欧盟与美国个人数据保护模式之比较及其启示

李春华 冯中威

（山东农业大学文法学院 山东 泰安 271000）

欧盟与美国个人数据保护模式之比较及其启示

李春华 冯中威

（山东农业大学文法学院 山东 泰安 271000）

我国今年3月通过的《民法总则》明确了对个人信息的保护，实际上20世纪70年代后，许多国家相继制定了偏重于保护个人信息或数据的法律，欧盟采用“综合立法”的模式，美国则采用“分散立法”与“行业自律”相结合的模式。本文拟通过对欧盟和美国对个人数据保护模式的分析比较，以期为我国的个人信息保护的专门立法提供借鉴。

数据 保护 启示

作为信息化产物的大数据已成为重要的战略资源，20世纪70年代后，许多国家制定了偏重于保护个人数据或信息的法律，既保护数据主体的权利，又平衡数据主体和利用数据之间的关系。其中最有代表性的是欧盟和美国。欧盟采用“综合立法”模式为个人数据保护提供统一的法定标准，最大限度地保护个人数据。而美国则采用隐私保护的“分散立法”与“行业自律”相结合的模式。欧盟和美国保护数据的不同模式，对我国个人数据的保护具有积极的借鉴意义。

一、个人数据的界定

由于各国法律传统的不同，法律的名称也各不相同，使用的法律术语也不同，考察世界各国和地区相关立法，欧盟与美国主要采用“个人数据”与“个人隐私”的称谓。二者既有联系又有区别。

1995年的《欧盟数据指令》认为个人数据是关于一个被识别或可识别的数据主体的任何信息。英国的《数据保护法》将个人数据界定为由有关一切活着的人的信息组成的数据信息，德国则是指凡涉及特定或可得特定的自然人的所有属人或属事的个人资料，我国学者则认为“个人数据处理是指对个人数据进行的任何操作或一系列操作，而无论该操作是否是自动化方式进行。”[1]

实际上，自欧盟1995年制定保护个人数据专门立法起，一直存在“个人数据”与“个人信息”之间的区分。个人信息是指有关个人的一切资料、数据，因此个人数据与个人信息之间的区分并不明显。而“个人信息是个人资料所反映的内容，个人资料是个人信息的表现形式”。[2](P79)世界各国和地区立法中，“个人资料”与“个人信息”往往是通用的概念。

美国是通过对隐私权的立法来保护个人信息的，个人信息与隐私权保护的信息在内容上存在一定的重合，隐私信息主要是指个人不愿向外界透露的信息，隐私权注重的是保护个人的权利，可见，个人信息的概念已经远远超出了隐私信息的范围。

鉴于此，本文对涉及的“数据”和“信息”、“资料”“隐私”不做严格区分，将这几个术语按同义词使用。

二、欧盟与美国的个人数据保护模式之分析

个人数据法律制度是调整在数据的采集、处理、传输和存储等各类数据活动中产生的各种社会关系的法律规范的总称。即主要调整数据控制者、数据处理者和数据主体三个方面的社会关系。广义上，是指各种与个人数据或信息有关的政策法规，如知识产权法、国家秘密、商业秘密、个人信息、计算机犯罪等相关的法律制度；狭义上，仅指网络知识产权、网络隐私等方面的法律制度。欧洲理事会、经合组织、联合国、亚太经合组织等国际组织和各国相继制定了保护个人数据的法律制度，以欧盟与美国的保护模式最为典型。

（一）欧盟模式

欧盟模式是指由欧盟及其成员国对个人数据制定法律规范，统一规范国家机关和民事主体收集、处理和利用个人数据的立法模式。也被称为“综合立法”模式，其最初由其成员国先行立法规制个人数据，关于数据的第一部保护法于1970年在德国黑森州通过，这也是世界上第一部数据保护法，该法涉及公共机构对个人数据的处理。[3]欧盟除上述指令外，欧盟保护个人数据的法律文件主要有《数据保护指令》等一系列指令外，还有对所有成员国具有直接效力的而不必被转化为国内法律的规章。

1《.数据保护指令》

欧盟于1995年10月通过了《数据保护指令》（《95/46/EC指令》），该指令为数据库权利人提供版权和特别权利的双重保护。《数据保护指令》是欧盟数据保护法的主要文件，至1998年10月24日在欧盟各成员国中完成了执行。它是当今世界上第一个全面保护数据的法律制度，对所有部门和所有类型的信息数据的处理都发生法律效力。[4](P36)

2《.数据留存指令》

欧盟于2002年6月通过《隐私与电子通讯指令》（《2002/58/EC指令》），主要保护电子通信部门的数据问题。2006年3月又通过了《数据留存指令》（《2006/24/EC指令》），主要对《隐私与电子通讯指令》中的数据留存条款加以修改。该指令对自然人和法人的通信数据以及定位数据等均予以适用。

