文/工银亚洲内控合规部主管刘传会,清华大学国家金融研究院特约研究员汪小亚

网络信息时代需要更好地保护公民的个人信息权利。本文分析了中国香港个人资料(隐私)保护法律体系、法律保护实践和特点,通过对比内地的个人信息保护现状,指出内地尚未制定形成一部专门性法律对个人信息的保护作出全面规定,建议借鉴中国香港和欧盟等地经验,从六个方面加强内地个人信息立法和执法保护。

个人信息权利是公民在现代信息社会享有的重要权利,加强个人信息保护对于保护公民的人格尊严,使公民免受非法侵扰,维护正常的社会秩序具有重要现实意义。近年来,大规模个人信息泄露和隐私侵犯事件频频见诸报端,网络信息时代如何更好地保护个人信息和隐私受到越来越多国家和地区的重视。中国香港是亚洲第一个制定专门的个人信息保障法律的地区,颁布了《个人资料(隐私)条例》(下称《隐私条例》),成立了个人资料隐私专员公署(下称“隐私专员公署”)负责条例的监察执行,个人信息法律保护标准和实践走在国际前列,其立法和司法实践有很好的借鉴意义。

香港个人资料(隐私)保护法律体系

香港个人资料(隐私)保护法律体系的核心是《隐私条例》,此外隐私专员公署还制定发布了一系列指引,帮助资料使用者更清楚理解《隐私条例》相关规定,主要包括:《直接促销新指引》《跨境资料转移指引》《收集及使用生物辨识资料指引》《雇主及人力资源管理者指引》《移动应用程序开发最佳操作指引》《雇主监察雇员工作活动须知》《身份证号码及其他身份代码实务守则》等。

《个人资料(隐私)条例》

香港《隐私条例》制定于1995年,1996年12月20日正式实施,是以1980年经合组织《私隐保障及个人资料跨境流通指引》为范本制定而成的。2012年香港对《隐私条例》进行修订,其中关于使用个人资料进行直接促销和授予隐私专员提供法律援助的权力于2013年4月1日正式实施。任何操控个人资料的收集、持有、处理或使用的人士(资料使用者,包括私营机构、公营机构及政府部门)均须遵守条例的规定。个人的姓名、电话号码、身份证号码、相片、病历和受雇记录等都是《隐私条例》保护的个人资料。

《隐私条例》确立了保障个人资料六项原则:一是收集目的及方式:资料使用者须以合法和公平的方式收集他人的个人资料,其目的应直接与其职能或活动有关;须以切实可行的方法告知资料当事人收集其个人资料的目的,以及资料可能会被转移给哪类人士;收集的资料是有实际需要的,而且不超乎适度。二是准确性、储存及保留:资料使用者须确保持有的个人资料准确无误,资料的保留时间不应超过达致原来目的实际所需。三是使用:除非得到资料当事人自愿和明确的同意,否则个人资料只限用于收集时述明的目的或直接相关的目的。四是保安措施:资料使用者须采取切实可行的步骤,保障个人资料免受未经许可或意外的查阅、处理、删除、丢失或使用。五是透明度:资料使用者须公开其处理个人资料的政策和行事方式,交代其持有的个人资料类别和用途。六是查阅及更正:资料当事人有权查阅其个人资料,若发现有关个人资料不准确,有权要求更正。

《身份证号码及其他身份代码实务守则》

身份证号码是重要的个人信息,具有唯一性,依据身份证号码可以确定个人身份。《身份证号码及其他身份代码实务守则》对身份证号码和身份证复印件的收集使用作出细致规定:第一,除非得到法律授权,否则资料使用者不得强制要求个人提供身份证号码,收集身份证号码必须出于必需。何为“必需”,守则列举了具体情形,比如租车公司可以要求租车人提供身份证号码,而商家在沙滩上出租太阳伞则不得要求游客提供身份证号码,财产价值的大小和重要性是一个重要考虑因素。第二,姓名和身份证号码不得同时公开展示,比如除非法律许可,否则报纸的通告中不能同时出现姓名和身份证号码。第三,资料使用者不能向个人发放包含其身份证号码的卡片,但如果身份证号码是以条形码等非直接的形式呈现,则没有问题。第四,收集个人身份证复印件所遵循的原则和要求同收集身份证号码基本一致,必须出于“必需”。资料使用者不能仅仅预期将来可能与个人建立联系而收集其身份证复印件,比如雇主在招募员工过程中除非正式录用员工,否则不可以收集求职者的身份证复印件。 第五,资料使用者不得以纸质方式保留个人身份证复印件,除非在复印件上标注“副本”或“Copy”字样 。

