欧盟《一般数据保护条例》的启示

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:lianzi0118
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  随着信息化建设的推进和互联网的普及,人们对信息的依赖程度越来越高,电子政务、电子商务、网上金融等各式各样的互联网应用,为人民生活提供高效和便利的同时,也为公民个人信息保护带来了极大挑战。当前,无论是政府部门还是商业企业,都在利用各自渠道大规模收集和处理用户个人信息,造成因个人信息滥用而导致个人信息泄露的事件频频发生。由此引发的社会问题越来越多,引起了国家和社会的极大关注。如何规范信息采集者、处理者、使用者的责任和义务,切实做到保护公民对个人信息的合法权益,成为政府和社会需要思考的一个严肃问题。
  欧洲对个人信息保护问题的探索起步较早,可以追溯到1950年颁布的《欧洲人权公约》。从1981年《关于自动化处理的个人信息保护公约》(以下简称“《个人信息保护公约》”),到1995年《关于个人信息处理保护及个人信息自由传输的指令》(以下简称“《数据保护指令》”),再到2016年《一般数据保护条例》(General DataProtection Regulation,GDPR),歐盟在个人信息保护方面一直处于世界领先地位。《一般数据保护条例》作为欧盟个人信息保护里程碑式法律,为世界各国提供了个人信息保护的样板和思路。通过梳理欧洲个人信息保护的现状,分析欧盟保护个人信息方面的主要做法和经验,对贯彻落实《网络安全法》,加强我国个人信息保护建设,具有重要的借鉴意义。
  欧洲个人信息保护的现状
  (一)顶层设计基本完成。欧洲的个人信息保护意识启蒙较早,并在一开始就致力于建立整个欧洲统一的个人信息保护体系。20世纪70年代,欧洲理事会已经意识到:有必要对可预期的个人信息收集和处理活动进行提前规制,从而保护公民的个人生活,并通过一系列决议,旨在建立欧洲个人信息保护的基本原则和标准化指南,并在各成员国内推动个人信息保护。1981年1月28日,欧共体成员国在法国斯特拉斯堡市签订了《个人信息保护公约》,尝试在欧洲建立统一的个人信息保护法律制度。之后,欧洲委员会在1990年向欧洲理事会提交了一份《关于保护共同体个人信息及信息安全的指令草案》,该草案正式开始了欧洲信息保护法律制度一体化的进程。
  由于《个人信息保护指令》其仅仅适用于欧盟成员国,不能直接适用于欧盟的公民,因此,欧洲议会和欧洲理事会于2001年颁布了《关于欧盟公共机构及其组成部门处理个人信息过程中保护个人信息权利及相关信息自由传输条例》,进一步推动欧洲个人信息保护一体化,个人信息保护法更是被写入欧洲的大数据时代和《欧洲2020战略》。2010年,欧洲委员会向欧洲议会和欧洲理事会提交的《为欧洲公民传递自由、安全和公正:实施斯德哥尔摩行动计划》明确提出,要制定一个综合性的欧洲个人信息保护计划,确保欧盟范围内个人信息保护的协调一致。
  (二)法律体系比较健全。欧盟十分重视个人信息保护的立法工作,目前已经形成了较为健全的法律体系。欧盟对个人数据保护立法工作可以追溯到20世纪90年代。1995年,欧盟通过了《数据保护指令》,该指令为欧盟成员国立法保护个人数据设立了最低标准。在该指令规定的领域,欧盟也制定了一些细化的法规来促进指令的落地。例如,2002年颁布的《关于在电子通讯行业处理个人信息和保护个人隐私的指令》,确定了互联网环境下个人信息保护的基本原则;2006年颁布的《关于在电子通讯服务、大众传媒网络行业产生的个人信息存储和公共机构调取指令》,以及2008年颁布的《关于在犯罪问题方面的个人信息保护和司法合作的政策框架》。
