國外個(gè)人信息保護(hù)法律制度探析

許亞絨

（陜西學(xué)前師范學(xué)院，陜西 西安 710100）

隨著我國互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，社會(huì)信息化程度不斷提升，人類社會(huì)正在由工業(yè)社會(huì)邁向數(shù)字社會(huì)，個(gè)人信息因?yàn)樘N(yùn)含著重要的利益，已經(jīng)成為信息社會(huì)發(fā)展的重要資源，近年來個(gè)人信息泄露事件頻發(fā)，濫用甚至盜用個(gè)人信息而造成公民權(quán)利受侵的案件不時(shí)發(fā)生。網(wǎng)絡(luò)技術(shù)、電子技術(shù)的迅速提升，公民對(duì)自身信息安全的要求也日趨強(qiáng)烈和多元化。個(gè)人信息保護(hù)受到了世界各國的重視，紛紛制定個(gè)人信息保護(hù)法律制度，因?yàn)槊總€(gè)國家具體經(jīng)濟(jì)發(fā)展?fàn)顩r、制度文化背景和信息化程度等具體國情的巨大差異，由此形成了不同的個(gè)人信息保護(hù)法律制度。

一、關(guān)于個(gè)人信息權(quán)屬

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)和云計(jì)算技術(shù)的迅猛發(fā)展，各國愈加重視對(duì)個(gè)人信息和數(shù)據(jù)的保護(hù)，都制定了關(guān)于個(gè)人信息和數(shù)據(jù)保護(hù)的相關(guān)法律法規(guī)，基本都認(rèn)為個(gè)人信息權(quán)利是公民一項(xiàng)基本的法律權(quán)利。歐盟的個(gè)人信息保護(hù)法律規(guī)定個(gè)人信息是“已識(shí)別或可識(shí)別的個(gè)人相關(guān)的信息”，［1］對(duì)于個(gè)人信息的界定范圍較為寬廣。美國將個(gè)人信息的保護(hù)納入個(gè)人隱私權(quán)保護(hù)的范疇，并對(duì)個(gè)人信息界定范圍較為狹窄。世界各國對(duì)個(gè)人信息的表達(dá)不一，涵義也存在很大差異。在美國和加拿大使用術(shù)語“個(gè)人隱私”；在法國、挪威等地使用“個(gè)人資料”；在奧地利、德國等地使用“個(gè)人數(shù)據(jù)”；在英國和日本使用“個(gè)人信息”。目前世界各國關(guān)于個(gè)人信息的權(quán)屬基本有三種：一是“所有權(quán)客體說”，認(rèn)為個(gè)人信息權(quán)利屬于財(cái)產(chǎn)利益的范疇，對(duì)個(gè)人信息的保護(hù)應(yīng)該采取所有權(quán)保護(hù)的模式，這種說法起源于美國法；二是“隱私權(quán)客體說”，該理論認(rèn)為個(gè)人信息權(quán)利歸屬于隱私利益，應(yīng)當(dāng)在隱私權(quán)保護(hù)法律框架中對(duì)個(gè)人信息保護(hù)予以立法，以美國、日本等國為代表；三是“人格權(quán)客體說”，主張個(gè)人信息權(quán)利隸屬于公民的人格利益，因此應(yīng)該以人格權(quán)保護(hù)模式對(duì)個(gè)人信息予以保護(hù)，以德國等歐盟國家為代表。

二、其他國家個(gè)人信息保護(hù)法律制度

（一）歐盟個(gè)人信息保護(hù)法律制度

歐盟采用統(tǒng)一立法模式，以綜合性的個(gè)人信息保護(hù)法律法規(guī)對(duì)個(gè)人信息進(jìn)行保護(hù)。歐共體在1981年通過了《有關(guān)個(gè)人信息自動(dòng)化處理的個(gè)人保護(hù)協(xié)定》，規(guī)定了各成員國之間企業(yè)對(duì)個(gè)人信息自動(dòng)化處理的基本要求。在1995年實(shí)施《個(gè)人數(shù)據(jù)保護(hù)指令》，指令中明確個(gè)人信息（個(gè)人數(shù)據(jù)）的基本涵義和范圍，以及企業(yè)處理個(gè)人信息必須依指令條文執(zhí)行。該指令成為各個(gè)成員國分別立法的指導(dǎo)。后來又頒布了《電子通訊資料保護(hù)指令》《歐洲電子商務(wù)行動(dòng)方案》《電子通訊數(shù)據(jù)保護(hù)指令》《私有數(shù)據(jù)保密法》《互聯(lián)網(wǎng)上個(gè)人隱私權(quán)保護(hù)的一般原則》等法律法規(guī)，2018年5月歐盟開始實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR），GDPR不僅規(guī)定用戶數(shù)據(jù)的內(nèi)涵，還確立了數(shù)據(jù)主體享有被遺忘權(quán)、可攜帶權(quán)等權(quán)利，并規(guī)定對(duì)泄露個(gè)人信息的企業(yè)處以高額罰款，同時(shí)規(guī)定了“長臂管轄”的個(gè)人信息保護(hù)原則，規(guī)定GDPR有權(quán)管轄歐盟境外數(shù)據(jù)控制者或處理者的數(shù)據(jù)處理行為被認(rèn)定與歐盟境內(nèi)經(jīng)營場(chǎng)所開展的業(yè)務(wù)存在聯(lián)系時(shí)的行為，將適用范圍擴(kuò)大到歐盟境外的企業(yè)。2019年1月，法國國家信息與通信委員會(huì)以違反該條例為由，對(duì)Google開出了5000萬歐元的罰單。同時(shí)該條例為保護(hù)個(gè)人數(shù)據(jù)設(shè)置了一系列的保護(hù)門檻和機(jī)制，并加大對(duì)信息侵權(quán)行為的處罰力度，GDPR被認(rèn)為是歐盟有史以來最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法案。

