个人信息流转环节的法律规制

2015-05-25高志明

上海政法学院学报 2015年5期

高志明

（燕山大学，秦皇岛 066004）

一、个人信息流转的环节与主体

（一）个人信息流转的主要环节

关于个人信息流转的环节，在各国家或地区的个人信息立法例中既有相同之处，也存在一定不同之处。比如，德国《联邦数据保护法》规定的个人信息流转环节包括：收集，处理（含自动化处理、储存、修改、传输、隔离、删除），使用等。①See Germany, Federal Data Protection Act, 2003 (Amended), Section 3.中国台湾地区“个人资料保护法”规定的个人信息流转环节包括：汇集（收集），处理（含记录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送），利用，传输（主要规范了国际传输行为）等。②参见中国台湾地区“个人资料保护法”第3条。

学者们对个人信息流转环节的看法，也是不尽相同。比如，蒋坡教授认为，个人信息流转包括采集、处理、利用等环节。①蒋坡：《个人数据信息的法律保护》，中国政法大学出版社2008年版，第118～168页。洪海林博士认为，个人信息流转的环节包括收集、处理、利用与传递等。②洪海林：《个人信息的民法保护研究》，法律出版社2010年版，第170页。许文义博士认为，个人信息流转的环节涉及汇集、处理与利用等。③许文义：《个人资料保护法论》，台湾三民书局股份有限公司2001年版，第157页。笔者认为，个人信息流转主要包括收集、处理、传输与利用等环节。而其实，明确用“流转”这一词汇概括个人信息的收集、处理、传输与利用等环节的，笔者是“始作俑者”；以往研究者一般并未进行这种概括，往往只是将上述相关环节放在一个逻辑层面上进行阐释而已。具体而言，个人信息收集是个人信息流转的起始环节、是获取个人信息的手段环节，获取是收集个人信息的结果，获取也可以不经过收集而由个人信息本人主动提供；处理、传输是利用个人信息的过程环节，但不是必备的环节，处理的目的是为了处理者或他人更方便、更有效地利用个人信息，传输是将个人信息传输给个人信息本人以外的他人；利用则是个人信息收集、处理、传输的最终目的，是个人信息发挥效用的环节。

图示个人信息流转的相关环节

（二）个人信息流转的义务主体

个人信息收集、处理、传输与利用的主体包括公务主体（或公益主体）与私务主体（或私益主体、非公务主体、公务主体以外的主体）。④有些学者、立法例将个人信息收集、处理、传输与利用的主体分为公务部门（或机关、机构）与非公务部门（或机关、机构），但笔者认为“部门（或机关、机构）”一词的外延远不如“主体”一词的外延大，这种划分在逻辑上存在很大的不周延性。公务主体，是指根据法律授予的公权力，为履行法定职权而收集、处理、传输与利用个人信息的机构，主要包括国家公务部门、具有公共管理职能的组织等。公务主体的确切范围由各国家或地区立法加以规定，比如，美国立法中只限于政府机关，欧盟立法则包括立法、行政、司法等国家机关，新西兰立法除了国家机关外，还包括那些行使公权力的其他组织等。⑤同注①，第120页。对于公务主体，在立法用词选择上，主要体现为“国家机关”、“政府”、“行政机关”、“公务机关”、“公务部门”等。私务主体，是指非依公权力，而依自身力量，为私人一定的目的而收集、处理、传输与利用个人信息的主体，包括各种法人或非法人组织、自然人等。笔者认为，区分个人信息流转中的公务主体与私务主体的基本分界线要看是否以公共利益为依归，至于该主体的名称则只是形式问题。易言之，区分个人信息流转中的公务主体与私务主体，关键要看收集、处理、传输与利用个人信息的目的与用途何在，只有为了公共利益的需要，才能依法动用公权力，也才可称为公务主体，否则一般均视为私务主体。

综观世界各国家或地区的立法例，关于个人信息收集、处理、传输与利用的规则可分为两种立法模式：其一为概括式立法模式，即对个人信息收集、处理、传输与利用的主体不加以区分对待，统一制定规则，比如，经合组织指针的有关规则、欧盟指令的有关规则，英国《数据保护法》的有关规则；其二为区分式立法模式，即区分个人信息收集、处理、传输与利用的主体为公务主体与私务主体，进而制定不同的规则，较新进的个人信息法立法多采取区分式的立法模式。笔者认为，由于公务主体与私务主体所能动用的社会资源力量不同，二者存在诸多区别，在立法上对二者进行区分是必要的，也是恰当的，但同时也要注意二者收集、处理、传输与利用个人信息应当遵循的共同规则，这其实也可以说是一种折衷式的立法模式，中国台湾地区“个人资料保护法”即采取这种模式。

除了以市场机制调节为主的个人信息交易行为外，不是任何私务主体都被允许收集、处理、传输与利用个人信息，即成为个人信息收集、处理、传输与利用的私务主体必须符合法定的条件。对此，各国家或地区的立法包括准则主义（申报制）与许可主义（许可制）两种模式。前者指要进行个人信息收集、处理、传输与利用的非公务部门、自然人等主体向有关主管部门提出申请，有关主管部门进行形式审查后予以登记认可其资格（可发资格证书或执照）的方式；后者指要进行个人信息收集、处理、传输与利用的非公务部门、自然人等主体向有关主管部门提出书面申请，有关主管部门依法对其是否具有相应资格进行实质审查，通过实质审查后才能予以批准登记认可的方式，这实际是一种行政许可行为，主要适用于金融行业、征信行业等特定的主体，对于一般的私务主体则较少适用。①齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第168～169页。

二、个人信息收集的法律规制

（一）个人信息收集的定义

个人信息收集（collection），指出于一定目的，通过自动化、半自动化或非自动化方式将有关的个人信息集中起来的行为。个人信息收集也被称为“个人信息汇集”、“个人信息采集”、“个人信息获取”等。在典型立法例中，德国《联邦数据保护法》将个人信息收集定义为：获取关于信息主体的信息。②Germany, Federal Data Protection Act, 2003 (Amended), Section 3.中国台湾地区“个人资料保护法”将个人信息汇集（收集）定义为：以任何方式取得个人信息。③中国台湾地区“个人资料保护法”=第2条。个人信息收集实质是获取个人信息的一个过程，是个人信息流转环节的起点。

个人信息收集包含两个要素：主动的取得行为与主观的利用目的，④许文义：《个人资料保护法论》，台湾三民书局股份有限公司2001年版，第207～208页。即行为要素与目的要素。行为要素，指个人信息收集主体运用自身的条件、能力获取个人信息，不包括没有任何要求而自愿透露个人信息的个人行为或者第三方的单方行为；目的要素，指个人信息收集要基于特定目的，防止个人信息收集主体滥用个人信息，侵害个人信息本人的合法权利。①齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第144页。个人信息收集如果不具备上述两个要素，则不构成个人信息法意义上的个人信息收集。比如，个人信息本人为履行合同或其他约定，而将个人信息主动交给信息收集者，则属于个人信息的“取得”。②洪海林：《个人信息的民法保护研究》，法律出版社2010年版，第172页。有学者认为，通常下列情形不属于个人信息收集：不经意的察觉；不含个人信息的信息载体的采用；信息载体的收集；为销毁信息载体而接受信息；人像无法识别的摄影；匿名电话的咨询等。③许文义：《个人资料保护法论》，台湾三民书局股份有限公司2001年版，第208～209页。

（二）个人信息收集的方式

个人信息收集的方式有多种，其中最主要的分类是：

根据个人信息收集过程中，个人信息本人是否知情，可分为知情收集与不知情收集。知情收集，是指个人信息收集主体在个人信息本人知情、同意的情况下，向其收集相关的个人信息。比如，民政部门基于社会管理或公共利益的需要，普查、收集人口信息；医生或律师等因执业需要，收集服务对象的相关个人信息等。不知情收集，是指个人信息收集主体在个人信息本人不知情的情况下收集相关的个人信息。在这种情况下，个人信息本人可能不同意也可能推定同意：如果个人信息本人不同意收集个人信息，又不是处于公共利益或本人利益、他人利益的必需，则属于违法收集个人信息；如果推定个人信息本人同意收集其相关的个人信息，则一般不为法律所禁止，比如，收集个人公开的各种身份信息；医生诊疗危重患者无法直接获得患者同意时，可以推定患者同意收集其相关的个人信息。

根据个人信息收集过程中，个人信息收集主体是否直接向个人信息本人收集，可分为直接收集与间接收集。直接收集，是指个人信息收集者径直向个人信息本人收集相关的个人信息，包括口头询问并记录、本人填写书面表格等方式。间接收集，是指个人信息收集者通过第三方间接收集相关的个人信息，比如通过各种媒介或书面材料获取有关的个人信息，或者向相关人询问、调查、获取有关个人的信息。但不管直接收集还是间接收集，一般均不得收集法律明确禁止的个人信息。

