信息來源：安全牛

前言

隨著我國信息化建設(shè)的不斷推進(jìn)和互聯(lián)網(wǎng)應(yīng)用的日趨普及，在推動(dòng)社會(huì)發(fā)展和技術(shù)變革的同時(shí)，也為企業(yè)和個(gè)人信息保護(hù)帶來了新的挑戰(zhàn)。特別是近些年，個(gè)人信息在被各類主體挖掘和利用的同時(shí)，因個(gè)人信息泄露所引發(fā)的侵權(quán)、欺詐等信息犯罪行為日益嚴(yán)重，已為全社會(huì)造成了巨大損失，嚴(yán)重影響了社會(huì)安定。

對(duì)此，國家陸續(xù)頒布、實(shí)施了一系列法律、規(guī)范。特別是將于2017年6月1日正式實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》，強(qiáng)調(diào)了中國境內(nèi)網(wǎng)絡(luò)運(yùn)營者對(duì)所收集到的個(gè)人信息所應(yīng)承擔(dān)的保護(hù)責(zé)任和違規(guī)處罰措施。

相較國內(nèi)而言，歐美、日本和香港地區(qū)個(gè)人信息與隱私保護(hù)立法、實(shí)踐較為完善，內(nèi)容較為全面，特別是美國相關(guān)的立法原則成為了全球大多數(shù)國家、地區(qū)和國際組織個(gè)人信息與隱私保護(hù)法律、規(guī)則的參考原則。盡管我國已制定或修訂了包含個(gè)人信息保護(hù)的多項(xiàng)法律、法規(guī)及行業(yè)規(guī)范，但是，專項(xiàng)個(gè)人信息保護(hù)法律制定的重要性和緊迫性仍不言而喻。因此，我們應(yīng)立足國情，從實(shí)際情況出發(fā)，學(xué)習(xí)和借鑒國外及港澳臺(tái)地區(qū)立法與實(shí)踐經(jīng)驗(yàn)，制定符合自身發(fā)展需要的個(gè)人信息保護(hù)法律，完善法律體系。

關(guān)鍵發(fā)現(xiàn)

√ 國際個(gè)人信息與隱私保護(hù)典型的法律模式以歐盟、美國和日本為代表。歐盟采用統(tǒng)一立法模式，通過制定綜合性的個(gè)人信息保護(hù)法律對(duì)個(gè)人信息全生命周期進(jìn)行管理；美國采用分散立法和行業(yè)自律相結(jié)合的模式，對(duì)個(gè)人隱私保護(hù)進(jìn)行分散立法；日本則以專項(xiàng)保護(hù)法律為核心，同其他法律共同構(gòu)成個(gè)人隱私保護(hù)法律體系。

√ 國際通行的個(gè)人信息保護(hù)原則以美國《公平信息實(shí)踐》（FIPs）為參考，最終形成公開性原則、限制性原則、數(shù)據(jù)質(zhì)量原則、責(zé)任與安全原則和個(gè)人信息權(quán)利保護(hù)原則等五大原則。

√國內(nèi)對(duì)于個(gè)人信息保護(hù)的法律目前由具體的法律、行政法規(guī)、地方性法規(guī)和規(guī)章、各類規(guī)范性文件和部門規(guī)章等共同組成，形成多層次、多領(lǐng)域、內(nèi)容分散、體系龐雜的個(gè)人信息保護(hù)模式，但尚未制定專項(xiàng)的《個(gè)人信息保護(hù)法》，立法工作進(jìn)程有待快速推進(jìn)。

√ 個(gè)人信息在網(wǎng)絡(luò)日趨普及、云計(jì)算和大數(shù)據(jù)背景之下，特別是由于信息安全技術(shù)漏洞的出現(xiàn)和管理不當(dāng)造成個(gè)人信息泄露和非法使用，個(gè)人信息犯罪案件頻發(fā)。

引言

在當(dāng)前信息社會(huì)，個(gè)人信息已成為一種重要的社會(huì)資源。隨著數(shù)字時(shí)代的到來，數(shù)字化信息處理日趨普遍。對(duì)于個(gè)人信息處理而言，人們?cè)谙硎軘?shù)字化所帶來的諸多便利同時(shí)，也面臨著由個(gè)人信息數(shù)字化所帶來的風(fēng)險(xiǎn)。特別云計(jì)算、大數(shù)據(jù)等高新技術(shù)的發(fā)展，如何保護(hù)個(gè)人信息已成為現(xiàn)代社會(huì)所面臨的挑戰(zhàn)，并成為一個(gè)全球性的法律問題。因此，個(gè)人信息保護(hù)立法工作成為各國的主要立法運(yùn)動(dòng)之一對(duì)于引導(dǎo)公民權(quán)利意識(shí)，規(guī)范政府和社會(huì)行為，明確不法侵害，保護(hù)個(gè)人權(quán)益都具有重要意義和作用。

一、個(gè)人信息與隱私的關(guān)系

1. 個(gè)人信息的概念與分類

1.1 個(gè)人信息的概念

個(gè)人信息是指與特定個(gè)人相關(guān)聯(lián)的、反映個(gè)體特征的具有可識(shí)別性的符號(hào)系統(tǒng)，包括個(gè)人身份、工作、家庭、財(cái)產(chǎn)、健康等各方面的信息。

從各國立法看，學(xué)界目前比較一致的看法是，個(gè)人信息的概念始于1968年聯(lián)合國“國際人權(quán)會(huì)議”中提出的“資料保護(hù)”。

目前，世界各國立法主要使用三種概念：個(gè)人數(shù)據(jù)、個(gè)人隱私與個(gè)人信息。以“個(gè)人數(shù)據(jù)”稱謂的主要以歐盟成員國及受其影響較大的國家，如1978年法國《資料保護(hù)法》、挪威《資料登錄法》和2016 年歐盟新通過的數(shù)據(jù)保護(hù)法案《通用數(shù)據(jù)保護(hù)指令》（General Data Protection Regulation，GDPR）；以“個(gè)人隱私”稱謂的主要有普通法國家，如1974年美國《隱私權(quán)法》、1987年加拿大《隱私權(quán)法》和1988年澳大利亞《隱私權(quán)法》；使用“個(gè)人信息”概念的，如1978年奧地利《信息保護(hù)法》、1999年韓國《公共機(jī)構(gòu)之個(gè)人信息保護(hù)法》，以及1999年俄羅斯《俄羅斯聯(lián)邦信息、信息化和信息保護(hù)法》等；也有將個(gè)人信息與個(gè)人數(shù)據(jù)共同使用的國家，如日本2005年4實(shí)施的《個(gè)人信息保護(hù)法》，而1980年9月由經(jīng)濟(jì)合作與發(fā)展組織（OECD）理事會(huì)通過的《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨國流通指南》則同時(shí)使用了“隱私”和“個(gè)人數(shù)據(jù)”兩種概念，2010 年 4 月 27 日，我國臺(tái)灣地區(qū)出臺(tái)的《個(gè)人資料保護(hù)法》則用“個(gè)人資料”來定義個(gè)人信息，我國香港地區(qū)實(shí)施的《個(gè)人資料（隱私）條例》，則以資料、隱私來概括個(gè)人信息。

由我國社會(huì)科學(xué)院法學(xué)研究所周漢華研究員牽頭負(fù)責(zé)的個(gè)人數(shù)據(jù)保護(hù)法研究課題組所起草的《中華人民共和國個(gè)人信息保護(hù)法（專家建議稿）》以及由廣西大學(xué)法學(xué)院齊愛民教授所擬定的《中華人民共和國個(gè)人信息保護(hù)法示范草案學(xué)者建議稿》所使用的概念均為“個(gè)人信息”。

國內(nèi)學(xué)界有觀點(diǎn)認(rèn)為“個(gè)人信息”是指一切可以識(shí)別本人的信息的總和，也有觀點(diǎn)認(rèn)為個(gè)人信息包括所有與個(gè)人有關(guān)的信息，具體包括：身體物理特征；感情、思想與觀點(diǎn)；經(jīng)濟(jì)與財(cái)產(chǎn)狀況；生活方式；身份信息；家庭與社會(huì)關(guān)系；職業(yè)經(jīng)歷、簡歷和個(gè)人檔案資料；健康狀況與病歷；個(gè)人通信、日記和其他私人文件；其他所有純屬私人內(nèi)容的個(gè)人數(shù)據(jù)資料。還有觀點(diǎn)認(rèn)為個(gè)人信息則是指那些能夠據(jù)此直接或間接識(shí)別出特定自然人身份的信息，在現(xiàn)實(shí)生活中它往往需要通過諸如姓名、肖像、聲音（聲紋）、指紋、基因編碼、身份證號(hào)碼、各種與特定主體身份緊密相關(guān)的通信號(hào)碼等各種符號(hào)、標(biāo)識(shí)和載體而表現(xiàn)出來。

總體而言，個(gè)人信息涵蓋內(nèi)容非常廣泛。

依據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第一條規(guī)定，“刑法第二百五十三條之一規(guī)定的‘公民個(gè)人信息’，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。”

