個人信息保護模式的國際借鑒和建議

摘要：在網絡化、全球化的信息時代， 信息傳播更為便捷、廣泛，更具不可控性，個人人格權的保護益發重要。研究個人信息保護的基本理論和相關問題，對于構建我國個人信息保護制度，完善我國個人信息立法都具有極其重要的意義。本文借鑒國外主要發達國家的個人信息保護模式，進一步剖析國內個人信息保護現狀和問題，進而對我國個人信息保護提出相關建議。

關鍵詞：個人信息；保護模式；現狀；建議

一、國外個人信息保護和保護模式簡介

（一）國外個人信息保護簡介

在國外發達國家，個人信息一直受到法律的高度保護。如1974年美國頒布《隱私權法》，德國1976年頒布《聯邦資料保護法》，1984年英國制訂《數據保護法》，1995年歐盟制訂了《關于個人信息運行和自由流動的保護指令》，1998年美國與歐盟簽訂了“安全港”協定（safe harbor），等等。

侵犯個人信息保護法律的個人和單位，在國外都受到嚴厲的制裁。在強有力的法律手段保護下，任何單位和個人都不敢輕易碰觸法律這個高壓線。對單位來說，凡是違反此類法律的，其賠償金額是極為驚人的。2007年在美國TJX零售公司發生的4500多萬客戶的信息卡及保密資料丟失，導致其客戶和銀行業對其提起訴訟，最終TJX公司需要向客戶賠付101億美元，并承受嚴重的企業聲譽損失。國外個人信用體系的完備，也是防止個人從內部泄密的主要原因。在美國敢于從內部泄密獲利者，其下場是非常明顯的，很可能終身失業。國外法律環境的完善，比較有效地震懾內部有意泄密者，所以在國外內部有意泄密者較少。據此，國外關于個人信息保護的產品設計理念，立足在防止外部入侵和內部無意的泄密。

（二）國外個人信息保護模式

1美國模式：行業自律

美國是行業自律模式的倡導者，它采取政府引導下的行業自律，規范行業內個人信息處理行為，同時通過分散立法，輔助行業自律的實施。為了鼓勵、促進信息產業的發展，對網絡服務商采取比較寬松的政策，通過商業機構的自我規范、自我約束和行業協會的監督，實現個人信息的安全，并在隱私保護和促進信息產業發展之間尋求平衡，以保證網絡秩序的安全、穩定。行業自律模式的肇始，是一種民間的、保護網絡隱私權的個人信息安全保護模式。通過行業內部的行為規則、規范、標準和行業協會的監督，實現行業內個人信息安全的自我規范、約束和完善。行業自律模式是在充分保證個人信息自由流動的基礎上，保護個人信息，從而保護行業利益。美國于1974年通過的《隱私權法》，可以視為美國保護隱私權的基本法，是美國行政法中保護個人隱私的重要法律。《隱私權法》對政府機構收集、使用、公開個人信息和個人信息保密制定了詳細的規范，明確“隱私權為聯邦憲法所保障的基本人權”。此外還有《信息保護和安全法》《防止身份盜用法》《網上隱私保護法》以及《消費者隱私保護法》等法律對個人信息予以保護。

2 歐盟模式：國家主導

歐盟保護模式是由國家主導的立法模式。國家通過立法確定保證個人信息安全的各項基本原則和具體的法律規定等。

與美國實行的行業自律模式不同，歐盟各國普遍認為，人格權是法律賦予自然人的基本權利，個人信息體現了自然人的人格利益，應當采取相應的法律手段加以保護。

歐盟制定了一系列嚴格、完善、規范的個人信息保護法律框架，包括《關于與個人數據處理相關的個人數據保護及此類數據自由流動的指令》即《個人數據保護指令》、《電子通訊數據保護指令》、《私有數據保密法》、《互聯網上個人隱私權保護的一般原則》、《關于互聯網上軟件、硬件進行的不可見的和自動化的個人數據處理的建議》、《信息公路上個人數據收集、處理過程中個人權利保護指南》、《關于與歐共體機構和組織的個人數據處理相關的個人數據保護及此類數據自由流動的規章》等一系列的相關法律、法規，提供清晰的、可遵循的保護個人數據安全的基本原則，規范個人數據收集、處理、利用的行為。