根据个人信息收集过程中，个人信息本人是否主动提供个人信息，可分为主动式收集与被动式收集。④孙毅、郎庆斌、杨莉：《个人信息安全》，东北财经大学出版社2010年版，第53页。主动式收集，是指由个人信息本人基于特定目的主动提供而使个人信息相对人收集到相关的个人信息。比如，在工作、生活与学习中，为了实现某种目的或满足某种需求，在办理各种手续的过程中，个人信息本人主动如实、逐项填写各种表格。被动式收集，是指在个人信息本人并未主动提供的情况下，个人信息收集主体通过各种技术和方法收集个人信息。比如，通过各种计算机程序如cookies，在用户上网时通过数据捕捉、传输各种个人信息。被动式收集个人信息在不能推定被收集者知情同意的情况下，一般属于违法行为。被动式收集个人信息，在处于个人信息管理者控制的状态下，是相对安全的，但当个人信息管理者出于某种目的，进行个人信息交易，或存在恶意收集情况时，个人信息则存在安全威胁。⑤同注④，第54页。

须注意的是，个人信息收集的方式与收集的手段有所不同。方式是方法与形式，手段则指的是具体采取的措施。至于个人信息收集的手段，传统的手段是手工收集、人工收集，比如，直接向个人信息本人询问记录有关个人信息，个人信息本人填写有关表格，跟踪、卧底、监视等；随着科技的发展，出现了各种科技手段，比如，摄影机、监听设施、测量仪的使用，指纹、掌纹或脚印的采集及分析鉴定，对个人血液、基因及其他身体组织的检查分析等。①齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第145页。

（三）个人信息收集的规则

个人信息收集的一般规则包括：

第一，目的特定。个人信息收集者基于法律的授权或合同的约定而进行个人信息收集，应当遵照预先特定的目的进行，不得没有目的、超出目的或改变目的进行个人信息的收集。比如，意大利《数据保护法》规定，在个人信息的收集与评价过程中要做到：合法、正当的适用；必须以详尽、清楚和合法的方式收集和记录，进一步的操作使用必须与收集的目的相符；信息准确而不陈旧，使用不能超过期限的限制；收集和使用的目的本身要适当、中肯、不过分；使用的目的不能超过必要的限制；以历史、科学研究或统计的目的使用个人信息等信息的，可以无期限地使用。②Italy, Data Protection Act, 2003, Article 9.再如，中国香港地区《个人资料（私隐）条例》规定，收集信息的目的与方式必须合法及公平。

第二，知情同意。个人信息收集要让个人信息本人对个人信息收集的内容与程序知情，不得在本人不知情的情况下收集个人信息；并应当在个人信息本人明确表示同意的情况下进行。据此，个人信息收集者负有告知当事人的义务，但在特定情况下可以免除告知的义务。比如，中国台湾地区“个人资料保护法”规定，公务机关或非公务机关依该法相关规定向当事人搜集（收集）个人信息时，应明确告知当事人下列事项：公务机关或非公务机关名称，搜集（收集）的目的，个人信息的类别，个人信息利用的期间、地区、对象及方式，当事人依个人信息法规定得行使的权利及方式，当事人得自由选择提供个人信息时，不提供将对其权益的影响；有下列情形之一的，可免为前项的告知义务：依法律规定得免告知，个人信息的搜集（收集）系公务机关执行法定职务或非公务机关履行法定义务所必要，告知将妨害公务机关执行法定职务，告知将妨害第三人之重大利益，当事人明知应告知的内容。③中国台湾地区“个人资料保护法”第8条。

第三，限制收集。要求个人信息收集的内容有界限，不得超越此界限收集与收集目的无关的其他个人信息，特别是不能任意收集敏感个人信息。限制收集也称为“直接收集”，即收集个人信息原则上应当直接向个人信息本人收集。比如，经合组织《隐私保护与个人数据流通指针》规定：应当对个人信息的收集加以限制，收集任何个人信息都应当采用合法的、公正的手段，必要的时候，还应当得到本人的同意或者告知本人。④OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Part Two, 7.德国《联邦数据保护法》规定：在收集个人信息的时候，原则上应当向个人信息的主体本人收集，即应当向个人信息本人直接收集个人信息。⑤Germany, Federal Data Protection Act, 2003 (Amended), Section 13.美国《隐私法》规定：如果该项信息可能会对某人依据联邦法律享有的权益不利或有害时，应尽可能直接向相关个人收集。⑥US, Privacy Act, 1974, (e).(2).

第四，内容正确。要求个人信息收集者对个人信息的收集，要保证个人信息的质量，做到内容正确、准确，并适时保持更新。比如，英国《数据保护法》规定个人信息必须准确，对于以最新材料存档的那些内容来讲，还必须不陈旧，不过时。①UK, Data Protection Act, 1998, Schedule 1.再如，中国香港地区《个人资料（私隐）条例》规定了个人信息要有正确性和一定的保留期间，即所保存的个人信息必须是准确和不过时的、最新的信息。

除了上述一般规则，不同主体收集个人信息还有不同的规则：

公务主体收集个人信息的目的在于提高政府工作的效率和决策的质量，使政府机关履行自身职责具有良好和充分的信息保障，从而更好地促进经济、社会发展和国际竞争的需要。②蒋坡：《个人数据信息的法律保护》，中国政法大学出版社2008年版，第120页。比如，为了更好地制定国民经济与社会发展规划，有关公务机关可以组织力量进行人口普查，获取居民基本的个人信息，这成为公务机关决策的重要依据和正确决策的保证。个人信息收集的公务主体与个人信息本人地位并不平等，往往具有管理与被管理的关系。公务主体对个人信息收集目的在于为公共利益服务，为了更好地为公众提供服务、更好地对国家和社会进行管理，因而实质是一种行使公权力的行为。公务主体收集个人信息的直接依据是法律的规定与授权，并要考查是否是特定情况下出于公共利益的目的。而关于公共利益的判定，要根据个案来判定，具体问题具体分析。即使为了公共利益迫切需要收集个人信息，也要对造成的个人利益损害承担国家赔偿或补偿责任。

私务主体之间地位平等，依据意思自治与契约自由的规则，经个人信息主体明确同意的情况下，可以依据合同约定进行合法的个人信息收集。私务主体收集个人信息应当经个人信息所有人或合法提供者的同意，由其自愿提供；应当确保对个人信息所有人或合法提供者的安全或其他权益没有侵害；已经公开的个人信息应当对信息所有人或合法提供者无害而且对社会发展有利；符合有关法律法规规定的其他情况。③李德成：《网络个人化信息资料的利用与控制制度研究》，《科技与法律》2001年第1期，第54页。在这里，已经公开的个人信息是指不特定的第三人合法取得或知悉的个人信息。④洪海林：《个人信息的民法保护研究》，法律出版社2010年版，第174页。

三、个人信息处理的法律规制

（一）个人信息处理的定义

从立法例来看，个人信息处理（processing or treatment）是一个在界定上存在分歧的法律概念：

广义的个人信息处理泛指对个人信息的收集、输入、存储、编辑、更正、复制、检索、删除、输出、传输、利用等操作行为，包括个人信息的收集、传输与利用等行为。欧盟《个人数据保护与流通指令》采用了广义的定义：个人信息处理，指对个人信息所作的任何操作或一系列操作，而无论该操作是否以自动化方式进行，如收集、记录、组织、存储、改编或修改、检索、咨询、使用或通过其他个人信息可被他人利用的方式披露、排列或组合、封锁、删除或销毁。⑤EU, Directive 95/46/EC, Article 2 (b).阿根廷《个人数据保护法》规定：个人信息处理，指采取电子或其他形式的系统操作和程序使收集、保存、编排、保管、修改、关联、评估、停用、销毁，使个人信息加工及其通过报告、询问、连接或传输向第三方的联络成为可能。①Argentina, Law for the Protection of Personal Data, 2000, Article 2 (4).冰岛《与个人数据处理相关的个人数据保护法》规定：处理，指通过人工或自动方式，对个人信息实施的一个或一系列操作。此外，比利时、丹麦等国也采用的是广义的定义。②Iceland , Act on Protection of Individuals with Regard to the Processing of Personal Data, 2000, Article 2 (2).

