欧美个人信息保护机制

胡 徽

（广东外语外贸大学法学院，广东 广州 510420）

个人信息保护的重要性已经在国际上达成了共识，在世界范围内正掀起一股个人信息保护的立法潮流，如欧盟以《一般数据保护条例》为主导，建立起严厉的个人数据保护以及监管机制，美国则通过分散立法的模式强调行业自律，同时形成了多方面多领域的行政法保护体系。欧美两种不同形式的保护机制也影响了东亚各国的个人信息保护机制。日本采用统分结合的立法模式同时通过政府和民间机构规范个人信息的流动，新加坡和韩国通过完善国内立法来建立其个人信息保护机制。

一、欧美个人信息保护机制相关概述

（一）欧盟个人信息保护机制

欧盟拥有着极悠久地对个人信息保护的历史传统，自《欧洲人权公约》到《数据保护指令》都体现着欧盟对于个人信息的重视并将其视为欧洲公民的基本权利，这类法律中所体现的个人信息保护理念已成为欧洲整个数据保护立法的奠基石。在2018年欧盟正式通过《一般数据保护条例》，同时也代表着欧盟个人信息保护机制的进一步升级和完善。

《一般数据保护条例》总共分为了十一章，分别规定了对于数据处理的原则，关于数据个人主体的权利，以及相应的处理者和管理者的权利，还涉及数据跨境传输的有关事项［1］。分析《一般数据保护条例》的立法条文，我们可以从中概括出其五个主要特点，

欧盟在跨境数据的自由流动方面其法律的域外效力得到了进一步的加强和扩张。

欧盟的数据规范得到了统一和发展，《一般数据保护条例》可直接适用于整个欧盟，其数据保护的执行力得到了强化。

一站式的监管模式，欧盟可以通过主体所在的国家来确定数据监管机构的管辖，使得《一般数据保护条例》执行力问题得到进一步加强。

欧盟更加侧重于个人数据的保护，通过谷歌案等《一般数据保护条例》实施后的实际案例分析，我们不难看出欧盟的立法和执法理念更加侧重于保护个人数据。

为全世界范围建立个人信息和数据保护的蓝本，欧盟《一般数据保护条例》出台后各国以此推动自身的个人信息保护立法。欧盟的法律模式使得后发国家或主动或被动地加入欧盟的数据安全保护机制下，欧盟在自身个人信息保护机制的建立和发展优化下得到了很高的话语权，世界各国以及企业为了迎合或者商业合规都对自身的法律规定建设作出了改变。

（二）美国个人信息保护机制

美国同样在个人信息保护的立法层面中有着重要的一笔，美国是最早从法律层面围绕着其自身宪法规定的隐私权来进行立法的国家。美国于1974年就颁布了《隐私权法》，在该法律条文中我们可以看到美国对于个人信息概念进行了明确和划分，同时对于主体之间所应当承担的举证责任、侵害主体应当承担的赔偿责任，也规定了相应的救济途径，在此基础下建立了一个以政府为主导的，结合了电子商务、证券、电子通信等相关领域的行政保护体系。与此同时，在美国政府未能涉及的行业领域采取的就是通过行业自律的管理方式来进行监督和管理。行业自律模式很好地填补了法律滞后性的空缺，可以在新的行业出现或者新的法律漏洞出现时进行自我高效的填补，但同时行业自律模式也有着其自身的不足所在，行业自律是缺少一个强制力作为自身的执行保障的，通过实际案例中我们就可以看出如facebook等大公司会通过技术手段跳过或者无视行业自律的规定来谋取自身的利益。同时在出现纠纷时，正是因为缺少了统一的规定和纠纷解决机制，在案例中的纠纷缺乏政府和相应法规的指导而陷于僵局。通过与欧盟的立法理念对比我们可以知道在美国，个人信息并非一种类似于欧盟的私法性质的权利。美国采取的一系列个人信息保护措施主要规制的是拥有公权力的机构大规模地收集个人数据的行为，在范围方面来说是针对特殊的群体和对象的。《加利福利亚消费者隐私法案》于2020年的实施代表着美国自身个人信息保护模式的新发展方向。

