理论教育 个人信息处理者的义务-个人信息安全保护体系研究

个人信息处理者的义务-个人信息安全保护体系研究

时间:2023-11-21 理论教育 版权反馈
【摘要】:与个人信息所有人的权利相对应的个人信息处理者则需承担个人信息保护义务。告知义务与个人信息所有人的同意是相对的,对于有关机构而言,需要将其处理个人信息的情况告知个人信息所有人。日本《个人信息保护法》第18条第1款规定,个人信息处理者取得个人信息后,除事先公布其利用目的之外,必须尽快将其利用目的通知本人或者予以公布。

个人信息处理者的义务-个人信息安全保护体系研究

与个人信息所有人的权利相对应的个人信息处理者则需承担个人信息保护义务。这些义务涉及个人信息的收集、保存、利用、传输、处理等各个方面和过程,内容非常广泛,但较为重要的五大义务为告知义务、公开义务、安全保管义务、通知义务和个人信息去识别化义务。

1.告知义务。告知义务与个人信息所有人的同意是相对的,对于有关机构而言,需要将其处理个人信息的情况告知个人信息所有人。该项义务的具体内容包括:在收集个人信息之前,征得个人信息所有人同意或告知本人。根据直接收集原则,公共部门所需要的个人信息应当直接向个人信息所有人收集。当然,许多国家和地区的法律中也规定了一些例外情形,比如德国联邦个人数据保护法》第13条第2款规定:应向个人信息所有人直接收集个人信息。未经个人信息所有人同意的个人信息收集,仅限于法律有明文规定:或是根据执行职务的种类,有向他人或其他机关收集的必要;或向个人信息所有人收集将造成不当的浪费,且对于个人信息所有人值得保护的重大利益不造成侵害的情况,才能够实行。

2.公开义务。这里的公开,包括对个人信息所有人公开和对社会公开。向个人信息所有人的公开是指经个人信息所有人请求或主动向个人信息所有人告知信息的内容及信息收集、处理、利用等相关程序和事项;向社会公开指向社会公开信息收集、处理、利用等相关程序和事项。欧盟《个人数据保护指令》第10条规定:当涉及个人信息所有人本人的信息是从个人信息所有人处收集来的,各成员国应规定信息处理者或其代表必须向该个人信息所有人提供以下信息。除非个人信息所有人已经拥有这些信息:信息处理者或其代表的身份、将要处理信息的目的;其他更进一步的信息,如信息的接受方或接受方的类别;就提问予以答复是义务的还是自愿的,以及不作答复的可能后果;信息获取权的存在以及更改有关其本人信息的权利。日本《个人信息保护法》第18条第1款规定,个人信息处理者取得个人信息后,除事先公布其利用目的之外,必须尽快将其利用目的通知本人或者予以公布。

3.安全保管个人信息的义务。该项义务的内容比较繁杂,比如在收集个人信息后,应制作“个人信息登记簿”对个人信息进行分类、归档并保存;要保证个人信息的准确、完整、从新;当出现法定或约定事由时,删除或停止使用相关信息;不得向第三方提供信息;采取必要措施保障信息安全等。在信息安全形势日益严峻的今天,采取必要措施保障信息得到了越来越多的关注。比如德国《联邦个人数据保护法》第9条规定了入口管制、出口管制、输入管制、使用者管制、取用管制、传输管制、组织管制等措施。中国台湾所谓的“个人资料保护法”规定,公务机关要指派专人从技术和组织管理层面出发处理有关信息安全防护事项,防止个人信息被窃取、篡改、毁损、丢失或泄露。公务机关为了让专人具有办理信息安全维护事项的能力,应使专人接受相关专业的教育培训。非公务机关,也要实行合适的信息安全管理措施。对于一些特定的非公务机关,主管部门要指定其制定个人信息安全防护计划或业务终止后个人信息处理方法。

