德國個人信息立法的歷史分析及最新發展

李欣倩

內容摘要：隨著大數據時代的到來，個人信息已經突破傳統人格權的范疇，成為具有商業價值可供流通的標的。目前，我國個人信息大范圍泄漏事件時有發生，黑色產業鏈已經形成。面對如此嚴峻的形勢，立法方面仍然進展緩慢，現存立法的碎片狀況加劇了信息保護實施的不確定性。作為大陸法系的典型國家，德國《聯邦信息保護法》已經走過了40年的歷程，先后經歷過3次大規模改革。在其發展過程中，計算機技術的進步和聯邦憲法法院的判決呈現出良性互動，成為推動德國個人信息保護發展的重要力量。以3次立法改革為視角，研究德國個人信息立法的發展歷程，以期為我國個人信息保護立法提供域外經驗。

關鍵詞：個人信息 信息自決 信息安全 個人信息立法

近年來，隨著互聯網技術的快速發展，信息逐漸打破地域的限制在全球范圍內實現集中。2012年，《紐約時報》驚呼“大數據”時代已經降臨，信息將成為未來商業、經濟及其他領域決策的重要工具。這是一場生活、工作與思維的大變革，不僅改變著人們的行為模式，也給傳統法學理論，特別是隱私權理論帶來了極大的沖擊。在大數據時代中，個人信息逐步脫離人格權客體的范疇，成為具有商業價值可供流通的標的。信息經由專業的分析系統處理后，能夠客觀地展示用戶習慣和使用偏好。網絡服務提供商則根據分析結果提供個性化推薦服務，不僅提高了用戶的使用體驗，更形成了極大的商業價值。在經濟利益驅動下，個人信息非法交易的黑色產業鏈逐步形成。據中國互聯網協會發布的《中國網民權益保護調查報告（2015）》統計，僅2015年，網民因個人信息泄露、垃圾信息、詐騙信息等現象導致的總體損失約805億元。

面對日益嚴重的信息侵害，我國立法卻遲遲沒有作出回應。早在2003年，國務院信息辦就委托中國社科院法學所承擔相關課題及起草專家意見稿。課題組于2005年完成了《個人信息保護法（專家意見稿）》，并于2008年提交到國務院。之后有關《個人信息保護法》的立法進程一直處于擱置狀態。近年來，我國個人信息保護立法在體系上呈分散式發展。涉及個人信息保護方面的法律有將近40部，此外還有30部法規和大量的部門規章以及地方性立法。〔1 〕分散式立法模式導致信息保護實施中存在極大的不確定性，既缺乏對個人信息范圍的界定，也缺乏可操作的標準。反觀德國個人信息保護的立法發展，從第一部《聯邦信息保護法》至今已經走過了40年的歷程。這期間，計算機技術的發展和聯邦憲法法院的判決呈現出良性互動，成為推動德國個人信息保護發展的重要力量。40年來，《聯邦信息保護法》經歷了3次大范圍修改，形成了以聯邦立法為核心、特別領域專門法為主體的個人信息保護體系。筆者以德國個人信息保護的立法進程為對象，以其產生、形成和最新發展成果為脈絡開展研究，以期為我國個人信息立法提供域外經驗。

一、產生：從隱私權到個人信息保護

個人信息保護的興起與計算機技術的迅猛發展息息相關。在Cookie，Robots協議等技術大規模使用之前，個人信息一直作為隱私權的范疇，并沒有引起德國學術界的過多重視。第二次世界大戰之前，德國法學界仍然拒絕將名譽權和隱私權列入《德國民法典》第823條第1款的保護范圍，損害名譽和個人隱私不產生賠償義務。〔2 〕在1953年公布的《歐洲人權公約》中，“個人信息”作為“尊重私人生活和家庭生活”，體現在其第8條第1款中。〔3 〕但是，20世紀70年代以后，隨著信息技術的發展，個人信息的收集和獲取呈現出爆發式增長，傳統的“私人生活”領域受到極大挑戰。個人信息在隱私權的范疇下，缺乏對抗公、私主體信息濫用行為的有效權能。

