王長(zhǎng)征

摘 要：本文通過對(duì)個(gè)人金融信息概念的探討、對(duì)我國(guó)個(gè)人金融信息保護(hù)立法情況的梳理和對(duì)歐美個(gè)人金融信息保護(hù)立法經(jīng)驗(yàn)的研究，建議推動(dòng)個(gè)人信息保護(hù)法盡快出臺(tái)，進(jìn)一步構(gòu)筑我國(guó)個(gè)人金融信息保護(hù)的法律體系。

關(guān)鍵詞：個(gè)人金融信息；保護(hù)；立法

中圖分類號(hào)：F840.4 文獻(xiàn)標(biāo)識(shí)碼：B 文章編號(hào)：1674-0017-2018（2）-0093-05

一、個(gè)人金融信息的概念界定

（一）個(gè)人信息與個(gè)人隱私

《兩高關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（2017）第一款，刑法第二百五十三條之一規(guī)定的“公民個(gè)人信息”，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

我國(guó)《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》（2013）首次獨(dú)立界定了個(gè)人信息的內(nèi)涵，并提煉出個(gè)人信息的核心法律特征——可識(shí)別性。根據(jù)《歐盟一般個(gè)人信息保護(hù)條例》（2016）對(duì)個(gè)人信息的定義，個(gè)人信息是指任何確定或可辨識(shí)自然人（信息主體）的信息。可辨識(shí)自然人是指，任何可以通過姓名、身份證號(hào)、位置信息、網(wǎng)上標(biāo)簽，或者利用身體物質(zhì)特征、生理特征、基因、精神、經(jīng)濟(jì)、文化、社會(huì)身份中一個(gè)或多個(gè)因素，以直接或間接方式辨識(shí)出特定自然人。井慧寶（2011）指出個(gè)人信息從語(yǔ)言學(xué)角度界定應(yīng)理解為個(gè)人數(shù)據(jù)或個(gè)人資料，但從立法的角度考慮應(yīng)持狹義的態(tài)度，“可辨識(shí)性”是立法要考慮的關(guān)鍵。

在很多國(guó)家，個(gè)人隱私一般是個(gè)人信息保護(hù)法律中的主要用語(yǔ)，如美國(guó)《隱私權(quán)法》（1974）、德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》（1977）、澳大利亞《隱私權(quán)法》（1988）、英國(guó)《數(shù)據(jù)保護(hù)法》（1998）中主要關(guān)注的都是個(gè)人隱私。Warren 和Brandeis在1890年發(fā)表《論隱私權(quán)》，使得隱私權(quán)作為一項(xiàng)獨(dú)立民事權(quán)利得到美國(guó)法律的保護(hù)。馬運(yùn)全（2014）通過對(duì)英美立法中隱私權(quán)概念的總結(jié)，認(rèn)為隱私權(quán)是指自然人享有的私人生活安寧與私人信息秘密依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、收集、利用和公開的一種人格權(quán)。權(quán)利主體對(duì)他人在何種程度上可以介入自己的私生活，對(duì)自己是否向他人公開隱私以及公開的范圍和程度等具有決定權(quán)。

（二）個(gè)人金融信息與個(gè)人金融隱私信息

個(gè)人金融信息是特殊領(lǐng)域的個(gè)人信息，是信息主體在與金融機(jī)構(gòu)的業(yè)務(wù)往來(lái)中為金融機(jī)構(gòu)所掌握的個(gè)人信息。綜合不同學(xué)者對(duì)于個(gè)人金融信息范圍的各種看法，筆者認(rèn)為，個(gè)人金融信息主要包含身份信息、財(cái)產(chǎn)信息、交易信息、衍生信息和其它信息等。

在美國(guó)相關(guān)立法中，提到過個(gè)人金融隱私信息和非公開個(gè)人金融信息的概念。美國(guó)的《金融服務(wù)現(xiàn)代化法案》（1999）將個(gè)人金融隱私信息定義為：非公開的、可確認(rèn)為個(gè)人的金融信息。美國(guó)的《消費(fèi)者個(gè)人金融隱私信息保護(hù)的最終規(guī)則》（2004）中，非公開個(gè)人金融信息涵蓋了所有不能從公開渠道獲得的個(gè)人金融信息。個(gè)人金融信息是個(gè)人信息的重要組成部分，個(gè)人金融隱私信息又是個(gè)人金融信息的最核心組成部分。邵朱勵(lì)（2016）對(duì)金融隱私權(quán)的概念進(jìn)行梳理，認(rèn)為金融隱私權(quán)是指自然人控制并排除他人干涉其本人在金融市場(chǎng)中產(chǎn)生的個(gè)人金融信息的能力，具有人格權(quán)和財(cái)產(chǎn)權(quán)雙重屬性。

