我国个人信息保护法律制度研究.pdf-道客多多

资源描述

1、宁夏大学硕士学位论文第一章导言 1第一章导言一、选题意义随着信息技术、网络技术的迅速发展，社会信息化进程的加快，个人信息作为个人及其活动的表征，其蕴含的巨大商业和社会价值，成为国家、商业机构甚至个人争夺的一种重要的资源。在人们充分体验信息化为生活和工作带来的种种便利的同时，个人信息被大肆收集、使用、贩卖的现象层出不穷，个人的合法权益受到侵害的几率也越来越大。侵害个人信息的案件近几年逐渐增多，公民对自身的信息权利保护的要求也远胜过从前，需要一部专门的法律来规范个人信息的合理使用，保护个人权利，促进个人信息的有序流动。因此，对中国而言，在充分吸收和借鉴各国相关

2、法律制度设计的经验基础上，通过立法尽快建立个人信息保护制度已经是一件刻不容缓的事情。因此，研究个人信息保护的法律制度，对我国个人信息保护的立法有重要意义。个人信息保护制度的确立以及个人信息得以有力的保护，对我国当前个人信息滥用是一种遏制，更是对我国法制体系的丰富和完善。二、国内外的研究情况个人信息是一种重要的社会资源，具有政治、经济、文化等方面的价值。随着信息技术的不断发展，国家、商业机构以及其他主体对个人信息大量的收集、处理以至于滥用的情况比比皆是，这不仅严重影响了个人生活的安宁，甚至扰乱了市场经济秩序。随着科学技术的发展以及人们信息意识的日益加强，在信息法学方面，诸如知识产权、信息安

3、全、保密、污染、犯罪、冲突、个人隐私等一系列的问题都得到了进一步拓展，包括个人信息保护在内的信息法学也显示出了强大的生命力。随着网络的发展，国际间信息交流的增加，网上交易和网上购物的实现，大量的个人信息的流动，与之伴随的非法收集、利用等侵害个人信息的案件也大量涌现，个人信息保护已经成为各国关注的重要问题。据不完全统计，目前世界上己经有 50 多个国家和地区对个人信息保护进行了立法，通过法律加强对个人信息的保护己经成为一种潮流和趋势。随着我国网络的快速发展，在信息、网络专家致力于研究技术手段保护个人信息的同时，部分法律方面的学者也纷纷投入到我国个人信息保护立法的研究中。周汉华、郑成思

4、、齐爱民、梅绍祖等学者己经在基础理论、信息安全与犯罪、信息法律体系等相关的重点领域取得了可观的成果。周汉华受国务院信息管理办公室委托起草个人信息保护法 ( 专家建议稿 ) 、齐爱民草拟的中华人民共和国个人信息保护法示范法草案 ( 学者建议稿 ) 均己问世并向有关机关提交。我国个人信息保护法的立法程序己经启动，这将是我国个人信息保护的新起点，也将促进我国市场经济的有序化，同时也有助于我国信用制度的建立，有利于推动我国国际贸易的发展。网址为： http:/www.privacyintenational.org/article.shtml?cmd347=x-347-82611,2007-4-13

5、. 宁夏大学硕士学位论文第一章导言 2三、文章的逻辑结构及研究方法（一）、逻辑结构：论文分为四部分，第一部分为导言，介绍论文选题意义及研究方法及创新点；第二部分为个人信息保护法律制度概述，是对个人信息概念的界定以及个人信息保护法律制度的介绍；第三部分是对国外信息保护制度的分析，主要分析了比较典型的欧盟、美国和日本三个国家的个人信息保护制度，并作了简要的评析；论文第四部分是对我国当前的个人信息保护现状的分析和立法的制度设计。（二）、研究方法： 1 、文献资料法。文献资料法是通过检索、整理有关文献，并对其进加工与处理，形成对所要研究的课题科学认识的方法。在研究的过程中，笔者收

6、集与整理了有关法学、政治学、信息学的文献 40 余篇，阅读相关著作 20 余部，基本掌握了与本研究有关的相关资料，对确定思路和论文框架，丰富充实自己的论文内容有重要的作用。 2 、逻辑归纳法。笔者运用逻辑归纳法对国内外已有的关于个人信息保护的研究进行总结，进而联系我国实际做进一步的研究与探讨。 3 、比较研究法。笔者运用比较研究法，对美国、欧盟、日本等国家的个人信息保护制度进行比较分析，并从中借鉴有利于我国构建合理的公民个人信息保护制度的体现的合理因素与经验。四、文章创新点本文试图对个人信息保护的理论基础做分析。以国外个人信息保护的的法律制度为借鉴，分析我国个人信息保护的现状和问

