歐美個人信息保護機制

胡 徽

（廣東外語外貿大學法學院，廣東 廣州 510420）

個人信息保護的重要性已經在國際上達成了共識，在世界范圍內正掀起一股個人信息保護的立法潮流，如歐盟以《一般數據保護條例》為主導，建立起嚴厲的個人數據保護以及監管機制，美國則通過分散立法的模式強調行業自律，同時形成了多方面多領域的行政法保護體系。歐美兩種不同形式的保護機制也影響了東亞各國的個人信息保護機制。日本采用統分結合的立法模式同時通過政府和民間機構規范個人信息的流動，新加坡和韓國通過完善國內立法來建立其個人信息保護機制。

一、歐美個人信息保護機制相關概述

（一）歐盟個人信息保護機制

歐盟擁有著極悠久地對個人信息保護的歷史傳統，自《歐洲人權公約》到《數據保護指令》都體現著歐盟對于個人信息的重視并將其視為歐洲公民的基本權利，這類法律中所體現的個人信息保護理念已成為歐洲整個數據保護立法的奠基石。在2018年歐盟正式通過《一般數據保護條例》，同時也代表著歐盟個人信息保護機制的進一步升級和完善。

《一般數據保護條例》總共分為了十一章，分別規定了對于數據處理的原則，關于數據個人主體的權利，以及相應的處理者和管理者的權利，還涉及數據跨境傳輸的有關事項［1］。分析《一般數據保護條例》的立法條文，我們可以從中概括出其五個主要特點，

歐盟在跨境數據的自由流動方面其法律的域外效力得到了進一步的加強和擴張。

歐盟的數據規范得到了統一和發展，《一般數據保護條例》可直接適用于整個歐盟，其數據保護的執行力得到了強化。

一站式的監管模式，歐盟可以通過主體所在的國家來確定數據監管機構的管轄，使得《一般數據保護條例》執行力問題得到進一步加強。

歐盟更加側重于個人數據的保護，通過谷歌案等《一般數據保護條例》實施后的實際案例分析，我們不難看出歐盟的立法和執法理念更加側重于保護個人數據。

為全世界范圍建立個人信息和數據保護的藍本，歐盟《一般數據保護條例》出臺后各國以此推動自身的個人信息保護立法。歐盟的法律模式使得后發國家或主動或被動地加入歐盟的數據安全保護機制下，歐盟在自身個人信息保護機制的建立和發展優化下得到了很高的話語權，世界各國以及企業為了迎合或者商業合規都對自身的法律規定建設作出了改變。

（二）美國個人信息保護機制

美國同樣在個人信息保護的立法層面中有著重要的一筆，美國是最早從法律層面圍繞著其自身憲法規定的隱私權來進行立法的國家。美國于1974年就頒布了《隱私權法》，在該法律條文中我們可以看到美國對于個人信息概念進行了明確和劃分，同時對于主體之間所應當承擔的舉證責任、侵害主體應當承擔的賠償責任，也規定了相應的救濟途徑，在此基礎下建立了一個以政府為主導的，結合了電子商務、證券、電子通信等相關領域的行政保護體系。與此同時，在美國政府未能涉及的行業領域采取的就是通過行業自律的管理方式來進行監督和管理。行業自律模式很好地填補了法律滯后性的空缺，可以在新的行業出現或者新的法律漏洞出現時進行自我高效的填補，但同時行業自律模式也有著其自身的不足所在，行業自律是缺少一個強制力作為自身的執行保障的，通過實際案例中我們就可以看出如facebook等大公司會通過技術手段跳過或者無視行業自律的規定來謀取自身的利益。同時在出現糾紛時，正是因為缺少了統一的規定和糾紛解決機制，在案例中的糾紛缺乏政府和相應法規的指導而陷于僵局。通過與歐盟的立法理念對比我們可以知道在美國，個人信息并非一種類似于歐盟的私法性質的權利。美國采取的一系列個人信息保護措施主要規制的是擁有公權力的機構大規模地收集個人數據的行為，在范圍方面來說是針對特殊的群體和對象的。《加利福利亞消費者隱私法案》于2020年的實施代表著美國自身個人信息保護模式的新發展方向。

