德国个人信息立法的历史分析及最新发展

李欣倩

内容摘要：随着大数据时代的到来，个人信息已经突破传统人格权的范畴，成为具有商业价值可供流通的标的。目前，我国个人信息大范围泄漏事件时有发生，黑色产业链已经形成。面对如此严峻的形势，立法方面仍然进展缓慢，现存立法的碎片状况加剧了信息保护实施的不确定性。作为大陆法系的典型国家，德国《联邦信息保护法》已经走过了40年的历程，先后经历过3次大规模改革。在其发展过程中，计算机技术的进步和联邦宪法法院的判决呈现出良性互动，成为推动德国个人信息保护发展的重要力量。以3次立法改革为视角，研究德国个人信息立法的发展历程，以期为我国个人信息保护立法提供域外经验。

关键词：个人信息 信息自决 信息安全 个人信息立法

近年来，随着互联网技术的快速发展，信息逐渐打破地域的限制在全球范围内实现集中。2012年，《纽约时报》惊呼“大数据”时代已经降临，信息将成为未来商业、经济及其他领域决策的重要工具。这是一场生活、工作与思维的大变革，不仅改变着人们的行为模式，也给传统法学理论，特别是隐私权理论带来了极大的冲击。在大数据时代中，个人信息逐步脱离人格权客体的范畴，成为具有商业价值可供流通的标的。信息经由专业的分析系统处理后，能够客观地展示用户习惯和使用偏好。网络服务提供商则根据分析结果提供个性化推荐服务，不仅提高了用户的使用体验，更形成了极大的商业价值。在经济利益驱动下，个人信息非法交易的黑色产业链逐步形成。据中国互联网协会发布的《中国网民权益保护调查报告（2015）》统计，仅2015年，网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约805亿元。

面对日益严重的信息侵害，我国立法却迟迟没有作出回应。早在2003年，国务院信息办就委托中国社科院法学所承担相关课题及起草专家意见稿。课题组于2005年完成了《个人信息保护法（专家意见稿）》，并于2008年提交到国务院。之后有关《个人信息保护法》的立法进程一直处于搁置状态。近年来，我国个人信息保护立法在体系上呈分散式发展。涉及个人信息保护方面的法律有将近40部，此外还有30部法规和大量的部门规章以及地方性立法。〔1 〕分散式立法模式导致信息保护实施中存在极大的不确定性，既缺乏对个人信息范围的界定，也缺乏可操作的标准。反观德国个人信息保护的立法发展，从第一部《联邦信息保护法》至今已经走过了40年的历程。这期间，计算机技术的发展和联邦宪法法院的判决呈现出良性互动，成为推动德国个人信息保护发展的重要力量。40年来，《联邦信息保护法》经历了3次大范围修改，形成了以联邦立法为核心、特别领域专门法为主体的个人信息保护体系。笔者以德国个人信息保护的立法进程为对象，以其产生、形成和最新发展成果为脉络开展研究，以期为我国个人信息立法提供域外经验。

一、产生：从隐私权到个人信息保护

个人信息保护的兴起与计算机技术的迅猛发展息息相关。在Cookie，Robots协议等技术大规模使用之前，个人信息一直作为隐私权的范畴，并没有引起德国学术界的过多重视。第二次世界大战之前，德国法学界仍然拒绝将名誉权和隐私权列入《德国民法典》第823条第1款的保护范围，损害名誉和个人隐私不产生赔偿义务。〔2 〕在1953年公布的《欧洲人权公约》中，“个人信息”作为“尊重私人生活和家庭生活”，体现在其第8条第1款中。〔3 〕但是，20世纪70年代以后，随着信息技术的发展，个人信息的收集和获取呈现出爆发式增长，传统的“私人生活”领域受到极大挑战。个人信息在隐私权的范畴下，缺乏对抗公、私主体信息滥用行为的有效权能。

