国外个人信息保护法律制度探析

许亚绒

（陕西学前师范学院，陕西 西安 710100）

随着我国互联网技术的迅速发展，社会信息化程度不断提升，人类社会正在由工业社会迈向数字社会，个人信息因为蕴含着重要的利益，已经成为信息社会发展的重要资源，近年来个人信息泄露事件频发，滥用甚至盗用个人信息而造成公民权利受侵的案件不时发生。网络技术、电子技术的迅速提升，公民对自身信息安全的要求也日趋强烈和多元化。个人信息保护受到了世界各国的重视，纷纷制定个人信息保护法律制度，因为每个国家具体经济发展状况、制度文化背景和信息化程度等具体国情的巨大差异，由此形成了不同的个人信息保护法律制度。

一、关于个人信息权属

随着互联网、大数据和云计算技术的迅猛发展，各国愈加重视对个人信息和数据的保护，都制定了关于个人信息和数据保护的相关法律法规，基本都认为个人信息权利是公民一项基本的法律权利。欧盟的个人信息保护法律规定个人信息是“已识别或可识别的个人相关的信息”，［1］对于个人信息的界定范围较为宽广。美国将个人信息的保护纳入个人隐私权保护的范畴，并对个人信息界定范围较为狭窄。世界各国对个人信息的表达不一，涵义也存在很大差异。在美国和加拿大使用术语“个人隐私”；在法国、挪威等地使用“个人资料”；在奥地利、德国等地使用“个人数据”；在英国和日本使用“个人信息”。目前世界各国关于个人信息的权属基本有三种：一是“所有权客体说”，认为个人信息权利属于财产利益的范畴，对个人信息的保护应该采取所有权保护的模式，这种说法起源于美国法；二是“隐私权客体说”，该理论认为个人信息权利归属于隐私利益，应当在隐私权保护法律框架中对个人信息保护予以立法，以美国、日本等国为代表；三是“人格权客体说”，主张个人信息权利隶属于公民的人格利益，因此应该以人格权保护模式对个人信息予以保护，以德国等欧盟国家为代表。

二、其他国家个人信息保护法律制度

（一）欧盟个人信息保护法律制度

欧盟采用统一立法模式，以综合性的个人信息保护法律法规对个人信息进行保护。欧共体在1981年通过了《有关个人信息自动化处理的个人保护协定》，规定了各成员国之间企业对个人信息自动化处理的基本要求。在1995年实施《个人数据保护指令》，指令中明确个人信息（个人数据）的基本涵义和范围，以及企业处理个人信息必须依指令条文执行。该指令成为各个成员国分别立法的指导。后来又颁布了《电子通讯资料保护指令》《欧洲电子商务行动方案》《电子通讯数据保护指令》《私有数据保密法》《互联网上个人隐私权保护的一般原则》等法律法规，2018年5月欧盟开始实施《通用数据保护条例》（GDPR），GDPR不仅规定用户数据的内涵，还确立了数据主体享有被遗忘权、可携带权等权利，并规定对泄露个人信息的企业处以高额罚款，同时规定了“长臂管辖”的个人信息保护原则，规定GDPR有权管辖欧盟境外数据控制者或处理者的数据处理行为被认定与欧盟境内经营场所开展的业务存在联系时的行为，将适用范围扩大到欧盟境外的企业。2019年1月，法国国家信息与通信委员会以违反该条例为由，对Google开出了5000万欧元的罚单。同时该条例为保护个人数据设置了一系列的保护门槛和机制，并加大对信息侵权行为的处罚力度，GDPR被认为是欧盟有史以来最严格的个人数据保护法案。

欧盟各成员国以《个人数据保护指令》和《通用数据保护条例》为基本依据，纷纷制定了本国的个人信息保护法律法规。英国制定个人数据保护法较早，在1984年出台了《数据保护法》，该法在对公民个人信息保护的基础上，对提供行为和保护行为进行约束，并且建立了“数据保护登记官制度”，以约束一切个人信息的持有者行为，要求个人数据的任何持有者和使用者都采取造册登记，以此对个人数据的持有和使用实施监管。在1998和2018年，英国又新制定了《数据保护法》，以调整和完善信息持有者和使用者与信息所有人之间的合法行为。该法赋予信息所有人两项权利，即要求数据持有者和使用者清楚表明其所拥有的个人数据中有没有包含信息所有人的数据和清楚显示出其拥有的个人信息的相关证明，同时明确了信息权利保护原则以及解释。德国联邦最高法院于1954年在《基本法》中加强了一般人格权的规定，信息自决权隶属于人格尊严，是保护个人信息安全问题的核心依据和基础。德国在1977年出台了《防止个人信息处理滥用法》，德国宪法法院在1983年“人口普查案”的判决中，第一次提出“信息自决权”。后来，德国还颁布了《联邦个人信息保护法》《联邦数据保护法》等保护个人信息安全的法律。