3《.欧盟2009电信指令》

欧盟于2009年12月通过了《欧盟2009电信指令》，主要规制电信领域的数据保护问题。特别是通过规定用户终端存储信息统一的原则和运营商关于数据侵权强制通知的义务等条款加强对个人数据保护。2011年5月25日是该指令转化为欧盟成员国国内法的最后期限。[5]2011年8月法国通过修改1978年《信息、档案与自由法》中的第32条第2款，将其转化为国内法，从而加强了网上个人数据的保护力度。

可见，欧盟通过上述一系列指令等，在成员国内构建起了一套相对完备的个人数据法律保护框架，极大地保护了数据主体和数据处理者的相关权利。

（二）美国模式

美国模式是指美国联邦政府对个人数据通过隐私权保护的方式，是对特殊领域采取“分散立法”加上“行业自律”模式。“分散立法”主要规制政府机关涉及利用个人数据的领域，在数据的获取、发布和隐私等与数据相关的政策制定了一整套复杂且不断变化的法律、法规和备忘录。“分散立法”主要涉及如下三个方面：

1.规制政府机构行为的立法

主要有1966年的《信息自由法》、1974年的《隐私法案》（《Privacy Act，1974》）、1980 年的 《隐私保护法》和1994年的《驾驶员隐私保护法》等立法。其中《隐私法案》规定了权利主体的权利、政府机关的义务和民事救济措施，对美国的隐私权保护立法产生了深刻影响，是第一个规范政府行政部门在收集和传播私人信息获得中保护个人信息的综合性联邦立法。[6](P114)

2.规制特定主体的隐私权保护立法

主要有1974年的《家庭教育和隐私法》、1998年的《儿童上网隐私保护法》（《Children’s Online Privacy Protection Act，1998》）等立法，保护儿童等特定主体的个人信息。

3.规制特定领域或事项隐私权保护立法

主要有1968年的《全面犯罪控制和街道安全法》、1970年的《公平信用报告法》（《Fair Credit Reporting Act，1970》）、1973 年 《犯罪控制 法》、1978年《金融隐私权法》和1986年《电信隐私权法》（《Electronic Communication Privacy Act，1986》）等立法。其中《公平信用报告法》开启了美国个人信息保护立法的新篇章。

与此同时，美国还对个人信息采取部门保护的方法，更多地强调行业自律，给予企业更多的自主权。美国行业自律从1995年开始实行，距今已有二十多年的历史。所谓行业自律模式是指由公司或者行业内部制定行业的行为规章或者行为指引，为行业的隐私保护提供示范的行为模式。[7]行业自律性规范包括企业自身制定隐私权政策、中立组织的“认证制度”。在美国政府的大力扶持下，行业自律已然成为美国个人信息保护的主要方式之一。行业自律尽管缺乏强制力与执行力、自律范围也具有一定局限性，但通过自律模式的规制，一定程度上既可以防止完全市场自由调控造成经济的无序发展，又能防止法律滞后制约网络行业快速发展的风险。

（三）欧盟模式与美国模式的比较

通过以上分析，欧盟个人数据的保护立法经历了以个别国家为先导，到国际和国内立法并行，再到国际立法融合国内立法，在欧盟层面构建统一的数据保护体系的发展过程。[8]欧盟模式可以为个人数据保护提供统一的法定标准，最大限度地保护个人信息并提供充分的法律救济。与欧盟采用国家立法主导的规制模式不同，美国则区分不同的领域或事项对个人数据分别制定单行法，针对不同性质的个人数据及侵权行为通过不同的制度加以规制，从而对个人数据进行较为细腻的保护，与此同时又赋予行业自律模式。可见，欧盟模式与美国模式在立法价值理念存在明显的差异。欧盟将个人的数据权利视为基本人权，通过统一立法确认和保护个人的数据权利，而美国更多地通过自律规范保护个人数据，认为强硬的法律结构“将不可避免地阻碍商业活动”。[9](P308)

当然欧盟模式与美国模式也在相互借鉴中不断发展。欧盟自诞生之日起，基于其先进的技术优势，一直在互联网和电子商务领域稳居领先地位。这种明显的优势使其确立的个人数据保护模式，纷纷被美洲和亚洲等国家所借鉴，欧盟模式在很大程度上直接影响了美国一向反对个人数据立法的立法理念。而欧盟借鉴美国行业组织发达、制度完善的行业自律机制，也将自律性制度纳入了其法律框架中。如在《数据保护指令》第26条第2款的规定的基础上，吸纳了“格式合同”条款、企业自律和国内自律模式等个人信息保护制度。

