Personal Information Protecting System in Japan and Its Inspiration Brought to That in China

Abstract：The new“Act on Protection of Personal Information”in Japan e-laborates the definition of personal information,the standards of protection,the limitation and supervision on transferring of personal information,penalty and the like as well as protection for personal information in specialized fields.This new act shows a further development of strong protection for personal information in Ja-pan.The relevant experience in Japan can provide a reference to the building of personal information protecting system in China.

Key words：Japan,Protection for Personal Information,China

引言

2003年，“個人信息保護法案”通過日本國會決議，日本首部《個人信息保護法》于同年開始實施。隨著通信科技的發展與信息化的普及，個人信息的價值不斷提升，企業或社會組織收集、使用與出售個人信息的情形越來越多，因而制定《個人信息保護法》成為維持整個社會良好秩序的重要舉措。為進一步加大個人信息在科技社會中的保護力度，時隔多年后，日本于2015年9月正式公布對《個人信息保護法》的修改草案，以期令個人信息在法律層面獲得更強的保護，使得該部法律能在最大限度內與全球化進程的信息通信事業、商業活動等同步，并對其中涉及個人信息的相關事業與活動加以監管。新的《個人信息保護法》的實施將對振興日本產業發展、維護個人信息主體的權益以及規制違法行為具有重要的意義。

一、日本現行《個人信息保護法》的現狀

（一）現行《個人信息保護法》的簡述

2017年5月30日，新的《個人信息保護法》（以下簡稱現行法）開始全面實施。與舊法相比較，現行法主要從以下幾個方面對原有內容進行完善：第一，個人信息范圍的界定；第二，確保個人信息的可利用性；第三，個人信息保護的強化；第四，規范涉及境外個人信息的處理；第五，賦予個人信息保護委員會明確的法律地位；第六，加大對違規行為的處罰力度。

就現行法的框架而言，共分七章，包含88項條文：第一章為總則（第1條至第3條）；第二章對國家與地方公共團體的責任、義務進行了規定（第4條至第6條）；第三章為有關個人信息保護的措施等（第7條至第14條），其中包括個人信息保護的具體方針、國家的政策、地方公共團體的政策以及國家與地方公共團體的協助；第四章規定了個人信息處理業者的義務等（第15條至第58條）；第五章是涉及個人信息保護委員會的相關規定（第59條至第74條）；第六章至第七章分別為雜則與罰則（第75條至第88條）。[128]特別值得注意的是，現行法在延續舊法框架的同時，對其中章節內容進行了擴充，例如第四章第一節關于向境外第三人提供個人信息的限制（第24條）、第二節關于匿名信息加工處理業者的義務（第36條至第39條）、第三節關于個人信息保護委員會的監督權（第40條至第46條）以及第五章關于個人信息保護委員會的規定等。

（二）現行《個人信息保護法》的特點

與舊法相比，為了更好地維護個人信息主體的權利、抑制企業與組織侵害個人信息主體的行為等現象，現行法根據具體情形作出具有擴張性以及針對性的規定，具體有以下幾個特點：

第一，個人信息從業者范圍的擴張。修法前，持有5000人以下的個人信息的中小企業、小規模業者被排除在舊法所規制的范圍之外。然而，2017年5月30日之后，持有5000人以下的個人信息的中小企業、小規模業者也被包含在內。在此基礎上，處理個人信息的數量不受限制，利用紙質或利用電子數據管理名簿的業者均屬于個人信息處理業者，并成為現行法規制的對象，所有處理個人信息的業者均適用于現行法，其中不限于法人，還包括住房管制組織、NPO法人、自治會或校友會等非營利組織。另外，針對小規模業者的行為可通過其他安全管理措施予以應對。[129]

第二，個人識別符號概念的引入。現行法第2條第1款除對“個人信息”的基本定義之外，將“個人識別符號”納入“個人信息”的定義中。[130]作為其補充款項，同條第2款規定，兩種情形可被認定為“個人識別符號”：第一種情形為將特定個人身體的一部分特征變更為供電子計算機使用的文字、號碼、記號與其他的符號（例如，構成DNA的堿基排列、臉部骨骼、虹膜、聲波紋、指紋等）[131]；第二種情形為常規的工作中基于不同對象所分配的不同符號（例如，護照號碼、駕照號碼、養老金號碼、住民票代碼等）。[132]