狭义的个人信息处理仅指利用计算机或其他方式对个人信息进行的存储、编辑、修正、比对、封存及删除等操作。③洪海林：《个人信息的民法保护研究》，法律出版社2010年版，第174页。这是与个人信息的收集、传输与利用并列的个人信息流转环节。比如，中国台湾地区“个人资料保护法”规定：处理，指为建立或利用个人信息档案所为信息的记录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。④中国台湾地区“个人资料保护法”，第2条第4项。个人信息处理在个人信息保护过程中是一个处于获取与利用之间的起承上启下作用的重要环节，特别是在计算机及网络出现后，个人信息处理变得更为高效，其过程也呈现出传统处理方式所不及的复杂性。⑤蒋坡：《个人数据信息的法律保护》，中国政法大学出版社2008年版，第147页。如无特别说明，本文所提及的个人信息处理一般为狭义。

（二）个人信息处理的方式

个人信息处理的方式多种多样，如按处理的手段是否依赖信息技术，可以分为非信息化处理和信息化处理。非信息化处理主要是前信息社会的个人信息处理方式，主要依赖于手工和纸质媒介，处理个人信息的速度慢、效率低而且出错率高。在信息社会里，个人信息通过信息技术进行处理已经成为主要的方式。计算机处理个人信息大致包括输入、储存、编辑、修改、增删、分类、检索、比对、封锁、销毁等操作。通过计算机处理个人信息，通常采取数据库的方式进行，与此同时，各种个人信息处理软件也应运而生，而且功能不断发展与完善，使得对个人信息的处理日益自动化，处理的效率早已与传统的手工处理方式存在天壤之别。个人信息处理软件已经成为公务主体和非公务主体处理个人信息的必备工具，而随着个人信息利益规范调整的加强，对此类软件也在设定一定的技术标准特别是安全标准，这主要以相关行业规范或必要的国家标准加以调整。比如，大连软件行业协会制定的《大连软件及信息服务业个人信息保护规范》第6章第7条对个人信息的保管、从业人员、技术和物理安全保护措施、网络与设备、数据备份、存储、紧急事态的预防及处理等进行了全面的规定，这可以说是软件行业个人信息保护规范的较高水准。

（三）个人信息处理的规则

个人信息处理的一般规则包括：个人信息本人的知情和明确同意；基于有效合约或法律规定而履行特定义务的需要；确保个人信息在处理过程中的安全等。从典型规范来看，欧盟《个人数据保护与流通指令》规定了非敏感个人信息处理的条件，要求成员国应当规定个人信息仅在下列情况下才可以被处理：个人信息本人毫不含糊地表明其同意；或为履行个人信息本人作为一方当事人的合同或在签订合同前经个人信息本人请求为采取措施，有必要处理时；或为履行约束控制者的法律义务，有必要处理时；或为保护个人信息本人的重大利益，有必要处理时；或为公共利益或者行使控制者或接受信息披露的第三人既得的官方授权而完成有关事务，有必要处理时；或控制者为追求合法利益，有必要处理时。⑥EU, Directive 95/46/EC, Article 7.荷兰《个人数据保护法》规定：对个人信息的处理不能基于与收集个人信息的目的不相同的目的；为了评价是否与上述目的不相容，责任方要考虑收集的目的与使用的目的两者之间的关系，该个人信息的特性，对该个人信息的处理结果，该个人信息收集的方式，为尊重该个人信息本人而采用的适当的担保程度；出于历史、统计或科学的目的，对该个人信息的进一步处理不认为与有责任的一方在事先所做的必要的保证不相容；按照官方规定或职业的特点或法律的规定负有保密义务的个人信息，不能进行处理。①Netherlands, Personal Data Protection Law, 1998, Article 9.

由于现在对个人信息的处理大多通过信息技术手段进行，通过计算机进行处理，这使得现在处理个人信息在具有方便快捷等优点的同时，也存在着很多安全风险，因而需要采取全面的安全措施。可以说，个人信息处理规则的设定主要就是为了保证个人信息处理的安全进行。个人信息处理的安全规则要求个人信息处理者采取一定的组织措施，要求处理人员负有保密义务，强调计算机设备与系统的安全。

通过计算机等设备处理个人信息的安全管控规则包括：入口管控，防止未经授权者擅自进入处理个人信息的设备系统；输入管控，防止未经授权者擅自进入数据存储系统及擅自读取、更改或删除系统中所存储的个人信息；数据库管控，防止未经授权者擅自读取、复制、更改个人信息或移走数据库；传输管控，防止未经授权者擅自利用信息传输设备传输所存储的个人信息；接收地管控，确保能检测并确认个人信息经传输设备可能传输的地点；运送管控，防止在传输个人信息及运送数据库的过程中该信息被擅自读取、更改或删除；利用管控，确保有权利用个人信息处理系统者只能利用其权限范围内的个人信息；记录管控，确保事后能检测并确认哪些个人信息于何时由何人输入信息处理系统予以处理；委托管控，确保经委托授权处理个人信息时仅能依委托人的指示进行处理；组织管控，负责个人信息处理的行政机构的设备和操作人员的素质符合个人信息保护的特定要求。②See Germany, Federal Data Protection Act, 2003 (Amended), Annex (to the first sentence of Section 9 of this Act).

在特定情况下，对个人信息的处理存在例外，这是个人信息法出于对公共利益、本人或他人重大的合法利益的考量而作出的规定。上述欧盟指令中就涉及到个人信息处理的例外情形，再如，荷兰《个人数据保护法》规定，在以下情况下，个人信息可以被处理：出于保护个人信息本人的某一个极为重要的利益的必要；为了正确地完成一个由行政机关所规定的或由接收该个人信息的行政机关规定的公开的法律任务而使用；为了维护有责任的一方或接收该个人信息的第三方的合法利益而必要地使用，但如果有涉及该个人信息本人的基本权利和自由，尤其是保护个人隐私更为重要的事项除外。③Netherlands, Personal Data Protection Law, 1998, Article 8.

四、个人信息传输的法律规制

（一）个人信息传输的定义

个人信息传输（transfer or transmission），也称个人信息传递，是指将个人信息从个人信息本人以外的传输者传输到接收者的行为。个人信息因相关主体的传输行为而形成流通状态。在典型立法例中，德国《联邦数据保护法》规定，传输是指将已存储或经数据处理所获得的个人信息，依以下方式告知第三者（信息接收者）：由传输者将信息传达给接收者；由接收者从传输者处查阅或截取原已准备好的信息。①Germany, Federal Data Protection Act, 2003 (Amended), Section 3.其他立法例对个人信息传输的定义多类似于德国个人信息法的定义。

中国台湾地区学者许文义认为，作为重要的个人信息流转阶段，个人信息传输的构成包括两个方面：②许文义：《个人资料保护法论》，台湾三民书局股份有限公司2001年版，第252～255页。

其一，传输的行为（客观方面）包括传达、查阅或截取等方式，由储存单位向第三者示知。传达，指任何足以使个人信息的内容传递到接收者所能掌握的领域内的行为，而不论其个别情形下是如何发生的，比如经由口头或电话通知、有线或无线的信息传递、邮寄信函、文字短信、电子邮件或其他网络传播方式传递或将个人信息直接向接收者宣读等，均属于传达的范围。查阅，不仅指直接阅读或研究信息媒介，比如查阅信息卷宗，而且包括接收者支配能力范围内的任何其他取得信息的方式，比如取得信息媒介、复印、摄影或录音，只要接收者在稍后可以其他方式将其复原而获悉其内容的，均可视为查阅。截取，指经由自动化流程的辅助而取得对传递者所准备好的个人信息的支配力的行为。

其二，传输的客体必须是“已储存”或“经由信息处理所获得”的个人信息。“已存储”的信息，指记录于载体上的信息。“经由信息处理所获得”的信息，指由已存储的信息所制成的另一信息。在这里，个人信息传输的客体不限于已存储的个人信息，目的在于扩大传输制度保护的范围，不致因将已存储的信息予以另行处理后生成的另一个不同的信息脱离个人信息传输制度规范的范围。

这里从客观要件探讨了个人信息传输的构成，实际上已经足够判定传输行为的性质与特征。至于个人信息传输中涉及的主观要件，也应当予以明确。个人信息传输的主体包括传输者与接收者两个，个人信息传输发生在传输者与接收者之间，往往具有明确、特定的方向性。个人信息传输的主观方面，要么是基于传输者与接收者之间达成的合意，要么是基于公共利益或本人、他人利益的考量，其目的往往在于使接收者能够获取相关的个人信息，并能够利用相关的个人信息，进而达致特定目标。

（二）个人信息传输的种类

按照个人信息传输主体身份的不同，可以将个人信息传输分为公务部门之间的个人信息传输、公务部门以外的主体之间的个人信息传输以及公务部门与公务部门以外的主体之间的个人信息传输。公务部门之间的个人信息传输是基于国家利益、公共利益或公共管理、行政活动的特定需要，相关公务部门将其掌控的个人信息传输给特定的有关部门。比如，司法行政部门对通过司法考试后申请法律职业资格证书者，要求有未受刑事处罚记录的证明，而这些信息为公安部门掌握，在公安部门的联网信息系统内，这就需要公安机关将有关申请者的未受刑事处罚证明信息传输给司法行政部门。公务部门以外的主体之间传输个人信息往往是基于特定的利益，并需要在法律或合约允许的范围内进行，非法、违约进行个人信息买卖将承担法律责任。公务部门向公务部门以外的部门传输个人信息的情况并不常见，而且容易侵害个人信息本人的权利，因而除非法律明文允许的情形，不能进行这种传输行为，否则公务部门的工作人员可能要承担行政责任甚至刑事责任。比如，在刑法修正案（七）颁布前，有些考试管理部门，将报名者的个人信息传输给社会上的辅导机构，成为相关辅导机构进行宣传、营销的重要资源，严重侵害了相关考生的个人信息权利。

