信息技术和数字世界的飞速发展,让我们在享受数据流通、信息传递带来的巨大红利时,也在承担随之而来的风险挑战。2023 年 5 月 22 日,爱尔兰数据保护委员会(Irish Data Protection Commission)在对 Meta 旗下 Facebook 服务进行调查后,对其处以 12 亿欧元(91.2 亿元人民币)罚款。这次的罚款是目前数据隐私安全领域开出的最高的罚单,而在此前爱尔兰数据保护委员会曾就 Instagram 侵犯儿童隐私事件(2022)、Facebook 数据泄露事件(2022)、WhatsApp 隐私政策不透明问题(2021)、 Facebook 和 Instagram 强迫用户接受定向投放的个性化广告(2023)分别对 Meta 开出 4.05 亿、2.65 亿欧元、2.25 亿欧元、和 3.9 亿欧元的罚单。
其他各国因数据安全事件开出的高额罚款层出不穷,如美国 T-Mobile 为数据泄露事件支付 3.5 亿美元、Twitter 违法收集个人信息支付 1.5 亿美元、西班牙数据保护机构对谷歌违反 GDPR 罚款 1000 万欧元、卢森堡的隐私监管机构对亚马逊处以 7.46 亿欧元等。这些已然引发了人们对数据安全的高度警觉,数据安全已经成为了全球数字化时代的头等大事,任何一次数据泄露事件都可能给个体、企业、甚至整个社会带来不可估量的损失和影响。
根据联合国贸易和发展会议(UNCTAD)的统计,截至 2021 年,全球 194 个国家和地区中已有 137 个通过了数据和隐私保护相关法律。各个国家已高度重视数据安全问题,各国 / 各区域在结合本国情况的基础上制定、修改、完善本国法律规范,相关法规各有侧重但都在逐步完善法律框架,维护个人隐私和社会稳定。本篇将从司法实践入手,分别选取国内外各 1 则案例,结合所在地的法律规定一起了解下各国是在如何捍卫个人隐私权益的。
一、我国司法案例
在个人信息保护和数据安全领域,我国在《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》的三大法律框架下,逐步落实相关法规及制度规范,并配套相关的监管措施,不断加强完善对个人信息的全面保护。
2022 年 8 月,杭州互联网法院发布案例:吴某某诉上海某信息服务有限公司等违规提供用户个人信息保护纠纷案,法院以该案情为基础对“何种情况下,违法处理信息主体构成对人格尊严、人格自由的精神损害”进行了有益的探索。
该案件中,原告吴某认为自己下载某电商购物 App 使用时其权利受损,故向法院提起诉讼。经法院审理查明,法院认定二被告的信息处理行为侵害了吴某某的个人信息权益且认定其遭受到精神利益的害。同时,结合两被告主体身份的影响力,法院认为两被告对原告个人信息的处理行为存在意思联络,且对于相关的个人信息处理活动未尽到列述的注意义务、存在明显的过错,故判令两被告向吴某某进行书面道歉并赔偿相应合理维权支出。
该判决的裁判要旨在于《个人信息保护法》第十三条对个人信息处理行为的合法性基础、个人信息处理规则做出了原则性的规定,并构建了以取得同意为原则,以豁免同意为例外的个人信息处理合法性基础的二元结构。我们该案例中也可以得知知情同意规则并非信息处理行为的唯一合法性基础,虽允许存在其他例外的合法性基础,但信息处理者仍需确保其处理行为符合对应规则的要求。
二、国外处罚案例
2022 年 5 月 ,联邦贸易委员会宣布(FTC)Twitter 同意司法部和联邦贸易委员会支付 1.5 亿美元的罚款,并实施全面的合规计划,以解决涉嫌的数据隐私违规行为。
据 FTC 调查数据显示,自 2014 年到 2019 年,Twitter 声称着“保护您的账号”的安全目的,诱使超过 1.4 亿人次的用户向 其提供了电话号码或者邮箱地址。而实际上,Twitter 利用这些信息向特定消费者投放特定广告,获取到数百万美金的非法收入。
Twitter 本次的行为不仅违反了联邦贸易委员会法案第 45 (a)(1) 和 (l) 条以及第 53(b)条,关于虚假广告,禁止和限制令中临时限制令,初步指令的规定。同时,违反了 2010 年联邦贸易委员会的裁决命令。
基于此,联邦贸易委员会最终对 Twitter 处以 1.5 亿美元的罚款,并要求其执行多项整改措施,包括禁止虚假陈述、限制使用电话号码或者邮箱地址、必须通知消费者、建立隐私与个人信息安全计划以及各项命令的确认及报告要求。
