全球隐私及数据保护法律政策动态报告
A Global Report on Laws and Public Policies Relating to Privacy and Data Protection
腾讯互联网与社会研究院
重点摘要:
●新的《欧盟cookies指令》要求网站就存储cookies以及在电脑及其他网络连接设备上恢复信息等问题获得访问者同意。此外,欧洲监管部门正着手起草指导文件,推行被遗忘权。
●美国联邦贸易委员会开始逐渐加强了对移动应用领域的监控、治理和指引,包括个人金融数据隐私的保护以及安全性等方面。
●在全球范围,在公民隐私和数据保护方面呈现出了两种相反的趋势,以俄罗斯、澳大利亚、英国为代表的国家不断加强对互联网以及电子设备的管控,公民的权利逐渐受到威胁,而以德国、土耳其、菲律宾等国家则致力于不断完善隐私法的修改,为保护公民隐私提供法律基础
一、欧盟
1.欧盟实质性开展Cookies清扫行动
为持续保护网络隐私,欧盟数据保护机构于9月15-19日开展发起了“欧盟Cookie行动”,对多家网站以及移动应用进行了审查,确保《指令2009/136/EC》(又称《欧洲Cookie指令》)的有效执行。
《欧洲Cookie指令》替代了原有的《隐私与电子通讯条令》。在原指令下,电子商务服务商在其网站上使用cookies功能自动存储用户信息是合法的,也无须就此征得用户(包括消费者)的事先同意,这种立法取向是建立在对cookies的实用性认识基础上的。
新的《欧盟Cookies指令》要求网站就存储cookies以及在电脑及其他网络连接设备上恢复信息等问题获得访问者同意。对于所有受新指令调整的网站而言,即便用户已同意,用户的cookies只能存储在用户自己的电脑上,也只能从用户的电脑上获取,在此之前还应向用户提供“清楚和全面的信息”。但是,新指令设置了一项例外,即如果指令调整的cookies对于末端用户要求的服务条款而言是极其重要的情况下,或者信息存储只是为了进行网络沟通的目的时,可以不受指令调整。
根据 TRUSTe的报告,只有12%的前50英国网站有遵循欧盟的Cookie指令,有在网站上弹出窗口或挂出Banner或标签告知该站点上的Cookies信息手机,而在法国和德国几乎没有网站采用欧盟的这一指导规范。该调查显示前50的法国网站的第三方cookies下降数量 (434) 是荷兰 (237) 的两倍,而英国和德国则分别下降了406个和319个。在用户对Cookies法案的感知方面,81%的英国人了解浏览器的cookies,63%的人知道欧盟Cookies的隐私指南。
2.欧盟数据保护机构拟制定“被遗忘权”指导文件
欧洲监管部门正着手起草指导文件,为申请删除与个人信息相关的搜索结果但被Google等搜索引擎拒绝的用户提供指引,预期将在11月底发布。该文件将对公民申请进行分类,帮助管理机构权衡用户的隐私权与公共知情权,判断某一条信息是否应该留存。具体的衡量标准包括该人的公共角色、信息是否与犯罪有关以及信息留存在网络中的时间。指导文件的出台旨在帮助Google等搜索引擎有效地执行2014年5月欧盟法院要求删除相关搜索结果的判决。
Google目前在欧洲市场占有80%的份额,自欧洲法院判决之后已经收到了12万个来自欧盟用户要求删除相关搜索结果的请求,其中内容包括犯罪记录、大尺度照片以及新闻负面报道等等。欧洲法院判决的出台引起了有效性地激烈讨论,支持言论自由者主张被遗忘权的引进将导致“清除所有历史”,但隐私支持者则认为被遗忘权只是在一定程度上保护个人的信息。
二、美国
1.移动应用成为数据隐私治理重点
鉴于移动应用服务领域发展迅猛,美国联邦贸易委员会 (Federal Trade Commission, FTC) 开始逐渐加强了对移动应用领域的监控、治理和指引。此前,美国消费者金融保护局(Consumer Financial Protection Bureau, CFPB) 曾与FTC沟通,要求后者提供消费者使用移动金融服务基本情况的相关材料。10月10日FTC发布了回复,在向CFPB提供情况说明的同时也表明了未来的治理重点:移动应用。在回复中,FTC列出了其关心和重点治理的五大领域:
