首页资料文库正文

个人数据范文10篇

时间：2023-03-23 01:01:25

个人数据

个人数据范文篇1

【主题词】：公共事务管理个人数据隐私保护

在当今信息化社会中，个人数据的运用对公共事务管理机构的运行所产生的重要作用已日益彰显。公共事务管理机构对个人数据运用所产生的影响与结果不仅关系到老百姓方方面面的利益，同时也关系到老百姓个人隐私的保护。在相当长的一段时期内，如何使收集的个人数据发挥出最大的社会效应成为管理机构努力探求的方向，即个人数据的充分利用成为热衷的焦点，而个人数据的保护则并未提高到其应有的高度。经过了长期的实践，个人数据的有效利用确实为政府部门的管理、社会事业的发展起到了相当积极的作用，但与此同时，由于最初对个人数据保护的缺乏重视，由此也引发了诸多棘手的法律问题。本文试图从公共事务管理机构对个人数据的收集、加工及使用的整个流程中可能产生的问题作为切入点，有针对性地提出一些对策和参考意见。这里首先需要明确的一点是，本文所讨论的公共事务管理机构的范围包括政府及其职能部门、公共服务机构、公共教育机构、公共医疗机构、事业单位和某些特殊的企业单位（如水、电、煤、电信等公司）。我们认为，个人数据在这些机构和单位中的运用将会影响到个人隐私的保护。

一、个人数据流程中的问题探讨

1、个人数据的收集

个人数据的收集大致可分为无条件的收集和有条件的收集两种。前者目前只有通过人口普查这一种途径得以实现；而后者则主要是通过老百姓到各公共事务管理机构办理各种相关业务等多种方式来获得个人数据，即以业务为。例如我们熟悉的居民去公安局申报户口、办理户口的变迁，办理身份证，办理暂住证等业务就需要填报多项个人数据，而公安局就将这些个人数据输入电脑，汇总到它的数据库中。

在这个环节中，我们重点考察了公共事务管理机构对个人数据收集的法律依据。然而，考察结果收获甚微，我们几乎没有发现此方面的法律依据，仅有唯一的《中华人民共和国户口登记管理条例》赋予了公安机关在办理户口登记业务时收集个人数据的行政职权。聚精会神地阅读这一1958年由第一届全国人大通过的条例，我们发现条文上仅只有相当笼统的二十六条，内容上对收集个人数据的具体方式、种类等则完全没有提及，而其中所用辞藻如“人民委员会”等则明显不合时宜。看来，要完全严格地依照此项条例来规范如今的户口登记管理操作已不具可能。据我们了解，当前对个人数据收集的普遍做法是，公共管理机构根据自己的业务工作需要，以现行的政策和惯例来具体操办那些涉及到个人数据收集的业务。由此可知，当前公共事务管理机构在个人数据收集方面是缺乏有力的法律依据的。剖析造成这种立法上空白的原因，主要可归结为以下三点：第一，立法本身具有滞后性，往往是新情况出现后要经历长期的立法准备工作，再等到立法时机成熟后才有可能出现一部新的法律；第二，现代科技的迅猛发展，网络技术的日新月异，在以前社会条件下几乎无法预见到今天的网络将得到如此飞速的发展，而当时的个人数据也根本不像今天得到如此广泛的运用并涉及到个人的种种利害关系，所以当这些冲突显现时，今天的信息管理者才会颇感措手不及；第三，随着社会的发展、法制建设的不断健全，公民的权利意识正不断增强，原本认为理所应当向公共事务管理机构提供的个人数据如今也涉及到了隐私权的问题，公民意识到自己的权利有可能受到侵害，所以产生了公共事务管理机构知情权与公民隐私权之间的矛盾。

在我国民法意义上，隐私是指公民个人生活中不愿为他人公开或知悉的秘密，包括个人私生活、个人日记、照相簿、储蓄及财产状况、生活习惯及通讯秘密等。并未直指个人的姓名、住址、电话号码、身份证号码等信息。而这部分信息在十几年前，甚至在五六年前几乎没有人将之与个人隐私联系起来，而在今天，由于网络和信息技术的飞速发展，这些信息一旦在网络上传播，其速度之快、范围之广以及任何人攫取之便捷将无法控制。这些信息原本在其相对人可控的范围内传播不被认为是隐私。而在这种不可控的条件下，这些个人信息对于其相对人来说也就成了需要保护的隐私了。若非迫于公共事务管理机构对于个人的某些特定的权益，个人亦不会情愿提供这些个人数据。虽然现在公共事务管理机构对所收集进自己数据库的个人数据都基本采取了不对外提供的保密措施，但在获取这些信息时，或者说相对人在提供其个人数据时并没有得到任何承诺和保障，那么相对人在提供自己的个人数据之后对其可能对自己个人隐私权造成的侵害而担忧亦不无原因。我国《宪法》及许多法律中均有隐私权保护性条款，这里不加赘述，但正是由于前文所述的原因而导致的隐私范围的扩大，对于这些基本的个人数据作为隐私来加以保护的条款却是没有的。对于公共事务管理机构来说，相对人本来就处于弱势，需要加以保护。而对于相对人的这部分新“成长”起来的隐私的保护却是缺乏法律条文的有力支持的。我们认为在个人数据的收集阶段，一是要尽快填补个人数据收集在法律依据上的缺陷，使收集工作有法可依，得以有序进行；二是要对相对人的隐私加以重视和保护，这样才能鼓励相对人积极、全面、如实地提供公共事务管理机构所需的个人数据，降低数据收集的成本，从而保证收集工作和后续工作的顺利开展。具体设想将在下文中加以探讨。

2、个人数据的加工

在进行个人数据的有效收集之后，进行加工整理来使其集合效应的新的使用价值得以体现，似乎是一件顺理成章的事情。然而我们稍加分析，却不难发现，对这些数据进行的任何加工整理皆是有明确目的的，而此目的即为了使用，也就是说在对收集来的个人数据的处理有这样一个过程：考虑其用途——以此目的进行加工整理——投入实际使用。由于目前公共事务管理机构的数据库都仅作本部门业务工作需要的使用，因此对所收集的个人数据所作的加工整理也相当有限。我们认为对个人数据的加工整理是在一个封闭系统下所作的内部行为，其直接产生法律问题，引起法律后果的可能性微乎其微，而其真正的实际影响将在个人数据加工整理结果的使用上得以体现。因此我们对个人数据的加工整理这一环节也就没有作过多探讨的必要，而是把目光直接聚焦到个人数据的使用上。

3、个人数据的使用

个人数据的使用多种多样，其引起的法律关系和法律责任也因之而易。因此我们首先有必要对个人数据的使用加以分类，逐个探讨。按使用方向分可分为内部使用、反馈使用（指公共事务管理机构在对某特定相对人进行管理或提供服务时使用该相对人所提供的其自身的个人数据）以及外部使用。按使用层次分可分为直接使用、间接使用和混合使用。直接使用指对收集来的原始的、未经加工的具体的个人数据进行使用；间接使用是指对收集来的个人数据进行了批量加工整理后得出的结果数据的使用，而从该结果数据中已经不能通过逆向加工得到具体的个人数据了；而混合使用则是指使用中既有直接使用，又有间接使用。

（1）内部使用。内部使用中既有对个人数据的直接使用，也有对个人数据的间接使用。直接使用如公安机关、检察机关、审判机关等司法机关部门依法行使对某个或某些公民的调查权或侦察权等而对个人数据进行调阅、摘录或复制，这些行为均属于在法律授权的条件下的合法使用。间接使用如根据大量的个人数据的一些统计结果来制定政策，分析研究社情、民情等。在这些情况下，个人隐私权与公共事务管理机构所依法履行的职权相较，处于下位，相对人不得以保护自身隐私权为由与之相抗。这种观点已经为我国及世界各国立法所采纳，也普遍为公众所接受，所以在这种情况下的使用也不存在我们探讨的空间。

（2）反馈使用。反馈使用大体上都是直接使用。由于其个人数据使用的方向性直指相对人本人，因此也就不会产生个人隐私权受侵害的情形。而根据我们了解，这其中产生问题较多的原因是由于个人数据未及时更新或个人数据出现差错等引起的在政策适用等方面关系到相对人切身利益的纠纷。如某知青子女为享受回沪政策故意减小年龄，在回沪后为了找工作又要求上海市公安局恢复其真实年龄。又如某人身份证号码与他人重号而遭银行、证券公司等拒绝提供服务。这些问题虽然不涉及个人的隐私问题，但说明这些个人数据上出现的问题对个人的利益有着重大的影响。从第一个例子中我们可以看出造成问题的原因是相对人没有提供真实的个人数据而导致的，而第二个例子则显然是由于公共事务管理机构的工作疏漏造成的。这两个例子是此类使用中的两个典型问题。对于例一中公共事务管理机构是否可以因为该知青子女已经从其虚报的个人数据中获利而有权将错就错，拒绝修改其个人数据呢？而例二中的公共事务管理机构又应当为自己的工作疏漏承担怎样的责任呢？我们认为：对例一，应当对没有提供真实的个人数据的相对人处以一定的罚款，并需提供原始证据（如出生证）才予以更正；对例二，有关机构应当自行负责给予更正，而不能叫相对人跑来跑去地搞，必要时要给予相应的赔偿。而另有一点我们可以明确地从这两个例子中感受到的是：个人数据一旦被公共事务管理机构所收集和利用，其性质即发生了一定的变化，带有了一层公共事务管理机构职权所赋予的权威性色彩。该个人数据将不仅是表明相对人某方面特征的符号，而且反过来对相对人产生约束并影响其权益。这些，我们也将在个人数据收集机构与提供数据的个人的权利义务的设想中继续探讨。

（3）外部使用。外部使用也包括直接使用和间接使用。

间接使用如向外部提供一些某方面个人数据统计结果等。由于其中某个具体的个人数据已经不可被推知，因此我们认为这样的外部使用已经不涉及个人隐私的保护问题，而是涉及政府保密部门是否认为这些统计数据本身具有保密的必要，依其政策来决定是否可向外部提供或向哪些外部单位提供。

直接使用中又可分为直接向外提供个人数据和仅提供个人数据服务（如个人数据的比对）两种。其本质在于前者是提供原料，而后者是提供产品，尤如前者是提供核电站用来发电的铀，而后者是提供核电站所发的电。

对于前者，在实际操作中是慎之又慎的。虽然现在已经有很多家信息咨询等公司对公共事务管理机构的个人信息数据库十分感兴趣，试图商洽合作或买断等事宜，但皆遭回绝。由此我们认为，这种直接使用的个人数据的提供当然地涉及到了个人隐私的扩散问题，必须严格限制其使用范围或者仅限于公共事务管理机构之间。但由此引出一个在公共事务管理机构之间的共享个人数据的问题。我们认为，这种共享应当属于合理使用，因为这不仅避免了政府有关部门再一次收集如此海量的个人数据的重复劳动和巨额的成本投入，也使个人免除了再一次提供个人数据的麻烦。但值得注意的是，这种共享也应当有法律依据，随着使用范围的扩大，其权限设置也应当不同。这我们也将在下文中继续探讨。

对于提供个人数据服务这一种使用，鉴于当前市场经济的发展与政府职能的转变，我们认为不能抱着死守的态度，而是要正视其价值，加以合理的开发利用。而我们孜孜以求的在发挥个人信息数据库的社会效应与保护个人隐私之间的利益平衡点也必将在这里产生。

首先我们要探讨一下目前公共事务管理机构所拥有的个人信息数据库的定位问题。根据欧洲议会与欧盟理事会在1996年3月通过的《关于数据库法律保护的指令》(TheEuropeanDirectiveontheLegalProtectionofDatabase)中作出的界定：“数据库”是指经系统或有序的安排，并可通过电子或其它手段单独加以访问的独立的作品、数据或其它材料的集合。⑴从使用范围上分，数据库有两类，一类是根据国家、部门和个人的专门需要而开发的专用数据库,也称自用数据库（In-housedatabase）。这类数据库一旦信息泄露或系统被非授权访问，就会造成不同程度的损失。因此，它所面临的法律问题主要是保密问题。另一类是向社会开放的，商业性服务的商用数据库（Commercialdatabase），这类数据库信息种类繁多，数量庞大，在收集、组织和整理过程中需要开发者投入大量的时间、精力和资金，并在用户使用过程中会带来价值增值，因此，它受到适应的法律保护是必然的。以此标准划分，公共事务管理机构的个人信息数据库显然属于前者，然而再具体地来看，这些数据库中的数据又并非十分机密的数据，而是与每个公民息息相关的涉及到个人隐私的个人数据，只要将保护个人隐私这一问题妥善解决好，其定位向社会服务性方向移动一些是符合当前社会发展需要和市场经济模式要求的，理由如下：

①与商用数据库一样，公共事务管理机构投入了大量的人力物力去收集这些原始的个人数据材料，整理并按一定的形式组织编排。以上海市公安局的这个个人信息数据库为例，其建设前后耗时4年，至2000年已投入了1亿多资金，平均每收集一份个人数据就需7元（其中不包括数据维护、更新的费用）。而当前由于种种的原因，其使用仍基本局限于内部，远远没有发挥出其蕴涵的潜在价值，这点不难从众多咨询公司、信息公司、保险公司、银行等对它心存“非分之想”，多次试图高价收购的事实中看出。为了使这一巨大投资充分发挥其社会效应，让纳税人充分享受其投资成果，也为了鼓励公共事务管理机构积极从事这一社会受益的工作，有必要对这类数据库的定位作一些调整。

②该数据库中的个人数据在社会中处于实际的垄断地位。除公共事务管理机构外的其它社会组织无能力也不被允许大规模地收集个人数据；一般公民也不会情愿提供；而如果收集的个人数据达不到一定的规模，也就可能失去其利用的价值。事实上，社会上许多事业对这些个人数据有着迫切的需求，如建立社会信用体系，银行、保险公司、电信公司考查客户资信，咨询公司做市场分析，教育科研机构作教学研究等。美国HowardCoble1997年10月提出的H.R.2652法案(CollectionofInformationAntiprivacyAct)（美国众议院于1998年通过了该法案，并入《数字化千年法案》（TheDigitalMillenniumAct））更是涉及了一系列法定许可行为，包括从数据库中获取单个非实体部分的信息、利用数据库中信息核实一些被独立收集的数据、非盈利性的研究使用等。所以，为了促进市场经济的健康发展，缓解对于这部分个人数据的供需困境，也有必要调整定位。

正是基于在这种数据库定位可能发生调整的情况下，个人数据所蕴涵的个人隐私面临被侵害的风险无疑就大大增加了。该类数据库在目前的情况下，我国并没有法律来保护它。美国的H.R.3531法案则明确排除对政府有关数据库的保护，H.R.354法案中进一步指出政府雇员的和其他主要受政府资助机构为实现政府职能，并受合同约束来自政府独占性权利行为所产生的信息库将不在保护范围之列。目前在这类提供服务的使用中，已经有银行、保险公司要求公共事务管理机构进行个人数据比对。我们觉得这是为该类数据库合理开发利用开了个先河，但必须在开发利用的同时及时建立规章制度，强化个人的隐私的保护。

