段。
《2009个人隐私与安全法案》建立了风险评估、漏洞检测以及对访问敏感信息的控制和审计相关标准,同时也有条款规定了在出差及在非工作时间的数据保护措施,以及在数据泄漏时需及时通报执法部门、信用报告机构及受影响的个人。作为补充,这一法案规定在联邦贸易委员会下设置联邦身份保护办公室。《数据泄漏事件通报法案》要求美国联邦政府机构以及业务范围跨州的企业在发生数据泄漏事件时必须通知所有信息可能被或者已经被访问、获取的当事人。
二、欧盟
1.《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》。
欧洲议会和欧盟理事会于 1995 年 10 月 24 日 通过的《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)20。简称数据保护指令(Data Protection Directive),这是欧盟在个人信息保护方面最重要的指令。3年后正式生效。这一指令要求欧盟各国采取欧盟统一标准对个人数据进行保护。为适应欧盟对其成员国个人数据保护的统一要求,欧盟各成员国相继制定了本国的数据保护法,或者对已有的数据保护法进行修改21。
2.《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》
2000年12月18日,欧洲议会和欧盟理事会通过《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》
2021
http://ec.europa.eu/justice_home/fsj/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf 部分参考http://news.ccidnet.com/art/1032/20100124/1986019_1.html
3.《关于在电子通信领域个人数据处理及保护隐私权的指令》
2002 年 7 月 12 日 ,欧盟理事会和欧洲议会共同颁布了新的《关于在电子通信领域个人数据处理及保护隐私权的指令》(Directive 2002/58 on Privacy and Electronic Communications)22,简称电子隐私权指令(E-Privacy Directive) 。该指令于 2004 年 4 月起在欧盟成员国生效实行。此项指令取代了1997 年 12 月 15 日通过的《有关电信行业中的个人数据处理和隐私权保护的指令》(简称电信业隐私权指令),是欧盟基于电子商务及互联网发展现状,而制定的旨在规范电子商务消费者隐私权保护的最新立法。指令包含有一系列专门针对电子通信领域个人信息处理和隐私权保护的特别规范,其中部分内容对欧盟电子商务指令的规定也做了进一步的补充和完善。
4. 欧盟数据保护监督专员
欧洲数据保护监督专员(European Data Protection Supervisor)23这一职位设立于2001年,职责是确保所有欧盟机构和组织在处理公民个人数据时尊重公民的隐私权。
当欧盟的组织或机关处理一位有确定身分的公民的个人数据时,它们必须尊重该公民的隐私权。欧洲数据保护监督专员确保它们会这么做,并在个人数据处理上给与他们指导.
上述的数据“处理”包括了许多行为,例如搜集信息、录制和储存、重新提取、发送或使其他人员获得以及阻止、删除或销毁数据。有严格的保密条例来管理这些行为。例如,欧盟机构或机关被禁止处理揭示公民种族或宗教,政治观点,宗教或哲学信仰,或工会成员资格的个人数据。
5. 欧盟数据保护工作组
Article 29 Data Protection Working Party24,数据保护指令第 29 条规定:建立
2223
http://eur-lex.europa.eu/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf http://www.edps.europa.eu/EDPSWEB/edps/pid/1?lang=en 24
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm
一个“在个人数据处理中保护个人的工作组”,一般称之为“第 29 条工作组”。或者数据保护工作组。
