國外對公民個人信息的法律保護及對我國的啟示

劉國華 張力之 羅欣

摘要：在“互聯網+大數據”時代下，每位公民的個人信息都可以成為數據，甚至通過被收集、分析、儲存等方式在網絡上構建，這無疑體現了“科學技術是一把雙刃劍”的影響，即它對于社會來說是一項巨大的技術式和概念式飛躍，但是在社會矛盾運動中仍然存在著一定負面影響，即缺乏與經濟基礎相配套的上層建筑——法律法規。而這種情形對信息主體——公民來說，則是一場曠日持久的戰爭。通過介紹美國、新加坡、德國、日本以及歐洲聯盟地區等對信息主體的法律保護，分析和對比上述國家或地區對公民個人信息保護的法律規范，并以此為由，期冀能對健全或完善我國公民個人信息的相關法律保護體系有一定的裨益。

關鍵詞：公民個人信息;法律保護;權利;責任

Abstract： In the era of “Internet and data”， each citizen personal information can be data， or even by collection， analysis， storage and other ways to build on the Internet， it embodies the “science and technology is a double-edged sword，” the positive effect， for society that it is a huge technical and conceptual leap， but in the movement of social contradictions still exist some negative effects， namely technology matching with the lack of laws and regulations.In this case， for the data subject-citizens， it is a protracted war. This paper introduces the common law countries （the United States， Singapore）， the mainland legal system countries （Germany， Japan）， the legal protection of citizens personal information such as the region， through analysis and contrast the country or region to citizens personal information protection laws， and， for the reason of the hopes to improve and perfect our country citizens personal information related to legal protection system has certain benefits.

Keywords： Citizens Personal Information; Legal Protection; Rights; Responsibilities

一、國外對公民個人信息的法律保護

最早對公民個人信息進行法律保護的國家是美國，1971年4月通過《公平信用報告法》，它是關于公民個人信息法律保護的最早淵源。而在國際上，最新關于公民個人信息的法律保護為歐洲聯盟于2018年5月25日出臺的《通用數據保護條例》。

（一）美國對公民個人信息的法律保護

在以“民主”著稱的國家——美國，公民個人信息保護的核心是——個人隱私權，它在法律上擁有神圣不可侵犯的重要地位。美國聯邦法院通過對憲法和有關判例進行解讀、總結，并對個人隱私權進行了補充和完善，使相關個人信息法律保護內容納入了個人隱私權保護范圍的法制軌道之中，從而使個人隱私權成為美國憲法所確認的基本權利;1974年12月31日，美國通過《隱私權法》（Privacy Act）規定了侵犯公民個人隱私或信息的犯罪行為將受到法律規制，它被視作為公民個人信息法律保護中的基本法，并將公民個人信息或公民個人隱私的基本內核理解為個人主義。托克維爾認為：“個人主義使每個公民同其他同胞大眾隔離，同親屬和朋友疏遠。”這種個人隱私權通過保護兩個或多個個人之間的關系，以確保公民個人可以有不被別人窺探的私人空間?！皞€人隱私權的內核是公民個人享有的自主?！币虼?，作為個人基本權利的個人隱私權被納入了美國公民個人信息的法律保護體系。據此，在Commonwealth of Kentucky v.Jeffrey wasson 案中，法院認為的隱私權是：“一旦超出對社會的直接保護所要求的任何范圍，自由政府就無權去侵犯公民絕對權利的尊嚴?！币蚨绹珯嗔C關不可以隨意侵犯個人隱私的范疇。隨著社會的不斷發展，《隱私權法》并不能對方方面面的公民個人信息提供保護，因此美國關于侵犯公民個人信息的立法在公私兩大領域中，分別采取了分散立法模式和行業自控模式。即美國形成了以《隱私權法》《金融服務現代化法》《消費者信息隱私權法案》《兒童網上隱私保護法》《社會安全號碼保護法》等一系列法律為基礎的立法保護模式。

在美國，公民個人信息法律保護以判例法為主要表現形式，而刑法規制的內容散落于諸法案或法規，即侵犯公民個人信息的犯罪行為主要依賴于各個部門法律規定的制裁。在美國，對有侵犯公民個人信息的犯罪行為，一般處罰一年以下的自由刑，并輔以罰金。此種立法模式存在諸多缺陷，一是法律較為散亂，甚至會有一些沖突，二是不同法律之間的規定也有不同，從而造成司法資源浪費的現象。