1970年，歷史上第一部關于信息保護的專門立法在德國黑森州誕生。第二次世界大戰后德國在政治體制上更加依賴地方團體自治。作為基本政治制度，地方團體負責執行地方性法規、本州和聯邦的法律。但是隨著計算機技術的發展，信息開始在州乃至聯邦范圍內大規模、統一地采集、處理和使用。地方團體自治也因此受到威脅。1969年黑森州頒布法案，規定地方團體和州行政機關不再使用相同的信息處理中心。這一規定雖然一定程度上保護了地方自治，但也割裂了立法機關和執法機關的信息共享。與此同時，關于個人信息的保密問題也逐漸在社會上受到重視，民眾對政府濫用個人信息的質疑日漸高漲。作為應對，各州政府紛紛開始將保密條款加入行政法規之中。在雙重壓力下，黑森州率先通過了《信息保護法》，明確行政機關的個人信息保密義務，重新劃分地方團體和州行政機關在信息使用中的權限和地位。因此，這部法案在一定程度上是對1969年立法的延續。〔4 〕該法案共計17章，主要側重于建立第三方信息監管機構和信息保護委員制度，并未就個人信息保護給出更多有益的措施。因此，有學者批評其用詞不當。〔5 〕

雖然歷史上第一部有關信息保護的法案產生于德國黑森州，但第一部國家立法則產生于瑞士。〔6 〕黑森州頒布《信息保護法》之后的第二年，德國各聯邦州也陸續開啟信息保護的立法進程。1971年，聯邦政府在雷根斯堡大學組建專家小組，就未來聯邦信息保護法的基本框架提供專家意見。雖然草案很快得以完成，但由于極大地限制了私法主體在信息取得和使用上的權利而深受詬病，最終被擱置。后來，德國聯邦政府開始整合各州人口信息，建立國家人口信息信息庫。作為該項目的法律依據，《聯邦信息保護法（草案）》才重新提請審議，并最終于1976年11月通過，1978年1月開始生效。《聯邦信息保護法》共有47個條文，在各州信息保護法已有規定的基礎上，確立了“任何形式的個人信息處理必須經信息主體同意或有法律上的許可，方得為之的基本原則。” 〔7 〕這部立法采納了公私二元制立法模式，注重防范政府濫用個人信息而不是合理使用個人信息，因此它只賦予信息主體少量的權利。〔8 〕

二、形成：內外因素作用下的現代化進程

1977年《聯邦信息保護法》對信息處理持消極態度，過度的管制引發了德國社會的廣泛批評。〔9 〕進入80年代以來，個人電腦逐漸在德國普及，信息技術的發展和盛行被視為德國社會發展的特征之一。于是，修改《聯邦信息保護法》的呼聲日益高漲。但是，議會先后審議了10個草案都未獲批準。〔10 〕1982年3月，德國聯邦議會全票表決通過了《聯邦人口普查法》。該法案規定次年起（1983年），在聯邦范圍內實施包括住址、職業、教育經歷等個人信息的全面登記。《人口普查法》頒布后，民眾針對國家強制收集個人信息的行為產生了強烈的質疑。后來，100多位公民以違反《基本法》為由，將該法案訴至聯邦憲法法院。法院審理后認為，該法案第2條中第1至7項以及第3條至第5條違反《基本法》關于“人格的自由發展”的要求，判決違憲部分無效，其余部分修改后實施。這就是德國隱私權發展史上最為著名的“人口普查案”。〔11 〕判決指出，在信息社會中，不可避免地存在個人信息的收集、處理和使用，任何人都有可能成為信息侵害的對象，因此，個人應享有“信息自決權”以對抗信息侵害。〔12 〕所謂“信息自決”是指信息主體有權決定其私人生活是否公開、公開到何種程度以及公開的時間和方式。憲法法院認為，信息社會中，個人如果無法評估其信息公開的程度，勢必會影響其社會生活中的行為。特別是當其不愿為公眾所知的信息有被公開的可能時，則對其自由發展之人格構成威脅。因此，結合《基本法》第1條第1款“人性尊嚴不受侵犯”和第2條第1款“人格發展之自由”，憲法法院將“信息自決”確認為一般人格權項下的基本權利。但是，判決同時也指出，信息自決在涉及公共利益和法律特殊規定的情況下應受到限制。這里所稱的法律不僅應依據憲法制定，也要符合明確性和適度原則。人口普查案件之后，北威州、薩爾州和梅前州等聯邦州先后將信息自決權寫入州憲法中，逐漸在聯邦范圍承認其基本權利的地位。