二、我國(guó)個(gè)人金融信息保護(hù)立法的現(xiàn)狀

（一）相關(guān)法律法規(guī)梳理

《兩高關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（2017）對(duì)侵犯公民個(gè)人信息犯罪的定罪量刑標(biāo)準(zhǔn)和有關(guān)法律適用問題作了全面、系統(tǒng)的規(guī)定。違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個(gè)人信息保護(hù)規(guī)定的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“違反國(guó)家有關(guān)規(guī)定”；明確了涉及公民個(gè)人信息的“情節(jié)嚴(yán)重”的條款，加大了處罰力度?！吨腥A人民共和國(guó)刑法修正案（七）》（2009）規(guī)定了出售、非法提供公民個(gè)人信息罪及非法獲取公民個(gè)人信息罪兩個(gè)罪名。

《中華人民共和國(guó)民法總則》（2017）第一百一十一條，“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息”。新民法總則首次承認(rèn)了個(gè)人信息權(quán)，并將個(gè)人信息權(quán)確定為一種具體人格權(quán)，納入到民事權(quán)利中的人格權(quán)章節(jié)中。陳璐（2017）指出，在這一法條出現(xiàn)之前，個(gè)人信息被侵犯的受害者需依賴行政機(jī)關(guān)或檢察機(jī)關(guān)向侵權(quán)人追究行政或刑事責(zé)任。除非受害人能夠證明其名譽(yù)因個(gè)人信息被侵犯而受損，否則法院通常不會(huì)支持以個(gè)人信息被侵犯為由提出的民事訴訟。而現(xiàn)在隨著個(gè)人信息權(quán)被納入《民法總則》，發(fā)生民事侵權(quán)責(zé)任后，原被告雙方的舉證責(zé)任分配有所改變。不能苛求原告舉證個(gè)人信息處理者存在安全懈怠行為，相反的是要個(gè)人信息處理者必須舉證采取了法律規(guī)定的和必要審慎的個(gè)人信息保護(hù)措施，否則就應(yīng)當(dāng)承擔(dān)個(gè)人信息保護(hù)安全不規(guī)范的責(zé)任。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（2016）對(duì)涉及網(wǎng)絡(luò)空間的個(gè)人信息保護(hù)做了較為全面的規(guī)定：收集和使用個(gè)人信息時(shí)應(yīng)遵守“合法性”“合理性”和“必要性”三個(gè)原則，應(yīng)獲得個(gè)人明確的知情同意；信息管理者必須采取充分的保護(hù)措施，確保個(gè)人信息安全；加強(qiáng)了個(gè)人信息保護(hù)力度，特別明確了個(gè)人信息保護(hù)的主體責(zé)任。

綜合以上對(duì)我國(guó)法律的梳理，筆者認(rèn)為，可以主要概括為以下幾方面：①個(gè)人信息受到法律保護(hù)，涉及個(gè)人信息的犯罪處罰力度在加強(qiáng)，涉及網(wǎng)絡(luò)空間的個(gè)人信息由于新出臺(tái)的《網(wǎng)絡(luò)安全法》受到比較全面的保護(hù)。②金融機(jī)構(gòu)及相關(guān)工作人員對(duì)于客戶個(gè)人金融信息有保密義務(wù)，違反保密義務(wù)后面臨行政處罰措施。③個(gè)人對(duì)個(gè)人金融信息采集和使用的知情權(quán)、同意權(quán)及提起訴訟權(quán)利。④個(gè)人的金融信息有一定的披露義務(wù)。