（二）新加坡對公民個人信息的法律保護

新加坡關于公民個人信息的法律保護最早規定在2001年通過的《行業內容操作守則》，該守則規定了信息控制者和信息管理者必須尊重公民個人隱私權，它屬于行業自律規范的一種。2007年，新加坡通過《垃圾郵件控制法案》，該法案規定，對違反該規定發送垃圾電子郵件的信息控制者或信息處理者，信息權利主體可以請求其賠償經濟損失。2013年1月《個人信息保護法》在新加坡正式生效。該法案主要涵蓋兩方面：一是保護公民個人信息不被濫用;二是拒絕行業銷售來電和信息。它的主要內容是：信息控制者和信息處理者在收集或者使用公民個人信息時，必須獲得信息權利主體的允許，同時需要向信息權利主體解釋收集或使用其個人信息的具體原因。2014年7月2日，新加坡通過《個人資料保護法令》（簡稱PDPA），它作為新加坡最新制定的公民個人信息或資料保護法，包含對公民個人信息進行收集、使用、披露和保管等各項行為的管理規定。它認為，公民個人擁有保護其個人信息或資料的各項權利，主要包括獲得權和修改權，同時也認同了某些機構基于某種合法合理目的而收集、利用或披露個人信息或資料的需要。

該《法令》規定，凡是擅自收集、使用或披露他人身份證號碼，或拷貝他人身份證復印件等，將成為違法行為。同時對沒有保護好公民個人信息或資料的企業，將進行最高100萬元罰款;在沒有政府指示的情況下隨意訪問或披露公民個人信息，將判處高達 5000 新元的罰款或最高兩年的監禁。

（三）德國對公民個人信息的法律保護

德國采用了思想家康德的“人格尊嚴”視角來看待公民個人信息法律保護問題，將公民個人信息劃歸于人格權的基本權利范疇之中，并通過德國聯邦法院的人口普查案件，在實踐中確認了公民個人信息的憲法權利地位?？档碌摹叭烁褡饑馈备拍畋憩F為，每一個公民人格中的人性是有別于他人人格中的人性，即它可以作為目的使用，而不是僅僅作為手段使用?！痹?969年德國關于人口調查的第一案中，聯邦憲法法院認為，每個人在自己的社交范圍中獲得認同與尊重是自己的權利。在聯邦人口調查第二案中，法院判決為增強時代的適應性對個人信息進行了改進，由此，聯邦法院決定將自我決定的意識賦予其一般人格權。最終，1970年在德國黑森林地區，德國歷史上第一部，關于公民個人信息法律保護的專門立法——《信息保護法》誕生。1978年1月，德國最重要的公民個人信息保護法律《聯邦數據保護法》正式生效。對比美國來說，德國關于公民個人信息的法律保護是比較完善的，因其涉獵范圍及廣，涵蓋生活范圍全面，從而具有精特性。

德國《聯邦數據保護法》第43條用概括式和列舉式對侵犯公民個人信息的違法犯罪行為進行了詳細說明;第44條則對上述條款的違法行為確定了規制：為某一信息主體謀取各種非法利益，而故意地侵害其他信息主體的合法利益，應當判處2年以下的有期徒刑，或者判處罰金。后來，在德國修訂的《刑法典》中單獨設置了一章，即15章規定了私人生活和秘密領域的侵害，此章節對侵害言論、通信、他人隱私等秘密及利用他人秘密等具體行為分別總結在第201-205條之中。這些法律規定不僅對公民個人信息的刑法保護詳細地規定在法條中，也強調了私人生活的重要性。

