2、欧盟。在欧洲,对个人信息进行保护的历史最早可追溯到1968年。当时欧洲委员会的议员大会曾提议把《欧洲人权公约》适用于信息技术领域,对私人信息进行保护。随后,欧洲委员会部长委员会通过了关于数据保护原则的两个决议,即关于私人团体使用个人数据的决议和公共机构使用个人数据的决议。在此基础上,为了统一各成员国个人信息保护法以及确保个人信息在欧盟成员国之间自由流通,部长委员会于1981年1月在法国斯特拉斯堡通过了《在个人数据的自动处理领域保护个人的欧洲公约》(简称《欧洲数据保护公约》),并于1985年10月1日起正式生效。欧盟最主要的个人信息保护法还是1995年10月24日通过的《欧盟个人数据保护指令》(European Union's Direction 95/46/E Conthe Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data)。该文件共34个条文,其目的在于保护个人数据处理中自然人的基本权利和自由,特别是他们的隐私权。文件指出,“个人数据”(personal data)是指与特定或可特定的自然人相关的所有信息,不限种类和形式。其适用范围也十分广泛,包括以自动或者非自动方式对个人数据进行的处理。其内容主要包括管理者的义务与信息主体的权利两个部分。管理者的义务主要是“公平合法的处理资料,处于特定、明确、合法之目的进行收集,所进行的进一步处理不能违反这些目的,并确保人资料的精确,如果必要还必须不断的更新”(16条)和“在进行全部或者部分自动化处理操作或为了单一或几相关目的而进行操作之前,必须通知监督机关”(18条);信息主体享有访问修改删除权(13条)、拒绝权(14条)、自主决定权(15条)、获得救济权(23条)等。该指令确立了个人数据处理的若干项基本规范,为各会员国制定或修正国内法提供了依据,但是这些只是欧盟对个人数据资料保护的下限,各会员国可以在国内立法时制定更高的标准。
3、德国。德国是世界上较早对个人数据资料保护进行立法的国家之一。1970年原西德黑森州率先制定了《个人信息保护法》,该法成为了世界上第一部个人信息保护法。1977年联邦德国制定了《联邦资料保护法》。该法的立法目的主要有两个:其一在个人数据处理过程中对个人隐私给予统一而充分的保护,其二是使个人数据处理行为合法化。1983年12月15日年德国宪法法院《人口普查法案》判决是德国个人信息保护法发展的里程碑。事件经过是这样的:德国联邦政府在1982年颁布了《人口普查法》,计划在全国范围内对公民进行全面的资料收集,拟收集的资料对象包括人口、职业、住所和工作等。德国联邦政府的《人口普查法》引起了很多人的反感,在其4月1日生效前,已经有很多人提起了宪法诉讼,要求宣告《人口普查法》违宪。1983年12月15日德国联邦宪法法院最后作出判决,认定该法有违宪情况,并作出了“违宪部分无效,其余部分修改后实行”的判决。在该判决书中宪法法院使用了信息自决权的概念,将个人信息权利明确规定为一项宪法权利。受1983年《人口普查法案》判决的影响,1990年德国对个人信息保护法的进一步修订。修改后的《个人信息保护法》第1条就规定,“本法之目的在于保护个人免于因个人资料的传输造成人格权的侵害”,指出了修法的宗旨。总体来看,这次修正并不限于部分条文约修订,在某种意义上说是观念和理论的更新,其特色是将国家安全机关对个人信息的收集与处理纳入个人信息保护法的范围。
4、美国。与其他国家相比,美国对隐私权保护的理论研究和立法活动是最早的,其相关法律制度及论述也是最丰富的。隐私权也是美国个人信息保护的权利基础。但是在个人信息保护方面,美国并没有一部专门的系统的联邦立法,其相关规范只是散见于众多联邦法案中。例如1966年美国制定的《信息自由法》(Freedom of Information Act)确立了政府信息以公开为原则,并规定了9项免除公开的文件,其中涉及个人信息保护的规定有两项:一是公开后可能明显地侵犯个人隐私的人事、医疗以及类似档案;二是不正当地侵犯个人隐私权的执行法律的记录和信息。1970年制定的《公平信用报告法》(Fair Credit Reporting Act)着重于信用卡客户资料的保护,保护客户免于消费者报告机构不准确的、武断的信息披露。1974年美国国会通过并公布实施了美国最重要的一部保护个人隐私权方面的法律——《联邦隐私权法》(Privacy Act of 1974)。该法律适用于美国公民以及依法获得永久居留权的外国人。该法案对政府和法律执行机关对个人数据资料的收集、使用、公开和保密等问题作出了详细规定,目的在于通过规范联邦政府活动的方式防止联邦行政机关侵犯个人信息的行为,进而平衡个人信息与社会公共利益之间的矛盾。1974年还通过了《家庭教育权利与隐私权法》(the Family Educational Rights and Privacy Act),专门规范学校披露学生和家长个人信息的行为。除特殊例外,任何教育机构如果未经学生家长的书面同意或18岁以上的学生本人的同意而披露学生的教育记录,将不能获得联邦资金的资助。