二、国外和国内某些地区的立法状况介绍

首先要说明的是，我们这里谈的所要保护的个人隐私权已经与民法传统意义上的概念有所区别。隐私权的概念，可以分为积极意义与消极意义。前者强调个人私生活事务不受恣意公开、干扰的权利，此亦即民法上所指的隐私权；⑵后者则是指个人资料控制支配权，亦即赋予个人对其个人数据的收集利用的开发权和停止权、更正权等，换言之也就是个人对于其个人数据应有主动积极控制支配的权利，亦即本文所要探讨的隐私权保护客体，有学者将之称为“资讯隐私权”。信息的普及和发达，其影响已深入我们的生活，个人数据的收集、处理与利用比以往更为容易，这种趋势已强烈威胁到个人的权利，当个人数据可以轻易地遭受有心人侵袭与操控之后，个人隐私权利不免受到威胁。于是，“资讯隐私权”（informationprivacy）的概念应运而生，有别于传统意义上对隐私权保护的思考，而转向以“个人数据保护”（dataprotection）为重心上，以对抗信息时代中隐私权所受到的冲击。

各国及各国际组织以“个人数据保护”为中心的立法和决议已经陆续发展起来，除了较早的经济合作及发展组织（OECD）1980年9月通过《隐私个人保护基准》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData)，及欧洲议会1981年签署的《个人数据保护协定》(CouncilofEuropeConventionFortheProtectionofIndividualswithRegardtoAutomaticProcessingofPersonalData)等规范外，欧盟于1995年通过《个人数据保护指令》(EuropeanUnion’sDirective95/46/EContheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata)，此保护指令于1998年10月25日已经正式生效，该指令要求15个成员国都要立法去管理个人资料，并且特别规定第三国若未符合“适当”标准(adequacystandard)，则为保护其人民个人数据隐私起见，欧盟将采取必要措施防止其个人数据转移至该具有疑义的第三国。保护指令的基本原则大致如下：用途上的限制、数据的品质、安全性的原则、透明化的原则、同意权的原则、个人救济的原则。美国的相关保护除了用其《隐私保护法》来补足其《情报公开法》和《阳光下的政府法》之外，还散见于各相关文件中，如克林顿总统于1997年7月批准并公布的《全球电子商务架构报告》(AFRAMEWORKFORGLOBALELECTRONICCOMMERCE)，此报告内容中关于隐私权部分中提到：要想让民众能放心在网络上从事商务活动，确保个人数据不被侵犯是重要的。而中国台湾在其八十四年八月十一日正式公布实施了《电脑处理个人资料保护法》（以下简称个资法）。可见对“个人数据的保护”已引起了广泛的关注，我们也应当加以借鉴，加快我们的立法步伐，来解决我们在实际中已经碰到的问题，保护我们公民的个人数据。

三、对策和参考意见

在分析研究了公共事务管理机构对个人数据的收集、使用等情况中的问题之后，我们试图提供一些解决问题的建议以供参考。

基于目前的国情，要建立一部独立的《个人数据保护法》似乎条件还不成熟，但就公共事务管理领域来说，个人数据的保护应当纳入地方法规和部门规章来填补这一领域的个人数据保护的空白。我们觉得要这样做的话，以下几点是应当贯彻的：

1、个人数据首先要确立对个人数据不得任意收集的原则。如《个资法》中规定非公务机关非特有目的的不得进行个人资料的收集和处理；如有特有目的要向事业主管机关申请登记，核准后发给执照，而申请登记核准后还须公告登载并供查阅。对于大规模的个人数据的收集只能是由法定的公共事务管理机构，如公安机关等，按法定的程序来收集。或者仅限于公安机关，而通过立法规定政府部门之间的关于个人数据的共享程序来使有需要的部门获得相关的个人数据。而这种在公共事务管理机构之间的使用范围的扩大也不得随意，法律应当规定何种情况可以扩大，何种情况不可；按照对个人数据的分类，哪些个人数据可以共享，哪些不可以共享；并对访问权限进行设置。总之，这种获得个人数据的行为，不论是收集还是从他处实现共享，都必须是法律授权的，也就是要有法律依据。

2、为切实保护个人隐私权，在个人数据的收集环节中就应当得以体现并作出相应的保证。明确收集个人数据的使用目的，并且明确告知哪些个人数据是必须要提供的，而哪些是可以选择提供也可以选择不提供的。个人不仅是个人数据产出的最初来源，也是其正确性最后的核查者，所以个人当然地对其个人数据拥有主动积极的控制支配权。当个人将其数据提供给收集机关时，这种主动积极的控制支配权即发生分化和弱化。所以，应当通过制度的方式来弥补这种分化和弱化，而个人也应当成为收集机关对该个人数据使用范围的参与决定者。当个人将其数据提供给收集机关时，当可以视为个人对收集机关所告知的目的的使用的同意，但其他目的的使用则视为不同意。我们认为在此阶段即可通过格式化的行政合同或其它协议来决定个人数据的使用范围并设立救济方式。而收集机关在没有同当事人协商并获得其同意之前，不得将当事人为某特定目的所提供的个人数据运用在另一个目的上。

3、法律应当对所保护的个人数据的客体包括公共事务管理机关可以收集的个人数据的范围加以细数。如中国台湾的《个资法》中规定：保护客体即是个人资料，所谓“个人资料”是指“自然人的姓名、出生年月日、身份证号码、特征、指纹、婚姻、家庭、教育、职业及其他足以识别该个人的资料”，亦即可以凭借该资料辨识谁是资料本人的资料。

4、法律应当规定个人与个人数据收集机构的权利义务。对于个人来说，法律应明确赋予其控制其自身数据的权利；在其按规定向收集机关提供其个人数据后享有获得相应服务、办理相关事务的权利等。同时个人又负有按规定主动、如实地向收集机关提供、及时更正其个人数据，保障公共事务管理机关顺利开展工作的义务等。对于个人数据收集机构来说，拥有按法律规定收集、加工、使用个人数据的权利以及维护其收集工作正常进行的权利等。其义务在于告知数据提供人其权利义务；告知所要收集的个人数据的范围和使用目的；保护数据提供人的隐私；维护所收集个人数据的安全和完整；透明化对个人数据的使用状况；接受法定监督机关以及公民的监督等。这里需要另外指出的是，由于个人数据一旦成为收集机关加以使用的数据，即具有权威性，对个人的权益产生影响，所以个人对其提供的数据的真实可靠性负有责任，收集机关亦有在数据的收集、加工、使用过程中避免其出现差错的责任，由此产生的不利后果应当由过错方承担，如见前述。

5、法律规定应当约束公共事务管理机构对外提供个人数据，并对公共事务管理机关对外提供个人数据服务树立宗旨并加以指导。对外提供服务应当符合维护社会公共利益的宗旨，在“三公”的前提下向社会提供对外服务。避免由于对垄断数据资源获得途径的差异而造成不正当竞争。欧盟指令1992年的建议里有关许可的条款要求拥有任何特定信息唯一来源的数据库拥有者按照公平和一视同仁的条件许可任何竞争者使用该信息。法律应当规定对征信业及以收集或处理个人数据为主要业务的团体或个人、医院、学校、电信业、金融业、证券业、保险业、大众传播业等行业可以提供服务的范围和审批程序。

6、公共事务管理机构应当完善内部的规章制度，强化个人数据相关工作的管理，杜绝内部工作人员非工作目的的私自对个人数据的处理和泄露。

7、法律应当对个人数据使用的法定许可与合理使用的范围进行规定，避免个人隐私权的不合理膨胀。

四、结束语

对于公共事务管理中的个人数据保护，我们现在所做的研究是肤浅的，许多问题尚未吃透，故不敢妄加评论。尤其是对公共医疗机构的个人数据保护的研究则完全没有涉及，这是本文的一大缺憾。

我国在公共事务管理过程中对个人数据的保护还处于探索阶段，笔者仅将研究中发现的有关个人数据保护的问题突显出来，希望在该问题的相互探讨过程中能够找出解决问题的合理方法，为规范和完善我国公共事务管理中的个人数据保护献出一份绵薄之力。

个人数据范文篇2

【主题词】：公共事务管理个人数据隐私保护

一、个人数据流程中的问题探讨

1、个人数据的收集

2、个人数据的加工

3、个人数据的使用

（3）外部使用。外部使用也包括直接使用和间接使用。

二、国外和国内某些地区的立法状况介绍

三、对策和参考意见

在分析研究了公共事务管理机构对个人数据的收集、使用等情况中的问题之后，我们试图提供一些解决问题的建议以供参考。

6、公共事务管理机构应当完善内部的规章制度，强化个人数据相关工作的管理，杜绝内部工作人员非工作目的的私自对个人数据的处理和泄露。

7、法律应当对个人数据使用的法定许可与合理使用的范围进行规定，避免个人隐私权的不合理膨胀。

四、结束语

个人数据范文篇3

【主题词】：公共事务管理个人数据隐私保护

一、个人数据流程中的问题探讨

1、个人数据的收集

2、个人数据的加工

3、个人数据的使用

（3）外部使用。外部使用也包括直接使用和间接使用。

二、国外和国内某些地区的立法状况介绍

三、对策和参考意见

在分析研究了公共事务管理机构对个人数据的收集、使用等情况中的问题之后，我们试图提供一些解决问题的建议以供参考。

6、公共事务管理机构应当完善内部的规章制度，强化个人数据相关工作的管理，杜绝内部工作人员非工作目的的私自对个人数据的处理和泄露。

7、法律应当对个人数据使用的法定许可与合理使用的范围进行规定，避免个人隐私权的不合理膨胀。

四、结束语

个人数据范文篇4

关键词：个人信息；个人信息权；立法

一、个人信息的界定

目前全球已经有50个国家或地区制定和颁布了个人信息保护法。各国或是地区在法律中对个人信息的称谓有所不同，如“个人数据”、“个人资料”、“个人隐私”、“个人信息”。采用“个人数据”称谓的。如Directive95／46／ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheProtectionofIndividualswithRegardtotheProcessingofPersonalDataandontheFreeMovementofsuchData。简称欧盟95指令。采用“个人资料”称谓的，如1977年德国的《联邦资料保护法》。采用“个人隐私”称谓的，如1974年美国的《隐私权法》。采用“个人信息”称谓的，如2003年日本的《个人信息保护法》。

“个人数据”和“个人资料”的英文均为“PersonData”，两个称谓只是中文的翻译不同而已。“个人数据”指与已识别或可识别的与个人(自然人，又称数据主体)相关的任何资料。“个人信息”指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。

个人数据(资料)与个人信息的区别如下：首先。个人数据(资料)侧重于客观形式，而个人信息偏重于数据或是资料所反映的内容。从资料和信息的内在关系看，资料是信息的载体，信息是资料表现的内容。从这个角度理解，数据(资料)是信息的表现形式，信息是数据(资料)所体现的内容。其次，个人信息的表现形式是多种多样，并不一定表现为个人数据(资料)形式，不以个人数据(资料)的物化形式存在的个人信息是大量的。最后，数据是一个偏技术性的概念，一般认为个人数据是指与个人相关的任何资料，也包括家庭的一些相关情况等。信息则是指经过处理后得到的数据。其与数据最大的区别在于它经过了处理过程。

随着个人信息保护法的发展，人们越来越多地开始使用“个人信息”这一概念。这是因为立法的目的在于保护个人数据或是个人资料所反映出来的个人信息，而不是简单保护个人数据或个人资料本身。而保护个人信息的目的是为了保护个人信息所能识别的自然人。简而言之，保护个人数据或是资料的目的就在于保护个人信息所指向的个人。因此，“个人信息”一词更能体现个人信息保护法的立法本意。

“个人隐私”的称谓主要出现在英美法系之中。1890年两位著名的美国法学家萨缪尔·D·沃伦和路易斯·D·布兰戴斯在《哈佛法律评论》上发表了著名的《隐私权》(TheRighttoPrivacy)一文，随后隐私权的内容在法学研究、立法和司法领域得到了认可和逐步扩展。关于隐私的定义。学界也是众说纷纭。有学者认为，隐私是指公民的私人生活安宁不受他人非法干扰。私人信息不受他人非法搜集、刺探和公开等。隐私权，是指公民享有的私人生活安宁和私人信息受到法律保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。还有的学者认为，隐私不仅包括私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开，还包括对个人私事的决定。由此可见，隐私主要是指那些私密的，不愿公开的个人信息。如果我们选择个人隐私这一概念，就相当于将不涉及隐私利益的个人信息都排除了在了法律保护的大门之外，显然是不足取。

二、个人信息权利的属性

立法中所体现出来的个人信息权利的属性是不尽相同的，大致有三种：

(一)隐私权

典型代表是美国法，认为对个人信息享有的权利是一种隐私利益。对其保护应当采取保护隐私权的权利形式。1974年美国参众两院通过了《隐私权法》，主要规制政府机构理个人信息的行为。1980年经济合作与发展组织(OrganizationforEconomicCooperationandDevelopment，简称OECD)通过了《OECD关于隐私保护与个人数据跨疆界流动的指导原则的建议书》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData，OECD)，该法律文件除了跟美国《隐私权法》一样在标题中就清楚标示为隐私，文件中也多处提到，如第二条，“这些指导原则适用于个人数据，不管其是属于公共领域还是私人领域。因为处理方式或者因为他们的性质或被使用的语境。他们对隐私和个人自由构成危险。”我国香港个人资料(隐私)条例也采隐私权说，其绪言指出：“本条例旨在个人资料方面保障个人的隐私。并就附带事宜及相关事宜订定条文。”

(二)人格权

典型代表是德国法。认为个人信息体现的是一种人格利益，对其保护应采用人格权的保护形式。德国1977年《联邦个人资料保护法》规定，个人信息保护的目的是保护个人隐私。但是由于隐私权说与德国整个法律文化不相协调，在1983年被德国联邦宪法法院《人口普查案判决》推翻。该判决认为资料何种情况下是敏感的不能只依其是否触及隐私而论。德国1990年修改后的《联邦资料保护法》第一章“一般条款”第一条规定：“本法旨在保护个人的人格权，使其不因个人资料的处置而遭受侵害。该法的目的是为了保护个人人格权在个人信息处理时免受侵害。”我国台湾地区《计算机处理个人数据保护法》在总则部分第一条规定：“为规范计算机处理个人数据，以避免人格权受侵害，并促进个人资料之合理利用，特制定‘本法’。”