（四）日本對公民個人信息的法律保護

日本是一個信息化程度非常高的國家，公民個人信息通常被稱之為“個人情報”。日本通過借鑒英美法系和大陸法系的相關法律法規，在公民個人信息立法進程中，形成了獨樹一幟的法律保護制度。日本相關法律法規起初是與政府推行的電子化活動息息相關，并在1988年12月通過《對行政機關持有計算機處理個人信息的法律》，此法規范了行政機關利用電子政務處理公民個人信息，管理國家政務的行為。2000年2月13日，通過《反黑客法》主要目的是為了保護公民個人信息能夠安全與自由地傳送，并以列舉的方式規定了侵犯公民個人信息的各類網絡違法犯罪行為。2003年3月7日，日本通過《個人信息保護法》，主要對公民個人信息的法律保護做出了詳細的規定，并對侵犯公民個人信息的違法犯罪手段和行為方式進行了細化的說明。它的立法目的主要是保障公民個人信息的安全以及有效利用，從而使公民個人信息免受第三方信息處理者或控制者的侵害。另外，關于公民個人信息法律保護也散見于專門性立法的規定中，比如《戶籍法》《電信事業法》等相關規定。

《日本刑法典》對公民個人信息的法律保護做出了詳細規定，如133條關于開拆書信罪，違反該罪將處一年以下或者二十萬日元以下罰金;134條關于泄露秘密罪則規定了特殊主體違反其職業道德泄露他人秘密的行為，將處六個月以下懲戒，或者十萬日元以下罰金;以及135條規定本罪屬于“不告不理罪”。

（五）歐盟對公民個人信息的法律保護

歐洲聯盟地區對公民個人信息的法律保護采取統一立法模式。1981年1月28日，通過《有關個人數據自動化處理之個人保護公約》，對解決公民個人信息問題有了初步的見解。之后，1997年9月15日通過《電信部門個人數據處理和隱私保護指令》、2002年7月12日通過專門保護電商交易中客戶隱私的《關于電子通信和隱私的保護指令》，以及2018年6月25日正式生效的《通用數據保護條例》等法律規范來看，逐漸形成了一個完整的關于保護公民個人信息的法律保護體系。

2016 年 4 月 27 日，歐洲聯盟地區通過了規范信息權利主體、信息處理者以及信息控制者的《通用數據保護條例》，并于 2018 年 6 月 25 日 正式生效。一方面，該《條例》的重要影響表現為對歐盟成員國和為其提供產品或服務的過程中涉及到關于歐盟境內個人信息的商業領域或其他重要領域，諸如 Google、Facebook 等大型跨境互聯網企業，將在該《條例》的指導下進行收集、處理公民個人信息，當違背該《條例》的規定時，這些大型跨境互聯網企業將可能面臨超高額罰款。此外，《條例》在公民個人信息法律保護領域內具有一定的創新，例如被遺忘權、數據攜帶權等，對現有公民個人信息保護法模式具有一定指導意義。

該《條例》的亮點之一在于“被遺忘權利”，又可被稱之為“刪除權”，它是指信息權利主體是否有權請求機構或企業刪除其個人信息的權利，它是公民享有的系列信息權利中的核心權利，因為它決定了機構或企業是否還可以繼續使用用戶信息。亮點之二是“數據可攜帶權利”，該權利是公民個人可以將其個人信息或資料，從一個信息服務者或信息控制者處無阻礙地轉移到另一個信息服務者或信息控制者處。主要包括兩個方面：一是副本獲取權利，二是信息轉移權利。它在增強公民個人信息控制力的同時，也保護了公民個人信息的合法權益。

《條例》第四章規定了信息控制者和處理者所應承擔的責任。其中第四章第一部分規定了上述兩個主體，對侵犯公民個人信息的犯罪行為所應承擔的一般責任。第二部分規定了上述兩個主體對公民個人信息安全所給予的法律保護應承擔的責任和應采取的措施。

《條例》通過對新型權利的介紹，極大地改變現有的法律框架，暗示了信息隱私保護的兩種框架即人格權保護與隱私權保護。它通過對公民個人信息主體權利的強化，加強了某些跨境企業與其他主體在收集與使用公民個人信息所產生的重要影響。

二、國外公民個人信息法律保護的比較分析

（一）法律價值取向存在差別

人們在創建、維護和促進個人信息保護的過程中，不同國家的法律文化產生了不同的個人信息價值觀念。美國、新加坡、德國、日本以及歐洲聯盟地區的法律文化所呈現的核心價值觀使其在公民個人信息法律保護中各有側重點。美國、新加坡等國家將公民個人信息劃歸為個人隱私權，其對個人隱私權的論述經過自主性、自我評價以及人際社會關系的保護來論述“個人的益處”，即被視為最重要的個人價值，此種情況下該隱私權將會侵害某種社會需求，引發社會不穩定發展。德國、日本以及歐洲聯盟等國家或地區將公民個人信息放在私領域和公共領域分界上，尋求一種私人利益和公共利益之間的動態平衡點。它認為，在私人領域或公共領域中的公民個人信息，其直接利益或間接利益都應該受到法律保護。

