孫繼周
〔摘 要〕針對“大數據”背景下,我國數據隱私法律缺失的現狀,本文以日本數據隱私法律為研究對象,介紹了日本目前2部數據隱私保護適用法律——《個人信息保護法案》和《“通用號碼”法案》,從數據操作規(guī)定、數據服務規(guī)定、執(zhí)行處罰規(guī)定3個方面,對日本數據隱私法律內容進行研究分析,并得出制定數據隱私專門法,鼓勵多方機構參與,建立行業(yè)部門規(guī)范標準,建立數據隱私保護倒逼機制4個方面的啟示,以期為我國數據隱私立法提供借鑒參考。
〔關鍵詞〕日本;數據隱私法律;啟示
〔中圖分類號〕G201 〔文獻標識碼〕A 〔文章編號〕1008-0821(2016)06-0140-04
〔Abstract〕For the background of“big data”,the present situation of data privacy laws missing in our country,the paper chose Japanese data privacy laws as object of study,introduced two Japanese applicable data privacy laws-“Act on the Protection of Personal Information”and“Common Number”Bill,analyzed Japanese data privacy laws based on data manipulation rules,data service rules and punishment rules,and then researched the following enlightenment:encouraging multi-agencies involvement,establishing relevant standards,and forced mechanism of data privacy protection.In order to provide references for our data privacy legislation.
〔Key words〕Japan;data privacy laws;enlightenment
自從全球知名咨詢公司麥肯錫2011年6月首次提出“大數據”時代概念以來, “數據,已經滲透到當今每一個行業(yè)和業(yè)務職能領域,成為重要的生產因素”[1]?!度A爾街日報》將大數據時代、智能化生產和無線網絡革命稱為引領未來繁榮的三大技術變革[2]。2015年10月中國共產黨的十八屆五中全會公報提出要實施“國家大數據戰(zhàn)略”,這是大數據第一次寫入黨的全會決議,標志著大數據戰(zhàn)略正式上升為國家戰(zhàn)略[3]。雖然大數據當前在我國受到了前所未有的重視,但大數據的發(fā)展仍然面臨著許多問題,安全與隱私問題是人們公認的關鍵問題之一[4]。
目前我國還沒有專門的數據隱私法,數據隱私行為僅能通過《中華人民共和國刑法》、《中華人民共和國侵權責任法》或各地方法規(guī)條例中的相關部分來規(guī)范,如《上海市消費者權益保護條例》中第三十一條規(guī)定,“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,征得消費者同意。經營者履行明示義務和征得消費者同意的證明資料至少留存5年。經營者不得要求消費者提供與消費無關的個人信息,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。經營者應當建立健全信息保密和管理制度,制定信息安全事件應急預案,確保信息安全,防止消費者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時,經營者應當立即啟動應急預案,采取補救措施,及時通知消費者”[5]。這些地方性條例和法律中的相關法條,法律效力低,或缺乏針對性。因此,筆者以日本數據隱私相關法律為對象,進行分析研究,以期對我國數據隱私立法有所裨益與借鑒。
1 日本數據隱私法概況
1.1 個人信息保護法案