歐盟采用兩個層次的立法模式：歐盟統一立法和歐盟成員國國內立法。通過指令、原則、準則、指南等立法規制，歐盟要求各成員國建立統一的個人隱私保護法律、法規體系，保證個人數據在成員國之間自由流通，在歐盟各成員國內建立統一的個人數據安全法律體系。

3日本模式：政府立法和行業自律的有機結合

在現今日本相對完善的個人信息安全保障體系中，個人信息保護模式，參考了歐盟的立法模式，更多采納了美國的保護規制，通過政府立法和行業自律實現個人信息安全。

日本的個人信息保護源于電子政府推進過程。實施電子政府，建立政府信息公開機制，必然涉及個人信息的收集、存儲、處理和交換，因而存在潛在的侵害個人信息主體權益的風險。1988年，日本政府制定了《有關行政機關電子計算機自動化處理個人信息保護法》，并于1989年10月開始實施，主要規范國家行政機關利用計算機處理個人信息的行為。

在政府制定相關法令之前，日本地方公共團體已經認識到保護個人信息的必要性。自1975年日本東京都國立市制定第一個個人信息保護條例以來，許多地方公共團體相繼制定了涉及個人信息保護的相關規范。據日本總務省調查統計，截至2000年4月1日，共有1748個地方公共團體制定了相關個人信息保護條例；截至2003年，大多數地方政府均制定了《個人信息保護條例》。

日本在健全法律的同時，非常注重個人信息安全保護意識的提高。2005年4月，《個人信息保護法》正式實施。根據這一法律，日本國家行政機關、獨立行政法人和地方公共團體還制定了多項法律和條例，為個人信息保護中遇到的各種具體問題提供法律依據。此外，日本企業對于客戶信息管理方面非常嚴格，從公司發出的郵件，公司管理人員和監管部門都嚴格審閱。公司的手提電腦一般不允許帶出公司，因為一旦存有客戶信息的電腦丟失，媒體就會爭相報道，給公司帶來極其惡劣的影響。個人信息安全意識也滲透到日本人的生活中：例如日本人在邀請客人參加活動時，主辦方會隨信附上一張小紙板，并提醒收信人填寫完明信片后用紙板覆蓋，以此來保護客人的個人信息。

4德國模式：統一立法

德國采取統一立法模式對個人數據予以保護，個人數據保護法是比較有代表性的，以信息自決權為憲法基礎，以人格權為民法基礎，統一規范、保護所有個人數據。德國個人數據保護法規范了立法原則、監督機構、損害賠償等機制，已經成為個人數據保護的一種立法范本。

（三）企業也有保護個人信息的責任

美國規定，運營商可以通過遵循一系列由市場代表、產業界或者相關人士制定的，依附聯邦貿易委員會批準生效的自律性指導原則，來規避不當使用或者泄露兒童在線隱私信息所需要承擔的責任，聯邦貿易委員會鼓勵運營商行業自律。

二、國內個人信息保護現狀

（一）制度規章較為分散，法規整合有待加強

目前我國對個人信息保護的研究還處于起步階段，據統計，涉及個人信息保護方面的法律有將近40部，法規有30部，另外還有一些部門規章和一些地方法規。但是，這些散落各處的法律條文和異彩紛呈的規章，都難以撐起保護個人信息的大傘。針對個人信息保護的專門立法程序2003年已經開始啟動，2005年完成專家立法建議稿和立法研究報告，2008年《個人信息保護法》草案呈交國務院，但歷經多年，卻仍然難產。

（二）專業法規尚未出臺，局部性嘗試有待拓展

直到目前為止，我國還沒有制定專門的個人信息保護方面的法律。個人信息保護法律法規尚不健全，最近幾年才逐漸有部分地方和部分行業主管部門出臺了少量規章制度。1997年發布的《計算機信息網絡國際聯網安全保護管理辦法》和 1998 年發布的《計算機信息網絡國際聯網管理暫行規定實施辦法》規定了對部分網絡隱私權進行保護。2003年12月23日上海市通過了個人信用信息方面的地方性法規《上海市個人信用征信管理試行辦法》，對個人信用信息的采集、處理、提供等作了較為詳細的規定。大連軟件協會組織力量，專門成立了個人信息保護工作委員會，并于 2005 年制定了《個人信息保護規范》。實行一年以后，在 2007 年上升為遼寧省在軟件和信息服務業領域的地方標準，并于 2008 年 6 月，將此標準的適用范圍推廣至遼寧省的其他多個行業。2009 年 2 月 28 日 第十一屆全國人大常委會第七次會議通過的《中華人民共和國刑法修正案（七）》將出售或者非法提供公民個人信息的行為界定為犯罪行為。 （三）金融領域保護制度相對完善