●隐性收费的相关责任
●移动运营商不正当收费问题
●消费者个人金融数据的隐私保护
●消费者金融数据安全
●数据经纪人或第三方对消费者信息的使用
10月10日,为回应请求,联邦贸易委员会就消费者使用移动金融服务情况进行了答复,主要强调对以下五大方面进行治理:(1) 使用预付或存储价值产品的未授权支付责任;(2) 移动运营商的不正当的收费业务;(3) 消费者个人以及金融数据的隐私;(4) 消费者数据的安全;(5) 数据经纪人或第三方对消费者信息的使用。下面就隐私和数据安全两方面进行详述。
1.1.对个人金融数据隐私的保护
美国联邦贸易委员会对金融领域的隐私保护十分看重。移动平台有其自身的特性,当消费者使用移动应用提供的支付服务时,很多公司都会参与在这一过程之中,并有很大机会接触到个人数据,了解消费者的具体信息和购物习惯。
自从2012年起,FTC每年都会发布年度报告,就移动科技带来的隐私隐患为企业提供建议。在2012年度报告中,FTC催促公司在执行隐私政策过程中要更有目的性 (more purposeful),并向消费者清晰准确地解释公司的政策和实践。2013年报告中,FTC要求公司在收集和分享敏感数据时,需要“及时”地告知 (‘just in time’ disclosures),并且获得消费者的明示同意 (express consent)。2014年,鉴于当前各大公司的隐私政策中就数据收集和使用的权利规定得极为宽泛,并且几乎不对数据如何被处理进行澄清,FTC要求公司增强数据处理的透明度和明确性,并且建议消费者对自己使用的移动应用做出明示的选择。
1.2. 个人金融数据的安全性
根据FTC提供的数据,消费者将安全问题选为不使用移动金融应用的头号原因。在FTC看来,移动科技进步的同时也使得移动应用保障交易安全的能力有所提升。但是令人沮丧的是,目前很多公司都并没有强化安全性的考虑。比如,在2013年FTC与HTC公司进行和解,后者因“未能采取合理步骤为其设计的软件提供安全保障”而面临罚款。除了执法活动,FTC还致力于制定政策,展开教育活动,发布了若干指引文件。
2.微软案促进数据保护法修改
2014年7月31日,美国纽约地方法官裁定,微软 (Microsoft) 需上交存储于爱尔兰数据中心中的美国用户邮件及其他账号信息。早在去年,美国法院批准搜查令,要求微软提供一位MSN用户的邮件信息,协助追查贩毒分子。而相关信息存储于微软位于爱尔兰的数据中心。微软拒绝履行,称政府应该遵循美国与爱尔兰的双边法律援助条约。今年4月,地方法院判决微软败诉,后者随即上诉。
二审法院维持了原判。判决一经出台引起了广泛关注,微软等科技公司表达了强烈担忧,判决结果不仅可能引发用户恐慌,还会让国外竞争对手处于优势之中。不少公司如Apple、AT&T、Cisco、Verizon等向法院提交声明材料表示支持微软。
微软案的判决也引起了美国议员的高度重视。以哈奇(Hatch)议员为首的三位议员致力于修改已经执行了30年之久的数据保护法案《电子通信保密法》(Electronic Communications Privacy Act, ECPA)。九月中旬,新法案(草案)《海外存储数据与法律执行法案》被提出,旨在替代ECPA,废除后者对政府获取海外数据的授权。ECPA授权政府在获得搜查令的情况下可以向科技公司请求获取数据,无论数据存储在何地;而新法案的提出,主要是为了废除该项规定。LEADs法案规定,美国政府在要求获取海外存储数据时需要获得法院批准的搜查令,其次,在法院发现搜查令的执行将导致违反其他国家法律时,可以修改或废除该搜查令。因此,新法案不仅否认了搜查令的海外效力,同时还要求美国政府遵守他国法律。新法案还增设了附件条款,要求美国政府在获取海外存储数据时需要通知相关主体。这一通知义务被视为是利益平衡中的关键一环。
