部分国家个人信息保护现状

　　第二章 部分国家个人信息保护的现行法律规制和司法实践

　　第一节 部分国家个人信息保护现状

　　目前世界上已有 50 多个国家和地区制定了个人信息保护方面的法律法规。有关欧洲、北美洲、中南美洲、亚洲、大洋洲的个人信息保护法制状况如下：

　　一、欧洲

　　个人信息的保护在欧盟称为数据保护，相关方面最主要的立法主要包括 1995年的《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即《个人数据保护指令》、2002 年的《隐私与电子通讯指令》以及 2006 年的《数据保存指令》。其中 1995 年的《个人数据保护指令》是欧盟关于数据保护最重要的法律。

　　由于欧盟成员国均有按照欧盟《个人数据保护指令》（以下简称"《指令》"）的要求调整自己国内法的义务，因此其国内的个人数据保护立法必须严格参照《指令》。《指令》同时约束政府机构和商业机构，对有关个人数据的处理制定了相当严格的规定。《指令》并非适用于所有个人数据处理，而只适用于全部或部分通过自动化方式处理个人数据的情形，主要是指利用网络和电脑自动化处理个人数据。

　　欧盟利用其在世界经济贸易中举足轻重的地位，要求与其交易的他国企业在个人信息保护方面必须达到《指令》的要求。

　　2012 年 1 月，欧盟委员会发布了"个人信息保护条例"草案，该草案有望在2014 年完成立法程序，取代 1995 年个人信息保护指令从而成为欧盟在个人信息保护领域的新法律。根据欧盟委员会在 2010 年 11 月所发布的公报，此次修法有三个重要的政策目标：实现欧盟个人信息保护的法律体系的现代化，使其充分适应全球化和信息与网络技术的需要；强化数据主体的权利，简化程序，促进数据的自由流动；改善欧盟法律的清晰程度和一致性，强化成员国对基本权利保护的一致性。

　　欧盟部分成员国的立法情况如下：

　　（一）英国

　　英国的现行法律是 1998 年的《个人数据保护法》，该法的附则规定了"合法适当处理、确保收集的数据具备新颖性、正确性、确保符合收集目的、数据使用遵守期限规定、尊重数据主体的权利、确保数据安全、限制向数据保护不充分的第三国转移数据" 这一数据保护八原则。英国为确保该法的执行，设置了专门的信息委员会作为独立的监督机构，该委员会的负责人由英国女王亲自任命，任期 5年，其主要的职务权限包括：调查法律遵守的情况、对违法者发出书面警告并对犯罪者提起公诉、对个人数据实施备案登记、定期向国会提交报告、对数据管理者的规范指导等。该委员会共有 300 多名专职工作人员，在北爱尔兰、苏格兰、威尔士设有办事机构。该委员会还有一项重要工作，就是针对新技术对隐私权造成的影响进行深入研究并将研究成果公诸于众，供各方参考。
　　
　　（二）法国

　　法国现行法律是 1978 年 1 月 6 日法令 78-17 号《与信息处理、信息文件以及自由相关法》。在《指令》发布后，法国在 2004 年 8 月 6 日以 2004-801 号修正案对该法律进行了较大的修正，以适应欧盟的要求。该法内容与英国相似。法国为保证法律的施行，专门设置了独立的"信息处理和自由国家委员会",并立法规定该委员会履行职责时可以不受任何行政机关的干预。该委员会由上院和下院的各 2名议员、经济和社会评议会委员 2 名等共计 17 名成员组成，任期一律为 5 年。委员主要的权利包括：对违法行为实施制裁、处理投诉建议和举报、向政府和民间组织提供建议、对各单位的信息处理负责人实施备案登记制度、对部分特殊行业进行规范、向政府部门提出立法提案，等等。该委员会有约 200 名职员，每年处理纠纷和投诉约 5,000 件。

　　（三）德国

　　德国的现行法律是 2001 年的《德国联邦数据保护法》。该法对基于本人同意的数据收集和利用、数据收集的必要性、查阅权、更新修正权、封锁权、删除权等内容作了相应的规定。德国为实施这部法律，设立了专门负责个人数据保护的联邦委员会，作为独立的监督机构。该委员会的负责人通过议会选举产生，由总统任命，任期 5 年，要求年龄大于 35 周岁。委员会对共同机构及民营化的部分铁路邮政等事业单位实施监督。联邦委员会的主要职权责令违法者限期改正、对数据处理者的备案登记、向联邦政府提交有关改善数据保护的建议书、协助其他数据保护机关等。联邦委员会按照法律、金融、社会服务、劳动就业、经济、公共卫生、技术数据保护、国际事务等不同领域设立分委员会，每年受理纠纷和投诉约 6,000 件。2008 年 7 月，联邦数据保护法修正案在国会通过，新增了有关个人信用信息的内容，对向个人信用调查公司提供数据和强化信息主体查阅权等内容。