1.2 個(gè)人信息的分類

根據(jù)不同的標(biāo)準(zhǔn)，個(gè)人信息可以劃分為不同的類別：

• 以能否直接識(shí)別本人為標(biāo)準(zhǔn)，個(gè)人信息可以分為直接個(gè)人信息和間接個(gè)人信息。直接個(gè)人信息，是指可以單獨(dú)識(shí)別本人的個(gè)人信息，如身份證號(hào)碼、基因等；間接個(gè)人信息，是指不能單獨(dú)識(shí)別本人，但和其他信息結(jié)合可以識(shí)別本人的個(gè)人信息。
• 以個(gè)人信息是否涉及個(gè)人隱私為標(biāo)準(zhǔn)，個(gè)人信息可以分為敏感個(gè)人信息和瑣細(xì)個(gè)人信息(trivial data)。敏感個(gè)人信息，是涉及個(gè)人隱私的信息。根據(jù)英國1998年《資料保護(hù)條例》的規(guī)定，敏感個(gè)人信息是“由資料客體的種族或道德起源，政治觀點(diǎn)，宗教信仰或與此類似的其他信仰，工會(huì)所屬關(guān)系，生理或心理狀況，性生活代理或宣稱的代理關(guān)系，或與此有關(guān)的訴訟等諸如此類的信息組成的個(gè)人資料”?，嵓?xì)個(gè)人信息是指不涉及個(gè)人隱私的信息。根據(jù)瑞典《資料法》的規(guī)定，瑣細(xì)信息是指“很明顯的沒有導(dǎo)致被記錄者的隱私權(quán)受到不當(dāng)侵害的資料”。這點(diǎn)同我國《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng) 個(gè)人信息保護(hù)指南》中對(duì)于個(gè)人信息的劃分基本一致，即分為個(gè)人敏感信息和個(gè)人一般信息。
• 以個(gè)人信息的處理技術(shù)為標(biāo)準(zhǔn)，可以將個(gè)人信息劃分為電腦處理個(gè)人信息與非電腦處理個(gè)人信息。
• 以個(gè)人信息是否公開為標(biāo)準(zhǔn)，可以分為公開個(gè)人信息和隱秘個(gè)人信息。公開個(gè)人信息，是指通過特定、合法的途徑可以了解和掌握的個(gè)人信息。隱秘個(gè)人信息和公開個(gè)人信息對(duì)應(yīng)，是指不公開的個(gè)人信息。這種分類的法律意義在于，公開個(gè)人信息無論是否屬于敏感個(gè)人信息，都已經(jīng)喪失了隱私利益，不能取得敏感個(gè)人信息的特殊保護(hù)。
• 除此之外，以個(gè)人信息的內(nèi)容為標(biāo)準(zhǔn)，個(gè)人信息還可以分為屬人的個(gè)人信息和屬事的個(gè)人信息。屬人的個(gè)人信息反映的是個(gè)人信息本人的自然屬性和自然關(guān)系，它主要包括本人的生物信息。屬事的個(gè)人信息反映的是本人的社會(huì)屬性和社會(huì)關(guān)系，它反映出信息主體在社會(huì)中所處的地位和扮演的角色。
• 個(gè)人信息還可以分為納稅信息、福利信息、醫(yī)療信息、刑事信息、人事信息和戶籍信息等，不同信息的具體保護(hù)方式亦不相同。

2. 個(gè)人信息與個(gè)人數(shù)據(jù)和隱私的關(guān)系

2.1 個(gè)人信息與個(gè)人數(shù)據(jù)的關(guān)系

與個(gè)人信息在概念上最為接近的是“個(gè)人數(shù)據(jù)”。如前所述，個(gè)人數(shù)據(jù)概念使用的較多的主要是歐盟成員國以及其他受1995年歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》影響而立法的其他大多數(shù)國家。在普通法國家（英國作為歐盟成員國除外），如美國、澳大利亞、新西蘭、加拿大等，以及受美國影響較大的亞太經(jīng)濟(jì)合作組織（APEC），則大多使用隱私法概念。在日本、韓國、俄羅斯等國，則使用“個(gè)人信息法”概念。所以，從個(gè)人數(shù)據(jù)較為統(tǒng)一的概念上理解，個(gè)人信息與個(gè)人數(shù)據(jù)兩個(gè)概念的基本內(nèi)涵是相同的，區(qū)別在于表述的不同，在國內(nèi)一般習(xí)慣將其概括為個(gè)人信息（personal information），而西方國家或者說國際立法上則更習(xí)慣于稱其為個(gè)人數(shù)據(jù)（personal data）。

2.2 個(gè)人信息與隱私的關(guān)系

與個(gè)人信息在內(nèi)容上有較多重合之處的另一個(gè)概念是隱私。

所謂隱私權(quán)，通常是指“私生活不受干涉的權(quán)利”，“或個(gè)人私事未經(jīng)允許不得公開的權(quán)利”。也就是說，每一個(gè)人均有“不受旁人干涉攪擾的權(quán)利”。隱私權(quán)的實(shí)質(zhì)在于，個(gè)人自由決定何時(shí)、何地以何種方式與外界溝通。就此而言，隱私權(quán)表現(xiàn)為個(gè)人對(duì)自身的支配權(quán)。

從個(gè)人信息和隱私的權(quán)利角度來看，個(gè)人信息權(quán)和隱私權(quán)都是人格權(quán)的一種，它們之間存在密切的關(guān)聯(lián)性，在權(quán)利內(nèi)容等方面存在一定的交叉，其相似性體現(xiàn)在以下幾點(diǎn)：

第一，二者的權(quán)利主體都僅限于自然人，而不包括法人。從隱私權(quán)的權(quán)利功能來看，其主要是為了保護(hù)個(gè)人私人生活的安寧與私密性，因此，隱私權(quán)的主體應(yīng)當(dāng)限于自然人，法人不享有隱私權(quán)；個(gè)人信息因具有可識(shí)別性，即能直接或間接指向某個(gè)特定的個(gè)人，所以個(gè)人信息的權(quán)利主體限于自然人，而法人的信息資料不具有人格屬性，法人不宜對(duì)其享有具有人格權(quán)性質(zhì)的個(gè)人信息權(quán)，侵害法人信息資料應(yīng)當(dāng)通過知識(shí)產(chǎn)權(quán)法或反不正當(dāng)競爭法予以保護(hù)。

第二，二者都體現(xiàn)了個(gè)人對(duì)其私人生活的自主決定。 無論是個(gè)人隱私還是個(gè)人信息，都是專屬自然人享有的權(quán)利，而且都彰顯了一種個(gè)人的人格尊嚴(yán)和個(gè)人自由。

第三，二者在客體上具有交錯(cuò)性。 隱私和個(gè)人信息的聯(lián)系在于: 一方面，許多未公開的個(gè)人信息本身就屬于隱私的范疇。事實(shí)上，很多個(gè)人信息都是人們不愿對(duì)外公布的私人信息，是個(gè)人不愿他人介入的私人空間，不論其是否具有經(jīng)濟(jì)價(jià)值，都體現(xiàn)了一種人格利益。一方面，部分隱私權(quán)保護(hù)客體也屬于個(gè)人信息的范疇。尤其應(yīng)當(dāng)看到，數(shù)字化技術(shù)的發(fā)展使得許多隱私同時(shí)具有個(gè)人信息的特征，如個(gè)人通訊，都可以通過技術(shù)的處理而被數(shù)字化進(jìn)而被納入個(gè)人信息的范疇；同樣，某些隱私因基于公共利益而受到一定的限制被查閱或紕漏，但并不意味著這些信息不再屬于個(gè)人信息。

雖然二者都屬于人格權(quán)，但是從保護(hù)內(nèi)容、法律屬性、權(quán)利角度、防范角度和保護(hù)方式來看，二者又存在區(qū)別。

第一 , 從內(nèi)容來看，隱私強(qiáng)調(diào)對(duì)于個(gè)人的私密信息和活動(dòng)、空間等不為外人所知曉、不被擅自公開，包含的內(nèi)容大多是具有私密性的個(gè)人信息，對(duì)隱私的侵害主要是非法的披露和騷擾。個(gè)人信息權(quán)主要是指對(duì)個(gè)人信息的支配和自主決定，其內(nèi)容包括個(gè)人對(duì)信息被收集、利用等的知情權(quán)，以及自己利用或者授權(quán)他人利用的決定權(quán)等內(nèi)容，即便對(duì)于可以公開且必須公開的個(gè)人信息，個(gè)人應(yīng)當(dāng)也有一定的控制權(quán)。

第二，從法律屬性上來看，隱私權(quán)主要是一種精神性的人格權(quán)，隱私主要體現(xiàn)的是人格利益，侵害隱私權(quán)也主要導(dǎo)致的是精神損害。而個(gè)人信息權(quán)在性質(zhì)上屬于一種集人格利益與財(cái)產(chǎn)利益于一體的綜合性權(quán)利，并不完全是精神性的人格權(quán)，其既包括了精神價(jià)值，也包括了財(cái)產(chǎn)價(jià)值。另外，隱私權(quán)是一種消極的、防御性的權(quán)利，在該權(quán)利遭受侵害之前，個(gè)人無法積極主動(dòng)地行使權(quán)利，而只能在遭受侵害的情況下請(qǐng)求他人排除妨害、賠償損失等。個(gè)人信息權(quán)并不完全是一種消極地排除他人使用的權(quán)利。權(quán)利人除了被動(dòng)防御第三人的侵害之外，還可以對(duì)其進(jìn)行積極利用。

第三, 從防范角度來看，隱私權(quán)制度的重心在于防范個(gè)人秘密不被非法披露，而并不在于保護(hù)這種秘密的控制與利用，這顯然并不屬于個(gè)人信息自決的問題；而對(duì)個(gè)人信息權(quán)的侵害主要體現(xiàn)為未經(jīng)許可而收集和利用個(gè)人信息、侵害個(gè)人信息，主要表現(xiàn)為非法搜集、非法利用、非法存儲(chǔ)、非法加工或非法倒賣個(gè)人信息等行為形態(tài)。其中，大量侵害個(gè)人信息的行為都表現(xiàn)為非法篡改、加工個(gè)人信息的行為。

第四，從保護(hù)方式來看，對(duì)個(gè)隱私的保護(hù)注重事后救濟(jì)，隱私權(quán)保護(hù)主要采用法律保護(hù)的方式；而對(duì)人信息的保護(hù)則注重預(yù)防，保護(hù)方式則呈現(xiàn)多樣性和綜合性，尤其是可以通過行政手段對(duì)其加以保護(hù)，例如，對(duì)非法儲(chǔ)存、利用他人個(gè)人信息的行為，政府有權(quán)進(jìn)行制止，并采用行政處罰等方式。