《雇主监察雇员工作活动须知》

隐私专员公署制定有《雇主监察雇员工作活动须知》,对雇主在工作场所对雇员进行监控给出指引。对雇员的监控主要包括:电话监控、电子邮件监控、网络行为监控、视频监控。 雇主对雇员工作活动的监控应符合以下要求:

雇主进行监控必须对其必要性进行评估。包括:风险评估:评估监控活动所针对的风险及实施监控活动能够带来的益处。替代选择:除实施监控外,是否还有其他可以更少地刺探雇员个人隐私的替代方法。比如,为防止雇员浏览黄色网站,相比记录雇员的网页浏览日志,安装网络防火墙是一种对雇员隐私影响更少的方法。尽责管理:雇主应负责任地采用并实施一套符合保障个人资料隐私原则的管理方法,妥善处理从雇员监控活动收集的个人资料。对雇员进行监控的理据主要包括服务质量控制,落实公司政策,保护雇员安全,保护公司财产,遵循法律和监管要求等。经过评估,雇主应当确信,对雇员实施监控必须是合理和公平的。总的来说,雇员监控应当以公开和明示的方式进行,除非面临特殊情况,否则不能通过针孔摄像头等隐蔽方式进行监控。

雇主必须有效管理在雇员监控过程中获得的个人资料。雇主在制定和实施雇员监控政策时,应清楚指出雇员监控的目的,可能进行监控的情形,以及在监控过程中获得的雇员个人资料的用途。雇主在监控雇员活动前,应向雇员解释哪些性质的活动将被监控及监控的原因。同时,雇主须小心持有、妥善存用、处理和使用监控记录以保障雇员的个人资料隐私。

《开发流动应用程序最佳行事方式指引》

2013年隐私专员公署发布《开发流动应用程式最佳行事方式指引》(下称《流动程式指引》),概述在开发流动应用程式时应注意的问题,为程式开发商提供全面指导,以达至尊重客户的个人资料隐私的目的。如果流动应用程式拟读取的资料或拟进行的操作涉及个人资料收集,则开发商属“资料使用者”,须遵从《隐私条例》规定,比如通知程式用户收集其个人资料的目的,并在收集用户个人资料之前或之时(例如在程式安装时)提供《收集个人资料声明》,告知用户该程式会收集、使用、处理什么资料。流动应用程式可能读取的资料包括:装置的独特识别码、定位位置、机主的流动电话号码、联络人/通讯录、储存的相片/短片/录音、短信/电邮信息、通话记录、储存的账户资料等。如果这些资料可用来识别个别人士,则属于《隐私条例》所规定的个人资料。如果开发商不会把资料传输到其他地方,或该资料不会被用于识别某个人时,开发商不会视为资料使用者。

《流动程式指引》要求在开发程式的整个过程中采纳“贯彻隐私的设计”,以充分考虑保障隐私的需要:一是减少资料:如果必须读取流动装置的资料或向用户收集资料,应考虑收集一般资料而无须收集详细资料,例如收集粗略而不是精细的位置,收集年龄而不是出生日期。二是避免引起诧异:应公开及坦白地告知用户会读取/使用什么资料,并让用户有权选择拒绝。如果要把流动装置的资料与从别处获得的资料结合以用于另一目的,应考虑这个目的是否是一个一般用户会预期到的,评估如此使用资料会对用户带来什么不利影响,并消除或减低有关影响。三是减低风险:如果资料被传输或储存,需要采取加密处理及读取控制等方式对资料进行足够保护。四是信任与尊重:即使应用程式不读取或收集流动装置内任何资料或从程式用户提取资料,隐私专员公署仍建议在程式安装前向用户呈示《私隐政策声明》,以建立用户对程式的信任。