1970年，历史上第一部关于信息保护的专门立法在德国黑森州诞生。第二次世界大战后德国在政治体制上更加依赖地方团体自治。作为基本政治制度，地方团体负责执行地方性法规、本州和联邦的法律。但是随着计算机技术的发展，信息开始在州乃至联邦范围内大规模、统一地采集、处理和使用。地方团体自治也因此受到威胁。1969年黑森州颁布法案，规定地方团体和州行政机关不再使用相同的信息处理中心。这一规定虽然一定程度上保护了地方自治，但也割裂了立法机关和执法机关的信息共享。与此同时，关于个人信息的保密问题也逐渐在社会上受到重视，民众对政府滥用个人信息的质疑日渐高涨。作为应对，各州政府纷纷开始将保密条款加入行政法规之中。在双重压力下，黑森州率先通过了《信息保护法》，明确行政机关的个人信息保密义务，重新划分地方团体和州行政机关在信息使用中的权限和地位。因此，这部法案在一定程度上是对1969年立法的延续。〔4 〕该法案共计17章，主要侧重于建立第三方信息监管机构和信息保护委员制度，并未就个人信息保护给出更多有益的措施。因此，有学者批评其用词不当。〔5 〕

虽然历史上第一部有关信息保护的法案产生于德国黑森州，但第一部国家立法则产生于瑞士。〔6 〕黑森州颁布《信息保护法》之后的第二年，德国各联邦州也陆续开启信息保护的立法进程。1971年，联邦政府在雷根斯堡大学组建专家小组，就未来联邦信息保护法的基本框架提供专家意见。虽然草案很快得以完成，但由于极大地限制了私法主体在信息取得和使用上的权利而深受诟病，最终被搁置。后来，德国联邦政府开始整合各州人口信息，建立国家人口信息信息库。作为该项目的法律依据，《联邦信息保护法（草案）》才重新提请审议，并最终于1976年11月通过，1978年1月开始生效。《联邦信息保护法》共有47个条文，在各州信息保护法已有规定的基础上，确立了“任何形式的个人信息处理必须经信息主体同意或有法律上的许可，方得为之的基本原则。” 〔7 〕这部立法采纳了公私二元制立法模式，注重防范政府滥用个人信息而不是合理使用个人信息，因此它只赋予信息主体少量的权利。〔8 〕

二、形成：内外因素作用下的现代化进程

1977年《联邦信息保护法》对信息处理持消极态度，过度的管制引发了德国社会的广泛批评。〔9 〕进入80年代以来，个人电脑逐渐在德国普及，信息技术的发展和盛行被视为德国社会发展的特征之一。于是，修改《联邦信息保护法》的呼声日益高涨。但是，议会先后审议了10个草案都未获批准。〔10 〕1982年3月，德国联邦议会全票表决通过了《联邦人口普查法》。该法案规定次年起（1983年），在联邦范围内实施包括住址、职业、教育经历等个人信息的全面登记。《人口普查法》颁布后，民众针对国家强制收集个人信息的行为产生了强烈的质疑。后来，100多位公民以违反《基本法》为由，将该法案诉至联邦宪法法院。法院审理后认为，该法案第2条中第1至7项以及第3条至第5条违反《基本法》关于“人格的自由发展”的要求，判决违宪部分无效，其余部分修改后实施。这就是德国隐私权发展史上最为著名的“人口普查案”。〔11 〕判决指出，在信息社会中，不可避免地存在个人信息的收集、处理和使用，任何人都有可能成为信息侵害的对象，因此，个人应享有“信息自决权”以对抗信息侵害。〔12 〕所谓“信息自决”是指信息主体有权决定其私人生活是否公开、公开到何种程度以及公开的时间和方式。宪法法院认为，信息社会中，个人如果无法评估其信息公开的程度，势必会影响其社会生活中的行为。特别是当其不愿为公众所知的信息有被公开的可能时，则对其自由发展之人格构成威胁。因此，结合《基本法》第1条第1款“人性尊严不受侵犯”和第2条第1款“人格发展之自由”，宪法法院将“信息自决”确认为一般人格权项下的基本权利。但是，判决同时也指出，信息自决在涉及公共利益和法律特殊规定的情况下应受到限制。这里所称的法律不仅应依据宪法制定，也要符合明确性和适度原则。人口普查案件之后，北威州、萨尔州和梅前州等联邦州先后将信息自决权写入州宪法中，逐渐在联邦范围承认其基本权利的地位。

