高志明（燕山大學法學系，河北 秦皇島，066004）

域外個人信息保護立法進路分析

高志明
（燕山大學法學系，河北 秦皇島，066004）

對于個人信息保護的規(guī)范，肇始于少數(shù)關(guān)系個人信息秘密的行業(yè)倫理規(guī)范，總體上經(jīng)歷了從特殊行業(yè)倫理規(guī)范到一般人格權(quán)規(guī)范，再到晚近出現(xiàn)的具體人格權(quán)益如隱私權(quán)規(guī)范，進而向新型具體人格權(quán)之個人信息權(quán)規(guī)范的發(fā)展進路。美歐關(guān)于個人信息利益規(guī)范進路的區(qū)別體現(xiàn)為：立法理論根基、法律傳統(tǒng)不同，是否以正面立法規(guī)制為主導不同，是否集中、統(tǒng)一立法不同，個人信息保護的范圍不同等。

個人信息；保護；立法進路

一、域外個人信息保護立法的歷史與邏輯

對個人信息利益的規(guī)范，肇始于少數(shù)關(guān)涉?zhèn)€人信息秘密的行業(yè)倫理規(guī)范，爾后分為行業(yè)自律與法律規(guī)制兩條線索：一條線索是在少數(shù)特殊行業(yè)倫理規(guī)范的基礎(chǔ)上擴展為更多的行業(yè)自律規(guī)范；而另一條線索則是以法律制度規(guī)范個人信息保護與利用為主導，總體上經(jīng)歷了從特殊行業(yè)倫理規(guī)范到一般人格權(quán)規(guī)范，再到晚近出現(xiàn)的具體人格權(quán)如隱私權(quán)規(guī)范，進而向新型具體人格權(quán)之個人信息權(quán)規(guī)范發(fā)展的歷史與邏輯。不同國家或地區(qū)對個人信息相關(guān)問題的立法規(guī)制可能處在不同的階段，如歐盟《個人數(shù)據(jù)保護與流通指令》將個人信息權(quán)作為一項基本人權(quán)、作為一般人格權(quán)來規(guī)制；美國則一直強調(diào)行業(yè)自律的主導地位，同時以隱私權(quán)立法對個人信息流轉(zhuǎn)加以規(guī)制；而大陸法系國家或者大量移植大陸法系法律制度的中國大陸則以具體人格權(quán)規(guī)范個人信息利益，并有確立“個人信息權(quán)”的立法趨勢，強調(diào)法律規(guī)制的主導地位。

（一）個人信息保護的行業(yè)自律規(guī)范

在古代人類社會，最初對個人信息的保護主要是來自一些特殊行業(yè)的倫理規(guī)范。比如醫(yī)療行業(yè)，據(jù)希臘歷史記載，古希臘“醫(yī)學之父”希波克拉底（Hippocrates，前 460-前 377）在其“誓言”中要求醫(yī)生：“在治病過程中，凡我所見所聞，不論與行醫(yī)業(yè)務(wù)是否直接關(guān)系，凡我認為要保密的事項，堅決予以保密”［1］。也就是要求醫(yī)生必須恪守為患者保守個人信息秘密的醫(yī)生職業(yè)道德。該誓言在西歐流行了2000多年，后于1948年世界醫(yī)學會在此基礎(chǔ)上制定了《日內(nèi)瓦宣言》，明確規(guī)定醫(yī)務(wù)人員應(yīng)當無例外地保守病人的秘密，堅持醫(yī)業(yè)光榮而崇高的傳統(tǒng)職業(yè)道德準則［2］。

除了醫(yī)療領(lǐng)域外，其他領(lǐng)域?qū)€人信息權(quán)維護的行業(yè)自律規(guī)范均不斷發(fā)展成熟。比如，1996年，加拿大標準協(xié)會制定了《保護個人信息標準守則》，對相關(guān)行業(yè)在處理個人信息中行為進行規(guī)范；1997年，瑞典信息技術(shù)行業(yè)制定了瑞典《信息技術(shù)企業(yè)組織商業(yè)行為規(guī)則》，涉及到個人信息的保護問題；1998年，美國電子工業(yè)協(xié)會、工商協(xié)會等和AOL、IBM、美洲銀行等100多家主要團體和企業(yè)成立了“在線隱私聯(lián)盟”（Online Privacy Alliances，“OPA”），發(fā)布了在線隱私指導，規(guī)定網(wǎng)上在線收集個人信息應(yīng)當將有關(guān)情況全面告知消費者。

（二）個人信息保護的基本人權(quán)規(guī)范

個人的獨立、平等、自由、尊嚴被認為是“第一代”基本人權(quán)的范疇，這是資產(chǎn)階級革命時代的產(chǎn)物。具體而言，17、18世紀古典自然法學說對自然權(quán)利、天賦人權(quán)進行了系統(tǒng)的論述，進而成為資產(chǎn)階級革命中反對封建專制對基本人權(quán)桎梏的旗幟。而作為文本得以固定下來，則是1789年法國《人權(quán)宣言》。

“二戰(zhàn)”中法西斯對人權(quán)的踐踏給人類社會留下了深刻的精神創(chuàng)傷，人們?nèi)找骊P(guān)注基本人權(quán)保障問題。1948年《世界人權(quán)宣言》將隱私權(quán)作為一項人權(quán)，其第12條指出：任何人的隱私、家庭、住宅或通信不受任意干涉，其尊嚴和名譽不受無端攻擊；任何人都有權(quán)享受法律保護，以免受這種干涉或攻擊。1966年通過的《公民權(quán)利和政治權(quán)利國際公約》第17條重申、發(fā)展了上述條款：對任何人的私生活、家庭、住宅或通信不得加以任意或非法干涉，對其榮譽和名譽不得加以非法攻擊；人人有權(quán)享受法律保護，以免受這種干涉或攻擊。

1950年通過（1953年開始生效）的《歐洲人權(quán)公約》第8條第1款規(guī)定：任何人都有追求自己的私生活、家庭生活、住所以及通信受到尊重的權(quán)利。1981年，歐洲理事會（委員會）通過了有約束力的個人信息保障國際協(xié)定《個人數(shù)據(jù)處理保護協(xié)定》①，該協(xié)定于1985年10月1日生效。1990年，歐盟委員會（歐共體委員會）認為當時歐盟14個成員國的個人信息保護法律限制了個人信息的跨境流通，阻礙了歐盟統(tǒng)一市場的建立，于是起草了《個人數(shù)據(jù)保護與流通指令》，該指令于1995年獲得通過，1998年生效。歐盟指令將個人信息權(quán)作為一項自然人的基本權(quán)利，作為一項基本人權(quán)來加以保障，要求歐盟各成員國不得違背該指令的宗旨限制或者禁止個人信息在成員國間的自由流動。

1990年12月4日的聯(lián)合國大會通過了《個人數(shù)據(jù)檔案指針》，該指南首先適用于所有公共的和私人的經(jīng)計算機處理的個人信息檔案，也適用于經(jīng)過手工處理的個人信息檔案，還也可適用于所有的或部分的關(guān)于法人的信息，尤其是當這些法人的信息包括了一些個人信息。該指南將個人信息作為基本人權(quán)的內(nèi)容加以保護，在世界范圍內(nèi)明確了個人信息權(quán)保障的重要性，并確立了各國立法保障個人信息權(quán)的最低基本原則，如收集、處理、傳輸與利用個人信息的方式應(yīng)當合法、合理，不得違背聯(lián)合國憲章的宗旨和原則等。

