國外網絡隱私權保護制度評析

摘 要：世界上主要的國際組織先后通過國際公約、隱私保護與個人數據跨界流通指南、隱私保護框架等文件對網絡隱私權予以了確認和保護。以歐盟和美國等為代表的互聯網發達地區和國家，也先后制定了一系列保護隱私數據信息的法律規范，為網絡隱私權的保護提供了充分的法律依據，產生產生了積極的效果。美國和歐盟由于法律傳統存在差異，在網絡隱私權保護方面也呈現出不同的特點。歐盟采取的是成員國國內統一立法、歐盟統一保護規則，各國實行統一監管機構監管的模式。美國則以行業自律為主、法律調整為輔，沒有統一的保護網絡隱私權的法律，而實施各個行業有針對性的隱私權保護規范，由不同職能部門分別監管。國外網絡隱私權保護的經驗可以作為中國建立網絡隱私權保護框架的重要參考。

關鍵詞：網絡隱私權；個人信息；個人數據

中圖分類號：DF4 文獻標志碼：A 文章編號：1673-291X（2013）29-0267-03

一、國外網絡隱私權保護制度概況

互聯網的廣泛應用成為推動社會進步的重要力量，但同時也增加了大量網絡侵權案件，其中用戶網絡隱私侵權現象已經愈演愈烈，成為被世界各國普遍關注的熱點問題。主要國際組織和國家等都紛紛制定了保護網絡隱私權的相應制度。由于網絡隱私權主要是被網上個人信息或個人數據所承載，因此，國際組織和世界各國通常是將網絡隱私權的保護置于個人信息或數據的保護范圍之內。歐盟及其成員國主要采取統一立法的方式來進行規制。歐盟制定了《個人數據保護指令》和《電子通信資料保護指令》，作為成員國制定相關立法的指南；其成員國多數也制定了適用于本國的統一立法。經濟合作與發展組織（OECD）頒行了《隱私保護與個人數據跨境流通指南》和《電子商務消費者保護指導原則》。亞太經和組織（APEC）在1985年和1995年分別通過了《過境數據流宣言》和《APEC信息基礎設施漢城宣言》，2004年又通過了《APEC隱私框架》，即所謂的CBPR規則體系。

美國早在1974年就頒布了《隱私權法》，而如今作為世界上網絡技術最發達的國家，其頒行了眾多的涉及網絡隱私權保護的法律和政策，典型的如《電子隱私通訊法》、《兒童在線隱私保護法》、《全球電子商務框架報告》、《個人隱私權與國家信息基礎設施》白皮書、《網絡空間可信身份標識國家戰略》、《網絡世界中消費者數據隱私：全球數字經濟中保護隱私及促進創新的框架》等等，此外還包括一系列相關條例，如《信息自由法》、《金融隱私權法案》、《美國金融改革法》、《有線通訊隱私權法案》、《電視隱私保護法案》、《電話用戶保護法案》等[1]。德國則制定有《聯邦個人數據保護法》，作為德國聯邦法院實現個人信息保護功能的基本成文法[2]。其他一些國家，如英國、法國、意大利、俄羅斯、澳大利亞、加拿大、日本、韓國等也都制定了專門的可以適用于網絡隱私權保護的個人信息或個人數據保護法。中國的臺灣省和香港地區也制定有專門的法律對用戶的網絡隱私予以保護。

盡管世界各國為保護網絡隱私權普遍制定了專門法律，但在權利保護的具體實踐方面并不一致。通過比較研究，我們發現，在立法內容方面各國顯示出一定的趨同性，這反映了國際社會在網絡隱私權保護方面的共識；而同時在實現網絡隱私權保護的具體方式上卻出現了較為明顯的差異，尤其是歐盟嚴格的網絡隱私保護模式與美國較為松散的保護方式形成了鮮明對比。這種差異主要源自各國社會發展狀況和立法傳統的不同。我們認為，世界各國和地區在網絡隱私權保護的方式和水平上存在不同是很正常的，重要的是各國已經越來越重視這個問題，并且已經取得了一定的探索經驗，可供我國借鑒。下面我們將對世界各國網絡隱私權保護的總體情況進行分析評價，從而發現其總的發展趨勢。