按照个人信息传输空间范围的不同，可以将个人信息传输分为境内的个人信息传输与跨境的个人信息传输。境内的个人信息传输，是限于一个国家或地区领域范围内的个人信息传输。跨境的个人信息传输，也称为个人信息的跨境流通，是“跨境数据流通”的一种类型，有广义与狭义之分。广义的跨境个人信息传输，泛指通过自动化或非自动化的形式，以任何方式跨境传输个人信息。经合组织指针指出：跨境的个人信息流通方式包括国际航空新建、国际电话、电报、无线广播、电视的跨境广播、互联网传播，甚至各种有形信息资料通过人工携带出境。中国台湾地区“个人资料保护法”规定：国际传输，指将个人信息作跨国之处理或利用。①中国台湾地区“个人资料保护法”，第2条第1款第7项。这就是一种广义的定义。狭义的跨境个人信息传输，指通过计算机自动化处理或为计算机自动化处理的目的，通过信息互联网络或其他方式跨越国境或边境传输个人信息。狭义的跨境个人信息传输主要适用于通过国际互联网络传输个人信息。通常，讲到跨境的个人信息传输，指的是这里的广义定义。与境内的个人信息传输不同，跨境的个人信息传输的特征包括：第一，从地域、空间范围来看，具有跨越国境性；第二，从传输的目的来看，往往是基于特定的经济、贸易利益，个人信息的跨境传输是大企业尤其是跨国公司进行跨国经营中获取个人信息的重要方式之一；第三，由于各国家或地区在个人信息法律方面存有差异，在个人信息保护的力度方面有所不同，因而个人信息的跨境传输往往具有法域冲突性，需要国际层面、区际层面的个人信息规范框架安排。②齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第209～210页。

（三）个人信息传输的规则

公务部门传输个人信息必须以法律的规定或授权为前提条件，必须在行使公权力的职能范围内进行。这是法治的基本要求，是依法行政原则在个人信息法里的具体体现。在法定的情形下，公务部门传输特定的个人信息可以不必经个人信息本人同意。比如，根据个人信息法的特殊规定，基于公共利益考量，进行人口普查、统计研究，或出于执法目的，或遇有紧急情况，或执行法院命令等。而在法律没有明确规定或授权的情况下，公务部门传输个人信息必须征得个人信息本人的书面正式同意。

公务部门传输个人信息的目的必须明确，须是为了履行特定的职责或是为特定的公共事务管理的需要。比如，国务院《突发公共卫生事件应急条例》规定：国务院卫生行政主管部门组织领导的医疗卫生机构应当对因突发事件致病的人员提供医疗救护和现场救援，对就诊病人必须接诊治疗，并书写详细、完整的病例记录；对需要转送的病人，应当按照规定将病人及其病例记录的复印件转送至接诊的或者指定的医疗机构。③《突发公共卫生事件应急条例》第39条。

与公务部门有所不同，公务部门以外的主体传输个人信息受到如下限制：

首先，除了依契约进行的个人信息交易外，进行一般的个人信息传输往往需要向主管部门进行登记，进行个人信息传输的法人等组织须经国家机关的批准许可方能从事特定范围的个人信息传输，即进行一般的个人信息传输采取的是登记主义，而进行特定范围的个人信息传输一般实行许可主义。

其次，必须是基于特定的行业目的或企业目的，方可进行个人信息传输。比如，由于人事调动，公司之间传输其掌控、管理的员工或客户个人信息。或者，在购买商品时，填写保修卡后，销售商将客户的必要信息传输给制造商或售后服务部门。还有，为了公共利益、学术科研的需要，对相关的个人信息进行传输。

再次，必须经过个人信息本人的书面同意，方可传输相关主体的个人信息。这是为了最大限度地保护个人信息本人的知情权、选择权，避免个人信息被任意传输、散播，造成大范围的侵害后果。相关主体可以与个人信息本人签订书面合约，经个人信息本人明确同意，限定时间、限定空间地进行传输。

（四）个人信息跨境传输的“安全港”机制

1.“安全港”机制的形成与内容

个人信息跨境传输离不开内国法的个人信息传输规范，而在经济全球化背景下又涉及到主权与贸易的关系问题。①See Greg Tucker, Personal Information Transfers Abroad, Journal of Law and Information Science, Vol 5 No1 1994, p.14.在个人信息保护方面，美国实行的是以行业自律为主导的模式，缺乏统一的个人信息法立法和监督机关，而欧盟采取的则是统一立法的充分保护模式，因而美欧的个人信息保护制度存在着不同的标准，导致个人信息在美欧之间跨境传输存在制度障碍。但美国作为世界上重要的经济体，跨国公司众多，与欧盟之间存在着频繁的经济往来与经济利益，美国更是信息技术高度发达的国家，但制度的障碍导致个人信息传输难以顺畅进行。

“安全港原则”（Safe Harbor Principles）是美国与欧盟之间对个人信息保护法律冲突的妥协原则。美国《儿童在线隐私保护法》（Children’s Online Privacy Protection Act,“COPPA”）第10部分“安全港待遇”对行业自律作出了明确的规定，这是全球首次以立法形式确认行业自律的法律效力，标志着“安全港原则”的产生。COPPA第10部分第1条规定：自律性的管理规则经由委员会批准并颁发后生效，如果一个企业遵循了自律性的管理规则，则应被看作遵守了本部分的要求——法律的规定。联邦贸易委员会在行业规范书面申请备案后的1 8 0天内，实质审查、评估该申请，并作出书面结论。行业自律规范获得委员会批准后，如果申请人想改变该规范，则必须重新按照首次申报的程序提出新的申请。

“安全港原则”是美国公司进入个人信息“安全港”的原则，行业自律规范须满足一定实质条件，才能获得批准而进入“安全港”：第一，行业自律规范的保护水平不低于法定标准（C O PP A规定的最低标准）或有更高标准，书面申请须附有行业自律规范的全文和各种解释及与相应法律条文的比较；第二，申请者须已经按照法律规范建立了强制性的、适当的、有效的评估机制，包括定期抽查、约束和激励机制等；第三，自愿向美国财政部设立的违纪者救助行业计划支付一笔款项，并主动将违纪者交由管理者委员会处理。

为保证个人信息跨境传输的顺畅进行，自1998年起，美欧就个人信息保护的原则进行协商。1998年11月4日，美国商务部发布了国际“安全港隐私原则”（Safe Harbor Privacy Principles），共涉及个人信息跨境传输中的通知、选择、转送、安全、信息完整、渠道及执行方面的7项原则，近似于欧盟《个人数据保护与流通指令》的原则。经过一年半的谈判、协商，2000年3月14日，提出了双方均可接受的“安全港协议”（Safe Harbor Agreement）。在该协议框架下，美国加入“安全港”的公司自愿作出承诺，表明遵守由美国商务部与欧盟委员会内部市场司制定的一系列个人信息保护原则，这些公司即被认为达到了对个人信息充分保护的要求，可以接收来自欧盟的个人信息。该协议的内容包含国际安全港隐私原则的7项原则，同时更加具体明确：

原则一，通知。企业必须告知个人信息本人收集、使用的目的，投诉的方式，向第三方披露个人信息的类型及本人选择或限制企业使用、披露个人信息的方法，且通知必须使用清晰、明确的语言。

原则二，选择。个人信息本人有权决定信息是否向第三方公开或被用于与收集不同的目的，为实现选择的权利，企业应当提供明确可行的选择机制。对于敏感个人信息的利用，特别需要经过本人肯定的、直接的授权。

原则三，转送。为向第三方披露个人信息，企业必须使用通知、选择原则，否则，当第三方对本人构成侵权时，企业不能免责。

原则四，安全。企业处理、保有、利用或传输个人信息时必须采取合理的措施，防止信息被丢失、滥用、歪曲、毁坏。

原则五，信息完整。企业必须采取合理措施，保证其使用的个人信息准确、完整、时新及与使用目的的关联性。

原则六，渠道。应当使个人信息本人获得更正、修改、删除不实信息的渠道，除非使用这种渠道成本过高乃至违反比例原则。

原则七，执行。内容包括救济机制、进入安全港的批准原则等。①Safe Harbor Privacy Principles, Issued by the U.S. Department of Commerce on July 21, 2000.