1.《联邦信息保护法》的第一次修改

人口普查案是德国信息保护立法发展的里程碑，标志着信息保护基本理念的转变。在此之前，立法的主要目的是防止公权力机关滥用个人信息，归根结底对信息的收集、处理和使用持消极态度。此案之后，德国开始对《联邦信息保护法》进行第一次修改，于1990年12月完成。修改后的法案着眼于合理使用个人信息，“免受因个人信息传播而引起的人格权侵害”。〔13 〕同时，该法案将国家安全机构对个人信息的收集和处理纳入信息保护法的范畴，明确了公法主体无过错赔偿以及就非财产性损失提供财政补偿的适用条件。〔14 〕在结构上，该法案继承了公私二元制立法模式，但整体缩小了公私领域间信息保护标准的差异。在以往的立法经验中，信息保护法能否囊括私法主体，一直是极具争议的问题。1977年的《联邦信息保护法》采取了公私分立的模式，但鲜有关注私法主体。而根据“基本权第三人间接效力理论”，作为基本权利的信息自决权可以间接适用于私法领域，为个人信息保护领域的公私分立模式提供了宪法基础。因此，这次修订的意义并不限于个别法律制度或条款，更多的是信息保护宏观理论和观念的更新。

2.《联邦信息保护法》的第二次修改

20世纪80年代以来，信息因其不受地理限制的特性逐渐在全球范围内受到关注。1980年9月和1981年1月，经济合作与发展组织（OECD）和欧盟委员会开始实施《关于保护隐私与个人信息跨国界流动的准则》 〔15 〕和《个人信息保护公约》（以下简称Convention 108），〔16 〕以保护民众的权利和基本自由，特别针对自动处理个人信息提倡保护隐私权。〔17 〕公约首次明确了个人信息的范畴，是指“被识别的或具有被识别性的，与个人关联的任何信息”。〔18 〕这表明，欧盟在20世纪80年代初期已经完成了信息隐私从隐私权中分离的过程。信息保护的范围相较于隐私保护更为宽泛，因为信息保护不仅限于私密领域，也涉及其他的权利或者自由。两者相比，个人信息保护更偏重于信息的可识别性，但除此之外，即便侵犯私密领域的其他方面，也不在信息保护的范围之内。20世纪80年代后期，欧盟各成员国之间信息保护程度严重不平衡。如上文所述，德国和瑞士率先完成了本国信息保护立法；法国独辟蹊径，依靠“信息自由委员会”保障信息安全，〔19 〕而意大利和希腊则迟迟未予立法。立法上的差异阻碍了欧洲各国之间的信息流通，从而限制欧洲内部统一市场的形成。历经四年磋商，1995年10月，欧盟最终签署了《个人信息保护指令》（95/46/EC）。〔20 〕这条指令的主要目的是平衡各成员国的信息保护发展和基本理念，建立水平相当的信息保护体系，以促进实现内部市场的形成和利益各方的平衡发展。《指令》要求成员国保护自然人的基本权利和自由，特别针对个人信息处理，加强隐私权的保护。另一方面，它要求成员国之间不得禁止或限制信息自由流通。因此，《指令》不仅旨在保护个人信息，特别是电子通讯服务中的隐私权，也为电信服务提供者开展个人信息有关的业务提供了法律上的可能性。《指令》颁布后两年间，德国先后实施了《电信法》（TKG）和《电信服务信息保护法》，将《指令》中有关交易性匿名、假名、信息记录程序、点击流信息处理等规定转化为国内法，在通讯和互联网领域完善信息隐私保护。《指令》基本上延续了《信息流动准则》和《个人信息保护公约》所建立的基本原则，并详细规定了原则适用的条件和要求。同时，《指令》也为各成员国保留了大量的自由裁量权，被誉为欧洲信息保护通向基本权利的里程碑。〔21 〕