2014年8月中旬,微软回应美国商务部国家通信与信息管理局(NTIA)公众意见征集,就“大数据”问题提出一系列意见。就美国政府如何展开监控,如何保护数字隐私的问题,微软列出若干变革建议,认为这有助于“云端的信任建立”。但是,其他公司对于政府监控导致大量信息泄露几乎没有做出公共回应。代表Facebook、Google等公司的互联网协会呼吁行政管理部门将重心放在自愿的隐私承诺上面。该协会主张,“先发制人”式的立法将有损经济发展。
3.加强学生隐私的保护
近年来,学生数据隐私成为全美国的热点问题,美国各州也开始有所作为。尽管在联邦层面的立法已在7月下旬出台,但各州也很积极地在完善学生隐私的立法。目前联邦保护学生隐私的法律有《家庭教育权利和隐私权法》 (FERPA)和《儿童网上隐私保护法案》 (COPPA),但是这些法律是否能够有效保护隐私,在这一问题上教育家、隐私专家、议员以及行业专家的观点出现了分歧。根据Data Quality Campaign的统计,在美国有32个州83项相关议案正在讨论或审议之中。推动学生隐私法律完善的主要原因是因为在美国一些科技公司收集学生的数据并使用在广告中,吸引其他同龄学生购买商品或服务以及其他非教育性的目的。Google就在今年早些时候因为收集学生的邮件信息用户广告而被曝光,此后Google修改了相关的公司政策。
9月上旬加利福尼亚州有两部法案交到了州长Jerry Brown手中。其中,法案SB 1177为网站、网络服务商、网络应用以及移动应用提供了隐私保护的指引;而法案AB 1584主要调整地方教育机构与第三方技术供应商的合同关系。
法案SB 1177为互联网网站、网上服务商、网络应用商以及移动应用商列举了若干个“可以做”和“不得做”的事项。无论公司是否联络了学校,都需要遵守下述规定:
a. 不得基于K-12(K-12是指十二年级以下)用户的信息在网站上发布广告;
b.不得使用服务收集的信息为K-12学生建立账号;
c.不得售卖学生的信息;
d.除非有合法理由不得披露保密信息;
e.通过充分的安全程序和实践保护学生信息;
f. 根据请求删除学校或者地区管理的学生信息;
g.根据法律要求或者以合法的科研目的披露学生信息。
法案AB 1584则具体规定了地方教育机构在与第三方数字记录和教育软件提供商的合同中应该规定哪些内容,包括:
a. 规定地方教育机构拥有并控制学生记录;
b.规定学生如何控制自己的项目以及学校创设的其他内容,并规定学生如何将自己的信息转移到私人账号;
c. 禁止第三方以合同以外的目的使用学生信息;
d. 规定家长、法定监护人以及学生如何查阅、修正记录中的个人可识别信息;
e. 规定第三方保障学生数据安全保密的措施;
f. 规定通知家长、法定监护人以及其他适格学生未经许可披露学生记录的程序;
g. 规定在合同终止后学生的数据不会被第三方获取;
h.规定地方教育机构以及第三方如何履行联邦FERPA法案的规定;
i. 禁止第三方在广告中使用学生的个人可识别信息。
4.美国众议院通过三部网络安全法案
美国众议院于7月28日通过三部法案,分别是《国家网络安全和关键基础设施保护法》、《关键基础设施研究发展进步法》,以及《国土安全网络安全人力资源法案》。这三部法案旨在增强美国国土安全部 (DHS) 的监管权威,推动DHS更新科研规划,发展网络安全科技,用于关键基础设施的保护,同时将重点发展国土安全部的网络劳动力资源。
4.1.《国家网络安全和关键基础设施保护法》
4.1.1.简介
《国家网络安全和关键基础设施保护法案》 修正了《国土安全法案》 (2002) 的若干规定,要求国土安全部部长代表美国联邦政府进行网络安全维护行动,这有可能会改变国土安全部在防止和响应网络安全事件方面的角色。《关键基础设施研究发展进步法》在美国第113届国会上由美国众议院提出,是《国土安全法案》(Homeland Security Act of 2002, HSA) 的修正案。法案的起草人为Michael T. McCaul议员。《国家网络安全和关键基础设施保护法案》将修正《国土安全法案》的部分内容,要求美国国土安全部部长开展网络安全维护活动,包括规定联邦组织中共享的态势感知,在网络事件发生后展开中完成保护、预防、缓解、响应、恢复的实时、综合的业务活动。