香港个人资料(隐私)法律保护实践

成立于1996年8月1日的隐私专员公署是一个独立机构,负责监管《隐私条例》的执行,旨在保障个人在个人资料方面的隐私权利。隐私专员的职权包括推广、监察和监管《隐私条例》的遵守,以及管理隐私专员公署的活动。《隐私条例》规定,隐私专员在收到投诉或有合理理由相信发生可能违反条例规定的情况时,会就涉嫌违反条例的行为进行调查。隐私专员在完成调查后,如认为符合公众利益,可发表报告列明该项调查的结果,以及由该项调查引致的、专员认为适合作出的任何建议或其他评论。

以香港宽频用户数据泄露事件为例。2018年香港宽频网络有限公司(下称“香港宽频”)发生用户资料泄露事件,发现一个已停用的资料库遭黑客入侵,导致近38万名客户及服务申请者的个人资料外泄,香港宽频随即向隐私专员作出资料外泄事故通报。隐私专员公署调查发现,事发时香港宽频将客户资料储存在三个资料库内,遭黑客入侵的已停用资料库储存了截至2012年的客户和服务申请者的个人资料,包括姓名、电邮地址、通讯地址、电话号码、身份证号码和选择以信用卡付款的人士的信用卡资料,包括卡主姓名、号码和到期日。在调查完成后,隐私专员公署公开的调查报告显示,本案调查中着重关注以下问题: 第一,香港宽频在系统迁移后有没有采取步骤删除资料库的个人资料?香港宽频承认遭入侵资料库本应在2012年完成系统迁移后被删除,但却因为人为疏忽而被保留下来,并继续连接内部网络。香港宽频遗忘了该资料库的存在,没有更新其修补程式,也没有作加密处理。第二,香港宽频保留旧客户和服务申请者的个人资料的时间是否过长?香港宽频在事发前保留:没有结欠的旧客户的个人资料三年;尚有结欠的旧客户个人资料20年;服务申请者的个人资料少于两年。 第三,香港宽频有没有采取切实措施来保护客户和服务申请者的个人资料?香港宽频制定有《资讯科技政策》,也在网络安全、接入控制等方面采取技术保安措施。事件中,黑客被发现以香港宽频一名资讯科技开发组员工的账户,通过远程接入服务进入香港宽频的资料库下载资料。被盗的登入密码没有按照香港宽频《资讯科技政策》要求三个月更新一次,被用作入侵入口的远程接入服务仅以用户名和密码核实客户身份,没有进行双重认证。最终,隐私专员认定香港宽频在以下方面违反了《隐私条例》的规定:一是在2012年完成系统迁移后,已无须保留该资料库,但因人为疏忽而没有删除,违反《隐私条例》关于“资料删除”的规定。二是保留已关闭账户且没有结欠的客户,以及已终止服务但仍有结欠的客户的个人资料时间过长,违反前述个人资料保护六原则的第二项(资料保留)。三是没有采取切实可行的步骤以确保资料库所存有的个人资料不受未获准许的查阅,违反个人资料保护六原则第四项(资料保安)。根据调查结果,隐私专员向香港宽频送达执行通知,要求香港宽频纠正及防止违规事宜。

香港个人资料(隐私)法律保护的主要特点

从香港个人资料(隐私)保护立法和实践的特点来看,第一,建立了以《隐私条例》为核心的个人资料保护规则体系。香港借鉴国际经验,1995年就制定出台了个人资料保护的专门法规《隐私条例》,以加强对个人的资料隐私的保护,维持香港作为国际金融和贸易中心的地位。在《隐私条例》之外,隐私专员公署又制定了涵盖范围广泛的各种实务守则和指引,形成一套完整的个人资料保护规则体系。第二,坚持“原则为本”。《隐私条例》确立了个人资料隐私保护的六项原则,这六项原则构成了个人资料隐私保护规则体系的核心内容。无论是后续出台的各种实务守则和指引,还是隐私专员公署的执法活动,均以这六项原则为基准。第三,设立独立监管机构推动和保障《隐私条例》得到贯彻落实。设立隐私专员公署,行使《隐私条例》所赋予的教育、执法、研究、提出立法建议和国际联络职能,对个人资料隐私给予切实的保护。除了处理投诉、调查资料外泄事件等执法活动外,隐私专员公署还通过专业研习班、专题讲座、网上学习平台、机构内部讲座等多种形式开展个人资料隐私保护教育和培训活动,提高社会公众和相关行业的隐私保护意识,推动《隐私条例》相关规定得到切实遵守。第四,规则体系兼容创新,不断完善。《隐私条例》自制定之时就紧贴国际标准,自实施以来,不时因应经济、商业和技术的发展做出调整,比如2012年在《隐私条例》中增加直接促销和个人资料跨境转移相关规定,2013年隐私专员公署发布《流动程式指引》。近期隐私专员在演讲中多次提到个人数据治理的伦理和道德问题,显示隐私专员公署正就有道德地处理个人资料进行顾问研究,以鼓励机构进行资料处理的道德影响评估。