根据德国对政府间条约效力的法律规定，《指令》相关内容必须在未来3年内转化为国内法予以实施。《指令》为欧盟信息保护的发展奠定了基础，具有极为重要的意义，但是对于德国而言，却并未带来过多的惊喜。〔22 〕《指令》中有关信息主体的知情权，信息处理中的合法及公平原则等，都与德国信息保护立法不谋而合。鉴于上述原因，在《指令》颁布的最初几年，德国政府并没有给予其足够的重视。本应于1998年完成国内法转化，实际上却一拖再拖。各联邦州也只有黑森州和勃兰登堡州于规定时间内完成了立法。90年代末正值互联网技术快速发展时期，新技术的出现为个人信息保护带来了新的挑战，这时联邦政府才认识到信息保护的重要性。1997年至1998年间，绿党和社民党分别提交了修改《信息保护法》的议案，其中不仅囊括了欧盟信息保护指令的核心规则，还特别就当时混乱的信息保护体系、严重落后于科技发展的立法进程提出改革方案。但是，联邦政府认为只有彻底地变革，才能开启信息保护的现代化进程。〔23 〕于是，信息保护法修正案一拖再拖。2001年1月，欧盟提起对德诉讼，称其未能在规定时间内完成《指令》转化。德国政府迫于压力，只得在短时间内完成《联邦信息保护法》的第二次改革。

2000年的《联邦信息保护法》进一步更新了信息保护理念。《法案》第3章第1条确立了信息经济原则，规定在设计和选择信息处理系统时，应通过技术手段或建立信息审计制度以减少信息采集样本，并且尽可能地使用匿名信息，以减少对人格权的侵害。第4章第1条将合法性原则的适用范围扩大至信息收集行为，详细规定了未经信息主体同意进行信息采集的条件。第6条增加了数据安全委员的新职能，在处理敏感个人信息时，其有权要求提前介入。另外，《法案》逐渐淡化监管色彩，突出意思自治原则在信息保护领域中的作用。将权利人同意作为信息收集和处理的合法性来源。〔24 〕除此之外，《法案》建立了新的私法主体认定标准，并一直延续至今。1990年《联邦信息保护法》将信息经营行为或盈利目的作为确认私法主体的唯一标准。修订后的法案以信息行为作为私法主体的认定标准，将调整范围扩大至使用信息处理设备进行数据行为的私主体和针对非经自动形成或获取的信息进行数据行为的私主体，并明确地将以个人或家庭目的进行数据行为的私法主体排除在外。〔25 〕此外，《法案》新增了有关视听资料的规定。第六章承认了经由视听资料处理得出的个人信息具有人工价值。第2条就公开视频（例如闭路电视）监督提出合法性和透明性标准。第3条新增了有关智能卡收集信息的透明性原则。

