训,提出适合我国的隐私保护措施。
一、欧洲个人隐私保护的典范:《通用数据保护条例》欧洲一直以来都在个人隐私保护方面走在世界的前沿。
其中,欧洲联盟于2018年5月正式实施的《通用数据保护条例》(GDPR)被广泛认为是世界上最为严格的个人隐私法规之一。
该法规在个人信息的收集、使用和共享方面都有详细的规定,要求企业和组织必须获得个人明确的同意,才能处理和使用其个人信息。
同时,对于隐私侵权行为,GDPR还规定了严厉的罚款措施,迫使企业和组织对个人隐私问题高度重视。
二、美国个人隐私保护的多元化:立法与自律并重与欧洲不同,美国的个人隐私保护体系相对较为分散,缺乏统一的全国性法规。
在美国,个人隐私保护主要通过法律和自律两种方式实现。
在法律方面,美国联邦政府通过《信息隐私法》等法律对个人信息的收集和使用做出规范;而在自律方面,行业协会和企业通过制定自己的隐私政策和准则来保护个人隐私。
三、日本个人隐私保护的协调机制:信息保护委员会日本在个人隐私保护方面建立了一个独特的协调机制,即信息保护委员会。
该委员会负责监督和管理个人信息的保护,向公众宣传个人隐私保护知识,并解决个人信息泄露和侵权等问题。
此外,日本还制定了《个人信息保护法》,明确规定了个人信息的处理和使用原则,对违规行为进行处罚。
四、我国个人隐私保护的现状与挑战我国在个人隐私保护方面也已经有了一些基本法律和规定,例如《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等。
但是,与发达国家相比,我国在个人隐私保护方面还存在一些挑战。
首先,监管体系尚不完善,个人信息泄露和侵权行为多发。
其次,公众对个人隐私保护的意识还相对较低,缺乏主动自我保护的意识。
《大数据时代个人信息的法律保护研究》篇一一、引言随着大数据时代的到来,个人信息在互联网上的传播与使用日益频繁,个人信息安全问题逐渐成为社会关注的焦点。
大数据技术为各行各业带来了巨大的便利和价值,但同时也带来了个人信息泄露、滥用等风险。
因此,如何在大数据时代保护个人信息,确保其安全、合法地被使用,已成为法律领域亟待研究的重要课题。
二、大数据时代个人信息的特征与挑战1. 个人信息特征:大数据时代的个人信息具有海量性、多样性、可分析性等特点,这些特点使得个人信息在互联网上更容易被收集、分析和利用。
2. 挑战:随着大数据技术的发展,个人信息的收集、处理和利用变得更为便捷,但同时也带来了信息泄露、滥用等风险。
此外,不同国家和地区对于个人信息的法律保护标准和执行力度存在差异,也给个人信息保护带来了挑战。
三、大数据时代个人信息法律保护的必要性1. 维护公民隐私权:个人信息是公民隐私权的重要组成部分,保护个人信息是维护公民隐私权的重要手段。
2. 促进社会和谐:个人信息滥用可能导致社会信任危机,加强个人信息法律保护有助于维护社会和谐稳定。
3. 推动经济发展:在保护个人信息的同时,可以鼓励数据的有效利用和合理流通,为经济发展提供动力。
四、国内外个人信息法律保护现状及比较1. 国内现状:我国在个人信息保护方面已经出台了一系列法律法规,如《网络安全法》、《个人信息保护法》等,为个人信息保护提供了法律基础。
2. 国外现状:一些发达国家在个人信息保护方面有较为完善的法律体系和实践经验,如欧盟的《通用数据保护条例》(GDPR)。
3. 比较:虽然国内外在个人信息保护方面都有一定的法律基础和实践经验,但由于法律体系、文化背景等方面的差异,各国在具体实施上存在一定差异。
五、大数据时代个人信息法律保护的策略与建议1. 完善法律法规:加强个人信息保护法律法规的制定和修订,确保其适应大数据时代的特点和需求。
2. 强化监管力度:加大对个人信息处理活动的监管力度,确保个人信息的合法、安全使用。
在另一个国家和中国,个人隐私和信息保护的意识和法律保障如何比较?在现代社会中,随着科技的发展,个人的隐私和信息越来越容易被泄露,遭受到恶意的利用,给人们带来了不小的困扰和危害。
于是个人隐私和信息保护逐渐成为了一个全球性的话题,各国的法律法规和民众的意识水平也不尽相同。
本文将重点探讨在另一个国家和中国,个人隐私和信息保护的意识和法律保障的异同点。
一、个人隐私和信息保护意识1. 在德国,个人隐私和信息保护的意识非常强烈。
德国法律规定,个人信息只能在法律允许的范围内披露和使用,否则将面临重罚。
德国民众对于隐私保护非常重视,主张“个人数据主权”,并且在日常生活中会避免泄露个人信息。
在德国网络上,更是有很多的网络保护软件,保障了用户的隐私和信息安全。
2. 在中国,个人隐私和信息保护的意识相对比较薄弱。
虽然我国也有一些法律规范,但实际操作中普遍存在监管力度不够、错失信息审查洩露的情况。
此外,我国的互联网行业快速发展,用户规模也不断扩大,许多人并没有对于个人隐私保护的意识。
而与其他欧美国家不同的是,在中国,平台大力推广的个人信息输入存在一定的便捷性,特别是对于“一键登录”的大力推广,极大程度的降低了平台上用户隐私的安全性。
二、个人隐私和信息保护法律保障1. 在欧洲,特别是在德国和英国,个人隐私和信息保护的法律非常严格。
欧盟颁布了《一般数据保护条例》,保障了个人信息的隐私与安全。
德国更是颁布了“数据保护法”,规范个人数据的收集和使用,对于隐私侵犯行为的处罚力度非常严厉。
2. 在中国,个人隐私和信息保护的法律保障也在逐步完善。
我国《个人信息保护法》和《网络安全法》等法律不断完善,在规范网络信息安全和保护个人隐私等方面不断发挥作用。
但在实践中,还是存在一些法律空白和监管不足的情况,一些恶意机构和个人对于信息的滥用也时有发生。
