國外個人信息保護法律制度探析

許亞絨

（陜西學前師范學院，陜西 西安 710100）

隨著我國互聯網技術的迅速發展，社會信息化程度不斷提升，人類社會正在由工業社會邁向數字社會，個人信息因為蘊含著重要的利益，已經成為信息社會發展的重要資源，近年來個人信息泄露事件頻發，濫用甚至盜用個人信息而造成公民權利受侵的案件不時發生。網絡技術、電子技術的迅速提升，公民對自身信息安全的要求也日趨強烈和多元化。個人信息保護受到了世界各國的重視，紛紛制定個人信息保護法律制度，因為每個國家具體經濟發展狀況、制度文化背景和信息化程度等具體國情的巨大差異，由此形成了不同的個人信息保護法律制度。

一、關于個人信息權屬

隨著互聯網、大數據和云計算技術的迅猛發展，各國愈加重視對個人信息和數據的保護，都制定了關于個人信息和數據保護的相關法律法規，基本都認為個人信息權利是公民一項基本的法律權利。歐盟的個人信息保護法律規定個人信息是“已識別或可識別的個人相關的信息”，［1］對于個人信息的界定范圍較為寬廣。美國將個人信息的保護納入個人隱私權保護的范疇，并對個人信息界定范圍較為狹窄。世界各國對個人信息的表達不一，涵義也存在很大差異。在美國和加拿大使用術語“個人隱私”；在法國、挪威等地使用“個人資料”；在奧地利、德國等地使用“個人數據”；在英國和日本使用“個人信息”。目前世界各國關于個人信息的權屬基本有三種：一是“所有權客體說”，認為個人信息權利屬于財產利益的范疇，對個人信息的保護應該采取所有權保護的模式，這種說法起源于美國法；二是“隱私權客體說”，該理論認為個人信息權利歸屬于隱私利益，應當在隱私權保護法律框架中對個人信息保護予以立法，以美國、日本等國為代表；三是“人格權客體說”，主張個人信息權利隸屬于公民的人格利益，因此應該以人格權保護模式對個人信息予以保護，以德國等歐盟國家為代表。

二、其他國家個人信息保護法律制度

（一）歐盟個人信息保護法律制度

歐盟采用統一立法模式，以綜合性的個人信息保護法律法規對個人信息進行保護。歐共體在1981年通過了《有關個人信息自動化處理的個人保護協定》，規定了各成員國之間企業對個人信息自動化處理的基本要求。在1995年實施《個人數據保護指令》，指令中明確個人信息（個人數據）的基本涵義和范圍，以及企業處理個人信息必須依指令條文執行。該指令成為各個成員國分別立法的指導。后來又頒布了《電子通訊資料保護指令》《歐洲電子商務行動方案》《電子通訊數據保護指令》《私有數據保密法》《互聯網上個人隱私權保護的一般原則》等法律法規，2018年5月歐盟開始實施《通用數據保護條例》（GDPR），GDPR不僅規定用戶數據的內涵，還確立了數據主體享有被遺忘權、可攜帶權等權利，并規定對泄露個人信息的企業處以高額罰款，同時規定了“長臂管轄”的個人信息保護原則，規定GDPR有權管轄歐盟境外數據控制者或處理者的數據處理行為被認定與歐盟境內經營場所開展的業務存在聯系時的行為，將適用范圍擴大到歐盟境外的企業。2019年1月，法國國家信息與通信委員會以違反該條例為由，對Google開出了5000萬歐元的罰單。同時該條例為保護個人數據設置了一系列的保護門檻和機制，并加大對信息侵權行為的處罰力度，GDPR被認為是歐盟有史以來最嚴格的個人數據保護法案。

歐盟各成員國以《個人數據保護指令》和《通用數據保護條例》為基本依據，紛紛制定了本國的個人信息保護法律法規。英國制定個人數據保護法較早，在1984年出臺了《數據保護法》，該法在對公民個人信息保護的基礎上，對提供行為和保護行為進行約束，并且建立了“數據保護登記官制度”，以約束一切個人信息的持有者行為，要求個人數據的任何持有者和使用者都采取造冊登記，以此對個人數據的持有和使用實施監管。在1998和2018年，英國又新制定了《數據保護法》，以調整和完善信息持有者和使用者與信息所有人之間的合法行為。該法賦予信息所有人兩項權利，即要求數據持有者和使用者清楚表明其所擁有的個人數據中有沒有包含信息所有人的數據和清楚顯示出其擁有的個人信息的相關證明，同時明確了信息權利保護原則以及解釋。德國聯邦最高法院于1954年在《基本法》中加強了一般人格權的規定，信息自決權隸屬于人格尊嚴，是保護個人信息安全問題的核心依據和基礎。德國在1977年出臺了《防止個人信息處理濫用法》，德國憲法法院在1983年“人口普查案”的判決中，第一次提出“信息自決權”。后來，德國還頒布了《聯邦個人信息保護法》《聯邦數據保護法》等保護個人信息安全的法律。

