個人信息保護法課件

個人信息保護法1個人信息保護法1一、個人信息保護的需求與個人信息全的產(chǎn)生（一）隱私權(quán)的傳統(tǒng)見解（1）隱私權(quán)的主體是自然人。（2）隱私權(quán)的保護客體是“個人領(lǐng)域的事物”。

個人領(lǐng)域的事物包括隱私信息、私人事物、私人領(lǐng)域三個方面。

（3）隱私權(quán)的作用是一種控制權(quán)

“控制權(quán)”體現(xiàn)在：①個人可以選擇將事物公開或不公開②個人可以決定在何時、何地、何種程度下，何人可以知悉或參與自身事物，最終維持個人的獨立和不受支配。2一、個人信息保護的需求與個人信息全的產(chǎn)生（一）隱私權(quán)的傳統(tǒng)見（二）從隱私權(quán)到咨詢自決權(quán)隱私權(quán)————————資訊自決權(quán)

消極被動積極主動強調(diào)個人隱私不受侵害強調(diào)個人信息的主動控制

前者強調(diào)的是侵害隱私權(quán)行為的成立要件以及有關(guān)的權(quán)利救濟，后者強調(diào)如何對處理個人信息的行為進行監(jiān)管，以及擁有個人信息的本人和信息處理者之間的關(guān)系如何進行調(diào)整，實際上是有關(guān)個人信息的管理法或者有關(guān)個人信息處理者的管理法。3（二）從隱私權(quán)到咨詢自決權(quán)3（1）資訊自決權(quán)的“稱謂”之稱①采用“個人隱私”稱謂的立法例:美國、以色列、加拿大、澳大利亞、比利時等。②采用“個人信息”稱謂的立法例：奧地利、英國等。③采用“個人信息”稱謂的立法例：法國、冰島、日本等。④我國：個人信息、個人資料、個人數(shù)據(jù)。

本書采廣義理解，即將個人隱私權(quán)或者個人信息權(quán)均作為個人信息保護的內(nèi)容來理解。

4（1）資訊自決權(quán)的“稱謂”之稱4（2）個人信息權(quán)（資訊自決權(quán)）具體包含以下幾個方面：①個人信息得知權(quán)②個人信息使用權(quán)③個人信息控制權(quán)④個人信息安全請求權(quán)⑤個人信息獲取權(quán)

5（2）個人信息權(quán)（資訊自決權(quán)）具體包含以下幾個方面：5（三）個人信息權(quán)之形成

在法律上確立個人信息權(quán)并非僅僅是對個人信息本身的保護。個人信息如果脫離信息主體，只是一堆沒有任何意義的符號。所以個人信息并不是保護的目標(biāo)和價值，法律保護的是個人信息所承載的人格利益。而個人信息所承載的個人利益是多種多樣的。以下通過個人資料的法律性質(zhì)了解個人信息所承載的不同的利益。（1）.隱私權(quán)客體說（客體為一種具體人格權(quán)）該理論將個人信息定位為隱私利益。即將個人信息采用隱私權(quán)保護模式。這一學(xué)說在英美法系有其生根發(fā)芽的土壤。（2）.所有權(quán)客體說（非人格利益）該理論將個人信息定位為一種財產(chǎn)利益。（3）.人格權(quán)客體說（客體為一般人格權(quán)）該理論是目前學(xué)術(shù)界較為流行也比較有說服力的觀點，德國法是這一學(xué)說的代表。此種模式下承載于個人信息之上的人格利益不能完全被傳統(tǒng)的具體權(quán)利所承載，故有必要賦予個人信息主體以新的權(quán)利，個人信息權(quán)由此產(chǎn)生。

6（三）個人信息權(quán)之形成6二個人信息權(quán)的內(nèi)涵（一）個人個人信息保護法上的個人僅指有生命的自然人，不包括法人和已死之人。（二）個人信息（三）個人信息權(quán)

(1)個人信息權(quán)VS傳統(tǒng)的隱私權(quán)