通过联邦贸易委员会对 Twitter 的本次处罚,我们了解到美国监管机构对于当前互联网平台监管的态度和力度,同时也可以看出全世界各个国家对个人信息处理行为的合法性基础以及个人信息处理的原则性规定上有着相似的认定原则。
三、全球隐私保护相关立法
中国
《中华人民共和国个人信息保护法》于 2021 年 11 月 1 日起施行。个人信息保护法外引域外立法智慧,内接本土实务经验,熔“个人信息权益”的私权保护与“个人信息处理”的公法监管于一炉,统合私主体和公权力机关的义务与责任,兼顾个人信息保护与利用,奠定了我国网络社会和数字经济的法律之基。
《中华人民共和国数据安全法》于 2021 年 9 月 1 日起施行,是对我国网络法律法规体系实现进一步完善。
《中华人民共和国网络安全法》 于 2017 年 6 月 1 日起施行,2022 年 9 月发布公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知。
欧盟
《通用数据保护条例》(GDPR) 2018 年 5 月 25 日起正式施行,完善了数据保护的基本规定。GDPR 的出台全面加强了欧盟所有网络用户的数据隐私权利,明确提升了企业的数据保护责任并显著完善了有关监管机制,同时,提高了人们对隐私和数据保护的认识,对世界各国的立法都具有启示性的意义。
美国
1974 年,美国通过《隐私权法案》,对收集和使用个人数据的行为边界和责任做出了规定。相继通过了《电子信息隐私法》《互联网保护个人隐私政策》《消费者数据隐私保护法案》以及《消费者隐私权利法案》,对最早的个人数据隐私保护法案作出补充。除了联邦法案外,美国各州也有自己的隐私保护法,在保护细节上不尽相同。
2018 年 6 月,《加利福尼亚州消费者隐私保护法案》(CCPA)公布,并于 2020 年 1 月 1 日起正式实施。该法在访问、删除和分享企业收集到的个人数据上赋予了消费者新的权利。
2023 年 1 月 1 日,《加利福尼亚隐私权利法》(CPRA)生效。
2023 年 1 月 1 日,《弗吉尼亚消费者数据保护法》(VCDPA)生效。
《科罗拉多州隐私法》(CPA)和《康涅狄格州数据隐私法》(CTDPA)将于 2023 年 7 月 1 日开始生效。
《犹他州消费者隐私法》(UCPA)将于 2023 年 12 月 31 日生效。
2022 年发布《数据隐私和保护法案(草案)》,旨在联邦层面建立消费者隐私数据保护法律框架。
日本
2005 年 4 月,《个人信息保护法》正式施行。
2022 年 4 月 1 日,修订后的《个人信息保护法》("APPI 2022")生效,该修正案引入了重大改革,对公司的隐私惯例和业务运营产生了影响。
英国
2017 年出台《数据保护法》(DataProtectionAct,DPA)。
2022 年 7 月,英国政府向下议院提交《数据保护和数字信息法案》;2023 年 3 月,英国政府在议会提出新的《数据保护和数字信息法案》。
韩国
2022 年通过《个人信息保护法(修正案)》,旨在加强在数字经济大的背景下公民可能被削弱的个人信息权利。
新加坡
2012 年颁布了《个人数据保护法》(PDPA),该法分不同阶段生效,有关数据保护的条款于 2014 年 7 月 2 日开始执行。
2022 年通过《个人信息保护法(修正案)》,旨在保护数据主体的个人数据并且规范数据处理者的数据处理行为。
印度
2022 年 11 月,印度电子和信息技术部推出了《2022 年数字个人数据保护法案》(DPDP 法案)的草案,并呼吁公众提出意见。
越南
2023 年 4 月,越南政府颁布第 13/2023/ND-CP 号法令 《个人数据保护法》(PDPD),该法令将于 2023 年 7 月 1 日正式生效。
泰国
2022 年 6 月 1 日,泰国《个人数据保护法》正式生效,这是泰国第一部综合数据保护法,规定了数据收集、使用和披露的合法理由,包括敏感的个人数据、控制者和处理者的义务,以及数据主体权利等。
文末福利
关注傲空间公众号,回复 “ 法律法规 ” 即可获得我国对个人信息和数据保护的相关立法汇总。
参考链接
[1]: Data Protection and Privacy Legislation Worldwide
[3]: Twitter agrees to $150M settlement with DOJ, FTC over data privacy lapses
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