（二）公民個人信息法律保護的立法模式不同

1.美國是分散立法和行業自控的立法模式

以分散為模式的行業自律立法，主要指對公私兩個范疇的公民個人信息進行分別立法。一方面，公權力機關采取分散式立法模式，即通過制定單行法對不同領域的公民個人信息進行強而有力的保護。另一方面，私權利主體采取行業自控模式，即行業協會通過對某些行為進行規范或調整，從而保護公民個人信息?？偟膩碚f，該立法模式具有很大優越性，其針對不同領域或行為的特點，制定出更具有特色性和指向性的法律規定，從而對公民個人信息進行有效的保護。

2.德國是統一法律規制的立法模式

所謂“統一法律規制的立法模式”，即指國家對在公私兩大領域中的公民個人信息進行統一保護，從而制定專門法律法規進行規制。統一立法模式可以使公民個人信息權利成為一項具有絕對性的法律權利，這無疑是有利于公民權利的實現。同時，通過對公私領域采取標準化統一的方式，保證了法律的適用，避免了出現行業自律模式各行其是的弊端。

3.日本采取行業自控和統一法律規制的立法模式

該立法模式具有歐美國家的法律特色又充分彰顯自身特色，在公民個人信息保護與公民個人信息流動之間找到了平衡點，但其實質上吸收了美國對公民個人信息的保護內核——即尊重公民個人的隱私權。2003年3月7日通過的《個人信息保護法》，其表現為對本國行業自律特點地更加重視。該法使日本公民個人擁有了維護其個人信息的法律武器。

4.新加坡采取成文法與判例法相結合的立法模式

它以英國判例法為基礎，制定了專門保護公民個人信息的法律法規——《個人信息保護法》《個人資料保護法令》。以上述兩法為代表的一系列法律法規使新加坡迅速形成了公民個人信息法律保護的一整套運作體系，其亮點在于法律執行的程度及公眾投訴的便利。同時，《個人資料保護法令》與新加坡其他信息保護法律不存在沖突，原有的法律仍然有效。

5.歐盟采取統一的綜合立法模式

歐洲聯盟地區是采取歐洲聯盟地區成員國對公民個人信息制定的法律法規，并統一規范國家公權力機關以及信息權利主體收集、處理和利用公民個人信息的立法模式。歐洲聯盟地區以《通用數據保護條例》為代表的一系列指令構成，以保護公民個人的基本權利為理念，統一了此前歐洲聯盟地區關于公民個人信息的規制，且其效力具有強制性，并所有成員國具有直接的執行效力，不必轉化為他國國內法律法規。

（三）侵犯公民個人信息行為的法律救濟方式不同

美國、日本等國家對侵犯公民個人信息行為的法律救濟方式是自訴方式，采取此種方法，是因為侵犯公民個人信息行為通常由被害人較早發現，為了讓被害人能夠有效快速地保護自己的權利，或者能夠有效地將損失控制在最小范圍內，給被害人以更大的選擇余地來決定如何維護自己的權益。德國、新加坡以及歐洲聯盟等國家或地區對侵犯公民個人信息行為的法律救濟方式是公訴與自訴相結合的方式。公訴方式的弊端在于——當個人信息受到侵害時，因需要由公訴機關提起訴訟而處于被動地位，容易使自身的損失呈現出擴大化，從而降低司法效率、浪費司法資源。德國通過采取公訴與自訴相結合的方式，有利于在自訴防范不到位的情況下采取公訴，或者在公訴不能快速保護個人利益的時候采取自訴方式，兩者合一，使該救濟方式更具有合理性，既充分發揮了公民個人的積極主動創造性，也避免了司法資源的浪費。