1.《聯邦信息保護法》的第一次修改

人口普查案是德國信息保護立法發展的里程碑，標志著信息保護基本理念的轉變。在此之前，立法的主要目的是防止公權力機關濫用個人信息，歸根結底對信息的收集、處理和使用持消極態度。此案之后，德國開始對《聯邦信息保護法》進行第一次修改，于1990年12月完成。修改后的法案著眼于合理使用個人信息，“免受因個人信息傳播而引起的人格權侵害”。〔13 〕同時，該法案將國家安全機構對個人信息的收集和處理納入信息保護法的范疇，明確了公法主體無過錯賠償以及就非財產性損失提供財政補償的適用條件。〔14 〕在結構上，該法案繼承了公私二元制立法模式，但整體縮小了公私領域間信息保護標準的差異。在以往的立法經驗中，信息保護法能否囊括私法主體，一直是極具爭議的問題。1977年的《聯邦信息保護法》采取了公私分立的模式，但鮮有關注私法主體。而根據“基本權第三人間接效力理論”，作為基本權利的信息自決權可以間接適用于私法領域，為個人信息保護領域的公私分立模式提供了憲法基礎。因此，這次修訂的意義并不限于個別法律制度或條款，更多的是信息保護宏觀理論和觀念的更新。

2.《聯邦信息保護法》的第二次修改

20世紀80年代以來，信息因其不受地理限制的特性逐漸在全球范圍內受到關注。1980年9月和1981年1月，經濟合作與發展組織（OECD）和歐盟委員會開始實施《關于保護隱私與個人信息跨國界流動的準則》 〔15 〕和《個人信息保護公約》（以下簡稱Convention 108），〔16 〕以保護民眾的權利和基本自由，特別針對自動處理個人信息提倡保護隱私權。〔17 〕公約首次明確了個人信息的范疇，是指“被識別的或具有被識別性的，與個人關聯的任何信息”。〔18 〕這表明，歐盟在20世紀80年代初期已經完成了信息隱私從隱私權中分離的過程。信息保護的范圍相較于隱私保護更為寬泛，因為信息保護不僅限于私密領域，也涉及其他的權利或者自由。兩者相比，個人信息保護更偏重于信息的可識別性，但除此之外，即便侵犯私密領域的其他方面，也不在信息保護的范圍之內。20世紀80年代后期，歐盟各成員國之間信息保護程度嚴重不平衡。如上文所述，德國和瑞士率先完成了本國信息保護立法；法國獨辟蹊徑，依靠“信息自由委員會”保障信息安全，〔19 〕而意大利和希臘則遲遲未予立法。立法上的差異阻礙了歐洲各國之間的信息流通，從而限制歐洲內部統一市場的形成。歷經四年磋商，1995年10月，歐盟最終簽署了《個人信息保護指令》（95/46/EC）。〔20 〕這條指令的主要目的是平衡各成員國的信息保護發展和基本理念，建立水平相當的信息保護體系，以促進實現內部市場的形成和利益各方的平衡發展。《指令》要求成員國保護自然人的基本權利和自由，特別針對個人信息處理，加強隱私權的保護。另一方面，它要求成員國之間不得禁止或限制信息自由流通。因此，《指令》不僅旨在保護個人信息，特別是電子通訊服務中的隱私權，也為電信服務提供者開展個人信息有關的業務提供了法律上的可能性。《指令》頒布后兩年間，德國先后實施了《電信法》（TKG）和《電信服務信息保護法》，將《指令》中有關交易性匿名、假名、信息記錄程序、點擊流信息處理等規定轉化為國內法，在通訊和互聯網領域完善信息隱私保護。《指令》基本上延續了《信息流動準則》和《個人信息保護公約》所建立的基本原則，并詳細規定了原則適用的條件和要求。同時，《指令》也為各成員國保留了大量的自由裁量權，被譽為歐洲信息保護通向基本權利的里程碑。〔21 〕

