三种制度模式特点及启示

在信息隐私保护制度上，美、欧、中三种不同的制度模式体现了不同的特点，反映出各自不同的技术条件、文化背景和历史传统。其中，美国以限制本国政府的公共权力为灵魂，同时鼓励行业自由竞争；欧洲（尤其是欧盟层面）以保护与个人信息相关的个人基本权利为根本，在较长时间里都一直将公民个人的基本权利和自由摆在首位，近年来，其兼顾数据流动的趋势有所加强，同时出于国家安全和国家利益的考虑对跨国公司的防范力度明显加大；中国的制度更多地带有“维护国家安全和保障社会秩序”的特点，兼顾公共利益和个人权利，近年对数据处理的限制有所缓和。从互联网信息技术及其应用的发展程度看，技术上美国领先，应用上中国后来居上，与美国比肩，欧洲次之。这种格局与各国的信息隐私制度有着密切的关系。

限制政府的理念，贯穿于美国信息隐私制度的始终。对权力的怀疑和防范，是美国政治文化中的一个重要内容。美国第一部宪法意义上的法律性文件《联邦条例》第一条就规定，联邦的名称定为“美利坚合众国”，而即便是这样薄弱的结合，也只是在战争的危险威胁之下才得到各州的首肯。^[37]在美利坚民族看来，限制政府是保障个人自由最重要的方式。所以，美国的信息隐私制度，也主要以规范政府处理个人信息的活动和限制政府利用个人信息的权力为要旨。从《宪法修正案》中对言论自由和私人领域的保护，到《联邦通讯法》对政府监听权的否定，再到《隐私权法》对政府利用个人信息的限制，无一不是限权理念的体现。

“9·11”事件之后，美国开始奉行国家安全利益至上的原则。如果说贯穿美国信息隐私制度始终的限制政府，目的是为了保障个人自由，那么在“9·11”事件之前，国家利益至多也只是处于与个人自由相当的位置，并无更多的发挥空间。但是恐怖袭击的确在一定程度上改变了美国。按照洛克对政府起源及其职能的解释，“防止共同体以外任何人的侵犯”^[38]，是个人自愿放弃自然的自由状态而组成政治社会的原因之一。恐怖袭击使国家安全上升为美国社会的最高利益，《爱国者法案》能够在美国的宪政体制内通过，也就可以理解了。但这只是历史长河中的一小段，很快，政府权力的膨胀带来的对个人自由的威胁就被敏感的美国人意识到，各种旨在否定或修改这部法案的声音和行动都开始扩散，并最终取得了成功。美国的信息隐私制度又回到了限制政府这个基本原则上，以国家安全名义而存留的其他条款则是在审慎考虑后做出的必要保留，充分考虑了同个人自由之间的关系。

鼓励行业的自由竞争，是美国信息隐私制度的另一个特点。在这些制度中，不难看到美国人对待政治和商业问题在态度上的区别。通过成文法将政府的权力限制固定下来，是因为他们认为政府权力是个人自由的最大敌人，反映出殖民地通过独立战争建国所获得的民族心理。而在商业上，美国人则没有太多关于行业发展侵犯个人自由的体验，反倒是一直从商业的发达中享受着各种便利和好处。可以说，商业上的自由竞争，是美国式个人自由的题中之义。美国跨国公司的数量和赢利能力在世界上都算得上首屈一指，这种发达又让美国人获得了心理上的优越感。更重要的是，美国政府很清楚地认识到，本国商业的发展与技术水平同美国的国际政治地位息息相关，所以，美国在处理信息行业与消费者个人之间的关系上，主要采取行业自律的方式，政府的角色更多体现在组织和引导上，并无太多的强制性立法，更没有频繁的直接行政干预。在全球反恐的局势下，放松对商业的限制更加顺应美国政府的心意，在监听计划的实施中，分布在全球各地的美国互联网公司都算得上是一等功臣。

欧盟的个人数据制度针对一切主体，既包括政府和其他公共服务机构，也包括商业组织及个人。虽然在保护个人自由的目标上，欧盟政策的力度并不逊色于美国，但保护的方式是不同的。欧洲人关于第二次世界大战中纳粹势力调取个人信息，准确抓捕屠杀犹太人的惨痛记忆，^[39]使他们对个人信息保持着高度警惕。欧盟公布的每一部文件，都能看到保护个人信息的基本原则。正如《有关个人数据自动化处理之个人保护公约》（以下简称《1981公约》）在第一章明确表示的那样：“本公约的目的是确保缔约国领域内每个人，不论其国籍或住所，其权利和基本自由均受到尊重，特别是对于其个人数据进行自动化处理时，充分尊重其隐私权。”即使在《95指令》和《97电信指令》中有过对信息流动的鼓励，也只是价值平衡意义上的，并未对个人的信息权构成影响。在欧洲人看来，个人信息的保护将个人信息限制在信息主体手中，是对基本人权的保护，只要存在威胁的地方，都会做出事无巨细的规定，以期用严密的制度来堵住所有的漏洞。无论是政府还是商家，只要能够接触到个人信息，都一并成为制度规制的对象。