美国有建立个人信息保护统一标准的倾向。其法律内容对于信息主体、信息责任者和如何合理合法处理信息以及透明公开作出了规定。

对于隐私权的强化。法律将大力地强调主体对于其个人信息的控制，为受服务方设立了大量的权利，同时对提供服务方增设了与之对应的义务。

设定严厉的处罚。根据《加利福利亚消费者隐私法案》的规定，企业一方如果违反了义务而且未实施和维护合理安全程序或者采取相应的措施来保护个人信息的话，消费者可以以此提起民事诉讼［2］。美国通过自律与他律的相互配合，例如通过安全港的方式将两者结合起来，在这种模式下促进自律模式的作用发展，使得两者进行了有机地结合，很好地利用了自律行为的时效性优势和政府的强制力优势。

二、我国个人信息保护机制启示

随着信息化在我国普通民众的生活中占的比重越来越大，数据和个人信息在当今生活中的广泛使用，我国对比欧美等国的个人信息保护机制仍然有许多的不足和待进步的方面，国家也围绕着个人信息安全和个人隐私做了大量的工作，通过对欧美等国的个人信息保护机制研究，以其为镜，对我国自身建构起完善的个人信息保护机制有着重要的启示作用。

（一）完善个人信息保护的制定法治建设

通过国内实例分析，在当今立法进程方面应加快《个人信息保护法》的立法进程，明确中国公民在个人信息保护方面的各项权益，概念厘清。针对处于强势方的网络服务提供商，我们要在受服务方和接受服务方的权利义务分配中做出清晰有效的规定，明确各领域各方面的主管部门。一个合理的规定明确的制定法将有力地为单一个体提供解决纠纷的指引和途径。

（二）完善救济路径

配合推动公法制定进程的同时，我们应当在个人层面如消费者权益保护方面加强应有的救济路径，例如通过在消费者权益保护法中进行规定，个人对于网络运营者侵犯了自身个人信息权益的追究，如何进行索赔。或者成立行业的个人信息保护机构，对网络运营者本身进行社会监督，公民可以将自身的被侵权事项统一交由机构处理。通过机构进行公益诉讼或者集体诉讼等法律途径进行处理。

（三）提高行政执法能力

通过案例分析中我们可以得到的信息是，对于个人信息保护的措施主要是通过刑事打击来处理的，我们一直在加强关于个人信息违法犯罪的打击力度，但是相对而言我们在民事和行政的保护力度上严重不足，主要是通过刑法的威慑力来进行治理，没有合理的规则进行指引，我们必须强化对数据收集、存储使用等一系列行为的监督和治理能力。

（四）培养企业管理意识

我们应注重提高和培养企业自身的规范和合规意识，使得提供网络服务者拥有数据安全保护的品牌意识，使得数据保护能力也成为企业发展中重要的评判指标，使得提供网络服务者从自身利益出发，把对于其的被动监管变为自身主动出发，培养一个良性安全的数据流动环境。

三、结语

欧美个人信息保护机制的出台和实践经验对于我国的个人信息保护机制是极有参考价值的范例，其在实践中所出现的问题、其应对的解决方式，以及其较为先进的立法技术都十分值得我们在立法和实践层面进行参考。数据时代，个人数据价值十分明显和重要，对于数据的流动本身来说甚至可以与金钱的流动相比，我国现行的法律框架和制度下对于保护个人数据的监管是存在着不足和缺点的，对于个人信息定义不清以及个人数据权利不完整，对于侵犯个人数据或者滥用个人数据的监管还存在着不足，即使有处罚的措施也没有对于大型网络企业的威慑力，并不足以有效地解决问题。因此有很多不利影响在参考的同时，我们也应立足于我国自身个人信息发展的实际环境，不能生搬硬套，在个人信息和数据网络发展中找好平衡点，去加强我国个人信息保护机制的建立。