和欧盟2018年5月25日生效的《通用数据保护条例》比较,《隐私条例》主要在五方面存在区别:第一,资料外泄强制通报方面:《通用数据保护条例》规定,除非资料外泄不会构成隐私风险,资料控制者应向资料监管机构通报资料外泄事故,并通知受影响的资料当事人。《隐私条例》没有强制要求通报资料外泄事故,采取自愿通报制度。第二,敏感个人信息方面:《通用数据保护条例》扩大了敏感个人数据的类别,如基因和生物识别资料,只有在特定情况下,如资料当事人明确同意,才允许对敏感个人资料进行处理。《隐私条例》没有区分敏感资料和非敏感资料。第三,资料处理者的责任方面:《通用数据保护条例》对资料处理者附加了额外的义务,如维护资料处理记录,确保资料安全,通报资料外泄事故,委任资料保护官。在《隐私条例》中,资料处理者不受直接规管,资料使用者须采用合同或其他方式来确保资料处理者在资料保安和资料保存方面符合要求。第四,资料当事人的权利方面:《通用数据保护条例》强化或新增了资料当事人的权利,包括被遗忘权、资料转移权、反对处理权、要求提供相关信息权。《隐私条例》没有赋予资料当事人资料转移权,资料当事人一般也没有要求删除资料的权利,但资料使用者不得保存个人资料超过必要的期限。此外,资料当事人也没有反对处理资料的权利,但是资料当事人可以选择拒收直销信息。第五,处罚权方面:《通用数据保护条例》赋予资料监管机关对资料控制者和处理者给予行政罚款的权利,根据违规性质,罚款可能高达2000万欧元,或全球年度营业额的4%。《隐私条例》没有赋予隐私专员行政罚款权,隐私专员只可向违规的资料使用者发出执行通知。

提高内地个人信息保护的建议

近几年,内地逐步加大对个人信息的法律保护力度,陆续出台了相关法律法规和指引性文件。2009年实施的《侵权责任法》第一次正式将隐私权作为一项独立的民事权利加以保护,2017年实施的《民法总则》规定个人信息受法律保护,“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息” 。《全国人大常委会关于加强网络信息保护的规定》《网络安全法》《消费者权益保护法》等法律也对网络运营者、经营者的个人信息保护义务作了规定。2014年6月,最高人民法院出台《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,对人民法院正确审理利用信息网络侵害人身权益民事纠纷案件作出规定。2017年5月,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,进一步明确《刑法》修正案(九)规定的“侵犯公民个人信息罪”定罪量刑标准。

上述关于隐私权和个人信息保护的法律规定虽然比较多,但法律条文相互独立,缺乏有效衔接,内容也多为原则性规定,尚未制定形成一部专门性法律对个人信息的保护作出全面规定。个人信息保护职能机构包括工业和信息化部、人民银行征信中心、消费者权益保护委员会等,合力和专业化有待加强。本文建议,从以下方面加强内地个人信息立法和执法保护:

第一,制定专门《个人信息保护法》,加强个人信息保护的法律规制。首先对受保护的个人信息范围作出明确界定:个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合,直接或间接识别特定自然人身份的各种信息,包括姓名、身份证件号码、通信/通讯联系方式、住址、个人生物识别信息、行踪轨迹等。其次,确立个人信息保护基本原则,就个人信息的收集、持有、使用、处理、保护等对资料使用者和资料处理者应承担的责任和义务作出明确规范,以信息保护基本原则为核心,构建完整的个人信息保护法律机制。发生个人信息侵害事件的,资料使用者应主动向个人信息保护机构报告,接受相应调查,按照个人信息保护机构的要求进行整改。

