導語：商用服務信息保護和監(jiān)管研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】2018年1月3日，曬2017年支付寶賬單活動風靡微信朋友圈，支付寶在2017年賬單界面嵌入了一段不易發(fā)現(xiàn)的服務協(xié)議鏈接，導致全國上億用戶在不知情的情況“被授權”支付寶采集個人信息，消息一出，引發(fā)了全體網(wǎng)民、社會媒體及法律界人士的跟進關注，輿論發(fā)酵迅速。目前，個人商用服務信息權益保護工作逐漸受到世界各國金融服務機構和監(jiān)管主體的關注。本文對國外個人商用信息保護和監(jiān)管方面的經(jīng)驗做法進行了整理，為我國個人商用服務信息保護和監(jiān)管提供了有益借鑒。

【關鍵詞】信息安全行業(yè)監(jiān)管立法保護

一、我國個人商用信息保護和監(jiān)管工作存在的不足

一是我國針對個人的信息保護的立法空白。目前，我國并未出臺保護個人信息的專門法律。我國的《國侵權責任法》和《民法通則》中的關于個人信息保護與侵權救濟條款，奠定了個人信息保護的民事制度基礎，但相關條款內容過于寬泛，缺乏針對性和具體執(zhí)行力。我國的個人信息保護法立法建議從2003年被提上日程，缺一直未能進入正式的立法程序。我國個人商用信息保護的基本法空白，降低了個人信息保護的司法執(zhí)行力。二是我國對個人商用信息保護范疇的界定過于狹窄。目前，我國關于個人商用信息的規(guī)定散見于多部法律法規(guī)中，側重于保護個人信貸信息、通信信息等，對個人信息保護主體的界定主要局限于各行業(yè)內部，未能涵蓋與行業(yè)信息有關聯(lián)的其他主體。致使如醫(yī)療、房產中介、機動車銷售、電信運營、網(wǎng)絡服務等行業(yè)及其相關業(yè)務人員有許多機會掌握大量公民個人信息。因此這些行業(yè)也往往成為個人信息泄露的“重災區(qū)”。三是信息保護監(jiān)管機制不完善?，F(xiàn)階段，我國對個人商用信息監(jiān)管不具備違規(guī)行為發(fā)生后的問責到底的機制，同時面臨重大群體信息違規(guī)違法事件的處理機制不健全，監(jiān)管主體責任不明確，行業(yè)監(jiān)管乏力存在漏洞。如，日前支付寶惡意隱藏信息采集授權條款，導致客戶在不知情的情況下“被同意”了《芝麻服務協(xié)議》的事件中，支付寶僅僅通過官方微博了道歉說明，但截至目前相關監(jiān)管機構針對整個事件并未對支付寶進行處罰和開展后續(xù)事件調查。四是缺乏具體有效的救濟方式?，F(xiàn)行對個人金融信息保護的相關規(guī)定側重于規(guī)范金融機構的行為，而缺乏對數(shù)據(jù)主體權利、救濟方式和途徑的規(guī)定。這一現(xiàn)狀導致在個人金融保護的實踐中，數(shù)據(jù)主體的權利容易被輕視，同時侵權者違規(guī)違法成本低，使得數(shù)據(jù)主體在遭受侵權行為時往往難以得到民事救濟。

