1. 典型个人敏感信息保护法律模式与立法原则

1.1 个人敏感信息保护的法律模式

目前，世界范围内有关个人敏感信息保护比较好的模式主要有三种，即欧盟模式、美国模式和日本模式。

在欧洲，以德国为代表的大陆法系国家，将个人信息视作公民人格和人权的一部分，认为个人信息是自然人人格的载体，沿着一般人格权的保护思路引入“信息自决权”。以美国为代表的英美法系国家，则将个人信息视作公民隐私和自由的一部分，沿着隐私保护的思路提出“信息隐私权”概念。

欧盟模式

欧盟模式又可称为统一立法模式，即制定一个综合性的个人信息保护法来规范个人信息的收集、处理和利用，该法统一适用于公共部门和非公共部门，并设置一个综合监管部门集中监管。1995年，欧盟通过经典的《个人数据保护指令》，这部在全欧洲范围内实行的个人信息保护立法，涉及范围广，执行机制清晰。欧盟凭借此法律，对进入欧盟的外企在信息保护方面，使欧洲成为全球个人信息保护的典范。

美国模式

美国模式以隐私权为基础，是分散立法和行业自律相结合的模式。在公共领域，美国以隐私权作为宪法和行政法的基础，采取分散立法模式逐一立法。在私人领域，美国依靠自律机制(包括企业的行为准则，民间认证制度以及替代争议解决机制)实现对个人信息的保护，根据个人信息的具体内容，由相应的监管部门监管。

日本模式

在借鉴欧洲和美国的信息保护模式下，日本在2005年通过《个人信息保护法》，通过这部法律全方面地实现个人信息保护。同时日本也注重行业自律和社团参与，从而形成独特的日本个人信息保护模式。

1.2 个人敏感信息保护的立法原则

1973年，美国健康、教育和社会福利部（HEW）首次提出了《公平信息实践》(Fair Information Practices, FIPs) 并处于美国1974《隐私法案》的核心位置。

后期，在全球范围内，各国在FIPs原则基础之上逐渐形成了个人信息保护的五大底线原则：

（1）公开性原则，即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践，禁止个人信息被秘密的处理；

（2）限制性原则，包括个人信息的所有处理行为要坚持合法原则，个人信息数据库要坚持服务特定目的，在最少必须原则下收集和处理，信息的收集和使用范围、保存期限和销毁应受到限制；

（3）数据质量原则，即个人信息应当准确、完整和适时更新，机构对此责无旁贷；

（4）责任与安全原则，即在个人信息保护问题上，作为数据控制者的机构必须承担个人信息保护的主要责任，要将个人信息保护内化于其业务流程和技术设计中，同时采取必要的安全防范措施保护个人信息，防止数据丢失或未经授权的访问、销毁、使用、修改或泄漏，并承担相应的责任；

（5）个人信息权利保护原则，充分保障信息主体的知情权、查询权、异议与纠错权，甚至是可携带权等。

虽然欧美等国因国情和法律环境不同，选择了不同的立法保护道路，但包括美国在内的欧洲（及欧盟）和其他国家、地区以及国际组织在制定个人敏感信息保护相关法律、法规时也基本较为一致地贯彻了以上原则，奠定了全球个人信息保护的基础。在此框架下，美国建立了公平信息实践原则，欧洲确立了个人信息保护原则，对个人信息处理过程中的机构责任和个人权益进行了原则性约定。

2.美国个人隐私保护法律实践

美国对于个人隐私的保护通过对于个人可识别信息（Personally Identifiable Information，PII）（注 ）和相关的立法来实现。迄今为止，全球有超过80个国家和地区制定了专门保障个人隐私或敏感信息（数据）的法律，包括公共和私有实体对个人敏感信息进行信息收集、使用在内的各项活动。

