个人信息保护的比较法考察

□ 姚辉 张璇

自上世纪60年代，各国已普遍意识到网络环境下保护公民私生活的重要性。1970年最早的有关个人信息保护的国内法《个人信息保护法》在德国黑森州制定。随后，1973年瑞典制定了《资料法》，1974年美国制定了《隐私权法》，1977年德国制定了《联邦个人信息保护法》，欧洲议会也于1981年出台了《个人数据保护协议》，1984年英国制定了《数据保护法》，1998年《欧盟个人数据保护指令》生效。

据不完全统计，世界上制定个人信息保护法律的国家或地区已经超过50个。

美国

1.个人信息的公法保护

1974年，美国通过第一个隐私保护法案《联邦隐私权法》，对联邦政府处理及使用个人信息进行详细的规范，同时建立了“隐私保护观察委员会”，针对该法的个人隐私保护做定期的观察与报告。

《隐私权法》主要针对的是政府部门，而私法环节部分则由少数联邦特定立法、州法、普通法、工业自治及公司内部规范多种途径进行规范。此后，通过1980年《隐私保护法》、1986年《电子通讯隐私法》、1991年《电话消费者保护法》《家庭教育及隐私权法》和《财务隐私法》等，建构了保护个人信息隐私的法律体系。

2.私领域的行业自律模式

在私领域，美国对个人信息保护实行行业自律模式，针对的是收集、处理和利用个人信息的私人机构领域，通过相关的行业制定出行为指引或行为规章来规范。

美国采取的行业自律，并不是完全依靠民间行业内部规范来解决个人信息的保护问题，而是行业本身由政府引领下行业自己内部进行规范，所以这是一种自下而上与政府紧密相关的规范模式，不同于由立法对个人隐私进行统一保护的这种自上而下的规范模式。在这种模式下，如果行业内部不能解决相关的个人信息保护问题，可以由政府与相关行业一起合作处理这一部分。

这种模式一是减少了因为立法滞后使信息技术发展受到的限制，二是符合各个行业收集和处理个人信息的内容和方式千差万别的实际。当然，该模式也有其缺点，比如执行和保障缺乏权威性和效力；企业作为该模式的主要参与者，其更加看重的是个人信息蕴含的财产权益，往往会忽视个人信息中蕴含的人格权益。

欧盟

欧洲共同体的成员国自1970年起，就开始实施各自的个人信息保护法；自1983年德国联邦宪法法院承认“信息自决权”起，个人数据保护就一直被视为一种基本人权。至1990年，大多数成员国都通过颁布国内法来保护个人信息。

1995年，为了应对成员国之间频繁的经济活动对个人信息的需求，欧盟于1995年制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（以下简称“欧盟个人数据保护指令（1995年）”）。该指令对“可识别性”“处理”“同意”等关键用语和概念的定义作出巨大的贡献。

《欧盟个人数据保护指令（1995年）》虽是欧盟个人数据保护史上的里程碑，但是，随着技术的迅速发展，个人数据面临着新的挑战，指令的适用性限制也更加凸显。因此，2012年，欧盟对上述指令进行了修改。随后，2014年3月12日欧洲议会通过了《欧盟个人数据保护条例案（2012年）》修正案（以下简称“修正案”）。

修正案的如下几个方面值得关注：

1.在“个人数据”的范围方面，修正案新增了匿名数据和加密数据。匿名数据指的是只有具备“附加信息”的情况下才能够识别数据主体的信息；加密数据指的是通过技术上的保护措施不允许无权利人利用的数据。

2.在“强化同意的要件”方面，修正案新增条款如下：“同意与否的举证责任在于数据处理控制人”；由此增加数据处理控制人的举证责任，破解了在私法保护框架下被侵权人举证难度大的问题。

另外，修正案强化了删除权。根据该条文，数据处理控制人没有任何合法理由保存数据主体有关数据的情况下，数据主体可以要求删除与他们相关的数据或者有关第三人的链接和复制。另外，数据处理控制人在不具合理性的情况下，公开个人数据者，数据处理控制人应该采取所有合理的措施来删除数据，包括第三人保有的数据，并且通知数据主体有关第三人所采取的措施。

该项规定有助于破解当搜索引擎快照保留存在侵权可能性的链接网站上有关个人信息的内容时，数据主体难以要求该第三方搜索引擎删除相关信息的实务难题。

3.在“加强数据处理控制人与数据处理者的责任”方面，修正案强调在个人数据主体的权利实现过程中，规定了共同数据处理者之间的责任安排。因此，在其之间的责任范围不明确的情况下，共同数据处理者个别并连带负责。

日本

1.个人信息保护法制化历程

1996年6月，日本高度信息通信网络社会推进战略本部正式提出了隐私保护以后，在1998年11月制定的“向高度信息化通信社会推进的基本方针”中，又具体规定了保护个人隐私的条款；同年12月，政府制定了《有关行政机关电子计算机自动化处理个人信息保护法》，1999年4月又制定了含23个都道府县和12个政府指定城市、全国1529个团体的《个人信息条例》。但这些规定中，尚未考虑到民间企业在利用个人信息时对个人信息的侵害。

随着近年来民间企业对个人信息的不适当应用造成的个人信息的外泄事件频发，将民间企业纳入到个人信息保护的调整范围内，并对相对类型化的个人信息的采集、存储、使用和信息交换、共享等加以规制开始纳入政府的视野。因此，1999年的《居民基本注册改正法》，特别针对民间企业对个人信息保护的必要性加强了认识。2001年，《个人信息保护法》被提交国会审议，2003年获得通过。至此，日本有关个人信息保护法制化的框架基本完成。

《个人信息保护法》在“个人信息”范围的界定上，具有借鉴意义。该法第2条界定：“个人信息指有关活着的个人的信息，根据该信息所含有姓名、出生年月以及其他一些描述，能把该个人从他人中识别出来的与该个人相关的信息（包含能简单地查对其他的信息，根据那些信息来识别个人的东西）。”该条规定考虑到法律对个人信息的外延空间可随着信息技术的发展变化而变化，没有对个人信息作具体的列举，从而具有能适应时代发展的灵活性。比如，与个人有关的声音和图像数据获取、传播、复制、记录、保存和交换的数据处理可以随科技的发展成为信息保护的对象等。

2.自律机制的建立

为顺应信息环境的变化以及协调欧盟指令等需要，推进个人信息保护体制，日本采用了美国的民间认证制度来替代争端解决机制，以配合政府的执法保障。

1999年日本工业标准制定了《关于个人信息保护管理体制要求事项》。2001年制定了比较重视管理的“安全管理系统评估制度”，并启用了ISO／IEC17799－1（BS7799）国际标准，旨在给予那些对个人信息保护良好的企业一个外在的评价标准。获得上述安全认证的企业可据此提升自身形象和商业信誉，对企业今后的发展非常有利，因此成为企业保护个人信息的重要动力。