7、题，提出我国个人信息保护的法律框架，包括个人信息入宪、建立我国的个人信息保护法及相应的执法制度。宁夏大学硕士学位论文第二章个人信息保护法律制度概述 3第二章个人信息保护法律制度概述第一节个人信息的概念和分类一、个人信息的概念个人信息的概念最早是在 1968 年的联合国“国际人权会议”中以“资料保护”（ data protection ）的提法被提出。在立法方面，早在 1970 年德国的黑森州就制定了个人资料保护法，被认为是最早的国内个人信息保护法。然而，这些最早的会议和立法文件中所提出的“个人资料”这一称谓，并未得到国际社会的普遍承认，各国的立法和学者对个人信息的认识也不一致

8、，最直接的就表现为对个人信息这一概念的不同称谓。在普通法系国家 ( 英国作为欧盟成员国除外 ) ，大多使用“隐私”这一称谓，如美国、加拿大、澳大利亚、新西兰等。在日本、韩国、俄罗斯等国立法中则大多采用“个人信息”这一称谓。使用“个人数据”称谓的主要是欧洲理事会、欧盟以及其他受欧盟 1995 年数据指南影响而立法的其他国家，使用这样称谓的国家和国际组织最多。个人信息通常是指一切可以识别其本人的信息的总和，它包涵了一个自然人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等各方面的信息。 1995 年欧盟的个人数据保护指令为中定义的个人数据，

9、是指可以识别的某个确定主体身份性质的与确定主体相关的所有信息。该保护指令中所指的 “可以识别的确定主体” ，是指可以通过一些个人信息加以识别的人，如通过身份证号码、网络 ID 号识别某一个人，或者是根据与某个个体有关心理、经济、文化、信仰或社会身份等特定因素间接的识别出该个体。这些身份证号码、经济、信仰等信息就是可以用直接或者间接手段确定主体身份的信息。此外，在 20 世纪 80 年代，经济合作与发展组织 (OECD) 关于规制个人隐私保护与跨境个人数据流通的建议定义的个人数据的概念，是指能够辨认出来的、与某个人有关的信息。个人信息的可识别性既指可

10、以直接识别出信息主体的信息，如姓名、声音、肖像、身份证号码、驾驶执照号码等 ; 也指需要借助其他信息才能识别个人的间接信息，如电子邮箱地址、购物记录、收入情况、个人爱好及习惯等。在当今我国，个人信息研究尚属于新兴领域，对于个人信息的定义与称谓尚不明确，有人以个人资料相称的，有称之个人信息，还有称之个人数据的。此处，笔者认为，上述各种称谓的差别相对较小，仅仅限于对个人数据 (personal data) 的翻译不同。若从个人信息的保护在立法领域来看，使用个人数据较之个人信息范围缩小，但也易使人混淆与之相类似的概念。但是若采纳英美法系中的“个人隐私”或“个人信息隐私”，尽管在内容上与个人信

11、息相类似，但由于两大法系的差别以及与我国传统理论的冲突，这个定义在我国当前现阶段是不可取的因为在我国的传统文化理念中，个人隐私与个人信息的差别还是很大的，个人隐私的范围要比个人信息小。所以，笔者认为可以采用比个人数据包含范围更广的个人信息概念。个人信息作为一种周汉华个人信息保护前沿问题研究 M 北京：法律出版社， 2006(10): 220 张振亮个人信息权及其民法保护 J 南京邮电大学学报， 2007(3): 41 卓兰网络空间个人信息的保护问题研究兼论电子商务营销过程中消费者隐私权保护 J 行政与法，2006 (3): 121 宁夏大学硕

12、士学位论文第二章个人信息保护法律制度概述 4个人隐私的上位概念，这种方式既可以涵盖传统媒介的符号和信息而且将网络媒介在内的各种电子媒介也包含在内。同时，个人信息这一概念，也符合我国人民的使用习惯，容易理解，不容易与其他的个人数据、个人隐私等混淆，也更适用于大陆法系，所以笔者认为，我国当前立法应以个人信息定义。个人信息是主体个人的身份的外在表征，可以使涉及主体的特定身份可以直接或间接地被识别出来。因此笔者认为，个人信息可以定义为 : 个人信息是与公共利益相对独立的私人信息，其能直接或间接的识别出该特定自然人的身份。二、个人信息的分类（一）