三、對我國的啟示

（一）健全公民個人信息法律保護體系

1.從民法角度健全公民個人信息法律保護體系

一是在立法中明確“公民個人信息權”的概念。目前，在公民個人信息遭受侵害時，由于相關法律法規中有關公民個人信息權概念的不健全，導致公民個人信息得不到有效保護。因此，國家權力機關和政府應針對“公民個人信息權”的概念及內容進行擴充和完善，以達到保護公民個人信息的法律目的。二是加強公民個人信息權的財產屬性。目前，法律法規中只規定了公民個人信息因遭受侵害而導致隱私泄露、名譽尊嚴受損時的處罰管理方法，而對與公民個人信息相關的財產屬性方面的法律法規卻少之又少。當出現侵害公民個人信息行為時，相關法律一般也只是責令侵害者停止繼續侵害公民個人信息，受害者也很難得到相應的經濟補償。三是針對公民個人信息制定專門的法律法規。當前，我國《民法總則》對公民的姓名、肖像等公民個人信息的法律保護進行了較為詳細的規定，但是法律規定相對分散，同時對公民個人信息相關的保護措施并沒有詳細規定，對此，制定有關公民個人信息的法律法規是十分必要的。

2.從行政法角度健全公民個人信息法律保護體系

一是建立和完善公民個人信息的法律保護監督體制。其一，國家公權力機關是首要的監督管理機構，應當明確公民個人信息管理機構的權利與義務。其二，企事業單位、社會團體作為市場參與者，需要增強行業自律的監督管理，明確其應承擔的相關責任和義務，提供權利救濟渠道來保護公民個人信息的合法權益。行政機關也對公民個人信息存在較大威脅，且侵犯公民個人信息的情況也是普遍存在的，因此公民可以通過行政復議和行政訴訟渠道維護自身合法權益。

三是完善公民個人信息方面的行政法規。國家公權力機關存在著對公民個人信息收集、整理以及使用等各種行為，由于目前法律法規沒有明確規定的情形下，國家公權力機關更應該采取相關的措施，完善或者出臺相關行政法規來解決實際生活中國家公權力機關與公民個人之間以及公民個人與公民個人之間關于收集、整理以及使用公民個人信息行為不當的情形。

3.從刑法角度健全公民個人信息法律保護體系

一是明確“公民個人信息”的含義。2017年5月9日，兩高公布《侵犯公民個人信息刑事案件適用法律若干問題的解釋》及相關典型案例，以列舉的方式確定“公民個人信息”概念。通過對“公民個人信息”采取列舉和概括并行的方式進行擴充，解決了在司法實踐中“公民個人信息”概念不明確的問題，從而保證了司法的公平與公正。二是補充侵犯公民個人信息行為構成要件的內容。侵犯公民個人信息犯罪行為構成要件的完善，需要從犯罪主觀方面這一構成要件的規定范圍內進行補充與完善。根據我國《刑法》的規定，侵犯公民個人信息的主觀方面僅限于故意。然而在司法實務中，存在著某些情況——負有法定義務保護公民個人信息的信息控制者與信息處理者所掌握的公民個人信息一經泄露，便會對信息權利主體造成難以彌補的損害。因此，在刑法規制中可以擴大該行為的主觀方面——即引進“重大過失”概念。三是完善刑法對公民個人信息行為的保護方式。我國現行《刑法》規定了三種侵犯公民個人信息的非法行為——即出售、非法提供與竊取，同時《刑法》所規定的“其他方法”在《解釋》中也明確列舉規定，即一是通過購買、收受、交換等方式不正當獲取公民個人信息;二是特殊主體在履行職責、提供服務過程中違反相關規定收集、出售公民個人信息。盡管在《刑法》《解釋》中明確規定該犯罪行為的行為方式，卻疏忽了“使用”公民個人信息的行為方式。在生活中，仍存在著大量信息控制者與信息處理者之間達成協議，通過向信息權利主體發送信息以獲取不正當的利益。由于此行為只是屬于“使用”范疇，并沒有相關法律法規的規定，因此難以將其定性為犯罪行為。由此可得，在我國《刑法》中應該引進“使用”的行為方式作為侵犯公民個人信息的非法行為。

由此，民法、行政法、刑法構成了對公民個人信息保護的三維法律體系，層層相聯，層層相互遞進，并通過法律手段對違法犯罪活動予以打擊和懲治，健全公民個人信息法律保護的體系。