三、个人隐私和信息保护的防护手段1. 个人隐私和信息保护的防护手段,在德国和欧洲地区非常重视。
国内外隐私权的发展与保护随着时代的进步,许多高科技正在影响着我们的生活,有利有弊,比如隐私的外漏,就是比较突出的一个问题,那么各国就需要法律对于隐私权给予保护。
标签:隐私权法律保护一、英美法系关于隐私权的发展与保护隐私权作为一项重要的人格权,最初起源于美国。
“隐私权”是由路易斯·布兰代斯和萨莫尔·沃伦二人于1890年在《哈佛法学评论》发表论文《隐私权》首次提出来的。
该篇论文对美国隐私权立法的发展产生了极其重要的影响。
美国的普洛塞教授1960年在其论文《隐私权》中归纳的四种不同侵权行为纳入了美国侵权行为法整编:1、侵扰原告的独居、独自性或私人事务。
2、公开揭露使原告难堪的私人事务。
3、公开某事故,致原告遭公众误解。
4、被告为自己利益未经原告同意,而使用原告的姓名或特征。
据此,受害者可以请求赔偿。
这时的隐私权尚属于普通法上的一项权利,目的是保护个人隐私权不受来自他人力量的干扰和侵害。
然而为了防止个人隐私权受到来自国家的权力的侵害,美国法院又通过判例的形式肯定了隐私权应受宪法保护,隐私权由此提升到宪法基本权利的层次。
隐私权在美国经过一百多年的发展,不仅仅作为一项重要的民事权利予以保护,而且作为宪法上的一项基本权利予以保障。
二、大陆法系关于隐私权的发展与保护传统的大陆法系中,并不存在隐私权的相关规定。
伴随着社会的发展,隐私权的保护才变得更加完善。
1.法国对隐私权的保护与发展历程法国法院最初是通过引用《法国民法典》中侵权责任的一般条款来对隐私权予以保护。
1970年,巴黎上诉法院在其所作的一份判决中写道:“个人姓名、声音、肖像、名誉、荣誉及隐私权利必须受到特别保护,以免受到侵犯”,同年,法国颁布了法令,在《法国民法典》第9条中规定:“任何人均享有私生活受到尊重的权利。
在不影响对所受损害给予赔偿的情况下,法官可规定采取对有争议的财产实行保管、扣押或其他适用于组织或制止妨害私生活的任何措施;如情况紧急,可依紧急审理命令之。
个人信息保护法的国际比较研究在当今数字化时代,个人信息的保护成为了全球范围内备受关注的重要议题。
不同国家和地区基于各自的法律体系、文化背景和社会需求,纷纷制定了个人信息保护法。
对这些法律进行比较研究,有助于我们汲取经验,完善自身的法律制度,更好地保护个人信息权益。
首先来看欧盟的《通用数据保护条例》(GDPR)。
GDPR 被认为是全球最严格的数据保护法规之一,其适用范围广泛,不仅适用于欧盟境内的企业,也适用于处理欧盟公民个人数据的境外企业。
GDPR确立了一系列重要原则,如合法性、公正性和透明性原则,目的限制原则,数据最小化原则,准确性原则,存储限制原则,完整性和保密性原则等。
在权利保障方面,赋予了数据主体多项权利,包括知情权、访问权、更正权、删除权(被遗忘权)、限制处理权、数据可携带权等。
同时,GDPR 规定了高额的罚款制度,对违反规定的企业可处以最高 2000 万欧元或企业上一年度全球营业额 4%的罚款,以严厉的惩罚措施来确保法规的有效执行。
美国的个人信息保护法则呈现出分散立法的特点。
在联邦层面,没有统一的综合性个人信息保护法,但在不同领域有一系列相关的法律法规,如《健康保险携带和责任法案》(HIPAA)主要规范医疗健康领域的个人信息保护,《公平信用报告法》(FCRA)侧重于信用信息的保护等。
此外,各州也根据自身情况制定了一些个人信息保护法规。
与欧盟不同,美国更倾向于依靠行业自律和市场机制来保护个人信息,强调企业的自我约束和自愿性承诺。
但近年来,随着数据泄露事件的频繁发生,美国也在不断加强立法和监管力度。
日本的个人信息保护法在借鉴欧美经验的基础上,形成了具有自身特色的制度。
其明确了个人信息的定义和范围,规定了个人信息处理者的义务,包括安全管理措施、通知和披露义务等。
同时,设立了个人信息保护委员会作为专门的监管机构,负责监督法律的实施和处理投诉。
日本的法律还注重与国际标准的接轨,以适应全球化的数据流动需求。
中美个人信息保护立法比较研究在当今数字化信息时代背景下,个人信息已经成为经济和社会发展的重要资源,但在信息的收集、利用和保护方面,中美两国存在着一定的差异。
本文将从立法角度探讨中美两国个人信息保护的异同,并以三个案例为例进行分析。
一、立法体系比较在立法上,中美两国对于个人信息保护的法律框架以及管理机构存在一定差异。
中国实行了《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法规及部门规章;美国则实行了《个人隐私保护法》、《通讯隐私法》等。
从管理机构上看,中国设立了国家互联网信息办公室、公安机关、市场监管等多个管理机构,以实现对于信息收集、利用、共享等环节的管理和监管;美国则通过联邦贸易委员会和国家安全局等机构来管理互联网公司收集的用户数据。
二、案例分析1. Uber泄露客户数据事件2016年,Uber被曝出多次涉嫌泄露用户个人信息。
根据美国《通讯隐私法》规定,泄露某个人的电信信息,将被判处一年以上的有期徒刑。
而Uber公司因泄露用户的姓名、电话号码等信息而一度面临多方诉讼和处罚。
相比之下,这类事件在中国则被认为是数据安全管理等环节不规范所导致,听证也更多的集中在追责公司和具体人员上。
2. Tik Tok信息收集问题美国政府在其本国先前签署的一项数据保护法案的基础上,于2020年展开了一轮全美范围内的技术安全和隐私滥用审查,而中国ByteDance公司旗下的Tik Tok正是其中之一。