日本《個人信息保護法案》(Act on the Protection of Personal Information)于2003年5月30日通過,2005年4月1日正式實施,是此類日本第一個綜合性法律。該法案由一組通用指導方針組成,代表日本政府部門的立法權力,是目前日本政府管理個人信息處理的主要法案[6]。在遵守《個人信息保護法案》指導方針的前提下,日本政府各部委也依據自身工作內容的特點,制定了各自的規(guī)章制度,用來指導管理各自負責的商業(yè)機構。自此法案正式實施起2年內,有多達35套依照該法案發(fā)布的指導方針,覆蓋22個商業(yè)領域。目前,日本大部分商業(yè)活動都由經濟產業(yè)省[7]、厚生勞動省[8]、日本金融廳[9]、總務省[10]和國土交通省[11]所頒布的政策來管理規(guī)范個人信息的使用行為。
2014年6月24日,為了抓緊“大數據”時代機遇,平衡建立開放政府與維持安全、保護隱私之間的關系,日本政府通過其IT戰(zhàn)略總部,頒布了140724法案——“個人數據利用系統(tǒng)改革綱要”[12],并在IT戰(zhàn)略總部的帶領下,向社會廣泛征求《個人信息保護法案》修改意見,修訂《個人信息保護法案》,修訂的《個人信息保護法案》已經在2015年國會常會期間提交[13]。
1.2 “通用號碼”法案
2009年初由日本自民黨領導的執(zhí)政聯盟提議的《“通用號碼”法案》(“Common Number”Bill)于2013年5月24日通過日本國會議院。該法案計劃給每個日本居民,包括中長期逗留在日本的外國人和特殊的永久居民,分配一組個人識別號碼,用于個人稅收、社會保險、災害防御規(guī)程等方面?zhèn)€人信息數據的記錄和管理[14]。該法案已于2016年1月開始實施,計劃在2017年,日本居民可以通過門戶網站來查詢自己的社保記錄和其他信息[15]。
雖然“通用號碼”法案的實施可以有效提高行政效率和檢測逃稅、福利欺詐等行為,但由于個人信息會被提供給一些合作機構,存在著個人信息數據泄露的風險。因此,為了有效監(jiān)督ID系統(tǒng),該法案規(guī)定,由權威的第三方獨立委員會負責對數據處理不當公職人員的監(jiān)督和指控,那些非法泄漏或出售ID信息的人將面臨四年監(jiān)禁或人民幣200萬罰款的處罰。
2 日本數據隱私法律內容分析
2.1 數據操作規(guī)定
2.1.1 數據保護機構及注冊要求
日本沒有中央數據保護機構或統(tǒng)一注冊要求,每個政府部門遵循《個人信息保護法案》中要求的一般性原則,出臺符合自己性質的行政指南,注冊對是否與法案相關不做要求。許多部門指南要求企業(yè)自愿參與商業(yè)部門管理[16]。雖然數據保護機構沒有注冊要求,但以下部門單位不允許以商業(yè)為目的使用個人信息數據庫:
國家組織;
地方政府;
獨立行政機構等等;
地方獨立行政機構;
通過政令指定的機構。
2.1.2 數據收集與處理
商業(yè)部門處理個人數據不得以欺騙或其他不正當手段獲取個人信息。在處理個人數據時,經營者應當盡可能多的指出個人信息的利用目的,不得改變個人信息利用的起始目的范圍。當經營者處理、獲得某人數據時,必須告知此人或公開宣布利用目的。未經第一接受人同意,經營者不得處理超過個人數據利用范圍的數據。厚生勞動省已經頒布了專門針對雇員數據的指南《Employment Security》,指南參照了《個人信息保護法案》的結構,并且針對雇員數據的收集與處理進行了內容設立[17]。
2.1.3 數據傳輸和數據共享
日本隱私數據政策規(guī)定,未經當事人同意,部門機構不允許將個人數據傳輸給第三方機構。但以下情況,相關部門機構可以不經當事人同意,將個人數據傳輸給第三方機構:
法律要求的;
以保護人的生命,身體安全或者財產安全為目的,及獲得當事人同意存在困難;
以推動公共健康或促進兒童發(fā)展為目的,及獲得當事人同意存在困難;
國家機構和地方公共機構履行職責的要求,及獲得當事人同意存在困難。
在向第三方共享或傳輸個人數據之前,相關機構必須提供下列信息,來使資料當事人了解如何防止傳輸:
包含利用目的的第三方條款;
提供個人數據的具體內容;
提供給第三方機構個人數據的手段和方法;
個人請求下的,提供給第三方機構的個人數據行為將停止。
除了在有限的情況下,當資料當事人提出停止要求時,經營者必須停止提供個人數據給第三方,并告知資料當事人任何異常的應用。在相關機構部門告知個人或安排個人可以便捷了解以下信息的情況下,機構可以與其附屬機構共享個人數據:
個人數據將被共同使用的事實;
使用個人數據的項目;
被共同使用的個人數據的部分;
共同使用的目的;
共同使用個體名稱的責任。
2.2 數據服務規(guī)定
2.2.1 數據安全