根據德國對政府間條約效力的法律規定，《指令》相關內容必須在未來3年內轉化為國內法予以實施。《指令》為歐盟信息保護的發展奠定了基礎，具有極為重要的意義，但是對于德國而言，卻并未帶來過多的驚喜。〔22 〕《指令》中有關信息主體的知情權，信息處理中的合法及公平原則等，都與德國信息保護立法不謀而合。鑒于上述原因，在《指令》頒布的最初幾年，德國政府并沒有給予其足夠的重視。本應于1998年完成國內法轉化，實際上卻一拖再拖。各聯邦州也只有黑森州和勃蘭登堡州于規定時間內完成了立法。90年代末正值互聯網技術快速發展時期，新技術的出現為個人信息保護帶來了新的挑戰，這時聯邦政府才認識到信息保護的重要性。1997年至1998年間，綠黨和社民黨分別提交了修改《信息保護法》的議案，其中不僅囊括了歐盟信息保護指令的核心規則，還特別就當時混亂的信息保護體系、嚴重落后于科技發展的立法進程提出改革方案。但是，聯邦政府認為只有徹底地變革，才能開啟信息保護的現代化進程。〔23 〕于是，信息保護法修正案一拖再拖。2001年1月，歐盟提起對德訴訟，稱其未能在規定時間內完成《指令》轉化。德國政府迫于壓力，只得在短時間內完成《聯邦信息保護法》的第二次改革。

2000年的《聯邦信息保護法》進一步更新了信息保護理念。《法案》第3章第1條確立了信息經濟原則，規定在設計和選擇信息處理系統時，應通過技術手段或建立信息審計制度以減少信息采集樣本，并且盡可能地使用匿名信息，以減少對人格權的侵害。第4章第1條將合法性原則的適用范圍擴大至信息收集行為，詳細規定了未經信息主體同意進行信息采集的條件。第6條增加了數據安全委員的新職能，在處理敏感個人信息時，其有權要求提前介入。另外，《法案》逐漸淡化監管色彩，突出意思自治原則在信息保護領域中的作用。將權利人同意作為信息收集和處理的合法性來源。〔24 〕除此之外，《法案》建立了新的私法主體認定標準，并一直延續至今。1990年《聯邦信息保護法》將信息經營行為或盈利目的作為確認私法主體的唯一標準。修訂后的法案以信息行為作為私法主體的認定標準，將調整范圍擴大至使用信息處理設備進行數據行為的私主體和針對非經自動形成或獲取的信息進行數據行為的私主體，并明確地將以個人或家庭目的進行數據行為的私法主體排除在外。〔25 〕此外，《法案》新增了有關視聽資料的規定。第六章承認了經由視聽資料處理得出的個人信息具有人工價值。第2條就公開視頻（例如閉路電視）監督提出合法性和透明性標準。第3條新增了有關智能卡收集信息的透明性原則。