2000年《联邦信息保护法》完成得非常匆忙，有学者称其为“已有信息保护成果和现代化信息保护理念之间的分割线”。〔26 〕不可否认的是，立法者是带着“不久之后将其取而代之的意图”通过该法案的。〔27 〕在修正案准备期间，联邦政府另外邀请了三位极富盛名的信息保护专家，就信息权利现代化出具专家意见，并为未来德国信息保护立法基本框架提供学理建议。2001年专家组以内政部的名义提交了《信息保护权利的现代化》（Modernisierung des Datenschutzrechts）专家意见书。〔28 〕报告指出，现代化的信息保护法在内容上应以一般规定为主，实践中依靠各领域的专门法来推进信息权利的实施。同时，法案中既要有原则性规定，也要有精确性规定，但尽量避免使用开放性条款。法案在内容上应同时囊括信息处理的技术设计、信息安全、信息监管和自我监管，以避免立法碎片化，减少潜在的法律冲突。〔29 〕这份报告提交后，并没有受到联邦政府的足够重视，却在学术界引发了有关信息保护理念可操作性的争论。有学者提倡信息保护应尊重私法自治，认为个人信息具备经济价值，双方得就个人信息的处理和使用达成合意。〔30 〕但批评观点认为这样会导致信息保护委员制度在大公司中日渐式微，立法应以现实为基础，为大公司的发展提供更多的自由空间。也有学者认为，在信息社会中，信息处理是日常生活的一部分，信息保护作为个人权利的时代即将到来，政府不应提供特别的公法保护。〔31 〕

3.《联邦信息保护法》的第三次修改

进入21世纪以来，在全球一体化的背景下，社交网络、云计算和定位服务逐渐兴起。科技的进步不仅从根本上改变了信息收集、获取和使用的方式，也给个人信息保护带来了新的挑战。2002年欧盟通过了一系列有关电信和互联网服务的指令，直接催生了德国《电信法》和《电信服务法》修正案的产生。新《电信法》增加了对IP网络和网络电话的规定。《电信服务法》新增了电信服务商就收集和处理用户信息的告知和说明义务，并将适用范围扩大至所有的电子信息和通讯服务领域，除传统电信媒体外，还包括网上商城、音乐下载平台、搜索引擎和电子邮件。2006年12月，北威州通过《宪法保护法》修正案，其中第5章第2条规定该州安全部门可以利用系统漏洞或木马程序潜入被调查对象的电脑系统，以获取信息或对其进行监视。这种方法被称作“在线搜索”或“远程控制”，其初衷是应对极端分子或恐怖组织利用互联网交流、策划犯罪的行为。〔32 〕法案颁布后，德国各党派和公民权利组织都极力反对。2008年2月27日联邦宪法法院认定该条规定违反《基本法》，并宣告其无效。但是，宪法法院并没有简单地完全禁止“在线搜索”，而是明确了极为严格的适用条件。判决指出，“只有在个人生命或国家存亡遭受威胁之际”，安全部门才能将“在线搜索”作为调查手段使用。此外，宪法法院分析了当前互联网技术和个人电脑在实现人格发展中的重要作用，并进一步指出信息自决权在对抗国家信息系统窃取民众个人信息时的无力。〔33 〕在此基础上，宪法法院将信息系统的私密性和完整性确认为一项新的基本权利。

德国的信息保护立法尽管一直呈上升态势，依旧无法遏制个人信息黑色产业链的形成。2006年春天，德国最大的电信服务商Deutsche Telekom宣称，其信息系统遭到黑客入侵，导致1700万T-Mobile用户信息泄露，其中包括用户的姓名、地址、电话号码、出生日期和电子邮箱等敏感信息。〔34 〕2007年后，大规模信息丑闻进一步升级。多家大型公司，如德国铁路、德意志银行、连锁超市Lidl等被指控涉嫌从事用户信息非法交易或侵犯员工的信息隐私。一时间，个人信息保护再次聚焦在镁光灯下，成为那一时期德国媒体的热点话题。2008年，25000名民众走上柏林街头，高举“自由，而非恐惧”的标语，抗议越来越严重的信息侵害。〔35 〕面对媒体和民众的责难，2009年5月至8月，联邦议会先后通过3项《联邦信息保护法》修正案，开启了酝酿已久的现代化变革。修正后的《信息保护法》大范围扩展了信息主体的权利，增加了有关用户习惯记录、信息泄露通知、雇员和用户信息管理等新规定。特别加强了对基于Cookie，IP address，浏览器指纹等追踪技术进行个性化广告推荐的管理。