《個人信息保護法案》要求政府機構,通過各部委的具體要求,采取適當措施,來執(zhí)行法案對于第三方共享,利用目的告知和收購條款目的的規(guī)定。此外,該法案還包括以下對個人數據安全及準確性的相關條款:(1)經營者處理個人信息應當努力保證個人數據的準確性,在一定日期范圍內,實現利用目的;(2)經營者必須采取必要的措施來防止個人信息的泄露、丟失或者損壞,以及其他個人數據的安全管控;(3)當經營者雇傭員工或委托他人處理個人信息時,必須對其進行監(jiān)督,以確保個人信息的安全和管控[18]。
2.2.2 違反告知
違反告知是指當個人數據遭到錯誤、泄露、丟失等危險情況時,數據保護管理機構應及時如實告知當事人情況。雖然《個人信息保護法案》中未包含一般的違反告知,但一些部委指南,例如經濟產業(yè)省指南,強制要求管理企業(yè)所有涉及個人數據泄露和丟失必須通知到個人,并向經濟產業(yè)省提交違反報告。其他部委指南僅僅是推薦告知,也有的在這個問題上選擇沉默。
2.2.3 其他服務要求
日本隱私數據對于數據服務也提出了相關要求,《個人信息保護法案》規(guī)定,當申請人請求個人數據時,機構必須將這些信息及時提供給申請人,不得延誤。但是,以下情況,機構可以拒絕個人數據申請:
個人生命或身體安全存在風險,或信息披露可能會侵犯個人或者第三方機構權利;
個人信息公開或交付可能影響相關機構運行;
個人信息公開或交付將違法其他法律。
對于保留的個人數據,相關組織必須填寫保留信息,聯系信息和保留的目的。機構必須提供錯誤個人數據修改、更正、補充和刪除的機會。當個人數據利用超出使用范圍時,個人也可以申請停止使用或刪除個人數據。
2.3 執(zhí)行處罰規(guī)定
日本政府對于違反數據隱私法律的行為,尤其是個人信息保護機構,做出了嚴格的規(guī)定,如處理個人信息的經營者,應當妥善并及時處理有關個人信息處理的投訴,并建立一個系統(tǒng)來實現這一目標。
對于不遵守該法案或部委頒布有關準則的機構或個人將會受到行政處罰。當相關機構違反該方案或指導方針時,部長可以進行糾正建議。如果相關機構未整改,且無正當理由,部長會發(fā)布進一步整改命令。不執(zhí)行整改命令,相關責任人會面臨最高30萬日元的罰款,并可能面臨6個月的監(jiān)禁。
3 對我國的啟示
3.1 制定數據隱私專門法
黨的十八大提出,法律是治國之重器,法治是治國理政的基本方式,“落實依法治國基本方略,加快建設社會主義法治國家,必須全面推進科學立法進程”[19]。目前我國關于隱私數據安全與保護的規(guī)章制度散見于憲法、法律、法規(guī)及部門規(guī)章中,如《刑法修正案(七)》第7條增補了侵犯公民個人信息安全的犯罪:“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國家規(guī)定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。竊取或者以其他方法非法獲取上述信息,情節(jié)嚴重的,依照前款的規(guī)定處罰。單位犯前兩款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員依照各該款的規(guī)定處罰”,其他涉及到數據隱私的法律、法規(guī)主要還有《中華人民共和國侵權責任法》、《關于加強網絡信息保護的決定》、《網絡商品交易及有關服務行為管理暫行辦法》、《中華人民共和國電子簽名法》、《非金融機構支付服務管理辦法》、《全國人大常委會關于維護互聯網安全的決定》、《中華人民共和國電信條例》、《中華人民共和國互聯網信息服務管理辦法》等[20]。但由于基本立法原則和總體法律框架的搭建相對欠缺,導致還沒有關于數據隱私保護的專門法。
《個人信息保護法案》和《“通用號碼”法案》是目前日本數據隱私主要適用法律,前者是日本第一部數據隱私專門法,后者是日本政府在“大數據”時代背景下,與時俱進,平衡數據利用與隱私保護所制定的法案。而我國數據隱私專門法是缺失的,數據隱私保護法制定迫在眉睫,借鑒日本《個人信息保護法案》和《“通用號碼”法案》兩部法律的內容結構,其應該由以下幾個部分組成:①總則,主要包括目的、定義概念、基本理念等;②國家及地方政府責任,主要包括國家的責任、地方政府的責任、立法舉措等;③保護個人信息舉措,主要包括個人信息保護基本方針、國家舉措、地方政府舉措、國家與地方政府協力合作等;④個人信息處理機構義務,主要包括個人信息處理機構職責、民間組織保護個人信息的推進等;⑤其他規(guī)定,主要指不適用情況;⑥懲罰規(guī)則及附則。