2.“安全港”机制的特点与影响

“安全港”机制具有如下特点：

第一，行业整体加入“安全港”。不同行业在个人信息保护方面具有各自的特点，并各有其侧重点，统一的国家立法难以面面俱到地进行规定。在“安全港”机制下，有权的管理机构审查的是相关行业整体的自律规范，而不是具体的个人信息收集、处理、传输与利用主体的自律规范。

第二，优先适用本行业的自律规范。对于加入“安全港”机制后的具体企业，在涉及到规范遵守问题时，优先适用的是其所在行业的自律规范，包括其中的实体性规范与程序性规范。

第三，双重监督。“安全港”机制使加入的企业不仅受到来自行业内部的监督，而且要受到有权的管理机构的监督，从而能够使这种机制更加有效地获得实施，更加有效地发挥保护个人信息的作用。

第四，有权的管理机构具有最终裁决权。“安全港”机制给予相关行业、企业很大的自主权，但在出现关于个人信息保护的争议时，仍然坚持有权的管理机构的最终裁决权。这里的最终裁决权行使者，在美国是经法律授权的联邦贸易委员会。

在美国，“安全港”机制能够将法律规范与行业自律规范有机结合起来，兼顾了国家立法与行业自律的优势，是一种制度创新，具有很强的可利用性；②齐爱民：《拯救信息社会中的人格——个人信息保护法总论》，北京大学出版社2009年版，第198页。但该机制也存在一定的不足。2002年2月，欧盟委员会对美欧个人信息“安全港”机制的运行报告认为，“安全港”协议的主要内容已经到位，个人信息本人在权利受到侵犯时，有可以提起申诉的机构；不过，签署了“安全港”协议的组织缺少足够的透明度，而且并非所有争议解决提供者都遵守协议中的个人信息保护原则。这既肯定了“安全港”机制带来的效果，也指出了其现实存在的问题。

在欧盟，欧盟指令对立法与行业自律的关系进行了专章规定：成员国应当鼓励贸易协会或其他组织制定符合欧盟指令条件的、内国法标准的保护个人信息的自律规范，成员国应当成立国家管理机构，对行业协会或其他组织草拟自律规范提供指导，成员国应当为该管理机构制定规则，保证管理机构依法审阅向其提交的行业自律规范草案，以审查其是否符合根据欧盟指令制定的内国法的要求。①EU, Directive 95/46/EC, Article 27.

在欧盟成员国的立法中，对“安全港”机制也予以肯定。比如，在荷兰，1999年《个人数据保护法》规定了“安全港”机制：任何组织或组织联盟起草的行业自律规范，必须经过数据（信息）保护专员办公室审核并予以公告，数据（信息）保护专员办公室主要审查相关的行业自律规范是否真正体现了个人信息保护法和有关个人信息处理的法律法规的精神。②Netherlands, Personal Data Protection Law, 1998, Article 25, 1.

“安全港”机制既是有效协调个人信息跨境传输中法律冲突的机制，同时也是有效解决行业自律规范与国家立法关系的一种机制，其产生后得到了有效实施，其影响逐渐超出美欧的范围。比如，中国香港地区曾因个人信息保护层次较低而影响到欧盟国家向其金融机构传输个人信息，1996年《个人资料（私隐）保护条例》采用了“安全港”机制。香港个人信息保护的行业自律规范包括标准、规格及其他文件形式的实务性的指引，并由隐私专员负责核准。③中国香港地区《个人资料（私隐）保护条例》第2条。

五、个人信息利用的法律规制

（一）个人信息利用的定义

个人信息利用（use or utilization）即个人信息利用者基于特定目的对个人信息的使用，以发挥个人信息的效用。在典型立法例中，德国《联邦数据保护法》将个人信息利用定义为除了处理方式之外的任何个人信息使用行为。④See Germany, Federal Data Protection Act, 2003 (Amended), Section 3 (5).中国台湾地区“个人资料保护法”把个人信息利用界定为将汇集（收集）的个人信息为处理之外的使用，⑤中国台湾地区“个人资料保护法”第2条第1款第5项。这与德国立法的定义基本相同。国内有学者认为，个人信息利用是指个人信息利用者对个人信息的使用或公开披露，其中的“使用”主要指使用者为实现一定目的而将合法收集的个人信息经过一定的处理或未予处理，对内或对外使用。⑥蒋坡：《个人信息数据的法律保护》，中国政法大学出版社2008年版，第155页。上述定义均没有强调个人信息的效用，笔者认为，个人信息的利用不是单纯的“使用”，更是个人信息发挥效用的过程。此外，将个人信息的公开披露作为一种利用的形式并不十分恰当，因为公开披露与其说是一种对个人信息的利用，倒不如说是对个人信息的一种处置或处理。

个人信息利用是收集、处理、传输个人信息的最终目的，也是出现个人信息侵权行为的重要环节，大量的个人信息滥用行为其实就是对个人信息的非法或者不当利用行为。比如，近年来媒体经常报道，一些高考落榜生的高考成绩、联系方式等信息被泄露并遭到滥用，导致考生收到大量的各类非普通院校的“录取通知书”和频繁的电话骚扰，经调查是有关人员将大批考生的相关个人信息卖了出去。①比如，某些民办院校根据掌握的大量学生信息，像群发短信一样发放录取通知书。参见汤凯峰、张迪：《揭秘高州民办职教乱象》，《南方日报》2010年9月14日。

（二）个人信息利用的规则

个人信息利用的基本规则要求，利用个人信息应当限于法律明文规定的范围；应当经个人信息本人知情并同意；应当符合特定的目的等。个人信息利用者应当尊重个人信息本人的决定权、知情权、查询权、保密权、更正权、封锁权、删除权和报酬请求权等法律规定,保持个人信息的完整正确以及目的明确地限制利用,同时要采用适当措施,在保证个人信息安全的前提下对个人信息进行合理利用。②王妹：《我国个人信息的保护与合理利用问题研究》，《重庆邮电大学学报（社会科学版）》2008年第3期，第61～62页。

由于对个人信息的不当利用极易造成对个人信息权利的侵害，因而相关国际组织、相关国家的个人信息法原则上对个人信息是限制利用的，即对个人信息的利用受法律规定与合约限制，不得超出特定的目的、范围、期限等。对此，经合组织《隐私保护与个人数据流通指针》规定了限制利用的规则：除非得到本人的同意，或者法律另有规定，个人信息不应当被泄露，或是被他人取得，或是被他人以特定目的之外的其他目的利用。③OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980, Part Two, 1.德国《联邦数据保护法》规定：单纯基于个人信息保护检查、安全或确保处理设备的合法运用的目的，而存储个人信息者，只能依据其目的而使用。④Germany, Federal Data Protection Act, 2003 (Amended), Section 14.英国《数据保护法》规定，使用或透露个人信息的方式不能与持有该个人信息的目的相冲突；个人信息不应当转移到欧洲经济区以外的国家或领土，除非该国家或领土确保有足够水平在进行处理时对个人信息本人的权利和自由提供保护；如果持有某些个人信息要达到的目的是有期限的，则持有时间不得超过该期限。⑤UK, Data Protection Act, 1998, Schedule 1.中国香港地区《个人资料（私隐）条例》规定了在个人信息的使用中，除非得到本人的同意，该个人信息只可用于在收集时所表明的用途或与之直接有关的用途；必须被采取切实可行的措施保障个人信息免受未经准许的或授权以外的查阅、处理、删除或其他使用；在一般情况下，必须提供明确表明个人信息的使用者需公开其所持有的个人信息的类别以及使用该等个人信息的用途。

与上述个人信息利用不同的是，个人信息的特殊利用一般无须向个人信息当事人履行特定的法律义务，但必须保证在特定的目的范围内合理利用，并要保证相关个人信息的安全，并不得外泄给任何第三方。特殊情形的个人信息利用包括：为了公共利益或国家安全；为了追究刑事犯罪；为了本人或他人的重大利益；为了科学研究的需要等。比如，荷兰《个人数据保护法》规定：当信息处理（广义）为下列利益之一时，责任方可不受有关个人信息保护的限制：为国家安全；为防止、查明、追捕刑事犯罪；为监督前述利益的目的而进行信息处理的合法性；为国家或其他公共机构的重要经济、金融利益；为保护信息主体或其他人的权利和自由。⑥Netherlands, Personal Data Protection Law, 1998, Article 43..美国《隐私法》规定：公开档案记录提供给另一个行政机关或具有政府性职能的组织，需要相关机关或组织提出申请，为法律授权的民事或刑事性质的特定用途。①US, Privacy Act, 1974, (b).(7) & (e).(4).(D).澳大利亚《隐私法》规定：管控包含个人信息档案的保管人，如果是为了特定的目的而取得个人信息，就不能将该个人信息用于其他目的；除非相关的个人同意将该个人信息用于其他目的，保管人有合理事由相信，对个人信息其他目的的使用是必要的并且可以避免或减少对相关个人或其他人的生命和健康严重迫切的危机，在法律的要求或授权下可以把该个人信息用于其他目的，为刑法的执行或者被判处的财产处罚，或者为了保护公共财产等目的，而将该个人信息用于其他目的有必要性，该个人信息的使用与其取得的目的直接相关。②Australia, Privacy Act, Information Privacy Principles (IPPs), 1988, Principle 10, “Limits on Use of Personal Information”.关于个人信息利用的时间限制也有例外情况，这主要是出于对特殊公共利益的考量。比如，荷兰《个人数据保护法》规定，个人信息不能以超出收集和处理该信息的必要期限仍然能够被识别的方式予以保存；但如果是出于历史、统计或科学的目的，而且有责任的一方已经作出必要的保证，该信息的使用仅以此为目的，可以不受前款的必要期限的约束。③Netherlands, Personal Data Protection Law, 1998, Article 10.