歐盟各成員國以《個(gè)人數(shù)據(jù)保護(hù)指令》和《通用數(shù)據(jù)保護(hù)條例》為基本依據(jù)，紛紛制定了本國的個(gè)人信息保護(hù)法律法規(guī)。英國制定個(gè)人數(shù)據(jù)保護(hù)法較早，在1984年出臺(tái)了《數(shù)據(jù)保護(hù)法》，該法在對(duì)公民個(gè)人信息保護(hù)的基礎(chǔ)上，對(duì)提供行為和保護(hù)行為進(jìn)行約束，并且建立了“數(shù)據(jù)保護(hù)登記官制度”，以約束一切個(gè)人信息的持有者行為，要求個(gè)人數(shù)據(jù)的任何持有者和使用者都采取造冊(cè)登記，以此對(duì)個(gè)人數(shù)據(jù)的持有和使用實(shí)施監(jiān)管。在1998和2018年，英國又新制定了《數(shù)據(jù)保護(hù)法》，以調(diào)整和完善信息持有者和使用者與信息所有人之間的合法行為。該法賦予信息所有人兩項(xiàng)權(quán)利，即要求數(shù)據(jù)持有者和使用者清楚表明其所擁有的個(gè)人數(shù)據(jù)中有沒有包含信息所有人的數(shù)據(jù)和清楚顯示出其擁有的個(gè)人信息的相關(guān)證明，同時(shí)明確了信息權(quán)利保護(hù)原則以及解釋。德國聯(lián)邦最高法院于1954年在《基本法》中加強(qiáng)了一般人格權(quán)的規(guī)定，信息自決權(quán)隸屬于人格尊嚴(yán)，是保護(hù)個(gè)人信息安全問題的核心依據(jù)和基礎(chǔ)。德國在1977年出臺(tái)了《防止個(gè)人信息處理濫用法》，德國憲法法院在1983年“人口普查案”的判決中，第一次提出“信息自決權(quán)”。后來，德國還頒布了《聯(lián)邦個(gè)人信息保護(hù)法》《聯(lián)邦數(shù)據(jù)保護(hù)法》等保護(hù)個(gè)人信息安全的法律。

同時(shí)，歐盟設(shè)立了專門的個(gè)人數(shù)據(jù)監(jiān)督管理機(jī)構(gòu)，以監(jiān)管個(gè)人信息工作。德國設(shè)立個(gè)人數(shù)據(jù)保護(hù)聯(lián)邦委員會(huì)，英國設(shè)立信息委員會(huì)負(fù)責(zé)監(jiān)管、解決個(gè)人信息和數(shù)據(jù)相關(guān)工作。