1986年美国国会修订通过了《电子通讯隐私法》(Electronic Communication Privacy Act of 1986),该法律是全面规范电子通讯领域隐私问题的最重要的联邦法律。该法规定,故意截取、进入、泄露或者使用他人电话或者其他电子通讯设备的行为为犯罪行为。1988年的《录像带隐私保护法》限制了录像带服务供应商泄露客户租借或购买录像带信息的行为。1988年通过的《电脑资料比对与隐私权保护法》(the Computer Matching Privacy Protection Act of 1988),利用个人识别方法匹配关于同一个人的信息的行为,对自动化处理中的个人信息给予保护,并力图平衡保护个人信息隐私和确保政府提供良好服务二者之间的关系。1998年通过的《儿童网上隐私保护法》(Children's Online Privacy Protection Act of 1998)要求网络业者必须要告之其隐私权政策,并且于收集13岁以下儿童资料前,应获得其家长的同意。2000年生效的《儿童网上隐私保护法》要求商业网络的经营者在收集13岁以下儿童的个人信息时,必须事先征得可确认的家长或监护人的同意。
5、日本。日本构建个人信息保护制度的努力可以追溯到20世纪70年代中期。早在1975年行政建立委员会提出的《关于涉及行政机关等利用电子计算机之隐私保护制度的存在方式的中间报告》中就指出,对于行政管理过程中涉及的个人信息,应采取适当措施予以维持管理。随后1980年9月23日经济合作与发展组织(OECD)通过的《关于隐私保护与个人数据国际流动的指针的理事会劝告》中提出了保护个人信息的八项原则,此八项原则成为各国个人信息保护立法的重要参考原则,在此原则的影响下日本也加快了其个人信息保护立法的研讨。1988年,日本出台了保护中央政府机关电子计算机处理的个人信息的《关于对行政机关所持有之电子计算机处理的个人信息加以保护的法律》,随后又相继出台了《个人信息保护法》、《行政机关保有的个人信息保护法》、《独立行政法人等保有的个人信息保护法》、《信息公开·个人信息保护审查会设置法》、《关于与施行行政机关个人信息保护法有关的相关法律的整备的法案》。这五法案被称之为“个人信息保护法五法案”,并于2003年5月在国会获得了通过,至此,日本有关个人信息保护法制化的框架基本完成。日本现行的个人信息保护法主要是2005年4月1日开始正式施行的《个人信息保护法》。《个人信息保护法》由六章59条及附则7条构成。第一章是制定本法的目的、基本理念;第二章是有关国家和地方公共团体的责任和义务的规定;第三章规定了个人信息保护的对策;第四章是个人信息处理者的义务;第五章是法律适用例外的规定;第六章规定罚则。该法以个人信息的有效利用与个人信息保护为宗旨,针对公共部门和非公共部门规定了保护个人信息的若干事项,确立了个人信息保护的基本原则及方针,明确了个人信息本人的权利、主管大臣、救济途径、罚则、例外事项等。
以上国家和地区的个人信息保护立法是比较典型和有特色的,因此作了一一介绍。此外,其它国家也制定有个人信息保护的相关法规,例如瑞典1973年颁布的《数据库法》、法国1978年的《计算机与自由法》、挪威1978年的《个人资料登录法》、英国1984年制定的《数据保护法》、芬兰1987年制定的《个人资料档案法》、葡萄牙1991年制定的《资料保护法》、比利时1992年制定的《资料保护法》、荷兰1998年制定的《资料保护法》、加拿大1982年的《联邦隐私法》和2001年的《个人信息和电子档案法》、澳大利亚1988年的《隐私法》、新西兰1993年的《隐私法》等,在此就不再详述。
七、个人信息保护的基本原则
基本原则是整个法律体系或者某一法律部门所适用的、体现法的基本价值的原则,它贯穿于立法、司法、执法等法律运行过程的始终,是法律运行的指南和纲领。可以说,基本原则是一部法律的精髓之所在。个人信息保护的基本原则是个人信息保护法的核心内容。纵观各国个人信息保护立法的基本情况,个人信息保护应当遵循以下基本原则:
1、信息公开原则
这一原则应包括两方面:一是政府所持有的个人信息必须对本人公开,不得持有秘密的个人记录,个人有权知道政府是否存在有关于他的记录以及记录所记载的内容,并有权要求得到复制品,除非法律有免除公开的规定。二是个人信息记录保管系统不得以秘密的形态存在,关于个人信息的开发、运用及其方针、政策等,必须向全社会公开,以使个人信息能够轻易被查明和利用。该原则在各国法律实践中已充分体现出来了。例如,1974年的美国《隐私权法》要求政府在建立或修改个人的记录系统时必须在《联邦登记》上公布;1980年经合组织理事会通过的《关于隐私保护与个人数据跨国流通的指针》中对成员国个人信息的保护中就有“公开原则”。1999年德国的《个人信息保护法》第33条规定了告知义务,第34条对“告知”作了详细规定。2005年的日本《个人信息法》第8条第1款规定,“总务厅负责人应在街道下级行政部门呈报的个人信息档案以后,将其分类目录在政府公报上公布”;2008年5月1日起施行的《中华人民共和国政府信息公开条例》也确立了“主动公开”的原则。