(三)基本人权

国际组织多采此说。认为个人信息体现的是一种基本人权，即关于个人基本权利和自由的综合权利。欧洲议会公约在绪言中指出：“考虑到在自动化处理条件下个人资料跨国流通的不断发展，需要扩大对个人权利和基本自由。特别是隐私权的保护。”欧盟95指令绪言规定，“各成员国对于个人权利和自由特别是隐私权，在个人数据处理过程中不同的保护措施可能会阻止这些数据在成员国之间的传送。”联合国指南第一条规定：“不得用非法或者不合理的方法收集、处理个人信息，也不得以与联合国宪章的目的和原则相违背的目的利用个人信息。”联合国宪章的目的和原则体现的是对人的权利和自由的保障。

我国将来制定个人信息保护法时，应如何定位个人信息权利的法律属性呢?笔者认为：首先不宜定性为隐私权，这是因为采取该种界定不能全面地保护我国的个人信息。其次，人格权属性也应排除。一般人格权是指公民和法人享有的，概括人格独立、人格自由、人格尊严全部内容的一般人格利益。并由此产生和规定具体人格权的人的基本权利。个人对其本人信息的权利其实是一种个人信息控制权，即个人对自己的何种信息被何种组织以何种方式收集、储存、使用等的一种决定权。显然人格权的外延囊括不了个人信息控制权。最后，为了与我国现有法律体系相协调，也为了更全面的保护个人信息权利，我国宜采用基本人权说。

三、个人信息保护的基本原则

不管是英美法系还是大陆法系国家均在其个人信息保护法中对个人信息保护原则做了明确规定。借鉴国外经验，我国个人信息保护法应规定以下基本原则：

(一)信息质量

信息处理者应该在拥有合法权限的前提下，依照法定的程序获取和传播(包括)信息。收集信息是基于特定的目的，在取得信息之前目的已经明确化。之后的储存和使用行为必须受到先前收集时特定目的的约束，行为应该与特定目的具有充分而不多余的关系。数据管理者有义务保证储存的信息是准确的，并且随着时间的推移应当保持信息的适时更新。信息应以信息主体可以进行访问的方式进行储存，且信息的储存时间不应超过储存信息所必须的期限。

(二)信息处理的合法性

信息处理者在保证信息质量的前提下，需经信息主体同意，才可以对个人信息进行处理，法律另有规定的除外。除外情况有处理数据是履行法定义务的要求；为了保护信息主体的重大利益所必须；履行与信息主体之间合同所必要的；进行信息处理不损害法律所保护的权利且管理者对信息处理具有法律上的利益等。不管依哪种前提对个人信息进行处理。在处理之前管理者应该告知信息主体相关事项，包括处理个人信息的目的与方法；提供信息是否是强制义务，拒绝提供的法律后果；信息的使用范围，信息接收者的身份类别；信息主体享有确认、更改、删除、获得信息和拒绝处理信息的权利；个人信息控制着的身份和住所或营业场所所在地等。

(三)信息公开

信息处理者要使得信息主体能够了解和掌握以下内容：自己的哪些信息当前被管理者所控制、正在或将被采取何种方式的处理行为、处理的主要目的是什么、信息控制人的身份及其住所地或是营业场所。具体到政府部门而言，信息公开原则的内容为：上级行政部门接到下级行政部门呈报的个人信息档案以后，将其分类目录在政府公报上公布；保管个人信息档案部门的负责人有义务将个人信息目录制作成个人信息簿供一般人阅览：任何人都拥有请求阅览关于自己个人信息的权利，有关不供阅览的理由应予以记载；管理部门在接受阅览请求后合理期限内必须做出答复；对行政部门做出不能公开，即不可阅览决定有异议时，可以提出意见，并根据行政复议法提出异议申请，或根据行政诉讼法提起诉讼；信息主体可以要求管理部门对保管信息的内容做出订正。公务员之家

(四)信息安全

为了保证个人信息的安全。信息处理者应当采取适当的技术上和组织上的安全措施。保证个人信息免受意外的、未经授权的访问、修改、丢失、破坏或损害，以及其他未经授权的个人信息处理的需要。在要求信息处理者采取技术或是组织上的安全措施时要考虑其现有的技术水平以及采取措施的成本，同时结合其所控制信息的性质和潜在的危险，采取的措施既可以保证信息的安全又不会给管理者造成很大的负担。任何能够访问信息的管理者及其授权的人员必须在有管理者的明确指示下才能对数据进行处理，法律法规要求履行的强制性义务除外。此外信息处理者的工作人员在工作期间及工作结束后的一定时期内应该负有保密义务，不得非法泄露其工作时所接触到的个人信息。

四、特殊行业的特别立法和行业自律

(一)特殊行业的特别立法

将个人信息的保护纳入法治的轨道，是社会和经济发展的需要，但是不同的行业和领域对个人信息的使用情况是各不相同的，因此对所有行业适用整齐划一的措施是不现实的，这样就需要针对特定的行业和领域制定特别的法律规范。这些领域包括医疗、电信、网络、征信、金融、统计等。例如，个人医疗信息除了用于患者个人的康复外，还被用于医学教育及医学研究等，可以促进医疗水平的提高和医学界的发展，具有很强的公益性，鉴于其特殊性对其进行特殊规定是必不可少的。我国个人信息的网络立法保护很零散，有《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网电子邮件管理办法》。缺少专门立法；仅规制个人信息的不当泄露和通信自由及通信秘密受到侵害，对于个人信息的收集、持有、使用等环节没有相应的管理保护机制除了《侵权责任法》外，我国还应进行专门的网络立法，规定网络个人信息保护。我国的个人信用服务业正在逐步发展，但是目前尚没有一部直接规范个人信用服务机构及业务的专门法律。个人信用服务行业缺乏统一的法律规范。我们需要通过特别立法将信用信息的采集、加工、生产、销售、使用的全过程加以规范。

个人数据范文篇5

关键词电子商务消费者隐私权保护

在当前信息时代，个人信息己经成为一种与人才、资金、原料等类似甚至更重要的资源。然而随着电子商务的迅猛发展，消费者对于缺乏在线隐私保护的烦恼已随着因特网的使用而逐渐增加。互联网一方面为个人信息的收集与传播带来了前所未见的快捷，为个人信息的商业利用创造了极大空间，但这把双刃剑也同时使得我们的隐私处于被凯觑的境地。

一、电子商务环境中的隐私权范围及属性的界定

在对隐私权的已有研究中，学者多从纯粹思辨的法哲学层面对隐私权进行权利证成，主要关注的是隐私权的正当性问题，而对隐私权的实证分析关注不够。电子商务是一种追求效率最大化的商务形式，传统的缺乏效率意识的隐私权权利证成很明显已不能适应电子商务的发展。传统观点认为隐私权即指私人生活安宁不受他人非法搜集、刺探和公开等[1]，属于人格权的范畴，其客体是个人秘密。关于隐私和隐私权的范围学界一直都在争讨，有的学者甚至认为“试图给隐私下一个一般的定义比找到一个大家都能接受的自由的定义更难”[2]。笔者无意于给已有的各种隐私权理论妄下断语，将集中关注适应电子商务环境的“信息控制理论”[3]。美国有的学者也认为，无论是在普通法上还是从隐私的字面理解，隐私权都包含了个人对关于他(她)本人的信息的控制[4]。笔者认为，电子商务环境下的隐私权带有信息、身体、财产和决定等方面的含义，至少涵盖对于个人资料支配权、利用权和维护权、个人私事或私生活的隐蔽或隐瞒权和保持个人生活和领域不受干扰和侵犯的权利，并且在电子商务运行中，易受侵害的消费者的隐私主要涉及个人资料的支配利用权和个人生活安宁不受侵犯权。

在网络环境下，个人资料并不仅仅局限于民法隐私范畴的信息，可以说它是以是否能够识别某个主体为标准的，而不再是以不宜公开为标准。英国1998年《数据保护法》作了一个较全面的界定：“个人数据指与可识别的活着的个人的数据组合，包括数据控制者占有或可能占有的其他信息，任何关于该个人观点的表述、数据控制者或与该个人有关的其他人意图的表示。”[5]在网络环境下，个人资料不仅可以自己用于商业目的，而且有时被作为“信息产品”进行买卖。笔者认为，消费者被纳入保护范围的个人资料主要包括：特定个人信息(姓名、性别、出生日期、身份证编号)、敏感性信息(宗教信仰、婚姻、家庭、职业、病历、收入、经历)、E-mail地址、IP地址、Username与Password。这些个人资料属于消费者个人所有，这也意味着消费者对其个人资料拥有民法的权利，即控制权、收回权、知悉权、修改权和请求司法救济权。上述五种权利既是法律对个人资料保护而赋予的个人权利，也是个人资料隐私权的主要内容。

在我国目前的法律实践层面上，隐私权仅仅囿于人格权的范畴，“寄生”于名誉权下给予保护的。笔者认为，在电子商务环境中，隐私权应该向其财产权性质方面着力发挥。在电子商务中，网络运营商利用消费者个人信息进行广告宣传，或其他营利操作而侵害消费者权益。可以说，随着网络技术的发展，个人信息已经具备了商品交换价值。故笔者认为，将私人信息的权利配置给个人，个人就能够控制其私人信息从而形成对其私人信息的财产权。隐私权必须被视为一种财产权，只有这样它才能够被转让并最终能由受让人予以利用[6]。私人信息财产权允许将私人信息的收益内化，任何其他人都不得无偿使用该权利资源，他们必须支付对价后，才能使用该权利资源，这样既能促进电子商务的繁荣发展，又能最大限度地保护消费者合法权益。

二、电子商务中消费者隐私权受侵害的主要形式

根据上文论述，在电子商务环境中，消费者隐私权主要内含个人信息控制权、个人私事隐蔽权和个人生活安宁权，其中个人信息控制权最易受到侵害，本文主要涉及个人信息控制权受侵害的形式。

(一)任意收集个人数据。当前电子商务经营者为自身经营目的或其他特定目的，经常任意收集和使用消费者个人信息。电子商务经营者收集消费者个人信息的主要方式是IP跟踪。在互联网上，每个用户都会被分配给一个唯一的IP地址。每一个被访问的站点都会得到该用户的IP地址。这些地址可被用来产生出一份该用户的记录，服务商可以根据该记录，清楚地了解到用户网上的行踪。网络服务商还可以通过“网络小甜饼”(cookies)之类的追踪软件来追踪用户在网上的行为，收集其兴趣或者其他个人可识别信息，然后根据这些信息，向消费者有针对性地发送广告，或者把这些信息出售给他人。这样，我们在任何时间登录任何一家网站，浏览任何一条新闻，选择、比较任何一种商品，都会被网络服务商详细记录在册。更为可怕的是，通过网上病毒程序非法收集个人资料。2004年8月18日，江民科技公司截取一款“黑洞”病毒，该病毒能够自动搜索用户客户端，并且能够绕过部分防火墙直接“植入”用户电脑当中。它不但能够像“蜜蜂大盗”那样自动开启用户的摄像头偷窥隐私，盗取用户所有密码，掌控用户电脑的所有资料，而且还具有录音功能，能够偷录下用户语音、视频聊天的一切隐私。收集个人数据的另一种常用方法是，当消费者在上网浏览或者购物的时候，被要求填写含有个人数据的表格。还有的经营者以市场调查、会员注册的方式收集个人数据。通过病毒程序或者窃听程序等消费者个人不知情的情况下收集个人信息很明显侵害了消费者的隐私权，不再赘述。即使在消费者个人知息的情况下收集其个人信息也可能构成侵权，是否构成侵权关键取决于网络服务商再次使用所收集的个人数据是否超过必要的范围，是否经过消费者本人的授权。

(二)深层次开发利用个人数据。消费者享有个人信息控制权，除非经消费者特别授权或公共机关为公共管理需要而使用个人信息以外，均构成侵权。在电子消费或交易中，消费者提供必要信息只允许用于其本身的目的，而不能用于其他目的，更不能被散发或任意传播甚至被出卖。未经当事人同意，个人资料被用于与收集的个人资料事由无关的目的即为不正当的利用。当前，许多网络服务商都不公布其所收集的个人信息的使用政策，也不承诺不将这些信息用于规定目的、范围之外的活动，经常将收集到的个人数据进行再次开发利用，建立起种种类型的资料库。实际上，电子商务中的个人数据不但具有价值，更有成为商品的可能。现实中，个人数据已经成为商品在网络上买卖，甚至出现了专门的公司公开在网站上推销个人数据[7]。

(三)非法转让个人数据。个人数据被不当利用还表现为个人数据被擅自非法转让。个人数据在电子商务中的流转主要有两种形式，一种是商家之间相互交换各自收集的信息，或者是与合作伙伴共享信息。这种共享使个人数据用于交易以外的目的，使个人数据有可能被更多的商家知晓和利用，无异于变相侵害个人隐私。另一种是将个人数据作为“信息产品”销售于第三人或转让给他人使用。由于这种方式将个人资料商品化却没有向消费者个人支付任何对价，所以笔者认为这是对个人隐私侵犯最为严重的一种侵权行为。美国最大的网络广告商Doubleclick公司就因不当获取及销售网络个人材料而曾受到指控。

在传统的商务模式中，公民的隐私权虽然也会受到不法商人的侵害，但其侵害的范围和程度都远远不能与电子商务相比。IP地址被跟踪，隐私信息被非法出售，账户密码的泄露，邮件炸弹的肆虐，给个人带来难以想象的后果和网络秩序的混乱。网络隐私所能带来的巨大经济利益和黑客技术的发展，使得消费者的隐私保护之战将长期存在。

三、我国网上消费者隐私权保护现状

当前，世界各国对隐私权保护方式存在明显差异。美国、法国、德国等国家采取直接保护方式，承认隐私权为一项独立的人格权，当个人隐私受到侵害时，受害人得以侵犯隐私权为由提起诉讼。而我国采取间接保护方式不承认隐私权为一种独立的民事权利，而是把其当作人格权下的某种利益，当个人隐私受到侵害时，只能借助于名誉权或其他人格权请求法律救济。

《民法通则》第101条规定，公民和法人享有名誉权，公民的人格尊严受法律保护。可见，在《民法通则》中并未明确规定要保护隐私权。《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方式对公民进行侮辱、诽谤和诬告陷害。”但隐私权概念比“人格尊严”要广泛得多，《宪法》所保护的并非普遍意义上的“隐私权”。个别单行的法律法规里涉及到网络隐私或网络隐私权，如信息产业部2000年10月8日通过的《互联网电子公告服务管理规定》第12条就规定：电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，法律另有规定的除外。从总体上来说，我国法律不但没有明确规定保护隐私权，而且对人格尊严的保护，也仅仅停留在禁止损害公民、法人的名誉权的程度。我国关于网络隐私的保护，基本处于一种无法可依的状态。所以对我国的网上消费者而言，在法律上既没有新的网络隐私保护的规定可供适用，也不能求助于传统隐私权的保护手段来保护个人的网络隐私。

四、完善我国网上消费者隐私权保护的建议

针对电子合同缔结和履行过程中引起的隐私权保护问题，可以实行法律规制和行业自律并重原则。基于网络的国际性特征，采取国际通行的规则，明确界定信息收集者与信息被收集者之间的权利义务关系。