第三，需加注意的個人信息概念的引入。為避免由于自身特殊原因而遭受精神損害，現行法第2條第3款規定對包含特殊情形的個人信息加以保護，并將個人信息中包含因人種、信仰或相關病例等可能會對其本人造成歧視或偏見的信息規定為“需加以注意的個人信息”。鑒于上述情形有可能會損害本人的相關利益，現行法對個人信息處理業者使用該種信息以及禁止使用該種信息的情形作出了較為嚴格的規范。關于“需加以注意的個人信息”的使用，同法第17條第2款規定除該款規定的情形外，個人信息處理業者在使用被歸為“需加以注意的個人信息”時，需要經過本人同意。[133]在個人信息從業者向第三人提供個人信息的情況下，現行法第23條第2款規定，就“需加以注意的個人信息”而言，禁止個人信息處理業者利用請求免除（opt-out）的方式向第三人提供相關個人信息。[134]

第四，匿名加工信息概念的引入。匿名加工信息是為滿足信息技術時代需要而被引入現行法中的一個新概念。在此基礎上，為避免在促進信息產業發展的同時，因匿名加工信息的濫用對個人信息主體的利益造成傷害，現行法對匿名加工信息作出詳細的規定。具體而言，根據現行法第2條第9款規定，“所謂匿名加工信息，是指對個人信息進行處理后獲得的無法識別特定個人，并無法得到恢復的信息”。當匿名加工信息相關業者的加工對象屬于同法第2條第9款所定義的信息時，需遵守個人信息保護委員會的規定，并負有防止加工信息泄漏、對已完成的匿名加工信息以及向第三人提供匿名加工信息進行公示等義務。[135]

第五，個人數據保護的強化措施。為防止日益猖獗的個人數據泄露和倒賣，現行法對個人數據的流轉，特別是個人數據由個人信息處理業者提供給第三人時，原則上必須事先征得本人同意。[136]向第三人提供相關個人數據之后，個人信息處理業者基于現行法第25條第1款規定，除特別情形外，必須根據個人信息保護委員會的相關規定，記錄提供給第三人相關個人數據的具體時間段（年月日）、該第三人的姓名或名稱以及其他內容等，并在法定期限內進行保存。另外，當第三人接受相關個人數據后，個人信息處理業者仍須按照個人信息委員會的相關規定，確認第三人的姓名或名稱與住所（第三人為法人的，以其代表人姓氏為準）、該第三人獲得該數據的經過，記錄第三人接受該個人信息提供的具體日期與確認事項等，并在法定期限內對其進行保存。[137]

第六，向海外第三人提供個人信息時的限制。隨著商業全球化的不斷推進，為防止個人數據在海外遭到濫用，現行法還特別就個人信息處理業者向特殊第三人提供個人數據的行為加以限制。根據現行法第24條的規定，原則上，未經本人同意，個人信息處理業者不可以向在海外的第三人提供個人數據，但在“該第三人所在國家是個人信息保護委員會規則承認的，作為在保護個人權益方面設立有與日本水平線相當的個人信息保制度”的情形中，以及該第三人完善體制符合個人信息保護委員會規定的標準或符合現行法第23條中的具體情形下，可以向海外的第三人提供該個人數據。[138]特別需要注意的是，該條款中所指的向國外的“第三人”提供個人數據包括以下情形：母公司與子公司、集團公司間個人信息的交換，以及特許經營組織與加盟店之間的個人信息交換與同行業間的個人信息交換，但同一企業內各部門間提供個人信息的除外。[139]

就第三人的義務而言，例如境外金融機構向日本境內金融機構提供相關服務時，被提供服務的具體對象需要承擔相應的義務，在使用個人信息時，必須確定其使用目的，若事先未經本人同意，則對其確定的使用目的不得超出原有目的范圍，從而保證個人數據利用的正確性以及采取必要安全措施以防止個人數據泄露。[140]

第七，個人信息保護委員會的設立以及違法處罰的標準。設立個人信息保護委員會的重要目的之一是能夠更好地與現行法一同規制個人信息處理業者的相關行為。個人信息保護委員會有權對所有個人信息（包含現行法第2條中記載的所有個人信息類型）處理業者進行監管。當個人信息處理業者明顯違反現行法時，個人信息保護委員會可依照現行法的條款根據具體情況采用必要措施，例如要求個人信息處理業者提交報告或資料、例行抽查、勸告或下達中止違法行為命令等。[141]