（二）美國個(gè)人信息保護(hù)法律制度

美國對(duì)公民個(gè)人信息的保護(hù)方式采取分散立法和行業(yè)自律相結(jié)合的模式。美國現(xiàn)行的公民個(gè)人信息保護(hù)立法是以《憲法》規(guī)定的隱私權(quán)保護(hù)為法律基礎(chǔ)。美國法院在“帕維斯奇案”中首次承認(rèn)隱私權(quán)，并將隱私權(quán)確認(rèn)為一項(xiàng)獨(dú)立的權(quán)利。之后美國聯(lián)邦最高法院以及相關(guān)機(jī)構(gòu)在《憲法修正案》中規(guī)定了隱私權(quán)，明確個(gè)人隱私權(quán)神圣不可侵犯，從此開啟了隱私權(quán)憲法保護(hù)的歷程。信息化時(shí)代的到來，已有的法律法規(guī)不足以充分支持和保護(hù)個(gè)人信息權(quán)利，信息隱私權(quán)即信息所有人對(duì)自己的個(gè)人信息所享有的隱私權(quán)保護(hù)日益迫切，被提到議事日程，也加速了美國通過立法來保護(hù)公民個(gè)人信息不受侵害的速度。美國對(duì)個(gè)人信息的收集、保密、披露和使用的詳細(xì)規(guī)定體現(xiàn)在1974年《隱私權(quán)法》和1979年《聯(lián)邦行政程序法》這兩部法律中，這兩部法律還規(guī)定了政府在處理個(gè)人信息時(shí)應(yīng)當(dāng)受到限制，以防政府濫用法律，產(chǎn)生不公平的結(jié)果；以及平衡個(gè)人隱私與公共利益之間的關(guān)系，以防止沖突的產(chǎn)生，還對(duì)法律救濟(jì)途徑等都進(jìn)行了較為全面的規(guī)定。2020年正式生效的《加利福利亞消費(fèi)者隱私法案》，廣泛適用于在加州開展相關(guān)業(yè)務(wù)的企業(yè)?？梢?，美國對(duì)個(gè)人隱私的保護(hù)非常嚴(yán)格。同時(shí)，美國還制定了《信息自由法》《駕駛員隱私保護(hù)法》《電子通訊隱私法》《消費(fèi)者隱私保護(hù)法案》《兒童在線隱私保護(hù)法》等一系列涉及政府、電子商務(wù)、電信、金融以及不同主體等若干領(lǐng)域的單行行政法，使個(gè)人信息保護(hù)立法不斷完善。雖然沒有建立統(tǒng)一的個(gè)人信息保護(hù)法，但是美國重視執(zhí)法力度，建立了嚴(yán)厲的個(gè)人信息保護(hù)執(zhí)法機(jī)制。

除了立法保護(hù)外，美國還形成了相對(duì)完善的各行業(yè)信息控制者、處理者和服務(wù)商的行業(yè)自律機(jī)制。聯(lián)邦政府通過完善的行業(yè)自律模式——“互聯(lián)網(wǎng)隱私認(rèn)證機(jī)制”來保護(hù)公民隱私，［2］由非營利性網(wǎng)絡(luò)隱私認(rèn)證機(jī)構(gòu)對(duì)各企業(yè)進(jìn)行網(wǎng)絡(luò)隱私安全認(rèn)證。1995年發(fā)布《個(gè)人隱私與國家信息基礎(chǔ)結(jié)構(gòu)》白皮書，提出了企業(yè)保護(hù)消費(fèi)者隱私應(yīng)遵循的基本原則。但是，行業(yè)自律缺乏法律強(qiáng)制力，在實(shí)踐中實(shí)效性難免受到影響。

（三）日本個(gè)人信息保護(hù)法律制度

日本對(duì)于個(gè)人信息的保護(hù)，采用“統(tǒng)分結(jié)合”立法模式，即統(tǒng)一立法與行業(yè)自律相結(jié)合。統(tǒng)一立法以專項(xiàng)保護(hù)法律為核心，同其他法律共同構(gòu)成個(gè)人信息保護(hù)法律體系。

2005年4月，日本通過并實(shí)施《個(gè)人信息保護(hù)法》，在非公領(lǐng)域采取“統(tǒng)一+分散”的個(gè)人信息權(quán)利保護(hù)特點(diǎn)，對(duì)個(gè)人信息予以全面保護(hù)。在該法中，首先規(guī)定了對(duì)個(gè)人信息的統(tǒng)一性規(guī)定，明確了個(gè)人信息的涵義，以及對(duì)信息所有人所享有的信息權(quán)利。凡是可以識(shí)別出一一對(duì)應(yīng)的有生命的自然人的信息均屬于個(gè)人信息，若信息所有人向其個(gè)人信息控制者申請(qǐng)公開所持有的個(gè)人數(shù)據(jù)信息，信息控制者則應(yīng)立即向信息所有人公開（除有法律規(guī)定支持的特殊情況外）。信息所有人對(duì)于自身的個(gè)人信息擁有修改的權(quán)利，還可以有權(quán)向信息控制者申請(qǐng)?jiān)黾?、修正或者刪除關(guān)于自己不準(zhǔn)確的個(gè)人信息數(shù)據(jù)，而信息控制者應(yīng)該在合理合法的范圍內(nèi)進(jìn)行核對(duì)，若發(fā)現(xiàn)存在不準(zhǔn)確的信息則應(yīng)立即采取干預(yù)手段，同時(shí)將處理結(jié)果通知信息所有人。同時(shí)還規(guī)定設(shè)立專門的監(jiān)管機(jī)構(gòu)，即信息審查會(huì)、個(gè)人信息保護(hù)委員會(huì)以行使對(duì)公民個(gè)人信息權(quán)利保護(hù)的監(jiān)督職能。信息審查會(huì)不同于監(jiān)督機(jī)構(gòu)和裁決機(jī)構(gòu)，不具有行政性質(zhì)，隸屬于咨詢機(jī)構(gòu)。并加大了侵犯個(gè)人信息的懲罰力度，增加了“非法提供個(gè)人數(shù)據(jù)罪”的刑事處罰。2017年5月30日，日本修訂了《個(gè)人信息保護(hù)法》，擴(kuò)大了個(gè)人信息涵蓋的范圍，個(gè)人信息不僅包括能夠識(shí)別個(gè)體的相關(guān)符號(hào)內(nèi)容，還包括個(gè)人生物特征信息，還包括能夠識(shí)別特定個(gè)體的信息組合。并加強(qiáng)了對(duì)個(gè)人信息的制裁力度，規(guī)定“在向第三方提供時(shí)，應(yīng)事先征得本人的同意”“員工以非法獲利為目的提供竊取個(gè)人信息數(shù)據(jù)庫時(shí)，處以1年以下有期徒刑或50萬日元以下的罰款（同時(shí)對(duì)公司可以罰款）?！?/p>