为协调二者在个人数据保护规范程度的差异，美国与欧盟于2000年5月正式签署一份名为“安全港协议”的数据保护协议，充分反映出互联网与电子商务环境下个人数据保护的国际化趋势。暗示着在当时商业利益的驱动下，以美国为代表的行业自律和市场调节机制为主的松散的立法体制向以欧盟为代表的统一立法体制暂时做出让步。[10]尽管2015年10月被欧盟最高法院以无法充分保证个人数据为由裁决无效并予以撤销。但毕竟说明美国与欧盟就个人数据保护所进行的积极尝试以及为促进法律体系的趋同或融合所做的努力，为世界各国在国内开展多元的互助合作起到了很好地示范作用。目前，欧盟与美国已经进启动了新一轮的谈判，以更好地保护个人数据。

三、对中国个人数据保护的启示

我国的信息法律法规经过十多年的建设，已经在信息公开与保密、知识产权保护和计算机系统的安全保护等方面都制定了有关的法律法规，2017年3月通过的《民法总则》第一百一十一条规定，自然人的个人信息受法律保护。但我国目前尚未制定统一的信息或数据法，个人信息或数据保护法从一定意义上是民法的下位法。因此，与信息相关的政策法规更多地体现在对个人信息和隐私的保护制度上。我国现行立法多称之为“信息”或“隐私”，因此，相关立法主要是指涉及信息保护及隐私保护的法律、法规，所涉及的法律规制都是多层面、多领域和多类型的，既有国家法律，又有行政法规及部门规章。目前，我国对与个人信息保护的有关法律法规采用直接保护和间接保护两种方式。明确提出对“个人信息”保护法律法规，除刚刚出台的《民法总则》外，还有《居民身份证法》（2003年）、《刑法修正案（七）（2007年）》、《刑法修正案（九）（2014年）》、《广告法》（2015年修订）等等，通过直接保护方式的法律、法规、规章及司法解释并不多，而通过对“人格尊严”、“个人隐私”、“个人秘密”等进行间接保护的政策法规众多且比较分散，如《宪法》、《侵权责任法》（2009年）、《政府信息公开条例》（2007年）等。

可见，我国目前保护个人信息的法律法规分散，缺乏统一整合性。不仅适用范围相对狭窄，缺乏可操作性，而且不注重个人民事权利的保护等。全球已进入大数据时代，国际经贸环境和法治社会的建设都需要我国制定个人信息或数据保护法。欧盟和美国对个人数据保护、隐私权保护以及网络隐私权保护等方面为我国的个人信息保护立法提供了丰富的经验，具有积极的借鉴意义。

保护个人数据专门立法已成为世界趋势，而我国个人信息或隐私数据的保护难以借助现有的法律制度；我国行业组织的控制力不够强大，企业自律短期内难以实现，必须加强政府的调控和保护力度。因此，依我国国情来看，我国的个人信息保护立法应选择以欧盟模式为主，适当加入美国模式的“综合模式”。

［1］张新宝.中国个人数据保护立法的现状与展望［J］.中国法律，2007（2）.

［2］齐爱民.拯救信息社会中的人格——个人信息保护法总论［M］.北京，北京大学出版社，2009.

［3]李沫.个人信息保护的法律解析［J］.法制与社会，2009（4）.

［4］［德］Christopher Kuner著，旷野，杨会永等译.欧洲数据保护法［M］.北京，法律出版社，2008（9）.

［5］蔡雄山.网络世界里如何被遗忘——欧盟网络环境下个人数据保护最新进展及对网规的启示［J］.网络法律评论，2012（12）.

［6］姚建宗等.新兴权利研究［M］.北京，中国人民大学出版社，2011.

［7］李春芹，金慧明.浅论美国个人信息保护对中国的启示——以行业自律为视角［J］.中国商界，2010（2）.

［8］孔令杰.个人资料隐私的法律保护［M］.武汉：武汉大学出版社，2009.

［9］戴恩.罗兰德，伊丽莎白.麦克唐纳.宋连斌，林一飞，吕国民译.信息技术法［M］.武汉：武汉大学出版社，2004.

［10］王孛.美国与欧盟个人信息跨境流通安全港协议简论［J］.知识经济，2008（4）.

D913.4

A

1007-9106（2017）08-0089-04

* 本文为农业大数据研究中心立项课题“农业大数据相关政策法规建设研究”。

李春华（1964—），女，山东农业大学文法学院、农业大数据研究中心教授，研究方向为知识产权法；冯中威（1995—），男，山东农业大学文法学院2016级硕士研究生，研究方向为知识产权。