1974 年12 月31 日, 美国参众两院通过的《隐私权法》（Privacy Act）后经国会修订后编入《美国法典》, 是美国行政法中保护公民隐私权和了解权的一项重要法律，并就“行政机关”，包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构等（如隐私保护研究委员会、管理与预算办公室）对个人信息的采集、使用、公开和保密问题做出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾，但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。

《隐私权法》§552a中对涉及个人可识别信息的“记录”进行了定义, 即关于个人的一项或一组信息，其由一个机构进行维护。个人记录包括，但不限于其教育、经济活动、医疗史、工作履历或犯罪记录以及其包括姓名、社会保障号码以及其他一切能够用于识别某一特定个人的标识，如指纹、音纹或相片等。此外，还对系统记录、统计记录和日常使用进行了定义。此外，该法还规定了行政机关对于“记录”的收集、登记、公开、保存等方面应遵守的准则。

以美国管理与预算办公室（OMB）为例，其针对个人隐私保护制定了一系列相关隐私指引。首部指引是针对1974《隐私权法》制定的《隐私权法实施 指引与职责》。该指引定义了为实施《隐私权法》的相关职责，从而确保美国联邦机构对于个人信息的收集在赋予的权限范围之内且遵守必须原则，并确保对个人信息的维护不会触犯个人隐私。该法律涉及的机构参照《隐私权法》§552e中的定义（参见上文“行政机关”定义），对于记录的定义参照《隐私权法》§552a中的定义。

图1-部分OMB隐私管理指引

其他行业性法律对涉及个人信息的保护也以《隐私权法》为基础并进行更为详细的规定。以征信监管法律体系中的《公平信用报告法》（Fair Credit Reporting Act，FCRA）为例，该法律旨在保护影响消费者的信誉和地位信息的机密性，详细规定了征信机构和用户的责任与义务、信用报告的使用目的以及消费者的相关法律权利和责任。

信息收集方面，该法案强调信息收集应该具备的完整性，关于个人信用的正面信息和负面信息都应该被包含在内。

信息使用方面，消费者信用信息只能够用于与信用交易有关的、判断消费者是否有资格获得信贷的、（个人及家庭）保险承做、雇佣或其他法律许可的目的。在信息的共享方面，银行、企业与其他第三方之间可以共享非隐私的个人信息，但是必须将共享的信息内容和对象告知消费者。同时，根据相关法律规定，征信机构在向使用方提供个人信用信息之前，必须最大限度的验证使用者的身份和使用目的，只有在确认其使用目的的合法性的前提下才可以将信息提供给对方。

信息披露方面，该法§608要求关于对联邦机构进行的个人可识别信息披露仅局限 于个人姓名、地址、前地址、工作地点或前工作地点。

总体而言，美国已形成针对政府和征信、医疗、电信等若干具体行业的个人信息保护立法体系：

《金融服务现代化法案》（正式简称为《格雷姆-里奇-比利雷法》，Gramm-Leach-Bliley Act，GLB），用于管理企业如何遵守非公开的个人信息的收集、使用和披露。该法案是 1999 年克林顿政府颁布的一项以金融混业经营为核心的美国联邦法案。

《健康保险可移动性和责任法案》（Health Insurance Portability and Accountability Act，HIPAA），该法案针对医疗信息中的交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、患者身份识别等问题，制定了详细的法律规定。

《儿童网上隐私保护法》（Children’s Online Privacy Protection Act，COPPA），该法案要求网络从业者要确实告知其网站的隐私权政策；面向 13 岁以下儿童、或向儿童收集信息之前，必须首先获得其家长的同意；要求网站保证父母有可能修改和更正这些信息。除了保护儿童隐私外，该法还保证儿童在言论、信息搜索和发表的权利不受到负面影响。

《电子通信隐私法》（Electronic Communications Privacy Act，ECPA），延伸原先针对电话有线监听的相关管制（包含透过电脑的电子数据传递），主要是防止政府未经许可监控私人的电子通信。但是，于针对雇员被雇主的设备监听通讯的情况，ECPA 却不会保障其隐私权。