（二）我國(guó)個(gè)人金融信息保護(hù)面臨的問題

1.法律制度不健全，立法效力層級(jí)低、涵蓋面窄、缺乏操作性

自2003年起，學(xué)界主張制定統(tǒng)一的《個(gè)人信息保護(hù)法》，但由于個(gè)人信息的內(nèi)涵及法律屬性還存在較大爭(zhēng)議，這項(xiàng)立法建議一直未能進(jìn)入正式的立法程序，轉(zhuǎn)而制定了一系列的原則性立法及單行規(guī)定。隨著《兩高司法解釋》、新《民法總則》和《網(wǎng)絡(luò)安全法》的頒布，個(gè)人信息得到了更多的保護(hù)，但個(gè)人金融信息的保護(hù)依然比較散亂。第一，我國(guó)個(gè)人金融信息保護(hù)的相關(guān)法規(guī)效力層級(jí)較低。相關(guān)規(guī)定以行政法規(guī)、部門規(guī)章為主，沒有主要針對(duì)個(gè)人信息保護(hù)和個(gè)人金融信息保護(hù)的法律。第二，我國(guó)個(gè)人金融信息保護(hù)涵蓋面較窄。相關(guān)規(guī)定主要是銀行業(yè)和征信業(yè)的規(guī)定，《兩高司法解釋》的出臺(tái)能夠解決個(gè)人金融信息的犯罪問題，《網(wǎng)絡(luò)安全法》的出臺(tái)能夠保護(hù)網(wǎng)絡(luò)金融信息，但對(duì)于這幾方面無(wú)法覆蓋到的個(gè)人金融信息的保護(hù)僅僅局限于簡(jiǎn)單的保密義務(wù)，責(zé)任不明確，救濟(jì)方式很有限，個(gè)人金融信息保護(hù)力度弱。第三，相關(guān)法規(guī)缺乏操作性。陳永（2003）指出，個(gè)人金融信息保護(hù)相關(guān)法規(guī)中對(duì)概念的具體界定過于籠統(tǒng)，缺乏操作性，如法律條文中將權(quán)利主體籠統(tǒng)規(guī)定為“存款人”、將保密義務(wù)主體規(guī)定為“銀行及銀行工作人員”等等。周學(xué)東（2011）提出，實(shí)踐中有些方面還比較模糊，比如銀行掌握的客戶信息是否可以用于理財(cái)產(chǎn)品的營(yíng)銷和跨境提供等等。

2.保護(hù)手段少，違法成本低，監(jiān)管不明確

一方面，相關(guān)法規(guī)對(duì)個(gè)人金融信息的保護(hù)手段較少，對(duì)于個(gè)人金融信息的違法成本較低。《兩高司法解釋》能夠懲治個(gè)人信息犯罪情節(jié)嚴(yán)重的問題，《網(wǎng)絡(luò)安全法》能夠懲治網(wǎng)絡(luò)詐騙的問題，但如果個(gè)人金融信息不是在網(wǎng)絡(luò)框架下、且沒有達(dá)到情節(jié)嚴(yán)重的犯罪情況下，對(duì)違法機(jī)構(gòu)的法律追究機(jī)制就不夠健全，打擊力度明細(xì)不足。盡管新民法總則降低了民事責(zé)任方面的要求，但民法、刑法和侵權(quán)責(zé)任法和行政法規(guī)等共同構(gòu)成的責(zé)任追究體系依然不足以覆蓋現(xiàn)實(shí)中個(gè)人金融信息被侵犯導(dǎo)致的主要問題，且缺乏明確的標(biāo)準(zhǔn)和依據(jù)。王寶剛（2012）指出，對(duì)于侵犯銀行客戶個(gè)人信息但尚未構(gòu)成犯罪的行為，沒有規(guī)定直接適用的罰則，監(jiān)管部門也缺乏對(duì)金融機(jī)構(gòu)違規(guī)泄漏客戶信息進(jìn)行處罰的直接依據(jù)。張瑞懷等（2013）認(rèn)為，在金融機(jī)構(gòu)侵權(quán)的情況下，計(jì)算受害人損失缺乏科學(xué)的標(biāo)準(zhǔn)，由此給金融機(jī)構(gòu)侵權(quán)帶來(lái)的收益遠(yuǎn)大于成本的付出，反而激勵(lì)了違法行為的發(fā)生。朱偉彬等（2014）提出，由于缺乏基礎(chǔ)性制度支持，金融監(jiān)管部門執(zhí)法時(shí)，依據(jù)原則性很強(qiáng)的基本法律，對(duì)違法行為的認(rèn)定和處理時(shí)很難處理，只能運(yùn)用通報(bào)、約見談話等懲戒性不強(qiáng)的手段，不能對(duì)違法機(jī)構(gòu)產(chǎn)生威懾力。