（三）個人信息保護的憲法規(guī)范

個人信息權(quán)的憲法規(guī)范主要體現(xiàn)為憲法的人格權(quán)規(guī)范。人格權(quán)是“人之所以為人”、人之作為法律關(guān)系主體之格的權(quán)利，是一項不斷發(fā)展的個人基本權(quán)利。人格權(quán)首先被確立為一項憲法權(quán)利，進而又需要民事、行政、刑事等部門法的具體規(guī)范加以保障。人格權(quán)發(fā)展的邏輯是先出現(xiàn)生命、健康、名稱、肖像、名譽等具體人格權(quán)，進而出現(xiàn)一般人格權(quán)②，爾后又出現(xiàn)各種新型具體人格權(quán)。由專門憲法機構(gòu)進行的憲法上的人格權(quán)創(chuàng)設(shè)，系加長基本權(quán)利清單的憲法性創(chuàng)制活動，等級高于一般立法活動，因而須慎重權(quán)衡何種法益能夠升格為憲法上的基本權(quán)利［3］。這應(yīng)當從基本權(quán)利的發(fā)展史，現(xiàn)有基本權(quán)利所體現(xiàn)的價值體系，新型基本權(quán)利與原有權(quán)利之間的沖突整合出發(fā)，綜合考量該項法益所體現(xiàn)的普遍性、保障的必要性、人權(quán)的品質(zhì)及比較法上的發(fā)展趨勢等［4］。包括個人信息法益在內(nèi)的人格權(quán)作為個體生存與發(fā)展的基礎(chǔ)，構(gòu)成了整個法律體系中的一項基礎(chǔ)性權(quán)利。各國憲法均賦予人格權(quán)重要的地位，比如，瑞典1989年憲法第3條、斯洛文尼亞憲法第38條、瑞士1999年憲法第13條等［5］。中國憲法中與個人信息保護有關(guān)的條款有：第33條第2款“國家尊重和保障人權(quán)”、第38條“中華人民共和國公民的人格尊嚴不受侵犯”等。

（四）個人信息保護的一般人格權(quán)規(guī)范

個人信息所體現(xiàn)的個人自由、尊嚴、獨立等基本人格利益屬于一般人格權(quán)范疇，這些利益不僅是憲法、基本法明確規(guī)定的首要利益，同時更需要部門法加以具體保障。1804年《法國民法典》是1789年《人權(quán)宣言》的具體落實，確立了全體公民民事權(quán)利平等的原則、絕對所有權(quán)制度、契約自由和過失責任原則等，而私權(quán)神圣的核心就是所有權(quán)絕對，這是自然法學說中“天賦人權(quán)”思想在民法典中的體現(xiàn)。這部法典成為一部解放人性的法典，但該法典并沒有將人格權(quán)作為一項基本權(quán)利來保護，而是將財產(chǎn)作為保護人權(quán)的核心。將人格作為一項基本權(quán)利來保護的是1896年《德國民法典》，該法典以潘德克頓法學的理論為指導，具有明顯的分析實證主義法學特點，但受到羅馬法學派的影響，將人格權(quán)利作為一種原權(quán)，是更高層次的權(quán)利。由于德國民法典并沒有明確規(guī)定一般人格權(quán)，德國法對人格利益的保護一度陷入瓶頸之中，這種狀況直到法院通過“能動司法”確立一般人格權(quán)才得以解決。在司法實踐中，德國聯(lián)邦法院通過1954年“讀者來信案”（涉及個人信息秘密的讀者來信未經(jīng)本人許可被雜志刊登）的審判，依據(jù)《德國基本法》第1條、第2條的規(guī)定，將“一般人格權(quán)”解釋為《德國民法典》第823條第1款規(guī)定的“其他權(quán)利”③［6］11。此后，德國聯(lián)邦憲法法院將一般人格權(quán)確立為具有憲法淵源性和基本法依據(jù)性的地位［7］。德國司法從該案開始的一系列判決中確立和發(fā)展了一般人格權(quán)制度，而且其影響已超出德國而擴展到相當多的國家尤其是大陸法系國家。但鑒于一般人格權(quán)外延的不確定性，對一般人格權(quán)的保護常以犧牲另一個人的權(quán)利為代價，因此德國聯(lián)邦法院指出：“一個人的一般人格權(quán)與另一個人的一般人格權(quán)具有同等的地位，一個人自由發(fā)展其人格恰恰旨在謀求超越自身范圍的發(fā)展”，故對一般人格權(quán)作界定時必須“在特別的程度上進行利益權(quán)衡”［8］。

（五）個人信息保護的隱私權(quán)規(guī)范

隱私權(quán)（the right to privacy）正式提出于1890年，是年的《哈佛法律評論》發(fā)表了兩位美國法學家沃倫和布蘭代斯的“論隱私權(quán)”一文。作者認為，隨著人類文明不斷演進，人們的自我意識變得日益強烈，越發(fā)注重自己的獨立人格，而隨著生活的日趨緊張和復雜，人們的個人生活變得越發(fā)容易受到干擾和侵入，因而在現(xiàn)代社會，保護隱私就變得特別重要，從而，經(jīng)過文明洗禮的社會，每個人都享有不受他人干涉和打擾的權(quán)利［9］。這篇文章深受古典自然法思想的影響，體現(xiàn)在作者對高德欽（E. L. Godkin）觀點的引用，比如：“決定公眾最大程度上可以擁有多少個人私人事務(wù)的知識的權(quán)利”是一項自然權(quán)利。而對于派維斯奇訴新英格蘭生命保險公司（Pavesich v. New England Life Ins. Co.）案，引用了佐治亞州最高法院對隱私權(quán)的總結(jié)：“有其自然本能的基礎(chǔ)——因此是由自然法衍生出來的”［10］14-15。

美國首先將個人隱私作為一種憲法權(quán)利來加以保護，主要通過憲法修正案確立了隱私權(quán)保護的憲法依據(jù)，通過普通法上的侵權(quán)行為責任具體保護隱私權(quán)。美國憲法第4修正案規(guī)定：“禁止侵犯公民的人身、住所、文件和財產(chǎn)不受無理搜查與扣鉀的權(quán)利；除非有宣誓或鄭重聲明提出的適當理由，有專門指定的搜查地點和被扣押的人或物品，否則不得頒發(fā)搜查證或者扣押證?！贝读畋仨毭枋銮宄墩?；面對個人信息隱私權(quán)利，普通法令狀原則也存在例外。而在約克訴斯托里案（York v. Story，案情大致為：警察對報案的女子裸體拍照且傳播照片）的判決中，肯定了信息隱私權(quán)是憲法第4修正案所包含的一項權(quán)利。而在另一些案件中法官的判決認為信息隱私權(quán)也構(gòu)成了第5修正案和第14修正案規(guī)定的“自由權(quán)”的一部分［10］102。加拿大《權(quán)利與自由憲章》（1982年通過）第8條在借鑒和批判其美國法的基礎(chǔ)上，宣稱“人人都有權(quán)不受不合理的搜查和扣押”，相關(guān)憲法判例也深受美國最高法院所作判例的影響，將搜查的判斷標準確定為“隱私的合理期待”。傳統(tǒng)觀念中，搜查僅涉及對公民財產(chǎn)權(quán)的干預，這在普通法中也不例外。20世紀以來，英美法系國家對搜查的憲法保護發(fā)生了悄然變化，從側(cè)重于對財產(chǎn)權(quán)的保護轉(zhuǎn)向了隱私權(quán)［11］。