此外，美国还建立了发达的司法救济系统，在行政监管领域也建立了高效的执法机制，但对于买卖个人信息的行为，从其现有法律上很难找到有效的法律适用，并且没有建立包含对个人数据获取、存储和使用进行监管的专项法律，对跨境数据传输也未做特殊限制。

3 欧盟个人隐私保护法律实践

在欧盟，个人信息保护的总体情况是重公法保护，轻私法保护；重公权力介入，私人在维权这方面比较弱。典型的法律是1995年的《个人数据保护指令》（Data Protection Directive）。该指令源于美国早期的FIPs原则，从法系上讲受德国和法国影响较大，所以，欧盟强调的个人信息保护，从民法上讲就是信息自主、信息控制和信息自决，其对国内的学者影响较大。

为应对云计算、大数据、移动互联网及跨境数据处理等应用场景所带来的新挑战，2016 年，欧盟通过了新的数据保护法案《通用数据保护指令》（General Data Protection Regulation，GDPR）并于 2018 年生效，取代先前制定的《个人数据保护指令》，旨在为加强欧盟区居民的数据保护，特别是指令对儿童信息使用和准许的保护，提供更加坚实的框架，指导跨欧盟个人数据的商业使用而设计的。其对于国际间的数据流动引入了新的职责和限制。此外，该指令还包括广泛的与隐私相关的要求，将对组织的立法、合规、信息安全、市场、工程和人力资源管理产生巨大的影响。

指令第一章第四条对 “个人数据”做出了明确定义，即与自然人相关的识别信息或可识别的信息；“可识别的自然人”是指能通过直接或间接方式，特别是通过参考姓名、身份证号、位置信息或通过物理、生物、遗传、精神、经济、文化或社会身份中一种或几种方式能够识别的个体。

不论是早期的《个人数据保护指令》还是新颁布的《通用数据保护指令》，均体现了欧洲大陆法系国家在个人信息保护领域统一化、标准化和一体化的立法和执法特点。总体上，欧盟基本上是把个人信息等同于个人隐私，然后各国设立隐私官行政主管机构，用公权力来进行介入。

以谷歌为例，2010年5月20日美国《纽约时报》网站报道，西班牙、法国和捷克官员宣布，计划就谷歌从本国无线网络用户那里搜集数据一事展开调查，因为谷歌的行为违反了当地的隐私保护法律，从而增加了谷歌公司在欧洲遭受制裁的可能性，而事情的起因则是谷歌公司在5天前表示，该公司无意间从全世界未加密的无线网络用户那里搜集到600 G的数据，据称这些数据属于电子邮件等个人信息。

2015年，法国数据保护机构国家信息与自由委员会(CNIL)拒绝了谷歌不执行“被遗忘权”的请求，距离制裁谷歌又迈进一步。 起因是欧盟最高法院去年5月裁定，允许用户从搜索引擎结果页面中删除自己的名字或相关历史事件，即所谓的“被遗忘的权”。根据该裁决，用户可以要求搜索引擎在搜索结果中隐藏特定条目。但是，谷歌拒绝CNIL的要求删除包括Google.com在内所有搜索网站中的内容。对此，CNIL发言人称，谷歌已被要求立即执行“被遗忘的权”，允许法国民众要求谷歌删除其所有网站上的敏感信息。如果谷歌拒绝执行，则CNIL在未来两个月内会准备制裁谷歌，最高可能被罚款15万欧元(约合16.9万美元)。如果再犯，将被罚款30万欧元。同时，美国消费者权利组织Consumer Watchdog隐私主管约翰·辛普森(John Simpson)也曾致信美国联邦贸易委员会(FTC)，敦促FTC要求谷歌在美国执行“被遗忘权”。