在这种对信息泄露的担忧中，自然会衍生出对境外传送的排斥，这是欧盟制度的第二个特点。随着互联网的普及，个人信息流动的范围扩展至全球。欧盟的制度以专章专条因应了这种变化：《95指令》指出，第三国保护水平的适当性应当根据与数据操作相关的所有情况来评定，应当给予特别考虑的因素包括数据的性质、操作目的、持续时间、数据来源国和最终目的地国、接收地的现行一般性和单行法律规定以及行业规则和安全措施；2000年通过的《关于欧洲共同体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》基本上沿用了这里的保护水平参考因素，除此之外，还需要满足“传输的数据仅允许用来执行控制人权限范围内的任务时”的条件，显得更为严格；虽然《1981年公约》只对缔约国内部的信息传输规则做了比较宽松的规定，但在其2001年的《附加议定书》中增加了跨境传输的规则，仍然采用的是“充分保护”原则。

在这种严格限制下，美国自然成为欧盟提防的重点对象。一方面，美国在技术和商业应用上都明显领先欧洲，在个人信息的收集上更是以欧洲为最重要的数据来源地之一。另一方面，美国的个人信息制度对商业几乎没有强制性限制，与欧盟的高标准之间存在明显的距离。尽管美欧在合作中做出了不少妥协和调整，但都因为技术力量以及民族价值观上的差异，双方仍然摩擦不断。在互联网环境中，单纯依靠立法来限制跨境流动可能难以取得理想效果。1997年和2002年通过的两部电信条例都没有专门规定跨境传输的问题，因为在公共通信网络这一技术条件下，跨国或跨境的意义都发生了一些改变。通信网络是跨国界的，信息一旦进入这张网，就不再受地理上的区域限制。在互联网信息传播的领域里，“全球村”的概念名副其实。

维护国家安全与保障社会秩序是中国信息隐私制度的重要目标。一方面，我国在早期立法中主要借鉴欧洲模式对公民的个人信息安全进行重点保护。面对个人信息泄露而导致的严重后果，我国采取系统性立法的方式积极应对，其中刑法的不断完善对个人信息滥用行为形成了一定的威慑。另一方面，随着数据价值的显现，我国立法也开始注意平衡个人信息安全与数据自由流动之间的关系。总体上看，在信息技术及其应用发展的推动下，我国的信息隐私制度经历了一个从主要模仿欧洲模式逐渐过渡到根据自己国情兼采各家之长的过程，并逐渐趋于完善。值得一提的是，我国通过推动平台主体责任制度的建立，发展出了一套独具特色的监管模式，实现了平台直接管理与政府间接监管的机制衔接。但是，我们的制度在内容安排上仍然是以宣示权利为主，在技术措施与行业标准的制定上稍显不足。

制度对个人基本自由的保护是原则性的，但并不意味着能够无视其他价值。限制政府之于美国，个人信息安全之于欧洲，都体现了西方制度保护个人基本自由的原则性。但个人信息利用制度的发展过程也告诉我们，社会关系中需要平衡的价值是多元的，在不同的历史时期，制度对这些价值的支持力度也会发生相应的变化。在“9·11”事件的打击下，集体安全上升至首要地位，即便是奉“个人自由”为立国之本的美国人，也自愿给政府权力的扩张让路；由于恐怖主义的全球化，即便是对个人信息安全极度敏感的欧洲人，也开始扩大政府在信息控制上的权力。集体利益与个人自由之间始终处于一种动态的平衡中。由于各种原因，我国的制度重视对社会安定团结的维护，同时在个人自由的发展上也取得了成绩。我们重视集体利益与个人自由的并重是正确的，但提升一个国家维护这两种价值的能力之关键，还在于技术和经济的发展，尤其是在互联网时代，威胁一国集体安全的因素呈现出更多的国际化，频频曝光的美国监听事件说明，信息技术上的领先与国家安全息息相关。