因此，只要不涉及到公共利益，個(gè)人信息的私密性應(yīng)該被尊重和保護(hù)，而法律保護(hù)個(gè)人信息在很大程度上就是維護(hù)個(gè)人信息不被非法公開和披露等; 另一方面，私密的個(gè)人信息被非法公開則可能會(huì)對(duì)個(gè)人生活安寧造成破壞。在這種緊密的關(guān)聯(lián)下，如何界分個(gè)人信息權(quán)和隱私權(quán)，反而顯得更加必要。

二、國外個(gè)人信息與隱私保護(hù)實(shí)踐

1. 個(gè)人信息保護(hù)法律模式與立法原則

1.1 個(gè)人信息保護(hù)的法律模式

目前，世界范圍內(nèi)有關(guān)個(gè)人信息保護(hù)比較好的模式主要有三種，即歐盟模式、美國模式和日本模式。

在歐洲，以德國為代表的大陸法系國家，將個(gè)人信息視作公民人格和人權(quán)的一部分，認(rèn)為個(gè)人信息是自然人人格的載體，沿著一般人格權(quán)的保護(hù)思路引入“信息自決權(quán)”。以美國為代表的英美法系國家，則將個(gè)人信息視作公民隱私和自由的一部分，沿著隱私保護(hù)的思路提出“信息隱私權(quán)”概念。

• 歐盟模式

歐盟模式又可稱為統(tǒng)一立法模式，即制定一個(gè)綜合性的個(gè)人信息保護(hù)法來規(guī)范個(gè)人信息的收集、處理和利用，該法統(tǒng)一適用于公共部門和非公共部門，并設(shè)置一個(gè)綜合監(jiān)管部門集中監(jiān)管。1995年，歐盟通過經(jīng)典的《個(gè)人數(shù)據(jù)保護(hù)指令》，這部在全歐洲范圍內(nèi)實(shí)行的個(gè)人信息保護(hù)立法，涉及范圍廣，執(zhí)行機(jī)制清晰。歐盟憑借此法律，對(duì)進(jìn)入歐盟的外企在信息保護(hù)方面，使歐洲成為全球個(gè)人信息保護(hù)的典范。

• 美國模式

美國模式以隱私權(quán)為基礎(chǔ)，是分散立法和行業(yè)自律相結(jié)合的模式。在公共領(lǐng)域，美國以隱私權(quán)作為憲法和行政法的基礎(chǔ)，采取分散立法模式逐一立法。在私人領(lǐng)域，美國依靠自律機(jī)制(包括企業(yè)的行為準(zhǔn)則，民間認(rèn)證制度以及替代爭議解決機(jī)制)實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)，根據(jù)個(gè)人信息的具體內(nèi)容，由相應(yīng)的監(jiān)管部門監(jiān)管。

• 日本模式

在借鑒歐洲和美國的信息保護(hù)模式下，日本在2005年通過《個(gè)人信息保護(hù)法》，通過這部法律全方面地實(shí)現(xiàn)個(gè)人信息保護(hù)。同時(shí)日本也注重行業(yè)自律和社團(tuán)參與，從而形成獨(dú)特的日本個(gè)人信息保護(hù)模式。

1.2 個(gè)人信息保護(hù)的立法原則

1973年，美國健康、教育和社會(huì)福利部（HEW）首次提出了《公平信息實(shí)踐》(Fair Information Practices, FIPs) 并處于美國1974《隱私法案》的核心位置。

后期，在此基礎(chǔ)之上逐漸完善，1980年，經(jīng)濟(jì)合作與發(fā)展組織（OECD）在《關(guān)于保護(hù)隱私和個(gè)人信息跨國流通指導(dǎo)原則》中揭示了個(gè)人信息保護(hù)八大原則，即：收集限制原則（Collection Limitation Principle）、數(shù)據(jù)質(zhì)量原則（Data Quality Principle）、目的明確原則（Purpose Specification Principle）、使用限制原則（Use Limitation Principle）、安全保障原則（Security Safeguards Principle）、公開性原則（Openness Principle）、個(gè)人參與原則（Individual Participation Principle）和問責(zé)制原則（Accountability Principle）。這些指導(dǎo)原則對(duì)全球各國的立法產(chǎn)生了巨大的影響，有“已經(jīng)成為制定個(gè)人信息保護(hù)文件的國際標(biāo)準(zhǔn)”之稱。

自上世紀(jì)七十年代初個(gè)人信息保護(hù)問題提出以來，經(jīng)過40余年的發(fā)展演變和提煉，目前基本形成了以下五大國際原則，作為各國和國際組織制定個(gè)人信息保護(hù)政策的基礎(chǔ)：

• 公開性原則

即個(gè)人信息處理機(jī)構(gòu)應(yīng)公開關(guān)于個(gè)人信息處理的一切政策、流程和處理實(shí)踐，禁止個(gè)人信息被秘密的處理；

• 限制性原則

包括個(gè)人信息的所有處理行為要堅(jiān)持合法原則，個(gè)人信息數(shù)據(jù)庫要堅(jiān)持服務(wù)特定目的，在最少必須原則下收集和處理，信息的收集和使用范圍、保存期限和銷毀應(yīng)受到限制；

• 數(shù)據(jù)質(zhì)量原則

即個(gè)人信息應(yīng)當(dāng)準(zhǔn)確、完整和適時(shí)更新，機(jī)構(gòu)對(duì)此責(zé)無旁貸；

• 責(zé)任與安全原則

即在個(gè)人信息保護(hù)問題上，作為數(shù)據(jù)控制者的機(jī)構(gòu)必須承擔(dān)個(gè)人信息保護(hù)的主要責(zé)任，要將個(gè)人信息保護(hù)內(nèi)化于其業(yè)務(wù)流程和技術(shù)設(shè)計(jì)中，同時(shí)采取必要的安全防范措施保護(hù)個(gè)人信息，防止數(shù)據(jù)丟失或未經(jīng)授權(quán)的訪問、銷毀、使用、修改或泄漏，并承擔(dān)相應(yīng)的責(zé)任；

• 個(gè)人信息權(quán)利保護(hù)原則

充分保障信息主體的知情權(quán)、查詢權(quán)、異議與糾錯(cuò)權(quán)，甚至是可攜帶權(quán)等。

2. 美國個(gè)人隱私保護(hù)法律實(shí)踐

美國對(duì)于個(gè)人隱私的保護(hù)通過對(duì)于個(gè)人可識(shí)別信息（Personally Identifiable Information，PII）和相關(guān)的立法來實(shí)現(xiàn)。迄今為止，全球有超過80個(gè)國家和地區(qū)制定了專門保障個(gè)人隱私或個(gè)人信息（數(shù)據(jù)）的法律，包括公共和私有實(shí)體對(duì)個(gè)人信息進(jìn)行信息收集、使用在內(nèi)的各項(xiàng)活動(dòng)。

1974 年12 月31 日, 美國參眾兩院通過的《隱私權(quán)法》（Privacy Act）后經(jīng)國會(huì)修訂后編入《美國法典》, 是美國行政法中保護(hù)公民隱私權(quán)和了解權(quán)的一項(xiàng)重要法律，并就“行政機(jī)關(guān)”，包括聯(lián)邦政府的行政各部、軍事部門、政府公司、政府控制的公司, 以及行政部門的其他機(jī)構(gòu)等（如隱私保護(hù)研究委員會(huì)、管理與預(yù)算辦公室）對(duì)個(gè)人信息的采集、使用、公開和保密問題做出詳細(xì)規(guī)定, 以此規(guī)范聯(lián)邦政府處理個(gè)人信息的行為, 平衡公共利益與個(gè)人隱私權(quán)之間的矛盾，但國會(huì)、隸屬于國會(huì)的機(jī)關(guān)和法院、州和地方政府的行政機(jī)關(guān)不適用該法。

《隱私權(quán)法》§552a中對(duì)涉及個(gè)人可識(shí)別信息的“記錄”進(jìn)行了定義, 即關(guān)于個(gè)人的一項(xiàng)或一組信息，其由一個(gè)機(jī)構(gòu)進(jìn)行維護(hù)。個(gè)人記錄包括，但不限于其教育、經(jīng)濟(jì)活動(dòng)、醫(yī)療史、工作履歷或犯罪記錄以及其包括姓名、社會(huì)保障號(hào)碼以及其他一切能夠用于識(shí)別某一特定個(gè)人的標(biāo)識(shí)，如指紋、音紋或相片等。此外，還對(duì)系統(tǒng)記錄、統(tǒng)計(jì)記錄和日常使用進(jìn)行了定義。此外，該法還規(guī)定了行政機(jī)關(guān)對(duì)于“記錄”的收集、登記、公開、保存等方面應(yīng)遵守的準(zhǔn)則。

以美國管理與預(yù)算辦公室（OMB）為例，其針對(duì)個(gè)人隱私保護(hù)制定了一系列相關(guān)隱私指引。首部指引是針對(duì)1974《隱私權(quán)法》制定的《隱私權(quán)法實(shí)施 指引與職責(zé)》。該指引定義了為實(shí)施《隱私權(quán)法》的相關(guān)職責(zé)，從而確保美國聯(lián)邦機(jī)構(gòu)對(duì)于個(gè)人信息的收集在賦予的權(quán)限范圍之內(nèi)且遵守必須原則，并確保對(duì)個(gè)人信息的維護(hù)不會(huì)觸犯個(gè)人隱私。該法律涉及的機(jī)構(gòu)參照《隱私權(quán)法》§552e中的定義（參見上文“行政機(jī)關(guān)”定義），對(duì)于記錄的定義參照《隱私權(quán)法》§552a中的定義。