美國在“水門事件”后于1974年通過了《隱私法》（Privacy Act）對個人信息隱私進行全面保護；并對某些特定領(lǐng)域涉及個人信息隱私的事項進行立法規(guī)范，如1978年的《金融隱私法》、1986年的《電子通信隱私法》、2001年《愛國者法》等。同為英美法系國家的加拿大、澳大利亞、新西蘭分別于1985年、1988年、1993年制定了《隱私法》，澳大利亞又于2001年頒布了《（私營部門）隱私修正法》［Privacy Amendment （Private Sector） Act］。中國香港地區(qū)則于1996年頒布了《個人資料（私隱）條例》［Personal Data（Privacy） Ordinance］。以色列于1981年制定、1985年修正了《隱私保護法》（Protection of Privacy Law）。但英國對個人信息保護的法律規(guī)范更與歐洲大陸國家接近，制定了《數(shù)據(jù)保護法》，而迄今為止還沒有一個全面的隱私法，這是由于英國法傳統(tǒng)上并不承認獨立的隱私權(quán)，而對隱私則主要通過衡平法的的保密理論、普通法的誹謗等侵權(quán)及制定法來進行間接或部分保護［12］。

歐洲人在“二戰(zhàn)”中受盡納粹的監(jiān)視和控制之苦，對個人隱私的保護特別重視，法律規(guī)制的基本做法是通過國家立法確立隱私權(quán)保護的各項基本原則與各項具體制度，并在此基礎(chǔ)上建立相應(yīng)的司法或者行政救濟措施。歐盟大力制定保護隱私權(quán)的標準，并要求各成員國的私營組織和公共機構(gòu)遵守統(tǒng)一的原則，還努力將其制定的規(guī)則提升為國際標準［13］。根據(jù)歐盟《個人數(shù)據(jù)保護與流通指令》，歐盟成員國陸續(xù)制定或者修訂了個人信息法。而德國在“二戰(zhàn)”后，在一般人格權(quán)的發(fā)展過程中認可了隱私權(quán)，并在事實上保護了隱私權(quán)［14］。法國于1974年批準加入《歐洲人權(quán)條約》，而此前1970年就已經(jīng)制定了《人權(quán)保障強化法》，對隱私權(quán)從民事、刑事方面加以保障。

（六）個人信息的全面保護——個人信息權(quán)的立法明確

著名未來學家托夫勒從物質(zhì)形態(tài)更迭的角度指出人類社會的發(fā)展經(jīng)歷了農(nóng)業(yè)社會、工業(yè)社會、信息社會三次“浪潮”［15］。齊愛民教授認為，隨著人類社會形態(tài)依次更迭為農(nóng)業(yè)社會、工業(yè)社會、信息社會，社會的核心法則也依次更迭為土地法、動產(chǎn)法、信息法［16］。1990年代以來，隨著信息技術(shù)的突飛猛進、日新月異，人類社會的信息化程度越來越高。由此帶來了人類社會諸多領(lǐng)域的深刻變革，而“信息”作為一種現(xiàn)實的、實在的利益，也當然地引發(fā)了法律的變革，即“信息”已然成為一種法益，成為法律關(guān)系的客體，而且出現(xiàn)了“信息法”這樣一個嶄新的法律部門。在信息社會，信息成為一種獨立的財產(chǎn)權(quán)利即信息財產(chǎn)權(quán)，以及一種獨立的人格權(quán)利即信息人格權(quán)的載體。

由于個人信息與個人隱私存在著交叉關(guān)系（關(guān)于二者關(guān)系的論述詳見第一章第一節(jié)），二者又各有自己獨立之處，因而，沿用隱私權(quán)立法模式規(guī)范個人信息保護與利用就顯有不足之處，而將“個人信息權(quán)”確權(quán)則成為一種立法趨勢。胡衛(wèi)萍、鄭劍指出：個人信息與隱私權(quán)益實踐利用的差異、網(wǎng)絡(luò)時代的發(fā)展、人格權(quán)法律發(fā)展的需要、個人信息的客觀歸類等使個人信息權(quán)民事確權(quán)成為必要［17］。應(yīng)當看到，將“個人信息權(quán)”明確為一項具體人格權(quán)需要解決各種分歧，需要理論界、實務(wù)界的廣泛共識。但實際上，從目前立法例來看，各國家或地區(qū)已經(jīng)逐步地規(guī)定了“個人信息權(quán)”的各項權(quán)能，全面確立“個人信息權(quán)”已然是大勢所趨。

目前世界上已經(jīng)有60個以上國家或地區(qū)制定了個人信息法（總體情況見表1），對個人信息保護進行了較為全面的規(guī)范。比如，德國是大陸法系國家中最早進行個人信息保護專門立法的國家，基于人格權(quán)保護思想，在20世紀中后期對個人信息保護的強調(diào)有加，通過立法將個人信息權(quán)發(fā)展成法定權(quán)利［18］。實際上，德國有關(guān)個人信息的立法實踐在計算機出現(xiàn)前的很早一段時間就已經(jīng)開始，如針對司法及醫(yī)療機構(gòu)以及公共服務(wù)部門違背保密義務(wù)的刑事處罰規(guī)范在19世紀就已經(jīng)出現(xiàn)。而隨著信息技術(shù)的迅速發(fā)展，新興科技給人們帶來的憂慮引發(fā)了人們對個人信息問題的關(guān)往，為了限制政府的權(quán)力和企業(yè)的行為，經(jīng)政治運動促進的個人信息保護立法獲得發(fā)展。德國黑森州于1970年制定了世界首部個人信息保護法，涉及到黑森州公共機構(gòu)對個人信息處理的規(guī)則。1977年，德國聯(lián)邦議會通過了《聯(lián)邦數(shù)據(jù)保護法》（Federal Data Protection Law， 經(jīng)1994年、1997年、2001年、2003年等多次修訂，現(xiàn)已符合歐盟《個人數(shù)據(jù)保護與流通指令》的要求），涵蓋了聯(lián)邦公共機構(gòu)和私人組織為一般的職業(yè)或商業(yè)目的而進行的個人信息處理行為。

總體來看，歐盟成員國實際上是在歐盟指令的框架下，制定或修訂了相應(yīng)的國內(nèi)個人信息法律規(guī)范。而美國1970年通過了世界首部個人信用信息保護法《公平信用報告法》，規(guī)定個人有權(quán)查閱信用報告機構(gòu)持有的個人信用信息，有權(quán)對信息的準確性提出異議，有權(quán)限制個人信息被披露，并對侵權(quán)行為造成的損害有權(quán)主張賠償。1986年，美國通過了《電信隱私法》，規(guī)定政府不得非法截取個人電話、電子郵件等通信信息。除了針對特定領(lǐng)域的成文立法外，作為判例法國家的美國，對包括個人信息隱私利益的人格利益的立法保護主要通過普通法判例來推動，一般將私法層面的人格利益保護納入到侵權(quán)法領(lǐng)域。但由于美國的二元司法體制，侵權(quán)案件由聯(lián)邦各州法院管轄，而各州的侵權(quán)法有所不同，導致美國的侵權(quán)法體系頗為龐大和復雜。為此，美國法律研究院編撰、整理出了《侵權(quán)法重述》。

部分亞洲國家或地區(qū)在1990年代末和2000年代，也開始了與個人信息保護相關(guān)的立法。比如，1997年泰國通過了《政府信息法》，涉及到個人信息保護事項；2003年日本通過了《個人情報保護法》；2011年韓國通過了《個人信息保護法》。

