消费者个人信息的法律保护研究

3 域外对消费者个人信息的立法保护以及启示 员会指令，简称欧盟95指令①。此外，2002年《隐私与电子通讯指令》、2006年的《数据保存指令》等都是欧盟保护消费者个人信息权的有力法律。

欧盟95指令的立法目的包括：成员国应对自然人的个人数据享有处理的基本权利和自由,尤其是应该保护消费者的个人隐私。其次,每个成员不得第一点所提供的保护相违背,限制和禁止每个成员国的个人数据的自由流动。命令的基本目标是保证自然人的基本权利和自由,调节有关个人数据保护体系,促进个人数据自由流动的有效性和合法性。从适用主体的角度看，自然人和法人的个人数据处理是影响有关消费记录的。规定还指出，该法适用于所有包括官方的和非官方的业务分支机构,指令适用于全部或部分个人文件系统由。敏感的个人数据一律采取禁止处理的原则,个别特殊情况例外。从个人的角度来对待数据处理行为,该指令并不适用于公安、国防和国家安全有关的活动，对于实行国家刑罚的个人数据处理情况另外。与此同时,为了纯粹的个人或家庭的个人数据处理也将得到保护。个人信息控制器应确保个人数据处理的数据是在公正合理法律的规定之下。个人数据是基于具体、明确的法律目的,进一步处理的个人资料不应违反特定的目的。由于历史、统计和科学客观需要的个人数据也得提供必要并适当的保护。个人信息数据采纳系统需要保持个人数据的准确和更新,要采取合理的步骤来删除不准确和不完整的个人信息。对历史统计数据和有重要科学目的个人信息数据,应采取措施,以确保个人信息数据的长期保存。指令同时也制定出了个人数据保护的最低标准，这一方面既能保护公民的个人隐私，也能规范了个人基本权利及自由数据的跨国流通②。从实践应用程度来看，过于繁琐的条款在实践执行中的问题也能解决。当前，欧盟对各国法律协调的不够；各国政府要求数据公开的政治冲突和强调个人隐私保护压力在目前也面临着巨大的压力。 3.1.3香港地区对消费者个人信息的立法保护

“香港个人资料(私隐)保护公署是对每个香港人信息保护法律制度中重要的一环。”由于香港个人资料(私隐)保护公署的独立地位，其不受任何机

①②

周汉华，《域外个人数据保护法汇编》，北京法律出版社，2006年。

陈飞，《个人数据保护——欧盟指令及成员国法律、经合组织指导方针》，北京法律出版社，2006年；

13

3 域外对消费者个人信息的立法保护以及启示 构管治，也无需向最高行政长官报告，因此能在个人信息保护工作中发挥巨大的作用。①公署的目标是通过教育、宣传、推广，确保个人、公共部门、非公共部门能够清楚的认识到自身的权利和义务。在个人资料(私隐)保护公署的积极努力下，现如今香港大多数市民都具有很强的个人信息自我保护意识。公署遇到侵犯个人信息的行为会主动调查、发出改正通知。但这一切并不依靠强制手段，而是以温和的方式进行。香港设立个人资料私隐专员公署来监督条例的实施与保障公民的个人信息隐私权，这机构在亚洲都是唯一的私隐保护监管机构②。这种温和的方式培养了香港的个人信息保护文化，但面对日新月异的信息时代，《个人资料(私隐)条例》和个人资料(私隐)保护公署正在经历一次又一次考验。不过最近有资料显示：个人资料隐私专员公署已逐渐暴露不足之处:一个是调查报告不具有约束力，其监管权力是有限的。专员只有当机构改善无效后才能跟检察官提出建议。”事实上，香港很多居民都认为《个人资料(私隐)条例》保护力度太弱，如果自己个人信息遭到侵害，他们通常选择法院而不是选择公署。

香港个人资料条例生效于1996年12月20日，其中的第十章内容包括介绍执行事务代码,数据用户申报表和用户注册个人资料的查阅及改正,个人数据检查、数据转移,检查投诉和犯罪调查、权益补偿等内容。其中包括6个表,分别是数据保护原则,专员金融要点,咨询授权范围、专员个人资料、专员手令等。现对其主要内容介绍如下：第一、收集资料的目的及方式。收集资料其应该是合法和公平的方式,用户状态下的信息收集应该从信息主要点向当事人提及并整理。第二,个人数据的正确性和保存期。保存的个人资料必须是准确和最新的信息,其保存时间不得超过实际需要。第三、个人资料的使用。除非得到消费者同意的信息,要不然收集的个人资料只可用于描述的目的而不能直接转移。第四、个人资料保护。应采取实际措施保护个人信息或当意外访问出现时及时处理信息。

