改进设想 [国外个人信息行业自律保护的改进设想]

国外个人信息行业自律保护的改进设想

日本在积极推进行业自律机制建设的基础上基于人格利益的保护建立了个人信 息保护法律体系。而加拿大则是利用私人自治、市场主导，在建立个人信息保护 规则基础上推进立法。

1 美国个人信息保护行业自律机制特征 1. 1 政府将行业自律作为自己的重要选择 1995 年7 月，美国政府保护隐私工作组首先出台了《个人隐私和国家信 息基础设施: 个人信息的使用和提供原则》，率先规定了一套规范个人信息自律 的共同基准。1999 年7 月，联邦贸易委员会报告认为:有效的自律制度，是保护 个人隐私的最佳选择，为进一步鼓励引导行业实施自律指明了方向。

1. 2 制定行业自律规则 1. 2. 1 行业指引 在遵照上述隐私原则的基础上，网上业务联盟出台了《网上隐私保护自律 准则》，规定所有企业无条件遵守，如在线隐私联盟等。

1. 2. 2 规定运营商责任 根据相关制度，如果运营商的行为符合联邦贸易委员会批准的行业自律原 则精神，就能够避免因不当使用泄露个人信息所应担负的责任。

1. 2. 3 网络隐私认证 通过对那些达到其提出的隐私规则的网站进行授权，并设置特定的标识符， 以区别于没有标识符的普通网站。该认证适用于跨行业联盟。

2 日本个人信息保护行业自律机制特征 继日本东京都国立市出台个人信息保护条例之后，日本信息处理开发协会 ( JIPDEC) 出台了《关于民间部门个人信息保护指导方针》及相应要求( JIS) 《个 人信息保护管理体系要求事项( JIS Q 15001) 》。据此，JIPDEC 启动相应评估认证，评估合格的公司将获得相应等级合格证书。

3 加拿大个人信息保护行业自律机制特征 政府通过制定《自律性规范指南的发展和应用》，旨在利用私人自治、市 场主导，建立个人信息保护规则，以推动立法进程。同时，网络提供者协会也制 定出业者行为准则，以规范服务商及从业人员的自律行为。

4 中国借助国外行业自律制度保护个人信息的改进设想 4. 1 确立行业自律组织及其制度的法律地位 美国《儿童在线隐私保护规则》规定，若行业成员依据联邦贸易委员会批 准的行业自律准则从业，就视其为依法办事。这对我们具有重要的借鉴意义。因 此: 一是应确立经政府有关部门批准成立的行业自律组织具有独立法人资格，由 其制定的章程、公约和业者行为准则也具有相应的法律效力，规定行业自律组织 的设立要求、经费及制度保障。二是自律组织在制定管控自身规则的基础上，应 实现监管从业主体、裁决争议及实施行政复议与行政诉讼的职能。三是应完善相 应行业自律规范的行政备案和审查机制( 工商行政管理机关审查企业，有关业务 指导部门审查行业团体，行业协会或其他行业自治组织在其成立时制定的章程， 则应向业务主管机构和登记机构备案并由其进行审查) 。

4. 2 制定个人信息保护行业自律制度 4. 2. 1 确立处理个人信息的原则 包括: ( 1) 采集和存储个人信息者必须事先向法定的主管部门申请授权， 报告采集目的和方式，向被采集者明示其采集目的和依据，对非法定采集公民信 息，公民有权拒绝。( 2) 单位只能收集与履行职责有关的信息，处理者应事先在 指定部门备案，且不得利用工作之便建立私人留存。( 3) 处理信息应当在相应的 法定时间段内完成，并有义务对其内容的精确程度负责，而且利用不得与其征求 初衷冲突。( 4) 没有获得权利人同意，涉及其自身的信息内容不能随便发布，法 律规定的特许情况不在其列。所发布内容应及时存档备案，以备查存。信息主体 同意的获得必须在事前获得，并为信息主体规定退出选项。( 5) 信息主体有权要 求相关单位公布、修改和删除与己有关的信息，同时阻止其进一步传播。( 6) 涉 及信息主体的内容二次转让，只有在经过权利人授权且受让者签署保密协议的情 况下才合法有效。( 7) 合法使用个人信息应对其内容的准确性事先向权利人核实，非法和因利用不准确内容对权利人形成的伤害，使用者理应担负相应的刑事、民 事和行政责任，信息主体在法定期间内有提起行政复议或行政诉讼的权利。