（三）关于个人信息交易问题

在信息社会里，个人信息是一种重要的资源，在市场资源配置中具有重要地位。个人信息交易，指的是个人信息本人与相关的市场主体达成合意，个人信息本人获取相应的报酬，同时许可对方利用自己的个人信息的行为。个人信息交易是最大化发挥个人信息效用的一种市场行为。个人信息交易是个人信息商品化权的一种体现，越是有经济价值的个人信息，越能够成为交易的对象。个人信息交易必须经由个人信息本人的知情同意，未经个人信息本人知情同意的个人信息买卖行为是侵害个人信息权利的违法行为,要承担侵害个人信息权利的法律责任。个人信息交易本质上是一种市场行为，因而主要依靠市场机制进行调节，国家在个人信息交易中主要起到宏观调控和监督管理的作用。

刘德良教授认为，个人信息交易是个人信息财产权实现的方式之一。个人信息交易主要以许可使用的方式进行，即个人信息本人通过许可他人使用其个人信息而获得报酬。根据许可使用的权限，个人信息许可使用可分为普通许可使用、独占许可使用和排他许可使用。个人信息交易分为初级市场和二级市场：初级市场是基于完成个人信息交易目的而由个人信息本人与交易方对个人信息收集、处理、传输与利用等事项达成协议的市场，即个人信息本人为了进行交易或订立合同的目的而向商家出售个人信息的市场；二级市场是建立在对个人信息的二次利用基础之上的市场，任何超出原来收集个人信息目的外的对个人信息的利用行为都属于二次使用。④刘德良：《论个人信息的财产权保护》，人民法院出版社2008年版，第135～138页。现实中个人信息交易的初级市场特别是二级市场在个人信息本人不知情的情况下收集、处理、传输与利用个人信息的情况大量存在，因而对于个人信息交易行为需要国家专门的个人信息管理机构加强监管，对于信息资源公司需要建立严格的准入制度，对于在个人信息市场中侵害个人信息权利情节严重的行为要追究刑事责任。

六、特殊个人信息保护的法律制度

（一）特殊种类个人信息的保护

1.敏感个人信息保护制度

认定一项个人信息是否为敏感个人信息具有相对性，与社会发展水平、文化传统、价值观念、个案实际等因素相关。比如，普通人的经济收入状况信息，这在西方国家通常是忌讳问及的敏感个人信息，立法也往往禁止收集、处理、传输与利用这类个人信息，但在东方国家则未必或尚未成为一种忌讳问及的个人信息，直接或间接打听一个普通人的经济收入状况是司空见惯的事情。可以说，判定一项个人信息是否为敏感个人信息并没有统一的标准，要结合特定的时空背景，结合个案的具体情况来分析、判断。正如斯密缇思（Spiros Simitis）教授所言，敏感性不是个人信息从来就有的特性，任何个人信息根据信息处理的目的或具体情形都可以具有一定的敏感性。①Spiros Simitis, Revisiting Sensitive Data, available at http://www.coe.int/t/dghl/standardsetting/dataprotection/Reports/Report_Simitis_1999.pdf.比如，欧盟《个人数据保护与流通指令》将种族、政治观点、宗教信仰、健康状况、性生活和刑事判决记录等界定为敏感个人信息，德国、法国、瑞典、丹麦、奥地利等国的个人信息法立法中与此界定相同，但葡萄牙、卢森堡、荷兰等国将个人遗传基因信息作为敏感个人信息保护的范围，而法国、丹麦、芬兰、荷兰、葡萄牙等国还将纯粹的私人事项、个人信用信息、负债信息当作特殊保护的个人信息。

敏感个人信息与个人的私生活、人格尊严关系最密切，因而“敏感”，也因其“敏感”，而一旦被泄露，就有可能导致相关主体受到歧视或不公正对待，进而导致个人的生活、工作、学习与人格尊严受到严重伤害。为了对敏感个人信息进行严格保护，个人信息法的基本规则是禁止收集、处理、传输与利用敏感个人信息。对此，联合国《个人数据档案指针》规定，除了法律规定的例外情况，对于有可能引起不法的、武断的、歧视的信息，包括关于种族和人种起源、肤色、健康、性生活、政治观点、宗教、哲学和其他有关信仰方面或是作为一个协会或工会会员等信息，都不应当被编辑和保存，只有在世界人权法案和其他相关的保护人权和禁止歧视的文件中明确规定有限制时才能使用。②UN, Guidelines for the Regulation of Computerized Personal Data Files, A.5.

在特定的情况下，收集、处理、传输与利用敏感个人信息的规则包括：

第一，目的明确、合法、合理。这里的目的或事由包括：个人信息本人的重大利益，法律特别规定的利益，重大公共利益。比如，欧盟《个人数据保护与流通指令》规定的事由包括：国家安全，防御需要，公共安全，对刑事犯罪或违反所规定的职业道德防范、调查、侦查和诉讼，成员国或欧盟重要的经济主体或其他个人的权利和自由保护。③EU, Directive 95/46/EC, Article 13.再如，荷兰《个人数据保护法》规定的事由包括：为国家安全，为防止、查明、追捕刑事犯罪，为国家或其他公共机构的重大利益，为个人信息本人或其他人的权利和自由。④Netherlands, Personal Data Protection Law, 1998, Article 43.

第二，个人信息本人以书面形式明确表示同意。对于非敏感个人信息的处理，个人信息法一般要求个人信息本人明确表示同意即可，但对于敏感个人信息的处理，则要求个人信息本人不仅明确表示同意，而且还往往要以书面形式为要式，甚至还有更加严格的限制条件。比如，希腊《处理个人数据的个人保护法》规定：即使个人信息当事人已经以书面形式表示同意，但如果以违法或违反诚信原则的方式获得此同意，仍不得对敏感个人信息进行处理。①Greek, Law on the Protection of Individuals with Regard to the Processing of Personal Data, 1997,Article 7.当然，对于个人信息本人的同意也并非绝对没有突破，在没有获得个人信息本人的同意时，为了个人信息本人的利益所需的同意，或者无法期望个人信息管理者能够获得个人信息本人的同意，或者个人信息本人不合理地保留了同意，为了保护个人信息本人或其他人的重要利益而必须进行信息处理时，可以对敏感个人信息进行处理。②See UK, Data Protection Act, 1998, Schedule, 1.

第三，个人信息相对人的安全保障承诺。鉴于敏感个人信息一旦遭到泄露对个人信息本人可能造成的严重后果，个人信息法规定，即使有关主体被允许处理当事人的敏感个人信息，但还要加上一把“安全锁”（safety lock），即要事先承诺在处理敏感个人信息的过程中必须保证该信息的安全，这可以说是对基于各种理由处理敏感个人信息的最后一道屏障。

2.未成年人个人信息保护制度

法律意义上的“未成年人”是相对于“成年人”的一个特定概念，在中国是指未满1 8周岁的公民。③《中华人民共和国未成年人保护法》第2条规定：“本法所称未成年人是指未满18周岁的公民。”据此，未成年人的个人信息是指未满1 8周岁的自然人的个人信息。一般而言，未成年人尚未成为完全行为能力人，其行为能力有限，其个人信息等权利更容易受到侵害。为了更好地保护未成年人尤其是儿童的身心健康、合法权益，保证其健康成长，需要对其个人信息进行特殊保护。

专门针对未成年人个人信息保护的立法例尚较少，对未成年人个人信息进行特殊保护的制度往往主要集中在未成年人保护法律中，或分散在其他相关法律中。比如，2006年修订的《中华人民共和国未成年人保护法》第5条规定了“尊重未成年人的人格尊严”的原则；第6条规定：“保护未成年人，是国家机关、武装力量、政党、社会团体、企业事业组织、城乡基层群众性自治组织、未成年人的监护人和其他成年公民的共同责任”；第3 9条规定：“任何组织或者个人不得披露未成年人的个人隐私”；第5 8条规定：“对未成年人犯罪案件，新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料。”《刑法修正案（八）》中，规定了部分免除未成年人的前科报告义务，即犯罪的时候不满18周岁，被判处5年有期徒刑以下刑罚的，在入伍、就业时免除前科报告义务。

