国外网络隐私权保护制度评析

摘 要：世界上主要的国际组织先后通过国际公约、隐私保护与个人数据跨界流通指南、隐私保护框架等文件对网络隐私权予以了确认和保护。以欧盟和美国等为代表的互联网发达地区和国家，也先后制定了一系列保护隐私数据信息的法律规范，为网络隐私权的保护提供了充分的法律依据，产生产生了积极的效果。美国和欧盟由于法律传统存在差异，在网络隐私权保护方面也呈现出不同的特点。欧盟采取的是成员国国内统一立法、欧盟统一保护规则，各国实行统一监管机构监管的模式。美国则以行业自律为主、法律调整为辅，没有统一的保护网络隐私权的法律，而实施各个行业有针对性的隐私权保护规范，由不同职能部门分别监管。国外网络隐私权保护的经验可以作为中国建立网络隐私权保护框架的重要参考。

关键词：网络隐私权；个人信息；个人数据

中图分类号：DF4 文献标志码：A 文章编号：1673-291X（2013）29-0267-03

一、国外网络隐私权保护制度概况

互联网的广泛应用成为推动社会进步的重要力量，但同时也增加了大量网络侵权案件，其中用户网络隐私侵权现象已经愈演愈烈，成为被世界各国普遍关注的热点问题。主要国际组织和国家等都纷纷制定了保护网络隐私权的相应制度。由于网络隐私权主要是被网上个人信息或个人数据所承载，因此，国际组织和世界各国通常是将网络隐私权的保护置于个人信息或数据的保护范围之内。欧盟及其成员国主要采取统一立法的方式来进行规制。欧盟制定了《个人数据保护指令》和《电子通信资料保护指令》，作为成员国制定相关立法的指南；其成员国多数也制定了适用于本国的统一立法。经济合作与发展组织（OECD）颁行了《隐私保护与个人数据跨境流通指南》和《电子商务消费者保护指导原则》。亚太经和组织（APEC）在1985年和1995年分别通过了《过境数据流宣言》和《APEC信息基础设施汉城宣言》，2004年又通过了《APEC隐私框架》，即所谓的CBPR规则体系。

美国早在1974年就颁布了《隐私权法》，而如今作为世界上网络技术最发达的国家，其颁行了众多的涉及网络隐私权保护的法律和政策，典型的如《电子隐私通讯法》、《儿童在线隐私保护法》、《全球电子商务框架报告》、《个人隐私权与国家信息基础设施》白皮书、《网络空间可信身份标识国家战略》、《网络世界中消费者数据隐私：全球数字经济中保护隐私及促进创新的框架》等等，此外还包括一系列相关条例，如《信息自由法》、《金融隐私权法案》、《美国金融改革法》、《有线通讯隐私权法案》、《电视隐私保护法案》、《电话用户保护法案》等[1]。德国则制定有《联邦个人数据保护法》，作为德国联邦法院实现个人信息保护功能的基本成文法[2]。其他一些国家，如英国、法国、意大利、俄罗斯、澳大利亚、加拿大、日本、韩国等也都制定了专门的可以适用于网络隐私权保护的个人信息或个人数据保护法。中国的台湾省和香港地区也制定有专门的法律对用户的网络隐私予以保护。

尽管世界各国为保护网络隐私权普遍制定了专门法律，但在权利保护的具体实践方面并不一致。通过比较研究，我们发现，在立法内容方面各国显示出一定的趋同性，这反映了国际社会在网络隐私权保护方面的共识；而同时在实现网络隐私权保护的具体方式上却出现了较为明显的差异，尤其是欧盟严格的网络隐私保护模式与美国较为松散的保护方式形成了鲜明对比。这种差异主要源自各国社会发展状况和立法传统的不同。我们认为，世界各国和地区在网络隐私权保护的方式和水平上存在不同是很正常的，重要的是各国已经越来越重视这个问题，并且已经取得了一定的探索经验，可供我国借鉴。下面我们将对世界各国网络隐私权保护的总体情况进行分析评价，从而发现其总的发展趋势。