审查关注的主要问题是Tik Tok是否在未经过用户同意就收集了高达数千万美国少年儿童的个人信息。
而中国国内相关立法对于用户信息收集也存在着尚待完善的问题。
3. Facebook“数据大泄漏”事件2018年底,Facebook公司因为用户数据保护不力而引发的“数据大泄漏”事件震动了整个全球。
数百万用户的个人信息被外部机构非法获取和利用,引起了民众对于个人信息保护问题的高度关注。
而此次事件也进一步揭示了美国防范数据滥用及侵犯隐私方面存在的法律漏洞,同时呼吁美国联邦政府进一步完善相关法律措施。
个人信息保护国际规制比较研究郭骁然1 方元欣2 曲东昕3(1.中国信息通信研究院安全研究所,北京100191;2.中国科学院大学公共政策与管理学院,北京100040;3.中国政法大学,北京100088)摘要:随着新一代信息技术的迅速发展和逐渐渗透到各行各业,个人信息保护开始与大数据发生紧密关联,并被赋予了新的时代意义㊂个人信息保护成为数字贸易规则议题中的重要一支,主要聚焦于基础性概念的再定义㊁数据的使用与共享问题以及背后更深入的权利原则㊂回顾了国内外个人信息保护议题的概念困境和理论研究,分析了当前欧盟㊁美国㊁日本对待个人信息保护议题的立场分歧和政策举措,并对我国关于个人信息保护的法律制定㊁执法规范和对外主张进行解读,为我国今后完善个人信息保护法律法规和政策举措以及应对数字贸易规则谈判提供依据和建议㊂关键词:数字贸易;数字经济;个人信息保护中图分类号:F49;D922 文献标识码:A引用格式:郭骁然,方元欣,曲东昕.个人信息保护国际规制比较研究[J].信息通信技术与政策, 2021,47(10):49⁃55.doi:10.12267/j.issn.2096⁃5931.2021.10.0100 引言随着数字技术与人民群众生活持续深度融合,数字技术得到普遍应用,个人信息的收集㊁使用更为广泛,加速暴露了其潜在的安全隐患㊂在隐私保护方面,因个人信息不当收集㊁滥用㊁泄露,导致公民权益受到侵害的事件时有发生,对社会生活秩序产生极大负面影响㊂在数据安全方面,网络安全防御措施的缺乏以及互联网高聚集㊁高流量的特征,带来很多潜在的数据安全威胁㊂未来,加强个人信息保护将成为各国保护公民隐私和生命财产安全㊁规范网络健康有序发展的必然要求㊂本文通过对国内外个人信息保护议题的概念困境和理论研究进行回顾,分析了当前欧盟㊁美国㊁日本对待个人信息保护议题的立场分歧和政策举措,最后对我国关于个人信息保护的法律制定㊁执法规范和对外主张进行了解读㊂1 个人信息保护议题的主要内容1.1 个人信息保护的研究回顾我国对个人信息问题的研究起始于2000年前后,以对国外个人信息保护立法与实践的研究介绍和对个人信息的基本概念与立法思路的思考为主,这与我国互联网初步发展的国内经济与法律环境相适应㊂其中,针对采取 人格权客体说”的德国和采取 隐私权客体说”的美国的个人信息保护制度的比较研究成为热点[1⁃2]㊂国内学者将个人信息界定义为 一切可以识别本人的信息的总和”,并提出了作为新型人格权的 个人信息权”[3]㊂这一定义代表了这一时期学界关于个人信息的主流观点㊂在研究层次方面,从基础理论研究到法律法规比较研究,再到具体的法律实践与案例研究涌现出大量的研究成果,形成了比较完整的体系㊂王利明[4]在进一步分析隐私权与个人信息的立法理念和概念边界. All Rights Reserved.后,认为个人信息权是一种具体人格权,应当作为一种独立的私权来加以保护㊂齐爱民[5]在人格权理论的基础上,将个人信息保护法视为独立的部门法和公私混合的领域法㊂个人信息保护中所出现的 被遗忘权”等实践过程中的新问题及电子商务应用等领域[6⁃7]受到广泛研究,为即将进入的大数据时代提供了国内初步的案例研究㊂在研究领域方面,除民法学者所坚持的民法保护机制之外,经济法㊁刑法㊁行政法等领域的学者均就个人信息保护问题提出了看法㊂刘德良[8]从经济法的角度认为个人信息由于其所具有的商业价值,应当在个人信息权之上确定一种人格权之外的个人信息财产权的保护;赵秉志[9]则从刑法角度探究了个人信息保护相关的刑法历史和大数据时代的立法思路;基于宪法和行政法的视角,孙平[10]从个人信息保护法的立法渊源出发对政府和个人信息保护之间的平衡关系提出了建议㊂随着 大数据”概念的形成和相关平台产业的爆发式增长,在继承此前理论研究的基础上,个人信息保护的研究开始与大数据发生紧密的关联,为个人信息保护研究带来了新的变化,主要包括数据的使用与共享问题,以及更深入的权利原则乃至基础性概念的再定义㊂王利明[11]在民法典的基础上,重新确认了在大数据时代权利人(信息被收集者)与义务人(信息收集者)之间的授权与被授权关系及义务人所应受的更加严格的保护㊂与此相反,高富平[12]从 信息”的使用历史出发,意图重构个人信息的私人属性,通过强调其公共性,来解决前信息时代个人主义式的个人信息保护原则与大数据时代数据广泛流动与使用之间的冲突,建立起具有中国特色的个人信息保护制度㊂丁晓东[13]提出基于 合理与正当的信息实践”的灵活性与保护兼具的立法思路㊂总之,国内的个人信息保护研究随着相关产业在中国的发展,形成了针对基础理论㊁管理各主体间关系的具体的制度㊁具体的经济与社会案例研究等多层次㊁多领域的研究体系,更为重要的是在研究中形成了具有中国特色㊁与中国发展现状相适应的立法理念与研究路径㊂国际上,1980年,经济合作与发展组织(Organization for Economic Co⁃operation and