(一)确定网上收集个人资料的主体资格。当前我国公民隐私权没有允分法律保障，网上个人数据保护措施严重滞后的情况下，笔者认为，首先应当从主体资格上规范个人资料的收集。电子商务领域通行的规则是，在线经营者可以为了其本身开展的特定服务或交易的需要而自行收集客户或消费者的个人资料。但是，对于一些特殊的行业，特别是与个人资料密切相联系的行业，是否可以自由收集，各国做法存在较大差异，笔者认为台湾地区的做法值得我们学习。根据台湾地区制定的《电脑处理个人资料保护法》规定，将收集处理个人资料的主体分为公务机关和非公务机关两种，非公务机关中专门收集个人信息资料的资信业收集个人资料必须事先取得许可，而其他行业实行核准登记，未经事业主管机关依法登记并发给执照者，不得为个人资料之收集，电脑处理或国际传递及利用。我国尚未有个人资料收集管制方面的规定，我们建议对于专门收集个人资信信息的专业公司实行许可制度，而对于一般个人资料收集只要在收集和利用方面做出规定即可，不必实行登记管制。

(二)确立电子商务环境下个人数据保护的基本原则。电子商务的发展依赖于用户对个人数据安全的信任。尤其是，当前我国电子商务刚刚起步，网上个人数据保护措施严重滞后的情况下，既要强调信息自由流动，又必须强调对互联网隐私权的保护。在立法上，我们可以参照其他国家及国际组织的做法，确立个人资料保护的原则。笔者认为，使用消费者个人信息应遵循以下几个基本原则：①依法收集和使用个人信息。如法律对于个人信息的收集和使用有明确规定，经营者应当依照该规定收集和使用个人信息。如无明确规定，经营者在收集和使用消费者个人信息时也不得侵害消费者合法的权益；②最低限度原则。经营者为某种合法的目的收集、使用消费者个人信息，应在实现其目的的前提下，最低限度地收集和使用消费者个人信息。如超出必要的限度使用消费者个人信息，即为个人信息的滥用，经营者应承担相应责任；③向消费者说明及告知原则。经营者在收集和使用消费者个人信息前，应就其收集和使用的目的向消费者进行说明。在收集和使用之后，应告知消费者有关情况；④保证消费者个人信息安全保护原则。经营者有义务对所收集的资料采取合理的安全保护措施，确保消费者个人信息不受第三方干扰。

(三)科学设置例外或免责条款。互联网的发展离不开对个人数据的合理使用。“保护隐私”和“保障信息流通”之间，既有矛盾，又相辅相成。由此决定，既要保证公民的基本人权不受侵犯，又不能使保护隐私成为信息自由流通从而发挥其经济价值的障碍，法律惟有平衡地协调两者利益，才能最大限度地实现“双赢”。因此，在确立个人数据收集使用基本原则的同电，必须科学设置免责条款。例如，在以下情况中，网站可以免除可能的侵权责任：为了免除当事人在生命、身体或财产方面的紧急危险；为了增进公共利益；为了防止他人权益的重大危害，且不会损害当事方的重大利益；根据执法机关的要求或者为公共安全目的向相关有权单位提供个人资料；因为消费者的过错导致个人资料泄露；因为政府管制造成的暂时性关闭等影响网络正常运行的不可抗力所造成的个人资料泄露、丢失、被盗或者被篡改，等等。

(四)确定隐私权作为一项独立的人格权。世界各国越来越重视对个人隐私权的保护，在理论上对隐私权进行研究和在立法、司法上对稳私权保护呈专门化、国际一体化的趋势[8]。隐私权作为人们的一项基本权利，理应作为独立的人格权的组成部分，成为法律保护的对象。尤其是在互联网日益普及、人们越来越多地利用互联网作为信息传送和信息交流的今天，这一问题更应当引起政府、网络服务提供商和广大网民的重视，并在全社会形成一整套保护网上隐私权的法律及其执行机制。唯其如此，才能使人们的人身权具有完整性、彻底性。

(五)行业自律组织应作出相应的规定，以引导行业自律。加强网上信用体系的培育，行为自律组织具有不可推卸的责任。尤其在当前网络个人隐私缺乏有效的立法规制的情况下，行业自律不失为一种有效的规则模式，即使在制定相关的法律后，行业自律仍然具有重要的价值和意义。

(六)加强国际间协调。由于互联网具有超国界性，因此保护网络与电子商务中的隐私权需要国际间协调，让本国的法律给本国及外国用户以完善的隐私权保护的同时，也需要其他国家的法律与机构来保护本国用户的隐私权，这就要求要尽快完善隐私权保护体系，与一些相应国家进行协调，提出大家都认可的网上隐私权保护的要求与标准。

隐私权是人类文明发展的标志，是实现个人和社会基木和谐，达到整个社会安定有序的必然要求。尤其是在互联网日益普及的今天，只有在人们的隐私权得到充分尊重和保护的情况下，才能使人们的人格得到健康发展，也才能从根本上实现整个社会人际关系的和谐。

参考文献

[1]张新宝.隐私权的法律保护[M].北京：群众出版社，1997.161

[2][美]阿丽塔·L·艾伦，理查德·C·托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.13

[3]张莉.论隐私权[A].徐显明.人权研究：第三卷.济南：山东人民出版社，2003.388

[4][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.254

[5]高富平.个人信息与隐私[J].http：///nopass.asp.2007-02-06

[6][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.290

个人数据范文篇6

摘要加强网络环境下消费者隐私权保护是促进电子商务发展的必然要求。在电子商务环境中，消费者隐私权既体现为人格权，又体现为信息财产权，其受侵害的主要形式是个人信息被任意收集、被再次开发利用和非法转让。针对我国消费者隐私权保护现状，提出建立收集个人信息的主体许可制度、确立个人数据收集使用的基本原则、科学设置免责条款等六点建议。关键词电子商务消费者隐私权保护在当前信息时代，个人信息己经成为一种与人才、资金、原料等类似甚至更重要的资源。然而随着电子商务的迅猛发展，消费者对于缺乏在线隐私保护的烦恼已随着因特网的使用而逐渐增加。互联网一方面为个人信息的收集与传播带来了前所未见的快捷，为个人信息的商业利用创造了极大空间，但这把双刃剑也同时使得我们的隐私处于被凯觑的境地。一、电子商务环境中的隐私权范围及属性的界定在对隐私权的已有研究中，学者多从纯粹思辨的法哲学层面对隐私权进行权利证成，主要关注的是隐私权的正当性问题，而对隐私权的实证分析关注不够。电子商务是一种追求效率最大化的商务形式，传统的缺乏效率意识的隐私权权利证成很明显已不能适应电子商务的发展。传统观点认为隐私权即指私人生活安宁不受他人非法搜集、刺探和公开等[1]，属于人格权的范畴，其客体是个人秘密。关于隐私和隐私权的范围学界一直都在争讨，有的学者甚至认为“试图给隐私下一个一般的定义比找到一个大家都能接受的自由的定义更难”[2]。笔者无意于给已有的各种隐私权理论妄下断语，将集中关注适应电子商务环境的“信息控制理论”[3]。美国有的学者也认为，无论是在普通法上还是从隐私的字面理解，隐私权都包含了个人对关于他(她)本人的信息的控制[4]。笔者认为，电子商务环境下的隐私权带有信息、身体、财产和决定等方面的含义，至少涵盖对于个人资料支配权、利用权和维护权、个人私事或私生活的隐蔽或隐瞒权和保持个人生活和领域不受干扰和侵犯的权利，并且在电子商务运行中，易受侵害的消费者的隐私主要涉及个人资料的支配利用权和个人生活安宁不受侵犯权。在网络环境下，个人资料并不仅仅局限于民法隐私范畴的信息，可以说它是以是否能够识别某个主体为标准的，而不再是以不宜公开为标准。英国1998年《数据保护法》作了一个较全面的界定：“个人数据指与可识别的活着的个人的数据组合，包括数据控制者占有或可能占有的其他信息，任何关于该个人观点的表述、数据控制者或与该个人有关的其他人意图的表示。”[5]在网络环境下，个人资料不仅可以自己用于商业目的，而且有时被作为“信息产品”进行买卖。笔者认为，消费者被纳入保护范围的个人资料主要包括：特定个人信息(姓名、性别、出生日期、身份证编号)、敏感性信息(宗教信仰、婚姻、家庭、职业、病历、收入、经历)、E-mail地址、IP地址、Username与Password。这些个人资料属于消费者个人所有，这也意味着消费者对其个人资料拥有民法的权利，即控制权、收回权、知悉权、修改权和请求司法救济权。上述五种权利既是法律对个人资料保护而赋予的个人权利，也是个人资料隐私权的主要内容。在我国目前的法律实践层面上，隐私权仅仅囿于人格权的范畴，“寄生”于名誉权下给予保护的。笔者认为，在电子商务环境中，隐私权应该向其财产权性质方面着力发挥。在电子商务中，网络运营商利用消费者个人信息进行广告宣传，或其他营利操作而侵害消费者权益。可以说，随着网络技术的发展，个人信息已经具备了商品交换价值。故笔者认为，将私人信息的权利配置给个人，个人就能够控制其私人信息从而形成对其私人信息的财产权。隐私权必须被视为一种财产权，只有这样它才能够被转让并最终能由受让人予以利用[6]。私人信息财产权允许将私人信息的收益内化，任何其他人都不得无偿使用该权利资源，他们必须支付对价后，才能使用该权利资源，这样既能促进电子商务的繁荣发展，又能最大限度地保护消费者合法权益。二、电子商务中消费者隐私权受侵害的主要形式根据上文论述，在电子商务环境中，消费者隐私权主要内含个人信息控制权、个人私事隐蔽权和个人生活安宁权，其中个人信息控制权最易受到侵害，本文主要涉及个人信息控制权受侵害的形式。(一)任意收集个人数据。当前电子商务经营者为自身经营目的或其他特定目的，经常任意收集和使用消费者个人信息。电子商务经营者收集消费者个人信息的主要方式是IP跟踪。在互联网上，每个用户都会被分配给一个唯一的IP地址。每一个被访问的站点都会得到该用户的IP地址。这些地址可被用来产生出一份该用户的记录，服务商可以根据该记录，清楚地了解到用户网上的行踪。网络服务商还可以通过“网络小甜饼”(cookies)之类的追踪软件来追踪用户在网上的行为，收集其兴趣或者其他个人可识别信息，然后根据这些信息，向消费者有针对性地发送广告，或者把这些信息出售给他人。这样，我们在任何时间登录任何一家网站，浏览任何一条新闻，选择、比较任何一种商品，都会被网络服务商详细记录在册。更为可怕的是，通过网上病毒程序非法收集个人资料。2004年8月18日，江民科技公司截取一款“黑洞”病毒，该病毒能够自动搜索用户客户端，并且能够绕过部分防火墙直接“植入”用户电脑当中。它不但能够像“蜜蜂大盗”那样自动开启用户的摄像头偷窥隐私，盗取用户所有密码，掌控用户电脑的所有资料，而且还具有录音功能，能够偷录下用户语音、视频聊天的一切隐私。收集个人数据的另一种常用方法是，当消费者在上网浏览或者购物的时候，被要求填写含有个人数据的表格。还有的经营者以市场调查、会员注册的方式收集个人数据。通过病毒程序或者窃听程序等消费者个人不知情的情况下收集个人信息很明显侵害了消费者的隐私权，不再赘述。即使在消费者个人知息的情况下收集其个人信息也可能构成侵权，是否构成侵权关键取决于网络服务商再次使用所收集的个人数据是否超过必要的范围，是否经过消费者本人的授权。(二)深层次开发利用个人数据。消费者享有个人信息控制权，除非经消费者特别授权或公共机关为公共管理需要而使用个人信息以外，均构成侵权。在电子消费或交易中，消费者提供必要信息只允许用于其本身的目的，而不能用于其他目的，更不能被散发或任意传播甚至被出卖。未经当事人同意，个人资料被用于与收集的个人资料事由无关的目的即为不正当的利用。当前，许多网络服务商都不公布其所收集的个人信息的使用政策，也不承诺不将这些信息用于规定目的、范围之外的活动，经常将收集到的个人数据进行再次开发利用，建立起种种类型的资料库。实际上，电子商务中的个人数据不但具有价值，更有成为商品的可能。现实中，个人数据已经成为商品在网络上买卖，甚至出现了专门的公司公开在网站上推销个人数据[7]。(三)非法转让个人数据。个人数据被不当利用还表现为个人数据被擅自非法转让。个人数据在电子商务中的流转主要有两种形式，一种是商家之间相互交换各自收集的信息，或者是与合作伙伴共享信息。这种共享使个人数据用于交易以外的目的，使个人数据有可能被更多的商家知晓和利用，无异于变相侵害个人隐私。另一种是将个人数据作为“信息产品”销售于第三人或转让给他人使用。由于这种方式将个人资料商品化却没有向消费者个人支付任何对价，所以笔者认为这是对个人隐私侵犯最为严重的一种侵权行为。美国最大的网络广告商Doubleclick公司就因不当获取及销售网络个人材料而曾受到指控。在传统的商务模式中，公民的隐私权虽然也会受到不法商人的侵害，但其侵害的范围和程度都远远不能与电子商务相比。IP地址被跟踪，隐私信息被非法出售，账户密码的泄露，邮件炸弹的肆虐，给个人带来难以想象的后果和网络秩序的混乱。网络隐私所能带来的巨大经济利益和黑客技术的发展，使得消费者的隐私保护之战将长期存在。三、我国网上消费者隐私权保护现状当前，世界各国对隐私权保护方式存在明显差异。美国、法国、德国等国家采取直接保护方式，承认隐私权为一项独立的人格权，当个人隐私受到侵害时，受害人得以侵犯隐私权为由提起诉讼。而我国采取间接保护方式不承认隐私权为一种独立的民事权利，而是把其当作人格权下的某种利益，当个人隐私受到侵害时，只能借助于名誉权或其他人格权请求法律救济。《民法通则》第101条规定，公民和法人享有名誉权，公民的人格尊严受法律保护。可见，在《民法通则》中并未明确规定要保护隐私权。《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方式对公民进行侮辱、诽谤和诬告陷害。”但隐私权概念比“人格尊严”要广泛得多，《宪法》所保护的并非普遍意义上的“隐私权”。个别单行的法律法规里涉及到网络隐私或网络隐私权，如信息产业部2000年10月8日通过的《互联网电子公告服务管理规定》第12条就规定：电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，法律另有规定的除外。从总体上来说，我国法律不但没有明确规定保护隐私权，而且对人格尊严的保护，也仅仅停留在禁止损害公民、法人的名誉权的程度。我国关于网络隐私的保护，基本处于一种无法可依的状态。所以对我国的网上消费者而言，在法律上既没有新的网络隐私保护的规定可供适用，也不能求助于传统隐私权的保护手段来保护个人的网络隐私。四、完善我国网上消费者隐私权保护的建议针对电子合同缔结和履行过程中引起的隐私权保护问题，可以实行法律规制和行业自律并重原则。基于网络的国际性特征，采取国际通行的规则，明确界定信息收集者与信息被收集者之间的权利义务关系。(一)确定网上收集个人资料的主体资格。当前我国公民隐私权没有允分法律保障，网上个人数据保护措施严重滞后的情况下，笔者认为，首先应当从主体资格上规范个人资料的收集。电子商务领域通行的规则是，在线经营者可以为了其本身开展的特定服务或交易的需要而自行收集客户或消费者的个人资料。但是，对于一些特殊的行业，特别是与个人资料密切相联系的行业，是否可以自由收集，各国做法存在较大差异，笔者认为台湾地区的做法值得我们学习。根据台湾地区制定的《电脑处理个人资料保护法》规定，将收集处理个人资料的主体分为公务机关和非公务机关两种，非公务机关中专门收集个人信息资料的资信业收集个人资料必须事先取得许可，而其他行业实行核准登记，未经事业主管机关依法登记并发给执照者，不得为个人资料之收集，电脑处理或国际传递及利用。我国尚未有个人资料收集管制方面的规定，我们建议对于专门收集个人资信信息的专业公司实行许可制度，而对于一般个人资料收集只要在收集和利用方面做出规定即可，不必实行登记管制。(二)确立电子商务环境下个人数据保护的基本原则。电子商务的发展依赖于用户对个人数据安全的信任。尤其是，当前我国电子商务刚刚起步，网上个人数据保护措施严重滞后的情况下，既要强调信息自由流动，又必须强调对互联网隐私权的保护。在立法上，我们可以参照其他国家及国际组织的做法，确立个人资料保护的原则。笔者认为，使用消费者个人信息应遵循以下几个基本原则：①依法收集和使用个人信息。如法律对于个人信息的收集和使用有明确规定，经营者应当依照该规定收集和使用个人信息。如无明确规定，经营者在收集和使用消费者个人信息时也不得侵害消费者合法的权益；②最低限度原则。经营者为某种合法的目的收集、使用消费者个人信息，应在实现其目的的前提下，最低限度地收集和使用消费者个人信息。如超出必要的限度使用消费者个人信息，即为个人信息的滥用，经营者应承担相应责任；③向消费者说明及告知原则。经营者在收集和使用消费者个人信息前，应就其收集和使用的目的向消费者进行说明。在收集和使用之后，应告知消费者有关情况；④保证消费者个人信息安全保护原则。经营者有义务对所收集的资料采取合理的安全保护措施，确保消费者个人信息不受第三方干扰。(三)科学设置例外或免责条款。互联网的发展离不开对个人数据的合理使用。“保护隐私”和“保障信息流通”之间，既有矛盾，又相辅相成。由此决定，既要保证公民的基本人权不受侵犯，又不能使保护隐私成为信息自由流通从而发挥其经济价值的障碍，法律惟有平衡地协调两者利益，才能最大限度地实现“双赢”。因此，在确立个人数据收集使用基本原则的同电，必须科学设置免责条款。例如，在以下情况中，网站可以免除可能的侵权责任：为了免除当事人在生命、身体或财产方面的紧急危险；为了增进公共利益；为了防止他人权益的重大危害，且不会损害当事方的重大利益；根据执法机关的要求或者为公共安全目的向相关有权单位提供个人资料；因为消费者的过错导致个人资料泄露；因为政府管制造成的暂时性关闭等影响网络正常运行的不可抗力所造成的个人资料泄露、丢失、被盗或者被篡改，等等。(四)确定隐私权作为一项独立的人格权。世界各国越来越重视对个人隐私权的保护，在理论上对隐私权进行研究和在立法、司法上对稳私权保护呈专门化、国际一体化的趋势[8]。隐私权作为人们的一项基本权利，理应作为独立的人格权的组成部分，成为法律保护的对象。尤其是在互联网日益普及、人们越来越多地利用互联网作为信息传送和信息交流的今天，这一问题更应当引起政府、网络服务提供商和广大网民的重视，并在全社会形成一整套保护网上隐私权的法律及其执行机制。唯其如此，才能使人们的人身权具有完整性、彻底性。(五)行业自律组织应作出相应的规定，以引导行业自律。加强网上信用体系的培育，行为自律组织具有不可推卸的责任。尤其在当前网络个人隐私缺乏有效的立法规制的情况下，行业自律不失为一种有效的规则模式，即使在制定相关的法律后，行业自律仍然具有重要的价值和意义。(六)加强国际间协调。由于互联网具有超国界性，因此保护网络与电子商务中的隐私权需要国际间协调，让本国的法律给本国及外国用户以完善的隐私权保护的同时，也需要其他国家的法律与机构来保护本国用户的隐私权，这就要求要尽快完善隐私权保护体系，与一些相应国家进行协调，提出大家都认可的网上隐私权保护的要求与标准。隐私权是人类文明发展的标志，是实现个人和社会基木和谐，达到整个社会安定有序的必然要求。尤其是在互联网日益普及的今天，只有在人们的隐私权得到充分尊重和保护的情况下，才能使人们的人格得到健康发展，也才能从根本上实现整个社会人际关系的和谐。参考文献[1]张新宝.隐私权的法律保护[M].北京：群众出版社，1997.161[2][美]阿丽塔·L·艾伦，理查德·C·托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.13[3]张莉.论隐私权[A].徐显明.人权研究：第三卷.济南：山东人民出版社，2003.388[4][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.254[5]高富平.个人信息与隐私[J].http：///nopass.asp.2007-02-06[6][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.290[7]李双元，王海浪.电子商务法若干问题研究[M].北京：北京大学出版社，2003.222[8]梅绍祖.电子商务法律规范[M].北京：清华大学出版社，2000.104