二、国外网络隐私权保护的共性

网络隐私权作为世界各国国内立法和国际合作中保护的重点内容之一已经成为了共识。以欧盟和美国为代表的主要地区和国家在保护网络隐私权方面具有如下共同点。

（一）重视网络隐私权的保护，制定大量的专门立法

截止到今天，欧盟、经合组织、亚太经合组织等的成员国多数都制定了本国的信息保护法。根据立法保护的客体范围不同，有的国家使用的是“数据保护法”，如德国、法国、芬兰等；有的国家采用的是“信息保护法”这样的措辞，如日本和韩国。这些国家使用的名称虽然不同，但其核心实质具有同一性，都是对信息或者表现为数据形态的信息进行立法保护。使用“数据保护”这种说法的以欧洲国家为主，以美国为代表的一些国家还直接使用了“隐私权保护”这样的立法称谓，除美国外还有澳大利亚、加拿大、新西兰等。作为亚太经合组织成员国的俄罗斯，其互联网发展与中国具有相似的特点，都是起步于20世纪90年代初期，但俄罗斯在信息立法方面却远远走在了中国的前面。1995年俄罗斯就颁行了《俄罗斯联邦信息、信息化与信息保护法》，后于2006年重新修订颁行，名称改为《俄罗斯联邦信息、信息技术与信息保护法》。总之，目前世界上多数大力发展互联网的国家，其中也包括很多互联网发展不如中国的国家，已经制定了专门的信息保护法，运用独立的部门法调整隐私信息保护的法律关系成为了世界各国的共识。

（二）注重对商务活动领域中个人隐私数据的保护

互联网的发展为经济贸易的发展提供了无与伦比的便捷条件，尤其是对推动跨国贸易、跨境交易意义重大，电子商务就是在这样的背景下得到迅速发展的。电子商务企业在业务往来过程中会获取大量的用户信息，其中既包括个人用户的信息，也包括其他企业法人的信息，这些信息蕴涵着巨大的商业价值。此外，从整个电商行业掌控的个人信息（含法人）角度来看，这些信息还具有巨大的国家战略价值。电商行业与其关联组织，如其他企业、物流公司、金融机构、保险公司等通常存在复杂的关系，很可能需要共享这些信息，并由此带来信息安全问题。世界各国，尤其是国际组织都非常重视电子商务环境下个人信息和隐私数据保护问题。经合组织曾批准通过《电子商务消费者保护指导原则》，目的是在于确保消费者网上购物时也可获得不亚于直接由本地商家或邮购购物水平的隐私安全保障。亚太经合组织制定的隐私保护规则更是主要针对电子商务领域个人信息和隐私数据的保护。美国克林顿政府于1997年批准了《全球电子商务框架报告》，该报告并不具有法律效力，但却反映出美国在电商领域强化保护个人信息和隐私的政策导向。

（三）注重对个人数据信息利用行为的规范

国际组织在制定跨境数据流动的规则中，非常重视对数据控制者转移数据的限制，因为数据的再次转移很容易造成信息泄漏，给权利人带来损害。但国际组织也注意到，数据的价值在很大程度上是依靠其有效流动来实现的，因此在对数据流动限制的同时还要保证其流动的自由。这就是说，对数据流动的限制应该保持在极其必要的范围内。欧盟的《个人数据保护指令》中对数据进行了分类处理，其中所谓的敏感信息原则上是禁止处理的，而为履行公共事务或行使公共权力的数据管理人和第三方则有权披露数据信息，基于数据管理人和接受数据的第三方的合法利益的目的也可以披露数据，但这种利益不能超出数据主体的利益、自由和基本权利。亚太经合组织的CBPR框架也对信息的合理使用设定了基本方向，信息的实际控制者在使用个人信息，包括个人信息的转移或披露时，应该考虑信息的性质、收集的背景和信息的预期用途。确定信息使用的目的是否和所陈述的目的相符合，或者是否来源于原来的目的，亦即原来目的的合理延伸。可见，虽然CBPR没有指明哪些信息属于敏感信息，但却明确要求成员国在处理信息时应考虑信息的性质，这无疑是对信息分类的要求。由于CBPR属于建议性质，这种分类目前只能在各个成员国的国内立法中予以体现。