部分OMB隱私管理指引

其他行業(yè)性法律對(duì)涉及個(gè)人信息的保護(hù)也以《隱私權(quán)法》為基礎(chǔ)并進(jìn)行更為詳細(xì)的規(guī)定。以征信監(jiān)管法律體系中的《公平信用報(bào)告法》（Fair Credit Reporting Act，F(xiàn)CRA）為例，該法律旨在保護(hù)影響消費(fèi)者的信譽(yù)和地位信息的機(jī)密性，詳細(xì)規(guī)定了征信機(jī)構(gòu)和用戶的責(zé)任與義務(wù)、信用報(bào)告的使用目的以及消費(fèi)者的相關(guān)法律權(quán)利和責(zé)任。

• 信息收集方面，該法案強(qiáng)調(diào)信息收集應(yīng)該具備的完整性，關(guān)于個(gè)人信用的正面信息和負(fù)面信息都應(yīng)該被包含在內(nèi)。
• 信息使用方面，消費(fèi)者信用信息只能夠用于與信用交易有關(guān)的、判斷消費(fèi)者是否有資格獲得信貸的、（個(gè)人及家庭）保險(xiǎn)承做、雇傭或其他法律許可的目的。在信息的共享方面，銀行、企業(yè)與其他第三方之間可以共享非隱私的個(gè)人信息，但是必須將共享的信息內(nèi)容和對(duì)象告知消費(fèi)者。同時(shí)，根據(jù)相關(guān)法律規(guī)定，征信機(jī)構(gòu)在向使用方提供個(gè)人信用信息之前，必須最大限度的驗(yàn)證使用者的身份和使用目的，只有在確認(rèn)其使用目的的合法性的前提下才可以將信息提供給對(duì)方。
• 信息披露方面，該法§608要求關(guān)于對(duì)聯(lián)邦機(jī)構(gòu)進(jìn)行的個(gè)人可識(shí)別信息披露僅局限 于個(gè)人姓名、地址、前地址、工作地點(diǎn)或前工作地點(diǎn)。

總體而言，美國已形成針對(duì)政府和征信、醫(yī)療、電信等若干具體行業(yè)的個(gè)人隱私保護(hù)立法體系：

• 《金融服務(wù)現(xiàn)代化法案》（正式簡稱為《格雷姆-里奇-比利雷法》，Gramm-Leach-Bliley Act，GLB），用于管理企業(yè)如何遵守非公開的個(gè)人信息的收集、使用和披露。該法案是 1999 年克林頓政府頒布的一項(xiàng)以金融混業(yè)經(jīng)營為核心的美國聯(lián)邦法案。
• 《健康保險(xiǎn)可移動(dòng)性和責(zé)任法案》（Health Insurance Portability and Accountability Act，HIPAA），該法案針對(duì)醫(yī)療信息中的交易規(guī)則、醫(yī)療服務(wù)機(jī)構(gòu)的識(shí)別、從業(yè)人員的識(shí)別、醫(yī)療信息安全、醫(yī)療隱私、患者身份識(shí)別等問題，制定了詳細(xì)的法律規(guī)定。
• 《兒童網(wǎng)上隱私保護(hù)法》（Children’s Online Privacy Protection Act，COPPA），該法案要求網(wǎng)絡(luò)從業(yè)者要確實(shí)告知其網(wǎng)站的隱私權(quán)政策；面向 13 歲以下兒童、或向兒童收集信息之前，必須首先獲得其家長的同意；要求網(wǎng)站保證父母有可能修改和更正這些信息。除了保護(hù)兒童隱私外，該法還保證兒童在言論、信息搜索和發(fā)表的權(quán)利不受到負(fù)面影響。
• 《電子通信隱私法》（Electronic Communications Privacy Act，ECPA），延伸原先針對(duì)電話有線監(jiān)聽的相關(guān)管制（包含透過電腦的電子數(shù)據(jù)傳遞），主要是防止政府未經(jīng)許可監(jiān)控私人的電子通信。但是，于針對(duì)雇員被雇主的設(shè)備監(jiān)聽通訊的情況，ECPA 卻不會(huì)保障其隱私權(quán)。

此外，美國還建立了發(fā)達(dá)的司法救濟(jì)系統(tǒng)，在行政監(jiān)管領(lǐng)域也建立了高效的執(zhí)法機(jī)制，但對(duì)于買賣個(gè)人信息的行為，從其現(xiàn)有法律上很難找到有效的法律適用，并且沒有建立包含對(duì)個(gè)人數(shù)據(jù)獲取、存儲(chǔ)和使用進(jìn)行監(jiān)管的專項(xiàng)法律，對(duì)跨境數(shù)據(jù)傳輸也未做特殊限制。

3. 歐盟個(gè)人信息保護(hù)法律實(shí)踐

在歐盟，典型的個(gè)人信息保護(hù)法律是1995年的《個(gè)人數(shù)據(jù)保護(hù)指令》（Data Protection Directive）。該指令源于美國早期的FIPs原則，從法系上講受德國和法國影響較大，所以，歐盟強(qiáng)調(diào)的個(gè)人信息保護(hù)，從民法上講就是信息自主、信息控制和信息自決，其對(duì)國內(nèi)的學(xué)者影響較大。

為應(yīng)對(duì)云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)及跨境數(shù)據(jù)處理等應(yīng)用場景所帶來的新挑戰(zhàn)，2016 年，歐盟通過了新的數(shù)據(jù)保護(hù)法案《通用數(shù)據(jù)保護(hù)指令》（又稱《一般數(shù)據(jù)保護(hù)條例》）（General Data Protection Regulation，GDPR）并于 2018 年生效，取代先前制定的《個(gè)人數(shù)據(jù)保護(hù)指令》，旨在為加強(qiáng)歐盟區(qū)居民的數(shù)據(jù)保護(hù)，特別是指令對(duì)兒童信息使用和準(zhǔn)許的保護(hù)，提供更加堅(jiān)實(shí)的框架，指導(dǎo)跨歐盟個(gè)人數(shù)據(jù)的商業(yè)使用而設(shè)計(jì)的。其對(duì)于國際間的數(shù)據(jù)流動(dòng)引入了新的職責(zé)和限制。此外，該指令還包括廣泛的與隱私相關(guān)的要求，將對(duì)組織的立法、合規(guī)、信息安全、市場、工程和人力資源管理產(chǎn)生巨大的影響。

指令第一章第四條對(duì) “個(gè)人數(shù)據(jù)”做出了明確定義，即與自然人相關(guān)的識(shí)別信息或可識(shí)別的信息；“可識(shí)別的自然人”是指能通過直接或間接方式，特別是通過參考姓名、身份證號(hào)、位置信息或通過物理、生物、遺傳、精神、經(jīng)濟(jì)、文化或社會(huì)身份中一種或幾種方式能夠識(shí)別的個(gè)體。

不論是早期的《個(gè)人數(shù)據(jù)保護(hù)指令》還是新頒布的《通用數(shù)據(jù)保護(hù)指令》，均體現(xiàn)了歐洲大陸法系國家在個(gè)人信息保護(hù)領(lǐng)域統(tǒng)一化、標(biāo)準(zhǔn)化和一體化的立法和執(zhí)法特點(diǎn)?？傮w上，歐盟基本上是把個(gè)人信息等同于個(gè)人隱私，然后各國設(shè)立隱私官行政主管機(jī)構(gòu)，用公權(quán)力來進(jìn)行介入。

以谷歌為例，2010年5月20日美國《紐約時(shí)報(bào)》網(wǎng)站報(bào)道，西班牙、法國和捷克官員宣布，計(jì)劃就谷歌從本國無線網(wǎng)絡(luò)用戶那里搜集數(shù)據(jù)一事展開調(diào)查，因?yàn)楣雀璧男袨檫`反了當(dāng)?shù)氐碾[私保護(hù)法律，從而增加了谷歌公司在歐洲遭受制裁的可能性，而事情的起因則是谷歌公司在5天前表示，該公司無意間從全世界未加密的無線網(wǎng)絡(luò)用戶那里搜集到600 G的數(shù)據(jù)，據(jù)稱這些數(shù)據(jù)屬于電子郵件等個(gè)人信息。

2015年，法國數(shù)據(jù)保護(hù)機(jī)構(gòu)國家信息與自由委員會(huì)(CNIL)拒絕了谷歌不執(zhí)行“被遺忘權(quán)”的請(qǐng)求，距離制裁谷歌又邁進(jìn)一步。 起因是歐盟最高法院去年5月裁定，允許用戶從搜索引擎結(jié)果頁面中刪除自己的名字或相關(guān)歷史事件，即所謂的“被遺忘的權(quán)”。根據(jù)該裁決，用戶可以要求搜索引擎在搜索結(jié)果中隱藏特定條目。但是，谷歌拒絕CNIL的要求刪除包括Google.com在內(nèi)所有搜索網(wǎng)站中的內(nèi)容。對(duì)此，CNIL發(fā)言人稱，谷歌已被要求立即執(zhí)行“被遺忘的權(quán)”，允許法國民眾要求谷歌刪除其所有網(wǎng)站上的敏感信息。如果谷歌拒絕執(zhí)行，則CNIL在未來兩個(gè)月內(nèi)會(huì)準(zhǔn)備制裁谷歌，最高可能被罰款15萬歐元(約合16.9萬美元)。如果再犯，將被罰款30萬歐元。同時(shí)，美國消費(fèi)者權(quán)利組織Consumer Watchdog隱私主管約翰·辛普森(John Simpson)也曾致信美國聯(lián)邦貿(mào)易委員會(huì)(FTC)，敦促FTC要求谷歌在美國執(zhí)行“被遺忘權(quán)”。