对未成年人个人信息的保护，相关主体负有特定的义务：

第一，教育机构的义务。由于未成年人一般都在学校等教育机构读书接受教育，大部分时间学习、生活在教育机构，而学校掌握着充分的未成年人个人信息，因而教育机构首当其冲地负有保护未成年人个人信息的义务。教育机构应当避免学生不宜公开的信息遭到泄露，更不能将学生的个人信息用于该机构相关教育活动以外的目的。比如，成绩排名对未成年人的成长很不利，因而为了保护未成年人的身心健康，禁止公布成绩排名。2011年，“绿领巾”事件④宋飞鸿：《为啥给我娃戴绿领巾》，http://hsb.hsw.cn/2011-10/18/content_8180550.htm，华商网，2014年11月18日访问。、“走廊考试”事件⑤艾永全、王剑、华山：《江西进贤“差生”走廊考试？校方称教师缺爱心》，http://www.chinanews.com/edu/2011/11-09/3449733.shtml，中新网，2014年11月9日访问。，将所谓“好学生”、“差学生”贴上“标签”，等于是泄露了相关未成年人的学习状况、在校表现等个人信息，造成对学生的差别对待，引起舆论哗然，遭到社会普遍批评。

第二，教育管理机构、考试机构的义务。教育管理机构负有留存、妥善保管学生学籍等档案信息的职责，因而对学生个人信息档案保管过程中的制度要严格明确。对于考试机构，由于其掌握着考生的报名、成绩等重要信息，尤其要妥为保管和保密，避免社会机构非法获取考生个人信息进行各种宣传或业务推广活动（比如鱼龙混杂的民办学校的招生活动）。否则，如果违反保密义务而泄露机构掌握的个人信息，相关机构及其主要责任人和其他责任人员要承担行政责任甚至刑事责任。

第三，媒体在新闻报道中负有特定的义务。在报道涉及未成年人个人信息隐私的事件时，应当进行隐名、图像马赛克处理，并须对报道稿件进行前置审核，避免使未成年人再次受到伤害。因媒体从业者的不慎或无知，在相关报道中写出了未成年人的姓名，或者虽未点名但通过泄露的个人信息，足以识别相关的未成年人，使得周围的人群能够通过报道认定未成年人是谁，不论该未成年人是受害者还是罪犯，这样的报道都会对被报道的未成年人个人信息权利造成直接侵害，并间接侵害未成年人的其他人身权利。①蒋坡：《个人数据信息的法律保护》，中国政法大学出版社2008年版，第348页。

第四，网络经营者的义务。未成年人在接受网络服务时，缺乏必要的自我保护与防范意识，在注册账号时，往往毫无保留地将自己的全部真实个人信息填写、提交上去，结果不仅直接泄露了自己的个人信息，还可能间接泄露了家长或监护人的个人信息。有时，未成年人在网络游戏或中奖活动的诱惑下，容易向电子商务网站透露个人信息和家庭财产状况，而商家获得这些信息是开展营销活动的重要资源。②[美]艾伦、托克音顿：《美国隐私法：学说、判例与立法》，冯建妹等编译，中国民主法制出版社2004年版，第242页。因此，对于网络经营者收集未成年人个人信息的行为要加以严格限制，一般应在未成年人的监护人知情、同意的情况下方可为之，对其收集个人信息的范围要进行限制，不得收集与账户登录、维护无关或关系不大的其他个人信息，尤其不得收集敏感个人信息，不得通过cookies等软件记录网上活动。

为保护儿童及其家庭面临的来自互联网的个人信息安全威胁，美国制定了专门的《儿童在线隐私保护法》，其目的是为了使商业网站难以在家长或监护人不知情和不同意的情况下直接从1 3岁以下的儿童处收集个人信息。该部法律还限制商家将提供个人信息作为获得奖品或参加比赛的条件。网站可因答复儿童的要求，一次性地收集电子邮箱地址（无其他信息），但事后必须删除该邮箱地址信息；如果儿童通过其电子邮箱地址要持续接收来自网站的邮件，则必须取得家长许可。③See US, Children's Online Privacy Protection Act of 1998, SEC. 1303.网站经营者应当就要收集的儿童个人信息的种类、方法等向家长提供说明，家长有权拒绝网站经营者收集与利用相关的个人信息。该部法律授权联邦贸易委员会执行其规定，联邦贸易委员会可对侵害儿童个人信息的行为采取执法行动并实施民事制裁。④See US, Children's Online Privacy Protection Act of 1998, SEC. 1306.

（二）特殊领域的个人信息保护

对于特殊领域的个人信息保护，各国家或地区一般通过统一的个人信息法以外的单行法律、法规或行业自律规范进行调整。这些特殊领域包括电子政务、电子商务、电信、医疗、金融、信用等领域，这里择要进行论述：

1.电子政务领域

电子政务是政府信息化、高效办公的产物，内容包括政府部门成员从网上获取信息，将政务信息在网上公开，政府与公众通过网络沟通、处理公务等。在公务活动中强调个人信息的保护，是公务部门依法行政的要求，但由于电子政务出现的时间较晚，同时，电子政务领域的个人信息规范涉及到个人信息保护与政府信息公开的博弈，因而，不少国家或地区的个人信息法立法对电子政务领域个人信息保护缺少专门规范，但有些国家如美国、加拿大、匈牙利等也对此有所涉及。比如，匈牙利1992年《个人数据保护与公共利益数据披露法》第一部分明确提出，该法的宗旨是为了保证每个人既能控制本人的个人信息，又有权获取公共信息；第八部分之一规定，如果个人同意，或者法律允许并且在考虑了每个人个人信息权利的情况下，信息处理符合条件，则信息可以转交，不同的信息处理形式也可以转换。

当然，可以认为，电子政务领域的个人信息规范问题仍属于对公务部门个人信息保护的规范问题，因而，统一的个人信息法中对公务部门收集、处理、传输与利用个人信息的规范，同样适用于电子政务领域，只不过还应当结合电子政务的特点进行规范的细化，从而得以避免强大的公务部门利用公权力造成对个人信息权利的侵害。

2.电子商务领域

电子商务日益成为信息社会的商业基础架构，通过电子商务进行的商务交易额不断攀升。但同时，在电子商务领域，个人信息权利也很容易受到侵害，因而在电子商务领域，尤其需要加强个人信息保护。电子商务领域个人信息保护的基本规则是：电子商务企业既要保护用户的个人信息免受第三方非法收集、处理、传输与利用，同时自身也不得滥用用户的个人信息。

对此，作为世界上电子商务最为发达国家的美国，针对电子商务中的个人信息隐私保护，已经发布了多项法令，包括1999年的《在线隐私权利保护法》（Online Privacy Protecion Act）、《消费者互联网隐私保护法》（Consumer Internet Privacy Protection Act），2000年的《消费者在线隐私与披露法》（Consumer Online Privacy and Disclosure Act）、《消费者互联网隐私保护加强法》（Consumer Internet Privacy Enhancement Act）等。其中，美国《消费者互联网隐私保护加强法》第二部分规定，电子商务经营者在做出收集个人信息行为前，要向个人发出通知，通知的形式要清晰、醒目、易懂，通知的内容要包括收集个人信息的目的、用途，对个人信息可能会被用于商业目的而转卖、公开或其他用途，要在通知中告知个人信息本人的选择权；对于可以公开的个人信息，只能是与该电子商务经营者提供的商品或服务有关的信息，或者其他依法律规定可被公开的信息，否则，其他任何公开个人信息的行为都构成对个人信息本人权利的侵害。

电子商务企业如果不能使公众信任其保护个人信息的信息系统的可靠性，就很难获得持久的成功。而为了不断提高公众对信息系统可靠性的信任，电子商务企业应当采取提高信息保密技术、防御恶意侵入系统等诸项安全保障措施。①See Kenneth M. Siegel, Protecting the Most Valuable Corporate Asset: Electronic Data, Identity Theft,Personal Information, and the Role of Data Security in the Information Age, Penn State Law Review, Vol.111:3 2007, p.788.对于电子商务网络企业来讲，除了要加强对顾客个人信息保护外，自己也不得擅自利用顾客登记的个人信息进行广告宣传。但在中国大陆，由于缺乏相关的法律规范，现实情况是，来此淘宝网、当当网等大型电子商务网站的促销手机短信、促销邮件经常“骚扰”，且尚未提供给用户选择拒绝的权利。

3.电信领域

电信，是指利用有线、无线的电磁系统或光电系统，传送、发射或接收语音、符号、文字、数据、图像及其他任何形式信息的活动。电信业务是电信运营商以收取服务费为条件，向公众提供的各种电信服务项目。电信领域的个人信息保护主要在于保护通信的私密性，非经法定程序，非为国家安全、公共利益、追查犯罪的需要，不得对个人的通信进行监听、监视或查询通话记录信息。电信领域的个人权利很多是个人隐私问题，而其中的个人电信账单问题则主要是个人信息问题。电信明细账单可以使用户对电信服务提供者收取的费用进行核实，但同时也对用户的个人信息隐私存在安全风险，因而，为了保护用户的个人信息隐私，应当采取电信服务的个人信息隐私保护措施，比如允许匿名使用电信服务或完全属于私人使用通信服务的支付方式，或者出于同样目的，可以要求从电信明细账单的被叫号码中屏蔽某些数字。

