欧盟和美国关于信息隐私保护的比较研究

【法宝引证码】 CLI.A.1154516

　　自1890年美国哈佛大学法学院教授Louis　Brandeis在《哈佛法律评论》上著文第一次提出隐私权的理论以来，迄今已有百多年的历史。然而由于隐私权深深地植根于社会的政治经济文化法律传统中，所以世界上各国关于隐私权的理论实践差别明显[1]，对于隐私权的定义也无较统一的说法[2]。但是对于隐私权所包括的范围已有了比较统一的认识。一般来说，隐私权涵盖四个部分的内容：人身隐私（bodily　privacy）、通信隐私（privacy　of　communication）、场所隐私（territorial　privacy）和信息隐私(information　privacy/data　privacy)。
　　关于信息隐私权最普遍的看法是认为信息隐私权是一种“信息的自决权”(information self-determination)。[3]Alan Westin进一步将信息隐私权解释为“个人、集体、组织的自由决定与其自身有关的信息什么时候，通过什么方式，以何种程度传递给其他人的权利”。[4]综合来说，信息隐私权是个人信息主体对于其个人信息的收集、存储、传播、加工处理的控制权利。
　　隐私权产生之初及随后的相当长一段时间内，关于隐私权的研究和实践主要集中于前三类隐私范围内。[5]但是自20世纪70年代以来，随着计算机技术的发展，个人数据可以轻易地以数字模式存储、收集，已开始对个人信息隐私的保护提出了挑战。随着信息时代的到来，全球因特网的普及应用，将信息的传播速度和广度无限地提高拓展。时至今日，电子商务的全面展开要求个人的高度参与，使得个人信息成为全球电子商务和信息活动中不可或缺的因素。为此，各国先后制定信息隐私保护的法律。此中又以欧盟和美国的保护最具代表性，本文试图从比较法的角度出发，对这两个世界上最发达地区（国家）对信息隐私的不同保护模式进行比较研究，并结合“9·11”恐怖事件后的变化，探讨信息隐私权保护后所隐藏的不同政策意义。
　　一、法律保护模式
　　欧盟
　　欧盟对信息隐私的保护可以从两个层面来看：首先是各个国家的国内立法，然后是欧盟所作出的努力。在国内立法中，瑞典率先制定了《信息保护法》(Data Protection Act)。到今天，所有欧盟国家都有了相应的个人信息保护法。这些国家的立法有着明显的相似之处：覆盖的范围很广，信息的收集、储存、利用、传播都要受到规范；适用于各种各样的个人信息，而少有种类的限制；对参与各种涉及个人信息的活动的主体一般有资格认证的要求等。
　　欧洲各国的国内信息隐私立法既有彼此相同的领域，但在保护的标准和政府职能等方面也存在难以融合之处。在欧洲经济一体化的带动下，信息隐私保护的制度也开始趋同。1981年欧洲理事会制定了《保护自动数据信息处理中的个人数据信息公约》(Convention for the Protectionof Individuals with regard to Automatic Processing of Personal Data)。这个公约提出了一系列重要的信息隐私保护的原则：如个人信息必须公正（fair-ly)地获得和处理；只能为合法的目的存储和利用，这种目的必须是充分、相关和不过分的（adequate, relevant, not excessive) ;个人信息的存储的时间不得超过必要的限度。[6]事实上，这个公约的后续效果并未能如公约起草者所预期的那样，为欧洲地区制定统一的信息隐私权标准[7]，欧洲地区关于信息隐私保护的标准仍然是参差不齐的。这种状况直到1995年时才有了实质性的变化。
　　自1992年《马约》缔结后，欧盟的一体化向更深层次迈进。各自为政的信息隐私保护状态引起了欧盟的高度关注。时至1995年，欧盟理事会部长会议通过了《欧盟数据信息保护指令》(Directive on the Protectionof Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，以下简称欧盟指令）。该指令于1998年生效。指令要求欧盟十五国出台达到指令所规定标准的法律来保护个人的信息隐私。[8]欧盟指令为欧盟构建了一个非常全面的个人信息的法律保护体系。指令涵盖的个人信息是“有关一个被识别或可识别的自然人的任何信息”[9]。不但包括文字信息，还包括图片、可视多媒体信息、声音记录等。而且指令的保护还延伸到已经死亡的可被识别自然人。指令规定了两个例外：其一，欧共体法律体系以外的事项，如涉及国家安全或刑事法律的事项；其二，有关的个人信息的处理是一个自然人纯粹私人性质的行为。[10]
　　1997年欧盟又制定了《电信领域内数据信息保护指令》(DirectiveConcerning Processing Personal Data and Protection of Privacy in Telecommu-nication Sector)。该指令针对电信业发展迅速和电信技术不断更新的情况，为个人信息隐私在电信领域内的保护提出了一个统一的标准。1997年的这个指令作为1995年指令在电信领域内的特殊延伸和补充，其适用和解释都不能脱离1995年指令的框架。
　　2001年欧盟还出台了规范欧共体的职能机构组织处理和传播个人信息的专门规章“Regulation on the Protection of Individuals with Regard tothe Processing of Personal Data by the Community Institutions and Bodies andOn the Free Movement of Such Data”。欧共体的职能机构的各种涉及个人信息的行为不属于各国国内法管辖，因而也不在指令覆盖的范围内。这个规章填补了原先两个指令所留下的空白。
　　综合来看，欧盟对个人信息隐私的保护包括了两个层次：各国的国内立法和欧盟建立的统一标准。虽然各国的国内立法各不相同，但欧盟的努力就已经代表着欧盟十五国对信息隐私的保护所认同的价值。两个指令、一个规章构成了整个信息隐私保护的法律框架[11]，其中又以1995年的指令为主导。这些法律涵盖的信息范围广，几乎不区分信息的种类，适用于各种有关个人信息的行为[12]，也没有部门的限制。因此欧盟的保护模式可以说是综合性的立法保护模式（comprehensive statutoryprotection）。