無獨(dú)有偶，2014年8月，著名社交媒體Facebook在歐洲也遭遇了類似的起訴。奧地利隱私保護(hù)人士馬克西米利安·施雷姆斯（Maximilian Schrems）指控Facebook違背了歐洲數(shù)據(jù)保護(hù)法律，理由是Facebook包括參與美國國家安全局的“棱鏡”項(xiàng)目，收集公共互聯(lián)網(wǎng)的個(gè)人數(shù)據(jù)，違背歐洲數(shù)據(jù)保護(hù)法律，侵權(quán)用戶隱私等。同時(shí)，施雷姆斯還指出，F(xiàn)acebook還通過“贊”按鈕追蹤第三方網(wǎng)站上的用戶。另外，根據(jù)Facebook的數(shù)據(jù)使用政策和做法，他們會(huì)通過“大數(shù)據(jù)系統(tǒng)”監(jiān)視用戶在網(wǎng)上的行為，施雷姆斯表示此舉違背了歐洲數(shù)據(jù)保護(hù)法律。該訴訟到了2.5萬人的原告人數(shù)上限，另外3.5萬名簽名者都是表達(dá)自己對(duì)這起隱私訴訟的支持。大多數(shù)原告來自德國和奧地利這樣的德語國家，他們對(duì)Facebook的隱私政策感到不滿。荷蘭、芬蘭和英國也有大量用戶參與其中。

在當(dāng)前網(wǎng)絡(luò)時(shí)代，個(gè)人信息的收集、存儲(chǔ)、加工無時(shí)不有、無處不在。縱觀歐盟的《通用數(shù)據(jù)保護(hù)指令》，其對(duì)個(gè)體權(quán)利、數(shù)據(jù)擦除等要求卻難以實(shí)現(xiàn)，如數(shù)據(jù)主體應(yīng)收到其個(gè)人數(shù)據(jù)是否正在被處理的確認(rèn)，數(shù)據(jù)主體可以訪問到與自身相關(guān)的數(shù)據(jù)，個(gè)人數(shù)據(jù)不再滿足早期數(shù)據(jù)收集或處理目的時(shí)應(yīng)對(duì)其進(jìn)行擦除。此外，對(duì)于個(gè)人信息曾被哪些主體存儲(chǔ)過、存儲(chǔ)的地方也無法準(zhǔn)確獲知。

即便如此，歐盟在個(gè)人信息保護(hù)和立法方面還是值得學(xué)習(xí)和借鑒。其從個(gè)人信息的采集，到信息的使用和交流，一直到信息的銷毀，整個(gè)信息的全流程、全周期都有很明確的行為規(guī)范要求。

• 事前，在個(gè)人信息的采集環(huán)節(jié)，要正當(dāng)合法地獲取和處理，實(shí)行“最少采集”原則，要盡量少地采集個(gè)人信息，采集之后只能用于特定目的，不能用于非采集的目的。相關(guān)機(jī)構(gòu)采集到個(gè)人信息后，要建立一套安全保護(hù)制度，采集信息的目的達(dá)到后，要在一定期限之后予以銷毀。同時(shí)，歐盟很多國家都建立了個(gè)人信息處理的許可或登記制度，經(jīng)過許可才能進(jìn)行信息收集。
• 事中，歐盟實(shí)行了獨(dú)立的個(gè)人信息保護(hù)執(zhí)法機(jī)制，專設(shè)有信息專員。
• 事后，有相應(yīng)的法律責(zé)任的追究和法律救濟(jì)渠道。除了進(jìn)行罰款，很多國家對(duì)違反法律泄漏個(gè)人信息是可以處以刑事責(zé)任。

作為個(gè)人信息的最大擁有者——政府機(jī)構(gòu)，也同樣和其他私有主體一樣受到法律監(jiān)管。歐盟設(shè)立的獨(dú)立信息保護(hù)機(jī)構(gòu)可對(duì)政府機(jī)關(guān)的個(gè)人信息泄露采取法律制裁。信息保護(hù)機(jī)構(gòu)還可對(duì)企業(yè)的個(gè)人信息泄露行為進(jìn)行檢查、要求整改和定期報(bào)告，并追究法律責(zé)任。此外，該法律對(duì)于進(jìn)入歐洲市場的企業(yè)也同樣具有法律約束力，特別是向第三方進(jìn)行個(gè)人信息轉(zhuǎn)移。

除上述保護(hù)法規(guī)之外，歐盟還制定了防范用戶在通信服務(wù)過程中潛在風(fēng)險(xiǎn)的《隱私與電子通訊指令》（Privacy and Electronic Communications Directive）、對(duì)成員國在人類使用醫(yī)療產(chǎn)品最佳臨床實(shí)踐進(jìn)行監(jiān)管的《臨床試驗(yàn)指令》和用于金融數(shù)據(jù)管理的“Convention 108”等相關(guān)法律、法規(guī)。

4. 日本個(gè)人信息保護(hù)法律實(shí)踐

自19 世紀(jì) 70 年代中期開始，日本法開始走上全面西方化的道路，以歐洲大陸，尤其德國法律為模式，其法律制度以歐陸法系德國及法國為藍(lán)本進(jìn)行設(shè)計(jì)。

早期的日本個(gè)人信息保護(hù)體系，主要由針對(duì)國家行政機(jī)關(guān)的立法、地方自治團(tuán)體的立法、個(gè)別專門性法律中的相關(guān)規(guī)定以及行業(yè)自律機(jī)制構(gòu)成。另外，日本一些信息保護(hù)方面的行政法規(guī)也對(duì)隱私權(quán)做出了相應(yīng)的保護(hù)，如《建立高度信息通信網(wǎng)絡(luò)社會(huì)基本法》、《電子簽名法》、《禁止非法接入法》、《個(gè)人信息保護(hù)法》、《行政機(jī)關(guān)保存的個(gè)人信息保護(hù)法》、《獨(dú)立公共事業(yè)法人等保存的個(gè)人信息保護(hù)法》、《信息公開、個(gè)人信息保護(hù)審查會(huì)設(shè)置法》等法律中都包含有對(duì)公民個(gè)人隱私性信息的保護(hù)的規(guī)范性條款。

2005年4月1日生效實(shí)施的《個(gè)人信息保護(hù)法》，由于其基本思想是為正確處理個(gè)人信息保護(hù)和利用之間的關(guān)系，確保個(gè)人信息有效利用的同時(shí)保護(hù)個(gè)人信息的安全，約束和防范濫用個(gè)人信息等不法行為，從而在日本隱私權(quán)行政法規(guī)保護(hù)方面居于絕對(duì)的核心地位，對(duì)日本國民隱私起到重要的保護(hù)作用。

5. 中國香港地區(qū)個(gè)人信息保護(hù)法律實(shí)踐

我國香港地區(qū)在個(gè)人信息與隱私保護(hù)方面具有良好的社會(huì)和法制環(huán)境。除香港居民具有很強(qiáng)的個(gè)人信息保護(hù)意識(shí)外，香港還設(shè)有亞洲國家和地區(qū)唯一的個(gè)人信息保護(hù)機(jī)構(gòu)——香港個(gè)人隱私專員公署，并頒布了《個(gè)人資料（隱私）條例》。

針對(duì)部分香港商業(yè)機(jī)構(gòu)在未經(jīng)客戶同意下將客戶個(gè)人信息轉(zhuǎn)賣給第三方的現(xiàn)象，2013年4月1日，香港正式實(shí)施有關(guān)保護(hù)個(gè)人信息安全的新條例。根據(jù)新條例，任何商業(yè)機(jī)構(gòu)如果將客戶個(gè)人信息用作促銷等商業(yè)行為，必須事先得到客戶的明確同意，否則屬于違法。負(fù)責(zé)執(zhí)行相關(guān)條例的香港個(gè)人資料私隱專員公署表示，任何人如不遵守這一條例，濫用個(gè)人信息，或者為了獲利將客戶信息提供給第三方，均屬刑事犯罪，最高處以一百萬元港幣的罰款并監(jiān)禁五年。

香港個(gè)人隱私專員公署成立于1996年8月1日，其地位特殊性主要體現(xiàn)在其獨(dú)立性方面，即不需要向最高行政長官負(fù)責(zé)和報(bào)告，也不受相關(guān)任何機(jī)構(gòu)的管制。它的職責(zé)是《個(gè)人資料（隱私）條例》的施行，其目標(biāo)只是確保個(gè)人和公司（其他機(jī)構(gòu)）認(rèn)識(shí)自己在個(gè)人信息保護(hù)領(lǐng)域的權(quán)利和義務(wù)。

作為香港個(gè)人信息保護(hù)的主要法規(guī)，《個(gè)人資料（隱私）條例》規(guī)定了個(gè)人信息的收集、持有、處理和使用的規(guī)則，適用于所有產(chǎn)業(yè)和所有類型的個(gè)人信息，但不適用于法人隱私。其立法原則主要包括：個(gè)人信息的收集原則、準(zhǔn)確性及保留期限原則、個(gè)人信息使用原則、個(gè)人信息的安全性原則、信息公開原則和信息獲取原則。

雖然香港制定專項(xiàng)的個(gè)人信息保護(hù)法律，但民眾仍遭受因個(gè)人信息泄露和買賣而帶來的個(gè)人利益損失。曾經(jīng)轟動(dòng)一時(shí)的“艷照門”成為個(gè)人隱私嚴(yán)重泄露的典型代表；對(duì)此，香港九龍城裁判法院對(duì)傳播者判處入獄兩個(gè)月，緩刑兩年的裁決。2008年6月，香港公立醫(yī)院發(fā)生數(shù)次因遺失USB等可攜電子儲(chǔ)存裝置造成數(shù)萬名病人數(shù)據(jù)外泄的信息泄露事件。2014年7月，香港前匯豐銀行副經(jīng)理涉嫌泄露客戶信息而被立案審查。該副經(jīng)理于去年12月離職當(dāng)天，將1045個(gè)屬于匯豐的客戶數(shù)據(jù)傳送到自己的個(gè)人電子郵箱，并于同日再把資料轉(zhuǎn)發(fā)至新公司的郵箱賬戶。