關于違反現行法的相關處罰標準，現行法第七章對一些嚴重損害個人權益的違法行為加大了處罰的力度，情節嚴重的還會受到不同程度的刑事追責。[142]具體而言，對不聽從個人信息保護委員會命令的業者，根據具體情況可處以6個月的徒刑或30萬日元以下的罰款。對職員以謀取不正當利益為目的，提供或盜用個人信息數據庫等行為，可處以1年以下的徒刑或50萬日元以下的罰款。關于個人信息處理業者偽造或者提出相關報告、拒絕答復個人信息保護委員會工作人員提出的問題或作出虛假答復、拒絕或妨礙抽查等違法行為，會被處以30萬日元以下的罰款。個人信息處理業者不進行申報或提交虛假申報，會被處以10萬日元以下的罰款。

綜上，現行法的實施有利于維護良好的社會秩序，進一步規制企業或相關組織對個人信息的濫用等行為。從上述七個特點中可以看出，現行法對其規制對象的范圍、義務等分別作出了具體、全面以及嚴格的規定，還確立了個人信息主體的知情權，確保個人信息在使用或流轉時的穩定性。以此為契機，日本學界以本次《個人信息保護法》修改為背景對現行法的全面實施作出評論。有評論認為個人信息保護法制度中重要的是，個人信息的保護與使用間的平衡，本次修法設置的規定滿足了保護、利用兩方面的需要。在此次修法下，個人數據的利用環境得以調整，期望通過積極利用包含個人信息的個人數據，以滿足商業需求與實現新興產業的創新。[143]同時也有評論認為，設立個人信息保護委員會是本次《個人信息保護法》修改最重要的一點，針對個人信息的界定、匿名化信息、以請求免除（opt-out）為由向第三人提供個人信息的登記、適應全球化等，圍繞平衡個人信息的保護與利用的每個論點都要依靠該委員會迅速且適當地解決。[144]可見，日本學界對本次《個人信息保護法》修改以及個人信息保護委員會的設立給予較高的評價與期望。

二、個人信息保護委員會與特殊領域的規章

由于針對個人信息的保護具有一定的特殊性且涉及的領域較為復雜，因此設立專門的監管機構以及針對特殊領域個人信息保護的相關規章具有重要意義。

（一）個人信息保護委員會的設立

個人信息保護委員會經過改組，于2016年1月1日正式成立。個人信息保護委員會屬于獨立性較高的機關，并由委員長（1名）、委員（全職與非全職各4名）、專業委員（非全職1名）以及干部（事務局長、總務科長各1名與參贊官2名）組成。在此基礎上，該委員會為合議制，委員長與委員組成合議庭可單獨行使其職權。[145]作為行政上的一般事務，該委員會基于現行法制定“個人信息保護的基本方針”，促進官、民對個人信息保護的配合。個人信息保護委員會將展開相關宣傳活動，積極參加相關國際會議，并與國外有關機構進行信息交流，構建合作關系，以使得公眾更加了解個人信息保護的重要性以及正確且廣泛地利用個人信息。

從現行法實施之日起，個人信息保護委員會可根據不同情況基于現行法與《番號法》[146]兩部法律予以應對。根據《番號法》的相關規定，使用個人號碼（マイナンバ一）的行政機關或地方公共團體等應針對綜合性風險對策進行評價并公布特定個人信息保護評價，對此，個人信息保護委員會相應地作出執行該評價時的相關內容或與程序相關的基本方針，針對業者的行為實施其監視或監督權。

根據現行法的相關規定，個人信息保護委員會可對個人信息保護團體進行認定與監督，對個人信息處理業者的相關行為實施監督。另外，在現行法實施之前，監督個人信息處理業者的義務由各級省廳承擔。現行法開始實施后，該委員會執行其權限的范圍擴張至行政機關，并對特定個人信息處理業者進行必要的指導或根據具體情形實施入內調查等。[147]

