国外个人信息保护或隐私保护法规汇总

国外在企业收集、利用公众信息方面的

政策、措施、规定、法规。

一、美国

1.《隐私权法》

1974 年12 月31 日, 美国参众两院通过了《隐私权法》（Privacy Act）1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。

《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。

2.《电子通讯隐私法》

到目前为止，美国并没有一部综合性法典对个人信息的隐私权提供保护，主1https://www.wendangku.net/doc/0019061041.html,/foia/privacy/index.html

要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986 年颁布的《电子通讯隐私法》（The Electronic Communication Privacy Act，简称ECPA）3。

尽管《电子通讯隐私法》还存在不足，但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯，它不仅禁止政府部门未经授权的窃听，而且禁止所有个人和企业对通讯内容的窃听，同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。

3.《金融服务现代化法案》

Financial Services Modernization Act of 1999，也就是格雷姆-里奇-比利雷法（Gramm-Leach-Bliley Act，GLB Act）4，它规定了金融机构处理个人私密信息的方式。这部法案包括三部分：金融秘密规则（Financial Privacy Rule），它管理私密金融信息的收集和公开；安全维护规则（Safeguards Rule），它规定金融机构必须实行安全计划来保护这些信息；借口防备规定（Pretexting provisions），它禁止使用借口的行为（使用虚假的借口来访问私密信息）。这部法律还要求金融机构给顾客一个书面的保密协议，以说明他们的信息共享机制。

4、《儿童在线隐私权保护法案》

The Children’s Online Privacy Protection Act,，简称COPPA5，它规定网站经营者必须向父母提供隐私权保护政策的通知，以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对13 岁以下儿童个人信息的收集和处理。

3摘自https://www.wendangku.net/doc/0019061041.html,/ywdt/txt/2010-01/25/content_3357265.htm

4https://www.wendangku.net/doc/0019061041.html,/privacy/privacyinitiatives/glbact.html

5.《健康保险携带和责任法》

The Health Insurance Portability and Accountability Act of 1996，简称HIPAA6，该法案通过建立电子传输健康信息的标准和要求鼓励健康信息系统的发展。保障个人的健康隐私信息的完整性和机密性；防止任何来自可预见的威胁、未经授权的使用和泄露；确保官员及其职员遵守这些安全措施。

2009年美国通过Health Information Technology for Economic and Clinical Health Act，简称HITECH法案7，该法案也增强了HIPAA的安全和隐私要求并扩展了相应的处罚。

6.《有效保护隐私权的自律规范》

1998年，美国商务部发表了《有效保护隐私权的自律规范》（Elements of Effective Self Regulation for Protection of Privacy）8，要求美国网站从业者必须制定保护网络上个人资料与隐私权的自律规约。

7.《公平信用报告法》

The Fair Credit Reporting Act，该法的全称为《公平信用报告法-消费者信用保护法标题VI》9，属于消费者保护法系列。这项法律规范的对象是消费者信用调查/报告机构（Consumer reporting agency）和消费者信用调查报告的使用者。主要规定了消费者个人对信用调查报告的权利，规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项，实际明确了消费者信用调查机构的经营方式。

8．身份信息盗窃红旗规则

ID Theft Red Flags Rule10，该条例是由美国联邦贸易委员会与货币总监署6https://www.wendangku.net/doc/0019061041.html,/ocr/hipaa/

7https://www.wendangku.net/doc/0019061041.html,/ocr/privacy/hipaa/understanding/coveredentities/guidance_breachnotice.html

8https://www.wendangku.net/doc/0019061041.html,/reports/privacydraft/198dftprin.htm

9https://www.wendangku.net/doc/0019061041.html,/os/statutes/031224fcra.pdf

（OCC）、联邦存款保险公司（FDIC）、美国联邦储备委员会和其他几个联邦机构共同制定的，遵照2003年公正准确信用交易法（FACT Act）。条例规定，在RFR违规事件中，联邦贸易委员会可以展开民事诉讼，寻求不超过2,500美元的违规行为罚款。

该条例要求一些企业和组织制订和实施书面计划，以保护消费者免遭身份盗用。任何允许备兑账户的债权人或金融机构，必须为红旗规则实施一项防止身份盗用的计划（Identity Theft Prevention Program）。由于受到各方阻力，该规则生效的期限被再三拖延，目前的最终期限为2010年6月1日。

9. 其他的信息隐私条例

（1）《信息自由法》，该法规范了第三方对包含个人信息的政府记录的获取。

（2）《金融隐私权法案》（Right to Financial Privacy Act）11，它对银行雇员披露金融记录，及联邦立法机构获得个人金融记录的方式做出了限制。

（3）《有线通讯隐私权法案》》（Cable Communication Policy Act），它禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息12。

（4）1996年《电讯法》（Telecommunication Act），规定电讯经营者有保守客户财产信息秘密的义务。

10. 行业自律规则

除了上述分散的网络隐私权保护法律法规之外，美国还倾向于采取行业自律政策对网络隐私权提供保护。由于网络技术发展迅速，而立法总是滞后于现实状况，所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一致鼓励和支持。总体而言，美国目前的行业自律形式有三类：建议性的行业指引、网络隐私认证、技术保护模式。