4.1.2.科技支持和信息收集方面的规定主要总结如下:
a. 关键基础设施的保护与信息收集
●美国国土安全部部长应该制定部门政策以及相关程序,确保关键基础设施所有者和运营者能够接收到实时的、可诉的、与网络威胁相关的信息。
●美国国家安全部部长应该至少对每一个关键基础设施部门建立一个信息分享与收集中心。
b. 国家网络安全与通讯整合中心
●建立国家网络安全与通讯整合中心,作为一个联邦平民化信息分享平台,提供共享的情态感知 (situation awareness),向联邦、各州、地方政府、信息分享和分析中心等提供网络威胁的信息。
●美国国土安全部部长应该向众议院国土安全委员会、国家国土安全和政府事务委员会以及美国总审计长呈交一份年度报告,对与联邦平民机构信息系统相关的事件进行总结,对网络安全事件的数量提供整合数据。
●此外,美国国土安全部部长还需要提交国家网络安全与通讯整合中心运营情况的报告。
c. 对网络事件的响应以及技术援助
●美国国土安全部部长应该设立网络事件应对小组,主要向联邦、各州、地方政府私人团体以及关键基础设施所有者和运营者提供及时的数据支持,以及风险管理支援。
●美国国土安全部部长应该形成一份国家网络安全事件应对策划方案,保障对关键基础设施、信息系统以及信息系统网络构成威胁的事件作出有效地紧急应对。
d. 禁止从事追踪个人可识别信息 (PII) 的收集活动:本法案禁止美国国土安全部从事以追踪个人可识别信息为目的的任何监视、监测、泄露或收集活动。
e. 组建网络安全学术团队
●美国国土安全部部长应该论证建立一个学术安全研究项目的可行性以及预期成果,这一项目将由国土安全部卓越研究中心的学者在内的研究人员负责,针对关键基础设施相关的网络威胁形成的挑战展开研究,增强相关知识。
●美国国土安全部部长应该与国家研究理事会 (NRC) 达成协议,从事国家电力传输和分配系统相关的灵活性和可靠性的研究。这一研究被命名为“今天让我们节省更多美国资源” (Saving More American Resources Today Study, SMART)的研究,或者称为“SMART”研究。
NCCIP的内容特征可看做是“大整合”,将2003年《国土安全法案》在保护网络空间安全和维护关键基础设施安全方面未整合进去的职责,以及2003年之后到目前为止10年多的时间内联邦层级新出现的各类型机构都整合进去,在法律中固化,赋予法律地位,并全部纳入国土安全部的麾下,主要包括这几类:
一是跨部门协调类的,即,横跨关键基础设施各子部门的、对网络威胁需要作出实施反应和信息跨部门共享的超级协调中心——国家网络安全和通讯整合中心(NCCIC,the National Cybersecurity and Communications Integration Center);
二是应急类的,即,网络事故应急小组 (CIRT, the Cyber Incident Response Teams)整合进来,明确法律地位,使其能够以法律名义在网络威胁和攻击中发挥其技术支撑、危机管理,以及向关键基础设施的拥有者和运营人提供紧急应对方法和日常技术建议的三大功能,此外,与之配套的《国家网络安全应急反应计划》(the National Cybersecurity Incident Response Plan)也整合进来,并对其施以法律要求,做到新形势下的日常更新,以及与联邦、州、地方和私营部门共同进行日常演练。
三是将私营部门的行动和作用也都整合进来,使其在公私合作的架构方面继续发挥作用。
4.2.《关键基础设施研究发展进步法》
4.2.1.简介