无独有偶，2014年8月，著名社交媒体Facebook在欧洲也遭遇了类似的起诉。奥地利隐私保护人士马克西米利安·施雷姆斯（Maximilian Schrems）指控Facebook违背了欧洲数据保护法律，理由是Facebook包括参与美国国家安全局的“棱镜”项目，收集公共互联网的个人数据，违背欧洲数据保护法律，侵权用户隐私等。同时，施雷姆斯还指出，Facebook还通过“赞”按钮追踪第三方网站上的用户。另外，根据Facebook的数据使用政策和做法，他们会通过“大数据系统”监视用户在网上的行为，施雷姆斯表示此举违背了欧洲数据保护法律。该诉讼到了2.5万人的原告人数上限，另外3.5万名签名者都是表达自己对这起隐私诉讼的支持。大多数原告来自德国和奥地利这样的德语国家，他们对Facebook的隐私政策感到不满。荷兰、芬兰和英国也有大量用户参与其中。

在当前网络时代，个人信息的收集、存储、加工无时不有、无处不在。纵观欧盟的《通用数据保护指令》，其对个体权利、数据擦除等要求却难以实现，如数据主体应收到其个人数据是否正在被处理的确认，数据主体可以访问到与自身相关的数据，个人数据不再满足早期数据收集或处理目的时应对其进行擦除。此外，对于个人信息曾被哪些主体存储过、存储的地方也无法准确获知。

即便如此，欧盟在个人信息保护和立法方面还是值得学习和借鉴。其从个人信息的采集，到信息的使用和交流，一直到信息的销毁，整个信息的全流程、全周期都有很明确的行为规范要求。

事前，在个人信息的采集环节，要正当合法地获取和处理，实行“最少采集”原则，要尽量少地采集个人信息，采集之后只能用于特定目的，不能用于非采集的目的。相关机构采集到个人信息后，要建立一套安全保护制度，采集信息的目的达到后，要在一定期限之后予以销毁。同时，欧盟很多国家都建立了个人信息处理的许可或登记制度，经过许可才能进行信息收集。

事中，欧盟实行了独立的个人信息保护执法机制，专设有信息专员。

事后，有相应的法律责任的追究和法律救济渠道。除了进行罚款，很多国家对违反法律泄漏个人信息是可以处以刑事责任。

作为个人信息的最大拥有者——政府机构，也同样和其他私有主体一样受到法律监管。欧盟设立的独立信息保护机构可对政府机关的个人信息泄露采取法律制裁。信息保护机构还可对企业的个人信息泄露行为进行检查、要求整改和定期报告，并追究法律责任。此外，该法律对于进入欧洲市场的企业也同样具有法律约束力，特别是向第三方进行个人信息转移。

除上述保护法规之外，欧盟还制定了防范用户在通信服务过程中潜在风险的《隐私与电子通讯指令》（Privacy and Electronic Communications Directive）、对成员国在人类使用医疗产品最佳临床实践进行监管的《临床试验指令》和用于金融数据管理的“Convention 108”等相关法律、法规。

4 日本个人信息保护法律实践

自19 世纪 70 年代中期开始，日本法开始走上全面西方化的道路，以欧洲大陆，尤其德国法律为模式，其法律制度以欧陆法系德国及法国为蓝本进行设计。

早期的日本个人信息保护体系，主要由针对国家行政机关的立法、地方自治团体的立法、个别专门性法律中的相关规定以及行业自律机制构成。另外，日本一些信息保护方面的行政法规也对隐私权做出了相应的保护，如《建立高度信息通信网络社会基本法》、《电子签名法》、《禁止非法接入法》、《个人信息保护法》、《行政机关保存的个人信息保护法》、《独立公共事业法人等保存的个人信息保护法》、《信息公开、个人信息保护审查会设置法》等法律中都包含有对公民个人隐私性信息的保护的规范性条款。