13、直接个人信息与间接个人信息以个人信息是否具有可识别性，将个人信息分为直接个人信息与间接个人信息。挪威个人资料保护法明确地将间接个人信息纳入保护的范围，其第 1 条规定 : “能间接地确认本人的资料构成个人资料。”也就是说，直接个人信息是指可以单独识别本人的个人信息，如姓名、肖像，身份证号等。间接个人信息是指还需其他信息辅助才能识别出信息者本人的信息，如电话号码等。德国和丹麦等大多数国家均将间接个人信息纳入法律保护范围内。法律之所以要划分直接个人信息与间接个人信息是为了扩大个人信息的保护范围，将间接的个人信息也纳入个人信息保护法规范的范围中去，与此同时对直接个人信息采

14、取更为严格的保护措施，使侵犯直接个人信息的行为承担更为严重的法律责任。（二）一般个人信息与敏感个人信息敏感个人信息是指涉及个人隐私的信息。英国 1998 年的个人资料保护条例中规定的敏感个人信息的概念 : 敏感个人信息是关于“自然人种族或道德起源、政治观点、宗教信仰或与此类的其他信仰、工会所属关系、生理或心理状况、性生活、代理或宣称的代理关系，或与此有关的诉讼”的信息。一般个人信息是指内容不涉及个人隐私的个人信息。一般个人信息虽然不涉及个人隐私，但一般个人信息同样应受到法律的保护，这是因为单个的一般信息虽然不能直接识别出个体，但是大量的一

15、般个人信息相结合，也能识别自然人的身份。区分敏感个人信息与一般个人信息的目的在于法律给予两者的保护方式与程度不同。对敏感个人信息给予特殊严格的保护，采取特殊的保护措施。“一般而言，对琐细个人信息的收集和处理可以不经过许可制度。与此相反，法律对敏感个人信息的收集和处理，一般需要给予特殊保护”，大多数国家的立法都规定对敏感个人信息适用禁止收集原则。（三）电脑处理个人信息与非电脑处理个人信息依对个人信息采取的处理技术和手段不同将个人信息分为电脑处理个人信息与非电脑处理个人信息。电脑处理的个人信息，是指通过计算机，采用一系列现代化的办公设备和先进的通信技术，按照一

16、定的应用目的进行个人信息的收集、加工、储存、传输、检索或其它处理业务。将个人信息划分为电脑处理与非电脑处理的法律意义在于：随着信息技术的发展，大量的信息更容易被泄露，电脑处理的个人信息更容易受到侵害，电脑处理信息应当成为个人信息保护法英萨莉斯皮尔伯利、周文译媒体法 M 武汉：武汉大学出版社， 2002： 318 齐爱民个人资料保护原理及其跨国流通法律问题研究 M 武汉：武汉大学出版社， 2004 宁夏大学硕士学位论文第二章个人信息保护法律制度概述 5的重点保护对象。很多国家只保护电脑处理的个人信息，如欧盟 1981 年自动化处理中个人资料保护公约规定 : “ (

17、资料保护 ) 是对于个人在面临关于其个人资料自动化处理时，所以予以法律上的保护。”我国台湾地区的立法是以“电脑处理的个人资料保护法”来命名。但是，为了充分保护个人权利，应当适度扩大法律的保护范围，将非电脑处理个人信息，也就是传统的人工处理信息的方式也纳入法律保护的范围之内。（四）属事的个人信息与属人的个人信息这个分类方法是以个人信息内容为标准划分的。属人的个人信息是指反应自然人的自然属性和自然关系的信息，主要是指自然人身高、血型、指纹、基因等。属事的个人信息反映的是本人的社会属性和社会关系 ,它反映出信息主体在社会中所处的地位和扮演的角色，如职业、职