另一方面，相關(guān)部門規(guī)章較多，但監(jiān)管手段欠缺，監(jiān)管力度較弱，針對(duì)個(gè)人金融信息保護(hù)特點(diǎn)的糾紛解決機(jī)制、即對(duì)個(gè)人金融信息權(quán)益的投訴問題沒有明確規(guī)范。王志強(qiáng)（2013）認(rèn)為，個(gè)人金融信息保護(hù)的監(jiān)督部門管理不明確，一行三會(huì)在各自領(lǐng)域開展工作，缺乏明確的職責(zé)分工范圍和協(xié)調(diào)機(jī)制，多頭監(jiān)管、監(jiān)管真空、效率低下。

三、美國(guó)、歐盟與日本個(gè)人金融信息保護(hù)立法的情況

（一）立法模式

1.美國(guó)相關(guān)立法模式

美國(guó)個(gè)人金融信息保護(hù)的法律體系目前主要由《金融服務(wù)現(xiàn)代化法案》（1999）、《消費(fèi)者個(gè)人金融隱私信息保護(hù)的最終規(guī)則》（2000）、《公平信用報(bào)告法》（2003）、《客戶信息維護(hù)標(biāo)準(zhǔn)》（2003）、《消費(fèi)者報(bào)告中信息與記錄的處理規(guī)則》（2005）和《多德弗蘭克法案》（2010）構(gòu)成，相關(guān)法律體系形成相對(duì)較早。

邵朱勵(lì)（2016）指出，美國(guó)模式的保護(hù)理念是事前預(yù)防，即預(yù)防損害而不是保證個(gè)人信息控制權(quán)為原則。美國(guó)通過分散立法和行業(yè)自律結(jié)合的方式保護(hù)金融隱私權(quán)，在個(gè)人金融信息保護(hù)上，體現(xiàn)了美國(guó)聯(lián)邦制的顯著特點(diǎn)。對(duì)于銀行業(yè)金融信息保護(hù)依據(jù)的主要是聯(lián)邦法律，對(duì)于保險(xiǎn)業(yè)的金融信息保護(hù)則依據(jù)各州自己制定的法律，證券業(yè)方面以聯(lián)邦監(jiān)管機(jī)構(gòu)制定的規(guī)則為主、以行業(yè)自律為輔。

2.歐盟相關(guān)立法模式

歐盟作為國(guó)際組織，創(chuàng)立并運(yùn)用總和方法保護(hù)個(gè)人信息保護(hù)制度，并設(shè)立了比較完善的監(jiān)管機(jī)構(gòu)。個(gè)人信息保護(hù)法主要來(lái)自發(fā)布的指令，并在各國(guó)逐步推進(jìn)對(duì)應(yīng)法律法規(guī)的跟進(jìn)。歐盟將個(gè)人金融信息納入個(gè)人信息保護(hù)立法的范圍內(nèi)，從1980年至2016年逐步完善個(gè)人信息保護(hù)相關(guān)規(guī)定，從而保護(hù)個(gè)人金融信息?！稓W盟一般個(gè)人信息保護(hù)條例》（2016）和《刑事犯罪領(lǐng)域個(gè)人信息保護(hù)指令》（2016）是歐盟個(gè)人金融信息保護(hù)法律體系目前的主要規(guī)定。

3.日本相關(guān)立法模式

自1987 年起，日本相關(guān)機(jī)構(gòu)先后制定了《辦理關(guān)于金融機(jī)構(gòu)保護(hù)個(gè)人資訊指南》、《關(guān)于民間部門保護(hù)個(gè)人信息指導(dǎo)方針》、《個(gè)人信息保護(hù)法》、《金融領(lǐng)域個(gè)人信息保護(hù)方針》與《金融領(lǐng)域個(gè)人信息保護(hù)方針的安全管理措施實(shí)務(wù)指南》等法律文件，《個(gè)人信息保護(hù)法》（2005）目前是日本個(gè)人金融信息保護(hù)的重要依據(jù)。

這一法律體系本質(zhì)上是美國(guó)立法與歐盟立法相折衷的模式，即基本法、特別法與行業(yè)自律綜合的保護(hù)模式。張?jiān)罚?006）指出，日本相關(guān)立法實(shí)際效果有限，行業(yè)自律占據(jù)主導(dǎo)地位。