欧盟《条例》正式引入了“从设计保护个人信息”(privacy by design)理念,规定欧盟成员国应采纳并推动“从设计保护个人信息”理念,并授权欧盟委员会针对“从设计保护个人信息”制定相关的技术标准,以保证该理念的有效运转19。该理念是由加拿大安大略省信息和隐私专员A.卡沃基安(Ann Cavoukian)在20世纪90年代开始倡导的,旨在鼓励企业改善其内部流程,以用户为中心,尊重用户个人信息安全,建立个人信息安全风险预评估机制,在产品或服务设计初期,即导入个人信息保护机制,最终成为组织运作上的“默认模式”20。虽然美国联邦贸易委员会在2010年9月提交的信息安全立法报告中,没有直接使用“从设计保护个人信息”这个概念,但已开始强调该理念的重要性[21]。马萨诸塞州民主党参议员J.克里(John Kerry)和亚利桑那州共和党参议员J.麦凯恩(John McCain)曾在2011年共同提出的《商业隐私权利法案》中首次将“从设计保护个人信息”理念纳入联邦法律之中[22]。而2012年美国政府在《消费者隐私权法案》(草案)中提出的“不可追踪”机制则具体落实了此概念:企业在网页设计上必须纳入消费者控制选项,以帮助消费者自主决定是否受到在线追踪[23]。目前包括谷歌雅虎、微软及美国在线等互联网公司均已同意提供该选项。澳大利亚政府信息管理办公室在2013年8月发布了《公共服务大数据战略》,“从设计保护个人信息”理念是将支撑该战略得以实施的六条“大数据原则”之一,另外五条原则包括数据属于国有资产、数据完整性与程序透明度、技巧和资源共享、与业界和学界合作、强化开放数据。作为现阶段全球最重要的个人信息保护会议“信息保护和隐私专员国际会议”正式将“从设计保护个人信息”列入大会决议事项并提出:各国应当认同“从设计保护个人信息”已是个人信息保护所不可或缺的组成部分;鼓励各个组织采用“从设计保护个人信息”理念下的基本原则,比如以其作为行动指南,使个人信息保护成为组织运营的默认事项;敦促各国的个人信息保护主管部门出台“从设计保护个人信息”相关措施。在“信息保护和隐私专员国际会议”提出的五项推动措施中,还建议各国将“从设计保护个人信息”理念纳入本国的个人信息保护立法。(www.daowen.com)

另外,通过在法律中引入个人信息安全风险评估制度,可以事先排除危险要素,有效预防个人信息的泄露或滥用,从而提升国民对国家的信赖度。韩国《个人信息保护法》第33条第1款规定:“公共机关负责人认为因以总统令确定的标准相当的个人信息文件的运营可能导致个人信息侵害的情形下,应进行为分析其危险要因和导出改善事项的评价,并将其结果向行政安全部长官提出。此种情况下,公共机关负责人应委托行政安全部长官指定的机关进行影响评估。”韩国《个人信息保护法施行令》第35条规定,个人信息影响评估的对象主要是涉及很多信息主体的个人信息,如作为拟构筑、运用或变更的个人信息档案,涉及100万以上的信息主体的个人信息档案[24]

4.个人信息安全侵害通知义务。个人信息泄露会造成身份仿冒、电信欺诈、金融诈骗等一系列严重后果。采取个人信息安全侵害通知,既能降低个人信息所有人的损失风险,又能督促个人信息处理者做好个人信息的安全保管工作。欧盟《个人数据保护指令》并没有包括个人信息安全侵害通知的要求,但《条例》则要求信息处理者应当在24小时内向监管机构报告个人信息的泄露情况。如果通知没有在24小时内完成,则应该解释延误原因。如果信息泄露可能会给个人信息所有人的隐私带来消极的影响,例如身体伤害等,相关的处理者必须毫不延误地通知个人信息所有人,以便个人及时采取措施。通知应说明个人信息违反的性质,并且提供降低风险的建议。中国台湾所谓的“个人资料保护法”规定,发生个人信息被窃取、泄露、篡改或受到其他侵害时,作为个人信息保管者的公务机关或非公务机关有义务查明并通知当事人,让受害者了解个人信息受到侵害,并防止损害扩大化。韩国《个人信息保护法》第62条也对个人信息安全侵害通知做了相应的规定。

5.个人信息去识别化义务。为了进一步促进大数据开发利用,个人信息去识别化已经成为各国个人信息保护法修订过程中重点关注的内容,比如日本在2015年9月通过该国《个人信息保护法》修订版时,特别增加了一个新的概念“匿名加工信息”。匿名加工信息是指按照相关措施对个人信息进行加工处理后去除“特定个人可识别性”,使之成为无法识别特定个人且无法复原的个人信息,并免除其为原定目的外二次开发利用或提供给第三人时必须得到当事人同意的义务。值得指出的是,此处所称无法复原特定个人识别性,并未要求全面排除复原可能性,因为即使匿名加工从业者已根据有关标准方法进行匿名加工处理,但如果其将匿名加工信息提供给第三人利用时,对该第三人所拥有的信息技术及其手中是否有其他可以加以组合、比对的其他信息都是无法预料的事情。因此除了要对匿名加工方法在技术层面加以规范外,还必须用法律形式对匿名加工从业者及受匿名加工信息提供者应承担的法律义务加以明确,并要求匿名加工信息利用过程呈现公开化和透明化[25]。个人信息控制者要承担禁止“个人信息再识别”义务,即个人信息处理从业者完成匿名加工信息而自己又准备利用这些信息时,不能将此匿名加工信息与其他信息相互组合、比对,识别出该匿名加工信息的当事人。而接受匿名加工信息的从业者,也不能为识别出特定个人,而取得从这些个人信息中被删除的有关信息或个人识别符号,或者是完成匿名加工信息的方法等,也就是说个人信息匿名加工处理从业者与接受匿名加工信息的从业者,都不能进行恢复该个人信息识别性的行为。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