表1：域外個人信息保護立法進程

規(guī)范名稱年份國家/地區(qū)/國際組織 　英文 　中文1999 　Personal Data Act 　個人數(shù)據(jù)法1988 　愛爾蘭 　Data Protection Act 　數(shù)據(jù)保護法1988 2001澳大利亞Privacy Act Privacy Amendment （Private Sector）Act隱私法（私營部門）隱私修正法1988 1999荷蘭Data Registration Act Personal Data Protection Law數(shù)據(jù)登記法個人數(shù)據(jù)保護法（取代前者）1990 2001新修訂斯洛文尼亞 　Personal Data Protection Act 　個人數(shù)據(jù)保護法1991自動化處理個人數(shù)據(jù)保護法Act on the Protection of Personal Data with regard to Automatic Processing Act on the Protection of Personal Data葡萄牙1998個人數(shù)據(jù)保護法1992 　瑞士⑤　Federal Act on Data Protection 　聯(lián)邦數(shù)據(jù)保護法1992信息系統(tǒng)的個人數(shù)據(jù)保護法捷克2000 Act on Protection of Personal Data in Information Systems Personal Data Protection Law 個人數(shù)據(jù)保護法（取代前者）1992 1998修訂斯洛伐克Act on Protection of Personal Data in Information Systems信息系統(tǒng)的個人數(shù)據(jù)保護法1992 1999修訂Organic Law on the Protection of Personal Data西班牙個人數(shù)據(jù)保護基本法1992 　匈牙利Protection of Personal Data and Disclosure of Data of Pubic Interest個人數(shù)據(jù)保護與公共利益數(shù)據(jù)披露法1993 　新西蘭 　Privacy Act 　隱私法1996 　愛沙尼亞 　Personal Data Protection Act 　個人數(shù)據(jù)保護法1996 2000修訂個人數(shù)據(jù)法律保護法立陶宛Law on Legal Protection of Personal Data 1996 2003修訂意大利 　Data Protection Act 　數(shù)據(jù)保護法1997公務(wù)機關(guān)個人信息保護法韓國2011 Act on the Protection of Personal Information Maintained by Public Agencies Act on the Protection of Personal個人信息保護法

規(guī)范名稱年份國家/地區(qū)/國際組織 　英文 　中文Information 1997 　巴西 　Law on Habeas Data 　數(shù)據(jù)保護法1997 　波蘭 　Law on the Protection of Personal Data 　個人數(shù)據(jù)保護法1997 　希臘Law on the Protection of Individuals with regard to the Processing of Personal Data處理個人數(shù)據(jù)的個人保護法1997 　泰國 　Official Information Act 　政府信息法1998 　比利時 　Data Protection Act 　數(shù)據(jù)保護法1999 　阿爾巴尼亞 　Law on the Protection of Personal Data 　個人數(shù)據(jù)保護法1999 2009修訂奧地利Federal Act concerning the Protection of Personal Data聯(lián)邦個人數(shù)據(jù)保護法1999 　智利 　Law for the Protection of Private Life 　私人生活保護法2000 　阿根廷 　Law for the Protection of Personal Data 　個人數(shù)據(jù)保護法2000 　冰島Act on Protection of Individuals with regard to the Processing of Personal Data與個人數(shù)據(jù)處理相關(guān)的個人數(shù)據(jù)保護法2000 2002修訂拉脫維亞 　Law on Personal Data Protection 　個人數(shù)據(jù)保護法2001 　波黑 　Law on the Protection of Personal Data 　個人數(shù)據(jù)保護法2001 　羅馬尼亞Law on the Protection of Individuals with regard to Personal Data and Free Movement of Such Data關(guān)于個人數(shù)據(jù)保護與自由流通的個人保護法2001 　馬其他 　Data Protection Act 　數(shù)據(jù)保護法2002 2007修訂盧森堡Law on the Protection of Persons with regard to the Processing of Personal Data關(guān)于個人數(shù)據(jù)處理的個人保護法2002 　保加利亞 　Personal Data Protection Act 　個人數(shù)據(jù)保護法2002 　烏拉圭 　Habeas Data Law 　個人數(shù)據(jù)保護法2002 　亞美尼亞 　Law on Personal Data 　個人數(shù)據(jù)法2002 　列支敦士登Data Protection Act Ordinance on the Data Protection Act數(shù)據(jù)保護法數(shù)據(jù)保護法實施條例2003 　日本 　Personal Information Protection Act 　個人情報保護法2004 　突尼斯 　Data Protection Act 　數(shù)據(jù)保護法2005 　摩納哥 　Act on Personal Data Protection 　個人數(shù)據(jù)保護法2005 　克羅地亞 　Law on Protection of Personal Data 　個人數(shù)據(jù)保護法

規(guī)范名稱年份國家/地區(qū)/國際組織 　英文 　中文2006 2011修訂俄羅斯 　Federal Statute on Personal Data 　聯(lián)邦個人數(shù)據(jù)法1980經(jīng)濟合作與發(fā)展組織Guidelines on the Protection of Privacy and Transborder Flows of Personal Data關(guān)于隱私保護與個人數(shù)據(jù)跨境流通的指導方針1981 　歐洲理事會Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data關(guān)于個人數(shù)據(jù)自動化處理的個人保護協(xié)定1990 　聯(lián)合國Guidelines for the Regulation of Computerized Personal Data Files關(guān)于計算機化個人數(shù)據(jù)檔案的指導方針1995 2009啟動修訂工作歐洲聯(lián)盟Directive 95/46/EC on the Protection of Individuals with regard to the Processing of Personal Data and on the Movement of Such Data關(guān)于涉及個人數(shù)據(jù)處理的個人保護與此類數(shù)據(jù)自由流通的指令

二、美歐個人信息保護立法進路比較

從中觀層面來看，世界上不同國家、地區(qū)制定的個人信息法均是特定國家、地區(qū)特定社會現(xiàn)實生活、特定社會關(guān)系的反映，均有其各自的特點。但從宏觀層面來看，世界上不同國家或地區(qū)個人信息利益保障的立法進路可大體上分為兩種⑥：一種是以美國為代表的行業(yè)自律與指引為主導，正面立法規(guī)制為輔助，分散立法的進路；另一種是以歐盟、歐洲國家為代表的正面立法規(guī)制為主導，輔以行業(yè)指引、自律，統(tǒng)一立法的進路。簡言之，美國是市場機制為主導的進路，歐洲則為國家立法規(guī)制為主導的進路。這兩種進路的形成與其法律傳統(tǒng)與政治現(xiàn)實多有關(guān)聯(lián)，各有短長，各自適合該國家或者地區(qū)保障個人信息利益的實際情況，但也需要一定的調(diào)整與改進，以適應(yīng)個人信息利益保障的新情況、新問題。

具體而言，美歐關(guān)于個人信息利益規(guī)范進路的區(qū)別如下：

（一）立法理論根基、法律傳統(tǒng)不同

美國的法律實踐深受實用工具主義法學、現(xiàn)實主義法學的影響，強調(diào)法律的現(xiàn)實功效，尊重“法官造法”，而其制定法的立法理論更關(guān)注現(xiàn)實社會的變化，立法程序也比較復雜、繁瑣，認為為了保證法律的質(zhì)量，立法者經(jīng)常需要進行調(diào)查求證，得以找出與涉法問題性質(zhì)和程度相關(guān)的事實等［19］。美國法更注重將個人信息權(quán)作為一種財產(chǎn)權(quán)來加以保護［20］。歐洲法律實踐既有自然法學的基因又有分析實證主義法學的特質(zhì)，傾向于通過人格權(quán)來維護個人信息利益，對于自然人的隱私、個人信息不分國界，一律予以保護。深受羅馬法傳統(tǒng)的影響的歐洲國家，認為個人信息權(quán)是一個人格權(quán)問題，而人格權(quán)又是一種自然權(quán)利，是一種原權(quán)利，因而特別重視對個人信息權(quán)的立法保障，在歐盟指令的指引下，紛紛制定出相應(yīng)的個人信息法。

