您好,欢迎访问三七文档
当前位置:首页 > 法律文献 > 理论/案例 > 国外个人信息保护或隐私保护法规汇总
国外在企业收集、利用公众信息方面的政策、措施、规定、法规。一、美国1.《隐私权法》1974年12月31日,美国参众两院通过了《隐私权法》(PrivacyAct)1,1979年,美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》,是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定,以此规范联邦政府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”,包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司,以及行政部门的其他机构,包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关,但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”,是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中,“其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码,以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。2.《电子通讯隐私法》到目前为止,美国并没有一部综合性法典对个人信息的隐私权提供保护,主1摘自《情报科学》,周健:美国《隐私权法》与公民个人信息保护要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986年颁布的《电子通讯隐私法》(TheElectronicCommunicationPrivacyAct,简称ECPA)3。尽管《电子通讯隐私法》还存在不足,但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。3.《金融服务现代化法案》FinancialServicesModernizationActof1999,也就是格雷姆-里奇-比利雷法(Gramm-Leach-BlileyAct,GLBAct)4,它规定了金融机构处理个人私密信息的方式。这部法案包括三部分:金融秘密规则(FinancialPrivacyRule),它管理私密金融信息的收集和公开;安全维护规则(SafeguardsRule),它规定金融机构必须实行安全计划来保护这些信息;借口防备规定(Pretextingprovisions),它禁止使用借口的行为(使用虚假的借口来访问私密信息)。这部法律还要求金融机构给顾客一个书面的保密协议,以说明他们的信息共享机制。4、《儿童在线隐私权保护法案》TheChildren’sOnlinePrivacyProtectionAct,,简称COPPA5,它规定网站经营者必须向父母提供隐私权保护政策的通知,以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对13岁以下儿童个人信息的收集和处理。3摘自://://《健康保险携带和责任法》TheHealthInsurancePortabilityandAccountabilityActof1996,简称HIPAA6,该法案通过建立电子传输健康信息的标准和要求鼓励健康信息系统的发展。保障个人的健康隐私信息的完整性和机密性;防止任何来自可预见的威胁、未经授权的使用和泄露;确保官员及其职员遵守这些安全措施。2009年美国通过HealthInformationTechnologyforEconomicandClinicalHealthAct,简称HITECH法案7,该法案也增强了HIPAA的安全和隐私要求并扩展了相应的处罚。6.《有效保护隐私权的自律规范》1998年,美国商务部发表了《有效保护隐私权的自律规范》(ElementsofEffectiveSelfRegulationforProtectionofPrivacy)8,要求美国网站从业者必须制定保护网络上个人资料与隐私权的自律规约。7.《公平信用报告法》TheFairCreditReportingAct,该法的全称为《公平信用报告法-消费者信用保护法标题VI》9,属于消费者保护法系列。这项法律规范的对象是消费者信用调查/报告机构(Consumerreportingagency)和消费者信用调查报告的使用者。主要规定了消费者个人对信用调查报告的权利,规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项,实际明确了消费者信用调查机构的经营方式。8.身份信息盗窃红旗规则IDTheftRedFlagsRule10,该条例是由美国联邦贸易委员会与货币总监署6://://://://(OCC)、联邦存款保险公司(FDIC)、美国联邦储备委员会和其他几个联邦机构共同制定的,遵照2003年公正准确信用交易法(FACTAct)。条例规定,在RFR违规事件中,联邦贸易委员会可以展开民事诉讼,寻求不超过2,500美元的违规行为罚款。该条例要求一些企业和组织制订和实施书面计划,以保护消费者免遭身份盗用。任何允许备兑账户的债权人或金融机构,必须为红旗规则实施一项防止身份盗用的计划(IdentityTheftPreventionProgram)。由于受到各方阻力,该规则生效的期限被再三拖延,目前的最终期限为2010年6月1日。9.其他的信息隐私条例(1)《信息自由法》,该法规范了第三方对包含个人信息的政府记录的获取。(2)《金融隐私权法案》(RighttoFinancialPrivacyAct)11,它对银行雇员披露金融记录,及联邦立法机构获得个人金融记录的方式做出了限制。(3)《有线通讯隐私权法案》》(CableCommunicationPolicyAct),它禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息12。(4)1996年《电讯法》(TelecommunicationAct),规定电讯经营者有保守客户财产信息秘密的义务。10.行业自律规则除了上述分散的网络隐私权保护法律法规之外,美国还倾向于采取行业自律政策对网络隐私权提供保护。由于网络技术发展迅速,而立法总是滞后于现实状况,所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一致鼓励和支持。总体而言,美国目前的行业自律形式有三类:建议性的行业指引、网络隐私认证、技术保护模式。•建议性的行业指引11://许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则,如“在线隐私联盟”(OnlinePrivacyAlliances)13、“银行家圆桌会议”、“直销协会”、“互动服务协会”等等。其中,“在线隐私联盟”最为著名,由超过80家的国际公司和协会组成,致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。它于1998年6月发布了以联邦商业委员会的建议为原则的在线隐私指引,旨在指导网络和其他电子行业隐私保护。•网络隐私认证不同于适用于同一行业内部的建议性行业指引,网络隐私认证适用于跨行业的联盟。他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志,以便于用户识别。美国著名的网络隐私认证组织有TRUSTe14、BBBOnLine15、WebTrust16等。•技术保护模式技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。最常见的一种模式是由互联网协会推出的个人隐私选择平台(PlatformforPrivacyPreferencesProject,简称P3P)17。P3P能让网站指明对个人数据使用和公布的状况,让用户选择个人数据是否被公布,以及哪些数据能被公布,并能让软件代理商代表双方达成有关数据交换的协议。在这种模式下,个人能够利用充足的信息做出明智的决定,同意或是拒绝提供本人的数据,并且能够委托软件代理商将决定付诸实践。11.S.1490、S.139草案美国参议院司法委员会2009年11月5日通过了两个有关建立数据泄漏通报标准的法案:《2009个人隐私与安全法案》(S.1490:PersonalDataPrivacyandSecurityActof2009)18以及《数据泄漏事件通报法案》(S.139:DataBreachNotificationAct)19。这次投票结果意味着这两项法案现在可以进入参议院审批阶13://://://://://://段。《2009个人隐私与安全法案》建立了风险评估、漏洞检测以及对访问敏感信息的控制和审计相关标准,同时也有条款规定了在出差及在非工作时间的数据保护措施,以及在数据泄漏时需及时通报执法部门、信用报告机构及受影响的个人。作为补充,这一法案规定在联邦贸易委员会下设置联邦身份保护办公室。《数据泄漏事件通报法案》要求美国联邦政府机构以及业务范围跨州的企业在发生数据泄漏事件时必须通知所有信息可能被或者已经被访问、获取的当事人。二、欧盟1.《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》。欧洲议会和欧盟理事会于1995年10月24日通过的《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》(Directive95/46/EContheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata)20。简称数据保护指令(DataProtectionDirective),这是欧盟在个人信息保护方面最重要的指令。3年后正式生效。这一指令要求欧盟各国采取欧盟统一标准对个人数据进行保护。为适应欧盟对其成员国个人数据保护的统一要求,欧盟各成员国相继制定了本国的数据保护法,或者对已有的数据保护法进行修改21。2.《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》2000年12月18日,欧洲议会和
本文标题:国外个人信息保护或隐私保护法规汇总
链接地址:https://www.777doc.com/doc-4861108 .html