4. 2. 2 建立个人信息保护行业自律制度 一是在充分征求成员意见的基础上，制定行业组织自治章程，并规定赔偿 基金建立、运行和监控措施。二是制定操作性较强的行业自律公约和业者行为准 则，以规范行业个人信息保护措施，并监察及监管其遵守个人信息保护政策规定 的执行情况。三是确立个人信息分类层次，并借助客户关系管理系统( CRM) 建 立信息仓库，对分门别类的信息内容进行相应处理。四是制定不同职级职员收集、 传送、储存、保管、处置个人信息的不同标准，内部人员只能使用与级别权限相 适应的个人信息，外部人员应在行业统一的审批程序与规则、规制下查阅和使用 ( 国家机关履行公务必须提供相应的证件和单位证明，非国家机关须征得相关客 户的许可) 。五是引入听证制度、复核制度和申诉机制，并在一定的限制条件下 引入举证责任倒置规则。通过具体的程序性设置，向权利主体提供解决纠纷的机 制和救济方法，工信部及主管机构最终裁决。六是出台行业保护责任界定标准及 协同处置机制，准确界定单位、法人与员工个人违反国家法律和行业章程的责任 界面，细化、明确惩罚标准，并依据侵权行为性质、危害结果程度的不同使其承 担相应的责任。七是不仅要注重成员与成员之间的评估，更应注重通过客户问卷 调查等方式，对成员单位保护个人信息情况进行评估和认定，合格者颁发相应等 级的证书，以利客户选择，并择其优者给予表奖。八是要建立成员互相监督激励 机制，使从业者清楚，保护好用户个人信息，从业者自身也受益。

4. 2. 3 建立独立的个人信息保护行业自律监管机构 一是根据《国务院机构改革和职能转变方案》依法界定行业协会的权力与 义务，强化行业自律，使组织体能实现他律与自律相结合，以推动其成员的自我 管理。成员单位内也应设置相应的监管机构，将自己处置不了的事项上报单位领 导及行业协会。二是建设、管理和维护举报网站，采取先进的技术手段保护举报 人的姓名、单位、通讯方式、网络IP 等信息，以防止黑客的侵入和内部不相关 人员的偷窥，并公示违规成员的处理结果及其由上级主管部门和司法机关处理的 案件结果。三是积极采用PET 技术，使用户知晓其个人信息存放何处，经过了 哪些操作，用在了什么地方，从而杜绝信息的不合理使用。四是在不固定时间范 围的情况下，抽查行业成员采集、存储、保管、利用个人信息制度的执行情况， 并公示抽查结果。对查出的问题令其尽快整改，其中的疑点通过倒查机制进行查 处，并对所产生的争议和纠纷进行终审和仲裁。五是设置个人信息公开选择网站。在让成员公开其个人信息内容利用情况的同时，用户可以查看是否已公开了不该 公开的内容，对可以公开的内容在签署合同的基础上遵照合同条款有条件地公开。

六是对不执行相关规定的企业和单位以行业的公信力给以通报批评，对屡教不改 的将其输入社会不良信用黑名单，以警示其他从业成员。

4. 2. 4 确立提供网络服务成员保护个人信息的责任与义务 奥地利、德国的数据法都规定: 禁止服务商擅自传输用户信息记录，有义 务利用更新技术手段维护其存储、访问及传输安全，并同当事人签署知情权、纠 正权、删除权等授权协议。在我国，网络服务提供者对作为一种民事权益的网民 的个人信息有保护的法定义务;
ICP 通过网民注册并提供服务，与网民已构成事 实上的服务契约履行。因此，一是要明确在用户信息采集、处理和保护方面的法 定义务，最大限度地减小用户个人信息被泄露、盗取的可能。二是关于权利主体 个人信息的监控，必须是其知晓的环境中才能进行，并明确违背法定职责和义务 的各种具体法律后果。三是完善技术措施，实现个人信息传输、保存安全及按不 同用户设置不同的查阅控制。四是保障权利主体权益不应同公众信息交流与社会 公共利益相冲突。