18、务、收入等。第二节个人信息保护的法律关系一、个人信息保护的主体 ( 一 ) 个人信息权利主体个人信息的权利主体，简称为信息主体，是指个人信息所指向或涉及到的个人，即通过个人信息可以被识别出来的特定个人。个人信息来自其所属的信息主体，所以个人信息的权利人应该只是自然人而不包括法人。因为法人的信息所体现的价值和功用与自然人不同，所以法人及其他组织不属个人信息保护的范畴，应由其他相关法律予以调整。个人信息主体对其个人信息享有权利，自然人的个人信息被收集利用和处理，应当受到个人信息保护法的规范和制约。法人及其他组织与自然人不同，自然人的个人信息保护是以人格权为

19、基础的，所以，个人信息保护法重点保护的是自然人的人格利益在个人信息的收集、处理和利用过程中不受非法侵害，从当前大部分国家的立法情况来看，大多都将个人信息的主体限于自然人。 ( 二 ) 个人信息义务主体个人信息的义务主体是指所有掌控个人信息的人。在个人信息保护法律关系中，是指信息主体以外的，在个人信息法律关系中，收集、处理和利用个人信息的自然人、法人或其他组织。个人信息的义务主体主要包括政府机关和商家、网站及个人等其他个人。 1 、机关政府机关具体包括行政机关和法律、法规授权行使行政管理职能的部门或提供公共服务的其他组织。政府机关作为国家的公共管理与决策机构，

20、在行使公权力的过程中，基于义务履行的需要就需要收集和处理大量的、详尽的个人信息。现实中，个别政府部门超出职权范围收集利用个人信息。现实生活中我们经常会遇到这样的情形：在填写政府机关收集的某份表格时，需要写明的内容很多，而有些根本是与收集目的无关的，这样过度地收集个人信息，势必会带来个人信息滥用和泄露的隐患。实际上现在也有这方面的案例，公安系统只要把某人的名字输进去，就能很快地得到很多信息，包括住哪个宾馆，哪个房间等。公民的个人信息权益很容易张新宝互联网上的侵权问题研究 M 北京：中国人民大学出版社， 2003 宁夏大学硕士学位论文第二章个人信息保护法律制度概述

21、6被政府机关的一些信息收集和处理的活动侵害到，因为政府的部门之间为了提高行政效率，也经常会发生信息的共享与流通，在流通与共享过程中，任何一个环节不加重视都很有可能造成个人信息的泄露。因此，采集的个人信息处理活动的规范对政府机关及其他公共管理部门来讲，是个人信息保护一个重要的方面。 2 、网站、商户及其他个人从目前的现实情况来看，网站、商户、及其他个人是除政府机关以外对个人信息安全造成的危害更大一些的个人信息处理者。在当代社会，市场经济飞速发展，大多数商业机构将是否能够获取并运用信息的能力作为市场竞争胜负的关键。出于经济利益的需要，商家不会放过

22、任何给自己带来利益的机会，商业机构这些信息处理者对个人信息进行收集、处理和利用机会是无孔不入。他们收集的个人信息有：个人身份、年龄、学历、兴趣、通信方式、居住和财产状况、网上购物习惯等，通过收集这些个人信息，分析消费者的购买需求和购买能力，从而进行针对性的商业广告投放。而性别、年龄、病史、收入等这些信息本身就是消费者的隐私，这本身就是对个人信息的一种滥用，尤其对那些根本不需要这些广告信息的人们来说更是一种负担和侵害。根据行业分析人士的报道，互联网网站的主要收入来源主要有两个：一是发布网络广告，二就是出售网民的个人信息。二、个人信息保护的客体

23、很显然，自然人的个人信息是个人信息保护法律关系的客体。自然人作为生物学意义上的个体同时也是人类社会中的个体，与其相关联的信息很多。但只有具有识别意义的信息才有价值，才有法律意义，才能成为个人信息保护法的保护对象，从而属于法律的价值判断范畴。法律只保护符合一定条件的个人信息，不能机械的认为但凡个人信息都应该受到个人信息法的保护。如果某信息确实与某自然人相关联，但是凭该信息不能对该自然人构成识别，则这样的信息对该信息主体权利状态并不构成影响，从而不具有法律意义。个人信息保护法律关系是在个人信息的收集、处理以及利用等的过程中而发生或改变的权利义务关系。个人信

24、息的实质要素也是首要要素便是 “ 可以识别”，也就是说只要是个人信息必须是可以直接或间接识别出特定个人的。个人信息的形式上的要素主要是指信息要可以固定和可以处理。信息可以固定是指，也就是个人信息必须要有一定的载体如纸张、电脑硬盘等，以一定的方式得以固定 ; 可以处理是指，个人信息必须以一定的方式得以查阅、检索和进行其他的处理。三、个人信息保护法律关系的内容 ( 一 ) 信息主体的权利信息主体作为个人信息的生成体，对其个人信息享有个人信息权。个人信息权是指信息主张素华个人信息商业运用的法律保护 J 苏州大学学报， 2005： 2 齐爱民个人信息