  随着信息技术和互联网的发展,为应对网络环境下的个人信息保护,欧盟对原有法律进行了丰富和完善。2012年,欧洲委员会正式发布《关于个人信息处理保护及个人信息自由传输的条例》(草案),和《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》(草案)。并于2016年4月8日和14日,欧洲理事会和欧洲议会分别表决通过了《关于个人信息处理保护及个人信息自由传输的条例》(即《一般数据保护条例》)、《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》,条例于2018年5月25日正式实施。
  (三)行政管理体系完善。经过多年发展,欧洲建立了一套完善的数据保护行政管理体系。在管理机构方面,多数国家设有个人信息安全保护专门行政机关,例如,英国内阁府设有英国信息委员会办公室(ICO),法国总统府设有国家信息和自由委员会(CNIL),德国总理府设有联邦数据保护委员会(FCDP),这些机构主要负责本国网络个人信息安全保护工作;在未设有专门行政机构的国家,大多通过立法形式授权其他行政机关代行保护职责。在行政监管方面,通过政府主导对个人信息保护状况实行强力监管,例如,英、法、德等国家普遍采取注册登记制、审核批准制等多种措施,对于个人信息处理活动实行行政审查和管理。
  除此之外,行政评估、行政投诉、行政执法、行政救济、行政处罚等一揽子行政保护措施,对个人信息提供全方位的安全保护。例如,英国规定英国信息委员会办公室(ICO)有权采取合理性评估、合法性评估等多种行政评估措施,对网络个人信息处理活动进行事前评析和研判;欧盟相关指令规定,欧盟数据保护机构有权向网络个人信息处理人发出违法通知、陈述通知、强制调查令、警告令、禁止令、强制执行令等多种行政命令,有效贯彻执行网络个人信息安全保护相关法律要求。
  (四)开展多种保护工作。为了保护个人数据和网络隐私,欧盟开展了多种数据检查和保护行动。2015年9月15—19日,欧盟数据保护机构开展发起了“欧盟Cookie行动”,对多家网站以及移动应用进行了审查,确保《欧洲Cookie指令》的落实。结果显示,英国前50网站中,只有12%的网站遵循了欧盟Cookie指令,而在法国和德国几乎没有网站采用欧盟的这一指导规范。
  除了针对规章、法令的检查外,针对企业存在的数据安全事件,欧洲也开展了针对各企业的调查活动。2012年10月,欧洲委员会工作小组称,谷歌的隐私政策不符合委员会数据保护的标准,要求谷歌对其隐私政策进行调整,并给了谷歌4个月的限期使其政策符合欧洲法律。2018年3月,Facebook被曝光向“剑桥分析”公司泄露5000万用户个人信息,欧洲议会宣布将对此事件展开调查,以确定是否存在数据遭到滥用的情况。   《一般数据保护条例》的主要措施
  (一)创新个人信息行政管理机制。《一般数据保护条例》从管理机构、管理模式和管理方法三个层面,对个人信息保护的行政管理机制进行了创新。一是成立欧洲信息保护委员会。根据《一般数据保护条例》第68条规定,“特别设立欧洲信息保护委员会,其成员由各成员国个人信息保护行政机构首脑或者其代表和欧洲信息保护监督局首脑或其代表组成,委员会的秘书处由欧洲信息保护局担任”,该委员会的设立,将会极大提升欧洲信息保护局的权利,确保条例在各成员国统一适用。二是建立一站式服务管理模式。《一般数据保护条例》提出,“构建一个包含领导机构和相关机构共同协作的详细的一站式管理规则”,并且指明了领导机构和相关机构,要求“领导机构和相关机构保持密切合作和信息共享”。三是实施风险等级差异化管理。《一般数据保护条例》实行了风险等级差异化管理方法,对个人信息处理活动的风险划分为“较高风险”、“一般风险”和“较低风险”三类,要求信息控制着开展“较高风险”活动前需做影响评估,并向信息保护局咨询。