个人数据范文篇7

关键词电子商务消费者隐私权保护

一、电子商务环境中的隐私权范围及属性的界定

二、电子商务中消费者隐私权受侵害的主要形式

三、我国网上消费者隐私权保护现状

四、完善我国网上消费者隐私权保护的建议

参考文献

[1]张新宝.隐私权的法律保护[M].北京：群众出版社，1997.161

[2][美]阿丽塔·L·艾伦，理查德·C·托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.13

[3]张莉.论隐私权[A].徐显明.人权研究：第三卷.济南：山东人民出版社，2003.388

[4][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.254

[5]高富平.个人信息与隐私[J].http：///nopass.asp.2007-02-06

[6][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.290

个人数据范文篇8

【关键词】信息安全行业监管立法保护

一、我国个人商用信息保护和监管工作存在的不足

一是我国针对个人的信息保护的立法空白。目前，我国并未出台保护个人信息的专门法律。我国的《国侵权责任法》和《民法通则》中的关于个人信息保护与侵权救济条款，奠定了个人信息保护的民事制度基础，但相关条款内容过于宽泛，缺乏针对性和具体执行力。我国的个人信息保护法立法建议从2003年被提上日程，缺一直未能进入正式的立法程序。我国个人商用信息保护的基本法空白，降低了个人信息保护的司法执行力。二是我国对个人商用信息保护范畴的界定过于狭窄。目前，我国关于个人商用信息的规定散见于多部法律法规中，侧重于保护个人信贷信息、通信信息等，对个人信息保护主体的界定主要局限于各行业内部，未能涵盖与行业信息有关联的其他主体。致使如医疗、房产中介、机动车销售、电信运营、网络服务等行业及其相关业务人员有许多机会掌握大量公民个人信息。因此这些行业也往往成为个人信息泄露的“重灾区”。三是信息保护监管机制不完善。现阶段，我国对个人商用信息监管不具备违规行为发生后的问责到底的机制，同时面临重大群体信息违规违法事件的处理机制不健全，监管主体责任不明确，行业监管乏力存在漏洞。如，日前支付宝恶意隐藏信息采集授权条款，导致客户在不知情的情况下“被同意”了《芝麻服务协议》的事件中，支付宝仅仅通过官方微博了道歉说明，但截至目前相关监管机构针对整个事件并未对支付宝进行处罚和开展后续事件调查。四是缺乏具体有效的救济方式。现行对个人金融信息保护的相关规定侧重于规范金融机构的行为，而缺乏对数据主体权利、救济方式和途径的规定。这一现状导致在个人金融保护的实践中，数据主体的权利容易被轻视，同时侵权者违规违法成本低，使得数据主体在遭受侵权行为时往往难以得到民事救济。

二、国外个人商用信息保护和监管的主要做法

（一）明确界定个人信息，增强市场保护和监管的针对性。美国侧重对政府权利的限制，出台的各项法规旨在保护公民的隐私权、财务信息、健康信息保密性和安全性，在美国《隐私法》中，采用“记录”代指“个人信息”，指一个机构所持有的与一个人相关的单项信息活信息集合。欧盟虽然比较注重保护社会公众个人商用信息的隐私权，但同时出台了一系列制度确保成员国不会因为对个人信息的过度保护而阻碍个人数据在成员国之间的正常交流。欧盟将社会公众的商用信息界定为和自然人相关的所有信息，因此欧盟对个人信息的保护内容相对广泛。日本对个人权利和利益的保护显著增强，日本将个人信息定义为与一个自然人相关的，包含姓名、驾照、身份证号、出生日期、军官证和其他所有可以识别出特定对象的任何信息。（二）借助行政手段，统一市场管理。美国通过借助政府统一管理，部门分散立法的模式，实现相关机构行为的自我约束、自我规范，从而保护个人信息的安全，并在个人信息保护和个人信息产业发展之间找到平衡。欧盟明确了个人信息保护的基本原则，欧洲议会出台统一管理框架，各成员国根据联盟统一要求，分别建立自己的个人信息保护法。日本通过行政干预统一了全国个人信息标识，加强个人商用信息的规范化管理手段。（三）进行专门立法，加强司法监督。美国早在上世纪80年代就出台了《美利坚合众国隐私法》，规定了在商业领域的个人信息保护办法，是美国保障公民信息安全的重要法律，该法案提出了公民隐私权为国家宪法必须保障的基本人权。在1997年，美国又出台了《美国互联网商务机构政策框架》，明确了私营企业在互联网领域保护个人信息的主要义务，并鼓励私营企业为此建立内部管理制度，同时提出建立独立的、公正的第三方机构的监督机制。欧盟在个人信息保护方面的工作成绩突出，这与其出台严格个人信息立法环境关系密切。总体上看,欧盟个人信息保护的法律从强调对国家权力的有效控制以及对私权领域的严格限制，执行了集公权领域与私权领域于一体的统一立法标准。欧盟于2016年5月24日通过了《一般数据保护条例》（GeneralDataProtectionRegulation，GDPR），并将于2018年5月25日实施。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的新高度。此外，各欧盟国家也分别制定国内的相关法律，以加强个人信息在本国的保护和监管。如瑞典于1973年出台了《数据法》，明确了有关个人数据在采集、加工、保管以及公开等方面的具体措施。德国的《个人数据保护法》采用了统一立法的标准，对公民的个人信息采取了统一、规范的立法保护。法国的《自由信息法》，是一部专门约束公权力，保护个人信息的法律。英国的《英格兰个人信息保护法》分别从信息的采集路径、信息用途、保存期限、信息保管平台职责等方面做出了明确的规定，降低了个人信息受非法侵害的风险。而亚洲的韩国、日本、新加坡等国也制定了自己的个人数据保护法。其中日本《公民数据保护法》规定了国家机关、地方及政府以及社会团体在个人信息保护方面的具体职责，为个人信息保护中遇到的法律纠纷提供解决依据。韩国出台的《互联网商务基本法》确保了个人信息在互联网环境下安全传输。新加坡出台的《公民个人信息保护法》对个人信息保护相关问题做了体系化、规范化的梳理与规定，将个人信息保护纳入了正式法律治理范畴。（四）加强行业自律，辅助对个人信息的保护和监管。日本许多民间组织制定了涉及个人信息安全的规范文件，截至2010年年末，日本共有2000多个地方公共团体制定了相关个人信息保护条例。到2017年，日本各级政府均已制定了《个人信息保护办法》。日本民间团体无权立法，主要通过行政指导、行业自律或个别法律的某些具体管理条例实现自我约束、自我管理，如日本个人数据保护办公室制定的《社会团体自然人信息保护办法》等。（五）建立了健全的个人信息主体救济措施欧盟通过的《一般数据保护条例》明确了监督机关救济、司法救济、公益组织救济和损害补偿等具体救济和补救措施，如果数据主体认为与其有关的个人数据处理违反了本条例，有权向常住地、工作所在地、侵权发生地成员国的监督机关、对数据控制者或处理者、非营利性机构、组织或协会及向数据控制者、处理者提起诉讼或索偿。

三、相关建议

（一）加快个人信息保护和监管立法。一是出台个人信息保护法。提升法律保护的效力，需要尽快出台一部统一的个人信息保护法律。二是完善个人信息保护制度建设。个人信息保护监管机构、金融机构、征信机构等要把内部制度的完善、严格遵守放到重要位置。（二）加强个人信息监管体制建设。首先应明确我国个人信息监管的主要机构，对我国个人信息监管、立法、执行进行统一领导，再由各行业具体监管单位建立行业内个人数据保护的规则和执行标准，督促相关单位加强对个人信息数据库的监管，严格按照制度要求处理个人信息。鉴于中国人民银行征信中心在个人信息监管方面的成功经验，建议由中国人民银行牵头开展个人信息保护的监管试点工作，提升监管效力。（三）加强个人信息保护行业自律。一是鼓励相关社会团体积极健全完善个人信息保护的内控机制。个人信息的商用机构要完善客户信息保护的规章制度，细化执行流程，定期对信息安全状况进行科学评估。二是个人信息处理平台要不断完善系统安全建设，提升互联网环境下的个人数据平台的风险防防范能力。三是加强业务人员教育和管理。把保密教育纳入员工培训必学内容,不断增强员工保密和法律意识以及对信息的管理能力。（四）充分发挥司法审判的作用。我国的法院、检查和公安等部门应切实提升个人商用信息纠纷案件的审理水平，并对性质严重、情节复杂的信息侵权案件指导性案例，为我国个人信息纠纷的案件审判提供明确的指引，有效协助司法机关科学、合理使用自有裁量权。

参考文献

[1]GB/Z28812-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》.

[2]EU.GeneralDataProtectionRegulation.[2015-5-24].[3]OECD关于保护隐私和个人数据跨国流通过的建议，2007.

[4]李林.个人信息保护现状调研报告，社会科学文献出版社.2009年版.

[5]齐爱民.论个人信息的法律保护[J].苏州大学学报（哲学社会科学版），2005(2):30-35.

[6]宋丽.电子商务的发展和个人资料的保护[J].研究生法学，2001(3):21.