为了加强社会管理，打击利用电信渠道进行犯罪活动，中国大陆地区在2010年规定手机号码实行实名登记，但从目前的实行情况来看，效果远不理想。笔者认为，在实行实名登记的同时，如何加强对个人信息的保护也应当同步提上日程。还有，在中国大陆一些地区，一些移动通信运营商还利用具有一定规模的手机用户平台，发展自己的广告业务，甚至成立“广告部”，向不特定的用户群发商业广告。这显然是侵害用户个人信息权利的违规行为，但是由于相关规范的缺失，这种不当的运营行为并未完全得到遏制。

4.医疗领域

医疗领域的个人信息保护往往由相关的医事法律加以规范，尤其是涉及个人隐私的敏感医疗信息，更要加强保护，而其基本规则是“为患者保密”。比如，《中华人民共和国传染病防治法》规定，疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料，卫生行政部门以及其他有关部门、疾病预防控制机构和医疗机构因违法实施行政管理或者预防、控制措施，侵犯单位和个人合法权益的，有关单位和个人可以依法申请行政复议或者提起诉讼。而《医师法》、《医疗机构病例管理规定》等规范性文件对诊疗活动中涉及个人信息的问题也均有所规定，比如，《医疗机构病例管理规定》对有关病例保管、编号、使用、传递等都进行了具体规定，在企业、事业、保险单位等查询病历时，特别注意保护患者利益，医疗机构有权要求申请者办理相关手续、提供相关证明后再予以复印或复制。

值得一提的是，在敏感的传染病如艾滋病检测领域，关于是否实行实名制存在争论。2011年8月，广西壮族自治区公布了《艾滋病防治条例（征求意见稿）》，其中第28条规定艾滋病检测实行实名制，要求检测者向检测机构提供真实姓名、身份证号、住址等个人信息，而检测机构应为受检测者保守个人信息秘密，未经本人或其监护人同意，不得公开其具体个人信息。此举引起了一定的争论。支持者认为，实行实名制有利于艾滋病的防控，有利于公共卫生安全，有利于对感染者的随访等。卫生部在2012年2月初举行的新闻发布会上表示支持艾滋病实名检测。但反对者认为，实行艾滋病实名检测不利于保护个人敏感信息，可能会导致有过高危行为者逃避检测，造成“倒下（发病）一个，查出一个”的后果。广东省疾控中心表示暂不改变艾滋病匿名检测。①任珊珊：《省疾控：近期仍匿名测艾滋》，《广州日报》2012年2月13日。笔者认为，是否存在艾滋病感染的个人信息既是医疗领域的个人信息保护问题，也是敏感个人信息保护的问题，而二者的规则存在重叠，个人信息法对敏感个人信息保护的规则更为严格，应当优先适用对敏感个人信息保护的规则，仅当存在重大公共卫生安全风险或基于他人重大利益考量时，个人信息本人以外的主体才被允许获知相关感染者的个人信息。上述争论体现了公共卫生安全利益与个人信息保密权利的博弈，而当艾滋病对公共卫生安全利益造成严重威胁时，采取限制个人信息保密权利的一定措施未尝不可，但必须要完善医疗机构的个人信息保密制度，否则不能盲目推行实名制检测，而即便是采取实名制检测，也不宜采取强制实名制检测。更何况，艾滋病防治措施很多，没有理由相信实名制检测的作用会很大，而适得其反的可能也存在。①国际通行的做法可以参考，即让检测服务越来越普遍，在很多民间健康服务组织、社区诊所都能够获得匿名免费检测，甚至在药店或网上能够买到简便廉价的自助检测试纸。

5.金融领域

金融领域包括银行、证券、保险、信托、担保等行业，该领域与个人财产流转关系密切，相关账户个人信息的安全关系到个人财产的安全。金融领域往往采取实名制开户，账户上的个人信息主要包括：账户信息，即相关账户上的款项、收支、交易等记录；账户关联信息，即账户所有者与账户关联密切的个人基本信息，如身份证号码、联系方式、工作单位、职业状况乃至作为担保人的亲属、朋友等更多的信息。这些个人信息往往都是非常重要的个人信息，因而，各国家或地区对金融领域的个人信息保护，往往都制定了符合该行业特点的较为严格的专门规范，基本规则是严格保守账户个人信息秘密，仅在特定情况下有例外。比如，美国197 0年颁布了《银行保密法》，规定了只有在特定的情况下，中央政府在调查、防止金融犯罪的前提下，才能向金融机构提取相关客户的个人信息。而美国1978年又颁布了《金融隐私法》，限定联邦调查机构调查客户个人信息的权力在金融犯罪领域，并不得将相关的个人信息传递给其他公务部门。同年，美国还通过了《财务隐私权法》（Right to Financial Privacy Act），规范金融机构向联邦部门披露个人财务信息的行为，即要有明确的程序，确认了客户对其银行记录享有隐私利益，并对这些记录的披露享有知情和质疑等特定的权利。②[美]艾伦、托克音顿：《美国隐私法：学说、判例与立法》，冯建妹等编译，中国民主法制出版社2004年版，第234页。而在作为世界级金融中心的瑞士，早在19 34年就制定了《银行保密法》，规定银行职员不得过问客户隐私，不得向任何人披露客户存款数额与私人机密信息。但由于2001年美国“9·11”事件的影响，国际恐怖主义、跨国犯罪对严格保守个人金融信息带来挑战，瑞士银行业坚持的严格保密客户个人信息的基本规则有所松动，允诺在犯罪证据确凿的情况下，在特定案件中，向有关国家提供相关的个人信息。③刘军：《瑞士银行：短期内不会实行“实名制”》，《光明日报》2004年8月6日。

值得关注的是，在中国一些城市的街头，有时会出现一些现场办理银行卡（包括借记卡、信用卡）的不规范现象。这些现场办理银行卡的，有些是银行工作人员，有些则完全是从事拓展信用卡业务的非银行工作人员，其办卡过程中对个人信息的收集行为极不规范，很不利于个人信息的安全。而中国人民银行发布的《信用卡业务管理办法》第3 4条规定：个人信用卡的申领应按规定填制申请表，连同有关资料一并送交发卡银行，对符合条件的，发卡银行为申领人开立信用卡账户并发给信用卡。此办法尚未明确规范收集、处理、传输与利用个人信息的行为，不利于银行业对个人信息的严格保护。

6.信用领域

在信息社会里，人们的很多社会活动都留下了电子记录，是否讲求诚信影响到以后的各项社会活动能否顺利进行。因而，个人信用信息日益显得非常重要，但个人信用信息并非随意可以公开，如何取得与披露个人信用信息涉及到个人信息法的特殊规范。总体来看，在信用领域，对个人信息实行严格保护的基本规则，限制向外披露的第三方的范围，对敏感信息的披露须个人信息本人的书面明确同意。

在个人信用领域个人信息保护的开端是1 9 7 0年美国国会通过的《公平信用报告法》（Fair Credit Reporting Act），其宗旨是禁止信用报告机构滥用其掌握的个人信息，但允许披露的适用范围很广，对信息的隐秘性不能起到足够的保护作用，比如，有法院的命令或个人信息本人的书面同意，信用报告机构即可披露个人信用信息。①US, Fair Credit Reporting Act, 1970, § 608.19 91年，美国发生了侵害消费个人信息权利的“莲花事件”（The Lotus Case）：莲花信用报告公司将大量美国家庭的相关信用信息出售给商家，导致众多家庭被商家的营销行为骚扰，引发了人们对个人信息隐私问题的关切。②See Daniel Mendel-Black & Evelyn Richards, Peering into Private Lives; Computer Lists Now Profile Consumers by Their Personal Habits, Washington Post, Jan.20, 1991, at H1.而美国1996年《消费者信用报告法》（Consumer Credit Reporting Act）对上述《公平信用报告法》进行了重大修改，包括：扩大了“消费者报告”范围外的金融信息；对信用报告机构在任何情况下可提供信用报告或调查性报告进行了新的限制；确立了针对招揽客户的信用报告事前审查的新规则；为确保商家和贷方向消费者报告机构提供的信息的准确性，赋予他们新的义务；提高了民事和刑事惩罚的力度；对雇主获得雇员信用报告中的敏感信息问题作出了规定，要求必须有雇员的书面许可。③[美]艾伦、托克音顿：《美国隐私法：学说、判例与立法》，冯建妹等编译，中国民主法制出版社2004年版，第230～231页。丹麦《个人数据处理法》第五部分、第六部分用较多条款分别对向征信机构披露欠公共机构债务的数据、征信机构处理个人信息的行为进行了规范。