2000年《聯邦信息保護法》完成得非常匆忙，有學者稱其為“已有信息保護成果和現代化信息保護理念之間的分割線”。〔26 〕不可否認的是，立法者是帶著“不久之后將其取而代之的意圖”通過該法案的。〔27 〕在修正案準備期間，聯邦政府另外邀請了三位極富盛名的信息保護專家，就信息權利現代化出具專家意見，并為未來德國信息保護立法基本框架提供學理建議。2001年專家組以內政部的名義提交了《信息保護權利的現代化》（Modernisierung des Datenschutzrechts）專家意見書。〔28 〕報告指出，現代化的信息保護法在內容上應以一般規定為主，實踐中依靠各領域的專門法來推進信息權利的實施。同時，法案中既要有原則性規定，也要有精確性規定，但盡量避免使用開放性條款。法案在內容上應同時囊括信息處理的技術設計、信息安全、信息監管和自我監管，以避免立法碎片化，減少潛在的法律沖突。〔29 〕這份報告提交后，并沒有受到聯邦政府的足夠重視，卻在學術界引發了有關信息保護理念可操作性的爭論。有學者提倡信息保護應尊重私法自治，認為個人信息具備經濟價值，雙方得就個人信息的處理和使用達成合意。〔30 〕但批評觀點認為這樣會導致信息保護委員制度在大公司中日漸式微，立法應以現實為基礎，為大公司的發展提供更多的自由空間。也有學者認為，在信息社會中，信息處理是日常生活的一部分，信息保護作為個人權利的時代即將到來，政府不應提供特別的公法保護。〔31 〕

3.《聯邦信息保護法》的第三次修改

進入21世紀以來，在全球一體化的背景下，社交網絡、云計算和定位服務逐漸興起。科技的進步不僅從根本上改變了信息收集、獲取和使用的方式，也給個人信息保護帶來了新的挑戰。2002年歐盟通過了一系列有關電信和互聯網服務的指令，直接催生了德國《電信法》和《電信服務法》修正案的產生。新《電信法》增加了對IP網絡和網絡電話的規定。《電信服務法》新增了電信服務商就收集和處理用戶信息的告知和說明義務，并將適用范圍擴大至所有的電子信息和通訊服務領域，除傳統電信媒體外，還包括網上商城、音樂下載平臺、搜索引擎和電子郵件。2006年12月，北威州通過《憲法保護法》修正案，其中第5章第2條規定該州安全部門可以利用系統漏洞或木馬程序潛入被調查對象的電腦系統，以獲取信息或對其進行監視。這種方法被稱作“在線搜索”或“遠程控制”，其初衷是應對極端分子或恐怖組織利用互聯網交流、策劃犯罪的行為。〔32 〕法案頒布后，德國各黨派和公民權利組織都極力反對。2008年2月27日聯邦憲法法院認定該條規定違反《基本法》，并宣告其無效。但是，憲法法院并沒有簡單地完全禁止“在線搜索”，而是明確了極為嚴格的適用條件。判決指出，“只有在個人生命或國家存亡遭受威脅之際”，安全部門才能將“在線搜索”作為調查手段使用。此外，憲法法院分析了當前互聯網技術和個人電腦在實現人格發展中的重要作用，并進一步指出信息自決權在對抗國家信息系統竊取民眾個人信息時的無力。〔33 〕在此基礎上，憲法法院將信息系統的私密性和完整性確認為一項新的基本權利。

德國的信息保護立法盡管一直呈上升態勢，依舊無法遏制個人信息黑色產業鏈的形成。2006年春天，德國最大的電信服務商Deutsche Telekom宣稱，其信息系統遭到黑客入侵，導致1700萬T-Mobile用戶信息泄露，其中包括用戶的姓名、地址、電話號碼、出生日期和電子郵箱等敏感信息。〔34 〕2007年后，大規模信息丑聞進一步升級。多家大型公司，如德國鐵路、德意志銀行、連鎖超市Lidl等被指控涉嫌從事用戶信息非法交易或侵犯員工的信息隱私。一時間，個人信息保護再次聚焦在鎂光燈下，成為那一時期德國媒體的熱點話題。2008年，25000名民眾走上柏林街頭，高舉“自由，而非恐懼”的標語，抗議越來越嚴重的信息侵害。〔35 〕面對媒體和民眾的責難，2009年5月至8月，聯邦議會先后通過3項《聯邦信息保護法》修正案，開啟了醞釀已久的現代化變革。修正后的《信息保護法》大范圍擴展了信息主體的權利，增加了有關用戶習慣記錄、信息泄露通知、雇員和用戶信息管理等新規定。特別加強了對基于Cookie，IP address，瀏覽器指紋等追蹤技術進行個性化廣告推薦的管理。