　　（四）意大利

　　意大利的现行法律是 2003 年制定，并在 2004 年全面实施的，它取代了 1982年颁布的旧法。有关《指令》的要求，在 1996 年 12 月 31 日正式列入其国内法。

　　法律要求信息处理者必须尊重数据主体的权利、基本自由和尊严，并同时充分确保信息主体的权利行使。此外，法律要求处理敏感信息时必须同时得到信息主体的书面同意以及数据保护机构的许可。若违反安全保护义务，则将被处以 1 万欧元以上 5 万欧元以下的罚款。法律规定的其他罚则包括：向数据保护机构作虚假陈述的，将被处以 6 个月以上、3 年以下的拘禁；对数据保护机构的整改命令置之不理的，将被处以 6 个月以上、2 年以下的拘禁。未经数据主体同意、非法进行数据处理的，将被处以 6 个月以上、18 个月以下的拘禁。该法律对有关新闻报道、裁判文书等涉及的个人数据保护，作为法律的除外事项，不适用法律规定。

　　二、北美洲

　　北美洲的美国和加拿大两国对个人信息的保护，采取与欧盟各国不同的做法，对政府机构和商业机构不作统一立法，不用同一部法律同时约束政府机构和商业机构。美国的立法方式是按各行业领域分别立法，而加拿大则是按政府机构和商业机构分别立法。美国早在 1995 年就提出了个人信息保护的原则，并公布了《个人隐私和国家信息基础设施：个人信息的使用和提供原则》报告，提出了有关个人信息收集、加工、处理、再利用的基本原则。

　　美国除了针对政府机构所制定的《隐私权法》以外，还制定了《公正信用报告法》、《金融服务现代化法》、《医疗保险实施和说明责任法》等大量规范不同领域的法律。而加拿大的现行法律则是针对政府机构的《2002 年透明性和政府公开信息联邦法》和针对商业机构的《2000年个人信息保护和电子文件法》。

　　（一）美国

　　美国没有像欧盟那样制定一部统一的法律，将所有政府机构和商业机构全部用一部法律加以规制。在十分强调和突出人的权利和"隐私权"的美国，有关专家认为，对信息安全的保护将直接关系到美国的价值观和整个社会的稳定。

　　美国通过立法加强对公民隐私权的保护，但由于明确界定个人信息保护对象范围存在相当大的困难，故美国的做法是结合不同行业的特点制定了大量部门特别法。

　　不同于欧盟各国设立的独立委员会或第三方机构，美国设立联邦交易委员会并由其承担隐私权保护之职责。联邦交易委员会的负责人由美国总统任命，由议会批准的，其成员的任期为 7 年，它的职权包括： 对企业个人信息保护实施情况的监督、对金融机构的个人信息保护状况的监督等。联邦交易委员会目前的工作重点在于：

　　有关数据安全的计划实施、智能手机、间谍软件、儿童隐私权保护，等等。美国各州也积极开展个人信息保护方面的法律制定工作，目前 26 个州都有相关立法，各州法律都规定：储存、管理个人数据的单位一旦确认发生数据库被破坏或非法侵入、数据丢失等情况，必须立即通知个人数据主体。

　　（二）加拿大

　　加拿大 2000 年制定的《个人信息保护和电子文件法》是依据 OECD 八原则制定的个人信息保护基本原则，其特点是：参考了加拿大规格协会制订的标准，内容包括：责任、特定目的、通知和同意、个人信息收集的限制、利用·公开·保存期限的限制、正确性、安全管理措施、信息公开、信息主体的查阅权、争议处理。为了确保法律的实施，加拿大设立了隐私委员会作为独立的第三方机构，其主要权限是：处理投诉、交付法院处理、守法情况的监督检查、就隐私权相关问题向议会提交分析报告和建议书、促进社会各界对隐私权保护的正确认识和理解、跨境数据保护问题的国际合作，等等。

　　三、中南美洲

　　（一）阿根廷

　　阿根廷在 1994 年修改宪法后，对个人信息的保护进一步加强了。宪法第 43条规定："任何公民都有权查阅与自身有关的所有个人数据信息，无论该信息存在于数据库中还是由公共或商业机构管理，如果行使该项权利被拒绝的，可以起诉。