  (二)明确个人对其信息的控制权。《一般数据保护条例》在现有个人信息保护法律、法规等规范性文件的基础上,总结实践经验,用于創新,进一步明确了个人对其信息的控制权内容。一是完善了个人信息的范围。《一般数据保护条例》规定,“个人信息是指任何确定或可辨别自然人(信息主体)的信息”,因此,任何信息只要能够对应出“特定自然人”,即是条例保护的对象。二是要求收集和处理个人信息必须获得本人明确同意。《一般数据保护条例》要求,“个人信息使用的条款应具有容易识别、通俗易懂的特点,不得与其他条款进行捆绑,不能将‘沉默’‘不作为’等默示方式等同为‘同意’”,有效解决了当前存在的“捆绑条款”“默认同意”等问题。三是个人有权随时要求擦除其个人信息。《一般数据保护条例》首次将信息的擦除权作为一项独立权利进行规定,加强了个人信息保护的力度和广度。四是确保个人查询信息的便捷性。《一般数据保护条例》要求,“信息主体在向控制着行使查询权利时,控制者应免费提供服务;只有当查询要求是重复的、显然不存在的、过分的或者要求复印时,方可索取一定费用”。
  (三)界定个人信息相关单位责任。《一般数据保护条例》重新对信息控制者、处理者进行了责任和义务的界定。一是将信息控制者和处理者同等对待。区别于先前认为信息处理者是信息控制者的外包服务人者,条例将“信息处理者增设为直接、独立的义务主体”,同时增设了“信息处理者的独立义务”。二是设立信息保护官制度。条例规定,“信息控制者、处理者在三种情况下必须设立一名信息保护官”,通过分析可知,按照条例规定,除法院外的所有公共机构均有义务设置专门的信息保护官,大大提高了个人信息保护的力度。三是加强信息安全保护工作。条例规定,“鼓励信息控制者采取加密或变形措施处理,增强信息保护级别”,此外,还需要对每一次信息处理活动进行记录,各项保护采取的措施也要公开透明。四是信息泄露时需履行报告和通知义务。条例规定,“信息泄露后,信息控制者应在72小时内向信息保护局报告情况,没有造成损害除外”,同时,在特殊情况下,控制者还需将信息泄露情况及时通知给每一位信息主体。
  (四)完善特殊情况信息保护规则。《一般数据保护条例》除了对个人信息保护做了大量详细的规定外,对信息跨境流动、信息犯罪等特殊情况,也做出了细致的要求。一是要增强信息跨境流动的监管。云计算、大数据、移动互联网的快速发展,使得信息在全球范围内的流动越来越频繁,因此,《一般数据保护条例》对欧盟内个人信息的外向流动进行了严格规定。条例要求,“除非满足一定条件可以证明个人信息能在欧盟境外的某一地区得到充分保护,否则禁止控制者、处理者将欧盟内的个人信息转移至境外地区”,条例还对条款中涉及的“境外信息保护水平”的评判标准进行了详细描述,极为严格。二是完善了刑事犯罪领域的个人信息利用和保护规则。为了预防和打击犯罪,配合《一般数据保护条例》的实施,欧盟同时颁布了《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》,主要用于保障刑事犯罪领域收集到的个人信息不能被滥用,尤其是保障刑事犯罪人、嫌疑人以及相关被调查人的信息权益。
  对推进我国个人信息保护工作的启示