2005年4月1日生效实施的《个人信息保护法》，由于其基本思想是为正确处理个人信息保护和利用之间的关系，确保个人信息有效利用的同时保护个人信息的安全，约束和防范滥用个人信息等不法行为，从而在日本隐私权行政法规保护方面居于绝对的核心地位，对日本国民隐私起到重要的保护作用。

5 中国香港地区个人信息保护法律实践

我国香港地区在个人信息与隐私保护方面具有良好的社会和法制环境。除香港居民具有很强的个人信息保护意识外，香港还设有亚洲国家和地区唯一的个人信息保护机构——香港个人隐私专员公署，并颁布了《个人资料（隐私）条例》。

针对部分香港商业机构在未经客户同意下将客户个人信息转卖给第三方的现象，2013年4月1日，香港正式实施有关保护个人信息安全的新条例。根据新条例，任何商业机构如果将客户个人信息用作促销等商业行为，必须事先得到客户的明确同意，否则属于违法。负责执行相关条例的香港个人资料私隐专员公署表示，任何人如不遵守这一条例，滥用个人信息，或者为了获利将客户信息提供给第三方，均属刑事犯罪，最高处以一百万元港币的罚款并监禁五年。

香港个人隐私专员公署成立于1996年8月1日，其地位特殊性主要体现在其独立性方面，即不需要向最高行政长官负责和报告，也不受相关任何机构的管制。它的职责是《个人资料（隐私）条例》的施行，其目标只是确保个人和公司（其他机构）认识自己在个人信息保护领域的权利和义务。

作为香港个人信息保护的主要法规，《个人资料（隐私）条例》规定了个人信息的收集、持有、处理和使用的规则，适用于所有产业和所有类型的个人信息，但不适用于法人隐私。其立法原则主要包括：个人信息的收集原则、准确性及保留期限原则、个人信息使用原则、个人信息的安全性原则、信息公开原则和信息获取原则。
虽然香港制定专项的个人信息保护法律，但民众仍遭受因个人信息泄露和买卖而带来的个人利益损失。曾经轰动一时的“艳照门”成为个人隐私严重泄露的典型代表；对此，香港九龙城裁判法院对传播者判处入狱两个月，缓刑两年的裁决。2008年6月，香港公立医院发生数次因遗失USB等可携电子储存装置造成数万名病人数据外泄的信息泄露事件。2014年7月，香港前汇丰银行副经理涉嫌泄露客户信息而被立案审查。该副经理于去年12月离职当天，将1045个属于汇丰的客户数据传送到自己的个人电子邮箱，并于同日再把资料转发至新公司中国建设银行的邮箱账户。

6 部分国家和地区个人隐私保护法律概述

除欧盟、美国和日本之外，其他国家和地区也紧跟欧美步伐逐步完善本国的信息保护体系，个人信息保护立法和监管也非常成熟，落实个人信息保护的国际共识性原则，正成为个人信息保护的国际趋势。

韩国政府于 2014 年 2 月发布了《金融领域安全违犯防止的全面措施》。同时，韩国国会了修订一系列与信息保护相关的法律，包括《信息通信网络的利用促进与信息保护等相关法》、《个人信息保护法》、《信用信息的使用与保护法》及《电子金融交易法》等。

2014 年 3 月 20 日，澳大利亚参议院通过立法，作为对 2012 年隐私法修正案的再次修正，要求信息管理者在发生严重的数据泄露时，必须及时通知澳大利亚信息委员会以及受到影响的用户。

2014 年 7 月 4 日，俄罗斯议会通过联邦《信息、信息技术及信息保护法》以及和联邦《个人数据法》等一揽子修正案(《个人数据保护法》修正案)，要求网站存储的俄罗斯公民的个人数据，必须存在俄罗斯国内的服务器上。

2010 年 4 月 27 日，我国台湾地区出台了《个人资料保护法》取代之前的《电脑处理个人资料保护法》，来对公民的个人信息安全实行全方位的保护。

我国澳门特别行政区于2005年制定了《个人资料保护法》，该法于2006年2月正式生效。