日本還注重行業(yè)自律以保護(hù)個(gè)人信息?！秱€(gè)人信息保護(hù)法》規(guī)定政府主體或者民間主體有權(quán)針對(duì)特定領(lǐng)域可以制定個(gè)別法或特殊法，要求相關(guān)企業(yè)構(gòu)建自律規(guī)范，對(duì)經(jīng)營者行業(yè)自律明確提出必須建立個(gè)人信息保護(hù)體系、個(gè)人信息導(dǎo)出風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制以及加強(qiáng)業(yè)務(wù)人員培訓(xùn)等要求。

三、國外個(gè)人信息保護(hù)法律制度對(duì)我國的啟示

我國行業(yè)自律和自我保護(hù)意識(shí)薄弱。我國已經(jīng)全面啟動(dòng)網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略，在當(dāng)前數(shù)字社會(huì)，加強(qiáng)我國的個(gè)人信息保護(hù)，以達(dá)到個(gè)人信息保護(hù)和合理利用、信息所有人和信息控制人之間利益的和諧平衡，借鑒其他國家的有益經(jīng)驗(yàn)，結(jié)合我國國情，應(yīng)當(dāng)從以下幾方面著手。

（一）完善個(gè)人信息保護(hù)法律體系

加強(qiáng)系統(tǒng)化個(gè)人信息保護(hù)制度設(shè)計(jì)，將個(gè)人信息保護(hù)納入國家戰(zhàn)略資源保護(hù)地位，完善個(gè)人信息保護(hù)法律法規(guī)。我國雖然已經(jīng)制定了《民法典》《網(wǎng)絡(luò)安全法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》《刑法修正案（七）》《刑法修正案（九）》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《征信業(yè)管理?xiàng)l例》《居民身份證法》等保護(hù)個(gè)人信息的法律法規(guī)，但是這些法律法規(guī)缺乏體系化、融合性。應(yīng)當(dāng)盡快出臺(tái)我國《個(gè)人信息保護(hù)法》及其實(shí)施細(xì)則，同時(shí)在《個(gè)人信息保護(hù)法》和相關(guān)法律中規(guī)定信息主體的不同權(quán)利，明確信息主體有遺忘權(quán)，同時(shí)還要完善對(duì)個(gè)人信息保護(hù)的程序法規(guī)定，最終形成完善的個(gè)人信息保護(hù)法律體系。

（二）加強(qiáng)行政監(jiān)管

設(shè)立網(wǎng)信辦、數(shù)據(jù)資源局等獨(dú)立的個(gè)人信息行政監(jiān)管部門，以監(jiān)管個(gè)人信息和數(shù)據(jù)保護(hù)工作，各地政府個(gè)人信息監(jiān)管機(jī)構(gòu)要加強(qiáng)個(gè)人信息利用與處理的監(jiān)管工作，提升個(gè)人信息保護(hù)執(zhí)法人員的信息技術(shù)水平，提高政府的監(jiān)管能力，逐步構(gòu)建我國完善的個(gè)人信息保護(hù)行政執(zhí)法體系。

（三）加強(qiáng)企業(yè)和行業(yè)自律

我國經(jīng)濟(jì)發(fā)展迅猛，企業(yè)數(shù)量增速快，對(duì)于企業(yè)除了以個(gè)人信息保護(hù)法律制度約束外，通過企業(yè)和行業(yè)自律以規(guī)范、約束企業(yè)對(duì)個(gè)人信息的采集、使用和存儲(chǔ)工作，并逐步在全社會(huì)推行個(gè)人信息安全認(rèn)證機(jī)制。