Development,OECD)首次发布‘隐私保护和个人数据跨境流动指南“,尽管该指南本身未有法律强制性要求,但仍成为各国探索国内个人信息保护立法的重要依据㊂该指南规定了隐私保护和个人数据在各国间自由流动的8个基本原则:限制收集原则㊁资料完整正确原则㊁特定目的原则㊁限制利用原则㊁安全保护原则㊁公开原则㊁个人参与原则和责任原则㊂1990年,联合国聚焦于信息通信领域发布了‘关于计算机处理的个人数据文件指南“,旨在呼吁联合国成员国尽快在本国制定个人信息保护立法,同时鼓励政府间和非政府间国际组织以负责任的㊁公平的和友好的方式处理个人信息㊂该指南确立了个人信息保护的十大原则:合法㊁合理原则;准确性原则;特定目的原则;本人参与原则;不得歧视原则;例外规定;安全原则;监督与处罚原则;个人数据只在对其提供相似保护的国家间传输原则;政府和私人的电脑和手工处理文件均适用指南原则㊂2004年,亚太经济合作组织(Asia⁃Pacific Economic Cooperation,APEC)发布了‘亚太经合组织隐私保护框架“,该框架是基于OECD 框架的改良和延伸,侧重于寻找信息隐私保护和信息自由流动的平衡点㊂APEC框架包括9个隐私保护原则:预防损害原则;通知原则;收集限制原则;个人信息的合理使用原则;个人信息主体的选择权原则;个人信息的完整性原则;安全防护原则;个人信息主体的获取权和要求改正权原则;责任原则㊂1.2 个人信息概念的界定大数据的快速发展造成了 个人信息”的界定困境㊂个人信息是个人信息保护法中的核心概念㊂法律适用的最基本前提是所涉及的信息是否为个人信息,否则不构成对个人权利的侵害,也无适用法律规范的必要㊂传统的个人信息保护法对个人信息的界定,一般以 识别”为核心标准,个人信息是指与个人相关的,能够直接或间接识别特定自然人的信息㊂ 可识别性”是个人信息最为重要的特征,包括直接的可识别以及间接的可识别㊂尽管这是一个开放式的法律界定,但从个人信息保护法诞生的20世纪70年代看,具有 身份识别性”的信息是较为有限的,比如个人的姓名㊁家庭住址㊁电话号码等㊂当前,各国对个人信息的定义有略微差别㊂欧盟的‘关于涉及个人数据处理的个人保护以及此类数据自由流动的指令“(95/46/EC)以及‘欧盟数据保护条例“将 个人信息”定义为与一个身份已识别或可识别的自然人(数据主体)相关的任何信息㊂但为了避免. All Rights Reserved.概念不恰当延伸,欧盟也对 个人信息”的界定作出解释,包括数据识别的可能性和合理性㊂一个需要付出不成比例的费用,或者需要克服诸多困难才能识别的信息不属于其界定的个人信息范畴㊂美国的‘加州消费者隐私法案“作为美国第一个应对在线隐私危机的法律,将 个人信息”定义为能够识别㊁涉及㊁描述,能够与特定消费者或者家庭直接或间接地合理关联的信息㊂我国‘网络安全法“第七十六条第五款作出定义,个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名㊁出生日期㊁身份证件号码㊁个人生物识别信息㊁住址㊁电话号码等㊂‘个人信息保护法(草案)“扩大了个人信息概念的外延,将 与自然人有关的各种信息”都囊括进个人信息的范畴,扩充了个人信息权益的范围㊂随着大数据技术的不断发展,个人信息与非个人信息的界限越来越模糊,且相互转化越来越容易,这种扩展回应了因技术进步而带来的个人信息权益保护的需要,有利于为个人信息权益提供更加充分的保护基础,同时也为未来可能出现的各种信息保持了开放性和包容性㊂随着个人信息范围的扩大,信息类型日益多样化,应用场景也日益丰富和细化,不同信息的正当价值和安全风险不同,分级分类成为个人信息保护的基本思路㊂2 国际立场分歧与焦点自20世纪70年代起,个人信息保护立法逐渐发展成全球行动,目前已有140多个国家和地区制定了相关法律㊂欧盟㊁美国㊁日本在数据安全与个人信息保护规制上各有特色与代表性㊂其中,欧盟通过发布指令与成员国立法相结合的模式推进,而美国则通过补充已有法律和行业自律的形式推进㊂2.1 欧盟自2018年起,数据保护与个人隐私始终是欧盟数字经济发展战略的主线㊂2020年2月,欧盟发布了由政策文件组成的 数字新政”,分别是‘塑造欧洲数字未来“‘欧洲数据战略“‘卓越与信任的人工智能“‘数据治理法案“,再次体现了新一届欧盟委员会对这两大主线的高度关注㊂2018年5月,欧盟发布的‘通用数据保护条例“正式生效,取代了欧盟各成员国相关法律,成为欧盟内部统一的数据保护条例,对个人信息的保护达到了新的高度,被称为 史上最严格的数据保护法”,必将对全球数字经济产生深远影响㊂在个人隐私权利上,进行了一系列的创新,增设了两项新的个人隐私权,即 删除权”和 移植权”:一方面, 删除权”即 个人数据的被遗忘权”,要求企业在系统或组织内通过技术手段实现对个人信息的 遗忘”,如对数据进行匿名化㊁去标识化,保护个人信息不受暴露;另一方面,移植权即 数据的可携带性”,要求企业必须将平台上个人信息相关的所有数据打包,按照可读的方式提供给用户,以此方式告知用户企业在平台上搜集和存储的个人信息㊂此外,欧盟公民有权要求将其数据从一个数据服务供应商转移到其他供应商的存储空间㊂从隐私保护手段上,规定了用户知情意书的使用条件,对互联网企业利用算法和数据 个性化推荐”加以限制㊂不仅要求企业在处理个人数据时必须经用户授权同意,且要求同意书具有可理解性,避免使用冗长㊁复杂的专业术语㊂针对互联网企业利用算法来进行自动决策的情况,‘欧盟数据保护条例“赋予了欧洲公民拒绝企业利用搜集到的个人信息来进行自动判断和决策的权利㊂这种拒绝权利可能会导致企业不能利用个性化的个人信息和行为来进行客户画像和自动推荐等,避免 