欧盟数据保护工作组2009年分别致信谷歌、微软和雅虎三大搜索巨头,认为搜索引擎服务商保存用户搜索记录时间超过6个月的理由并不成立,因此要求这三大搜索引擎商必须缩短用户搜索信息的保留时间。
三、日本
1.《个人信息保护法》
日本政府于2003年5月颁布了日本《个人信息保护法》,并根据这部法律的基本理念,相继制定并颁布了针对行政机关、独立行政法人等持有个人信息机关的4部法律。《个人信息保护法》可以称作企事业单位规制法,它的规制对象是全部持有并处理个人信息的企事业单位,其行为受到行政厅的监督和管理25。
日本《个人信息保护法》是一部对于个人信息持有处理者的企事业单位的规制法。从法律条文中的公开制度的表述中我们也不难发现,法律中没有类似于“国民可以做出某某行为”的表述,而是以“企事业单位不可以做出某某行为”的表述代之。因此这部法律不是一部直接规定国民的权利和利益的法律,它直接约束的是企事业单位。国民的权利和利益在日本是依靠民法的权利保护条款去执行
25
对外经贸大学硕士学位论文,张苑:日本《个人信息保护法》的实施及其对中国的启示
的,因此原则上隐私受到侵害时,在明确隐私权如何受到侵害及其侵害度后,应定性为民法的不法行为进行法律诉讼。
另一方面,企事业单位在利用消费者的个人信息时,需要告知“使用用途”,并有“通知、发布”的义务。事实上几乎所有的企业为了保证消费者的个人信息安全制定了相关的安全对策,并发布在各自的网站上。依据网站上的个人信息安全对策,个人信息的利用者、消费者和企业之间形成了一种合同约定,据此可以追究企事业单位的合同责任。
日本《个人信息保护法》目前只对于个人信息处理者的企事业单位的违法行为进行处罚。行政厅对于个人信息处理者的企事业单位进行各种规制管理,并通过要求其公开个人信息使用途径等方法了解其行为规范与否并对此进行法律监督。然而对于非企事业单位或者法律规定企事业单位范围之外的企事业单位,目前还没有具体的处罚规定,受害当事人可以对依据民法的规定对信息泄露者申请违约责任、不法行为等赔偿。
2. 其他
(1)《职业安定法》第五条之四规定了职业介绍机构等在保护求职者个人信息方面的责任26。
(2)通商产业省也曾于1997年3月公布了《关于保护民间部门电子计算机处理所涉及的个人信息的指南》(简称为“通产省指南”),以指导非政府部门的个人信息保护。
(3)财团法人日本情报处理开发协会于1998年开始运作“隐私标识”(Privacy Mark)制度,依据“通产省指南”向采取有力措施保护个人信息的非政府部门颁发“隐私标识”。
26
《中国社会科学院院报》,吕艳滨:日本隐私权保障的研究与启示
四、加拿大
1.《隐私法》
《隐私法》生效于1983年, 主要是规范加拿大联邦政府部门和机构收集、使用和披露个人信息的行为。
2.《个人信息保护与电子文件法》
《个人信息保护与电子文件法》(Personal Information Protection and Electronic Documents Act,简称PIPEDA)是2000年通过的, 并于2001年1月、2002年1月和2004年1月等三个阶段逐步生效, 它是规范加拿大私营部门在商业活动过程中收集、使用或披露个人信息的行为。此外, 加拿大一些省还对某些方面的个人信息保护进行了专门立法,如阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和安大略省就对医护服务提供者和其他医疗机构收集、使用和披露个人健康资料进行了专门立法。27
对个人信息定义方面, 加拿大《隐私法》和《个人信息保护与电子文件法》对个人信息的定义并不完全一致。《隐私法》规定法律保护的个人信息是指以任何形式记载的可识别的个人的信息, 同时还明确列举了民族、种族、血型、指纹、个人看法和观点等一些个人信息的具体类型。而《个人信息保护与电子文件法》则规定, 个人信息是指除姓名、职务以及作为一个组织雇员的办公地址或电话号码外, 所有的可识别的个人的信息。很明显,《隐私法》保护的个人信息没有涵盖尚未形成记录的个人信息。
2. 隐私专员办公室
在机构设置上, 加拿大联邦的个人信息保护专门机构是加拿大隐私专员办公室(Office of the Privacy Commissioner)28, 同时各省也设立隐私专员办公室或类似机构, 但各省隐私专员与联邦隐私专员之间并没有隶属关系。联邦隐私专员
2728
《韶关学院学报》,许春尧:加拿大个人信息保护法律制度及借鉴 http://www.priv.gc.ca/index_e.cfm