（二）金融行業監管

為進一步規范金融領域中收集、使用與流轉個人信息的行為，2017年2月個人信息保護委員會與金融廳共同制定了《金融領域個人信息保護指南》（以下稱《指南》）。該《指南》中的所有規章（第1條至第18條）均基于現行法的相關法條[148]，針對金融領域中使用以及轉移個人信息的行為等加以規范。根據《指南》第2條的規定，金融領域的個人信息處理業者依照現行法第15條確定使用個人信息的目的時，需要在提供金融商品或服務后明確該目的，例如該公司接收存款或該公司對個人進行融資的信用判斷以及信用管制等。根據同條第2款的規定，當金融領域的個人信息處理業者開展信貸工作，并向個人信用機構提供個人信息時，必須在使用目的中明示其主旨。就明示的使用目的而言，必須征得個人的同意（原則上以書面（包含電磁式紀錄）形式[149]）。當金融領域的個人信息處理業者變更使用個人信息的目的時，同條第5款對現行法第15條第2款中關于變更前使用目的的范圍加以列舉，例如金融領域中的個人信息處理業者將原來郵寄商品介紹手冊改為以電子郵件的方式發送商品介紹手冊的行為屬于合理變更范圍，而將用于問卷的收集計算改為用于郵寄商品介紹手冊的行為則屬于超出合理變更范圍而不被允許。[150]

此外，《指南》第5條還對“敏感信息”（機微情報）進行了詳細的定義，其中包含舊《指南》中的敏感信息情形以及現行法與同法實施行政令中規定的需加以注意的信息，例如醫療保健、原籍、社會身份、犯罪記錄或未成年犯罪歷史等。[151]此類信息的使用原則上被現行法所禁止。作為其例外，同條第1款中列舉規定容許金融領域的個人信息處理業者實施上述行為，但事先必須征得本人同意，金融領域的個人信息處理業者在向第三人提供“敏感信息”時不可適用現行法第23條有關免除請求的規定。[152]

關于金融領域的個人信息處理業者向第三人提供個人數據的限制，《指南》第11條中（與現行法第23條相關），除要求金融領域的個人信息處理業者以書面的形式（提供個人數據的主體、第三人使用目的以及提供給第三人的信息內容）獲得本人就該業者向第三人提供個人數據的同意之外，在金融領域中的個人信息處理業者向個人信用信息機構提供個人數據的情況下，由于個人數據被提供給個人信用信息機構時，個人信用信息機構的加盟企業也會通過該機構獲得相關的信息，因而需要本人在明確了解會發生上述情況的基礎上，作出是否同意流轉其個人數據的判斷。因此，個人信息處理業者在征求本人書面同意后，需要對個人數據將會提供給登記在個人信用信息機構的會員企業的主要內容加以記載，并對使用個人數據的該會員企業進行表示。[153]在共用個人數據時，金融領域的個人信息處理業者同樣需以書面形式通知本人，并分別列舉共用業者。就共同利用者的外延而言，在向個人信息的主體通知時，該領域的個人信息處理業者必須對該共同利用者進行特定化，以便個人信息的主體能夠容易地獲知其范圍。[154]具體表示外延的形式可以是“母公司以及母公司有價證券報告中等記載的其子公司”，也可以是母公司以及有價證券報告中等記載的母公司的附屬公司以及權益法（Equity Method）適用公司。[155]

（三）醫療行業監管

為進一步貫徹現行法的立法目的，個人信息委員會與日本厚生勞動省共同將原《醫療看護業者正確處理個人信息指南》修改為《醫療看護業者正確處理個人信息的指導》（以下簡稱《指導》）。《指導》主要是以醫療機構（提供直接接觸患者的醫院、診所、助產所、藥局等提供醫療服務的業者）與看護業者（經營養老院或提供高齡老年人福祉服務的業者）為對象，其中對個人信息的定義作出進一步的界定與列舉：例如醫療機構中的個人信息包括治療記錄、處方、手術記錄或出院患者在住院期間診療經過的摘要等；看護業者中的個人信息包括提供看護服務的計劃或已提供服務的內容記錄或事故情況記錄等。[156]

由于醫療與看護業者同樣掌握著大量患者的個人信息，因此當醫療機構與從業者使用該信息時，需盡可能地確定其使用目的，在獲取該信息后需向本人通知其使用目的或進行公告，并不得超出使用目的的范圍。[157]就個人信息的安全管理而言，醫療與看護業者應當在人工、物理或技術等方面采取適當的措施，例如實時監控、文件加密以及提升電腦防火墻的性能等。[158]