美、欧、中三种制度模式同信息领域竞争力之间的微妙关系，从实证层面说明了对信息流动的过分限制会阻碍本国信息领域的竞争力。根据公开场合发布的一组数据，截至2014年，在互联网信息技术的应用上，中国领先美国五年，领先欧洲十年。如果将这组数据同近几年我们在互联网领域取得的成绩联系起来，就不会觉得奇怪。在互联网这个新市场上，中国企业的“微创新”精神和技术转化能力为我们赢得了发展机会。如果要说国内信息制度与这种机会之间的关系，只能说制度中并不缺少限制信息产业发展的规定，但由于制度制定层面对技术的掌握有限，制度并未真正限制产业的发展。但从长远来看，信息产业的发展仍然需要制度的正面支撑。反观欧洲，个人信息利用制度最为严格，又配以行之有效的约束机制，还有较为成熟的法治环境，对行业限制的实际效果最大。加上欧洲民众排斥信息流动的心理倾向，他们在技术应用上的发展靠后。“波斯纳法官曾说：‘对于公平正义的追求，不能无视代价。’”^[40]而美国在制度上一向鼓励信息产业的发展。但这种格局很快会为各方认识到，相应的资源调整也会出现。我们应当抓住已有的先机，在制度上给予行业更多的正向激励。因为行业的繁荣与技术的领先总是相辅相成的，而这种繁荣和领先直接关系着国家的核心竞争力。

“在全球化时代，非传统安全威胁的空间距离已没有太大意义。”^[41]互联网上的信息传播没有国界的限制，以国内法或者区域法的方式限制信息的跨国、跨境流动是不够的。互联网世界中的规则制定者，必然是信息技术的掌握者，谁能在技术上领先，谁就掌握了信息世界的主导权。从国家战略的角度讲，国内法的任务应该及时地转移到促进和保护本国信息产业的发展上来，以此争取技术上的领先和国家安全上的保障。

这是一个极速变化的时代。信息技术、互联网应用的高频率更迭换代，也直接带来了法律制定及其执行方面的复杂变化。从长期的历史发展过程来看，美、欧、中的信息隐私制度各有特点，但在最近两三年里，原本风格各异的三种制度模式却出现了一些共同的趋势性变化，主要体现在以下几个方面：

首先，各国都将本国的国家安全放到了更突出的位置。斯诺登事件之后，反应最为激烈的当属“重灾地”欧洲。斯诺登爆料美国监听丑闻之后不到半年时间，欧盟委员会便于2013年11月针对“安全港”提出了若干条建议。两年之后的2015年10月，欧洲法院宣布“安全港”在施雷姆斯无效，开始了对原有制度的改变。2016年2月，美国与欧盟就“隐私护盾”（Privacy Shield）达成协议，随后由欧盟委员会公布了相关文件。2016年8月，欧盟方面宣布美国公司可以开始签署该协议。“隐私护盾”对“安全港”的取代，意味着美国互联网公司原来可以自由转移欧洲公民个人数据的历史结束了，代之以包含了多项原则和具体责任义务的隐私保护制度。在防范本国数据随意转移方面，我国《网络安全法》也明确规定在境内收集的个人信息和重要数据必须在境内保存。

其次，更加重视从系统安全、设施安全上保障网络安全。2016年7月，欧洲议会正式采纳《网络与信息系统安全指令》（Directive on Security of Network and Information Systems，简称NIS指令）。该指令旨在于欧盟范围内实现统一的、较高水平的网络与信息系统安全。同时期我国也出台了《网络安全法》，从基础设施、标准体系、网络运行以及信息内容等方面对网络安全的保护进行了全方位的立法安排。在这里，作为内容安全的个人信息处理问题与设施和系统安全是放在同一部法律中的，这与我国没有单独的针对个人信息保护的系统性立法有关。需要指出的是，欧盟的NIS指令中并未涉及关于个人信息的内容安全，内容安全主要由以《一般数据保护条例》为代表的其他法律作系统调整。与之相似的，美国于2015年也通过了《网络安全法（2015）》（Cybersecurity Act of 2015），主要关注网络层面的安全，防止和避免对网络的攻击、入侵和窃取等行为，而属于隐私范畴的个人信息安全则由《隐私权法》等法律作有针对性的保护。但立法上无论是分开还是合并保护，美、欧、中都已经颁布了专门的网络安全法，体现出共同的战略着眼点。

