个人信息保护行政监管经验与启示.docVIP

PAGE PAGE 7 个人信息保护行政监管经验与启示 摘要:要成员国、美国、日本、韩国和我国港澳台地区都已经建立了较为完备的个人信息保护监管体系．面对新兴科技的法律挑战与错综复杂的利益平衡需求，我国应当充分借鉴比较法上的有益经验，重点从主体、目标、措施和程序４个方面入手，积极探索建立个人信息保护的行政监管制度，从而形成对个人信息的全面保护． 关键词:个人信息保护；行政监管；立法趋势；域外经验；监管体系 在现代社会中，个人信息保护事关公民的基本权利和人格尊严，同时也与经济社会发展、公共利益和国家安全存在着紧密的联系：从个人的角度而言，个人信息是自然人的基本识别要素；对于经济和社会发展而言，信息的有效利用是现代经济的重要基础；在国家的层面，国民的个人信息属于重要的战略资源．事实上，为了对内协调个人尊严与经济社会发展、对外维护民族独立及国家安全，欧盟、美国、日本、韩国以及我国港澳台地区已经成立了相应的个人信息保护监管机构，相关法律也对个人信息保护监管进行了明确的规定．对这些国家和地区个人信息保护监管的立法和实践进行系统考察，能够为我国个人信息保护监管体系的完善提供有益的借鉴． １欧盟的个人信息保护监管 早在１９９５年《欧盟数据保护与流通指令》（简称《指令》）中，欧盟即要求各成员国成立公共机构来确保《指令》的适用．为了正确地履行保护人们的数据权利和促进数据流通的职能，这些监管机构（ｓｕｐｅｒｖｉｓｏｒｙａｕｔｈｏｒｉｔｉｅｓ）应当独立存在，并有权实施包括进行调查、干预以及介入诉讼等方式在内的行政监管措施（参见《指令》第２８条）．在《指令》的要求下，欧盟还建立了咨询机构（第２９条）和专门委员会（第３１条），为保护个人数据和制定法律文件等事项提供意见［１］．２０１８年５月２５日正式实施的《欧盟一般数据保护条例》（简称ＧＤＰＲ），被誉为“史上最严格的数据保护法案”．除了实现个人信息统一立法、确立广泛的数据权利（比如增加“擦除权?被遗忘权”和“数据可携带权”等）外，ＧＤＰＲ所推行的对个人信息保护的强力监管也颇为引人注目：１）根据“企业—成员国—欧盟”的不同层级，建立全覆盖、多层次的监管体系［２］．在成员国内非政府机构（主要是企业）的层面，ＧＤＰＲ要求在其内部设立数据保护专员（ｄａｔａｐｒｏｔｅｃｔｉｏｎｏｆｆｉｃｅｒ）．其次，在欧盟成员国层面，ＧＤＰＲ要求设立相应的监管机构来对政府领域与非政府领域的个人信息保护进行监管（第５１条）．最后，在欧盟的整体层面，除了进行个人信息保护全局的协调和领导外，欧盟数据保护委员会（ＥＤＰＢ）还负责对非政府领域的个人信息保护进行监管［３］．２）细化对监管机构独立性的具体要求．在欧盟各成员国中成立的监管机构必须具备完全的独立性（ｃｏｍｐｌｅｔｅｉｎｄｅｐｅｎｄｅｎｃｅ）．按照ＧＤＰＲ第５２条的规定，监管机构不受到来自其他组织和个人的影响（外部干预），同时也在成员、技术、资金、基础设施和财政预算等方面享有独立性保障（内部设置）．３）明确监管机构的监管目标和职责范围．根据ＧＤＰＲ的规定，监管机构的主要目标在于确保ＧＤＰＲ的实施（第５７条）．在发生个人信息泄露时，数据控制者应当在７２ｈ内无不当延迟地通知监管机构（第３３条）．针对违反个人信息保护规定的行为，监管机构享有广泛的调查、纠正处理与提出改进建议的权力，在必要时可以引入司法救济（第５８条）．如果数据控制者或处理者存在严重违规行为，监管机构有权处以２０００万欧元或其前一财年全球收入４％（取其高者）的罚款（第８３条）．４）根据数据处理风险等级的不同，实行差异化监管．ＧＤＰＲ没有采用“一刀切”式的监管模式，而是根据信息处理引发损害风险的大小进行差异化的监管（第３２条）［４］．尤其是对于那些可能引发高风险的行为，数据控制者和处理者将负担更重的义务，这些义务包括事先进行信息保护评估（第３５条），在发生个人信息泄露后及时通知监管机构（第３３条），并与数据主体取得联系（第３４条）．在欧盟范围来看，尽管在名称和监管模式上存在些许差异，但多数成员国都已经建立了本国的个人信息保护监管机构［５］．英国、德国和法国的情况也大致相同：即便已经启动“脱欧”程序，个人信息保护仍被视为英国面临的重要议题．根据２０１７年《英国数据保护法案》，作为监管机构的信息专员办公室（ＩｎｆｏｒｍａｔｉｏｎＣｏｍｍｉｓｓｉｏｎｅｒｓＯｆｆｉｃｅ）将继续保持其独立性，并获得更大权力来处理投诉、进行调查、罚款和刑事制裁［６］．在德国，根据２０１５年修订的《联邦数据保护法》，国家数据保护监督机关（ＤａｔａＰｒｏｔｅｃｔｉｏｎＡｕｔｈｏｒｉｔｉｅｓ）负责监督和确保个人数据保护条款的执行，可以在监管目的之范围内对数据进行加工、使用或传输．对于违反数据保护的行为，监管机构可以告