二、國外個人商用信息保護和監(jiān)管的主要做法

（一）明確界定個人信息，增強市場保護和監(jiān)管的針對性。美國側重對政府權利的限制，出臺的各項法規(guī)旨在保護公民的隱私權、財務信息、健康信息保密性和安全性，在美國《隱私法》中，采用“記錄”代指“個人信息”，指一個機構所持有的與一個人相關的單項信息活信息集合。歐盟雖然比較注重保護社會公眾個人商用信息的隱私權，但同時出臺了一系列制度確保成員國不會因為對個人信息的過度保護而阻礙個人數(shù)據(jù)在成員國之間的正常交流。歐盟將社會公眾的商用信息界定為和自然人相關的所有信息，因此歐盟對個人信息的保護內容相對廣泛。日本對個人權利和利益的保護顯著增強，日本將個人信息定義為與一個自然人相關的，包含姓名、駕照、身份證號、出生日期、軍官證和其他所有可以識別出特定對象的任何信息。（二）借助行政手段，統(tǒng)一市場管理。美國通過借助政府統(tǒng)一管理，部門分散立法的模式，實現(xiàn)相關機構行為的自我約束、自我規(guī)范，從而保護個人信息的安全，并在個人信息保護和個人信息產業(yè)發(fā)展之間找到平衡。歐盟明確了個人信息保護的基本原則，歐洲議會出臺統(tǒng)一管理框架，各成員國根據(jù)聯(lián)盟統(tǒng)一要求，分別建立自己的個人信息保護法。日本通過行政干預統(tǒng)一了全國個人信息標識，加強個人商用信息的規(guī)范化管理手段。（三）進行專門立法，加強司法監(jiān)督。美國早在上世紀80年代就出臺了《美利堅合眾國隱私法》，規(guī)定了在商業(yè)領域的個人信息保護辦法，是美國保障公民信息安全的重要法律，該法案提出了公民隱私權為國家憲法必須保障的基本人權。在1997年，美國又出臺了《美國互聯(lián)網(wǎng)商務機構政策框架》，明確了私營企業(yè)在互聯(lián)網(wǎng)領域保護個人信息的主要義務，并鼓勵私營企業(yè)為此建立內部管理制度，同時提出建立獨立的、公正的第三方機構的監(jiān)督機制。歐盟在個人信息保護方面的工作成績突出，這與其出臺嚴格個人信息立法環(huán)境關系密切。總體上看,歐盟個人信息保護的法律從強調對國家權力的有效控制以及對私權領域的嚴格限制，執(zhí)行了集公權領域與私權領域于一體的統(tǒng)一立法標準。歐盟于2016年5月24日通過了《一般數(shù)據(jù)保護條例》（GeneralDataProtectionRegulation，GDPR），并將于2018年5月25日實施。GDPR的通過意味著歐盟對個人信息保護及其監(jiān)管達到了前所未有的新高度。此外，各歐盟國家也分別制定國內的相關法律，以加強個人信息在本國的保護和監(jiān)管。如瑞典于1973年出臺了《數(shù)據(jù)法》，明確了有關個人數(shù)據(jù)在采集、加工、保管以及公開等方面的具體措施。德國的《個人數(shù)據(jù)保護法》采用了統(tǒng)一立法的標準，對公民的個人信息采取了統(tǒng)一、規(guī)范的立法保護。法國的《自由信息法》，是一部專門約束公權力，保護個人信息的法律。英國的《英格蘭個人信息保護法》分別從信息的采集路徑、信息用途、保存期限、信息保管平臺職責等方面做出了明確的規(guī)定，降低了個人信息受非法侵害的風險。而亞洲的韓國、日本、新加坡等國也制定了自己的個人數(shù)據(jù)保護法。其中日本《公民數(shù)據(jù)保護法》規(guī)定了國家機關、地方及政府以及社會團體在個人信息保護方面的具體職責，為個人信息保護中遇到的法律糾紛提供解決依據(jù)。韓國出臺的《互聯(lián)網(wǎng)商務基本法》確保了個人信息在互聯(lián)網(wǎng)環(huán)境下安全傳輸。新加坡出臺的《公民個人信息保護法》對個人信息保護相關問題做了體系化、規(guī)范化的梳理與規(guī)定，將個人信息保護納入了正式法律治理范疇。（四）加強行業(yè)自律，輔助對個人信息的保護和監(jiān)管。日本許多民間組織制定了涉及個人信息安全的規(guī)范文件，截至2010年年末，日本共有2000多個地方公共團體制定了相關個人信息保護條例。到2017年，日本各級政府均已制定了《個人信息保護辦法》。日本民間團體無權立法，主要通過行政指導、行業(yè)自律或個別法律的某些具體管理條例實現(xiàn)自我約束、自我管理，如日本個人數(shù)據(jù)保護辦公室制定的《社會團體自然人信息保護辦法》等。（五）建立了健全的個人信息主體救濟措施歐盟通過的《一般數(shù)據(jù)保護條例》明確了監(jiān)督機關救濟、司法救濟、公益組織救濟和損害補償?shù)染唧w救濟和補救措施，如果數(shù)據(jù)主體認為與其有關的個人數(shù)據(jù)處理違反了本條例，有權向常住地、工作所在地、侵權發(fā)生地成員國的監(jiān)督機關、對數(shù)據(jù)控制者或處理者、非營利性機構、組織或協(xié)會及向數(shù)據(jù)控制者、處理者提起訴訟或索償。

三、相關建議

（一）加快個人信息保護和監(jiān)管立法。一是出臺個人信息保護法。提升法律保護的效力，需要盡快出臺一部統(tǒng)一的個人信息保護法律。二是完善個人信息保護制度建設。個人信息保護監(jiān)管機構、金融機構、征信機構等要把內部制度的完善、嚴格遵守放到重要位置。（二）加強個人信息監(jiān)管體制建設。首先應明確我國個人信息監(jiān)管的主要機構，對我國個人信息監(jiān)管、立法、執(zhí)行進行統(tǒng)一領導，再由各行業(yè)具體監(jiān)管單位建立行業(yè)內個人數(shù)據(jù)保護的規(guī)則和執(zhí)行標準，督促相關單位加強對個人信息數(shù)據(jù)庫的監(jiān)管，嚴格按照制度要求處理個人信息。鑒于中國人民銀行征信中心在個人信息監(jiān)管方面的成功經(jīng)驗，建議由中國人民銀行牽頭開展個人信息保護的監(jiān)管試點工作，提升監(jiān)管效力。（三）加強個人信息保護行業(yè)自律。一是鼓勵相關社會團體積極健全完善個人信息保護的內控機制。個人信息的商用機構要完善客戶信息保護的規(guī)章制度，細化執(zhí)行流程，定期對信息安全狀況進行科學評估。二是個人信息處理平臺要不斷完善系統(tǒng)安全建設，提升互聯(lián)網(wǎng)環(huán)境下的個人數(shù)據(jù)平臺的風險防防范能力。三是加強業(yè)務人員教育和管理。把保密教育納入員工培訓必學內容,不斷增強員工保密和法律意識以及對信息的管理能力。（四）充分發(fā)揮司法審判的作用。我國的法院、檢查和公安等部門應切實提升個人商用信息糾紛案件的審理水平，并對性質嚴重、情節(jié)復雜的信息侵權案件指導性案例，為我國個人信息糾紛的案件審判提供明確的指引，有效協(xié)助司法機關科學、合理使用自有裁量權。

參考文獻

[1]GB/Z28812-2012《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》.

[2]EU.GeneralDataProtectionRegulation.[2015-5-24].[3]OECD關于保護隱私和個人數(shù)據(jù)跨國流通過的建議，2007.

[4]李林.個人信息保護現(xiàn)狀調研報告，社會科學文獻出版社.2009年版.

[5]齊愛民.論個人信息的法律保護[J].蘇州大學學報（哲學社會科學版），2005(2):30-35.

[6]宋麗.電子商務的發(fā)展和個人資料的保護[J].研究生法學，2001(3):21.

[7]黃勇.論個人信息保護執(zhí)法機構的設置及其職能[J].山西煤炭管理干部學院學報，2010(1):175-176.84

作者:王穎 單位:中國人民銀行寧縣支行