对个人数据信息的利用还涉及到二次利用的问题。二次利用也称加值利用，是指超出收集个人信息的特定目的的使用。个人信息收集的目的在于个人信息的利用，通常包括按照个人信息收集目的的使用，也包括更为复杂的二次利用。原则上，二次利用是不被法律禁止的，但需要符合正当的使用观念。欧盟对个人信息的二次利用持保守态度。它认为，个人数据权是一项基本人权，因此，二次利用应当严格受限。欧盟《个人数据保护指令》第6条规定，个人数据仅能用于个人同意的目的，或者当事人在个人数据被收集的时候知道或者应当知道的使用目的。据此可知，欧盟反对没有合法根据的个人数据二次利用。与之相反，美国并不是将个人信息权或隐私权作为基本人权看待，其个人信息立法的目的主要在于防止个人信息滥用。因此，个人数据的二次利用在美国原则上是得到允许的，这是美国社会对个人信息资源开发和利用的基本态度。根据美国宪法关于隐私的保护规定，既然个人信息是信息主体主动自愿提供的，它就丧失了隐私期待利益，因而不受美国宪法的保护。当然，美国法也要求对敏感个人信息进行二次利用之时，必须获得信息主体书面许可。这体现了对敏感个人信息（如关于儿童的个人信息和治疗吸毒、酗酒的医疗信息）的特别保护，属于个人信息保护的特例。可见，在敏感信息的二次利用方面，总的原则是趋于限制的。

（四）注重特殊群体的网络隐私权保护

在世界各国普遍重视保护网络用户个人信息和隐私数据的同时，一些国家开始越来越重视特殊人群的隐私保护问题。这里所谓的特殊人群，就是指儿童、消费者、雇员和患者等特定人群。这些特殊群体有的是自我保护能力较弱，如未成年的儿童、青少年等；有的是处于特殊的消费领域，如某个行业的消费群体、银行储户、医疗机构的病患等。另外，还有出于工作需要而被掌握个人信息的群体，主要是各行业中的雇员职员等工作人员。个人信息和隐私数据保护水平的逐渐提高，将会出现保护客体的分层化，如出现一般信息和敏感信息的区别对待规则，对特殊群体保护的独立性也是个人信息保护水平提高的标志之一。以保护儿童隐私权为例，《联合国儿童权利公约》明确规定了儿童的隐私、家庭、住宅或通信不受任意或非法干涉，其荣誉和名誉不受非法攻击。美国不仅制定有《隐私权法》，还专门制定了《儿童在线隐私保护法》。该法要求，网络从业者要确实告知其网站上的隐私权政策，并且在搜集13岁以下儿童个人信息前，必须首先获得家长的同意。欧盟从保护未成年人利益的角度出发，对互联网内容分级管理，采取多种方式避免青少年受到来自互联网的伤害。2008年，欧洲议会批准通过了欧盟委员会的第三个网络安全计划，旨在2009年至2013年间加大力度，打造有利于未成年人的安全网络环境。总之，世界各国与国际组织在个人信息与隐私数据保护方面呈现出进一步细化的趋势，这也是保护水平提高的表现。

三、立法模式与监管方式的分野

（一）统一立法与分散立法

在个人信息与隐私数据保护方面，世界各国的立法模式主要有统一立法和分散立法两大类。所谓统一立法，就是指在国内制定专门统一的调整信息保护或隐私保护法律关系的法典。这一类的国家属于多数，几乎大多数欧盟成员国以及其他一些国家都采用了这种立法模式。欧盟组织虽然曾经大力倡导这种立法模式，但大多数国家采取这种模式主要是因为与各自的国内法律体系相吻合。采取统一立法模式的主要优点有：个人信息和隐私数据的保护在国家内部得到明确化，以法律的形式把个人信息权利确定下来，从而有利于对公民个人信息权利加以保护；统一立法模式还有利于建立保护个人信息和隐私的统一标准，避免了分散立法以及自律规范标准混乱的问题；统一的立法是由权威的立法机关经过严格的法定程序产生的，是经过专家论证和广泛的社会征集意见，因此更为科学，更容易被公众所遵行。分散立法的典型国家是美国，美国个人信息保护立法旨在强调信息的隐私性保护，采取公、私有别的分散式立法模式，形成个人信息保护的多元格局。在美国，个人信息保护法律规制的最大特点是多样性，议会以立法的形式明确个人信息保护的基本准则与理念；不同行政部门在执行个人信息保护法律的过程中以制定行政规则或决定等方式解释法律所规定的准则；法院则通过个案以判例的形式拓展个人信息保护的领域与力度。美国联邦层面涉及个人信息保护的法律近40部。美国2012年出台《网络隐私保护框架》，旨在推动联邦立法，并进而制定具有强制力的实施细则，最低限度也要成为美国联邦贸易委员会强制执行的行为准则[3]。不同的立法模式反映出不同的价值理念和法律文化背景。大陆法系国家注重权利本身的保护，习惯采取集中管理的方式，成文法的背景致使其一般采取统一立法的模式，而美国则更加看重自由价值，在遵从一般性原则的前提下，多采取体现各个领域意志的管理规范。