《关键基础设施研究发展进步法》要求美国国土安全部 (DHS) 向美国国会呈交一份战略计划,内容是关于关键基础设施保护的研究和发展。同时,DHS还需呈交一份该部门对公私财团 (public-private consortiums) 使用情况的报告,增强对这些公共设施的保护。该法案还将指导美国审计总署 (Government Accountability Office, GAO) 评估DHS所建立的资料交换中心在分享科技创新上的有效性问题。该法旨在优化与关键基础设施保护的安全性技术研究相关的法律。立法起草人Meehan议员提到:“这一法案的提出是为了巩固美国对抗恐怖主义和网络威胁的成果,而不被过时的和官僚化的程序侵蚀殆尽。”《关键基础设施研究发展进步法》在美国第113届国会上由美国众议院提出,是《国土安全法案》(Homeland Security Act of 2002, HSA) 的修正案。
4.2.2.内容特征
《关键基础设施研究发展进步法》要求美国国土安全部向国会呈交:(1) 为了保护关键基础设施,指引联邦实体安全和网络安全技术的研究和进步的宏观方向的战略计划(以下简称《战略计划》),包括应对所有威胁。(2) 为了促进关键基础设施保护的科技发展,美国国土安全部使用公私研究和发展财团情况的报告(以下简称《报告》)。上述《战略计划》和《报告》每两年更新一次。
4.2.3.法案要求《战略计划》包括以下内容
a) 识别关键基础设施安全风险,以及在风险/漏洞分析出台之后形成的安全技术漏洞。
b) 需要根据风险和漏洞进行优先性排列的一系列关键基础设施安全科技。
c) 识别用于支持这些安全科技的科研、发展、论证、测试、评估、获取的实验室、设施、模型、模拟功能 (simulation capabilities) 。
d) 识别目前以及预期促进快速发展的计划方案,以及关键设施保护的安全性技术的调度部署。
e) 与安全性技术漏洞关联的每一个关键基础措施安全风险的进度评估,以及在之前的战略计划中提出的关键基础措施科技需要。
4.2.4. 法案要求《报告》包含以下内容
a) 重点关注主要由私人运营的以及主要从飞速发展的安全性技术中赢利的关键基础设施的保护。
b) 现有关键基础设施安全性技术的财团进展和成果的综述。
c) 从公私研究和发展财团中获利最多的技术发展关注领域的优先代表。
d) 执行计划扩展版的研究和发展财团项目的计划。
4.3.3.《国土安全网络安全人力资源法案》
4.3.3.1. 简介
《国土安全网络安全人力资源法案》要求美国国土安全部 (DHS) 采取若干措施丰富网络安全人力资源,提升他们的能力,确保人员严阵以待。《法案》还要求DHS形成招募训练额外雇员的行动计划。该法旨在要求国土安全部建立网络安全的专业分类,评定网络安全的劳动力,发展出一套识别网络安全劳动力漏洞的策略。《国土安全网络安全人力资源法案》 在美国第113届国会上由美国众议院提出。立法起草人为Yvette D. Clarke议员。该法案要求美国国土安全部:
a) 对参与国土安全部的任务的个人进行职业分类;
b) 确保每一种分类都在DHS中得以使用并且在其他联邦机构中也可以使用;
c) 评估DHS执行网络安全任务时是否具备能力,或者做足准备。
法案提出“网络安全任务”是减少威胁以及弱点,形成威慑效果,对突发事件及时回应,促进事后恢复,促进网络空间的安全和稳定。
三、其他地区
1.俄罗斯
俄罗斯总理梅德韦杰夫签署法令,进一步加强对互联网的控制,要求互联网用户使用公共WIFI热点时需提供个人身份信息,这一政策激起了民众的不满,也让电信运营商为执行感到为难。法令还要求电信公司披露有哪些人在使用网络。俄国会信息科技委员会副主席Vadim Dengin说,“这是出于安全考虑。一场信息战就要打响。如果允许在公共区域匿名访问互联网,从事非法活动的人就会逃过应有的惩罚”。今年4月,普京警示业界领袖,称互联网是“美国中央情报局的一个项目”,我们需要法律来对抗“极端主义”和“恐怖主义”。