  (一)完善顶层设计。一是由网信部门牵头,联合公安、工信、安全等部门,联合制定全国个人信息保护规划,编制全国推进个人信息安全工作计划,制定个人信息保护的基本原则和相关政策。二是加强个人信息保护机制和问责机制,制定或修订相关的政策和法律法规,通过建立清晰的个人隐私保护规则和指南,设立问责机制和补救程序,防止个人信息滥用。三是研究制定个人信息处理活动评估模型,建立综合的个人信息处理标准,确保技术和政策标准的一致性和互操作性,以适应不断升级的安全威胁和不断创新变化的市场需求。四是要加强政府各部门之间的沟通和协调,整合个人信息安全工作资源,统筹管理、组织、指导个人信息保护工作。
  (二)加快立法工作。一是要加快推出个人信息保护,积极探索适应新时代、互联网环境的个人信息保护法律、法规,完善个人信息保护法制环境。二是对已有的法律、法规进行修订、完善,例如,个人信息保护相关的条款在《刑法》《刑事诉讼法》《民事诉讼法》《合同法》《居民身份证法》等法律法规中有涉及,可以通过修订、完善相关条款,明确个人信息在社会生活中的重要地位。三是针对各行业、各领域个人信息保护进行专门法规补充,结合行业特性、数据特点、数据颗粒度等因素,制定具有落地性的专项法规,并定期对法规执行情况进行检查,确保各项法规得到贯彻落实。
  (三)构建标准体系。一是要加快个人信息保护标准化建设,完善互联网环境下的信息收集、处理、存储、共享和管理等各方面的个人信息保护标准,建立覆盖信息生命全周期的标准体系。二是要对现有各领域数据保护的相关标准进行完善,使其能过适应各领域新技术的发展趋势,应用新技术对个人信息保护带来的挑战,提高标准的可用性和保障作用。三是加快对个人信息保护评价标准的建立,使信息收集者和处理者能够按照标准,做好数据安全防护工作,提高应对黑客攻击的能力,保障个人信息数据安全。
  (四)健全管理体制。一是要设立专门的个人信息保护机构,从事个人信息保护的日常监督、管理、执法、评估等工作,定期对我国个人信息保护状况进行汇总并向公众通告,提高公众个人信息保护意识。二是要建立灵活弹性、应对迅速的个人信息保护协调机制,应对突发的个人信息泄露、贩卖等重大个人信息安全事件,根据个人信息应急事件的规范化处理流程,做到快速响应和处置。三是要加强各地方、各区域的区域化自治,按照“统一领导、分级负责、分域管辖”的原则,各地方做好本区域内的个人信息保护工作,基层居委会、街道等机构加强对个人信息保护工作的宣传教育,提高全民的个人信息保护意识。
  (五)加强合作交流。一是组织国际、国内研讨会,就管理、标准、法规、实践等现场交流学习,认真总结国内外成熟经验,并向全国推广经验总结,支持、指导、鼓励各地、各行业在本地、本行业内建立相应的工作机构,推进个人信息安全工作。二是积极参与国际执法协作,在国际合作中,推动国际通用框架的构建,积极参与国际执法协作和框架协议规范数据跨境流通。三是定期组织国内个人信息保护、大数据、云计算、信息安全等各领域的专家,对个人信息保护问题进行研讨,推动信息安全理论、技术应用于个人信息保护。
其他文献
本报讯 8月13日,京东与英特尔对外宣布深化战略合作,双方将在目前的合作基础上,正式启动全量企业级业务合作。  据悉,双方将基于京东大数据平台整合、分析、利用大数据的结果,结合英特尔的云计算、物联网力量及存储和编程解决方案,针对不同应用场景输出中小企业客户偏爱的产品、配置、价格、解决方案及服务。双方将共享已有的中小企業客户数据及用户画像分析,并连同OEM合作伙伴共同制定适合于中小企业客户的产品、解
在万物互联的大背景下,预计未来将有数以百亿计的智能设备连接至互联网。思科公司最新数据显示,到2021 年在全球271 亿连接设备中,物联网设备将占据连接主导地位。这一趋势无疑推动了物联网向各行各业渗透,并将开启一个“万物皆有智能”的新型社会,人们能够享受到更加智慧的生活。在这个大连接、大智能的时代中,具有人工智能要素的芯片需求广阔,依靠人工智能芯片构建数据中心,为实现万物互联和人工智能提供基础计算