首先,访问的权利需要一个资料副本。数据主体有权知道数据处理人相关

①

张金城、康永威，《香港个人资料隐私保护之经验—兼论我国个人资料保护法之规定》，《河北法学》，2008年11月。 ②

李海元，《香港私隐专员公署：亚洲唯一的私隐保护机构》，人民网。

14

3 域外对消费者个人信息的立法保护以及启示 的个人资料。如果数据处理人来保存自己的信息,需要处理的数据人要提供数据处理人个人的一个资料副本。当请求不符合条件时,有权拒绝书面通知的数据处理。 第二、要求更正资料的权利。当数据问题人处理数据时发现消费者的个人数据是不准确时,可以要求数据进行校正,校正后的数据需要通过一个修正副本校对。假使不符合条件,数据处理人员可以拒绝改正要求并有权书面通知主管部门。第三,违反法律的主要投诉的处理权利。第四，获得补偿的权利。如果资料处理者的资料主体遭受损害或是伤害，资料主体有权获得赔偿。 资料处理者的义务有：第一，删除不再需要的个人资料。个人信息得到特定的目的之后且不再为所需要，资料处理者应该及时删除该资料。第二，备存记录薄。对拒绝查阅资料的个人要求或拒绝更正等事项要及时备存记录薄，保存时限规定为四年。第三，依要求停止可停止个人消费信息的促销使用。

由于香港个人资料(私隐)保护公署的独立地位，不受任何机构管治，也无需向最高行政长官报告，因此能在个人信息保护工作中发挥更大的作用。公署的目标是通过教育、宣传、推广，确保个人、公共部门、非公共部门能够清楚的认识到自身的权利和义务。在个人资料(私隐)保护公署的积极努力下，现如今香港大多数市民都具有很强的个人信息自我保护意识。公署遇到侵犯个人信息的行为会主动调查、发出改正通知。但这一切并不依靠强制手段，而是以温和的方式进行。这种温和的方式培养了香港的个人信息保护文化，但面对日新月异的信息时代，《个人资料(私隐)条例》和个人资料(私隐)保护公署正在经历一次又一次考验。我国香港地区是东南亚的经济中心,交易相当频繁，欧盟国家在欧盟指令之前,香港为了避免缺乏个人信息保护法在国际贸易中处于劣势和数据保护壁垒,其加强制定法律保护个人信息。基于这样的背景下,香港的个人信息保护立法深受欧盟保护个人信息法律体系的影响。正因为如此,香港是可以与欧盟个人信息法律保护体系相提并论并为数不多的几个地区之一。

15

3 域外对消费者个人信息的立法保护以及启示 3.2域外对消费者个人信息的立法保护对我国的启示

3.2.1适用范围明确

无论是美国还是欧盟，对于个人信息的保护都有采取必要的措施。欧盟与美国对个人信息的范围都有明确的界定。欧盟95指令，个人信息权利的范围明确定义为“任何与已经确认的或者可以确认的自然人有关的信息”，在美国的《隐私法案》中，个人信息也有明确的范围为“由任何有关个人情况的单项、集合或组合，包括但不限于其教育背景、金融交易、医疗病史、犯罪前科、工作履历以及其姓名、身份证号码、代号或者其他属于该人的身份标记，例如指纹、声音、照片等记录”，我国台湾地区对个人信息的保护范围则包括姓名、出生年月日、身份证统一编号、健康检查、犯罪前科、联络

①

方式、财务状况、社会活动以及其他足以直接或间接识别该个人的资料等”。

尽管目前对个人信息的范围有不同的意见和看法，但学术界大都认可应该对个人信息提供一种尽可能宽泛的保护。我国学者王利明教授认为个人信息就应该包括“所有可以直接或间接地识别本人的信息”②。我国在在消费者的个人信息保护方面有所缺失。而随着时代的发展进步，个人信息的范围还将继续扩大，个人信息的范围很难被全部涵盖，因此借鉴域外的立法模式，采取概括或列举的方式，使其尽可能全面地受到法律的保护，才能更能适应时代的发展以及保护消费者权利的需求。 3.2.2保护标准明确

通过上述国家的立法,不难看到全面立法体系下的欧洲模式是使用全部统一的个人信息保护法律规则,其并提出了非常具体的个人信息保护的标准。其不全部是从私权的角度来阐述个人信息权的权利属性和内容,其也强调了国家公权力的作用。在某种程度上这有助于加强个人信息权利的保护的范畴。美国的立法模式主要是从实用主义的角度分析,其侧重于依靠市场监管和行业自治,这尽管有利于信息安全保护氛围的流通和监管,但由于其缺乏统一规

①②

蒋坡主编，《个人数据信息的法律保护》，中国政法大学出版社，2008年； 王利明，《隐私权概念的再界定》，《法学家》，2012年；

16