3.2 鼓勵多方機構參與
數據隱私保護工作過程中涉及的責任主體主要有個人信息當事人、信息采集機構、信息處理保存機構、信息利用機構及監(jiān)督審查機構。數據隱私保護涉及面廣、數據量大,面臨技術、經濟、法律等多方面的問題,僅僅依靠國家機構的力量難以解決這些問題,惟有鼓勵多方參與合作[21],方能推進數據隱私保護工作。日本《個人信息保護法案》中規(guī)定,日本政府不設立統(tǒng)一的中央數據保護機構,不建立統(tǒng)一的數據保護機構注冊要求,允許相關經濟機構在法律允許范圍內,利用數據獲得商業(yè)利益[18],鼓勵各方機構組織參與到數據隱私保護中來。日本數據保護涉及的參與機構就有:國家政府機關、地方政府機關、地方公共團體、民間團體、獨立行政法人、地方獨立行政法人、政令指定人、個人信息處理保存機構、個人信息商業(yè)機構、投訴調解監(jiān)督機構等。
鼓勵多方機構參與數據隱私保護工作,要遵循以下幾個原則:①法律適用原則,數據隱私保護工作機構要符合現有法律規(guī)定,不得與之沖突;②權責一致原則,根據不同機構的特點與分工,明確其權利與義務,嚴格執(zhí)行懲罰制度。③透明原則,指所有參與隱私數據保護工作的機構信息、工作具體內容等情況,必須公開可查;④有限原則,指參與數據隱私保護工作的同性質機構數量不能過多;⑤安全原則,指任何機構的選擇、任何行為都是以安全為第一目的。滿足基本原則后,激勵政策必不可少,鼓勵更多性質的團體機構參與數據隱私保護工作,在同性質機構部門間形成良性競爭環(huán)境,促進數據隱私保護工作高效運行。激勵政策的制定,應該考慮到不同機構的性質特點來制定,切不能“一刀切”。如個人信息處理與保存機構,在遵循既有法律規(guī)范的前提下,可以利用其擁有的信息數據提供商業(yè)服務,而公共團體則不允許提供商業(yè)服務。
3.3 建立行業(yè)部門規(guī)范標準
囿于各個部門行業(yè)性質上的差異及對隱私數據認識和關注的重點也各有不同,如政府機關更關注姓名、性別、年齡、職業(yè)等基礎信息;而商業(yè)機構則更關注購買、消費、收入、支付方式等商業(yè)信息。因此,在遵循國家制定的數據隱私保護法的前提下,鼓勵不同性質部門內部對隱私政策的內容進行討論,建立符合行業(yè)部門特性的規(guī)范標準,凸顯行業(yè)關切、彰顯人文關懷。如日本厚生勞動省,參照了《個人信息保護法案》結構與原則,針對雇員數據的收集與處理的特點,頒布了專門針對雇員數據的指南《Employment Security》[17]。對于已經建立起來的行業(yè)部門規(guī)范標準,要根據具體情況的變化,定期或及時修訂,與時俱進。
3.4 建立數據隱私保護倒逼機制
日本隱私法規(guī)定,數據隱私利用的監(jiān)督方式主要采用第三方獨立機構監(jiān)督,主要監(jiān)督對象為政府部門、經濟實體、個體等各主體的隱私數據利用行為。除此之外,各機構部門“應當妥善并及時處理有關個人信息處理的投訴,并建立一個系統(tǒng)來實現這一目標”[18],個人監(jiān)督也是重要的監(jiān)督手段。
數據隱私保護工作的順利有效推進,涉及不同機構組織,離不開各方的有效監(jiān)督,僅依靠設立投訴調解監(jiān)督機構來對各方機構進行監(jiān)督是遠遠不夠的。因此,通過設置監(jiān)督機構與專門人員、公開投訴電話等方式受理投訴,暢通監(jiān)督和申訴的渠道,并將泄露隱私數據應承擔的責任、對相關責任人的處罰處理制度、消除影響及彌補過失的措施、個人對因隱私數據泄露所造成的不良影響,要求得到公正待遇的權利等予以公布,以發(fā)揮個人在隱私數據保護中的監(jiān)督和促進作用[22],建立起個人隱私數據保護倒逼機制,豐富數據隱私保護工作監(jiān)督方式,有效落實對隱私數據保護各方的監(jiān)督。
參考文獻
[1]Manyika J,Chui M,Brown B,et al.Big data:The next frontier for innovation,competition,and productivity[EB/OL].http:∥www.mckinsey.com/Insights/MGI/Research/TechnologyandInnovation/BigdataThenextfrontierforinnovation,2016-02-18.