（二）立法模式更具有科學性

從全球范圍看，大數據時代下，公民個人信息的法律保護是重中之重。通過借鑒美國、德國、日本以及新加坡等國家以及歐洲聯盟地區的立法模式，并結合我國具體國情，應采取統一立法為主并輔以行業自律的立法模式。

采取統一立法為主模式，是由于我國在公民個人信息保護方面的相關法律規范不夠健全與完整，因此就必須要專門制定的個人信息保護法作為母法，使之在根本上做出系統全面且具有指導性意義的公民個人信息保護法。采取行業自律為輔助模式不僅是因為個人信息保護十分復雜，還因為法律存在局限性，通過在不同領域內進行分散式立法來制定具有指向性的具體規則，以健全和補充相關法律體系。

（三）明確界定相關公民個人的權利與責任

對于公民個人主體而言，應當借鑒歐盟立法經驗——即借鑒《通用數據保護條例》關于公民個人權利與責任的內容，專門進行立法來制定“公民個人信息保護法”作為基礎法，保障公民個人擁有知情權、數據獲取權、修改權及攜帶權等基本權利。對于公民個人而言，應當明確其保護公民個人隱私和信息安全所應承擔的法律責任，要求其采取必要的技術管理措施，全面加強數據保護。由此，一是建立信息泄露通知制度，當公民個人信息有泄露的風險時，信息保管的主體必須及時向有關機構上報，通知并配合相關信息主體采取合理措施，降低其可能存在的潛在負面影響，并承擔相應法律責任。二是確立信息收集的最小化原則，即第三方主體僅僅采集、儲存和使用與其開展特定業務活動所直接相關聯的公民個人信息，并保障信息利用者在小范圍內進行使用。三是信息保管方在委托第三方對數據進行處理或共享信息時，信息使用主體應當履行監督義務，并承擔相應法律責任。

四、結論

我們通過比較美國、德國、日本、新加坡、歐洲聯盟等不同國家和地區對公民個人信息的法律保護，針對上述問題，認為大數據時代下公民個人信息的法律保護應從立法和司法角度，提出具有可行性的建議與對策，通過學習和借鑒國外先進經驗和立法模式，取其精華，去其糟怕，并以我國的實際國情為攻克點，采取統一立法為主并輔以行業自律的立法模式，逐漸健全公民個人信息的法律保護體系。同時我國更宜采取公訴與自訴相結合的方式，即以自訴為主，公訴為輔的救濟方式，充分發揮個人的積極主動性，避免造成司法資源的浪費。

[參考文獻]

[1]齊愛民.個人信息保護法研究[J].河北法學，2008（4）：18-25.

[2]于志剛.“公民個人信息”的權利屬性與刑法保護思路[J].浙江社會科學，2017（10）：7-10.

[3]李珂.非法獲取公民個人信息行為研究[J].法制與社會，2017（5）：35-36.

[4]周建.美國《隱私權法》與公民個人信息保護[J].情報科學，2001（6）：6-10.

[5]王一帆.美國公立大學圖書館個人信息保護政策研究[J].情報資料工作，2010（6）：28-30.

[6]肖志宏、趙東.美國保障信息安全的法律制度及借鑒[J].中國人民公安大學學報（社會科學版），2007（5）：55-60.

[7]馬民虎，馮立楊.德國聯邦數據保護法的發展趨勢[J].圖書與情報，2009（1）：104-106.

[8]蔣舸.個人信息保護法立法模式的選擇——以德國經驗為視角[J].法律科學（西北政法大學學報），2011（2）：114-120.

[9]齊愛民.德國個人資料保護法簡論[J].武漢大學學報，2004（4）：466-469.

[10]馬民虎，趙蟬.歐盟信息安全法律框架之解讀[J].河北法學，2008（11）：152-155.

[11]馬治國，張磊.新加坡個人信息保護的立法模式及對中國的啟示[J].上海交通大學學報（哲學社會科學版），2015（5）：90-95.

[12]張苑.日本個人信息保護法的實施及其對中國的啟示[D].對外經濟貿易大學，2006：5-14.

[13]黃晨.日本個人信息保護法立法問題研究[D].重慶大學，2014：2-7.

（責任編輯：郭麗春 梁宏偉）