（二）主要內(nèi)容

1.美國(guó)相關(guān)立法主要內(nèi)容

鄭圣明（2016）提出，美國(guó)相關(guān)立法中保護(hù)的個(gè)人金融隱私信息權(quán)利主要可以總結(jié)為支配控制權(quán)、參與權(quán)、知情權(quán)、保密權(quán)、修改請(qǐng)求權(quán)、損害賠償請(qǐng)求。金融機(jī)構(gòu)保護(hù)客戶隱私權(quán)具有4項(xiàng)義務(wù)：隱私權(quán)通知義務(wù)、禁止披露消費(fèi)者非公開個(gè)人信息的義務(wù)、信息二次使用的限制義務(wù)、為營(yíng)銷目的共享消費(fèi)者賬號(hào)信息的限制義務(wù)。隱私權(quán)通知義務(wù)必須包括以下內(nèi)容：本機(jī)構(gòu)收集哪些非公開個(gè)人信息、向非關(guān)聯(lián)方披露哪些非公開個(gè)人信息、將向哪些機(jī)構(gòu)進(jìn)行此類披露及本機(jī)構(gòu)保障消費(fèi)者非公開個(gè)人信息的秘密性與安全性的政策與措施，并且應(yīng)著重強(qiáng)調(diào)，若消費(fèi)者不同意金融機(jī)構(gòu)向第三方披露自己的非公開個(gè)人信息，應(yīng)如何行使禁止權(quán)。隱私權(quán)通知需要達(dá)到一定的要求，即用盡可能清楚簡(jiǎn)潔的語(yǔ)句表達(dá)，要求能夠吸引客戶的注意力。根據(jù)《客戶信息維護(hù)標(biāo)準(zhǔn)》（2003），金融機(jī)構(gòu)必須建立一整套信息安全系統(tǒng)以保護(hù)客戶信息的安全與秘密，包括設(shè)立專門雇員總體協(xié)調(diào)、對(duì)可能產(chǎn)生的客戶信息風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)、建立風(fēng)險(xiǎn)防范措施、監(jiān)督合作的服務(wù)提供商。

2.歐盟相關(guān)立法主要內(nèi)容

《歐盟一般個(gè)人信息保護(hù)條例》（2016）關(guān)于控制者和處理者的定義繼承了《個(gè)人信息保護(hù)指令》（1995）的內(nèi)容，規(guī)定： 控制者是指獨(dú)立或者與他人共同決定個(gè)人信息處理目的、方式的自然人、法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或者其他組織，控制者的具體認(rèn)定標(biāo)準(zhǔn)可以由歐盟法或者成員國(guó)法另行規(guī)定；處理者是指代替控制者處理個(gè)人信息的自然人、法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或者其他組織。為了避免個(gè)人信息被濫用，在不同領(lǐng)域分別擴(kuò)大了信息控制者、處理者的義務(wù)，包括對(duì)高風(fēng)險(xiǎn)活動(dòng)進(jìn)行影響評(píng)估等等?！稓W盟一般個(gè)人信息保護(hù)條例》（2016）規(guī)定了個(gè)人的十余項(xiàng)信息權(quán)利，包括積極權(quán)利： 信息收集時(shí)的知情權(quán)、個(gè)人信息處理情況的查詢權(quán)、個(gè)人信息使用時(shí)的許可權(quán)、個(gè)人信息轉(zhuǎn)移權(quán)、錯(cuò)誤個(gè)人信息的修改權(quán)、個(gè)人信息擦除權(quán)、個(gè)人信息泄露時(shí)的知情權(quán)等，還有拒絕或限制個(gè)人信息被各種形式利用的消極權(quán)利： 限制控制者的信息使用范圍、拒絕個(gè)人信息被非公益科研或統(tǒng)計(jì)活動(dòng)利用的權(quán)利、拒絕個(gè)人信息被商業(yè)利用的權(quán)利等?！稓W盟一般個(gè)人信息保護(hù)條例》（2016）具有法律約束力，對(duì)于簽署的成員國(guó)不僅是指導(dǎo)性價(jià)值，而且是國(guó)內(nèi)立法必須體現(xiàn)的剛性要求。