[2]鄔賀銓.大數據時代的機遇與挑戰(zhàn)[J].求是,2013,(4):47-49.
[3]何哲.五中全會,大數據戰(zhàn)略上升為國家戰(zhàn)略[EB/OL].http:∥politics.people.com.cn/n/2015/1108/c1001-27790239.html,2016-02-18.
[4]孟小峰,慈祥.大數據管理:概念、技術與挑戰(zhàn)[J].計算機研究與發(fā)展,2013,50(1):146-169.
[5]上海市消費者權益保護條例[EB/OL].http:∥www.law-lib.com/law/lawview.asp?id=481522,2016-02-20.
[6]Personal Information Protection Act[EB/OL].http:∥www.cas.go.jp/jp/seisaku/hourei/data/APPI.pdf,2016-02-20.
[7]The Ministry of Economy,Trade,and Industry[EB/OL].http:∥www.meti.go.jp/english/index.html,2016-02-22.
[8]The Ministry of Health,Labour and Welfare[EB/OL].http:∥www.mhlw.go.jp/english/wp/wp-hw2/part2/p2c11s4.pdf,2016-02-22.
[9]The Financial Services Agency[EB/OL].http:∥www.fsa.go.jp/frtc/kenkyu/event/2007042402.pdf,2016-02-23.
[10]The Ministry of Internal Affairs and Communications[EB/OL].http:∥120.52.72.39/www.soumu.go.jp/c3pr90ntcsf0/mainsosiki/johotsusin/eng/Resources/others/1102141.pdf,2016-02-23.
[11]The Ministry of Land,Infrastructure and Transport[EB/OL].http:∥www.mlit.go.jp/en/index.html,2016-02-23.
[12]Japan-Bill-140724[EB/OL].https:∥www.privacy.org.au/Papers/Jap-Bill-140724.pdf,2016-02-24.
[13]“Big Data”Raises Big Legal Questions in Japan[EB/OL].http:∥www.nippon.com/en/in-depth/a03602/,2016-02-25.
[14]Intertwining of technical and legal issues in the My Number system[EB/OL].http:∥www.yomiuri.co.jp/adv/chuo/dy/research/20120510.html,2016-02-25.
[15]New ID system for keeping tax tabs,finding cheats[EB/OL].http:∥www.japantimes.co.jp/news/2013/06/11/reference/new-id-system-for-keeping-tax-tabs-finding-cheats/#.VtPs201ummQ,2016-02-26.
[16]Section 4.Promotion of Information-Oriented Society[EB/OL].http:∥www.mhlw.go.jp/english/wp/wp-hw2/part2/p2c11s4.pdf,2016-02-28.
[17]Employment Security[EB/OL].http:∥www.mhlw.go.jp/english/policy/employ-labour/employment-security/index.html,2016-02-28.
[18]個人情報の保護に閿する法律[EB/OL].http:∥www.japaneselawtranslation.go.jp/law/detailmain?id=130&,2016-02-29.
[19]人民網.圖解:習近平關于依法治國的重要論述[EB/OL].http:∥legal.people.com.cn/n/2014/1020/c42510-25866524.html,2016-03-01.
[20]戈悅迎.大數據時代信息安全與公民個人隱私保護——訪中國電子商務協會政策法律委員會副主任阿拉木斯[J].中國信息界,2014,(2):51-55.
[21]鐘源,吳振寰,劉燦姣.數字資源長期保存館社合作模式調查分析[J].圖書情報工作,2014,58(2):91-95.
[22]陳忠海,常大偉.英美加澳四國國家檔案館網站隱私政策及其啟示[J].北京檔案,2015,(4)39-41.