二、國外網絡隱私權保護的共性

網絡隱私權作為世界各國國內立法和國際合作中保護的重點內容之一已經成為了共識。以歐盟和美國為代表的主要地區和國家在保護網絡隱私權方面具有如下共同點。

（一）重視網絡隱私權的保護，制定大量的專門立法

截止到今天，歐盟、經合組織、亞太經合組織等的成員國多數都制定了本國的信息保護法。根據立法保護的客體范圍不同，有的國家使用的是“數據保護法”，如德國、法國、芬蘭等；有的國家采用的是“信息保護法”這樣的措辭，如日本和韓國。這些國家使用的名稱雖然不同，但其核心實質具有同一性，都是對信息或者表現為數據形態的信息進行立法保護。使用“數據保護”這種說法的以歐洲國家為主，以美國為代表的一些國家還直接使用了“隱私權保護”這樣的立法稱謂，除美國外還有澳大利亞、加拿大、新西蘭等。作為亞太經合組織成員國的俄羅斯，其互聯網發展與中國具有相似的特點，都是起步于20世紀90年代初期，但俄羅斯在信息立法方面卻遠遠走在了中國的前面。1995年俄羅斯就頒行了《俄羅斯聯邦信息、信息化與信息保護法》，后于2006年重新修訂頒行，名稱改為《俄羅斯聯邦信息、信息技術與信息保護法》。總之，目前世界上多數大力發展互聯網的國家，其中也包括很多互聯網發展不如中國的國家，已經制定了專門的信息保護法，運用獨立的部門法調整隱私信息保護的法律關系成為了世界各國的共識。

（二）注重對商務活動領域中個人隱私數據的保護

互聯網的發展為經濟貿易的發展提供了無與倫比的便捷條件，尤其是對推動跨國貿易、跨境交易意義重大，電子商務就是在這樣的背景下得到迅速發展的。電子商務企業在業務往來過程中會獲取大量的用戶信息，其中既包括個人用戶的信息，也包括其他企業法人的信息，這些信息蘊涵著巨大的商業價值。此外，從整個電商行業掌控的個人信息（含法人）角度來看，這些信息還具有巨大的國家戰略價值。電商行業與其關聯組織，如其他企業、物流公司、金融機構、保險公司等通常存在復雜的關系，很可能需要共享這些信息，并由此帶來信息安全問題。世界各國，尤其是國際組織都非常重視電子商務環境下個人信息和隱私數據保護問題。經合組織曾批準通過《電子商務消費者保護指導原則》，目的是在于確保消費者網上購物時也可獲得不亞于直接由本地商家或郵購購物水平的隱私安全保障。亞太經合組織制定的隱私保護規則更是主要針對電子商務領域個人信息和隱私數據的保護。美國克林頓政府于1997年批準了《全球電子商務框架報告》，該報告并不具有法律效力，但卻反映出美國在電商領域強化保護個人信息和隱私的政策導向。

（三）注重對個人數據信息利用行為的規范

國際組織在制定跨境數據流動的規則中，非常重視對數據控制者轉移數據的限制，因為數據的再次轉移很容易造成信息泄漏，給權利人帶來損害。但國際組織也注意到，數據的價值在很大程度上是依靠其有效流動來實現的，因此在對數據流動限制的同時還要保證其流動的自由。這就是說，對數據流動的限制應該保持在極其必要的范圍內。歐盟的《個人數據保護指令》中對數據進行了分類處理，其中所謂的敏感信息原則上是禁止處理的，而為履行公共事務或行使公共權力的數據管理人和第三方則有權披露數據信息，基于數據管理人和接受數據的第三方的合法利益的目的也可以披露數據，但這種利益不能超出數據主體的利益、自由和基本權利。亞太經合組織的CBPR框架也對信息的合理使用設定了基本方向，信息的實際控制者在使用個人信息，包括個人信息的轉移或披露時，應該考慮信息的性質、收集的背景和信息的預期用途。確定信息使用的目的是否和所陳述的目的相符合，或者是否來源于原來的目的，亦即原來目的的合理延伸。可見，雖然CBPR沒有指明哪些信息屬于敏感信息，但卻明確要求成員國在處理信息時應考慮信息的性質，這無疑是對信息分類的要求。由于CBPR屬于建議性質，這種分類目前只能在各個成員國的國內立法中予以體現。