此外,俄罗斯近日还加强对网络博客的管理,要求日访问量达3000以上的博客主登记真实姓名及联系信息。目前为止,在俄罗斯大概有580名博客主已向俄通信管理机构提出登记申请。俄政府称,这是清理互联网上不准确或诽谤信息的必要举措。在俄罗斯需要登记的博客主人数大概有几千人,违规不登记可能会遭到封号。
在数据保护方面,俄罗斯国会两院近期批准了一部新法,要求截至到2016年9月以前,数据运营商(包括互联网公司在内)必须使用俄罗斯联邦本土境内的服务器储存公民的个人数据,否则可能面临网络封锁。该法案若获得通过将产生广泛影响:意味着Facebook,谷歌等处理个人信息的国际网站或应用软件必须在俄国境内建立本土服务器。此外,外国公司如果不能保证个人信息存储在俄国境内,则将被禁止往俄国境外发送数据。若外国公司不遵循上述规定,俄国电信监管机构将要求国内运营商限制用户接入这些服务。该法案同时也推行对俄国现有个人信息及数据保护法律的改动。不久前尚有另一部新法颁出,即《俄罗斯在线内容法》。该法促进了在线内容的交换,给相关企业创设新的义务。根据《俄罗斯在线内容法》,所有的“在网络上散播信息的组织者”,包括社交网站、邮件服务、网络论坛以及其他企业等,在获取、传输、交付处理互联网用户的电子信息前需在俄罗斯国家信息监控局注册登记。
2.英国
英国政府以公布《数据保留和调查全力法案》的形式开展了紧急立法行动。法案将要求通信服务提供商保留数据长达12个月。这一立法的起因是欧洲议会法院曾判定《欧洲2006/24/EC指令》违反《欧洲联盟基本权利宪章》第7、8条。该指令在05年后引入,此前恐怖事件频繁发生,指令旨在帮助政府应对未来的恐怖袭击。英国政府称,法案将不会授予警方以及安全部门更多的权力,也不会扩张立法;相反地,法案旨在保持原有治理现状。法案也不会审查通讯内容,而是规定何时何地进行通讯,以及访问哪些网站的IP地址。该法案设有“日落条款”,将于2016年废止。英国信息监管机构 (ICO) 近期发布了关于大数据和数据保护的报告。在报告中,ICO警告企业确保他们对个人数据的处理以公正的、透明的方式进行。数据保护法专家Kathryn Wynn请求ICO解释在大数据领域“透明度”和“公平性”的含义。ICO表示企业应当确保隐私公告更新;若出于某种在用户最初提交数据时无法预见的新目的而使用该数据,则企业应当确保用户知道实情。即使个人数据在未来的大数据项目中的使用情况尚不明确,但企业仍然有义务向用户解释可预见的数据处理。
此外,英国议会计划通过数据留存及调查权法案,要求电话公司留存顾客通话和网络活动记录。隐私维权人士认为法案“设立了一个危险的先例”。新法要求电话公司留存顾客呼叫对象记录以及网页浏览历史,留存时间不少于12个月。这一法案部分起源于美国上周表示针对西方国家的恐怖主义活动可能又重新出现,而英国正是目标国家之一。法案虽然可能获得欧盟议会通过,但劳工党及自由党人均对法案执行透明度表示担忧。英国最高法院院长Lord Neuberger of Abbotsbury认为,“现今信息记录、传播、甚至被操纵的速度‘惊人’,这给既存法律体系带来了‘极大的挑战’。飞速发展的互联网通讯已经改变世界,保护隐私的法律需要重写。”Lord Neuberger还提到,调整通讯方面的立法是必要的。英国与其他欧盟国家不同,目前尚没有单行的隐私法,相关法律实践经常以《人权法案》等法律或者合同违约为法律依据。
3.德国
德国内政部长de Maiziere 称,目前德国的数据保护法律已经过时,无法跟上技术的发展,德国政府正在筹划对信息技术和数据保护方面的法律作出重大变革。届时欧盟的数据保护条令将会完全替代德国法律。而信息技术安全法在本周提交部门批准。该法设定了行业标准,将对能源、信息技术、电信、运输、健康、水资源、食物以及金融服务等众多领域的企业产生影响。