6. 部分國家和地區(qū)個(gè)人信息/隱私保護(hù)法律概述

除歐盟、美國和日本之外，其他國家和地區(qū)也緊跟歐美步伐逐步完善本國的信息保護(hù)體系，個(gè)人信息保護(hù)立法和監(jiān)管也非常成熟，落實(shí)個(gè)人信息保護(hù)的國際共識(shí)性原則，正成為個(gè)人信息保護(hù)的國際趨勢。

• 韓國政府于 2014 年 2 月發(fā)布了《金融領(lǐng)域安全違犯防止的全面措施》。同時(shí)，韓國國會(huì)了修訂一系列與信息保護(hù)相關(guān)的法律，包括《信息通信網(wǎng)絡(luò)的利用促進(jìn)與信息保護(hù)等相關(guān)法》、《個(gè)人信息保護(hù)法》、《信用信息的使用與保護(hù)法》及《電子金融交易法》等。
• 2014 年 3 月 20 日，澳大利亞參議院通過立法，作為對(duì) 2012 年隱私法修正案的再次修正，要求信息管理者在發(fā)生嚴(yán)重的數(shù)據(jù)泄露時(shí)，必須及時(shí)通知澳大利亞信息委員會(huì)以及受到影響的用戶。
• 2014 年 7 月 4 日，俄羅斯議會(huì)通過聯(lián)邦《信息、信息技術(shù)及信息保護(hù)法》以及和聯(lián)邦《個(gè)人數(shù)據(jù)法》等一攬子修正案(《個(gè)人數(shù)據(jù)保護(hù)法》修正案)，要求網(wǎng)站存儲(chǔ)的俄羅斯公民的個(gè)人數(shù)據(jù)，必須存在俄羅斯國內(nèi)的服務(wù)器上。
• 2010 年 4 月 27 日，我國臺(tái)灣地區(qū)出臺(tái)了《個(gè)人資料保護(hù)法》取代之前的《電腦處理個(gè)人資料保護(hù)法》，來對(duì)公民的個(gè)人信息安全實(shí)行全方位的保護(hù)。
• 我國澳門特別行政區(qū)于2005年制定了《個(gè)人資料保護(hù)法》，該法于2006年2月正式生效。

三、國內(nèi)個(gè)人信息保護(hù)法律實(shí)踐

1. 個(gè)人信息保護(hù)法律現(xiàn)狀

目前，我國尚未制定關(guān)于個(gè)人信息保護(hù)的專項(xiàng)法律，個(gè)人信息保護(hù)由具體的法律、行政法規(guī)、地方性法規(guī)和規(guī)章、各類規(guī)范性文件和部門規(guī)章等共同組成，形成多層次、多領(lǐng)域、內(nèi)容分散、體系龐雜的個(gè)人信息保護(hù)模式。

《中華人民共和國憲法》第33條、第38條、第39條和第40條關(guān)于保障人權(quán)、人格尊嚴(yán)、通信和住宅隱私的有關(guān)規(guī)定，是中國個(gè)人信息權(quán)利的憲法來源?！吨腥A人民共和國民法通則》、《中華人民共和國侵權(quán)責(zé)任法》等關(guān)于人格權(quán)保護(hù)與侵權(quán)救濟(jì)條款，奠定了個(gè)人信息保護(hù)的民事制度基礎(chǔ)，但內(nèi)容相對(duì)缺乏針對(duì)性。

2009年《中華人民共和國刑法修正案（七）》第7條針對(duì)個(gè)人信息犯罪做了規(guī)定；2015 年 11 月，《刑法修正案（九）》增加的第 286 條之一，針對(duì)網(wǎng)絡(luò)服務(wù)提供者不履行網(wǎng)絡(luò)安全管理義務(wù)造成危害后果，構(gòu)成犯罪的有關(guān)情況做了明確規(guī)定。2016 年最高人民法院完成了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(送審稿)。

2012年12月28日全國人大常委會(huì)表決通過《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》首次在法律層面確立了網(wǎng)絡(luò)信息規(guī)范；2016年11月7日全國人大常委會(huì)通過《中華人民共和國網(wǎng)絡(luò)安全法》（2017年6月1日實(shí)施），進(jìn)一步明確規(guī)范網(wǎng)絡(luò)空間用戶個(gè)人信息安全；《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》、《中華人民共和國居民身份證法》、《中華人民共和國統(tǒng)計(jì)法（2009年修正）》、《中華人民共和國商業(yè)銀行法（2003年修正）》等一系列法律法規(guī)，對(duì)于個(gè)人信息的保護(hù)也均有體現(xiàn)。

部分國內(nèi)個(gè)人信息/隱私保護(hù)法律與規(guī)定

針對(duì)早期關(guān)于公民個(gè)人信息范圍界定和侵害個(gè)人信息量刑標(biāo)準(zhǔn)不一致等方面存在的問題，在最高人民法院、最高人民檢察院首次就打擊侵犯個(gè)人信息犯罪出臺(tái)的司法解釋中有了明確規(guī)定。

• 實(shí)踐中對(duì)于“公民個(gè)人信息”范圍所存在的爭議，這次發(fā)布的司法解釋予以明確規(guī)定：刑法相關(guān)規(guī)定中的“公民個(gè)人信息”，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。
• 根據(jù)不同類型公民個(gè)人信息的重要程度，司法解釋設(shè)置了不同的數(shù)量標(biāo)準(zhǔn)。對(duì)于行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息，非法獲取、出售或者提供50條以上即算“情節(jié)嚴(yán)重”；對(duì)于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息，標(biāo)準(zhǔn)則是500條以上；對(duì)于其他公民個(gè)人信息，標(biāo)準(zhǔn)為5000條以上。

但是，對(duì)于列舉之外的個(gè)人信息還有很多。如我國臺(tái)灣地區(qū)出臺(tái)的《個(gè)人資料保護(hù)法》對(duì)“個(gè)人信息”的定義，不僅包含了常見的自然人姓名、出生年月日、身份證統(tǒng)一編號(hào)、護(hù)照號(hào)碼、婚姻、家庭、教育、職業(yè)、病歷、醫(yī)療、聯(lián)絡(luò)方式、財(cái)務(wù)情況、社會(huì)活動(dòng)、健康檢查等常見的個(gè)人信息，還包括了特征、指紋、基因、性生活、犯罪前科等其他個(gè)人信息。因此，個(gè)人信息的保護(hù)范圍可予以擴(kuò)大。

此外，雖然個(gè)人信息權(quán)和隱私權(quán)之間存在密切聯(lián)系，但仍需要在法律上明確個(gè)人信息權(quán)的性質(zhì)和內(nèi)容，界分與隱私權(quán)的關(guān)系，進(jìn)而使得個(gè)人信息獲得全面充分的保護(hù)，增強(qiáng)全社會(huì)對(duì)于個(gè)人信息權(quán)利保護(hù)的觀念。

另外，我國目前還未成立專門的個(gè)人數(shù)據(jù)信息的監(jiān)督保護(hù)機(jī)構(gòu)，這也會(huì)造成了個(gè)人數(shù)據(jù)信息安全保護(hù)的缺失和遭受侵害時(shí)的救濟(jì)缺失。

2. 個(gè)人信息保護(hù)現(xiàn)狀

個(gè)人信息權(quán)利是信息社會(huì)中公民基本權(quán)利的一部分，保護(hù)個(gè)人信息權(quán)利也是維護(hù)國家安全和公共安全的基礎(chǔ)。對(duì)此，國家也不遺余力，大力整治個(gè)人信息犯罪。

2016年7月20日，公安部官網(wǎng)以《公安機(jī)關(guān)打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪成效顯著》為題報(bào)道了公安部門打擊侵犯公民個(gè)人信息犯罪的努力。截止發(fā)稿時(shí)，全國公安機(jī)關(guān)累計(jì)查破刑事案件750余起，抓獲犯罪嫌疑人1,900余名，繳獲信息230余億條，清理違法有害信息35.2萬余條，關(guān)停網(wǎng)站、欄目610余個(gè)。

但是，國內(nèi)對(duì)于個(gè)人信息的保護(hù)仍存在不足之處，主要體現(xiàn)在以下幾方面：

• 個(gè)人信息保護(hù)不足導(dǎo)致個(gè)人權(quán)益受到侵害

當(dāng)前，因個(gè)人信息在收集、存儲(chǔ)和使用過程中管理不善所造成的危害已經(jīng)嚴(yán)重沖擊到了個(gè)人權(quán)益甚至社會(huì)穩(wěn)定。

《2015中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示，近一年來，有82.3%的網(wǎng)民親身感受到由于個(gè)人信息泄露對(duì)日常生活造成的影響，網(wǎng)民人均蒙受實(shí)際經(jīng)濟(jì)損失124 元，總體損失約 805 億元（我國網(wǎng)民數(shù)量 6.49 億 x 網(wǎng)民平均經(jīng)濟(jì)損失 124 元=804.76 億元）；高達(dá) 7%的網(wǎng)民（估算約 4500 萬）近一年由于各類權(quán)益侵害造成的經(jīng)濟(jì)損失在 1000 元 以上。

此外，個(gè)人信息的泄露不僅造成用戶數(shù)據(jù)在互聯(lián)網(wǎng)平臺(tái)非法交易，還由此滋生了大量的電信、網(wǎng)絡(luò)詐騙等下游違法犯罪行為，造成社會(huì)巨大損失，嚴(yán)重影響社會(huì)安定，成為社會(huì)公害，更嚴(yán)重還會(huì)出現(xiàn)根據(jù)用戶特征設(shè)計(jì)實(shí)施的“精準(zhǔn)式”詐騙，威脅公眾財(cái)產(chǎn)和人身安全。