對個人數據信息的利用還涉及到二次利用的問題。二次利用也稱加值利用，是指超出收集個人信息的特定目的的使用。個人信息收集的目的在于個人信息的利用，通常包括按照個人信息收集目的的使用，也包括更為復雜的二次利用。原則上，二次利用是不被法律禁止的，但需要符合正當的使用觀念。歐盟對個人信息的二次利用持保守態度。它認為，個人數據權是一項基本人權，因此，二次利用應當嚴格受限。歐盟《個人數據保護指令》第6條規定，個人數據僅能用于個人同意的目的，或者當事人在個人數據被收集的時候知道或者應當知道的使用目的。據此可知，歐盟反對沒有合法根據的個人數據二次利用。與之相反，美國并不是將個人信息權或隱私權作為基本人權看待，其個人信息立法的目的主要在于防止個人信息濫用。因此，個人數據的二次利用在美國原則上是得到允許的，這是美國社會對個人信息資源開發和利用的基本態度。根據美國憲法關于隱私的保護規定，既然個人信息是信息主體主動自愿提供的，它就喪失了隱私期待利益，因而不受美國憲法的保護。當然，美國法也要求對敏感個人信息進行二次利用之時，必須獲得信息主體書面許可。這體現了對敏感個人信息（如關于兒童的個人信息和治療吸毒、酗酒的醫療信息）的特別保護，屬于個人信息保護的特例。可見，在敏感信息的二次利用方面，總的原則是趨于限制的。

（四）注重特殊群體的網絡隱私權保護

在世界各國普遍重視保護網絡用戶個人信息和隱私數據的同時，一些國家開始越來越重視特殊人群的隱私保護問題。這里所謂的特殊人群，就是指兒童、消費者、雇員和患者等特定人群。這些特殊群體有的是自我保護能力較弱，如未成年的兒童、青少年等；有的是處于特殊的消費領域，如某個行業的消費群體、銀行儲戶、醫療機構的病患等。另外，還有出于工作需要而被掌握個人信息的群體，主要是各行業中的雇員職員等工作人員。個人信息和隱私數據保護水平的逐漸提高，將會出現保護客體的分層化，如出現一般信息和敏感信息的區別對待規則，對特殊群體保護的獨立性也是個人信息保護水平提高的標志之一。以保護兒童隱私權為例，《聯合國兒童權利公約》明確規定了兒童的隱私、家庭、住宅或通信不受任意或非法干涉，其榮譽和名譽不受非法攻擊。美國不僅制定有《隱私權法》，還專門制定了《兒童在線隱私保護法》。該法要求，網絡從業者要確實告知其網站上的隱私權政策，并且在搜集13歲以下兒童個人信息前，必須首先獲得家長的同意。歐盟從保護未成年人利益的角度出發，對互聯網內容分級管理，采取多種方式避免青少年受到來自互聯網的傷害。2008年，歐洲議會批準通過了歐盟委員會的第三個網絡安全計劃，旨在2009年至2013年間加大力度，打造有利于未成年人的安全網絡環境。總之，世界各國與國際組織在個人信息與隱私數據保護方面呈現出進一步細化的趨勢，這也是保護水平提高的表現。

三、立法模式與監管方式的分野

（一）統一立法與分散立法

在個人信息與隱私數據保護方面，世界各國的立法模式主要有統一立法和分散立法兩大類。所謂統一立法，就是指在國內制定專門統一的調整信息保護或隱私保護法律關系的法典。這一類的國家屬于多數，幾乎大多數歐盟成員國以及其他一些國家都采用了這種立法模式。歐盟組織雖然曾經大力倡導這種立法模式，但大多數國家采取這種模式主要是因為與各自的國內法律體系相吻合。采取統一立法模式的主要優點有：個人信息和隱私數據的保護在國家內部得到明確化，以法律的形式把個人信息權利確定下來，從而有利于對公民個人信息權利加以保護；統一立法模式還有利于建立保護個人信息和隱私的統一標準，避免了分散立法以及自律規范標準混亂的問題；統一的立法是由權威的立法機關經過嚴格的法定程序產生的，是經過專家論證和廣泛的社會征集意見，因此更為科學，更容易被公眾所遵行。分散立法的典型國家是美國，美國個人信息保護立法旨在強調信息的隱私性保護，采取公、私有別的分散式立法模式，形成個人信息保護的多元格局。在美國，個人信息保護法律規制的最大特點是多樣性，議會以立法的形式明確個人信息保護的基本準則與理念；不同行政部門在執行個人信息保護法律的過程中以制定行政規則或決定等方式解釋法律所規定的準則；法院則通過個案以判例的形式拓展個人信息保護的領域與力度。美國聯邦層面涉及個人信息保護的法律近40部。美國2012年出臺《網絡隱私保護框架》，旨在推動聯邦立法，并進而制定具有強制力的實施細則，最低限度也要成為美國聯邦貿易委員會強制執行的行為準則[3]。不同的立法模式反映出不同的價值理念和法律文化背景。大陸法系國家注重權利本身的保護，習慣采取集中管理的方式，成文法的背景致使其一般采取統一立法的模式，而美國則更加看重自由價值，在遵從一般性原則的前提下，多采取體現各個領域意志的管理規范。