大数据杀熟”㊂自2020年起,欧盟对个人隐私保护和数据治理的态度有了微妙的转变㊂2020年2月,欧盟委员会发布‘欧洲数据战略“,概述了欧盟未来5年实现数据经济所需的政策措施和投资策略㊂战略提出将在尊重欧洲 以人为本”的核心价值观基础上,通过建立跨部门治理框架㊁加强数据基础设施投资㊁提升个体数据权利和技能㊁打造公共欧洲数据空间等措施,将欧洲打造成全球最具吸引力㊁最安全和最具活力的数据敏捷经济体(Data⁃agile Economy)㊂战略明确为了促进数据的共享和使用,将在战略部门和公共利益领域建立9个共同欧洲数据空间,包括共同的欧洲工业数据空间㊁共同的欧洲绿色协议数据空间㊁共同的欧洲移动数据空间㊁共同的欧洲卫生数据空间㊁共同的欧洲金融数据空间㊁共同的欧洲能源数据空间㊁共同的欧洲农业数据空间㊁共同的欧洲公共行政数据空间㊁共同的欧洲技能数据空间㊂此战略意味着欧盟的焦点将从建立严苛的个人. All Rights Reserved.隐私和数据安全监管制度转变为促进数据共享的发展策略㊂2020年11月,欧盟委员会提出‘数据治理法案“,通过对公共机构的数据㊁数据中介机构㊁数据利他主义三个要素的规制形成了整个立法框架的体系㊂一是支持促进开发公共机构共享其持有的由于敏感暂时尚未得到共享使用的数据,如出于保护个人权利㊁企业商业秘密和知识产权的需要而还没有进行共享的数据㊂但这些数据能够在欧盟产生巨大的价值,如通过健康数据的重用可以推进研究和发现罕见或慢性疾病的治疗方法㊂法案为这些公共机构数据的重复使用建立了相关的机制,提供了一系列允许重复使用这类数据的统一的基本条件㊂例如,公共机构数据的重用必须遵守非排他性的要求㊂二是创立数据中介机构,允许数据共享服务提供者以非营利的性质促进个人㊁企业间的数据交换㊂法案以数据中介机构为中立第三方平台明确了促进数据共享的一系列原则,如要求数据中介应当在成员国主管公共当局处登记,同时对敏感和机密的数据要提供足够的保护措施㊂三是促进数据利他主义的发展,即为个人或企业自愿提供数据创建有利条件和安全环境,以官方的名义将从事数据利他活动的组织注册为 欧盟认可的数据利他主义组织”,以提高整个社会对该组织的信任度,为其开展相关活动提供便利㊂法案建立了以数据保护为前提,最大程度实现数据共享流通的法律框架体系㊂欧盟一直将个人数据保护权利作为基本人权对待,在个人数据保护方面,欧盟的‘通用数据保护条例“是不可逾越的底线㊂法案虽然规定了公共机构掌握的有关涉及个人信息㊁企业商业秘密和知识产权等数据的重用,但同时也明确规定在公共机构数据重用中涉及到个人数据保护㊁知识产权㊁商业秘密或其他商业敏感信息问题时,必须首先要遵守相关的法律法规,同时规定公共部门应当通过匿名化等技术处理手段,或要求重用数据者签署具有法律约束力的机密协议达到法律要求㊂从另一个角度讲,法案在一定程度上是对GDPR限制过严的一种修正,对于公共机构掌握的数据,除在‘开放数据指令“框架下向社会公开外,还可以通过更加强化的数据保护措施来实现涉及个人信息㊁企业机密等敏感数据的重用㊂2.2 美国尽管美国对隐私保护的重视在一些法案中有所体现,如1974年的‘隐私法“㊁1986年的‘电子通信隐私法“㊁1998年的‘儿童网上隐私保护法“等,但这些法案相对于数字经济的发展速度而言十分滞后㊂为应对此危机,对美国政府建立更完善的隐私保护和数据安全法律体系的呼声不断㊂2020年1月1日,‘加利福尼亚州消费者隐私法“(California Consumer Privacy Act, CCPA)正式生效㊂法案赋予了消费者对其个人信息更多的控制权,并且对企业收集㊁处理数据的方式作出了明确要求㊂法案规定,针对凡是用户数量超过5万名的企业,消费者有权要求该企业披露其收集的数据类别和内容,以及使用这些数据的目的㊂此外,法案还增加了访问权㊁删除权㊁知情权等一系列消费者隐私权利㊂在CCPA的影响下,美国联邦与地方政府开始着手搭建隐私保护与数据安全法律框架㊂联邦层面上,美国政府正在寻求制定一项全面的数据隐私保护政策,由商务部与白宫磋商㊂2019年1月,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布了‘NIST隐私框架1.0版:一个通过企业风险管理来改善隐私的工具“,作为识别㊁评估㊁管理和沟通隐私风险的工具㊂此外,美国国家电信与信息管理局(National Telecommunications and Information Administration, NTIA)也在牵头制定一套隐私原则,并与国际贸易署(International Trade Administration,ITA)配合,以确保符合美国的国际政策目标㊂2019年7月,美国联邦贸易委员会(Federal Trade Commission,FTC)以侵犯消费者隐私为由对Facebook处以50亿美元的罚款,并提出一系列合规要求,包括企业内部建立独立的隐私保护委员会㊁设立第三方评估员进行外部监督㊁剥夺首席执行官对隐私问题上的决策控制权等,这可能成为未来美国政府处理隐私保护和数据安全事件的参考案例㊂此外,参议院动作频发,相继提出了‘数据隐私法案“‘2019年商业人脸识别隐私法案“‘2019年遗传信息隐私法案“‘2019算法问责法案“等㊂地方层面上,2019年,华盛顿㊁纽约㊁新泽西㊁伊利诺伊等州也相继提出了法案㊂华盛顿州提出了‘华盛顿隐私法案“,该法案对适用人群㊁涉及实体进行了界定,赋予了消费者对个人数据的访问权㊁纠正权㊁删除. All Rights Reserved.