對于有可能對患者權益造成傷害的信息，醫療與看護業者在處理的時候應對其加以考慮。具體而言，在診斷紀錄或看護機構紀錄中記載的病例，或者患者在診療或抓藥的過程中的身體狀況、病情、治療等，以及從醫人員（醫師、牙醫、藥劑師、看護師以及其他從事與醫療相關的人員）獲知的診療信息、體檢結果、保健指導的內容、缺陷的事實以及受害事實等。這些情形均屬于現行法第2條第3款規定的業者應加以注意的個人信息。[159]現行法中沒有對醫療領域在獲取或者向第三人提供此類信息時作出任何例外的規定，因而醫療或看護業的相關業者未經本人同意，不得實施上述行為。[160]

綜上，個人信息保護委員會的設立對促進與完善個人信息保護工作起到積極作用的同時，還能協同其他機關作出適用于特殊領域個人信息保護的具體方針，對其認定的個人信息處理團體實施專門監管。關于如何對特殊領域中的個人信息進行保護，以金融領域與醫療領域為例[161]，兩個領域內規章對個人信息的界定、適用范圍、業者的義務以及安全措施都有細致的規定。可見，個人信息委員會的設立以及特殊領域中對個人信息保護的規章能進一步規范業者處理個人信息的行為，將立法目的落實到實踐當中。

三、日本個人信息保護制度對中國的啟示

個人信息是一種具有個人可識別性的，存在于一定載體之上的可被處理的信息[162]，它同時作為個人人身、行為狀態的數據化表示，是個人自然痕跡與社會的紀錄。[163]隨著中國信息技術的迅猛發展，大量個人信息被各種行業所掌控，例如金融行業掌控客戶的金融信息，醫療行業掌控患者的就診與病例等信息（包括紙質信息和電子信息）。與此同時，互聯網的崛起，智能電子設備以及其衍生出的產品成為獲得個人信息的重要來源之一。就社交軟件而言，其功能的強大以致在一定程度上解決大眾求醫問藥問題的同時，也導致公民個人信息在很短的時間內暴露出來。[164]網購中，客戶下單決定購買某一商品的同時，客戶的手機號碼、收貨地址或者信用卡號碼等個人信息都會被服務商所收集、利用。進一步地，大眾利用互聯網上預約出行交通工具時也需要提供個人信息。針對個人信息的收集、利用以及深度開發看似會促進整個社會信息化產業的進一步發展，但現實情況不容樂觀。

近些年來，由于立法不夠完善，個人信息安全遭受侵害的現象比比皆是。在東方航空泄露訂票信息案、王某訴漢庭酒店泄露開房信息案等案件中，消費者均因被泄露信息的擴散渠道不具有唯一性而敗訴，傳統私法保護模式在此類案件中陷入困境。[165]中國學界一度提出過針對個人信息進行專門立法，并撰寫了《個人信息保護法》（專家意見稿）與立法研究報告，而時隔多年沒有任何的進展。為了完善立法上的不足，中國現階段采用分散立法的方式予以規范[166]，但這些規定往往較為零散，只能從有關人權、人格尊嚴保護方面尋得依據，缺乏系統性的專門立法，這就容易構成法律上的應用障礙。[167]個人信息權利保護中，現有法益平衡機制出現分歧，信息公開與信息保護的法益取舍指向不明朗使得個人信息權益保護又遭遇一大困境。[168]因此，有必要盡早建立個人信息保護制度，出臺專門法律以滿足現實中對個人信息保護的迫切需要。這一制度的建立也意味著個人利益在信息化社會能得到較好的保障，對于持有個人信息的相關行業從業者違法行為的規制也能得以進一步強化。

縱觀個人信息保護制度在世界各國的發展趨勢，中國基于現有法規建立個人信息保護制度時，應對該制度涉及的立法體系、領域以及其實用性等方面進行考量，作出制度建設的參考。日本建立個人信息保護制度的時期在亞洲地區相對較早，制度構建的經驗也較為豐富，借鑒其制度有利于完善中國當前在立法與實踐等方面的不足，可為中國個人信息保護制度提供一個獨特的視角。