从整体上看，《法案》将信息经济原则进一步扩展到信息收集行为，至此，信息经济原则全面适用于信息行为的全过程。《法案》延续了宪法法院对信息安全的要求，将信息安全上升到基本原则的高度，要求信息的控制方或处理方在现有技术所及或合理范围内，对个人信息进行匿名或假名化处理。《法案》第30章强制要求以市场营销或民意调查为目的获取的信息必须进行匿名或假名化处理，且不得改变原有用途；通过非公开性信息源收集或处理的信息，完成匿名或假名化处理后方可改变原有用途。另外，《法案》进一步强化了信息保护委员的监管作用。上文提到，在2001年有关信息保护理的讨论中，有学者认为若将私法自治作为信息保护的核心理念，对于业务量更大，信息来源更广泛的大中型私法主体来说势必会增加交易成本。因此，在大中型私法主体中提倡依靠信息保护委员实现自我监管。上述观点被2009年的《法案》采纳。它一方面放宽了对小型私法主体的要求，将设立信息保护委员的最低人数由4人提高到9人；〔36 〕另一方面，《法案》为强化信息保护委员履行职能，新增了任职保障性规定。第三章规定，信息保护委员任职期限不少于1年，任职期间及卸任1年内，其雇佣合同非出于正当理由不得解除。同时，雇主有义务为任职委员提供教育和培训的机会并承担相应的费用。第四章新增了信息保护委员设立的例外适用条件，规定从事传播匿名信息或以市场营销、民意调查为目的的私法主体不受雇佣人数限制，必须设立信息保护委员。

具体来看，《法案》进一步扩展了信息自决权的范畴。除传统的知情权外，信息主体在特定条件下，享有更正、删除或封锁其个人信息的权利。同时，信息主体有权对未经其同意进行的信息收集、处理和使用行为提起损害赔偿诉讼。针对此前大规模爆发的信息丑闻，《法案》特别加强了关于雇员和用户信息保护的规定。《法案》第28章增加了关于记录用户习惯的限制性规范。一般来说，服务提供方会通过技术手段记录用户在互联网上的操作痕迹，信息经过处理和分析后得出概率值。服务方基于概率值来预测用户的未来行为，并针对每位用户提供个性化推荐服务。第28章将记录行为限制在“与信息主体订立合同”的目的范畴内。此外，被收集的用户记录不得仅包括地址信息，且必须经过数学统计程序证明被收集信息的必要性。如果服务方使用了用户的地址信息，则需要提前以文件形式通知信息主体，这也体现了信息主体知情权的进一步扩张。第32章严格限制基于雇佣关系对个人信息的使用。第1条将信息的收集、处理和使用严格限制于“与雇佣相关”或“职务犯罪调查”之必要。在第一种情况下，必要是指为雇佣关系的建立、实施或解除提供必要依据。后者则仅限于调查履行职务相关的犯罪行为，且以存在纸质证据材料为前提。在此基础上，第2条将上述限制扩大到非自动化信息处理系统中，即不论使用何种方式或途径，只要存在对雇员个人信息的收集、处理或使用，则必须遵守上述规则。《法案》第42章第1条新增了信息泄露通知义务，要求信息控制方或处理方在涉及个人敏感信息、职业机密、能够指证刑事或行政犯罪的信息以及银行、信用卡账户信息泄露时，应及时报告信息管理机关并以适当方式通知信息主体。通知中应说明本次信息泄露的特点，并推荐相应避损措施。此外，在对主管机关的报告中，还应额外说明本次信息泄露有可能导致的后果和信息控制方或处理方已经采取的措施。如果信息涉及群体庞大，通知全部受害者会给信息控制方或处理方造成不合理的支出，那么可以在至少两种以上全国范围内发行的日报上，以不低于半页的篇幅刊登相关说明或者采取其他具有相同意义的办法。