從整體上看，《法案》將信息經濟原則進一步擴展到信息收集行為，至此，信息經濟原則全面適用于信息行為的全過程。《法案》延續了憲法法院對信息安全的要求，將信息安全上升到基本原則的高度，要求信息的控制方或處理方在現有技術所及或合理范圍內，對個人信息進行匿名或假名化處理。《法案》第30章強制要求以市場營銷或民意調查為目的獲取的信息必須進行匿名或假名化處理，且不得改變原有用途；通過非公開性信息源收集或處理的信息，完成匿名或假名化處理后方可改變原有用途。另外，《法案》進一步強化了信息保護委員的監管作用。上文提到，在2001年有關信息保護理的討論中，有學者認為若將私法自治作為信息保護的核心理念，對于業務量更大，信息來源更廣泛的大中型私法主體來說勢必會增加交易成本。因此，在大中型私法主體中提倡依靠信息保護委員實現自我監管。上述觀點被2009年的《法案》采納。它一方面放寬了對小型私法主體的要求，將設立信息保護委員的最低人數由4人提高到9人；〔36 〕另一方面，《法案》為強化信息保護委員履行職能，新增了任職保障性規定。第三章規定，信息保護委員任職期限不少于1年，任職期間及卸任1年內，其雇傭合同非出于正當理由不得解除。同時，雇主有義務為任職委員提供教育和培訓的機會并承擔相應的費用。第四章新增了信息保護委員設立的例外適用條件，規定從事傳播匿名信息或以市場營銷、民意調查為目的的私法主體不受雇傭人數限制，必須設立信息保護委員。

具體來看，《法案》進一步擴展了信息自決權的范疇。除傳統的知情權外，信息主體在特定條件下，享有更正、刪除或封鎖其個人信息的權利。同時，信息主體有權對未經其同意進行的信息收集、處理和使用行為提起損害賠償訴訟。針對此前大規模爆發的信息丑聞，《法案》特別加強了關于雇員和用戶信息保護的規定。《法案》第28章增加了關于記錄用戶習慣的限制性規范。一般來說，服務提供方會通過技術手段記錄用戶在互聯網上的操作痕跡，信息經過處理和分析后得出概率值。服務方基于概率值來預測用戶的未來行為，并針對每位用戶提供個性化推薦服務。第28章將記錄行為限制在“與信息主體訂立合同”的目的范疇內。此外，被收集的用戶記錄不得僅包括地址信息，且必須經過數學統計程序證明被收集信息的必要性。如果服務方使用了用戶的地址信息，則需要提前以文件形式通知信息主體，這也體現了信息主體知情權的進一步擴張。第32章嚴格限制基于雇傭關系對個人信息的使用。第1條將信息的收集、處理和使用嚴格限制于“與雇傭相關”或“職務犯罪調查”之必要。在第一種情況下，必要是指為雇傭關系的建立、實施或解除提供必要依據。后者則僅限于調查履行職務相關的犯罪行為，且以存在紙質證據材料為前提。在此基礎上，第2條將上述限制擴大到非自動化信息處理系統中，即不論使用何種方式或途徑，只要存在對雇員個人信息的收集、處理或使用，則必須遵守上述規則。《法案》第42章第1條新增了信息泄露通知義務，要求信息控制方或處理方在涉及個人敏感信息、職業機密、能夠指證刑事或行政犯罪的信息以及銀行、信用卡賬戶信息泄露時，應及時報告信息管理機關并以適當方式通知信息主體。通知中應說明本次信息泄露的特點，并推薦相應避損措施。此外，在對主管機關的報告中，還應額外說明本次信息泄露有可能導致的后果和信息控制方或處理方已經采取的措施。如果信息涉及群體龐大，通知全部受害者會給信息控制方或處理方造成不合理的支出，那么可以在至少兩種以上全國范圍內發行的日報上，以不低于半頁的篇幅刊登相關說明或者采取其他具有相同意義的辦法。