第二,设立专门的个人信息保护监管机构,监督相关法律要求得到遵守和执行。内地在构建个人信息法律保护机制时,可考虑设置专门的个人信息保护监管机构,加强个人信息保护宣传,提升社会公众的个人隐私保护意识,强化资料使用者的个人信息保护义务;制定细化指引和说明,便于相关规定得到准确理解和执行;对个人信息权利侵害事件进行调查,要求违反规定的资料使用者改善管控措施;密切关注新的商业模式和新科技的应用对个人信息保护的影响,及时提出应对措施;就个人信息跨境转移等事宜与其他国家的监管机构进行合作等。

第三,严格规范以直接促销为目的收集和使用个人信息。直接促销是指机构收集及使用个人信息以向资料当事人促销产品或服务,有些机构还会将收集所得的个人信息交给他人做直接促销之用。资料使用者在进行直接促销活动时,应遵从以下原则:尊重资料当事人对其个人信息的自主权;给予个人知情的选择,以决定是否容许其个人信息被用于直接促销;以易于理解及阅读的方式呈示有关收集、使用或提供个人信息的资讯;以专业的态度适时处理资料当事人提出停用其个人信息的请求。

第四,制定个人信息跨境转移规范。在经济全球化时代,个人信息的跨境转移有其现实需求,如跨国企业集团将其收集的客户个人资料进行集中处理和加工,在集团成员间进行共享,或在具有成本效益的国家或地区设立直销中心,利用从不同国家收集的个人信息进行电话直销。因此制定《个人信息保护法》时应考虑到如何兼顾个人信息保护和个人信息合理使用。原则上个人信息不允许跨境转移,除非符合以下条件之一:资料当事人书面同意转移;转移目的地有关于个人信息保护的生效法律规定,对个人信息有充足程度的保护;资料使用者能够采取适当保护措施,履行谨慎注意义务,确保个人信息在该地得到有效保护;个人信息转移是出于公共利益之需要;信息转移是出于履行资料当事人与资料使用者之间签订的合约所必需。

第五,强化网络信息时代的个人信息保护。各类移动应用程式如果涉及收集、持有、处理和使用个人信息,开发商和运营商应遵守个人信息保护法律规定,采取“贯彻隐私的设计”,加强个人信息保护。首先,开发商和运营商应在移动应用程式安装界面弹出《个人信息收集声明》和《隐私政策声明》,向用户告知收集个人信息的目的、拟收集的信息范围和种类、保存期限、用户权利等,用户有权选择是否接受。其次,对用户个人信息的收集应持最低限度原则,不应偏离原定目的和超过必要限度收集客户信息。最后,采取必要措施和技术手段加强对所持有和保存的客户个人信息的安全保障,避免客户个人信息泄露或被不当查阅。指纹、脸象、虹膜等生物识别信息,较一般个人信息更敏感,容易在无意识情况下被采集,具有易携带、不易遗忘但不可更改的特点,面对恶意盗用无法通过修改信息进行控制。对此类信息的保护,应禁止非授权的、恶意的信息采集、处理、存储及传播,规定在个人生物识别信息采集阶段即使用加密算法进行保护,不可对相关信息进行未加密存储。

第六,合理确定个人信息保护边界,推动信息共享和新技术应用。个人信息的保护应有合理边界,全面保护不意味着绝对保护,不应阻碍个人信息的合理自由流动。首先,基于特定目的,配以合理的数据留存和调查权利限制,充分调和隐私保护和信息共享之间的矛盾,可全部或部分豁免特定目的项下的信息保护义务,这些目的包括:维护国家安全和公共安全;预防、调查、侦查、追诉刑事犯罪或执行刑罚;重要经济及金融利益,包括财政、预算及税收、公共卫生;保障司法程序,执行民事请求;进行历史或科学研究、经济统计等。其次,还应从社会价值方面考虑当下各行各业数据化、智能化发展的基础信息需求,特别是对流程优化、效率提升和模式创新(如金融科技、网络电商)有重要推动作用的大数据、机器学习等新技术而言,个人信息保护不应成为新技术和新方法应用的障碍,而应在安全可靠范围内寻找合理措施和机制来保障其发展,例如可以通过建立和健全有个人信息保护监管部门充分参与的个人征信系统、身份认证机制等来支持金融行业实现可靠的远程身份识别、核实及信用调查。

文刊发于《清华金融评论》2019年8月刊,2019年8月5日出刊,编辑:杨慕铭