权㊁转移权㊁退出权等,并首次对人脸识别技术做出规定㊂值得一提的是,旧金山市表决通过了对‘停止秘密监视条例“所作的修订,成为美国第一个禁止使用人脸识别技术的城市㊂2.3 日本日本经济产业省发布的‘新产业构造视野“提出,对于个人数据的基本方针是,在保护数据与流通中寻找平衡点,逐步修正个人信息保护法,促进全球数据更好地被利用㊂此外,日本通过建立个人信息保护委员会,积极参与国际协议规则的制定,已经被全球隐私执法网络㊁亚太隐私机构正式认定为会员㊂2005年制定‘个人信息保护法“,并于2015年进行修订,2017年5月开始实施㊂2020年,日本国会通过‘个人信息保护法“修订提案,并正式对外公布,计划于颁布后的两年内施行㊂2017年修订目的主要在于确保信息流通的可追溯性,加强国家监管部门对个人信息一元化的管理㊂一是增加 敏感信息”概念,即政治观点㊁宗教㊁工会㊁种族和民族以及出生地和住所㊁医疗保健㊁性生活㊁犯罪记录信息等信息㊂二是新增加 个人信息保护委员会”,即第59~74条㊂该章主要规定个人信息保护委员会的设置㊁任务㊁职权行使的独立性㊁委员长㊁专门委员㊁任期㊁身份保障㊁罢免㊁事务局㊁会议㊁保密义务㊁规则制定等事项㊂三是增加 非法提供信息数据库罪”㊂所谓 非法提供信息数据库罪”是指从事个人信息处理业者或从事与其相关数据库业务的法人(包括高管人员㊁管理人员在内的非法人团体),为自己或第三人谋求不正当利益,而提供或盗用其业务处理过的个人信息数据库(包括对其部分或全部信息的复制㊁加工)的,处一年以下有期徒刑或50万日元以下罚款㊂该修正案为迎合大数据时代技术创新的要求,防范和化解未来个人信息保护中潜在的各类风险,扩充了很多内容,如保障个人权利㊁信息使用推广㊁扩大企业责任㊁强化法律处罚㊁增加域外适用等㊂其中,保障个人权利涉及权利范围㊁个人信息范围㊁第三方限制等;信息使用推广如引入 假名化信息”,但仅限于经营者内部使用,并禁止向第三方提供假名化信息;扩大企业责任如信息泄露报告㊁限制不正当使用;强化法律责任如增加罚款;域外适用如赋予个人信息保护委员会更多权力㊁加强国际传输监管㊂总体而言,欧盟采取统一立法保护模式,且对个人信息的保护涵盖收集㊁利用㊁储存㊁披露的所有环节,采取 严进严出”的保护模式㊂而美国对个人信息保护以行业自律为主,在特定行业信息隐私保护法较为零散,难以涵盖个人信息保护的所有环节㊂日本选择了中间道路,一方面积极与欧盟的个人信息保护法律相接轨,努力与欧盟建立数据流动白名单;另一方面迎合数字经济时代技术创新的要求,力求建立安全有序的数据跨境流动机制㊂3 我国在该议题上的立场及政策主张当前,我国数据和个人隐私保护体系日益完善㊂在法律制定上,国家互联网信息办公室出台‘数据安全管理办法(征求意见稿)“,旨在维护国家安全㊁社会公共利益,保护公民㊁法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全㊂另外,国家互联网信息办公室发布‘个人信息出境安全评估办法(征求意见稿)“,明确网络运营者向境外提供在中国境内运营中收集的个人信息,需要进行安全评估,推进保障数据跨境流动中的个人信息安全㊂同时,国家互联网信息办公室发布‘儿童个人信息网络保护规定“,为各界关注的儿童个人信息安全保护问题定章立制㊂2020年10月,作为我国个人信息保护领域的第一部专门性立法,公开征求意见㊂2021年4月,‘中华人民共和国个人信息保护法(草案)“提请全国人大常委会二次审议㊂该草案重点关注提供基础性互联网平台服务㊁用户数量巨大㊁业务类型复杂的个人信息处理者,提出成立独立的监督机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告等㊂2021年6月,十三届全国人大常委会第二十九次会议通过了数据安全法,对数据的分类分级㊁风险评估㊁应急处置㊁安全审查和出口管制等方面提出制度安排㊂该法律于2021年9月1日起施行㊂这些法律法规共同构筑起我国个人信息保护的法律基石,为我国未来在国际谈判中的议题立场和规则诉求提供重要的法律依据㊂在执法规范上,工业和信息化部发布了‘关于开展纵深推进APP侵害用户权益专项整治行动的通知“等规范要求,并连续两年组织开展了APP侵害用户权益专项整治行动㊂同时,有针对性地制定了‘APP用户权. All Rights Reserved.。
中美欧个人信息保护法比较编辑导语:个人信息保护法的颁布是个人权利保障的彰显,这说明个人信息和个人隐私的保护逐渐被提上了日程,并取得了一定进展。
本篇文章里,作者综合中欧美的个人信息保护法,对当前的个人信息保护法做了相对客观的评价,一起来看一下。
2021年8月20日,《个人信息保护法》颁布,并将于2021 年11月1日起正式实施。
《个人信息保护法》是我国迈入数字化社会,彰显“以人为本”的法律制度里程碑,也是我国为全球数字治理贡献的中国方案。
近年来,个人信息保护立法在世界范围内如火如荼地展开,目前已经有128个国家通过立法保护个人信息和隐私。
[1]其中,结合市场规模,规制范围等因素,以欧盟《通用数据保护条例》(以下简称GDPR),美国加利福尼亚州隐私保护法(CCPA&CPRA)[2],以及中国刚刚出台的《个人信息保护法》为最具有影响力的法律文本。
以这四部法律文本为基础,开展条款比较工作,能够系统展现当今世界个人信息保护立法在最为主要的区域及国家的共性与差异,为企业合规工作及学者研究带来积极价值,并对中国《个人信息保护法》的严苛程度作出较为客观的评价。
腾讯研究院依托对个人信息保护领域法律制度的长期积累和专业洞察,完成了《中美欧个人信息保护法比较——以中国<个人信息保护法>、欧盟GDPR,美国加州CCPA&CPRA为样本》的专题报告,以飨读者。