再次，都意识到了数据利用对于本国信息产业发展的重要性。美国对产业发展的支持力度是一贯的，数据自由流动在美国的信息制度中一直都占有比较重要的位置。但欧洲和中国却是在最近几年才开始认识到和正视数据流动的价值。欧洲的信息制度一直是以“严格保护个人数据”著称，即便有关于数据流动自由的规定，也主要是补充意义上的。但是在最近几年，欧洲在保护数据流动自由方面有了明显的加强。欧盟《一般数据保护条例》第一条便声明其主旨在于保护个人权利和数据流动两个方面；德国内政部出台了数据保护法修订草案，规定如果信息披露严重损害企业的商业活动可以不用告知用户其哪些数据被收集。就中国而言，在信息领域立法的前期阶段，主要模仿和借鉴了欧洲的做法，尤其是对个人信息安全的严格保护。在经历了立法执行效果不佳、数据战略浪潮以及斯诺登事件等过程之后，中国在数据流动的限制方面开始有条件地逐步打开通路。我国《网络安全法》中将除去识别性之后的个人信息作为用户同意制度的例外，将“不得出售”改为“不得非法出售”，这些细小的变化，却释放出中国信息制度开始在方向上进行调整的重要信号。值得指出的是，我国《网络安全法》在总则部分即明确指出：“国家坚持网络安全与信息化发展并重。”

最后，很重要的一点，就是不论是采取哪种制度模式的国家或地区，都不约而同地对个人隐私的保护给予了更多的制度支持。在政府联手互联网企业对个人进行广泛监听的背景下，各国也开始了捍卫个人基本权利的斗争。欧洲人权法院大审判在Zakharov诉俄罗斯一案中，法官们一致认为俄罗斯对移动通话的秘密监听违反了《欧洲人权公约》第8条。英国议会委员会中的科学和技术委员会、情报和安全委员会以及联合委员会三个委员会对英国政府的《调查权力法案》提出了诸多批评和建议，主要集中在透明度、司法监督和权力合理性问题等方面。《调查权力法》又称《监听者宪章》，由于它要求英国国内所有的互联网服务提供商必须在保存用户记录达到一年时间而备受争议。欧洲法院最新的一项裁决判定其无效，意味着不受欧盟承认。根据媒体报道，欧盟将进一步强化个人隐私保护，准备将WhatsApp、Skype等互联网通信服务商也纳入政府监管之下。美国联邦贸易委员会宣布，智能电视制造商Vizio已同意支付220万美元和解一桩与电视数据收集有关的案件。美国众议院投票通过《电子邮件隐私法》，规定执法部门将需要得到法院颁布的搜查令后，才能获准访问储存在第三方的时间超过6个月的电子邮件或者其他数据。该法案相当于对1986年推行的《电子通信隐私法》的内容进行了更新。之前的《电子通信隐私法》，对不同时限的数据提供了不同的保护，超过180天的个人电子邮件或者储存在云端的数据，执法部门不需要法院颁发的搜查令就可以直接获取。新的《电子邮件隐私法》对个人电子邮件和其他数据的保护没有了时限的区别。支持该项法案的众议员认为，《电子邮件隐私法》弥补了之前法律的漏洞。

[1] 马克思，恩格斯.马克思恩格斯全集：第4卷［M］.北京：人民出版社，1958：121-122.

[2] 刘易斯.批评官员的尺度［M］.何帆，译.北京：北京大学出版社，2011：12.

[3] 刘易斯.批评官员的尺度［M］.何帆，译.北京：北京大学出版社，2011：12.

[4] 刘易斯.批评官员的尺度［M］.何帆，译.北京：北京大学出版社，2011：40.

[5] 刘易斯.批评官员的尺度［M］.何帆，译.北京：北京大学出版社，2011：179.

[6] 刘易斯.批评官员的尺度［M］.何帆，译.北京：北京大学出版社，2011：180.

[7] 刘易斯.批评官员的尺度［M］.何帆，译.北京：北京大学出版社，2011：186.

[8] 刘易斯.批评官员的尺度［M］.何帆，译.北京：北京大学出版社，2011：189.

[9] Olmstead v.U.S.［277 U.S. 438（1928）］［Z］.（1928-06-04）［2014-12-05］.http：//www.chanrobles.com/usa/us_supremecourt/277/438/case.php.

[10] 李志鹏，高可.美国《涉外情报监视法》评介［J］.江南社会学院学报，2014，16（3）：20-26.

[11] Olmstead v.U.S.［277 U.S. 438（1928）］［Z］.（1928-06-04）［2014-12-05］.http：//www.chanrobles.com/usa/us_supremecourt/277/438/case.php.

[12] 沃伦，布兰代斯.隐私权［M］.宦盛奎，译.北京：北京大学出版社，2014：69-70，72，74.

