【国外个人信息民法保护及借鉴综述5200字】

国外个人信息民法保护及借鉴综述

目录

国外个人信息民法保护及借鉴综述 1

(一)欧盟个人信息保护的规定 1

(二)德国个人信息保护的规定 2

(三)美国个人信息保护的规定 3

(四)国外个人信息保护的借鉴 5

(一)欧盟个人信息保护的规定

欧盟的统一立法保护模式极具代表性，统一立法经历了《有关个人数据自动化处理之个人保护公约》到《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》(以下简称《第95/46/EC号指令》)再到《通用数据保护条例》的发展历程。

《通用数据保护条例》是个人信息权利保护模式的典型立法，形成了一套包括个人信息基本理论、各主体权利义务以及权利救济和责任分配等在内的完整法律体系，为个人信息提供全方位保护。《通用数据保护条例》中与我国“个人信息”对应概念的是“个人数据”[1,对个人数据享有知情权、访问权、修正权、被遗忘权、限制处理权、可携带权、拒绝权的主体被称为“数据主体(DataSubject)”。参与个人数据管理与处理的主体被称为“数据控制者(Controller)”和“数据处理者 (Processor)”,数据控制者负责个人数据处理目的、方法等重大问题的决定，数据处理者负责执行具体处理行为，数据控制者与数据处理者有可能为同一主体。与数据处理者相比，数据控制者对个人数据更具控制力，其共负有十二项不同的义务，核心义务包括个人数据的安全、告知、更正与清除2]。

在个人敏感数据保护方面，《通用数据保护条例》第九条采用法律列举方式界定了个人敏感信息，其在《第95/46/EC号指令》列举“种族、民族、政治观点、宗教或哲学信仰、工会成员资格、健康信息、与刑事定罪相关的信息”的基础上增加了基因信息、生物特征信息和性生活或性取向信息，体现了个人数据保护对科技发展与社会现象的回应。除此之外，《通用数据保护条例》还继承了《第95/46/EC号指令》的个人敏感数据特殊保护制度，原则上禁止对个人敏感数据的处理，并且在

[1]欧盟、德国立法通常采用个人数据(PersonalData)的表述，而美国立法主要采用“个人信息”(PersonallyIdentifiableInformation),我国立法采用个人信息的表述。因此，本文原则上采用个人信息之表述，涉及欧盟、德国部分时，采用个人数据。

[2]高楚南.欧盟数据控制者的义务：源起、变迁及其缘由[J].图书馆论坛，2019,39(03):144.

第九条第二款规定了在特定的十种情况下可以加以利用，例外情形主要包括各种公共利益的需要以及没有法律禁止性规定的前提下获得数据主体明确表示同意。

在同意规则方面，《通用数据保护条例》亦将同意视为个人数据处理具有正当性的一般依据。其中第四条规定数据主体的同意要在不受任何社会、经济或其他任何胁迫下自愿以书面形式作出，同意应当是无争议、明示的同意3,并且个人数据控制者有义务证明数据处理行为已得到数据主体的同意、同意是其自愿作出的、同意对履行合同具有必要性。除此之外，《通用数据保护条例》还赋予数据主体同意撤回权，数据主体有权随时撤回同意，撤回同意不仅如与作出同意一样容易，而且不影响撤回前数据控制者、处理者所做的数据处理[4]。

在个人数据的侵权责任方面，数据主体有权要求数据控制者和数据处理者承担赔偿责任，《通用数据保护条例》第八十二条规定了数据主体的赔偿权及数据控制者、处理者的赔偿责任。数据控制者需要对所有数据处理行为造成的损害承担赔偿责任，而数据处理者仅对违反处理者义务和违背数据控制者指令的行为承担赔偿责任。第三款特别规定“证明其无论如何都不应对造成损害的事件负责”为数据控制者和数据处理者的免责事由5。第四款补充道，如果存在不止一个数据控制者、处理者，每个数据控制者、处理者都负有连带责任，以保证对数据主体进行有效赔偿。严格的侵权责任规定体现了欧盟充分保护的思路，要求数据控制者或数据处理者证明到“无论如何”的程度，是一种极为严格的责任，数据控制者或数据处理者仅证明自己没有过错或者履行了法定的义务等，都不足以免责6。

综上，欧盟通过强化数据控制者、处理者的充分告知义务、明确同意的构成要件、设置同意撤回权、规定极为严格的证明责任和连带责任，以达到增强数据主体控制能力、拓展数据主体控制环节、强化数据控制者和处理者的义务，实现对个人数据充分保护的目标。

(二)德国个人信息保护的规定

德国的个人信息保护历史悠久，黑森州在一九七○年就颁布了世界上第一部专门性的个人信息保护法《黑森州数据保护法》,该事件推动了德国联邦的立法进程，经过数年准备最终于一九七七年通过了《德国联邦数据保护法》。因欧盟的《通用数据保护条例》采用“条例”形式使其可以直接在成员国适用，且效力优先于成员

[3]王雪乔.论欧盟GDPR中个人数据保护与“同意”细分[J].政法论丛，2019(04):136.