2016年2月，江蘇省淮安市有人利用互聯(lián)網(wǎng)大肆倒賣車主、車牌號(hào)、車輛類型等公民個(gè)人信息。經(jīng)淮安公安機(jī)關(guān)縝密偵查抓獲犯罪嫌疑人并當(dāng)場查獲公民信息1,500余萬條，另據(jù)犯罪嫌疑人交代，自2015年以來，其非法售賣、提供公民個(gè)人信息1,177萬余條，牟利3,000余元。“徐玉玉案”的發(fā)生不僅折射出了“個(gè)人信息泄露-非法交易/獲取“的黑色產(chǎn)業(yè)鏈，同時(shí)也引發(fā)了全社會(huì)對(duì)個(gè)人信息泄露現(xiàn)狀的高度關(guān)注和熱議，再次將個(gè)人信息保護(hù)和相關(guān)立法工作再次推向的大眾視野。

• 個(gè)人信息保護(hù)不足影響企業(yè)和行業(yè)健康與可持續(xù)發(fā)展

近些年，航空售票系統(tǒng)、醫(yī)療衛(wèi)生系統(tǒng)個(gè)人信息系統(tǒng)由于遭受黑客攻擊或由于內(nèi)部管理不善，導(dǎo)致個(gè)人信息泄露事件發(fā)生，降低相關(guān)企業(yè)甚至行業(yè)的公信力，影響其健康和可持續(xù)發(fā)展。

2014年3月，國內(nèi)知名旅游網(wǎng)——攜程旅行網(wǎng)被報(bào)道，其支付日志存在漏洞，用戶銀行卡信息可被黑客任意讀取。黑客可通過用戶的手機(jī)號(hào)碼、銀行卡號(hào)和信用卡驗(yàn)證碼注冊(cè)第三方支付賬號(hào)，從而跳過用戶和銀行綁定的手機(jī)，進(jìn)行盜刷。這些數(shù)據(jù)可以用來創(chuàng)建或關(guān)聯(lián)第三方支付，國內(nèi)第三方支付公司多達(dá)幾百家，可以利用的點(diǎn)很多。受害者很容易出現(xiàn)資金被盜的情況。顯然，攜程網(wǎng)的做法已經(jīng)明顯違反了中國銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》。一時(shí)間，公眾對(duì)于隱私安全的敏感神經(jīng)再一次被挑動(dòng)。而互聯(lián)網(wǎng)大數(shù)據(jù)應(yīng)用的信息安全問題也被推至風(fēng)口浪尖。

同年12月2日，作為國內(nèi)知名航空公司的東方航空也被報(bào)道大量用戶訂單信息遭到泄露。資深航空從業(yè)人士指出，這樣的漏洞會(huì)導(dǎo)致關(guān)于旅客姓名、手機(jī)號(hào)以及航班信息等資料外泄，部分乘客接到惡意詐騙短信的通知而遭受大量經(jīng)濟(jì)損失，給消費(fèi)者造成傷害已經(jīng)顯而易見。東航系統(tǒng)漏洞的存在更是相當(dāng)于將旅客信息赤裸裸地暴露在犯罪分子的目光之下，而作為個(gè)人信息的持有者和管理者則未盡到所應(yīng)承擔(dān)的責(zé)任和義務(wù)。

同年12月25日，作為國內(nèi)權(quán)威的鐵路售票系統(tǒng)網(wǎng)站——12306網(wǎng)站的大量用戶數(shù)據(jù)在網(wǎng)絡(luò)瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達(dá)131,653 條，包括用戶賬號(hào)、明文密碼、身份證和郵箱等多種信息，共約14M數(shù)據(jù)。這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件，但是最大的一次。這些賬號(hào)信息以明文方式傳播，一旦被不發(fā)分子利用，試圖登陸相關(guān)賬號(hào)的其他平臺(tái)賬號(hào)，可能會(huì)造成涉案人員的經(jīng)濟(jì)損失；另外，已經(jīng)有利用泄露信息非法登陸其他人12306賬號(hào)并退票的相關(guān)報(bào)道，對(duì)相關(guān)的人員造成一些損失。

• 個(gè)人信息保護(hù)不足影響國家信息安全和國際競爭力

由于中國個(gè)人信息保護(hù)力度不及歐美等國，在國際經(jīng)貿(mào)往來中，在華外資金融機(jī)構(gòu)選擇將境內(nèi)客戶個(gè)人信息轉(zhuǎn)移到境外處理已成慣例。此外，在互聯(lián)網(wǎng)信息化時(shí)代和大數(shù)據(jù)背景下基于規(guī)?；瘋€(gè)體信息的加工分析，可形成對(duì)國家安全的細(xì)微洞察，公民個(gè)體信息失去保護(hù)，中長期看國家安全也難以得到切實(shí)保障。

3. 個(gè)人信息保護(hù)立法的必要性與合理性

3.1 個(gè)人信息保護(hù)立法保障國家戰(zhàn)略順利實(shí)施

宏觀層面上來看，包括國家大數(shù)據(jù)戰(zhàn)略在內(nèi)的“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃和“走出去”戰(zhàn)略以及“一帶一路”等國家宏偉藍(lán)圖的實(shí)現(xiàn)，其中必然伴隨著對(duì)個(gè)人敏感信息和跨境數(shù)據(jù)的處理。

如何盡快制定相關(guān)個(gè)人信息保護(hù)的法律，使得相關(guān)方對(duì)個(gè)人數(shù)據(jù)在國家法律框架之下得到合規(guī)操作，妥善保護(hù)個(gè)人信息，促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展，實(shí)現(xiàn)大數(shù)據(jù)戰(zhàn)略，落實(shí)“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃就成為當(dāng)務(wù)之急。特別是在當(dāng)前云技術(shù)和移動(dòng)互聯(lián)迅猛發(fā)展的大背景下，其所帶來的挑戰(zhàn)更不容小覷，同時(shí)也會(huì)影響國家形象和國際競爭的參與。

3.2 個(gè)人信息保護(hù)立法是完善國家法律體系的必然需要

由于目前我國沒有統(tǒng)一的個(gè)人信息保護(hù)法，個(gè)人信息保護(hù)方面的工作通過特定法律、一般性規(guī)范和具體規(guī)定來保障，侵害個(gè)人信息需要承擔(dān)民事、行政乃至刑事責(zé)任。但是，這些規(guī)范在形式上過于分散，對(duì)于普通民眾和商家來說都難以形成直觀的認(rèn)知，應(yīng)盡快制定統(tǒng)一的個(gè)人信息保護(hù)法，對(duì)其進(jìn)行系統(tǒng)化梳理和整合，無論是從立法資源的節(jié)省、立法技術(shù)的提高、規(guī)則體系的優(yōu)化，還是向民眾普及個(gè)人信息法律，保護(hù)的常識(shí)和意識(shí)來看，都存在必要性和合理性。

”互聯(lián)網(wǎng)+“時(shí)代，個(gè)人信息保護(hù)的漏洞與風(fēng)險(xiǎn)被進(jìn)一步放大，加強(qiáng)個(gè)人信息保護(hù)的重心，其實(shí)已經(jīng)轉(zhuǎn)移到網(wǎng)絡(luò)。雖然《網(wǎng)絡(luò)安全法》作為我國網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律將個(gè)人信息保護(hù)列入其中，既是出于國家網(wǎng)絡(luò)空間主權(quán)和網(wǎng)絡(luò)安全考慮，也是對(duì)當(dāng)前個(gè)人網(wǎng)絡(luò)信息安全嚴(yán)峻現(xiàn)實(shí)的直接回應(yīng)，但遠(yuǎn)不能全方位地保護(hù)個(gè)人信息安全，也存在個(gè)人信息保護(hù)的法律漏洞。一方面，它側(cè)重于網(wǎng)絡(luò)安全，而非針對(duì)個(gè)人信息保護(hù)的專門性法規(guī)；另一方面，當(dāng)前涉及個(gè)人信息保護(hù)的法律條款仍多散見于相關(guān)法規(guī)中，在權(quán)威和效力上都有待提升。

所以，應(yīng)通過制定個(gè)人信息保護(hù)法，明確國家對(duì)于個(gè)人信息保護(hù)的決心，樹立其法律地位。同時(shí)，在法律層面上明確線上、線下及跨境數(shù)據(jù)傳輸過程中的各類個(gè)人信息采集及使用的方式、范圍及標(biāo)準(zhǔn)，并嚴(yán)格規(guī)范各類數(shù)據(jù)采集及使用主體在信息處理方面的細(xì)則，完善個(gè)人信息安全方面的保障要求與信息披露義務(wù)，以及針對(duì)個(gè)人信息權(quán)層面的相關(guān)權(quán)益保障要求，充分保障用戶在信息層面的知情權(quán)、選擇權(quán)、受尊重權(quán)及信息安全權(quán)在內(nèi)的各項(xiàng)基礎(chǔ)性權(quán)利。

3.3 個(gè)人信息保護(hù)立法是依法執(zhí)法的基礎(chǔ)

目前在國內(nèi)，不同政府部門和社會(huì)機(jī)構(gòu)掌握著不同的個(gè)人信息，如公安部門掌握著公民的戶籍身份、家庭成員及住址信息，金融部門和機(jī)構(gòu)掌握著公民的賬戶信息、財(cái)產(chǎn)信息、交易信息和信用信息，教育部門和學(xué)校掌握著公民的就學(xué)及考試成績信息，稅務(wù)部門掌握著公民的納稅信息，勞動(dòng)人事部門掌握著公民的人事檔案信息，電信部門和機(jī)構(gòu)掌握著公民的通信信息，鐵路、公路和民航部門和企業(yè)掌握著公民的出行信息，醫(yī)療衛(wèi)生部門和醫(yī)院掌握著公民的疾病信息、就醫(yī)信息，司法部門掌握著公民的訴訟信息等等，而互聯(lián)網(wǎng)公司掌握著公民全部的上網(wǎng)搜索、瀏覽、購物、社交等網(wǎng)絡(luò)信息。