從憲政角度比較，在美國，自由主義造就了比較成熟的市民社會，人們認為管制越少的政府就是越好的政府，奉行的是私人化的憲政模式，認為社會公領(lǐng)域與私領(lǐng)域是對立關(guān)系，將私領(lǐng)域視為自由領(lǐng)域，國家經(jīng)過私領(lǐng)域的授權(quán)而存在，公領(lǐng)域的擴張則意味著私領(lǐng)域的縮小，對個人信息保障加以立法會導致對個人自由的限制，因而更強調(diào)自律機制的重要性；而在很多歐洲國家，奉行的是國家促進式的憲政模式，國家扮演著促進人權(quán)與自由實現(xiàn)的角色，不認為公領(lǐng)域與私領(lǐng)域?qū)α?，因而積極立法對個人信息利益加以保障［6］187-188。

（二）是否以正面立法規(guī)制為主導不同

美國是非常重視企業(yè)的創(chuàng)造力的創(chuàng)新型國家，以普通法為主要法律淵源，政府采取了靈活的政策，既要在國際范圍內(nèi)保護個人隱私，又不致阻礙信息的跨境流通，從而避免影響電子商務(wù)和跨境貿(mào)易，因而在隱私保護與信息自由流通問題上采取平衡的規(guī)制方式，以創(chuàng)造有利于創(chuàng)新的最佳增長環(huán)境，這是以行業(yè)自律與指引為主導、正面立法規(guī)制為輔助的立法進路；美國政府認為自律機制（企業(yè)和行業(yè)的行為準則、機構(gòu)的認證制度等）配合政府的執(zhí)法保障，可以有效地實現(xiàn)隱私保護的目的，因而美國政府一直保持與商界和消費者團體的對話，鼓勵更多地保護隱私；而在特定的高度敏感的領(lǐng)域如醫(yī)療檔案、金融數(shù)據(jù)等，美國政府認為適宜通過相應(yīng)的立法來加強對個人信息的保護［21］。美國還比較重視信息加密技術(shù)標準的制定，比如EES就體現(xiàn)出了美國政府傾向于通過技術(shù)手段加強個人信息保護的努力⑦ ［22］146。

相比之下，歐盟提出“無隱私則無商貿(mào)”的貿(mào)易原則，強調(diào)以正面立法規(guī)制個人信息利益，將個人信息權(quán)保障上升到基本人權(quán)的層面，歐盟、歐洲國家采取的是正面立法規(guī)制為主導、輔以行業(yè)指引、自律的立法進路。1960年代末，歐洲一些國家的政府決定對涉及計算機化個人信息的權(quán)利與義務(wù)進行立法規(guī)制。1970年代，歐洲有國家如瑞典、德國出現(xiàn)了個人信息保護的立法。1980年代，歐洲理事會試圖調(diào)和各成員國的個人信息保護政策，通過了《個人數(shù)據(jù)處理保護協(xié)定》，但未能促成各國在立法中形成統(tǒng)一模式［22］148。1995年，歐盟采納了歐共體（European Community，“EC”）的建議，制定了《個人數(shù)據(jù)保護與流通指令》，此后，歐盟成員國在該指令框架下，相繼制定或修改了個人信息法，如德國《聯(lián)邦數(shù)據(jù)保護法》、英國《數(shù)據(jù)保護法》、西班牙《個人數(shù)據(jù)保護基本法》等。

（三）是否集中、統(tǒng)一立法不同

美國對于個人信息隱私的保護采取的是個別立法、分散立法的方式，針對各公私領(lǐng)域的不同特點和不同需求，分別推出單行法律，這具有一定的局限性和臨時性［23］。比如，《隱私法》只規(guī)范聯(lián)邦行政機關(guān)等公權(quán)力機關(guān)涉及個人信息處理的行為，而其他如《公平信用報告法》、《家庭教育權(quán)和隱私法》、《金融隱私法》、《電子通信隱私法》等，則針對不同事項規(guī)范不同主體涉及個人信息處理的問題。而且，美國《隱私法》僅適用于公民及取得永久居留權(quán)的外國人，但其他法律如公平信用報告法，則可以適用于任何人［24］。另外，作為判例法國家，美國還有很多更為分散的涉及個人信息利益保障的普通法判例。

歐盟、歐洲國家主要通過集中立法的方式，對個人信息在諸多領(lǐng)域的事項作出了較為統(tǒng)一的規(guī)范。歐盟1995年針對個人信息保護通過了一部指令，要求個人信息的控制者應(yīng)當將其身份、收集信息的目的以及其他必要的確保公平的個人信息收集程序等，告知個人信息本人；企業(yè)只能基于特定的目的擁有及使用該項個人信息，不得以特定目的收集不必要的個人信息；個人信息收集者第一次將個人信息轉(zhuǎn)給第三人作為直銷使用前，必須告知相關(guān)個人，而且要明示告知個人有拒絕他人無償取得及使用個人信息的權(quán)利。歐盟指令賦予個人享有監(jiān)控及拒絕個人信息使用的權(quán)利，個人對于個人信息有接近、修改的權(quán)利，并不受任何限制［25］。歐盟各成員國是集中、統(tǒng)一的立法進路，紛紛根據(jù)歐盟指令陸續(xù)完成了對本國個人信息法的制定或修訂，一般都是一部集中、統(tǒng)一的關(guān)涉?zhèn)€人信息利益的法律，而無其他單行的個人信息規(guī)范性法律文件。

（四）個人信息保護的范圍不同

美國華盛頓電子隱私信息中心主任羅坦伯格（Rotenberg）曾在《紐約時代》上撰文指出：“隱私之于21世紀的信息經(jīng)濟，如同消費者保護問題和環(huán)境問題之于20世紀的工業(yè)社會”⑧［26］。這一言論從側(cè)面反映了美國非常重視個人信息利益的保障，但美國對個人信息利益的保護一般限于個人信息中的隱私部分，即個人信息與個人隱私交叉的部分，對個人信息利益保障持一種保守、謹慎的態(tài)度。在美國，隱私權(quán)的憲法保護比較狹隘，主要限于搜查與逮捕、人的繁殖等領(lǐng)域；普通法禁止侵犯非公眾人物和非商業(yè)目的利用個人相關(guān)信息，但也仍然比較有限［27］。歐洲國家關(guān)于個人信息權(quán)的保障則比較全面，不僅限于個人隱私權(quán)利部分，而是對個人信息權(quán)進行了具體化、細化，保護的范圍更為寬廣、全面，對個人信息權(quán)保障持一種開放、發(fā)展的態(tài)度。

另外，與歐洲不同的是，美國對個人信息隱私的保護區(qū)分公的領(lǐng)域與私的領(lǐng)域，對于前者，即公務(wù)機關(guān)收集、處理、傳輸與利用個人信息的領(lǐng)域，采取立法方式；對于后者，則采取行業(yè)自律機制，通過行業(yè)協(xié)會等行業(yè)組織或者由公司或者產(chǎn)業(yè)實體制定自律規(guī)范加以保護［6］186。不過，美國對特殊主體如兒童的個人信息，對特殊領(lǐng)域如信用、電信、財務(wù)、金融等領(lǐng)域，比較重視立法以加強保護力度。美歐關(guān)于個人信息保護范圍的不同導致了美歐在個人信息跨境傳輸方面的障礙，而“安全港協(xié)議”則是協(xié)調(diào)這種國際法律沖突的一種有效機制。