4. 2. 5 制定行业统一的网站用户隐私保护内容标准 一是要明确告知用户采集了哪些信息、用途是什么、保存期限及到期时是 否安全销毁、是否提供给第三方、是否经用户同意授权等。二是要明确用户个人 真实注册信息应通过公安部数据库验证并保存，信息应层层加密，各级密码权限 分别由不同的部门管理，工作人员不能查看。只有接到司法部门明确要求时用户 操作日志等内容才能调取查看。三是要在用户上传、发布信息、使用第三方应用、 下载手机APP 等入口明确提示个人信息可能被他人获取，由用户选择继续( 填 写某些个人信息后继续) 或后退。四是设置客服电话、邮箱等多种渠道接受用户 投诉，并及时处理。五是网站的隐私声明应按统一标准制定，存在争议的应参照 标准内容执行。六是体现不泄露用户信息、不强制用户接受商业信息的承诺。需 要经用户二次同意，而且默认为不同意，需要用户点击同意方可。七是对网站制 定的隐私保护声明进行评估，对符合要求的网站授予隐私图章，以建立用户对具 有隐私图章网站的信任。

4. 2. 6 区分和规范网民协议 由于现有法律对网络隐私包含哪些内容没有明确规定，使得网络公司利用网络协议侵害网民隐私权的现象频繁发生[11]。在我国台湾地区，有关消费者权 益的网络协议须经有关部门事先审核通过，使得网络公司想借助网络协议擅自搜 集网民隐私的可能降到了最低。因此，我们也必须区分和规范那些涉及网民个人 信息方面的网络协议，对其进行事前审核，以避免网络公司等有意识凭借专业服 务特长，利用格式合同擅自使用信息内容。

4. 2. 7 建立行业统一的客户个人信息 自动化检索系统为防止侵权和科学利用客户个人信息资源: 一是应尽快 将市场上认可度高的企业标准作为行业标准蓝本，由行业协会通过沟通各成员单 位来完成系统及内容模板格式标准的统一。二是要在保证各成员单位客户电子文 档内容准确、完整、适时的基础上，集中起来，通过行业联网的统一客户平台一 致对外提供服务。向经认证合法用户，根据分配的不同权限提供实时查询、添加、 修改和删除接口，不得在任何网站的主服务器上保存个人信息。三是要认真学习 和贯彻《数据库法》，依法建立和完善个人信息数据库。并对建设过程中各类工 作人员职责、操作要领及违规结果的处置做出详细说明。

4. 3 细化相关法律法规 全国人大常委会《关于加强网络信息保护的决定》第五条规定，网络服务 提供者若发现有法规禁止外泄内容，除迅速清理外，还应存储必要记录，向有关 主管部门报告。但，主管部门及其职权界定、服务提供者的责任及流程管理、对 受侵害公民的赔付及惩罚性赔偿机制等都未确立。最高法2014 年10 月10 日发 布的关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的司 法解释，确立了ISP ( ICP)明知故犯的七种要素，ISP ( ICP) 与用户对因泄露他人 信息而形成的伤害担负侵权责任，法院要求ISP( ICP) 出具侵权人信息而无故拒 绝的，按照民诉法实施处罚。由于出台时间较晚，效果尚待观察，因此，应在加 大执行力度同时，尽快构筑一个尊重公民个人信息的诚信制度。

4. 4 健全个人信息保护标准 由于现有标准难以覆盖并详细规范各层面内容，因此，应依据ISO27002、 JIS Q15001 等国际信息安全相关标准，在已颁布的《个人信息保护指南》基础 上构建《信息系统个人信息保护基本概念、模型》、《信息系统个人信息保护技 术要求、测评准则》、《信息系统个人信息保护管理要求、评估、认证和审计准 则》、《通信行业信息系统个人信息保护技术要求和测试评价方法》等行业应用标准，以及云计算、大数据产品个人信息安全相关标准等，并将其上升为强制性 标准，为实现个人信息保护完整、准确和可操作性提供充分的理论和实践依据。

4. 5 加强行业监管 由于国内立法对个人信息控制者未尽妥善保管义务的法律后果规定得并 不完善，惩罚力度也不够，因此，加大职能部门的监管力度，实施问责制非常重 要。虽然《电信和互联网用户个人信息保护规定》制定了对非法提供及出售用户 信息罚款1 ～ 3 万元及追究刑责的条款，并将违反本规定的行为记入其社会信 用档案予以公布，但条文主要针对电话用户，而对个人信息保护未涵盖所有范围。