25、保护法研究河北法学， 2008 (4)： 15-33 宁夏大学硕士学位论文第二章个人信息保护法律制度概述 7体依法对其个人信息享有的支配、控制并排除他人侵害的权利。信息主体能够通过自己的积极行为支配和控制个人信息，保护本人的人格和财产利益，就是有信息主体享有个人信息权的这个前提。让信息主体享有个人信息权，是个人信息保护的核心问题。个人信息权涉及个人信息处理的各个环节内容十分丰富，包括以下几项 : 1 、个人信息决定权。个人信息决定权是指信息主体有直接支配和控制自己的个人信息的权利，并有权决定自己的个人信息以何种方式、目的、在什么范围被收集、

26、处理和利用。信息决定权是个人信息权的最重要的基础性权利。随着计算机技术的快速发展，大规模地收集、储存和利用个人信息得以实现，这就使得个人信息受到侵害的几率变得越来越大。伴随着个人信息越来越多的受到伤害，“个人信息控制论” 产生，该理论是指当与当事人的前科经历、病例、信用状况等有关的极为重大的事项的个人信息为他人所掌握时，如果该信息明显违反事实并且掌握这些信息的人对该错误信息放任不管或者提供给第三人，信息主体可以要求保有该个人信息者删除与订正与事实不符的部分。因为信息掌握者对该错误信息的处理将给信息主体带来社会生活上的不利益乃至损害的，该当事人要求删

27、除与订正与事实不符的个人信息是为了避免不利益和损害。随着时代发展，原有的隐私权概念逐步向“个人信息控制权”的理论方向发展，所谓隐私权，是指个人自由地决定在何时、用何种方式、在多大范围内向他人传递与自己有关的信息的权利主张。基于这项权利的规定，信息处理者在收集、处理、使用个人信息之前必须通知信息主体有关收集、处理、使用的相关问题，并经本人同意，否则构成侵权。 2 、个人信息知情权。个人信息知情权，又称查询权，是指信息主体得以了解、查询与其个人信息有关的情况以及个人信息本身的权利，也就是有权知道其本人的信息在什么时候时、在什么地方，因什么目的被什么人收集和处理。知情权是信息主体非常重要

28、的一项权利，各国立法多赋予信息主体知情权或查询权。例如经济合作与发展组织隐私保护与个人数据跨境流通指南的第二部分第十三条规定，本人就其个人数据享有如下权利 : 有权向数据处理主体或其他人确认是否保有关于自己的数据 ; 有权在合理的期间内，于必要的情形下，以不过当的费用和合理的方式，以及容易了解的形式，查知有关自己的数据 ; 有权就前列权利行使被拒绝时要求说明理由，并提出异议，且于异议成立时请求删除、更正、完善及补充 11 。 3 、更正、删除或停止使用的权利。信息控制者负有保证其所控制的个人信息的准确、完整和更新的义务。在以下情况下信息主体可以行使信息更正权 : 第一，信息不正确，是指

29、信息控制者储存的个人信息与实际个人信息不符 ; 第二，信息不完整，是指个人信息的内容就信息收集的特定目的来讲是不全面的 ; 第三，不是最新，是指个人信息没有及时更新，不能反映最新个人信息的事实。信息处理者还应允许并配合信息主体查询了解其个人信息及相关情况，且确保个人信息的内容正确、完整和最新。对于信息主体行使删除权，个人信息保护法一般规定了两种情形 : 一是非法储存个人信息 ; 二是己储存的个人信息不再服务于任何目的 12 。 4 、个人信息请求救济权。没有救济的权利就是一纸空文。个人信息请求救济权，是指当信息主体的上述各项权利受到他人侵害时，信息主体可以积极的采取措施来保护个人信息权