[4]李爱君，方颖等.欧洲议会与欧盟理事会《一般数据保护法案》[A].中国政法大学互联网金融法律研究院.金融创新法律评论(2017年第1辑·总第2辑)[C].北京：中国政法大学互联网金融法律研究院，2017:132.

[5]程啸.论侵害个人信息的民事责任[J].暨南学报(哲学社会科学版),2020,42(02):42.[6程啸.论侵害个人信息的民事责任[J].暨南学报(哲学社会科学版),2020,42(02):42.

国的国内法，故作为成员国之一的德国，在《通用数据保护条例》设置的两年过渡期中对国内法进行了修改，一方面对《通用数据保护条例》的开放性条款进行补充规定，增强条款的可操作性，另一方面对《通用数据保护条例》已有的规定进行细化，维持德国个人信息保护的严格标准7。《德国联邦数据保护法》始终贯彻个人信息自决权理论，通过规定数据主体的知情权、修改权、收集同意权、披露权及使用权等一系列权利，不断强化个人对个人数据的控制。

最新的《德国联邦数据保护法》与修改前的《德国联邦数据保护法》在侵权责任方面有较大变化。归责原则方面，新《德国联邦数据保护法》规定利用自动化信息处理系统的适用无过错责任原则，未利用自动化信息处理系统的适用过错推定责任原则，拓展了无过错责任原则的适用范围。因果关系方面，新《德国联邦数据保护法》将仅适用于公共机关利用自动化信息处理系统的因果关系推定规则，拓展适用到所有利用自动化信息处理系统的案件中，通过这样的方式促使数据处理者采取较高的信息安全技术措施保障个人数据的安全，同时也降低了数据主体在因果关系方面的证明责任。

德国认为个人数据权是一般人格权，其还规定了数据主体既可以主张财产损失赔偿外，也可以主张精神损害赔偿。旧《德国联邦数据保护法》规定“无论是向一人还是多人主张承担赔偿责任，精神赔偿与财产赔偿的总额不可以超过十三万欧元”

8]。大数据时代，个人数据侵权行为规模化、后果严重化，继续限制赔偿总额不利于每个数据主体获得充足有效赔偿，不利于保护数据主体的合法权益，故新《德国联邦数据保护法》删除了损害赔偿最高额的规定。

综上，德国个人数据保护起步早，将个人数据保护上升到落实、贯彻人格尊严和人格自由的高度，而且随着计算机和互联网等信息技术发展的进步而不断更新相关制度，通过精细化制度的设置增强个人数据保护强度。

(三)美国个人信息保护的规定

美国的个人信息保护建构在隐私权基础上，在美国及受美国文化影响至深的国家，“隐私”一词绝非仅指那些不想为人所知的隐秘信息，其范围远超过狭义的隐私。隐私权的概念是由《TheRightToPrivacy》首次提出，后经过理论和实务的解释，逐渐形成了包含私人空间、私人信息、姓名肖像、个人信息的广义隐私概念。事实上，美国的隐私权从其诞生之初是为了防止政府对于个人生活的侵扰，其根本目的在于保护个人尊严与自由，随着信息技术的发展，美国法上的隐私权衍生出了信息

[7]阮爽.《欧盟个人数据保护通用条例》及其在德国的调适评析[J].德国研究，2018(03):101.

[8]刘金瑞.德国联邦数据保护法2017年版译本及历次修改简介[J].中德法学论坛，2017(02):354.

隐私权的概念，最终在美国最高法院“维伦诉罗伊案”中确立91。

在立法方面，美国没有专门的个人信息保护立法，分散规定在特定领域的专门立法，如《电子通讯隐私法》、《金融隐私权法案》、《有线通讯隐私权法案》等，主要借助较为完备的隐私侵权救济保护个人信息。为弥补立法的不足，美国还坚持行业自律的治理模式，对行业内部个人信息进行自我管理、自我约束与自我完善。

在同意方面，与欧盟设置严格保护标准进行消极防御不同，美国意图利用场景风险模式积极争夺数据产业中的优势地位。美国认为在场景稳定的情况下，风险是类似且稳定的，处理行为对个人信息主体可能造成的威胁也是相对确定的，如果个人信息再利用的场景与收集时的场景保持不变，就不需要再花费大量成本去获取同意，如个人信息再利用的场景发生变化，要求个人信息处理者重新进行场景风险评估，如果场景风险增大则需要向个人信息主体告知风险，由个人信息主体选择撤回同意还是继续授权，保障个人信息主体对个人信息的控制[101。如欧盟一样，美国的相关立法中也有关于同意撤回权的规定，例如《儿童在线隐私权保护法》规定，网络运营者需将拟开展的采集、使用与披露儿童个人信息的行为向其父母进行告知，告知的内容包括家长享有的同意、撤回同意的权利、同意撤回权行使的方式与途径等[11]。