?建议性的行业指引

11https://www.wendangku.net/doc/0019061041.html,/regulations/laws/rules/6500-2550.html

许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则，如“在线隐私联盟”（Online Privacy Alliances）13、“银行家圆桌会议”、“直销协会”、“互动服务协会”等等。其中，“在线隐私联盟”最为著名，由超过80家的国际公司和协会组成，致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。它于1998 年6 月发布了以联邦商业委员会的建议为原则的在线隐私指引，旨在指导网络和其他电子行业隐私保护。

?网络隐私认证

不同于适用于同一行业内部的建议性行业指引，网络隐私认证适用于跨行业的联盟。他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志，以便于用户识别。美国著名的网络隐私认证组织有TRUSTe14、BBBOnLine15、WebTrust16等。

?技术保护模式

技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。最常见的一种模式是由互联网协会推出的个人隐私选择平台（Platform for Privacy Preferences Project ，简称P3P ）17。P3P 能让网站指明对个人数据使用和公布的状况，让用户选择个人数据是否被公布，以及哪些数据能被公布，并能让软件代理商代表双方达成有关数据交换的协议。在这种模式下，个人能够利用充足的信息做出明智的决定，同意或是拒绝提供本人的数据，并且能够委托软件代理商将决定付诸实践。

11. S.1490、S.139草案

美国参议院司法委员会2009年11月5日通过了两个有关建立数据泄漏通报标准的法案：《2009个人隐私与安全法案》（S.1490：Personal Data Privacy and Security Act of 2009）18以及《数据泄漏事件通报法案》(S.139: Data Breach Notification Act)19。这次投票结果意味着这两项法案现在可以进入参议院审批阶13https://www.wendangku.net/doc/0019061041.html,/

14https://www.wendangku.net/doc/0019061041.html,/

15https://www.wendangku.net/doc/0019061041.html,/

16https://www.wendangku.net/doc/0019061041.html,/

17https://www.wendangku.net/doc/0019061041.html,/P3P/

18https://www.wendangku.net/doc/0019061041.html,/bill/111-s1490/show

段。

《2009个人隐私与安全法案》建立了风险评估、漏洞检测以及对访问敏感信息的控制和审计相关标准，同时也有条款规定了在出差及在非工作时间的数据保护措施，以及在数据泄漏时需及时通报执法部门、信用报告机构及受影响的个人。作为补充，这一法案规定在联邦贸易委员会下设置联邦身份保护办公室。《数据泄漏事件通报法案》要求美国联邦政府机构以及业务范围跨州的企业在发生数据泄漏事件时必须通知所有信息可能被或者已经被访问、获取的当事人。

二、欧盟

1.《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》。

欧洲议会和欧盟理事会于1995 年10 月24 日通过的《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》（Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data）20。简称数据保护指令(Data Protection Directive)，这是欧盟在个人信息保护方面最重要的指令。3年后正式生效。这一指令要求欧盟各国采取欧盟统一标准对个人数据进行保护。为适应欧盟对其成员国个人数据保护的统一要求，欧盟各成员国相继制定了本国的数据保护法，或者对已有的数据保护法进行修改21。

2.《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》

2000年12月18日，欧洲议会和欧盟理事会通过《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》

20http://ec.europa.eu/justice_home/fsj/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf

3.《关于在电子通信领域个人数据处理及保护隐私权的指令》

2002 年7 月12 日，欧盟理事会和欧洲议会共同颁布了新的《关于在电子通信领域个人数据处理及保护隐私权的指令》(Directive 2002/58 on Privacy and Electronic Communications)22，简称电子隐私权指令(E-Privacy Directive)。该指令于2004 年4 月起在欧盟成员国生效实行。此项指令取代了1997 年12 月15 日通过的《有关电信行业中的个人数据处理和隐私权保护的指令》（简称电信业隐私权指令），是欧盟基于电子商务及互联网发展现状，而制定的旨在规范电子商务消费者隐私权保护的最新立法。指令包含有一系列专门针对电子通信领域个人信息处理和隐私权保护的特别规范，其中部分内容对欧盟电子商务指令的规定也做了进一步的补充和完善。

4. 欧盟数据保护监督专员

欧洲数据保护监督专员(European Data Protection Supervisor)23这一职位设立于2001年，职责是确保所有欧盟机构和组织在处理公民个人数据时尊重公民的隐私权。

当欧盟的组织或机关处理一位有确定身分的公民的个人数据时,它们必须尊重该公民的隐私权。欧洲数据保护监督专员确保它们会这么做,并在个人数据处理上给与他们指导.

上述的数据“处理”包括了许多行为，例如搜集信息、录制和储存、重新提取、发送或使其他人员获得以及阻止、删除或销毁数据。有严格的保密条例来管理这些行为。例如，欧盟机构或机关被禁止处理揭示公民种族或宗教，政治观点，宗教或哲学信仰，或工会成员资格的个人数据。

5. 欧盟数据保护工作组

Article 29 Data Protection Working Party24，数据保护指令第29 条规定：建立22http://eur-lex.europa.eu/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf

23http://www.edps.europa.eu/EDPSWEB/edps/pid/1?lang=en