同时，欧盟设立了专门的个人数据监督管理机构，以监管个人信息工作。德国设立个人数据保护联邦委员会，英国设立信息委员会负责监管、解决个人信息和数据相关工作。

（二）美国个人信息保护法律制度

美国对公民个人信息的保护方式采取分散立法和行业自律相结合的模式。美国现行的公民个人信息保护立法是以《宪法》规定的隐私权保护为法律基础。美国法院在“帕维斯奇案”中首次承认隐私权，并将隐私权确认为一项独立的权利。之后美国联邦最高法院以及相关机构在《宪法修正案》中规定了隐私权，明确个人隐私权神圣不可侵犯，从此开启了隐私权宪法保护的历程。信息化时代的到来，已有的法律法规不足以充分支持和保护个人信息权利，信息隐私权即信息所有人对自己的个人信息所享有的隐私权保护日益迫切，被提到议事日程，也加速了美国通过立法来保护公民个人信息不受侵害的速度。美国对个人信息的收集、保密、披露和使用的详细规定体现在1974年《隐私权法》和1979年《联邦行政程序法》这两部法律中，这两部法律还规定了政府在处理个人信息时应当受到限制，以防政府滥用法律，产生不公平的结果；以及平衡个人隐私与公共利益之间的关系，以防止冲突的产生，还对法律救济途径等都进行了较为全面的规定。2020年正式生效的《加利福利亚消费者隐私法案》，广泛适用于在加州开展相关业务的企业。可见，美国对个人隐私的保护非常严格。同时，美国还制定了《信息自由法》《驾驶员隐私保护法》《电子通讯隐私法》《消费者隐私保护法案》《儿童在线隐私保护法》等一系列涉及政府、电子商务、电信、金融以及不同主体等若干领域的单行行政法，使个人信息保护立法不断完善。虽然没有建立统一的个人信息保护法，但是美国重视执法力度，建立了严厉的个人信息保护执法机制。

除了立法保护外，美国还形成了相对完善的各行业信息控制者、处理者和服务商的行业自律机制。联邦政府通过完善的行业自律模式——“互联网隐私认证机制”来保护公民隐私，［2］由非营利性网络隐私认证机构对各企业进行网络隐私安全认证。1995年发布《个人隐私与国家信息基础结构》白皮书，提出了企业保护消费者隐私应遵循的基本原则。但是，行业自律缺乏法律强制力，在实践中实效性难免受到影响。

（三）日本个人信息保护法律制度

日本对于个人信息的保护，采用“统分结合”立法模式，即统一立法与行业自律相结合。统一立法以专项保护法律为核心，同其他法律共同构成个人信息保护法律体系。

2005年4月，日本通过并实施《个人信息保护法》，在非公领域采取“统一+分散”的个人信息权利保护特点，对个人信息予以全面保护。在该法中，首先规定了对个人信息的统一性规定，明确了个人信息的涵义，以及对信息所有人所享有的信息权利。凡是可以识别出一一对应的有生命的自然人的信息均属于个人信息，若信息所有人向其个人信息控制者申请公开所持有的个人数据信息，信息控制者则应立即向信息所有人公开（除有法律规定支持的特殊情况外）。信息所有人对于自身的个人信息拥有修改的权利，还可以有权向信息控制者申请增加、修正或者删除关于自己不准确的个人信息数据，而信息控制者应该在合理合法的范围内进行核对，若发现存在不准确的信息则应立即采取干预手段，同时将处理结果通知信息所有人。同时还规定设立专门的监管机构，即信息审查会、个人信息保护委员会以行使对公民个人信息权利保护的监督职能。信息审查会不同于监督机构和裁决机构，不具有行政性质，隶属于咨询机构。并加大了侵犯个人信息的惩罚力度，增加了“非法提供个人数据罪”的刑事处罚。2017年5月30日，日本修订了《个人信息保护法》，扩大了个人信息涵盖的范围，个人信息不仅包括能够识别个体的相关符号内容，还包括个人生物特征信息，还包括能够识别特定个体的信息组合。并加强了对个人信息的制裁力度，规定“在向第三方提供时，应事先征得本人的同意”“员工以非法获利为目的提供窃取个人信息数据库时，处以1年以下有期徒刑或50万日元以下的罚款（同时对公司可以罚款）。”

日本还注重行业自律以保护个人信息。《个人信息保护法》规定政府主体或者民间主体有权针对特定领域可以制定个别法或特殊法，要求相关企业构建自律规范，对经营者行业自律明确提出必须建立个人信息保护体系、个人信息导出风险评价机制以及加强业务人员培训等要求。

三、国外个人信息保护法律制度对我国的启示

我国行业自律和自我保护意识薄弱。我国已经全面启动网络强国战略，在当前数字社会，加强我国的个人信息保护，以达到个人信息保护和合理利用、信息所有人和信息控制人之间利益的和谐平衡，借鉴其他国家的有益经验，结合我国国情，应当从以下几方面着手。

（一）完善个人信息保护法律体系

加强系统化个人信息保护制度设计，将个人信息保护纳入国家战略资源保护地位，完善个人信息保护法律法规。我国虽然已经制定了《民法典》《网络安全法》《信息安全技术个人信息安全规范》《刑法修正案（七）》《刑法修正案（九）》《关于加强网络信息保护的决定》《征信业管理条例》《居民身份证法》等保护个人信息的法律法规，但是这些法律法规缺乏体系化、融合性。应当尽快出台我国《个人信息保护法》及其实施细则，同时在《个人信息保护法》和相关法律中规定信息主体的不同权利，明确信息主体有遗忘权，同时还要完善对个人信息保护的程序法规定，最终形成完善的个人信息保护法律体系。

（二）加强行政监管

设立网信办、数据资源局等独立的个人信息行政监管部门，以监管个人信息和数据保护工作，各地政府个人信息监管机构要加强个人信息利用与处理的监管工作，提升个人信息保护执法人员的信息技术水平，提高政府的监管能力，逐步构建我国完善的个人信息保护行政执法体系。

（三）加强企业和行业自律

我国经济发展迅猛，企业数量增速快，对于企业除了以个人信息保护法律制度约束外，通过企业和行业自律以规范、约束企业对个人信息的采集、使用和存储工作，并逐步在全社会推行个人信息安全认证机制。