个人数据范文篇9

关键词：欧美；教育数据；数据隐私；隐私保护；立法与实践

一、问题的提出

随着教育信息化特别是智慧学习环境建设工作的推进，教育数据在支撑教育决策、改进课堂管理、提供个性化学习服务等方面得到了广泛应用。然而，各种隐私信息的泄露随之而来，隐私侵权问题成为新挑战。比如，某培训机构收集了14万条学生个人信息，在未取得学生、家长同意的情况下，拨打电话推销教育培训服务（国家市场监督管理总局，2020）。又如，某大学泄露了50余名本校学生的个人信息，这些信息均被一家企业所利用，伪装成在这家企业兼职的大学生，利用大学生的身份来达成偷逃税款的目的（陈禹潜，2020）。这类事件屡见不鲜，几乎成为常态。而大多数学生仍旧是未成年人，隐私数据的泄露可能会对他们后几十年的成长、就业和生活产生重大影响。因此，对学生个人数据隐私的保护非常重要，也十分必要。当前，我国在个人信息/隐私保护方面的法律法规正在逐步完善。宪法第38条、第40条规定，“公民的人格尊严、通信自由和通信秘密受法律的保护”。2009年的《侵权责任法》第36条规定，“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任”。2015年颁布的刑法修正案（九）第253条、第286条规定了对向他人出售、窃取或者以其他方法非法获取公民个人信息，以及网络服务者致使用户信息泄露等行为的刑罚处置。2016年通过的《网络安全法》规定了网络上的数据收集、使用及保留的处理方式。2020年出台的《民法典》对隐私权和个人信息保护进行了明确界定。第1032条第2款规定，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。第1034条第2款和第3款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”“个人信息中的私密信息，同时适用隐私权保护的有关规定。”然而，我国至今尚未形成一个完整的数据隐私保护体系，许多条文规定的内容过于抽象，难以有效执行，且存在重复、交叉，形成了多头执法和多头管理的局面（张彤，2020）。专门法《个人信息保护法》虽然已经公布草案，并提请13届全国人大常委会第22次会议审议，但还未正式颁布。如何协调个人信息保护与促进信息自由流动的关系、保护个人信息和维护公共利益的冲突等法理障碍尚未解决（毛牧然，2020）。从全球范围来看，欧美发达国家在该领域已经有数十年的经验，法律和制度较为健全。美国将个人信息保护纳入隐私权的涵射范围内，其基本立场是反对滥用。从个人权益保护的角度，自然人有权选择披露的信息都在隐私保护范围之内（汤敏，2018）。欧盟明确界定了私密信息标准，原则上禁止对个人私密信息的收集和处理。种族、宗教信仰、犯罪记录、政治观点等均属于禁止收集的私密数据（张新宝，2019）。和欧美相比，我国对隐私权的保护才刚刚起步，保护范围有限，相关政策法律的制定远落后于实践。与此密切相关的学生数据隐私保护，更是从立法到实践都不完善。在此背景下，本研究旨在调查国外学生数据隐私保护立法和实践现状，梳理欧美学生数据隐私保护的法律法规及其适用范围、立法产生的影响、实践中的原则和方法，以及其治理体系的建构过程等，为推进我国的学生数据隐私保护工作提供参考。具体研究问题如下：（1）欧美国家学生数据隐私研究现状；（2）欧美国家学生数据隐私保护的立法和实践经验与教训；（3）对我国相关工作的启示。研究主要从文献和案例两个方面进行：文献研究以WebofScience核心集SSCI数据库为文献来源，以“Student”“Data”“Privacy”为关键词组合检索，获得相关度较高的外文文献30篇作为样本，总结国外学生数据隐私保护研究及实践现状；案例分析则基于立法模式的差异，分别选取美国和欧盟的代表性案例，介绍各国在保护学生数据隐私方面的成熟经验，讨论其中存在的问题。为了方便讨论，本文使用国际通行的术语“数据隐私”作为核心概念，对“信息”和“数据”不作刻意区分，私密信息约等同于私密数据；当自然人为学生时，即为本研究的对象“学生数据隐私”。

二、美国的立法和实践

1.联邦和州层面的立法情况。美国的政治和法律结构较为特殊，在联邦和州两级均有涉及隐私的法律和法规颁布。整个体系比较完善，但又庞杂和交叠。早在1974年，联邦政府就颁布了《隐私法案》（PrivacyAct），保护个人信息不受侵犯。在教育领域，为了适应社会快速发展和技术不断更新的需要，联邦政府又颁布了《家庭教育权利和隐私权法》（FamilyEducationalRightsandPrivacyAct，FERPA），并于2008年和2011年两次修订。该法案赋予家长诸多权利，如，在学生数据的收集和使用中，家长有权审核、修改、删除数据等；学校学生个人信息需得到家长同意；使用方仅可将学生数据用于授权用途（U.S.DepartmentofEducation，2011）。该法案通过家长的介入保护了学生数据隐私，减少了信息泄露和滥用。另一个联邦机构——联邦贸易委员会（FederalTradeCommission，FTC）颁布了《儿童互联网保护法》（Children’sInternetProtectAct，CIPA）和《儿童在线隐私权保护法》（Children’sOnlinePri-vacyProtectionAct，COPPA），以保护儿童在互联网上的个人信息安全，减少网上不良内容对儿童的影响。这两项法案规定了儿童数据的收集范围、收集方式和家长的监管权利，对教育机构和儿童主题的商业网站提出了硬性要求。进入大数据时代后，2015年FTC又颁布了《学生数字隐私和家长权利法》（StudentDigitalPrivacyandParentsRightsAct，SDPPRA），规定了第三方供应商应当遵守的数据保护标准，而且要求在收集和使用（未满18岁或未进入大学的）学生数据前必须获得家长（学生）同意，并禁止利用学生数据从事任何广告或商业活动。美国各州也颁布了州内的学生数据隐私保护法案，如密苏里州的1873号法案（HCSHB1873）、弗吉尼亚州的2350号法案（HouseBill2350）等。加利福尼亚州在2014年通过《加州电子通信隐私法》（CaliforniaElectronicCommunicationsPrivacyAct，CECPA），明确禁止科技公司收集学生信息用于广告和宣传（唐亮，2016），同年，又颁布《学生在线个人信息保护法》（StudentOnlinePersonalInformationProtectionAct，SOPIPA），将学生在社交媒体、互联网站点、在线服务、移动软件上生成的内容列为数据隐私，要求在线服务运营商在一定时限内删除未成年人在网页上的信息（王正青，2016）。从2013年到2019年，美国共有45个州颁布了128部与学生数据隐私相关的法律（DQC，2019），此领域的立法工作趋于完备。2.隐私保护的基本原则。1973年，美国联邦政府健康、教育和社会福利部（DepartmentofHealth,Education,andWel-fare，HEW）首次提出了《公平信息实践》（FairInformationPractices，FIPs）。在此基础上，美国逐渐形成了个人信息保护的五大基本原则：（1）公开性原则，即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践；（2）限制性原则，即个人信息在最少必须原则下收集和处理，信息的收集和使用范围、保存期限和销毁应受到限制；（3）数据质量原则，即机构对个人信息应当准确、完整和适时更新；（4）责任与安全原则，作为数据控制者的机构必须承担个人信息保护的主要责任，要将个人信息保护内化于其业务流程和技术设计中；（5）个人信息权利保护原则，充分保障信息主体的知情权、查询权、异议与纠错权、可转移权等。1997年，联邦政府在《全球电子商务政策框架》中提出了个人隐私保护的原则：告知和许可，即数据采集者应当告知消费者他们在收集什么信息，以及他们如何使用这些数据；数据采集者应向消费者提供限制使用和再利用个人信息的有效手段。美国的数据保护制度立足于保障数据自由市场，经过多年发展，形成了多方平衡的数据保护准则。美国教育界在学生数据隐私保护方面基本取得了共识。除了关注学生隐私数据的保护，还强调数据利用的价值和数据开放的意义，提倡在合理合法的前提下，尽可能发挥数据本身的价值。卓越教育基金会（FoundationforExcellenceinEdu-cation，ExcelinEd）是美国的一个专注提高教育机会、教育创新和教育质量的非营利组织。该组织建议应从数据价值、数据开放、有限存储和使用、准确性和可访问、安全性以及问责制等方面入手推进学生数据隐私保护（ExcelinEd，2017）。致力于推进教育数据应用的民间组织“数据质量运动”（Da-taQualityCampaign，DQC）和“学校网络联盟”（ConsortiumforSchoolNetworking，CoSN）合作，共同了“使用和保护学生个人信息的10项基本原则”（DQC&CoSN，2015），从透明度、治理和数据保护程序等方面对收集和使用学生数据的过程进行了规范。3.行业协会积极参与。除了法律保障，行业自律是学生数据隐私保护的另一种重要方式。一些行业协会自愿加入保护学生数据隐私的活动中。比如美国软件和信息业协会（Software&InformationIndustryAssociation,SIIA）联合“未来隐私论坛”（FutureofPrivacyForum,FPF）发出了《学生隐私倡议书》，详细解释了有关收集和处理学生数据的现行法律和法规，呼吁会员（服务供应商）签署倡议书，遵守“在教育机构、教师或父母/学生授权下，收集、使用、共享和保留学生的个人信息，支持学生/父母访问和更正学生的个人身份信息”等相关规定。截至2020年6月，以谷歌、Coursera等为代表，共有426家美国企业和机构在此倡议书上签名。4.构建多方共治的体系。美国数据隐私方面治理体系最鲜明的特点就是由联邦、州、行业协会及民间组织共同参与。在行政组织架构方面，联邦教育部设立了首席隐私保护官，成立了“隐私保护技术中心”（PrivacyTech-nicalAssistanceCenter，PTAC）等专业机构，向学区学生在线隐私保护指南，为州和地方提供隐私保护咨询和技术支持。大多数州也成立了具有数据隐私治理职能的机构，监督和管理学生数据，如华盛顿州“教育研究和数据中心”（EducationRe-searchandDataCenter，ERDC）、肯塔基州教育和劳动力统计中心（KentuckyCenterforEducationandWorkforceStatistics，KCEWS）、马里兰州纵向数据系统中心（MarylandLongitudinalDataSystemCenter，MLDSC）等，成为美国教育大数据战略的重要组成部分（DQC，2015）。政府以外的协会和民间团体在学生数据隐私保护方面也非常活跃。全美州教育委员会协会（NationalAssociationofStateBoardsofEducation，NASBE）提供服务，帮助各州的教育委员会成员了解数据隐私法规和教育数据的潜在价值，支持教育创新和发展（Gradyetal.，2014）。“未来隐私论坛”（FPF）了《家长保护学生数据隐私手册》，美国软件和信息业协会（SIIA）编制了《学校服务供应商保护学生信息隐私和安全的实践案例》，均依据学生数据隐私保护的法律条款，向家长、学生、服务供应商等相关人员，阐释每个角色应该承担的责任和应有的权利。数据质量运动（DQC）和全国家长教师协会（NationalParentTeacherAssociation，NPTA）合作编制了《家长教育数据指南》，向父母、教育者、决策者解释学校收集教育数据的类型及收集数据的目的。

三、欧盟的立法和实践

1.法律与政策的制定。欧盟是一个包含27个欧洲国家的国际组织，其成员国遵守共同制定的统一法律。在数据隐私保护方面，欧洲一直将隐私视为一项基本人权（Weippletal.，2005）。欧盟《基本权利宪章》的第8条规定：“每个人都有权保护自己的个人数据，”“在相关人许可或法律规定的前提下，为了特定目的对个人数据进行处理，任何人都有权查阅自己的个人数据，并有权要求改正”。《里斯本条约》也明确提出了保护个人数据的权利。1995年欧盟颁布的《数据保护指令》（Directive95/46/EC）规范了个人数据的收集和使用，为欧洲国家立法保护个人数据设立了最低标准。各成员国均根据该指令颁布了各自的个人信息保护法，例如，英国（当时仍为欧盟成员）的《数据保护法》（DataProtectionAct，DPA）、德国的《联邦数据保护法》（FederalDataProtectionAct，FDPA）（刘云，2017）。2016年，欧盟通过了《数据保护通用条例》（GeneralDataProtectionRegulation，GDPR），取代《数据保护指令》。该条例于2018年5月生效，加强了对个人数据的隐私保护，在全球范围内产生了巨大的影响。欧盟在学生数据隐私保护方面尚未专门制定法律和政策，但是GDPR也适用于处理学生数据的机构以及第三方服务商，为其数据业务提供了明确的规范。例如，根据GDPR第8条规定，即便数据主体已经同意，当儿童不满16周岁时，还须获得监护人的同意或授权。同时，GDPR为各国进一步就学生数据隐私保护立法提供了法律依据。2.隐私保护的原则框架。欧盟国家一直以来不断细化和增补数据处理原则，以加强对个人数据的保护力度。GDPR的第5条规定了个人数据的7条处理原则：（1）合法、公正和透明，即个人数据应当以合法、公正、透明的方式处理；（2）限制目的，即收集的数据只能用于限定的目的；（3）数据最小化，即仅收集必要的数据；（4）准确，即个人数据应当准确；（5）留存期限限制，即达成数据处理目的后，在留存期到期后及时清理；（6）完整性和保密性，即采取适当的技术或组织措施，阻止未授权的访问，防止数据被破坏或丢失；（7）问责制，即数据控制者有责任且能够证明自身合规，在必要时提供给监管机构。第26条还规定了“数据保护设计”，即数据控制者应当采取合适的技术（如匿名化）与组织措施，以保障在默认情况下，只有某个特定目的所必要的个人数据被处理。GDPR规定的以上原则也适用于教育领域内的隐私保护。在学生数据隐私保护上，欧盟针对学习分析等具体教育场景，进行了深入的探讨和实践。2014年，欧盟学习分析社区（FP7项目）和SURF基金会联合组织了“学习分析中的伦理与隐私”（Ethics&PrivacyinLearningAnalytics（#EP4LA））研讨会，探讨学习分析中存在的伦理和隐私问题，提出了平衡学习分析与学生数据隐私的相关建议。欧洲委员会资助的学习分析项目LEA’sBOX，提出数据隐私保护必须符合所在国家的法规和欧盟的《数据保护指令》，合法地收集和使用个人数据，并提供适当的隐私保护（Steineretal.，2015）。英国联合信息系统委员会（JointInformationSystemsCommittee，JISC）一直致力于为教育机构提供数字解决方案。该机构邀请教育技术专家和利益相关方编制了《学习分析实践守则》，以支持英国教育机构合法地使用学习分析技术，妥善处理学生数据隐私问题（Sclater，2016）。此外，SURF基金会针对学生数据隐私保护也了一份指导文件，帮助研究者和服务提供商合法处理教育数据（Engelfrietetal.，2015）。3.多国参与的治理体系欧盟的治理体系由欧盟成员国共同参与构建。在组织架构方面，1995年颁布的《数据保护指令》提出，设置“数据保护工作组”（TheArticle29DataProtectionWorkingParty，A29DPWP）作为研究机构，设置欧洲信息保护监督局（EuropeanDa-taProtectionSupervisor，EDPS）作为行政机构，并在欧盟各机构中设立信息保护官（DataProtectionOfficer，DPO）。DPO负责监督机构内部的个人数据处理流程，与EDPS合作，共同推进欧盟机构的数据保护工作。2016年，欧盟又在GDPR第68条规定，设立欧洲数据保护委员会（EuropeanDataProtectionBoard，EDPB）取代之前的“数据保护工作组”。各成员国先后建立了部级数据保护机构。英国设立了信息专员办公室（InformationCommissioner’sOffice，ICO），负责监管数据、编制数据管理规范，以及数据隐私保护的宣传教育。荷兰数据保护局（DutchDataProtectionAuthority，DDPA）、西班牙数据保护局（AgenciaEspañoladeProteccióndeDatos，AEPD）等也相继成立，营造出较为安全的数据环境，促进了数据持有者与使用者之间的交流，有助于解决隐私保护的实际问题。在实施层面，GDPR要求各企业/机构设立数据保护人员，进行文档化管理，明确了数据泄露报告的义务，加强了问责机制；通过扩展“标准合同条款”、明确“有约束力的公司规则”等举措，规范数据的跨境流动。在教育方面，欧盟资助的学习分析社群（LACE）负责推进相关研究和实践。从2014年起，LACE组织了多个关于学习分析道德和隐私（#EP4LA）的工作坊，以提高研究人员对数据道德和隐私问题的认识，在教育活动中合法合理地使用数据。