人民銀行2005年通過了有關個人信用信息管理及保護的專門性部門規章《個人信用信息基礎數據庫管理暫行辦法》，為我國個人信息保護立法史上的一座里程碑，它開創了我國特殊領域的個人信息保護立法。2011年人民銀行在職權范圍內發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》，對個人金融信息進行了詳細明確的規定和保護。最近《征信業管理條例》獲國務院審核通過，我國征信業開展和個人信息保護將有章可循。

三、國內個人信息保護的建議

（一）出臺個人信息保護法，提升法律保護的效力

散落各處的部門法和低級別的規章制度難以適應現代網絡社會對個人信息保護的需要，國內需要盡快出臺一部統一的個人信息保護法律。就是用法律防范、制度防范來治理，從立法層面上制定個人信息保護的專門法律，明確各方的權利與義務關系，改變現有相關法律或規定過于原則、缺少統一主管的執行機構、因等級低而保護范圍狹窄等不足，形成系統性與規范性的法律或規定，并使之更具有操作性。

（二）建立適合自己的保護模式和制度

一是選擇適合我國國情的保護模式，比如采用統一立法與行業自律相結合的保護模式；二是確立我國對個人信息保護的基本原則，包括個人信息完整正確原則、公開原則、限制利用原則、信息主體參與原則、安全保障原則；三是明確個人信息保護的權利內容，主要包括信息決定權、信息保密權、信息查詢權、信息更正權、信息刪除權以及信息損害賠償請求權；四是完善相關法律責任，補充民事法律責任的相關內容；五是明確對個人信息保護的例外情形。

（三）加大打擊力度，對侵犯個人信息的行為追究刑事責任

一是完善現有的或增加專門個人信息保護罪名。例如，刑法修正案（七）所規制的侵犯個人信息行為，犯罪主體應擴大， 不局限在特定單位及其工作人員，信息來源也限定為因工作便利而獲得個人信息，范圍狹小，等等；再如，將經個人

信息主體提出異議后，有關機構及工作人員拒絕更正錯誤、虛假個人信息；篡改、損毀個人信息，個人信息騷擾行為，等等，納入刑法規制的范圍。

二是完善并增加專門罪名規制侵犯個人信息行為。個人信息有其特性，且在市民社會經濟往來中發揮重要作用，有必要增設專門罪名規制。例如非法設立征信機構罪。

（四）完善個人信息保護制度建設

個人信息保護監管機構、金融機構、征信機構等要把內部制度的完善、嚴格遵守放到重要位置，并時刻警醒自身從業人員增強個人信息保護的意識。即對一經發現并查實的違法收集、運用個人信息行為，要從快從嚴依法進行懲罰，如泄露消費者個人信息隱私權的舉證責任，由收集個人信息的部門、機構或經營者承擔。

（五）加強監管，堵塞泄露個人信息途徑

規范信息獲取和提供渠道，法律必須作出明確的規定，什么樣的部門、什么類型的機構或企業，在提供什么樣的服務或商品的前提下，才有資格獲取消費者個人信息。如果有部門、機構或企業因私利而違法或有私自要求、私下收集個人信息行為的，公民有權拒絕并可以直接向“公示”的部門舉報。監管部門則要建立“檢查”與“發現”機制，接到舉報后，要及時進行掌控，即多“在位、到位、有作為”而不“缺位、失位、不作為”，同時可以通過部門、機構或經營者的信用承諾、守信考核和社會公示等方式，告誡公民提高維護自己個人信息的自覺意識和能力。

參考文獻：

[1]吳漢東論信用權[J]法學，2001（1）：41-44

[2]齊愛民拯救信息社會中的人格—個人信息保護法總論[M]北京：北京大學出版社，2009：95-139

[3]劉德良 個人信息法律保護及我國個人信息保護法立法

[4]我國個人信息保護現狀簡要分析 20100124