美國有建立個人信息保護統一標準的傾向。其法律內容對于信息主體、信息責任者和如何合理合法處理信息以及透明公開作出了規定。

對于隱私權的強化。法律將大力地強調主體對于其個人信息的控制，為受服務方設立了大量的權利，同時對提供服務方增設了與之對應的義務。

設定嚴厲的處罰。根據《加利福利亞消費者隱私法案》的規定，企業一方如果違反了義務而且未實施和維護合理安全程序或者采取相應的措施來保護個人信息的話，消費者可以以此提起民事訴訟［2］。美國通過自律與他律的相互配合，例如通過安全港的方式將兩者結合起來，在這種模式下促進自律模式的作用發展，使得兩者進行了有機地結合，很好地利用了自律行為的時效性優勢和政府的強制力優勢。

二、我國個人信息保護機制啟示

隨著信息化在我國普通民眾的生活中占的比重越來越大，數據和個人信息在當今生活中的廣泛使用，我國對比歐美等國的個人信息保護機制仍然有許多的不足和待進步的方面，國家也圍繞著個人信息安全和個人隱私做了大量的工作，通過對歐美等國的個人信息保護機制研究，以其為鏡，對我國自身建構起完善的個人信息保護機制有著重要的啟示作用。

（一）完善個人信息保護的制定法治建設

通過國內實例分析，在當今立法進程方面應加快《個人信息保護法》的立法進程，明確中國公民在個人信息保護方面的各項權益，概念厘清。針對處于強勢方的網絡服務提供商，我們要在受服務方和接受服務方的權利義務分配中做出清晰有效的規定，明確各領域各方面的主管部門。一個合理的規定明確的制定法將有力地為單一個體提供解決糾紛的指引和途徑。

（二）完善救濟路徑

配合推動公法制定進程的同時，我們應當在個人層面如消費者權益保護方面加強應有的救濟路徑，例如通過在消費者權益保護法中進行規定，個人對于網絡運營者侵犯了自身個人信息權益的追究，如何進行索賠。或者成立行業的個人信息保護機構，對網絡運營者本身進行社會監督，公民可以將自身的被侵權事項統一交由機構處理。通過機構進行公益訴訟或者集體訴訟等法律途徑進行處理。

（三）提高行政執法能力

通過案例分析中我們可以得到的信息是，對于個人信息保護的措施主要是通過刑事打擊來處理的，我們一直在加強關于個人信息違法犯罪的打擊力度，但是相對而言我們在民事和行政的保護力度上嚴重不足，主要是通過刑法的威懾力來進行治理，沒有合理的規則進行指引，我們必須強化對數據收集、存儲使用等一系列行為的監督和治理能力。

（四）培養企業管理意識

我們應注重提高和培養企業自身的規范和合規意識，使得提供網絡服務者擁有數據安全保護的品牌意識，使得數據保護能力也成為企業發展中重要的評判指標，使得提供網絡服務者從自身利益出發，把對于其的被動監管變為自身主動出發，培養一個良性安全的數據流動環境。

三、結語

歐美個人信息保護機制的出臺和實踐經驗對于我國的個人信息保護機制是極有參考價值的范例，其在實踐中所出現的問題、其應對的解決方式，以及其較為先進的立法技術都十分值得我們在立法和實踐層面進行參考。數據時代，個人數據價值十分明顯和重要，對于數據的流動本身來說甚至可以與金錢的流動相比，我國現行的法律框架和制度下對于保護個人數據的監管是存在著不足和缺點的，對于個人信息定義不清以及個人數據權利不完整，對于侵犯個人數據或者濫用個人數據的監管還存在著不足，即使有處罰的措施也沒有對于大型網絡企業的威懾力，并不足以有效地解決問題。因此有很多不利影響在參考的同時，我們也應立足于我國自身個人信息發展的實際環境，不能生搬硬套，在個人信息和數據網絡發展中找好平衡點，去加強我國個人信息保護機制的建立。