四、欧美学生数据隐私保护经验及不足

1.可资借鉴的经验。欧美国家在隐私保护领域积累了半个世纪的经验。其在学生数据隐私保护方面，无论是在法律体系，还是在业务实践，均走在世界前列，能够为我国提供可资借鉴的成功经验。（1）构建了相对全面的学生数据隐私保护法律体系美国在联邦和州两个层面都颁布了相关法律，强化企业对学生数据隐私保护的关注度和责任。联邦层面的FERPA和COPPA，针对不同年龄段的学生群体，严格规范了教育机构、网站和应用软件等在线服务商在处理学生数据时的具体行为，赋予学生和家长更多控制个人数据的权利。各州也制定了适应本地的法规和政策。有学者称之为“美国模式”，特点是采取分散立法和行业自律相结合的模式，保护学生数据隐私（魏玉东，2018）。GDPR作为一项对欧盟各国均具有约束力的法规，对同意数据处理、访问个人数据、移植和删除个人数据等进行了详细规范，强调最小程度地使用数据以及具体使用的限制，能够较好地约束教育机构涉及学生数据的活动。同时，在数据处理者（学习分析机构）和数据主体（学生）之间建立了对话机制，降低了数据用于非授权商业目的的风险；并且取得了家长和学生的信任，有利于数据应用生态的建立。这种采取统一立法模式保护学生数据隐私的做法可称为“欧盟模式”。（2）隐私保护框架原则趋于完善1980年，经济合作与发展组织（TheOrganisa-tionforEconomicCo-operationandDevelopment，OECD）了《关于保护隐私和个人数据国际流通的指南》，包含收集限制、目的规范、使用限制等8项隐私保护原则。2005年，亚太经济合作组织（Asia-PacificEconomicCooperation，APEC）了“隐私框架”，提出了各国应遵循的数据隐私保护原则，降低企业应对隐私和个人数据保护的风险。这两者加上GDPR，均对机构收集和使用数据、个人提供和参与数据，以及运行过程的安全性三个方面进行了规范（Hoeletal.，2017），具体见表1。这三个文件或法案的时间前后间隔十多年，相关实践产生了较大变化，后者在前者基础上进行了修正、扩充和完善。三者在“目的规范”等原则上基本一致，但在“收集限制”“个人参与”等原则上具有不同的解释（Hoeletal.，2017）。例如，OECD的“收集限制”原则在GDPR中被细化成“数据最小化”，OECD的“个人参与”原则在APEC文件中修订成“访问和更正”原则等，GDPR还额外提出了“数据保护设计”和“默认”原则。各种原则的逐步细化，意味着数据隐私保护逐渐实现了制度化和系统化，GDPR在应对大数据挑战方面做了更全面的准备，赋予个人更多的自我保护权力。（3）充分强调行业自律最近几年，美国出现了一些涉嫌侵犯学生数据隐私的典型事件，造成了较大的负面影响。如，InBloom教育科技公司被曝光采集和向第三方分享学生个人隐私；课堂学生行为跟踪软件ClassDojo过度采集学生信息，扫描学生电子邮件。在各界的推动下，美国教育信息化产业提高了对学生数据隐私保护的关注度。企业和教育机构开始反思运营中存在的数据隐私泄露问题，加强学生数据保护。通过行业自律保护学生数据隐私（通过制定企业的行为准则，约定民间认证制度等方式），有助于避免对数据流动的过度干预，达成经济利益和安全利益的双赢（王瑞，2018）。（4）构建全民参与的生态美国的学生数据隐私保护治理体系，是由联邦、州、行业协会，以及民间组织共同参与，形成了全民参与、多方合作的局面。“卓越教育基金会”（ExcelinEd）、“数据质量运动”（DQC）和“学校网络联盟”（CoSN）提供了原则框架，还有全国家长教师协会（NPTA）等越来越多的组织加入进来，构建全民参与的生态。欧盟的数据隐私治理体系除了自上而下的模式，也有诸多来自不同欧盟成员国的研究者的参与。为了解决数据利用和数据隐私之间的矛盾，欧盟资助了各种社群，开展了多个工作坊，共同探讨如何在道德和法律下合理使用学生数据，提高教学质量，体现数据价值。2.存在的问题。欧美国家现行的法律法规及全社会参与的治理体系在一定程度上保护了学生数据隐私，但数据隐私风险仍然存在。关于学生数据的隐私保护，欧美国家还普遍存在以下突出问题。（1）法律仍旧滞后于实践的需要美国早在1974年就颁布了FERPA，欧盟也相继推出了Directive95/46/EC和GDPR。但是，对FERPA的批判表明，在学习分析和教育数据挖掘的背景下，如何定义教育记录以及这些记录包含哪些数据等却越来越困难（Polonetskyetal.，2014；Rubeletal.，2016）。FERPA是制定数据隐私政策的“底线”，而不是管理和保护学生数据的“上限”（FamilyPolicyComplianceOffice，2011；Rubeletal.，2016）。现行法律体系还存在漏洞，例如，学校领导可以代表学生许可对其数据的使用，使得学生个人数据可以不受限制地收集（Pascalev，2017）。此外，法律“执行难”的问题也普遍存在，第三方对学生数据权利的侵害行为难以界定和惩处。在欧洲，GDPR约束了欧盟教育行业的数据保护实践，但对以数据分析为核心的企业发展带来了一定的限制。短期内，相关企业合规成本将显著上升，这给中小企业发展造成障碍；类似的长臂管辖原则或将冲击现有商业模式，全球商业科技发展或受影响（王瑞，2018）。（2）数据所有权不明确、处理过程不规范数字世界中的数据所有权难以辨别，尤其是在去除个人身份属性的数据交易中，数据所有权到底属于产生数据的个人还是记录数据的企业，法律层面也没有明确规定（Pardoetal.，2014）。而且，对个人数据所有者的界定存在国家差异：在美国，收集获得的数据属于收集者；在欧洲，个人数据属于个人（Weippletal.，2005）。数据的许可和控制机制不健全是隐私保护中的另一个难点。学生在与学习管理系统或其他教育应用程序交互时，会在系统日志中留下“数字痕迹”。很多情况下，此类数据多不经过学生同意被使用，其传播也不受学生控制。尽管教师应对学生数据保密，但是数据进入教育管理系统后，可能会被纳入数据仓库进行分析，并向机构内外的参与者披露（Young，2018）。第三方使用教育数据在很大程度上属于灰色地带，处于合法和非法边缘。互联网上存在着大量的非授权收集、使用和买卖学生数据的现象，甚至成为个别企业的主要利润来源。数据泄漏所带来的影响是难以估量的，个人在同意他人使用数据时无法预估自身数据的价值；一旦数据进入处理环节，用户很难叫停和退出。Prinsloo和Slade（2015）研究了三个主流慕课平台的数据隐私政策，发现尽管供应商依法明确告知用户收集了哪些数据，仍旧未提供“退出”选项。SDPPRA禁止利用学生数据从事广告或商业活动，这就和一部分企业的利益冲突，导致某些大企业花费数百万美元游说立法机构，试图阻止、弱化学生数据隐私保护立法（Strauss，2015）。（3）学生、监护人以及其他相关方的数据隐私保护意识薄弱大部分人在接受服务时并不会认真阅读、甄别涉及自身权利和义务的服务条款。由于缺乏专业知识，普通大众也难以辨明这些条款的真正含义，无法做出明智的选择（Prinslooetal.，2015）。学生群体也很少关注自己数据隐私泄露的情况，不知道哪些涉及自身的数据被收集，更不知道数据在何处被使用，常常在阅读“打钩并签字”的隐私政策后，习惯性地同意、放弃自己的权利。教师、信息技术人员、管理层以及家长对学生数据隐私和安全同样认识不足，或是缺少专门培训。相关人员选择和使用教育软件时，很少有意识地将数据隐私和安全作为考虑因素。调查显示，美国教职员工的数据安全意识有限，没有完全满足联邦的隐私培训要求（Hipskyetal.，2015）。有学者建议教师在在线课程中明确学生数据隐私保护条款，同时链接现有的法律政策或其他数据隐私保护规定（Waterhouseetal.，2004；Diaz，2010）。但调查显示，仅有2%的在线课程包含了隐私条款，且主要基于政府、机构现成的通用数据隐私保护规定（Jonesetal.，2019）。（4）隐私保护和开放教育数据、学习分析之间存在矛盾近几年，开放数据运动在全球兴起，世界各国都在加快公共数据的开放进程。加大教育数据的开放力度，将数据共享给需要的人，才能更有效地挖掘教育数据的价值，实现教育共享与公平。但是，保护学生隐私和开放数据之间存在矛盾。比如，学生一方面期望通过对数据的分析，获得全方位且精准的服务，另一方面又会担心隐私数据泄露（Ifenthaleretal.，2016）。跨机构共享数据或向社会公开数据时，隐私侵权的风险更大。而且，共享数据未必是数据产生者的本意，因此应注意数据的授权使用范围是否有限制，是否许可共享给第三方。

五、启示和建议

个人数据范文篇10

一、国外对个人信息刑法保护的典型立法评析

目前，国际上已有的个人信息保护专门立法中，大多规定有多种法律责任。对于刑法责任，这里分别针对欧美与亚洲的典型立法作出评析，以资借鉴。

（一）俄罗斯

俄罗斯于2006年颁布的《个人资料法》第二十四条规定：“在违反本联邦法律的要求中有过错的人承担民事责任、刑事责任、行政责任、纪律责任和俄罗斯联邦法律规定的其他责任。”该法只作出概括性规定，其中犯罪主体是一般人，主观方面表现为过错，此外并没有详细规定具体的犯罪行为，显得过于笼统，操作性较差。《俄罗斯联邦信息、信息化与信息保护法》第十五条规定了信息资源占有者的义务和责任，第二款为：“依照俄联邦法律规定，信息资源的占有者违反信息工作规章要承担法律责任。”第二十四条是保护询索信息的权益，其中第三款规定了刑事责任：“在非法限制信息询索和违反信息保护制度上有过错的国家政权机关、机构的领导人、其他职员，依照刑法、民法和关于行政违法的立法承担责任。”可见，该法把个人信息作为信息资源的一部分，明确规定“非法限制信息询索”的犯罪行为和笼统规定“违反信息保护制度”的犯罪行为，主观方面均要求“过错”，犯罪主体限制为“国家政权机关、机构的领导人、其他职员”，虽然较《个人资料法》具体一些，但存在犯罪主体范围小、犯罪行为不具体、主观方面不全面等局限，使该法不够具体、操作性差，预防和打击个人信息犯罪的作用有限。

（二）日本

2003年颁布的《日本个人信息保护法》中，个人信息“系指与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分（包含可以较容易地与其他信息相比照并可以借此识别出特定个人的信息）”，其刑法保护主要体现在第五十六条至第五十九条，内容包括：

（1）犯罪主体是“个人信息处理业者”，即将个人信息数据库用于其业务的当事人，但是国家机关、地方公共团体、独立行政法人和对个人权利利益造成危害的可能性较小（从其所处理的个人信息数量及利用方法考虑）且由政令所规定的当事人除外。根据第五十八条，要承担刑法责任的主体除了当事人本身以外，还包括从业者，即法人（包含规定有代表者或管理人的非法人团体）的代表者、法人或自然人的人、雇员以及其他从业者。

（2）犯罪行为主要是个人信息处理业者违反法律规定的义务行为，包括利用个人信息时超越利用目的之限制的行为、以虚假或其他不正当手段获取个人信息的行为、获取个人信息时对利用目的未按要求通知的不作为、违反采取安全管理措施义务的行为、违反对从业者和被委托人实行监督义务的行为、不遵守向第三人提供个人数据的限制规定的行为、违反就所持有之个人数据所涉及事项的公布等义务的行为、违反个人信息公开和订正等义务的行为、违反个人信息的利用停止等规定的行为、未向主管大臣提交个人信息报告或提供虚假报告的行为。

（3）刑法处罚为6个月以下的徒刑和30万日元以下的罚金。

（4）刑法保护客体是个人信息数据库，即包含个人信息的集合物，包括可以利用计算机检索特定的个人信息的、系统地构成的物品，以及由政令规定的、可以容易地检索个人信息的、系统地构成的物品。总体来看，《日本个人信息保护法》对个人信息的刑法保护规定比较详细，易于操作，并且对当事人及其从业者采取双罚制，有利于实现保护目的。该法不足之处在于：刑罚以罚金刑为主、整体较轻、惩戒力度不大；规制的犯罪行为主要是个人数据库的二次利用，基本没有涉及信息的提取、收集等原始获得行为；保护客体是个人信息数据库，不包括其他形式的个人信息，失之过窄；对犯罪主观方面未作规定，过于笼统宽泛。这些将降低犯罪的违法成本，不利于个人信息权益的保护。

（三）美国

美国隐私权法刑事处罚部分规定了三种轻罪，犯罪主体分两类：机关官员、雇员和任何人；前者的犯罪行为是泄露相关信息材料或不按要求保管档案系统，后者是以虚假身份向某机关申请得到或得到有关个人的档案材料；两类主体的犯罪主观方面均是明知、故意，刑罚均为轻罪并处5000美元以下罚金。此外，由于美国对个人信息保护采取的是分散立法模式，个人信息的刑法保护主要体现在《公平信用报告法》中。该法针对两种社会危害性较为严重的行为追究刑事责任，其保护对象限于征信机构中的相关信息，主观方面都要求“明知或故意”：对消费者信息，犯罪行为只包括从征信机构欺诈获得的行为，主体是任何人，应被单处或并处罚款或两年以下的监禁；对本征信机构文档中的信息，犯罪主体限于其职员或雇员，犯罪行为表现为向未被授权接受者提供信息，被单处或并处罚款或2年监禁。可见，美国相关法律对个人信息犯罪的刑事责任虽较日本重些，但也不算严厉，尤其是打击的犯罪行为极其有限，没有涉及信息的收集、提取阶段。当然，这也许是考虑到世界银行有关专家的提醒：如果强加了太严厉的法律职责，可能会产生许多信息主体、授信机构不愿提供信息，而最终损害个人信息管理行业的发展[7]。