在个人敏感信息保护方面，有关规定分散在各领域的专门立法中，例如《电信法案》、《金融服务现代化法案》均在类型上区分个人敏感信息，个人信息主体可以通过拒绝的方式禁止相关机构收集其个人敏感信息。不仅立法，行业规范也将个人信息划分为不同的敏感级别予以区别保护。二○一二年美国联邦贸易委员会发布了一份隐私保护指引报告，这份报告将消费者的个人信息按照敏感程度划分为三个类别，对三个类别的个人信息适用不同的同意机制，首先，那些虽然属于个人信息但法律规定或者维护社会公共利益所必需的个人信息，可以直接获取不需要个人信息主体的同意。其次，对于消费者的一般信息，可以通过择出的方式获得同意授权。最后，对于消费者的敏感信息，必须用择入的方式获得消费者的明示同意12]。

在侵权保护方面，个人信息侵权一般适用过错责任原则。《隐私法案》第七章规定如政府侵犯个人信息主体使用档案的四种权利并给个人信息主体造成损害，个

[9]Whalenv.Roe,433U.S.599(1977).

[10]邹晓玫，杜静.大数据环境下个人信息利用之授权模式研究——重要性基础上的风险评估路径探索[J].情报理论与实践，2020,43(03):40.

[11]Children'sOnlinePrivacyProtectionActof1998,15U.S.C.6501-6505.

[12]ProtectingConsumerPrivacyinanEraofRapidChange:RecommendationsforBusinessesandPolicymakers[EB/OL].[2021-02-03].

/reports/protecting-consumer-privacy-era-rapid-chan

ge-recommendations-businesses-policymakers.

人信息主体可以通过民事诉讼进行救济，对于此类案件应当适用无过错责任原则。针对存在故意的侵权行为，个人信息主体有权获得损失赔偿，但需要由其证明该机关拒绝或未能提供档案材料所造成的实际损失数额，个人信息主体最少可获得不低于一千美元的损失赔偿[13。

《加加州消费者隐私法案》关于个人信息侵权方面的规定较为特殊，该法案规定对特定类型的侵权行为个人才有资格提起诉讼，即对企业违反相关网络安全管理要求，在未加密状态下泄露特定信息，特定信息指社保账号数字、驾照数字、银行账号加密码、医学信息、生物信息等。而且《加州消费者隐私法案》规定损害赔偿金为实际损失与法定赔偿额中较高的一个，关于法定赔偿金，规定为每人每个事件一百美元到七百五十美元，具体金额由法院综合确定141。《加加州消费者隐私法案》通过限制消费者的个人诉讼类型、限制赔偿金额，避免对当事人和诉讼律师经济上产生激励，排除集体诉讼，使个人信息主体降低诉讼的意愿。

综上，美国以隐私权、以分散立法与行业自律的规制思路对个人信息的收集和利用进行保护，并且积极利用场景风险模式、分层次区别对待等手段，在保护个人信息安全的前提下，增强个人信息的利用效率，在全球信息产业竞争中争取优势。

(四)国外个人信息保护的借鉴

在个人信息保护模式方面，欧美因立法背景、价值取向和制度依托等方面不同，采用了不同的权利保护模式。无论是欧盟的个人数据权、美国的信息隐私权还是德国的信息自决权，都强调自然人可以根据自己的意志决定个人信息的利用，通过对个人信息的自主决定、自我支配实现维护人格尊严、尊重人格自由的目的。相较之下，我国目前的当务之急是确立个人信息权，结束个人信息保护无权利基础的状态。

在个人敏感信息方面，欧美的价值观念、历史发展以及文化背景存在不同，虽在个人敏感信息范围界定并不相同，但在保护规则方面是一致的。个人敏感信息保护主要以禁止处理为一般原则，同时设定例外条件，在符合法律创设的条件下才允许处理，以实现在保障个人权利与自由的前提下，促进信息的合法流通和利用。当前我国对于个人敏感信息的保护尚不到位，保护规则较为欠缺，个人敏感信息的保护亟须立法给予回应，应当积极借鉴国外先进经验构建个人敏感信息保护制度，为自然人重要权益保护提供确切规范与指引。借鉴的过程中应注意与我国既有的个人私密信息相协调，不可生搬硬套有关规定。

在告知同意规则方面，欧盟通过统一立法，对个人信息处理进行事前同意、事中监管到事后救济的“家长式”严格保护，其中告知同意是严格保护的核心制度。

[13]周汉华.域外个人数据保护法汇编[M].北京：法律出版社，2006.315.

[14]Article1798.150.(a)CaliforniaCon