（二）統一監管與分散監管

世界各國在對個人信息和隱私數據保護監管方面的做法不一，但基本上呈現兩大類型，一是統一的監管，一是分散監管。監管方式的不同是由立法模式不同所決定的。采取統一立法模式的國家和地區通常也采取統一的監管方式，而采取分散立法模式的國家則一般也會采取分散的監管方式。歐盟《數據保護指令》規定各國設立獨立的監管機構來建立控權機制，這些機構在行使授予它們的職權時應當完全獨立。除一些國家外，多數歐盟成員國都已經建立了統一的執行和法律架構，具有統一的國內數據保護法和獨立的專員辦公室。例如，德國的聯邦數據保護與信息自由專員就是德國個人信息保護與信息自由法律實施的監督機構。而由17名成員組成的國家信息與自由委員會則是法國監督《數據處理、數據文件及個人自由法》實施的獨立機構。與此不同，美國采取的是分散監管機制。美國將公共部門與私營機構收集、儲存和處理個人信息的行為分別置于不同的法律框架內調整，對隱私權的保護劃分為公、私兩個領域，分別采用不同的保護方式：在私人領域，主要通過從業者的自我約束和相關協會的監督管理來保護公民的個人隱私安全；在公共領域，則制定大量的單行法規來規范政府行為，保護公民隱私權。這樣的監管方式對不同領域的隱私權采用不同的保護方式，有效避免了國家立法對個人信息正常流動的過早干預，但在解決爭議方面缺乏有效的機制。

（三）法律規制與行業自律

目前，世界各國都開始重視行業組織在個人信息和隱私保護方面的積極作用，但行業自律的地位在各國并不相同。通常情況下，偏重于個人隱私權利保護的國家不如主張商業充分發展、公民自由權利至上的國家重視行業自律。這也就是行業自律機制在美國較之歐洲得到更加廣泛應用的原因。歐盟成員國并非均排斥行業自律機制，而是在個人信息和隱私保護方面更多地是依靠立法，行業自律只是輔助性手段。而在美國，行業自律成為了調整個人信息保護的主要手段，國家只有在極其必要的情況下才會介入到個人信息與隱私保護中來，這是美國倡導市場自由發展理念的結果之一。美國目前主要的行業自律模式包括建議性的行業指引、網絡隱私認證機制和技術保護模式[4]。法律規制與行業自律調整關系的分野是各個國家各個地區法律傳統和社會歷史背景不同造成的，但現在逐漸出現了融合的趨勢，偏重一方容易導致保護的不平衡。如注重法律規制，容易產生調整不及時不靈活的問題，而側重行業自律機制的，則很容易出現執行與救濟無力，對權利主體實質上保護效果不佳。

綜上所述，我國應借鑒世界各國的先進經驗，根據自身特點，既要充分保證數據流動的自由性與市場的活躍，也要保證權利主體的信息安全，盡可能發揮立法與行業組織的各自優勢，綜合調整好隱私保護的法律關系。筆者較為傾向于以歐盟的調整方式為范本。同時認為，應積極發揮行業自律的規范作用，因為即使制定了有關的信息保護法律，行業自律仍不會因而失去其存在的價值和意義，應將其與相關的立法緊密結合，共同發揮規范網絡行為的作用。

參考文獻：

[1] 華劼.網絡時代的隱私權——兼論美國和歐盟網絡隱私權保護規則及其對我國的啟示[J].河北法學，2008，（6）：9.

[2] 賀栩栩.比較法上的個人數據信息自決權[J].比較法研究，2013，（2）：65.

[3] 王忠.美國網絡隱私保護框架的啟示[J].中國科學基金，2013，（2）：100.

[4] 徐瑾.美國網絡隱私權法律保護[J].現代情報，2005，（6）：223.

[責任編輯 杜 娟]