三、最新發展：歐洲一體化背景下的統一立法

2009年《里斯本條約》生效后，歐洲一體化邁向新的發展階段。條約同時也為歐盟內部信息的自由流轉提供了政治基礎。同時生效的《歐洲聯盟基本權利憲章》 〔37 〕首次明確承認個人信息保護的基本權利地位。信息保護作為一項基本權利在歐洲開啟了新的歷程。

1995年《個人信息保護指令》實施后，歐盟各國都完成了信息保護立法，在此基礎上形成了各自信息保護的立法特色。根據歐盟委員會公布的資料顯示，歐盟共存在28種不同的信息保護法，立法碎片化為中小型公司開拓新市場增加了成本。〔38 〕為應對計算機技術的最新發展，進一步平衡各成員國之間信息保護的發展程度，2010年歐盟委員會建議在歐盟范圍內建立統一的信息保護規則，將信息流轉作為建立歐盟內部市場的重要因素。〔39 〕2012年1月，歐盟正式公布《一般信息保護條例（草案）》。這份草案在1995年《個人信息保護指令》的基礎上，進一步豐富了信息主體的權利，淡化行政管制色彩，更為強調信息保護的自我監管，并計劃將適用范圍擴大至整個歐洲經濟區。歷經4年談判后，《一般信息保護條例》（以下簡稱《條例》）最終于2016年4月27日審議通過，并將于2018年5月開始實施。屆時《條例》將取代《個人信息保護指令》，成為歐盟個人信息保護的基本法。

《條例》在適用范圍上兼采屬人主義和屬地主義，因此同樣適用于建立在歐盟境外但從事與歐盟境內居民相關信息業務的信息處理方或控制方。從整體上看，《條例》進一步完善了意思表示在信息處理行為中的作用，擴大了信息主體的權利，確立了主觀故意與過失相區別的責任體系。《條例》要求信息主體對信息行為的同意授權必須以明示方式作出，且可不受限制地撤回。同時，《條例》新增了有關被遺忘權的規定，信息主體有權要求刪除其處理的或儲存的個人信息。在具體制度方面，《條例》新增了信息保護影響評價機制，要求信息控制方在處理敏感信息或進行其他容易對信息主體的合法權益造成威脅的行為時，必須保留信息處理行為的相關記錄。另外，《條例》建立了信息泄露通知機制、信息保護委員制度等。《一般信息保護條例》將于2018年5月正式實施，不同于指令，條例可直接適用于各成員國，無需經由國內法轉化。即便如此，歐洲學術界普遍認為各國不可避免地要對國內法進行一定程度上的修正，歐洲將迎來前所未有的信息保護立法高潮。反觀德國學術界，學者對《條例》的反響并不十分強烈。一方面由于德國的信息保護立法一直處在歐盟領先地位，《條例》中有關信息泄露通知、信息保護委員等制度都源自德國立法。另一方面，不少德國學者認為，在輔助性原則影響下，歐盟不得過多干涉成員國內部事務，因此，《一般信息保護條例》實施后，《聯邦信息保護法》的核心地位并不會被動搖。

但是，不可否認的是，2009年的信息保護法改革距今已有7年。近年來，全球信息的存儲量呈指數型上漲。據互聯網信息中心預測，截至2020年全球產生和復制的信息量將超過35ZB即350億TB。〔40 〕在這個技術日新月異的信息時代，德國的信息保護立法勢必要隨著技術的發展不停地進行自我修正和更新。對比這兩份法律文件，《條例》整體上對信息的實際控制方持更為嚴格的限制態度，尤其在舉證責任方面完全推翻了德國現有的體系。另外，未成年人作為民法上的無行為能力或限制行為能力人，其獨立作出的同意收集信息的授權是否具有法律效力，能否成為信息實際控制方收集、處理和使用信息的合法性來源。這一問題近年來逐漸受到歐洲學術界的關注，《條例》也在第17條有關被遺忘與刪除的權利中，特別強調了對未成年人信息權益的保護。筆者認為，如果堅持《聯邦信息保護法》在德國個人信息保護體系中的核心地位，那么德國必將在2018年之前迎來信息保護立法的第四次改革。