（一）制定個人信息保護法

中國在個人信息保護法的制定過程中可借鑒日本的現行立法模式，將“個人信息”的定義、企業或組織在使用和轉移個人信息時的義務、本人知情權以及對向海外提供有關個人信息行為的限制等作為基本規定。在此基礎上，給予專門監管機構法律地位，加強對企業或組織實施的一系列與個人信息相關行為的監管，在處罰機制方面，可以根據違法行為的程度分別制定不同的問責機制。按照上述模式制定個人信息保護法的好處在于：其一，能基于該法對“個人信息”的范圍加以明確界定；其二，針對企業或組織處理個人信息的相關行為起到規范以及打擊非法行為的作用；其三，能夠使得個人信息保護的基本法與上述其他現行法結合，從而更有針對性地解決個人信息保護問題。

（二）設立專門監管機構

目前中國并沒有專門的個人信息保護機構，而是由各行業主管機構進行監督管理，例如金融行業的用戶個人信息保護工作，由央行主管；醫療行業的用戶個人信息保護工作，由衛生部門管理等，上述監管邊界有著明顯的重合地帶，但由于分散立法并未涉及職責邊界問題，個人信息保護領域事實上淪為管理的灰色地帶。[169]甚至，到目前為止，中國的醫療領域還沒有建立一個統一的個人信息保護機構，多頭管理或無人管理的現象在患者個人信息保護領域同樣存在，因此現階段患者個人信息保護的制度建設仍然非常嚴峻。[170]

為化解職責邊界不清與管理失衡的問題，中國在制定《個人信息保護法》過程中可借鑒日本的經驗，在明確監管權限的同時，建立專門監管機構，對持有個人信息的企業、組織與機構實施統一監管，減少特殊行業內部有關個人信息保護的違法幾率。另外，在完善本國的個人信息保護制度方面，專門監管機構也能夠起到積極促進的作用。

（三）在特殊領域制定個人信息保護的規章

與日本相比較，中國的特殊行業收集、使用個人信息的量更大，其內容也更為復雜，個人信息一旦被泄露或濫用，其主體權益則會受到嚴重的侵害。就金融行業而言，其對個人金融信息的保護相對匱乏，金融機構以及監管機構對個人金融信息的保護在認識上尚存在諸多不足，對個人金融信息的保護十分不利。[171]關于醫療行業，中國對居民個人醫療健康信息的隱私保護薄弱，就個人信息保護的立法格局而言，仍以較低位階的法律法規為主，尚未建立統一的高位階成文法，且其中與醫療健康相關的規范內容更是過于原則化，效力層級低，適用范圍有限。[172]此外，個別領域的單獨立法也有助于充分考慮行業特殊情況，發揮針對性強的優勢，然而中國社會缺乏行業自律的傳統和經驗，個人信息的保護在單獨立法與行業自律之間如何協調仍屬一個難題。[173]

為解決上述問題，促進特殊行業中個人信息保護的良好發展。建議中國在出臺《個人信息保護法》的同時，有必要制定專門規章規范特殊行業的相關行為，強化特殊行業中個人信息的保護。具體可借鑒日本的做法。例如，由主管該特殊行業的機構與專門監督機構一同制定《金融領域個人信息保護指南》《醫療領域個人信息保護指南》等規章，基于《個人信息保護法》的基本規定，在其中加入特殊行業在收集、使用、流轉以及保管個人信息時的規范性條款以及相關注意事項等。制定此類規章，不僅能建立行業主管機構與專門監督機構間的協同合作機制，提高特殊行業的自律性以及特殊行業對于個人信息保護的意識，還能夠在一定程度上協調個人信息保護的單獨立法與行業自律規范。

四、結論

個人信息關系到大眾日常生活中的方方面面，大數據時代的到來使得個人信息的商業價值飆升，也使得個人信息成為經濟科技發展以及各行各業在創新過程中不可缺少的資源。若是將圍繞個人信息所產生的負面問題全部歸罪于技術進步與發展，是武斷的，也是有失偏頗的。[174]因此，如何對個人信息加以保護以及如何規制持有大量個人信息的企業或組織的使用、流轉等行為是當下亟須解決的問題。

鑒于現狀，中國有必要建立個人信息保護制度：盡早出臺《個人信息保護法》彌補專門立法的空缺；設立專門監督機構將立法目的落到實處，對規制企業收集、使用以及流轉個人信息的行為起到威懾的作用；建議專門監督機構與各主管機構協同制定規章彌補特殊行業中個人信息保護出現的不足，通過以上三個層面實現對個人信息的強保護，減少個人信息被濫用等行為的發生。