德国数据保护机构 (DPA) 首次为手机游戏及移动应用开发人员发布指导文件,说明如何解释与手机游戏、平板电脑游戏以及其他应用相关的数据隐私立法。指导文件出台起因是DPA发现关于移动应用收集了什么数据,为什么要收集,以及数据是否被共享等问题有待澄清。指导文件要求应用开发商保证只有在数据对于应用性能是绝对必要时才可收集个人数据,并且需要针对应用制定特殊的隐私政策,告知用户将被收集和共享的数据类型和范围。违反德国隐私法律可能会被判处高达30万欧元的罚金。
4.澳大利亚
澳总理阿博特及司法部长布兰迪斯8月5日宣布,将书面建议扩展澳洲反恐法律,强制电信和互联网公司存储与用户通话和互联网使用相关的元数据信息并提供给安全机构,新法将在今年晚些时候颁布。这是最近三周就国家安全法律提议整改发出的第二次公告,第一次是布兰迪斯7月16日向国会呈交的《国家安全立法修正案草案》(National Security Legislation Amendment Bill)。该法案简化并巩固了澳洲安全情报组织 (ASIO) 等情报机构的运行流程。新法要求电信公司在两年期间内记录公共元数据 (public metadata)。此外,布兰迪斯证实联邦内阁已经原则上认可计划中的数据保存体制。
总理阿博特称,元数据并不包括用户的搜索历史。“我们要的不是内容,而是元数据”,他说。联邦内阁已经“原则上”同意批准新法,要求公司在一定时间内保存信息,但具体细节直到今年晚些时候才可知晓。许多公司目前保有元数据,但据了解,联邦法律将要求延长保存数据的时间。但是行业人士表达了自己的担忧:由于政府没有制定甚至提及任何特殊的安全保护措施,消费者隐私难以得到保护。iiNet近期发布了一份文件,反映了该公司与澳洲司法部就数据存储方案的磋商情况。该公司称安全问题一直没有被提及,“要求数据保留达到两年以上会带来很大的安全风险,而且会增加很大的管理成本”。目前澳洲政府在存储私人数据方面 “没有提出任何就安全协议方面的指引”。
此外,鉴于近来隐私泄露事件频发,澳大利亚法律改革委员会提议修改澳大利亚本国隐私法,保护个人数据隐私免遭侵害。该委员会提议在新《联邦法案》(Commonwealth Act) 中增设一类侵权行为,保护个人免遭隐私侵犯。当出现故意侵犯隐私,能够造成实际的或者情感的伤害,且情节严重时,对隐私持有合理期待的个人可以寻求救济。委员会的报告还提及对“互联网平台”的重要影响,比如Google, Yahoo, Facebook及Youtube。如果公司明知存在严重的隐私侵犯情形就不能免责。
5.意大利
意大利数据保护机构Garante近来公布了2014上半年数据保护工作的分析:半年内该机构共开展了196项审查,罚款数额达到250万欧元。Garante的总体评估显示,目前用户难以获得关于数据处理的信息;许多数据处理活动都是违法的;安全保障措施还有待加强。Garante主要关注如下领域:移动支付、医疗应用、国外电话营销、房产经纪、电子商务、互联网交换点 (IXP) 活动、互联网安全措施、向非欧盟国家交换数据等。
6.土耳其
土耳其总统Tayyip Erdogan于9月11日批准一部新法律,加强对互联网的政府管控,并扩张了电信管理机构的权力。在9月8日土耳其国会通过了该法。新法将允许管理部门在未获得法律许可的情况下关闭网页,这引起了民众的不满以及对言论自由的担忧。新法还授权电信管理机构在必要的情况下以“国家安全,恢复公众秩序,以及阻止犯罪的目的”屏蔽相关网站。
此外,土耳其政府将《欧洲理事会关于私人数据自动处理的个人保护公约》提请土耳其大国民议会批准。该公约的批准意味着包括身份证号、宗教以及私人数据在内的关键数据将得到特殊保护,禁止基于个人或团体利益获取、收集、使用私密个人数据。
7.菲律宾
菲律宾众议院将改写隐私法案,保护个人隐私免遭侵犯。议员Rufus Rodriguez 重写起草了《保护个人隐私免遭侵犯法案》(Protection Against Personal Privacy Intrusion Act),该法案旨在禁止“以营利为目的”侵犯个人隐私。原法案目前已退回公共信息委员会以澄清部分条款。菲众议院在法案二读时批准该修正案,并纳入了三读和终读的议事日程。