三、最新发展：欧洲一体化背景下的统一立法

2009年《里斯本条约》生效后，欧洲一体化迈向新的发展阶段。条约同时也为欧盟内部信息的自由流转提供了政治基础。同时生效的《欧洲联盟基本权利宪章》 〔37 〕首次明确承认个人信息保护的基本权利地位。信息保护作为一项基本权利在欧洲开启了新的历程。

1995年《个人信息保护指令》实施后，欧盟各国都完成了信息保护立法，在此基础上形成了各自信息保护的立法特色。根据欧盟委员会公布的资料显示，欧盟共存在28种不同的信息保护法，立法碎片化为中小型公司开拓新市场增加了成本。〔38 〕为应对计算机技术的最新发展，进一步平衡各成员国之间信息保护的发展程度，2010年欧盟委员会建议在欧盟范围内建立统一的信息保护规则，将信息流转作为建立欧盟内部市场的重要因素。〔39 〕2012年1月，欧盟正式公布《一般信息保护条例（草案）》。这份草案在1995年《个人信息保护指令》的基础上，进一步丰富了信息主体的权利，淡化行政管制色彩，更为强调信息保护的自我监管，并计划将适用范围扩大至整个欧洲经济区。历经4年谈判后，《一般信息保护条例》（以下简称《条例》）最终于2016年4月27日审议通过，并将于2018年5月开始实施。届时《条例》将取代《个人信息保护指令》，成为欧盟个人信息保护的基本法。

《条例》在适用范围上兼采属人主义和属地主义，因此同样适用于建立在欧盟境外但从事与欧盟境内居民相关信息业务的信息处理方或控制方。从整体上看，《条例》进一步完善了意思表示在信息处理行为中的作用，扩大了信息主体的权利，确立了主观故意与过失相区别的责任体系。《条例》要求信息主体对信息行为的同意授权必须以明示方式作出，且可不受限制地撤回。同时，《条例》新增了有关被遗忘权的规定，信息主体有权要求删除其处理的或储存的个人信息。在具体制度方面，《条例》新增了信息保护影响评价机制，要求信息控制方在处理敏感信息或进行其他容易对信息主体的合法权益造成威胁的行为时，必须保留信息处理行为的相关记录。另外，《条例》建立了信息泄露通知机制、信息保护委员制度等。《一般信息保护条例》将于2018年5月正式实施，不同于指令，条例可直接适用于各成员国，无需经由国内法转化。即便如此，欧洲学术界普遍认为各国不可避免地要对国内法进行一定程度上的修正，欧洲将迎来前所未有的信息保护立法高潮。反观德国学术界，学者对《条例》的反响并不十分强烈。一方面由于德国的信息保护立法一直处在欧盟领先地位，《条例》中有关信息泄露通知、信息保护委员等制度都源自德国立法。另一方面，不少德国学者认为，在辅助性原则影响下，欧盟不得过多干涉成员国内部事务，因此，《一般信息保护条例》实施后，《联邦信息保护法》的核心地位并不会被动摇。

但是，不可否认的是，2009年的信息保护法改革距今已有7年。近年来，全球信息的存储量呈指数型上涨。据互联网信息中心预测，截至2020年全球产生和复制的信息量将超过35ZB即350亿TB。〔40 〕在这个技术日新月异的信息时代，德国的信息保护立法势必要随着技术的发展不停地进行自我修正和更新。对比这两份法律文件，《条例》整体上对信息的实际控制方持更为严格的限制态度，尤其在举证责任方面完全推翻了德国现有的体系。另外，未成年人作为民法上的无行为能力或限制行为能力人，其独立作出的同意收集信息的授权是否具有法律效力，能否成为信息实际控制方收集、处理和使用信息的合法性来源。这一问题近年来逐渐受到欧洲学术界的关注，《条例》也在第17条有关被遗忘与删除的权利中，特别强调了对未成年人信息权益的保护。笔者认为，如果坚持《联邦信息保护法》在德国个人信息保护体系中的核心地位，那么德国必将在2018年之前迎来信息保护立法的第四次改革。