30、。信息主体可以投诉个人信息收到侵害，主管部门也可以要求信息调查和惩罚，信息主体也可以张新宝隐私权的法律保护 M 北京：群众出版社， 1997 11 王郁琪个人数据保护 J 法务透析， 1996 12 祝蓓蓓论个人信息的保护 J 贵阳学院学报， 2007 (2)： 47-49 宁夏大学硕士学位论文第二章个人信息保护法律制度概述 8向法院提起诉讼。当信息主体的合法权益因为他人的个人信息侵权行为造成损害时，信息主体有向侵害权利者提出损害赔偿的权利，赔偿包括精神损害赔偿和财产损害赔偿在内。信息主体可以选择不同的解决方式，根据侵害自己信息权利的主体

31、不同来选择，如果是一般的信息处理者的，就是一般的市场主体或他人，也就是和信息信息主体是平等主体之间的，信息主体就可通过提起民事诉讼的方式保护其个人信息权，当然，信息主体也可以向信息主管部门请求救济；如果侵权行为人为政府机关及公共部门的，信息主体还可以通过行政复议或行政诉讼等渠道来解决。 ( 二 ) 信息处理者的义务信息处理者是个人信息保护法律关系中的义务主体。信息处理者有义务在在信息处理活动中保障信息主体实现决定权、知情权等各项权利。各国立法中对信息处理者义务的规定各不相同，主要是从以下几个方面来规范 : 首先就是对信息处理者的资格限制。如果

32、主体是政府机关的，则要求在政府机关职权范围内依法收集、处理和利用个人信息，并仅限于特定范围内收集和处理。因为政府因为行政活动，掌握大量个人信息，而信息主体对这些信息的正确与否甚至具体内容都不得而知；如果是非政府机关，则要求向信息主管部门申请处理个人信息的资格。在当前形势下，非政府机关的一些商业机构等非法处理个人信息，甚至非法转卖以牟取暴利的现状屡见不鲜，有必要对信息处理者的资格加以管理。其次是目的上的限制。个人信息的收集、处理和利用，都须有特定的目的，无论是国家机关还是非国家机关，并且在收集之前将该特定目的在主管部门登记，之后的处理和利用行为，未经法律特别授权或

33、信息主体同意，不得超出登记的特定目的范围。再次，要保障信息安全、准确。各国个人信息立法均要求信息处理者采取必要的技术手段和管理措施，尽可能的保障个人信息安全，不被非法收集和非法处理。第三节个人信息保护的法律制度目前，我国还没有制定专门的个人信息保护法，对个人信息的保护还很薄弱。总体的状况是没有明确确立个人信息保护的宪法地位，缺乏对个人信息的直接保护规范。现有的法律规定都是对个人信息的间接的或辐射性的保护，比较零散，缺乏体系性。现行宪法规定，“公民的人格尊严不受侵犯”、“国家尊重和保障人权”。这些相关规定是个人信息受宪法保护的依据。基本法中，民法通则关于人身权的相关规定中规定 :

34、公民的人格尊严受法律保护 ; 公民享有姓名权、有权决定、使用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒 ; 公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉 13 。刑法第四章“侵犯公民人身权利、民主权利”中，明确将“非法搜查他人身体、住宅，或者非法侵入他人住宅” 等行为列为犯罪行为。从以上相关法律、法规可以看出，我国目前个人信息保护的法律规范还不完善，法律地位不高，法律规定过于零散，区分系统性和协调性，不符合我国现有的法律体系和法律习惯，也不利于法律的适用和实施。 13 中华人民共和国民法通则第 99 条、第 100 条、第

35、101 条宁夏大学硕士学位论文第三章国外个人信息保护法律制度及对我国的借鉴意义 9第三章国外个人信息保护法律制度及对我国的借鉴意义第一节欧盟个人信息保护法律制度探析作为个人信息保护立法的先驱，欧盟 1995 年制定了欧盟数据保护指令 (1998 年生效 ) ，该指令的基本目标是保护个人信息所有者的个人信息合法方式及个人信息在欧盟范围内的自由流动。欧盟指令价值倾向明显、覆盖范围广泛、规则程度深、执行机构健全。欧盟数据保护立法主要有：欧盟数据指令在适用范围上，不仅包括全部或部分通过自动方法加工个人数据的活动，而且还包括那些虽然不是通过自动方法、但却是将用于存档的个人数据加工