三、域外立法對中國個人信息保護立法的借鑒及立法建議

（一）域外立法借鑒

隨著中國社會的不斷發(fā)展，特別是互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，個人信息面臨著很多被不當利用甚至侵害的風險，制定中國的個人信息保護法的呼聲不斷提高。而事實上，我國也正在一些單行法律中設(shè)置了個人信息保護的條款。本文認為，制定中國的個人信息保護立法至少可以借鑒域外個人信息保護法的幾個方面：

第一，確權(quán)。順應(yīng)世界個人信息保護的趨勢，中國立法應(yīng)當明確個人信息權(quán)或個人信息自決權(quán)，明確個人信息權(quán)的內(nèi)容，明確個人信息保護的范圍，明確個人信息利用的限制。

第二，原則。吸收國際個人信息保護的原則，規(guī)定個人信息收集、處理、傳輸與利用的目的特定原則、知情同意原則、信息質(zhì)量原則、個人參與原則、程序公開原則、安全保障原則。

第三，規(guī)則。借鑒域外個人信息收集、處理、傳輸與利用的規(guī)則，具體規(guī)定個人信息流轉(zhuǎn)環(huán)節(jié)的基本規(guī)則，同時對特殊個人信息的保護規(guī)定特別的規(guī)則。

第四，責任。參考域外個人信息保護法律責任的條款，規(guī)定侵害個人信息權(quán)的民事、刑事等責任。

（二）立法建議

關(guān)于制定中國統(tǒng)一的個人信息保護法的立法進路選擇，應(yīng)當適應(yīng)信息社會發(fā)展的趨勢，參照世界通行規(guī)則，銜接國際標準，并充分考慮中國國情、社情、民情，綜合法律、自律、監(jiān)督等機制，體現(xiàn)中國特色社會主義法律的特點與創(chuàng)新。以下試提出一份立法建議稿綱要：

中華人民共和國個人信息保護法（建議稿綱要）

第一章 一般規(guī)定

第一條 【立法目的】 為保護公民的個人信息權(quán)利，規(guī)范個人信息的收集、處理、傳輸與利用活動，明確侵害個人信息權(quán)利的責任，預防并制裁侵害個人信息權(quán)利的行為，促進信息社會的和諧穩(wěn)定，制定本法。

第二條 【適用范圍】 本法適用于公務(wù)部門和其他主體收集、處理、傳輸與利用個人信息的行為。

【適用例外】 其他法律對個人信息相關(guān)事項有特殊規(guī)定的，依照其規(guī)定。

第三條 【定義】 “個人信息”指自然人具有的、能夠直接或者間接識別該個人身份的任何信息，包括身份信息、自然信息和社會信息。

“敏感個人信息”指涉及個人隱私的、非依特定事由、特定程序不得擅自披露的個人信息。

“個人信息本人”指完全享有并支配、控制個人信息利益的自然人，是個人信息的權(quán)利主體。

“個人信息相對人”指與個人信息本人相對的義務(wù)主體，是在收集、處理、傳輸與利用等個人信息流轉(zhuǎn)中承擔法定或者約定義務(wù)的主體。

“公務(wù)部門”指為履行法定職權(quán)而收集、處理、傳輸與利用個人信息的國家機關(guān)和具有公共管理職能的組織。

“流轉(zhuǎn)”指個人信息的收集、處理、傳輸與利用等環(huán)節(jié)。

“收集”指出于特定目的，通過自動化、半自動化或者非自動化方式將有關(guān)個人信息集中起來的行為。

“處理”指利用信息技術(shù)或者其他方式對個人信息進行的存儲、編輯、修正、比對、封存及刪除等操作。

“傳輸”指將個人信息從個人信息本人以外的傳輸者傳輸?shù)浇邮照叩男袨椤?/p>

“利用”指個人信息利用者基于特定目的對個人信息的使用，以發(fā)揮個人信息的效用。

第四條 【目的特定原則】 個人信息的收集、處理、傳輸與利用的目的應(yīng)當事先予以明確，并不得擅自超出特定的目的。

第五條 【知情同意原則】 個人信息的收集、處理、傳輸與利用，應(yīng)當充分通知個人信息本人，并征得個人信息本人的明確同意。

第六條 【信息質(zhì)量原則】 個人信息管理者、控制者應(yīng)當保證個人信息完整、精確并及時更新。

第七條 【個人參與原則】 個人信息本人有權(quán)向個人信息管理者、控制者確認是否持有其個人信息，并就被持有的自己的個人信息享有本法第二章規(guī)定的各項權(quán)利。

第八條 【程序公開原則】 關(guān)于個人信息收集、處理、傳輸與利用的程序性信息應(yīng)當向個人信息本人公開或者向社會公眾公開。

第九條 【安全保障原則】 個人信息的管理者、控制者應(yīng)當采取充分的安全措施確保個人信息的安全。

第二章 個人信息本人的權(quán)利

第十條 【自決權(quán)】 除因公共利益、本人或者他人重大利益，個人信息本人對其個人信息享有絕對的控制、支配權(quán)利。

第十一條 【選擇權(quán)】對于個人信息的收集、處理、傳輸與利用，個人信息本人有權(quán)選擇同意或者反對，個人信息相對人應(yīng)當履行通知、說明和警示的義務(wù)。

第十二條 【查詢權(quán)】 個人信息本人對公務(wù)部門或者其他主體管理、控制的本人個人信息享有查閱、了解的權(quán)利，公務(wù)部門或者其他主體應(yīng)當以正式方式予以答復。

第十三條 【知情權(quán)】 個人信息本人對其個人信息在流轉(zhuǎn)中的情況享有了解、知悉的權(quán)利。

第十四條 【保密權(quán)】 個人信息本人享有請求個人信息管理者、控制者保持個人信息不被第三方知曉的權(quán)利。

第十五條 【更正權(quán)】 個人信息本人對發(fā)現(xiàn)的其個人信息存在錯誤、不精確、不完整或者未及時更新的情況，享有請求個人信息的管理者、控制者進行更正、補充等維護操作的權(quán)利。

第十六條 【封鎖權(quán)】 在法定或者約定事由出現(xiàn)時，個人信息本人享有請求個人信息管理者、控制者以一定方式對個人信息進行封存、鎖定，暫停個人信息流轉(zhuǎn)的權(quán)利。

第十七條 【刪除權(quán)】 在法定或者約定事由出現(xiàn)時，個人信息本人享有請求個人信息管理者、控制者刪除其個人信息的權(quán)利。

第十八條 【（特定個人信息）收益權(quán)】 基于與其他主體簽訂的利用具有特定經(jīng)濟價值個人信息的協(xié)議，個人信息本人享有向個人信息利用者請求支付報酬的權(quán)利。

第十九條 【獲得救濟權(quán)】個人信息本人的個人信息權(quán)利遭受侵害時，除可以進行私力救濟外，還可以尋求公力救濟、社會救濟。

第三章 個人信息的收集、處理、傳輸與利用

第二十條 【收集的規(guī)則】 個人信息收集者基于法律的授權(quán)或者合同的約定而進行個人信息收集，應(yīng)當按照特定的目的，不得在沒有目的、超出目的或者改變目的的情形下為個人信息收集行為。

個人信息收集者應(yīng)當以適當?shù)姆绞綄⑹占瘋€人信息的目的、類別、身份、程序等事項明確告知個人信息本人，不得在個人信息本人不知情的情況下收集個人信息。