其中有不完善甚至谬误之处,欢迎指出!核心结论从四部法律严厉程度比较的概览图可以看出,中国《个人信息保护法》在规则的严厉程度上基本对标欧盟GDPR,美国加州隐私立法(CCPA&CPRA)相较更为宽松:适用范围:在地域范围上GDPR最宽泛,《个人信息保护法》更为克制,CCPA&CPRA 最有限;而在排除适用的范围上,CCPA&CPRA排除范围最广,GDPR次之,《个人信息保护法》最有限;在规制的数据活动方面,《个人信息保护法》和GDPR 调整范围更宽泛,CCPA&CPRA更为限缩。
用于个人信息保护的国内外解决方案之比较2009-03-25 16:20 亿赛通韦一 我要评论(0)字号:T | T人们开始意识到个人信息保护不再是一个遥远的话题,而是发生在我们每个人身边。
针对越演越烈的数据泄露事件,国内外IT厂商纷纷推出关于数据泄漏防护的的解决方案。
AD:【 综合报道】近期,个人信息保护成为业界热点。
随着3.15晚会济南移动垃圾短信事件的曝光,所有人都意识到个人信息保护不再是一个遥远的话题,而是发生在我们每个人身边。
管理手段的孱弱,技术手段的缺失,导致数据泄漏事件的频频爆发,已经成为国内公共结构的梦魇。
针对越演越烈的数据泄露事件,国内外IT厂商纷纷推出关于数据泄漏防护的的解决方案。
一、国内外环境的不同,诞生不同的产品设计理念在国外,个人信息一直受到法律的高度保护。
1974年美国颁布《隐私权法》,德国1976年颁布《联邦资料保护法》,1984年英国制订《数据保护法》,1995年欧盟制订了《关于个人信息运行和自由流动的保护指令》,1998年美国与欧盟签订了“安全港”协定(safe harbor),等等。
对于侵犯个人信息保护法律的个人和单位,在国外都受到严厉的制裁。
在强有力的法律手段保护下,任何单位和个人都不敢轻易碰触法律这个高压线。
对单位来说,凡是违反此类法律的,其赔偿金额是极为惊人的。
2007年在美国TJX零售公司发生的4500多万客户的信息卡及保密资料丢失,导致其客户和银行业对其提起诉讼,最终TJX公司需要向客户赔付1.01亿美元,并承受严重的企业声誉损失。
国外个人信用体系的完备,也是防止个人从内部泄密的主要原因。
在美国敢于从内部泄密获利者,其下场是非常明显的,很可能终身失业。
国外法律环境的完善,比较有效地震慑内部有意泄密者,所以在国外内部有意泄密者较少。
据此,国外关于个人信息保护的产品设计理念,立足在防止外部入侵和内部无意的泄密。
在国内,法律法规不健全,不能有效追究内部泄密者的责任,所以国内个人信息保护基本形同虚设,内部人员违法违规将内部信息主动泄密,这是造成国内个人信息保护不力的主要原因。
因此,国内IT厂商针对个人信息保护的解决方案,采用“事前主动防御,事中实时控制,事后及时追踪,全面防止泄密”的设计理念,不仅防止外部入侵,更重要的是防止内部泄密,包括有意泄密和无意泄密。
二、国外主要解决方案基于防止外部入侵窃密和内部无意泄密的需求,国外IT厂商纷纷推出数据泄露防护(DLP)解决方案,其中主要的代表厂商有趋势科技、赛门铁克、RSA(EMC)、Websense、麦咖啡等。
2008年6月17日,趋势科技收购Provilla 公司,推出数据外泄管理系统LeakProof 3.0。
LeakProof采取服务端-客户端模式,当员工在对敏感文件进行不合适的操作时,该系统可以发出警报,这一警报将在员工电脑屏幕上以对话框的形式出现。
这些警报框将指导员工如何处理机密信息,提高他们的安全意识并获得他们的支持,从而防止数据“出门”。
管理员可以对警报对话框进行详细定制,当违规行为发生时,员工电脑屏幕上会弹出对话框,说明正在进行什么操作、为什么要这么操作以及到那里获取详细信息(用URL链接形式给出)。
管理员还有一种选择是对敏感数据进行特定的操作之前,要求他们提供正当的理由。
这种质询/应答特性提供了另一层面的正确处理敏感数据的意识,而且如果该操作不是有意为之,还提供了取消这个操作的途径。
2008年10月23日,赛门铁克宣布推出数据丢失防护解决方案9.0版(DLP 9.0),旨在帮助企业和组织增强发现、监测和保护机密信息的能力,无论这些信息在何处存储和使用。
赛门铁克的数据丢失防护技术可跨越端点、网络和存储系统,通过单一的集成界面为企业和组织提供全面的数据丢失防护覆盖,从而对员工在与公司网络断开的情况下使用笔记本电脑发送电子邮件、网络邮件和即时信息时造成的数据泄露事件也能加以监控。
在端点处,新版数据丢失防护解决方案的设计不但可以防止对敏感信息的复制或粘贴,甚至可以阻止将这些信息以电子版方式打印或传真。
这些新功能与赛门铁克现有的控制能力相结合,用以防止敏感数据被复制到USB装置和CD/DVD磁盘中。
赛门铁克在内容感知(content-aware)监测方面的专业技术及识别特殊内容(无论该内容是否被打包)的能力对成功实现端点数据丢失防护都是至关重要的。
2008年10月,EMC的信息安全事业部RSA发布DLP6.0版本。
RSADLP是为了在企业内提供统一的、无缝的政策安排而设计的,它使得客户能够发现和监控敏感信息,应用适当的强化机制来保护整个IT存储栈的敏感信息。
数据丢失防护组合包括RSA数据丢失防护终端、RSA数据丢失防护网络,以及RSA数据丢失防护资料处理中心,由RSA数据丢失防护企业管理人员对组合进行总体管理。
Websense自2007年1月收购PortAuthority公司进入DLP市场,推出了终端内容保护套件解决方案。
后来通过与Lumension建立合作伙伴关系来解决移动存储所导致的终端数据丢失问题,Websense与Lumension 的技术整合使双方客户都可以利用Websense的内容识别技术保护数据,实现对产品线的全面报告和对安全事件的有效管理。