各相關(guān)部門和商業(yè)機(jī)構(gòu)在對(duì)個(gè)人信息進(jìn)行收集、加工等過程中，勢必會(huì)發(fā)生信息收集不當(dāng)、濫用和泄露的事件，從而導(dǎo)致個(gè)人權(quán)利和利益頻遭侵害。2016年發(fā)生的高考學(xué)生遭電信詐騙后自殺等惡性事件，就是因?yàn)閷W(xué)生個(gè)人信息遭到泄露引發(fā)。此外，任由外國組織收集中國公民個(gè)人信息，還可能使危及國家安全的情形擴(kuò)大蔓延，尤其是伴隨互聯(lián)網(wǎng)傳播而導(dǎo)致對(duì)個(gè)人權(quán)益的危害快速擴(kuò)大并且不易消除。

這些就迫使國家必需盡快制定個(gè)人信息保護(hù)法律，使得公民在個(gè)人信息權(quán)益遭到侵害進(jìn)行法律訴訟時(shí)有法可尋、有法可依，社會(huì)公共機(jī)構(gòu)和商業(yè)機(jī)構(gòu)在公民個(gè)人信息收集和處理過程中做到有法必依，司法部門在執(zhí)法過程中做到有法可依、違法必究。

3.4 公眾觀念改變促使立法工作更為迫切

據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心第39次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2016年12月，中國網(wǎng)民規(guī)模達(dá)7.31億，互聯(lián)網(wǎng)普及率達(dá)到53.2%，互聯(lián)網(wǎng)已經(jīng)成為我們生活的一部分，而伴隨互聯(lián)網(wǎng)普及所帶來的個(gè)人信息和商業(yè)秘密的泄露也就日趨常見。

通過“徐玉玉案”等一系列惡性案件給社會(huì)帶來的不良影響，也使人們充分意識(shí)到了個(gè)人信息泄露和濫用所帶來的嚴(yán)重社會(huì)危害，個(gè)人信息保護(hù)重要性意識(shí)更加強(qiáng)烈，需求更加迫切，這就出現(xiàn)了民眾對(duì)個(gè)人信息法律保護(hù)的需求與個(gè)人信息保護(hù)法律缺位之間的矛盾。

4. 對(duì)于個(gè)人信息保護(hù)的建議

4.1 采取統(tǒng)一立法模式，系統(tǒng)確立原則和規(guī)范

充分吸收、借鑒歐盟、美國、日本和我國香港、澳門及臺(tái)灣地區(qū)個(gè)人信息保護(hù)立法的成功經(jīng)驗(yàn)，采取統(tǒng)一立法的模式，制定《個(gè)人信息保護(hù)法》并完善相關(guān)法律體系，明確規(guī)定個(gè)人信息的涵義，確立個(gè)人信息權(quán)，明確國家機(jī)關(guān)信息處理主體和非國家機(jī)關(guān)信息處理主體收集、利用和處理個(gè)人信息的基本原則和規(guī)范，特別是立法原則應(yīng)體現(xiàn)五大國際原則和所提交的《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（征求意見稿）中確立的個(gè)人信息安全基本原則。

4.2 明確個(gè)人信息分類保護(hù)

凡涉及到與個(gè)人身份識(shí)別相關(guān)各個(gè)方面的信息，在其收集、存儲(chǔ)、利用過程當(dāng)中應(yīng)當(dāng)符合“目的明確原則”、“最少夠用原則”、和“合法必要原則”。

以2013年1月21日國務(wù)院公布的行政法規(guī)《征信業(yè)管理?xiàng)l例》為例，第二十條規(guī)定：“信息使用者應(yīng)當(dāng)按照與個(gè)人信息主體約定的用途使用個(gè)人信息，不得用作約定以外的用途，不得未經(jīng)個(gè)人信息主體同意向第三方提供”。

第十四條規(guī)定：“禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。征信機(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息?！?/span>

4.3 全面落實(shí)用戶授權(quán)和公開透明機(jī)制

個(gè)人信息的收集和處理過程應(yīng)滿足“同意和選擇原則”，即經(jīng)過信息主體的授權(quán)。以《征信業(yè)管理?xiàng)l例》為例，第十三條規(guī)定，“采集個(gè)人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外?！?/span>

第十八條規(guī)定：“向征信機(jī)構(gòu)查詢個(gè)人信息的，應(yīng)當(dāng)取得信息主體本人的書面同意并約定用途。但是，法律規(guī)定可以不經(jīng)同意查詢的除外。 征信機(jī)構(gòu)不得違反前款規(guī)定提供個(gè)人信息。

第十九條規(guī)定:“征信機(jī)構(gòu)或者信息提供者、信息使用者采用格式合同條款取得個(gè)人信息主體同意的，應(yīng)當(dāng)在合同中做出足以引起信息主體注意的提示，并按照信息主體的要求做出明確說明?！?/span>

4.4 規(guī)范個(gè)人信息管理機(jī)構(gòu)對(duì)個(gè)人信息的安全管理

確保我國公民個(gè)人信息安全不僅是各管理機(jī)構(gòu)所應(yīng)承擔(dān)的法律責(zé)任和義務(wù)，同時(shí)也關(guān)系到國家安全。所以，應(yīng)在個(gè)人信息保護(hù)法律中明確對(duì)涉及個(gè)人信息采集、加工、存儲(chǔ)、使用及刪除等全數(shù)據(jù)生命周期過程提出對(duì)相關(guān)機(jī)構(gòu)的法律約束，并要求其建立并制定相應(yīng)的內(nèi)部管控流程和制度，確保在我國境內(nèi)的個(gè)人信息安全。

《征信業(yè)管理?xiàng)l例》第二十四條規(guī)定的“征信機(jī)構(gòu)在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國境內(nèi)進(jìn)行。征信機(jī)構(gòu)向境外組織或者個(gè)人提供信息，應(yīng)遵守法律、行政法規(guī)和國務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定。”

2014年5月由國家衛(wèi)生計(jì)生委發(fā)布的《人口健康信息管理辦法（試行）》和2016年6月21日，由國務(wù)院辦公廳發(fā)布的《國務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》。前者第十條規(guī)定“不得將人口健康信息在境外的服務(wù)器中存儲(chǔ)，不得托管、租賃在境外的服務(wù)器”；后者則要求“在健康醫(yī)療大數(shù)據(jù)保障體系建設(shè)方面要加強(qiáng)大數(shù)據(jù)安全監(jiān)測和預(yù)警，建立安全信息通報(bào)和應(yīng)急處置聯(lián)動(dòng)機(jī)制，建立健全‘互聯(lián)網(wǎng)+健康’醫(yī)療服務(wù)安全工作機(jī)制，完善風(fēng)險(xiǎn)隱患化解和應(yīng)對(duì)工作措施，加強(qiáng)對(duì)涉及國家利益、公共安全、患者隱私、商業(yè)秘密等重要信息的保護(hù)，加強(qiáng)醫(yī)學(xué)院、科研機(jī)構(gòu)等方面的安全防范?！?/span>

4.5 完善信息泄露應(yīng)急預(yù)案

盡管現(xiàn)行法律、法規(guī)沒有對(duì)個(gè)人信息泄露的應(yīng)對(duì)措施作具體規(guī)定，但是出于個(gè)人信息管理者所應(yīng)承擔(dān)社會(huì)責(zé)任的需要，并參考《網(wǎng)絡(luò)安全法》 “監(jiān)測預(yù)警和應(yīng)急處置”的相關(guān)內(nèi)容，可對(duì)信息泄露應(yīng)急處置提出要求，制定應(yīng)急預(yù)案并不定期進(jìn)行應(yīng)急演練，從而保證在極端情況下發(fā)生信息泄露時(shí)，可以準(zhǔn)確定位到信息泄露的原因及問題所在，并在最短時(shí)間內(nèi)進(jìn)行處置與控制信息安全風(fēng)險(xiǎn)，以爭取將信息泄露風(fēng)險(xiǎn)控制在最低程度。

此外，鑒于大規(guī)模個(gè)人信息泄露發(fā)生時(shí)會(huì)對(duì)公共社會(huì)穩(wěn)定性造成巨大影響，所以還應(yīng)對(duì)輿情監(jiān)測和涉及公共關(guān)系管理等內(nèi)容提出要求。

版權(quán)聲明

《個(gè)人信息與隱私保護(hù)法律法規(guī)現(xiàn)狀報(bào)告》（以下簡稱為“報(bào)告”）為安全牛研究成果，版權(quán)為安全牛獨(dú)家擁有，其性質(zhì)是供安全?？蛻魞?nèi)部參考的資料，其數(shù)據(jù)和結(jié)論僅代表安全牛的觀點(diǎn)。

報(bào)告僅限于安全牛使用。未經(jīng)安全牛審核、確認(rèn)及書面授權(quán)，購買報(bào)告的客戶不得以任何方式，在任何媒體上（包括互聯(lián)網(wǎng)）公開引用本報(bào)告的觀點(diǎn)和數(shù)據(jù)，不得以任何方式將報(bào)告的內(nèi)容提供給其他單位或個(gè)人。否則引起的一切法律后果由該客戶自行承擔(dān)，同時(shí)安全牛亦認(rèn)為其行為侵犯了安全牛的著作權(quán)，安全牛有權(quán)依法追究其法律責(zé)任。

報(bào)告中未注明來源的所有圖片、表格及文字內(nèi)容的版權(quán)歸安全牛所有。有侵權(quán)行為的個(gè)人、法人或其它組織，必須立即停止侵權(quán)并對(duì)其因侵權(quán)造成的一切后果承擔(dān)全部責(zé)任和相應(yīng)賠償。否則安全牛將依據(jù)中華人民共和國《著作權(quán)法》、《計(jì)算機(jī)軟件保護(hù)條例》等相關(guān)法律、法規(guī)追究其經(jīng)濟(jì)和法律責(zé)任。

本聲明未涉及的問題參見國家有關(guān)法律法規(guī)，當(dāng)本聲明與國家法律法規(guī)沖突時(shí)，以國家法律法規(guī)為準(zhǔn)。

作者：段振華