個人信息收集者應(yīng)當保證個人信息的質(zhì)量，保證個人信息內(nèi)容正確、完整，并對個人信息保持適時更新。

公務(wù)部門不得超出法律規(guī)定的范圍收集個人信息。

第二十一條 【處理的規(guī)則】 個人信息處理須經(jīng)個人信息本人的知情和明確同意，并基于有效合約或者法律規(guī)定而履行特定義務(wù)的需要。

個人信息處理者應(yīng)當采取完善的組織措施、技術(shù)措施、物理措施保證個人信息處理的安全進行，處理個人信息的人員負有對處理的個人信息保密的義務(wù)。

第二十二條 【傳輸?shù)囊?guī)則】 個人信息傳輸必須是基于特定目的并不得超出特定目的，必須經(jīng)過個人信息本人的書面同意。

公務(wù)部門傳輸個人信息必須有法律的明確規(guī)定或者授權(quán)，必須是為履行特定職責或者為特定的公共事務(wù)管理的需要。

跨境傳輸個人信息依據(jù)相關(guān)的雙邊或者多邊安排進行。禁止跨境傳輸關(guān)系到國家安全、國防利益等重大國家利益的個人信息。

第二十三條 【利用的規(guī)則】 個人信息利用者應(yīng)當在法律規(guī)定的范圍內(nèi)，經(jīng)當事人明確同意，并符合特定的目的利用個人信息。

個人信息利用者不得超出特定的范圍、目的與期限利用個人信息，不得擅自將個人信息提供給第三方利用。

公務(wù)部門不得超出法律規(guī)定的范圍利用個人信息。

第二十四條 【例外情況】出于公共利益、本人利益或他人利益的考量，或者在緊急情況下推定個人信息本人應(yīng)當同意的情況下，可以不經(jīng)個人信息本人的同意而收集、處理、傳輸與利用個人信息。

第二十五條 【敏感個人信息的保護】 非因重大公共利益、本人或者他人的重大利益，并經(jīng)個人信息本人書面明確同意，并在確保個人信息安全的條件下，不得收集、處理、傳輸與利用敏感個人信息。

第二十六條 【未成年人個人信息的保護】 對未成年個人信息實行特殊保護，任何組織或者個人不得披露未成年人的個人信息隱私。

教育機構(gòu)、教育管理機構(gòu)對不得公開的未成年人個人信息要嚴格保密；網(wǎng)絡(luò)經(jīng)營者在未成年人的監(jiān)護人未知情同意的情況下，不得收集未成年人的個人信息；在涉及未成年人的報道、出版物中不得公開未成年人的姓名、住址等個人信息。

涉及未成年人的案件不公開審理；對犯罪時不滿十八周歲、被判處五年有期徒刑以下刑罰的未成年人，在入伍、就業(yè)時免除前科報告義務(wù)。

第二十七條 【特殊領(lǐng)域個人信息的保護】 電子政務(wù)、電子商務(wù)、電信、醫(yī)療、金融、信用等特殊領(lǐng)域?qū)嵭刑厥鈬栏竦膫€人信息保護規(guī)則，由有關(guān)主管部門結(jié)合該領(lǐng)域的特點具體制定相關(guān)規(guī)則。

第二十八條 【登記與批準】 非公務(wù)部門進行一般的個人信息收集、處理、傳輸與利用的，須向個人信息主管部門登記備案。

非公務(wù)部門日常業(yè)務(wù)較多涉及個人信息收集、處理、傳輸與利用的，或者進行特殊的個人信息收集、處理、傳輸與利用的，須向個人信息主管部門申請，經(jīng)個人信息主管部門批準許可，方可進行個人信息收集、處理、傳輸與利用。

申請書的內(nèi)容應(yīng)當載明申請者的身份、名稱，收集、處理、傳輸與利用個人信息的目的、類別、方式、安全措施等項目。

國家個人信息主管部門負責組織對達到個人信息保護標準的企業(yè)進行認證并頒發(fā)證書。未獲批準或認證不得從事本條第一款中所述的相關(guān)業(yè)務(wù)活動。

第四章 個人信息保護中的自律與監(jiān)督

第二十九條 【組織自律】 與個人信息保護相關(guān)的組織應(yīng)當在內(nèi)部建立個人信息保護專員制度，加強該組織在收集、處理、傳輸與利用個人信息過程中的自我約束。

個人信息保護專員獨立負責監(jiān)督個人信息保護法律規(guī)范在該組織的實施，對控制者實施的個人信息處理行為進行登記，監(jiān)督組織內(nèi)部的個人信息處理行為，避免組織侵害個人信息本人的權(quán)利。

第三十條 【行業(yè)自律】 與個人信息保護相關(guān)的行業(yè)應(yīng)當建立本行業(yè)的個人信息保護協(xié)會，針對本行業(yè)的特點，根據(jù)本法的原則與精神，制定本行業(yè)的個人信息保護行業(yè)標準、自律規(guī)范，加強本行業(yè)在個人信息保護中的自律。

第三十一條 【主管部門】 國家在中央設(shè)立個人信息主管部門，縣級以上人民政府的信息資源主管部門負責本地區(qū)的個人信息保護的監(jiān)管工作。

國家個人信息主管部門負責統(tǒng)籌全國個人信息保護管理與執(zhí)法工作，制定全國個人信息保護指導方針、政策、規(guī)劃，領(lǐng)導各級個人信息管理部門與執(zhí)法機構(gòu)的工作，監(jiān)督全國日常的個人信息保護工作，協(xié)調(diào)有關(guān)機構(gòu)或者組織的個人信息保護工作，與國際溝通個人信息保護工作，加強個人信息保護的國際合作。

個人信息主管部門應(yīng)當建立舉報、申訴與處理機制，對違反本法規(guī)定者進行及時查處，對個人信息權(quán)利受侵害者提供及時的行政救濟。

第三十二條 【社會監(jiān)督】 國家鼓勵社會力量依照本法成立個人信息保護團體，并給予適當?shù)慕?jīng)費支持。國家鼓勵、支持和引導媒體、公眾依照本法對個人信息保護進行監(jiān)督，加強個人信息保護社會監(jiān)督平臺建設(shè)。

第五章 法律責任

第三十三條 【民事責任】 違反本法規(guī)定造成他人個人信息權(quán)利損害，尚不構(gòu)成犯罪的，應(yīng)當承擔停止侵害、排除妨礙、消除危險、恢復原狀、賠償損失、賠禮道歉、消除影響、恢復名譽等民事責任。

以上承擔侵權(quán)責任的方式，可以單獨適用，也可以合并適用。

對于嚴重侵害個人信息權(quán)利的行為，受害人有權(quán)向致害人請求精神損害賠償。

第三十四條 【行政責任】 國家工作人員因執(zhí)行職務(wù)的行為造成他人個人信息權(quán)利損害的，由國家承擔行政賠償責任。國家在承擔行政賠償責任后應(yīng)當向存在故意或者重大過失的國家工作人員追償。

對于國家工作人員涉及個人信息保護的失職、違紀與違法行為，依法給予行政處分。構(gòu)成犯罪的，依法追究刑事責任。

第三十五條 【行政責任】 未經(jīng)登記或者許可擅自從事涉及個人信息收集、處理、傳輸與利用等活動的組織，由個人信息行政監(jiān)管部門予以取締，沒收違法所得，并處以違法所得一倍以上五倍以下罰款。構(gòu)成犯罪的，依法追求刑事責任。