36、活动。在数据主体所享有的权利上，欧盟数据指令规定了数据主体的基本权利包括 : 知情权。指对数据加工者或接收者的身份，收集、加工使用的特定环境与目的等方面的信息享有的知悉权。进入权。是指有权要求数据控制者在合理的时间内、无需支付任何费用的情况下提供关于自己的个人信息，有权要求以可读的形式获取正在加工的自己个人信息。反对权。无论是基于履行维护公共利益还是商业目的，数据主体均有权反对数据控制者将数据披露给的第三方，除非法律有明确的规定。即使法律有明确规定可以出于某种目的披露个人信息，信息主体依旧有权提出反对理由，如果反对的理由成立，数据控制者将不得继续对其个人信息进行加

37、工或披露。不受约束权。对信息主体具有法律后果或有实质影响的决定或约束，如个人工作表现、诚信记录可靠性，等如果该决定或约束是根据自动加工的个人信息所得出来的，则数据主体有权拒绝接受该决定或约束。欧盟数据指令要求成员国立法规定行政救济措施、私法救济措施外，还需要有司法救济。它的内容一般表述为六项原则。第一，个人数据仅得为公平的、合法的目的而取得个人数据。第二，终极原则 , 只有为指定的、明示的、合法的目的而收集个人数据，另行处理的，不得与先前收集之目的相违背。第三，数据处理者应该告知当事人其个人数据被处理的情况。第四，在收集和

38、处理个人数据时，应该保证个人数据的充分性、相关性和合适性。第五，保密和安全原则，即数据收集者和控制者必须采取相应的技术手段和组织措施确保数据处理的保密性和安全性。第六，数据保护机构应该对有关数据处理的活动进行监控 14 。欧盟立法对个人信息采取超强保护态度，是由其基本理念决定的。从政治立场上看，欧盟数据指令是建立在将隐私与个人数据保护视为一项基本人权与自由的基础上，其理论基础是不可剥夺的个人权利。在这种模式下，基本人权对于经济发展和机会选择具有着绝对的优先地位，其基本出发点是主体对自己个人信息的自由有着绝对的控制权。欧盟的个人信息保护模式的是通过承认个人对其个人信

39、息的控制权、进而实现其维护主体隐私权和人格尊严的价值理念的。在具体制度设计上，对个人信息，尤其是敏感个人信息和可14周汉华个人信息保护前沿问题研究 M北京：法律出版社， 2006： 32 宁夏大学硕士学位论文第三章国外个人信息保护法律制度及对我国的借鉴意义 10识别个人信息的收集必须事先得到个人的明示同意，信息收集之后的传播、加工、利用都必须在收集之初的目的范围内进行，否则，必须另行取得个人的授权。同时，为了体现其尊重隐私权和人格尊严的理念，将数据主体的诸如知情权、进入权、修改权、反对权、删除权、不受约束权等权利都规定在其中。赋予个人的这些权利是不可转让的，即使他们愿意放弃也是不行

40、的，因为这些权利是与人格尊严密切相关，是专属于个人的。第二节美国个人信息保护法律制度探析著名法学家萨缪尔 D 沃伦和路易斯 D 布兰戴斯 1890 年提出隐私权概念以来，美国在隐私权保护领域的理论研究和实践，一直处在世界领先地位，同样，个人信息权保护立法也取得了很大的成绩。美国的个人信息保护制度有其显著的特色，这主要得益于美国与隐私相关的立法比较成熟，保护的重点是防止公权力对公民信息的侵犯。美国政府对于个人信息高呼的政策取向是，既要在国际范围内保护个人隐私，又不应阻断跨境信息的交流，影响电子商务和跨境贸易的发展，他们试图通过一种平衡方式，为创新营造出一种最佳的成长环境。美国对信

41、息隐私的保护分为两种方式 : 一种方式是立法，立法主要由宪法、制定法、普通法等内容组成，主要集中和适用于公的领域，即政府机关收集、处理和利用个人信息的领域。另一种方式是行业自律模式，主要是在私领域，通过行业规范来实现信息自由流动和信息权利保护的平衡，严格讲不属于立法模式。 60 年代至今，美国制定了一系列的法案，如 1966 年，要求政府各部门向公众提供检索和复制信息的便利的信息自由法； 1970 年主要针对征信业者的数据收集和处理行为加以规范的公平信用报告法； 1974 年的隐私法案，该法案体现了“信息正当运用原则”，即只能在为合法的目的而必须的情况下，才允许收集个人信息 ; 只允许使用相