随着信息技术的发展和商业模式的转变，如何更好地保护互联网用户隐私成为美国政府关心的问题。2010年，美国商务部就此启动全面评估，征求公众意见。2012年2月23日，美国政府提出网络用户隐私权利法案，并设立了指导方针，要求相关利益方商讨制定这一法案的具体执行措施。根据白宫的报告，该法案为保护用户隐私设定了7项原则，包括：网络用户有权控制哪些个人数据可以被收集和使用；有权得到易于理解的有关隐私和安全方面的信息；个人信息被收集、使用、披露的方式必须与用户提供这些信息的背景相一致；企业必须负责任地使用用户信息等。谷歌、雅虎、微软和美国在线在内的众多互联网企业已表示将在浏览器上使用“不跟踪”技术，以方便网络用户决定是否接受上述公司的追踪行为。相信不久的将来，针对网络中个人信息的刑法保护，尤其是为了预防和打击云计算环境中的个人信息犯罪，更加具体、可操作性强的有力规范将会出台。

（四）德国

1990年德国的《联邦数据保护法》在刑事责任方面比美国严厉，根据其罚则部分规定[8]，表现为：第一，对于个人数据无权限地随意地进行收集、提供、变更的人，或采取不正当方法提取个人数据者，无论是数据主体自身取得还是他人取得，都要处1年以下有期徒刑或罚金。该规定保护的个人数据范围和处罚的犯罪主体没有限制；主观方面要求很低，只要是“无权限”即可；犯罪行为集中在信息的收集获取阶段，尤其是数据主体为自身取得而不正当提取个人数据的行为也构成犯罪，显得异常严厉，体现了个人信息及其提取的公共性质且不容信息主体滥用的精神。第二，违反正当目的的个人数据接受或提供行为：接受数据的机关或提供个人数据的第三者，如把数据用于正当目的以外，处1年以下有期徒刑或罚金。第三，对非法目的的遏制：犯罪主体是征信机构或接受数据提供的机构，非法目的包括取得非法报酬、为了自身利益或陷害数据主体等，犯罪行为包括数据收集、提供或变更，处罚是2年以下有期徒刑或罚金。第四，对以上行为提起诉讼的，要予以受理，以从程序上保障权利人的救济、追究犯罪人的责任。第五，对违反秩序的行为进行刑事处罚：没有对数据主体进行通知的情况、没有设置数据保护特使的场合、没有把法律规定的有关征信机构业务等情况向监督官厅进行报告者，无论故意还是过失，都要处以5万马克的罚金。可见，德国1990年《联邦数据保护法》的刑罚制裁涉及面广、规定细致可行。德国2003年修改的《德国联邦数据保护法》对侵犯个人数据的行为进行了更为详细的规定。其中第四十四节规定了相关刑法处罚内容：犯罪主体是一般主体；犯罪主观方面主要表现为故意，目的是获取报酬、或者意图为自己或他人牟取暴利、意图损害他人利益等；犯罪行为及其客体主要指第四十三节第二款列举的六种情形，涉及未经授权的收集、处理、恢复、持有和获取通常情况下无法获取之个人数据的行为、以虚假陈述的方式骗取非向公众公开的个人数据之传输的行为、违反法律规定向第三方传输数据的行为、违反法律规定将某些特征和个人信息相结合的行为。该法的刑罚包括2年以下有期徒刑和罚金刑。第四十四节第二款还明确规定：第一款所规定的犯罪行为只有在有人针对其提出控告的情况下才能对行为人起诉，控告可以由数据主体、负责数据保护的联邦委员和监督组织提出。可见，该法赋予多种主体以控告权，既可保障数据主体的权利得到及时救济，也可维护司法公正、保证审判中立。德国《联邦数据保护法》分别在2001年、2003年和2006年进行了重大修订，内容均有大幅调整[9]。该法体系完整、结构清晰、规范明确，且根据信息技术和经济发展的新情况不断调整，可为立法参考。其中刑法规范确定的个人信息犯罪主体范围广泛，犯罪行为清晰详细，犯罪要件明确，尤其是将犯罪行为延伸到个人信息的收集与获取阶段、同时打击二次利用，极大地加强了对个人信息主体的保护，值得借鉴。

（五）总结分析

综上，国际上的立法趋势是，多数国家和地区对个人信息侵犯行为给予相应的刑法处罚，但因各自经济发展水平、法律传统、决策的价值取向等差异，具体规定不完全相同，甚至区别很大；并由于网络技术的快速发展与立法滞后的矛盾，导致直接针对网络中、尤其是云计算技术带来的个人信息安全的法律保护不理想。总结起来，国外现有的立法主要表现在：一是犯罪主体方面，有一般主体与特殊主体、法人与自然人、单位与职员、公务机关与非公务机关等区分，不同主体涉嫌的犯罪行为及处罚后果也有区别。二是犯罪客体上，一般都以个人信息（数据）为客体，或者区分不同种类和行业的个人信息进行不同规定，也有仅对个人数据库或个人数据文档进行保护而不包括所有的、各种形式的个人信息。三是犯罪行为是刑法规范的核心内容，多数立法仅限于规范个人信息的二次利用行为，如泄露、出售、传输等，但是德国对收集行为和信息主体自己收集都作出刑法规制，实属创举、意义重大。四是犯罪主观方面，有些立法并未明确规定，仅以“违反法律”作为笼统条件，尚需结合不同法律作出具体分析，而有明确规定的立法多以“故意”、“明知”为要件，打击面侧重于惩戒主观过错，对过失犯罪的规定不够明确。五是刑罚上，种类比较相似，一般都是有期徒刑和罚金刑，但程度有别：日本、美国偏轻，德国则比较严厉；另外，日本采取双罚制，有利于保护个人信息主体的利益。六是对于诉讼性质，有自诉和公诉（如德国）两种方式，各有优劣，或可互补。

二、我国对个人信息刑法保护的立法与实践评析

在我国的刑法体系中，可以找到一些直接或间接保护个人信息的法律规定，以及一些典型的司法实践，对此加以评析，有利于突出优点、发现不足，为全面有力地保护个人信息和完善立法提供参考。

（一）我国《刑法》的相关规定

我国现行《刑法》中，许多犯罪行为与公民个人信息有着紧密联系，例如第二百四十五条、第二百四十六条、第二百五十二条等设立的非法搜查罪、侮辱诽谤罪、非法侵入住宅罪和侵犯通信自由罪等，在一定程度和范围内通过惩罚侵犯公民个人生活安宁权和私人信息保密权的行为，加强了对公民名誉权和隐私权的保护。行为人实施上述犯罪行为的过程中必然会侵犯到公民个人信息，对其处罚也是对公民个人信息的间接刑法保护。但由于立法当时并未考虑到个人信息管理这种特殊经营形态，因而存在欠缺和疏漏，对以上犯罪行为应采取原有规定罪名还是采取侵犯个人信息的罪名也存在诸多争议，此种方式的个人信息刑法保护也处于名不正言不顺的尴尬境地，有待有关专业人士对此深入研究。我国于2009年通过的《刑法修正案（七）》在刑法第二百五十三条后增加了规定，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”至此，我国个人信息刑法保护得以确立，尽管其中仍有不足之处，但毕竟在个人信息刑法保护上向前迈进了重要一步。2011年5月1日起施行的《刑法修正案（八）》并没有继续关注个人信息犯罪。但是，随着云计算的普遍落地应用，原有的个人信息网络犯罪问题将会被进一步扩大、加重，新的犯罪类型也会逐渐显现。到时，刑法的进一步修正与个人信息专门保护法的制定及二者之间的衔接又将为社会所关注，而此方面的学术研究与论证也会为修法与立法打下理论基础。

（二）我国个人信息刑法保护的实证分析

2010年1月3日，因周建平向其他被告人（涉嫌诈骗）非法出售个人信息资料，广东省珠海市香洲区法院以非法获取公民个人信息罪判处其有期徒刑一年六个月，并处罚金2000元。此即国内第一起以非法获取公民个人信息罪定罪的案件，是打击个人信息出卖泛滥的一剂“猛药”，令人欣喜[10]。2009年9月，北京民航机关服务局下属联营办的工作人员周广进利用工作便利，向该联营办离职职员李笑辰、甘雪斌提供大量机场工作人员的个人信息；随后李笑辰、甘雪斌利用这些信息仿造民航机场巴士乘车证1000多张并出售，共获利20余万元，被北京市朝阳区人民检察院提起公诉。这是北京第一起因出卖个人信息被追究刑事责任的案件。以前，类似案件一般会以伪造有价票证罪的共犯来追究犯罪人的刑事责任，但要求有共同主观故意，如果无法证明周广进知道李笑辰、甘雪斌利用他透露的个人信息作何用途，就无法追责；现在依据《刑法修正案（七）》出售个人信息罪名，可以直接定罪[11]。可见，《刑法修正案（七）》的实施确实“终结”了肆意盗用公民个人信息而不受刑事处罚的时代，但是两案中依然存在缺憾，比如：一是犯罪主体限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员、单位和其直接责任人，打击范围较为有限。事实上，随着经济的高速发展和网络技术的不断进步，个人信息滥用造成的隐患日益严重，且常常是被动地、途径多样地被他人、他方泄露，比如在银行、电信等部门或在买车、买房等环节。任何人、任何单位都可能因滥用个人信息而给他人和社会带来危害。国际立法上，许多立法例都未对犯罪主体进行具体限制，所以我国刑法应扩大犯罪主体范围。二是在犯罪行为及其环节上，两案中被追究刑责的都只是“二道贩子”，“只管支流，没抓源头”，到底是谁首先非法获得或首先出卖这些个人信息依然悬而未决。根据现有刑法规定，“出售或者非法提供给他人”、“窃取或者以其他方法非法获取上述信息”之外的非法收集、提取、传输、删除等处理行为，得不到刑罚打击。信息提取和收集行为是一切个人信息处理行为的源头，各国法律都规定收集者应当说明自己的身份、征集信息的目的等，禁止采取欺骗、窃取、贿赂、利诱、胁迫、利用计算机网络侵扰或者其他不正当的方式收集个人信息等，以有效保护信息主体个人信息权。一般认为，采取非法手段收集个人信息本身就是对个人信息权的侵犯，对于严重的损害行为，造成严重社会危害性的，则有必要对加害人强加刑事责任予以制裁。我国刑法规定在此处的缺憾有待弥补。三是在保护客体上，《刑法修正案（七）》保护的是国家机关与五大行业在履行职责或者提供服务过程中获得的公民个人信息，对于其他单位和个人以其他渠道和方式获得的公民个人信息，将得不到该条刑法的保护，范围偏窄。另外，对个人信息的概念，《刑法》也未作出界定，对此可采《个人信息保护法》界定的概念，但缺憾是我国目前尚无《个人信息保护法》。这点可谓《刑法》的缺陷之一，因为在罪刑法定视野下，不能对概念随意推定和解释，因此《个人信息保护法》应当尽早出台，其中应当对公民个人信息的定义作出明确规定，包括公民个人信息的范围、内涵、外延等诸多细节方面。四是在犯罪主观方面，我国并未明确区分故意与过失，较为简单，对实施相同行为而主观过错不同的犯罪，得不到区别惩罚。因此，此方面应该细化规定。

三、我国个人信息刑法保护的加强与完善

大势所趋的云时代正渐行渐近，不论以何种方式，加强和完善个人信息的刑法保护、保障“云端”的信息安全，是现在和将来相当一段时间的国际性课题。针对我国的现实情况，借鉴其他国家的先进立法，我国个人信息刑法保护的加强与完善，应着重考虑以下几个方面：

（一）加强网络与云计算技术的科普宣传，培养个人信息网络安全法律意识

尽管对于网络社会、网络技术、网络犯罪等名词与现象，许多人并不陌生，但是就个人信息本身，尤其是网络中的个人信息安全，许多人并没有相关的法律意识。在云计算时代，通过实现IT技术、资源的共享和高度集中使其成为真正的基础资源，使得普通用户能够享用更高端的IT服务，但同时减弱了用户的控制能力，使云计算个人用户的数据安全性和隐私保护问题面临更大的威胁。对此，人们进一步思考到，当自己的数据由第三方托管时，服务商具有数据的优先访问权，可随意处置，甚至通过数据挖掘等技术发现可用的私密信息，而这些行为一旦发生，云计算用户很难发现或追查取证。可见，对个人信息安全，云计算带来的是空前的挑战，“预防”远比“救济”重要得多，所以应加强网络用户个人信息安全法律意识的培养。

（二）完善现有的刑法规范，扩大个人信息的保护面

虽然我国在个人信息刑法保护上迈出了很大一步，但现有的个人信息刑法保护制度仍存在诸多空白和漏洞，规定较少，尚未形成完善的法律保护体系。在尚无专门的《个人信息保护法》时，将个人信息犯罪纳入传统刑法、以修正案的方式进行规范，是现实可行的做法。但是，许多方面需要参考和借鉴其他国家和地区的立法，进一步完善。如上所述，《刑法修正案（七）》不论在打击的犯罪主体、犯罪行为上，还是在个人信息范围上，保护都是有限的；同时，其条文规定也不够细致、全面，比如，对非法获取公民个人信息罪要求“情节严重”，但目前并无明确的细则规定。

（三）尽快出台《个人信息保护法》，增大行为人的违法成本

2012年央视“3•15”晚会的现场，公民个人隐私被恶意泄露和滥用的猖獗现象被集中曝光，个人信息保护问题再一次成为社会各界关注的焦点。目前，一些人不怕被追究刑责，除了法律意识淡泊以外，还因为违法成本不大。打击个人信息犯罪行为不应止于刑罚，还应将行政责任、刑事责任、民事责任三者对接，全面杜绝个人信息的泄露。从现有立法例来看，一般都将三种法律责任统一规定在个人信息保护的专门法中，便于信息主体的维权与司法的适用。我国保护个人信息的法律仍散见于一些法律、法规及规章中，专门法尚未出台。个人信息作为法律保护对象，无论是民法保护、行政法保护还是刑法保护，其保护的客体范围应当一致，《个人信息保护法》中对公民个人信息方面的基本概念和基本问题应有明确而统一的规定，理论上对个人信息权的内容结构、权利义务与责任体系等进行研究[12]，在专门法中对云计算、云安全等涉及的个人信息问题作出规定，并在此基础上完善个人信息的法律保护体系，避免疏漏、落实保护。