2009年9月Websense发布新版数据外泄防护(DLP)产品Data Security Suite,新版Data Security Suite加入端点控管,也就是防止数据从USB等管道外泄。
Websense透过收购而来的PreciseID技术,可更准确辨认出泄密行为,并根据不同的应用程序/应用程序群组设定不同安全政策。
Precise ID 技术可将企业数据都转换为数字指纹,加上安全政策控管,藉以比对、分析数据是否有存取、传送的权限。
McAfee在2006年买下Onigma后,在2007年2月推出了数据遗失保护软件Data Loss Prevention(DLP)Host,并在2007年11月将其整合进安全管理控制台ePO 4.0。
三、国内主要解决方案国内关于个人信息保护的解决方案,只有北京亿赛通明确发布相关产品线。
2008年4月北京亿赛通发布其数据泄露防护(DLP)体系。
亿赛通DLP以“驱动层透明动态加解密技术”为基础,采用对应中国用户需求的各种策略,以透明加密和权限管理两功能为核心,结合身份认证、日志审计、文档自动备份、文档外发管理、设备安全管理、磁盘全盘加密等功能,建立完善的体系。
在系统自身的安全性方面,还采用容灾管理,确保系统可靠、安全地运行。
DLP体系对数据(文档)安全进行全方位、多角度、全生命周期的保护,彻底实现数据保护的完整性、保持性和安全性。
亿赛通DLP体系主要包含的产品线有:文档透明加密系统(SmartSec)、文档权限管理系统(DRM)、文档安全管理系统(CDG)、文档外发管理系统(ODM)、磁盘全盘加密系统(DiskSec)、文档安全网关(DNetSec)、设备安全管理系统(DeviceSec)等。
其中,文档透明加密系统(SmartSec)、文档权限管理系统(DRM)、文档安全管理系统(CDG)是整个产品线的核心。
四、国内外DLP解决方案相同点从国内外DLP解决方案来看,在解决数据泄露防护需求的思路上,大体上是相同的。
通常认为,DLP可分为6个步骤:(一) 企业先将数据进行分类,同时预先对“涉密数据”进行定义,然后确定哪些数据需要保护;(二)确定涉密数据在企业系统中的存放位置,企业确定有多少数据存放在员工的计算机、公司的服务器或数据库等;(三) 清楚掌握数据的位置,便能为数据的流出、流入提供实时的监控及保护,包括经电子邮件、http、即时消息等途径发放的资料;(四) 数据泄漏多数是人为所致,因此企业必须制定员工传送机密数据的权限;(五) 企业亦需监控数据被送达的地方是否安全,如商业伙伴或网上电子邮件等;(六) 企业必需注意员工运用什么途径传送档案,这些途径包括所有移动储存硬盘和点对点传送等。
五、国内外DLP解决方案不同之处分析国内外个人信息保护解决方案,我们可以发现其不同之处:1、设计理念不同国外DLP基于良好的法律环境,内部有意泄密相对极少,对内部人员确认为可信,数据泄露主要来自外部入侵和内部无意间的泄密。
因此,国外DLP主要用来防止外部入侵和内部无意间泄密。
国内DLP主要基于国内环境,法律威慑力小,追踪难度大,泄密者比较容易逃脱法律制裁,犯罪成本比较小;同时,国内各种管理制度不完善,内部人员无意间失密的概率也比较大。
所以国内DLP既能防止内部泄密,包括内部有意泄密和无意泄密,同时也能防止外部入侵窃密。
2、主要功能不同从趋势科技、赛门铁克、RSA(EMC)、Websense、麦咖啡等发布的产品来看,国外DLP产品主要包含的功能模块有:内容识别分类、输出内容监控、敏感信息阻截、审计、移动设备管理。
这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵防护的效果相当有限。
这里还有一个比较大的问题在于内容识别分类。
内容识别分类是国外DLP产品的核心功能,但是这项功能的有效性还有待改进。
结构化数据相对来说比较容易被识别和分类,但对于非结构化数据来说,有效性不高,这是目前国外DLP比较致命的缺陷之一。
从总体上说,国外DLP产品还是采用被动防范的手段来解决。
国内DLP产品以透明加密和权限管理为核心,结合身份认证、日志审计、文档自动备份、文档外发管理、设备安全管理、磁盘全盘加密等功能,其实是针对文档(数据)采用双重保护手段。
一是文件级的加密权限保护,二是磁盘级的加密保护。
其中文档透明加密系统(SmartSec)、文档权限管理系统(DRM)、文档安全管理系统(CDG)、文档外发管理系统(ODM)是文件级加密权限保护,磁盘全盘加密系统(DiskSec)和文档安全网关是磁盘级加密保护。
国内DLP是从主动防范的立足点来解决问题的。
3、产品适用范围不同国外DLP基本实施在中国的外企。
这是由于外企在国外总部基本采用了国外DLP产品,在中国只是延续其总部的防范手段。
从目前的市场应用来看,一部分外企比较容易接受国外DLP产品,并有实施。
国内DLP考虑中国特殊国情,基于国内环境设计,所以其适用范围相当广泛。
以北京亿赛通DLP为例,当前主要适用在政府、军队、军工、制造、通信、规划设计院所、汽车等行业。
其产品在中华人民共和国外交部、中国人民解放军第二炮兵、中国移动集团、中国一汽集团、京东方科技集团、正泰集团、亚迪集团、国人通信、晨讯集团、宇龙通信等全国有300多家用户在使用,终端数量超过30万点。
4、产品实施后效果不同国外DLP在中国存在普遍的水土不服现象,主要原因还是在防内和防外的问题上。
国外DLP无法防止内部主动泄密。