第三十六條 【刑事責任】 違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

違反國家有關(guān)規(guī)定，將在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。

竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。

單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。

第六章 附則

第三十七條 【實施細則】 國家個人信息主管部門可以根據(jù)本法制定具體的實施細則。

第三十八條 【施行日期】 本法自20__年__月__日起施行。

［注釋］

① “關(guān)于個人數(shù)據(jù)自動化處理的個人保護協(xié)定（Council of Europe， Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data， 1981.）”，本文簡譯作歐洲理事會1981年《個人數(shù)據(jù)處理保護協(xié)定》。

② 一般認為，“一般人格權(quán)”概念在立法上正式出現(xiàn)于1907年《瑞士民法典》。參見王利明《人格權(quán)法研究》一書，中國人民大學出版社2005年7月出版，第166頁。

③ 《德國民法典》第823條第1款：“因故意或者過失不法侵害他人生命、身體、健康、自由、所有權(quán)或者其他權(quán)利者，對被侵害人負賠償義務(wù)?！?/p>

④ 此外，美國還有如下個人信息隱私相關(guān)立法：1978年《金融隱私法》、1980年《隱私權(quán)保護法》、1984年《有線電視通信政策法》、1986年《電子通信隱私法》、1988年《雇員測謊保護法》、1988年《錄影帶隱私權(quán)保護法》、1991年《電話購物消費者保護法》、1994年《駕駛員隱私保護法》、1994年《通信協(xié)助執(zhí)行法》、1996年《個人責任和工作機會協(xié)調(diào)法》、2001年《愛國者法》、2003年《反垃圾郵件法》、2004年《偷拍窺癖隱私保護法》等。

⑤ 瑞士于1934年頒布了世界首部《銀行保密法》（Bank Secrecy Law），其中涉及個人信息保護問題。

⑥ 國內(nèi)一些學者在比較美歐個人信息保護立法時，常歸納為兩種“模式”，但筆者認為，由于個人信息保護立法尚屬新領(lǐng)域，隨著信息技術(shù)的不斷發(fā)展，新的問題不斷出現(xiàn)，有關(guān)國家或地區(qū)也在全面修改個人信息法律，尚且很難說已經(jīng)形成哪些“模式”，只能說這是一個仍在發(fā)展進行中的立法問題，所以這里采用“進路”一詞應(yīng)更為恰當。

⑦ Escrowed Encryption Standard，第三方協(xié)議加密標準。

⑧ Electronic Privacy Information Center in Washington D.C， EPIC， http://epic.org.

［1］ 綦彥臣.希波克拉底誓言［M］.北京:世界圖書出版公司北京公司，2004:4.

［2］ 日內(nèi)瓦宣言［EB/OL］.（2016-01-22）［2016-01-22］.http://baike.baidu.com/view/1327670.htm.

［3］ 張紅.一項新的憲法上基本權(quán)利-人格權(quán)［J］.法商研究，2012（1）:42.

［4］ 王澤鑒.憲法上人格權(quán)與私法上人格權(quán)［M］//王利明，編.民法典·人格權(quán)法重大疑難問題研究.北京:中國法制出版社，2007:11.

［5］ 孔令杰.個人資料隱私的法律保護［M］.武漢:武漢大學出版社，2009:336，337，339.

［6］ 齊愛民.拯救信息社會中的人格-個人信息保護法總論［M］.北京:北京大學出版社，2009.

［7］ 張新寶.隱私權(quán)的法律保護［M］.北京:群眾出版社，2004:1.

［8］ （德）迪特爾·梅迪庫斯.德國民法總論［M］.邵建東，譯.北京:法津出版社，2001:807.

［9］ SAMUEL D. WARREN，LOUIS D. BRANDEISThe Right to Privacy［J］.Harvard Law Review，1890（4）:193-196.

［10］ （美）阿麗塔·L·艾倫，理查德·C·托克音頓.美國隱私法:學說、判例與立法［M］.馮建妹，譯.北京:中國民主法制出版社，2004.

［11］ 向燕.搜查與隱私權(quán)保護-加拿大憲法與美國憲法第4修正案之比較［J］.環(huán)球法律評論，2011（1）:83.

［12］ 郗偉明.論英國隱私法的最新轉(zhuǎn)向-以Mosley案為分析重點［J］.比較法研究，2013（3）:104.

［13］ 張秀蘭.網(wǎng)絡(luò)隱私權(quán)保護研究［M］.北京:北京圖書館出版社，2006:129.

［14］ （日）五十嵐清·松田昌土.西德對私生活的私法保護［M］//（日）戎能通孝·伊藤正己，編.隱私研究.東京:日本評論社，1962.

［15］ （美）阿爾文·托夫勒.第三次浪潮［M］.朱志炎，譯.北京:新華出版社，1996:7-9.

［16］ 齊愛民.中國信息立法研究［M］.武漢:武漢大學出版社，2009:18-25.

［17］ 胡衛(wèi)萍，鄭劍.個人信息權(quán)民事確權(quán)芻議［J］.華東交通大學學報，2010（5）:87-89.

［18］ （德）迪特爾·梅迪庫斯.德國民法總論［M］.邵建東，譯.北京:法津出版社，2001:802.

［19］ （美）羅伯特·S 薩默斯.美國實用工具主義法學［M］.柯華慶，譯.北京:中國法制出版社，2010:78.

［20］ MICHAEL HENRY.Internet Privacy，Public and Personality Laws［M］.London:Butterworth，2001:193.

［21］ 周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告［M］.北京:法律出版社，2006:31.

［22］ AMY FLEISCHMANN.Personal Data Security:Divergent Standards in the European Union and the United States［J］.Fordham International Law Journal，1995（19）.

［23］ 高圣平.比較法視野下人格權(quán)的發(fā)展——以美國隱私權(quán)為例［J］.法商研究，2012（1）:35.

［24］ 范姜真媺.政府資訊公開與個人隱私之保護［J］.法令月刊，2001（5）:357-370.

［25］ 齊愛民.個人資料保護法原理及其跨國流通法律問題研究［M］.武漢:武漢大學出版社，2004:5.

［26］ 蘇令根.隱私權(quán):信息與網(wǎng)絡(luò)時代的重要人權(quán)［J］.社會，2002（5）:11.

［27］ CHARLES B CANNON.What Franchisors Need to Know About Privacy Rights，a Safe Harbor，and Standard Contractual Clauses Before Exchanging Personal Information with Europeans［J］.Franchise Law Journal，2003（winter）:176.

本文推薦專家：

韓松，西北政法大學，教授，研究方向： 民商經(jīng)濟法。

焦和平，西北政法大學，副教授，研究方向： 民法和知識產(chǎn)權(quán)法。

The Approach to Legislation of Information Protection Overseas

GAO ZHIMING
（ Faculty of Law， Yanshan University， Qinhuangdao，066004 ）

The norms for personal information protection begin with several industrial ethic standards related to personal information secretes， generally experiencing the special industrial ethical norms， ordinary right of personality norms and newly emerging specific rights and interests of personality norms， like privacy right and developing towards personal information right norms of new-type specific right of personality. The differences of American and European personal information benefits norms are represented by different legislation theory foundation and legal traditions， different positive legislative regulations domination，different central and universal legislation and different personal information protection scope， etc.

personal information； protection； approach to legislation

D913.04

A

1008-472X（2016）02-0085-15

2015-11-26

燕山大學青年教師自主研究計劃課題（13SKB006）。

高志明（1978-），男，遼寧昌圖人，法學博士、管理科學與工程博士后，燕山大學碩士生導師，研究方向為法律與信息、知識產(chǎn)權(quán)。