GDPR在立法理念上,將個人數據權利作為一項基本人權,強調數據收集與共享的合法性,保護自然人基於個人數據所享有的權利。GDPR在涉及個人數據處理的領域,對於收集與共享的目的和數據限度都有相應的限制性規定。GDPR還規定了個人數據權利主體“同意”的構成要件,強調“同意”應是個人數據權利主體在自由意志下所作出的意思表示。
GDPR大幅增加了個人數據主體的權利,強化和明確了數據控制者及處理者分別必須承擔的責任和義務,將數據保護常態化和系統化。此外,在歐盟GDPR項下,數據主體具有知情、糾正、刪除以及反對等權利。在個人數據共享方面,GDPR還單獨設一章,增加了數據控制者的義務和責任,提高了用戶同意的標準,並為數據控制者增設了數據洩露告知、要對隱私影響評估等義務。同時,為了保護個人隱私,GDPR特別強調了對數據控制者的行為監管。GDPR還明確規定數據控制者在個人數據收集與共享中的義務,並規定其處理個人數據的目的須滿足合理性的要求。
2.美國:共享基礎上加強個人數據權利保護
推動個人數據共享與利用始終是美國金融領域立法的主要目標。在特定的金融領域,該理念得到廣泛認同,與其他機構共享金融數據的範圍和條件也在逐步擴大,以便更好地服務於金融市場。美國聯邦《金融服務現代化法案》(The Gramm-Leach-Bliley Act, GLBA)制訂目的就是為了推動金融市場的發展與競爭,同時該法案對金融機構與關聯機構和非關聯機構之間的“同意”形式採取區分原則,③主要體現在:該法案對關聯機構採取“無需同意”和非關聯機構採取“默示同意”兩種授權方式。
為了回應社會對金融隱私保護存在的擔憂,各州也通過立法確立各自的隱私保護法和數據安全法,其中2018年通過的《加州消費者隱私法》(California Consumer Privacy Act,CCPA)是美國州層面消費者隱私法立法的一個重要里程碑,它雖是立足於州層面,但被認為是美國該領域立法的標杆。該項法案明確了收集加州消費者個人數據的企業的適用範圍,擴展了個人信息的定義,並強化了對消費者隱私的保護,賦予消費者對企業使用數據情況的知情權以及拒絕、刪除、修改數據等權利。而後的《2020年加州隱私權法》(California Privacy Rights Act,以下簡稱CPRA)規定,如果某企業收集個人數據並出售或共享給第三方,或披露給服務提供者、承包商用於商業目的,該企業必須與第三方、服務提供者或承包商簽署信息安全保護協定。在協定中,應當明確規定個人數據的處理和使用方式,以及收集和使用個人數據的目的,以及被收集者的權利。此外,CPRA還創新性地提出,利用與個人資料相關的行政罰款來設立“消費者隱私基金”,用以折抵由州法院、總檢察長以及加利福尼亞州保護署為執行CPRA所需的開支。④ |