化合物半导体因其在射频电子和电力电子方面的优良性能,以及在5G通信和新能源汽车等新兴市场的应用价值,被认为是半导体行业的重要发展方向。在国内发展集成电路的背景下,化合物半导体受到地方政府和产业资本的热捧。投资“热潮”之下,需要重新思考我国发展化合物半导体的机遇、挑战和路径。  全球化合物半导体产业发展形势  国际龙头企业加速布局。一是并购布局。2014—2016年,全球最大的电力电子器件企业德国英
想约北京天华星航科技有限公司(以下简称天华星航)总经理岳国军做一次采访真的很难,因为他不仅管理着公司,亲自领导研发团队,最近还在攻读博士学位。不过,也正是凭着这股拼命三郎的劲头,他带领天华星航正由一个存储厂商转型为高端IT综合服务商。  围绕云计算做文章  2016年,在整体经济环境低迷的情况下,天华星航实现了逆增长。岳国军将天华星航取得的重大突破概括为以下几方面:第一,产品研发取得巨大进步,直接
目前,赛诺最新数据显示,11月份中国智能手机市场持续走低,整体销量同比下滑12.6%。其中僅华为、荣耀、vivo实现销量正增长,魅族、三星等品牌销量下跌惨重,降幅均超过50%。而前11个月总体销量表现中,头部品牌中OPPO下滑较为严重,达到5%。  具体销量方面,11月,vivo、华为、OPPO、荣耀、苹果占据前五。
本报讯 近日,阿里云IoT与半导体供应商意法半导体(ST)宣布将推出“未来工程师”计划。该计划旨在发挥ST嵌入式硬件领域及阿里云IoT云端平臺优势,通过校园、社会推广及产教联盟等形式,培育新一代的物联网开发工程师。“未来工程师”计划将涉及多个方面,其中主要包括物联网课程的开发、实验,实践平台的设计、技能培训和认证体系。
本报讯 9月21日,区块链硬件、软件和服务领域的全球领导者比特大陆宣布推出自主研发的全新7nm芯片,可用于挖掘比特币(BTC)、比特币现金(BCH)加密数字货币。  7nm芯片是区块链和加密数字货币行业的研发突破,旨在为客户提供更高效的挖矿设备。目前,比特大陆的7nm芯片即将量产,并将应用于下一代蚂蚁矿机。得益于芯片制程的改良,搭載7nm芯片的新矿机将在各项性能指标上有较大提升。
全球领先的支付服务提供商Worldpay发布的“2018全球支付报告”显示,到2022年,中国移动商务市场将实现跳跃式发展。  在这份报告中,Worldpay发现,未来4年体量最大的电子商务市场分别是中国(1.78万亿美元)、美国(1.15万亿美元)和英国(3145亿美元)。  报告预测,移动商务将是全球商户下一个利润丰厚的销售渠道。到2022年,全球三大移動商务市场预计将是中国(11800亿美元
随着银行、酒店、电信等窗口服务行业竞争越来越激烈,它们逐渐提高了对用户体验感的关注度。很多人发现,用户排队时间长,业务办理速度慢等问题,成为影响用户体验度的关键因素。这其中一部分原因是因为票据打印机在打印业务单据时不顺畅造成的。  正是看到了这样的需求,爱普生近日推出了LQ-82KF高速票据打印机。相比之前的产品,该票据打印机速度更快、输出更稳定,保障了用户在业务高峰期可以高效运行。  LQ-82
近日,由中国人工智能学会主办的中国人工智能大会在深圳召开,利用这个人工智能领域产、学、研紧密结合的高端前沿交流平台,围绕关键核心技术发展等当前热点话题,学者和业界人士进行了充分探讨。  人工智能发展进入新阶段,将成为推动未来发展的新一代技术引擎。“在我看来,如果说机器最初是替代人的体力,那么在人工智能时代,机器可以用来替代人类智能,帮助人作出判断和决策。”中科院神经科学所所长蒲慕明院士说。  在过