同時，歐盟設立了專門的個人數據監督管理機構，以監管個人信息工作。德國設立個人數據保護聯邦委員會，英國設立信息委員會負責監管、解決個人信息和數據相關工作。

（二）美國個人信息保護法律制度

美國對公民個人信息的保護方式采取分散立法和行業自律相結合的模式。美國現行的公民個人信息保護立法是以《憲法》規定的隱私權保護為法律基礎。美國法院在“帕維斯奇案”中首次承認隱私權，并將隱私權確認為一項獨立的權利。之后美國聯邦最高法院以及相關機構在《憲法修正案》中規定了隱私權，明確個人隱私權神圣不可侵犯，從此開啟了隱私權憲法保護的歷程。信息化時代的到來，已有的法律法規不足以充分支持和保護個人信息權利，信息隱私權即信息所有人對自己的個人信息所享有的隱私權保護日益迫切，被提到議事日程，也加速了美國通過立法來保護公民個人信息不受侵害的速度。美國對個人信息的收集、保密、披露和使用的詳細規定體現在1974年《隱私權法》和1979年《聯邦行政程序法》這兩部法律中，這兩部法律還規定了政府在處理個人信息時應當受到限制，以防政府濫用法律，產生不公平的結果；以及平衡個人隱私與公共利益之間的關系，以防止沖突的產生，還對法律救濟途徑等都進行了較為全面的規定。2020年正式生效的《加利福利亞消費者隱私法案》，廣泛適用于在加州開展相關業務的企業。可見，美國對個人隱私的保護非常嚴格。同時，美國還制定了《信息自由法》《駕駛員隱私保護法》《電子通訊隱私法》《消費者隱私保護法案》《兒童在線隱私保護法》等一系列涉及政府、電子商務、電信、金融以及不同主體等若干領域的單行行政法，使個人信息保護立法不斷完善。雖然沒有建立統一的個人信息保護法，但是美國重視執法力度，建立了嚴厲的個人信息保護執法機制。

除了立法保護外，美國還形成了相對完善的各行業信息控制者、處理者和服務商的行業自律機制。聯邦政府通過完善的行業自律模式——“互聯網隱私認證機制”來保護公民隱私，［2］由非營利性網絡隱私認證機構對各企業進行網絡隱私安全認證。1995年發布《個人隱私與國家信息基礎結構》白皮書，提出了企業保護消費者隱私應遵循的基本原則。但是，行業自律缺乏法律強制力，在實踐中實效性難免受到影響。

（三）日本個人信息保護法律制度

日本對于個人信息的保護，采用“統分結合”立法模式，即統一立法與行業自律相結合。統一立法以專項保護法律為核心，同其他法律共同構成個人信息保護法律體系。

2005年4月，日本通過并實施《個人信息保護法》，在非公領域采取“統一+分散”的個人信息權利保護特點，對個人信息予以全面保護。在該法中，首先規定了對個人信息的統一性規定，明確了個人信息的涵義，以及對信息所有人所享有的信息權利。凡是可以識別出一一對應的有生命的自然人的信息均屬于個人信息，若信息所有人向其個人信息控制者申請公開所持有的個人數據信息，信息控制者則應立即向信息所有人公開（除有法律規定支持的特殊情況外）。信息所有人對于自身的個人信息擁有修改的權利，還可以有權向信息控制者申請增加、修正或者刪除關于自己不準確的個人信息數據，而信息控制者應該在合理合法的范圍內進行核對，若發現存在不準確的信息則應立即采取干預手段，同時將處理結果通知信息所有人。同時還規定設立專門的監管機構，即信息審查會、個人信息保護委員會以行使對公民個人信息權利保護的監督職能。信息審查會不同于監督機構和裁決機構，不具有行政性質，隸屬于咨詢機構。并加大了侵犯個人信息的懲罰力度，增加了“非法提供個人數據罪”的刑事處罰。2017年5月30日，日本修訂了《個人信息保護法》，擴大了個人信息涵蓋的范圍，個人信息不僅包括能夠識別個體的相關符號內容，還包括個人生物特征信息，還包括能夠識別特定個體的信息組合。并加強了對個人信息的制裁力度，規定“在向第三方提供時，應事先征得本人的同意”“員工以非法獲利為目的提供竊取個人信息數據庫時，處以1年以下有期徒刑或50萬日元以下的罰款（同時對公司可以罰款）。”

日本還注重行業自律以保護個人信息。《個人信息保護法》規定政府主體或者民間主體有權針對特定領域可以制定個別法或特殊法，要求相關企業構建自律規范，對經營者行業自律明確提出必須建立個人信息保護體系、個人信息導出風險評價機制以及加強業務人員培訓等要求。

三、國外個人信息保護法律制度對我國的啟示

我國行業自律和自我保護意識薄弱。我國已經全面啟動網絡強國戰略，在當前數字社會，加強我國的個人信息保護，以達到個人信息保護和合理利用、信息所有人和信息控制人之間利益的和諧平衡，借鑒其他國家的有益經驗，結合我國國情，應當從以下幾方面著手。

（一）完善個人信息保護法律體系

加強系統化個人信息保護制度設計，將個人信息保護納入國家戰略資源保護地位，完善個人信息保護法律法規。我國雖然已經制定了《民法典》《網絡安全法》《信息安全技術個人信息安全規范》《刑法修正案（七）》《刑法修正案（九）》《關于加強網絡信息保護的決定》《征信業管理條例》《居民身份證法》等保護個人信息的法律法規，但是這些法律法規缺乏體系化、融合性。應當盡快出臺我國《個人信息保護法》及其實施細則，同時在《個人信息保護法》和相關法律中規定信息主體的不同權利，明確信息主體有遺忘權，同時還要完善對個人信息保護的程序法規定，最終形成完善的個人信息保護法律體系。

（二）加強行政監管

設立網信辦、數據資源局等獨立的個人信息行政監管部門，以監管個人信息和數據保護工作，各地政府個人信息監管機構要加強個人信息利用與處理的監管工作，提升個人信息保護執法人員的信息技術水平，提高政府的監管能力，逐步構建我國完善的個人信息保護行政執法體系。

（三）加強企業和行業自律

我國經濟發展迅猛，企業數量增速快，對于企業除了以個人信息保護法律制度約束外，通過企業和行業自律以規范、約束企業對個人信息的采集、使用和存儲工作，并逐步在全社會推行個人信息安全認證機制。