《深圳信息服务安全条例》指出，受害者因个人信息外泄而对提供服务者提出完 善相关补救手段，而后者没有及时完善，应对其罚款3 ～5 万元;
受害者受到损 害而又没法说清损失多少，应拿服务提供者在侵权期间的侵权所得赔付。因此， 应尽快建立健全具有可操作性的行业处罚体系。对于企业应根据侵害程度不同， 分级依次处以高额罚款，记入其社会信用档案，使他们的贷款及投资经营等受到 约束。多次违法应吊销其营业执照。对于行政事业单位，应明确对其直接责任人 给予行政处罚和刑事处罚不同的追责标准。

4. 6 构建第三方测评评估机制 由于我国首个个人信息保护国家标准从2013 年2月1 日起才实施，对个人 信息保护行业的保护能力缺乏权威测评，因此，很有必要依据标准出台具体测评 指标体系，构建独立的第三方测评评估机制。一是要构筑信息系统个人信息保护 测评平台，为政府、行业成员及社会公众个人信息保护能力和水平提供测评服务 并反馈报告。二是要构筑个人信息安全事件的预告、提供针对性补救措施的制度 及安全知识库，为提高政府、行业成员及社会公众个人信息保护能力和水平推出 有针对性的技术解决对策。

4. 7 加强自我监管 由于《个人信息保护法》尚未出台，因此，相关单位的自我监管应先行一 步。针对用户信息泄露猖獗的现状，中国移动出台了《客户信息安全保护管理规 定》，建立专门的监管机构，严格执行严禁泄露用户信息等五条禁令。同时，还 不断创新个人信息保护技术手段，以加大擅自获取信息的难度和被查处的风险。

中国联通也出台了《电话用户登记信息保护管理规定》，以规范各级职员在工作 各环节保护用户信息的具体行为，最大限度地克服用户信息外泄的可能。这对其他从业者具有重要的借鉴价值。

4. 8 建立监督个人信息保护行业自律的制约机制 一是政府行业主管部门应明确与行业协会的关系，对其行业章程、自律公 约和业者行为准则的制定与实施进行引导、监督和管理，并使协会及其成员积极 引进和研发个人信息保护技术，提升个人信息保护能力和水平。二是应出台相关 标准，制定由相关学科专家组织的行业个人信息保护事前、事中及事后评议制度， 并将结果向社会公布。三是要创新社团监督模式，以充分行使其能代表大多数人 来监督个人信息保护工作的权利。四是应进一步培育和加强社会舆论监督机制， 加快舆论监督方面的立法，使网络、传统新闻媒体能及时充分表达行业个人信息 处理工作中存在的问题以督促其有效改进，增强舆论监督的权威性和实效性。五 是为强化追责主体对没有严格保护个人信息行为的责任追究，应明确行业协会及 其相关负责人在协会保护和督促其成员保护个人信息行为中的权责分工，建立健 全岗位责任制，在建设并大力宣传网络举报公共服务平台的同时，应大力发动网 民通过该平台对各责任主体进行检举、揭发，利用倒查机制实施有效查处。准确 界定协会、法人与职员责任;
不能提供其具有法定资质和理由而搜集个人信息即 为非法;
而非法搜集支付结算类身份认证信息超过10 条，其他身份认证信息超 过500 条，即可认定为《刑法》规定的情节严重。并建立惩罚性赔偿制度，将受 罚者记入其社会信用档案，以震慑协会及其成员逐步走向自律。六是对消费者反 映强烈的霸王条款、行业潜规则等侵权行为，消费者协会应充分发挥其公益诉讼 职能。七是建立行业内成员单位工会参与的监督机制，以强化群众监督效力。八 是对涉及公民切身利益的重大个人信息处理行为，要先公示或听证，在规定的时 间段内全面收集、整理公民的改进建议，并在此基础上再作决定，以增强公民对 个人信息保护行业的信任。九是实施一业多会竞争机制，使行业协会提升自主保 护个人信息的能力和水平。十是要构建守法诚信奖励及违法失信惩戒机制，使保 护个人信息逐渐演进为一种自觉习惯。因为缺乏道德约束，在用户无从知晓时， 以大数据分析为理由过度搜集和保存用户信息也是不能容忍的，更何况又增加了 安全风险。

5 结语 由于《宪法》没有把隐私权确立为一种独立的人权加以保护，而且《个人 信息保护法》立法进程至今尚不明朗，为此，我们应借鉴国外自我规制思路，引 导规范行业自律和社会监督，在建立个人信息保护规则的基础上积极推进政府统 一立法。唯如此，公民的个人信息才能得到有效保护。