　　经查阅的个人数据如果发生错误记载的，可以提出删除、修改更正等各项权利，但新闻报道除外。" 此后，2000 年制定的《个人数据保护法》更是规定了可以迅速获得司法救济的简易程序。为配合法律的实施，该国设立了数据保护机构，该机构有调查和处罚的权利，罚款数额 1,000 到 10 万比索不等。

　　（二）智利

　　该国于 1999 年 10 月 28 日制定了拉丁美洲的第一部个人信息保护法是 1999年的《私生活保护法律》，同时调整政府机构和商业机构，且对手工处理的个人信息和电子方式处理的电子信息均适用。该法明确了信息主体具有查阅权、更新修正权和要求公力救济的权利。如果行使权利时遭到拒绝，还可以要求赔偿和请求对方支付罚金。该法还对金融、商业、银行及政府机关信息的利用作了特别规定。

　　但由于智利没有设立专门负责个人数据保护的独立的第三方监督机构。

　　四、亚洲

　　（一）日本

　　日本的个人信息保护立法外形类似欧盟的立法模式，实质上采纳了许多美国的做法。现行的个人信息保护法制包括：《个人信息保护法》、《关于保护行政机关所持有之个人信息的法律》、《关于保护独立行政法人等所持有之个人信息的法律》、《信息公开与个人信息保护审查会设置法》、《对<关于保护行政机关所持有之个人信息的法律>》等的实施所涉及的相关法律进行完善等五部法律，（通称"个人信息保护五联法"），不仅针对公共部门和非公共部门规定了个人信息保护的基本事项，还规定了适用于公共部门和行使行政职权的特殊法人的相关规则，同时对非公共部门，仍主张应尽可能针对其具体情况制定特别法或者加强其自律。

　　除了国家制定法律，地方政府另行制定的《个人信息保护条例》的数量达到 1,800 多部。为确保法律的顺利实施，日本政府有针对性地制定各种"指导方针",以便于法律的落实。商业机构通过行业自律来实现个人信息保护，离不开个人信息管理系统体系的实施、维护以及持续的改善活动。为此，日本还在全国建立了作为个人信息保护民间认证制度的 JIS Q 15001 认证（即《关于个人信息保护管理体制要求事项》），并引入第三方认证制度。这些制度旨在给予那些对个人信息保护良好的企业一个外在的评价标准，获得上述安全认证的企业可据此提升自身形象和商业信誉，对企业今后的发展非常有利，因此受到企业的重视。

　　然而，尽管日本举国付出大量人力物力投入个人信息保护，但至今仍然无法达到欧盟"充分的"保护标准,导致日本企业在欧洲无论是开展并购还是开拓市场都无一例外地遭遇"个人信息保护"这一"非关税壁垒".

　　（二）韩国

　　韩国没有对个人信息保护采取统一立法方式，但针对政府部门，已经制定了《政府机构个人信息保护法》，此外还制定了一些单项法律。《政府机构个人信息保护法》规定政府行政机构收集处理个人信息必须遵循 OECD 八原则。1999 年，针对商业部门制定了《网络利用和数据保护促进法》，该法适用于网络服务提供者、在线服务提供者以及其他利用网络从事经营的业者，其他企业不适用。该法实施后，由于韩国国内发生了多起与网络环境下个人信息泄露有关的严重事件，该法内容被修订，修正案规定："利用网络实施侵犯名誉权和私生活的行为的，被侵权人有权通知网络服务提供者采取删除措施，网络服务提供者接到通知后未及时采取必要措施的，被侵权人可以要求 3,000 万韩元以下的罚款。".为了法律的实施，韩国设立了监督机构，负责政府部门的相关机构为"行政安全部",负责商业部门的相关机构为"信息保护振兴院".李明博总统执政期间，将两者合并，统一由"行政安全部"负责个人信息保护工作的监督。

　　五、澳洲

　　澳大利亚和新西兰这两个主要国家，均已对个人信息保护采取统一立法。澳大利亚在 1988 年制定了以政府机关为调整对象的《隐私权法》，在 1990 年又将该法令的适用范围扩大到一部分商业机构，但是年营业额小于 300 万澳元的小规模企业的受雇员工、已离职员工的个人信息不受保护。澳大利亚为实施这部法律，设立了独立的第三方机构，该机构的负责人由联邦总督任命，最长任期 7 年。