42、关的、正确的、即时的和完整的个人信息、允许信息主体能接触到与其相关的信息并赋予其质疑和改正信息的权利 ; 只能为收集信息时的目的而使用信息。 1980 年隐私保护法，确立了执法部门获取报社掌握信息的程序 ;1994 年驾驶员隐私保护法，要求州交通部门在出于商业目的披露或者销售驾驶员个人信息时应当得到信息本人的授权 ; 1998 年儿童网上隐私保护法，对儿童网上个人信息规定了若干特殊保护措施 ;1999 年 Gramm - Leach - Bliley 金融服务现代化法，要求金融机构必须向客户通知其隐私政策，使客户可以选择避免个人信息被二次使用 ;2001 年的规定了有关个人健康信息的保护规

43、则健康保险移转与责任法等。对私领域的个人信息保护，美国采取行业自律 (self - regulation) 的模式，这是美国信息隐私法制的首创。所谓行业自律模式，“是由公司或者产业实体制定行业的行为规章或行为指引，为行业的网络隐私保护提供示范的行为模式。” 15 当然这种行业自律并不是盲目的，它是一种政府引导下的自律，政府与行业之间存在着很强的互动关系。在其立法思路上，美国认为以行业自律为主导并配合政府的执法保障可以有效的实现隐私保护的目的。在美国，除了个别领域的联邦特定立法、州立法和普通法外，民间机构的行业规则、公司内部规章、民间自治体的行为规范等构成个人信息保护的规范之一。行业自律的优

44、势是可以避免国家限制信息在社会中的运15 蒋坡国际信息政策法律比较 M 北京：法律出版社， 2001: 443 宁夏大学硕士学位论文第三章国外个人信息保护法律制度及对我国的借鉴意义 11用，给信息产业和电子商务的发展提供一个相对宽松的环境，还可以避免由于政府选择某种技术作为标准导致立法的偏差。另一方面，不同的行业个人信息的收集与处理是不同的，行业自律可以增强个人信息保护的针对性。美国关于个人信息的保护，因公私领域的不同，在立法思路上分为了两部分 : 在公领域以隐私权为基础，采取分散立法模式，逐一立法 ; 在私领域，美国采取行业自律模式，通过行业组织的内部规范来保护个人信息。美国的

45、个人信息保护模式是英美法系个人信息保护立法的典范，具有全球性的影响。第三节日本个人信息保护法律制度探析在日本，随着借助于无处不在的网络的信息发展模式，隐私权保护理论逐步向“个人信息控制权”的理论发展，隐私权变成“个人自由地决定在何时、用何种方式、以何种程度向他人传递与自己有关的信息的权利主张”。 16 早在 1975 年，在行政建立委员会提出的关于涉及行政机关等利用电子计算机之隐私保护制度的存在方式的中间报告中指出，对于行政管理过程中涉及的个人信息，应采取适当措施加以维持管理。 1988 年，日本制定了关于对行政机关所持有之电子计算机处理的个人信息加以保护的法律，该法对中央政府机关电子

46、计算机处理的个人信息的行为进行了规范。 2003年 5 月，国会通过了系列个人信息保护法案，这五法案被称之为“个人信息保护关联五法案”，包括个人信息保护法、信息公开与个人信息保护审查会设置法、关于保护行政机关所持有之个人信息的法律、关于保护独立行政法人等所持有之个人信息的法律、以及对关于保护行政机关所持有之个人信息的法律等的实施所涉及的相关法律进行完善等的法律。 200 5 年 4 月的个人信息保护法是日本现行的个人信息保护法。个人信息保护法以个人信息的有效利用保护为宗旨，它的规制对象是全部持有并处理个人信息的企事业单位，它们的行为受到行政厅的监督和管理。日本的个人信息保护在体系上首先确立了适用于公共部门和非公共部门的统一立法。立法的目的就是正确处理个人信息保护和利用之间的关系。现行的个人信息保护制度尤其是个人信息保护法不仅适用于国家政府机关、地方自治团体，还适用于非公共部门。对于特别行业特别领域如信用信息医疗信息、电信等，还需要保护的个别法，制定专门性的法律。此外，针对各种非公共部门利用个人信息的在形式上与和程度各不相同的特点，还鼓励非公共部门进行自律，制定较灵活的措施，以便能应对立法后出现的各种新情况。在健全法律的同时，日本还注重提高公民的个人信息保护意识，使个人信息安全意识渗透到公民生活中去。从总体上讲，日

展开阅读全文