（二）统一监管与分散监管

世界各国在对个人信息和隐私数据保护监管方面的做法不一，但基本上呈现两大类型，一是统一的监管，一是分散监管。监管方式的不同是由立法模式不同所决定的。采取统一立法模式的国家和地区通常也采取统一的监管方式，而采取分散立法模式的国家则一般也会采取分散的监管方式。欧盟《数据保护指令》规定各国设立独立的监管机构来建立控权机制，这些机构在行使授予它们的职权时应当完全独立。除一些国家外，多数欧盟成员国都已经建立了统一的执行和法律架构，具有统一的国内数据保护法和独立的专员办公室。例如，德国的联邦数据保护与信息自由专员就是德国个人信息保护与信息自由法律实施的监督机构。而由17名成员组成的国家信息与自由委员会则是法国监督《数据处理、数据文件及个人自由法》实施的独立机构。与此不同，美国采取的是分散监管机制。美国将公共部门与私营机构收集、储存和处理个人信息的行为分别置于不同的法律框架内调整，对隐私权的保护划分为公、私两个领域，分别采用不同的保护方式：在私人领域，主要通过从业者的自我约束和相关协会的监督管理来保护公民的个人隐私安全；在公共领域，则制定大量的单行法规来规范政府行为，保护公民隐私权。这样的监管方式对不同领域的隐私权采用不同的保护方式，有效避免了国家立法对个人信息正常流动的过早干预，但在解决争议方面缺乏有效的机制。

（三）法律规制与行业自律

目前，世界各国都开始重视行业组织在个人信息和隐私保护方面的积极作用，但行业自律的地位在各国并不相同。通常情况下，偏重于个人隐私权利保护的国家不如主张商业充分发展、公民自由权利至上的国家重视行业自律。这也就是行业自律机制在美国较之欧洲得到更加广泛应用的原因。欧盟成员国并非均排斥行业自律机制，而是在个人信息和隐私保护方面更多地是依靠立法，行业自律只是辅手段。而在美国，行业自律成为了调整个人信息保护的主要手段，国家只有在极其必要的情况下才会介入到个人信息与隐私保护中来，这是美国倡导市场自由发展理念的结果之一。美国目前主要的行业自律模式包括建议性的行业指引、网络隐私认证机制和技术保护模式[4]。法律规制与行业自律调整关系的分野是各个国家各个地区法律传统和社会历史背景不同造成的，但现在逐渐出现了融合的趋势，偏重一方容易导致保护的不平衡。如注重法律规制，容易产生调整不及时不灵活的问题，而侧重行业自律机制的，则很容易出现执行与救济无力，对权利主体实质上保护效果不佳。

综上所述，我国应借鉴世界各国的先进经验，根据自身特点，既要充分保证数据流动的自由性与市场的活跃，也要保证权利主体的信息安全，尽可能发挥立法与行业组织的各自优势，综合调整好隐私保护的法律关系。笔者较为倾向于以欧盟的调整方式为范本。同时认为，应积极发挥行业自律的规范作用，因为即使制定了有关的信息保护法律，行业自律仍不会因而失去其存在的价值和意义，应将其与相关的立法紧密结合，共同发挥规范网络行为的作用。

参考文献：

[1] 华劼.网络时代的隐私权——兼论美国和欧盟网络隐私权保护规则及其对我国的启示[J].河北法学，2008，（6）：9.

[2] 贺栩栩.比较法上的个人数据信息自决权[J].比较法研究，2013，（2）：65.

[3] 王忠.美国网络隐私保护框架的启示[J].中国科学基金，2013，（2）：100.

[4] 徐瑾.美国网络隐私权法律保护[J].现代情报，2005，（6）：223.