3.日本相關(guān)立法主要內(nèi)容

張?jiān)罚?006）將日本《個(gè)人信息保護(hù)法》（2005）概括為三個(gè)部分：一是關(guān)于個(gè)人信息保護(hù)的基本理念及方針。對(duì)個(gè)人信息進(jìn)行收集或引用時(shí)，務(wù)求慎重與合法。責(zé)令政府應(yīng)制定保護(hù)個(gè)人信息的相關(guān)政策，以使對(duì)個(gè)人信息的保護(hù)更為全面。二是規(guī)定了五項(xiàng)個(gè)人信息收集者的義務(wù)：利用目的之特定、正當(dāng)獲取的義務(wù)、確保個(gè)人信息正確性義務(wù)、確保安全性義務(wù)、確保個(gè)人信息透明性。三是其他規(guī)定及罰則。

（三）監(jiān)管制度設(shè)計(jì)

1.美國(guó)監(jiān)管制度設(shè)計(jì)

《美國(guó)金融服務(wù)現(xiàn)代化法案》（1999）規(guī)定由貨幣監(jiān)理署、聯(lián)儲(chǔ)理事會(huì)、聯(lián)邦存款保險(xiǎn)公司、儲(chǔ)蓄機(jī)構(gòu)監(jiān)管委員會(huì)、全美信貸聯(lián)盟管委會(huì)、證交會(huì)、州保險(xiǎn)機(jī)構(gòu)和聯(lián)邦交易委員會(huì)等八個(gè)部門負(fù)責(zé)各自管轄權(quán)限下相關(guān)細(xì)則的制定以保證實(shí)施。美國(guó)州政府主要負(fù)責(zé)對(duì)保險(xiǎn)行業(yè)及其從業(yè)人員的監(jiān)督，聯(lián)邦貿(mào)易委員會(huì)與其他七大聯(lián)邦監(jiān)督機(jī)構(gòu)在各自管轄范圍內(nèi)開展工作。《多德弗蘭克法案》（2010）設(shè)立了新的消費(fèi)者金融保護(hù)局，賦予其超越監(jiān)管機(jī)構(gòu)的權(quán)力，全面保護(hù)消費(fèi)者合法權(quán)益。

2.歐盟監(jiān)管制度設(shè)計(jì)

歐盟相關(guān)規(guī)定設(shè)置了專門的個(gè)人信息保護(hù)研究機(jī)構(gòu)和行政機(jī)構(gòu)。設(shè)立歐洲信息保護(hù)監(jiān)督局，是專門負(fù)責(zé)個(gè)人信息保護(hù)事務(wù)的歐盟獨(dú)立行政機(jī)構(gòu)，歐盟公民的個(gè)人信息受保護(hù)權(quán)利被侵害時(shí)可以直接向其投訴，它可以對(duì)有關(guān)情況進(jìn)行聽證和調(diào)查處理。設(shè)立歐洲信息保護(hù)委員會(huì)，其成員由各成員國(guó)個(gè)人信息保護(hù)行政機(jī)構(gòu)首腦或者其代表和歐洲信息保護(hù)監(jiān)督局首腦或其代表組成，委員會(huì)的秘書處由歐洲信息保護(hù)局擔(dān)任。設(shè)置歐洲委員會(huì)信息保護(hù)官，是在歐盟各組成機(jī)構(gòu)中任職的獨(dú)立信息保護(hù)專員。要求各會(huì)員國(guó)應(yīng)該規(guī)定一個(gè)或多個(gè)機(jī)關(guān)來(lái)負(fù)責(zé)監(jiān)督在其領(lǐng)土內(nèi)該指令的執(zhí)行情況，并建立具有顧問性質(zhì)的對(duì)個(gè)人資料處理的個(gè)人予以保護(hù)的工作組。各成員國(guó)針對(duì)性地設(shè)立了信息保護(hù)局，屬于歐盟個(gè)人信息保護(hù)法的各區(qū)域執(zhí)法機(jī)構(gòu)。《歐盟一般個(gè)人信息保護(hù)條例》（2016）將個(gè)人信息處理活動(dòng)的風(fēng)險(xiǎn)劃分為較高風(fēng)險(xiǎn)、一般風(fēng)險(xiǎn)、較低風(fēng)險(xiǎn)三類。對(duì)于高風(fēng)險(xiǎn)，要求信息控制者開展此類活動(dòng)前做影響評(píng)估、向信息保護(hù)局咨詢，并在較高風(fēng)險(xiǎn)損害的信息泄露時(shí)報(bào)告和通知信息保護(hù)局和每一個(gè)信息主體。