[13] 谢晓专，等.美国情报监听立法沿革研究［J］.图书情报工作，2011（22）：69-73.(www.xing528.com)

[14] 谢晓专，等.美国情报监听立法沿革研究［J］.图书情报工作，2011（22）：69-73.

[15] 《美国爱国者法》的英文名称为“Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001”，取首字母译为“USA PATRIOT Act”，而“patriot”正是“爱国者”之意，所以通常叫它“美国爱国者法”。

[16] 黄锦就，梅建明.美国爱国者法案：立法、实施和影响［M］.蒋文军，译.北京：法律出版社，2008：1.

[17] 黄锦就，梅建明.美国爱国者法案：立法、实施和影响［M］.蒋文军，译.北京：法律出版社，2008：5.

[18] 黄锦就，梅建明.美国爱国者法案：立法、实施和影响［M］.蒋文军，译.北京：法律出版社，2008：348.

[19] 《美国爱国者法》第215条规定了政府根据《对外情报监控法案》查询记录和其他项目的权力，实际上大量增加了这里的项目类型，可以包括服务器。参见《美国爱国者法》［Z］.（2001-01-03）［2014-09-01］. https：//www.govtrack.us/congress/bills/107/hr3162/text.

[20] 刘涛.《2005年〈美国爱国者法修改与再授权法〉》介评［J］.国家检察官学院学报，2008，16（2）：28-33.

[21] 黄锦就，梅建明.美国爱国者法案：立法、实施和影响［M］.蒋文军，译.北京：法律出版社，2008：258.

[22] SEDGEWICK A. The NIST Framework for Improving Critical Infratructure Cybersecurity［C］.Beijing：19th U.S.-China Legal Exchange，2015.

[23] 肖志锋.公共部门信息再利用中的个人信息法律保护［J］.图书与情报，2013（3）：56.

[24] 徐敬宏.美国网络隐私权的行业自律保护及其对我国的启示［J］.情报理论与实践，2008（6）：955-957.

[25] SEDGEWICK A. The NIST Framework for Improving Critical Infratructure Cybersecurity［C］.Beijing：19th U.S.-China Legal Exchange，2015.

[26] 本节主要以欧盟层面的法律制度为研究样本，既包括欧盟制定的法律性文件，也包括欧盟参与订立的国际条约。这是因为欧盟层面的法律制度对成员国具有约束力或指引力，能够在整体上反映欧洲的信息隐私制度情况，因此本节只在极具个性化的地方涉及具体国家的政策或法律。

[27] 周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研究报告［R］.北京：法律出版社，2006：94.

[28] 欧洲议会和理事会关于电子通信领域个人数据处理和隐私保护的指令［Z］.2002：前言第6条。

[29] 利子平，周建达.非法获取公民个人信息罪“情节严重”初论［J］.法学评论，2012（5）：146.

[30] 陈景辉.法律的界限：实证主义命题群之展开［M］.北京：中国政法大学出版社，2007：97.

[31] 舍恩伯格，库克耶.大数据时代［M］.盛杨燕，周涛，译.杭州：浙江人民出版社，2013：197.

[32] 中华人民共和国反恐怖主义法［Z］.2015：第十八条。

[33] 中华人民共和国反恐怖主义法［Z］.2015：第二十一条。

[34] 曹天鹏.苹果妥协了，将国内用户部分iCloud数据存储在中国电信服务器［EB/OL］.（2014-08-16）［2015-02-01］.http：//www.tmtpost.com/129208.html.

[35] 互联网新闻研究中心.美国是如何监视中国的——美国全球监听行动纪录［M］.北京：人民出版社，2014：28-29.

[36] 本节关于欧洲制度模式的特点和启示，仍然主要是以欧盟层面的法律制度为研究样本，因为欧盟层面的法律制度能够在整体上反映欧洲的信息隐私制度情况，只在极具个性化的地方涉及成员国的政策或法律。

[37] 鲍恩.民主的奇迹：美国宪法制定的127天［M］.郑明萱，译.北京：新星出版社，2013：8.

[38] 洛克.政府论（下篇）［M］.叶启芳，瞿菊农，译.北京：商务印书馆，1964：59.

[39] 李建新.两岸四地的个人信息保护与行政信息公开［J］.法学，2013（7）：98.

[40] 熊秉元.正义的成本：当法律遇上经济学［M］.北京：东方出版社，2014：193.

[41] 郑远民，朱红梅.非传统安全威胁下国际法律新秩序的构建［M］.北京：法律出版社，2014：137.