法小宝

　　美国
　　在信息隐私的保护方面，美国的情况较欧盟要复杂得多，这主要是缘于美国本身复杂的法律体制的影响。美国的信息隐私保护可以分为两部分：公共领域的法律保护（the public sector）和非公共领域的法律保护(the private sector)。前者主要是防止政府侵犯个人信息隐私权的行为，后者是政府行为之外对信息隐私权的保护。
　　（一）公共领域的法律保护
　　公共领域的法律保护是保护个人的信息隐私权免受政府行为的侵犯。对政府行为的限制，首先要看联邦宪法的规定。[13]美国宪法中没有明确的隐私权的表述，但是最高法院通过一部分的案例阐述了隐私权的内容，这主要涉及构成权利法案（the Bill of Rights)的一系列宪法修正案，有关信息隐私的主要是第14修正案。
　　1977年最高法院在著名的Whalen v. Roe案[14]中阐述了个人关于信息的隐私权。该案涉及对纽约州某一立法的质疑，该法规要求涉及州内一些药品的所开的处方必须有复印件提交给州政府。该案原告认为这一法规侵犯了病人的隐私权。最高法院的Stevens大法官在该案中将宪法所保护的隐私权的范围阐述为两部分：“独立作出某些重要决定的权利”和“个人保护其个人信息不对外公布的权利”。后者是Stevens大法官在宪法第14修正案的个人自由（personal liberty）的概念的基础上创造性延伸解释的成果，也是信息隐私权在宪法体系中第一次比较明确的表述。但是这一权利同其他宪法性权利一样只适用于限制政府的行为，而且个人只能依赖该权利保护其个人信息不对政府公布（disclosure)，并不包括收集、储藏、利用、传播等行为，范围十分有限。除此之外，最高法院认为个人对信息的这种利益并不属于一种根本利益（fundamental inter-est)，所以信息隐私权在与其他价值如知情权、言论自由等相冲突时，信息隐私权往往不能得到有效保护。在上面提及的Whalen v. Roe案中，最高法院认为虽有宪法保护的信息隐私权存在，但它不属于根本利益，因此没有对纽约州的立法进行严格审查（strict scrutiny)，进而肯定该法规没有侵犯个人的根本利益。事实上，最高法院虽然创设了宪法中的信息隐私权，但从未依据该权利判定任何政府的规定或行为侵犯了公民的这种权利。[15]
　　总的来说，美国的联邦宪法为信息隐私权提供了一个有限的框架，仅仅限于针对政府的行为。所以可以说，宪法对信息隐私权的支持是非常小的。
　　在规制政府行为的公共保护领域，除了联邦宪法外，比较重要的就是两部联邦立法：《信息自由法》(Freedom of Information Act）和《隐私法》(Privacy Act)。《信息自由法》在美国社会中有着重要的地位，这部政府信息披露法案规定任何人都有权查阅所有联邦机构的记录。在这种公众知情权为主导的情况下，隐私权的规定往往是作为例外情况来出现的。《信息自由法》的九个豁免规定中有两项是保护隐私权的：第六个豁免禁止了侵犯隐私权的私人文件、医疗文件和其他的类似文件的披露。[16]。第七个豁免的（c）项禁止了导致侵犯个人隐私的为法律执行而进行的信息披露。 [ 17] 1974年的《隐私法》对政府机构处理个人信息的行为提出了以下的要求：只存储相关和必要的个人信息；收集信息要以信息主体的承受可能为限；准确和完整地保存各种记录；制定行政的和技术的措施来保护信息的安全性。[18]《隐私法》也限制信息的披露。[19]但这些限制是受制于FOIA的，即只要不在FOIA九个豁免规定内的信息，就必须适用FOIA予以披露。由此可以看出隐私权与其他权利价值的激烈冲突以及美国信息隐私权法律保护的不力状况。
　　除此之外，其他防止政府行为对信息隐私权侵犯的联邦法案还有1988年的“Computer Matching and Privacy Protection Act”和1994年的“Driver's Privacy Protection Act”。这些法案对信息隐私权的保护十分有限，适用的范围仅限于某一机构的某种信息，而且只是规范信息的传播和公布，对于信息的收集、存储、利用没有规定。
　　（二）非公共领域的法律保护
　　在不涉及政府行为的非公共领域内，信息隐私权的法律保护主要来自一些联邦法案和普通法中的侵权救济。在这一领域内，同样有很多联邦法案，不过这些法规都是专注于经济生活的某一方面或某一具体的行业，试图解决其中具体的隐私权问题。这种“目标途径”(targeted ap-proach)导致了分散的、不一致的法律保护状态。
　　这些联邦法规主要集中于四个领域内。1970年《公平信用报告法》(Fair Credit Reporting Act)、 1978年《电子

　　······
                                   【期刊名称】北大国际法与比较法评论