新一轮立法风潮体现出两个鲜明的特征。
(一)信息主体的权利不断强化[1]
近年来,已经制定个人信息保护法的国家或地区,正在根据新的形势和需要,对法律中原有的信息主体权利进行补充、扩展和完善,加强个人对其自身信息的控制和保护能力。
《数据保护框架法规》草案指出:个人信息保护的基本权利在个人信息保护法律制定上占首要地位,在技术发展造成现有立法滞后的情形下,有必要加强欧盟立法中关于个人信息保护基本权利的规定:一是在信息主体的信息修改、更正权的规定中,增加了信息遗忘权及其适用条件。[2]二是针对云计算等新服务形式,增加了信息主体的“信息可携权”,即用户可以将个人信息从一个信息控制者处转移到另一信息控制者,[3]信息控制者无权干涉信息主体的此项权利。信息可携权的出现不仅强化了用户对个人信息的管理、控制,更有利于用户充分实现对信息服务的选择权。
2012年修订后的《信息通信网络的促进利用与信息保护法》对信息主体的权利也做出了重要完善,增加了与欧盟“遗忘权”类似的信息主体的删除权,该法要求:用户在一定期间未使用信息与通信服务的,服务提供商应完全删除其所使用的个人信息,期限和必要的删除措施由施行令做出规定。
(二)信息控制者的责任更加明晰
在发展云计算业务的背景下,个人信息保护立法进一步明确了信息控制者及信息处理者的义务和责任。
一是明确了负有个人信息保护义务的服务提供商范围。欧盟委员会《数据保护框架法规》草案要求:在信息安全和保护责任上,即使未与信息主体本人订立合同,只要实际处理了个人信息,信息控制者或处理者就有义务保护个人信息的安全。这一规定将云服务提供商完全纳入个人信息保护法规制。
二是对负有信息保护义务的主体进一步细分,明确不同主体对个人信息保护的责任。《数据保护框架法规》草案细分了信息控制者、信息处理者两类主体,并专设一章规定了两者在个人数据处理上的权利义务,改变了1995年个人数据保护指令单纯从信息主体本人角度设定法律权利的立法模式。新的立法有利于在云计算环境下明晰云服务提供商的信息保护义务与责任,便于大众对法律规则的理解和法律执行。
三是要求服务提供商设置个人信息保护专职岗位,在组织机构上加强企业的个人信息保护责任。欧盟《数据保护框架法规》草案要求在公共部门、大型私营企业或个人信息处理密集型企业设置信息保护官。韩国新修订的《信息通信网络的促进利用与信息保护法》增设“信息与通信服务提供商可任命企业高层管理人员担任首席隐私官员”,以加强企业内部对用户数据的管理。
四是增加了服务提供商对侵权行为的通知义务,便于用户采取预防和减损措施。《数据保护框架法规》草案中引入了“通知义务”,即:当服务提供商发现其所掌握、控制的个人信息遭受丢失、攻击、泄露等侵害行为时,应当通知信息主体本人和相关的数据保护机构。韩国立法也增加了类似的要求。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。