(2)個人信息權(quán)的實體內(nèi)容：①個人信息的取得、收集②個人信息的保有、管理、利用③個人信息的知情、訂正

7二個人信息權(quán)的內(nèi)涵（一）個人7個人信息保護法（一）個人信息保護法的概念個人信息保護法：為了有效保護個人的合法權(quán)益而對識別出或者可以識別出特定的個人信息加以收集、利用、傳播等行為進行規(guī)范的法律制度。8個人信息保護法（一）個人信息保護法的概念8（二）個人信息保護法的適用范圍（1）主體的適用范圍（個人信息保護法的適用主體）：公共部門、私營部門①不加區(qū)別的適用于二者：奧地利、波蘭、阿根廷。②通過一部法律分章進行規(guī)定：德國、我國臺灣③不同法律分別規(guī)定適用主體：日本、丹麥、加拿大④規(guī)定適用主體為公共部門：韓國、美國

9（二）個人信息保護法的適用范圍9（2）各國適用范圍不同的原因①法律體系特點，大陸法系國家存在公、私法的劃分，因此將適用于公共部門和私營部門的不同內(nèi)容分別予以規(guī)定。②各國不同的立法強制程度。10（2）各國適用范圍不同的原因10（三）個人信息保護法的主要原則（1）目的正當(dāng)原則（2）安全完整原則（3）個人信息自決原則（4）敏感信息妥善處理原則11（三）個人信息保護法的主要原則11（四）個人信息保護法律關(guān)系（1）概念：個人信息保護法律關(guān)系是指由個人信息保護法調(diào)整的因個人信息的控制、收集、處理和利用所形成的社會關(guān)系。（2）個人信息保護法律關(guān)系主體：個人信息主體、信息處理主體。

①個人信息主體：是個人信息的來源、是自然人、對其信息享有人格利益②信息處理主體：信息的控制者

兩種分類方式：國家機關(guān)和非國家機關(guān)收集人、處理人和利用人

12（四）個人信息保護法律關(guān)系12③關(guān)于信息主體的范圍爭議信息主體可否為法人？死者和胎兒是否具備信息主體身份？（3）個人信息保護法律關(guān)系的內(nèi)容信息主體本人和信息處理主體對個人信息享有的權(quán)利和承擔(dān)的義務(wù)。13③關(guān)于信息主體的范圍爭議13外國個人信息保護法制概況與評介歐盟：《歐盟聯(lián)盟隱私指令》

（1）數(shù)據(jù)的品質(zhì)要求（2）數(shù)據(jù)處理的合法性標(biāo)準(zhǔn)（搜集、輸入、使用和傳播）合法標(biāo)準(zhǔn)：

①告知目的，征求同意②符合合同要求及數(shù)據(jù)主體要求③符合數(shù)據(jù)管理人的法定義務(wù)的要求④符合保護數(shù)據(jù)主體基本利益的要求⑤為履行公共事務(wù)或行使公共權(quán)力的數(shù)據(jù)管理人可以披露的數(shù)據(jù)⑥基于數(shù)據(jù)管理人和接受數(shù)據(jù)的第三方的合法利益可以適當(dāng)披露數(shù)據(jù)，但不能損害數(shù)據(jù)主體的利益。

（3）指令的基本要求：數(shù)據(jù)的使用和披露必須限制在數(shù)據(jù)收集的目的之內(nèi)（4）充分性判斷標(biāo)準(zhǔn)14外國個人信息保護法制概況與評介歐盟：《歐盟聯(lián)盟隱私指令》14美國（1）立法分散，針對不同領(lǐng)域中的個人信息分別立法。最重要的領(lǐng)域劃分：公法領(lǐng)域、私法領(lǐng)域。公法領(lǐng)域：《聯(lián)邦憲法》、《信息自由法》、《隱私權(quán)法》、《司法隱私保護法》

私法領(lǐng)域：專注于四個領(lǐng)域（P85）（2）實用主義立法模式；重視個人和市場自由（3）立法思路：自律機制配合政府的執(zhí)法保障。（4）高度敏感領(lǐng)域制定專門立法：兒童信息、醫(yī)療檔案、金融數(shù)據(jù)。15美國15安全港協(xié)議（1）背景：為了通過歐盟“充分性”標(biāo)準(zhǔn)，以保證數(shù)據(jù)的跨界流動。在《指令》制訂后,美方即予以關(guān)注，1996年開始與歐盟方面就此問題接觸。1997年底,美方試探提出了名為“信息安全港”的解決建議。1998年10月歐盟《指令》生效后,表示“為了雙方共同的貿(mào)易利益”暫時不對美國企業(yè)采取行動。美方無疑看到了一把隨時可能斬下的達(dá)摩克利斯之劍,于是盡力加快談判步伐。（2）安全港協(xié)議：”信息安全港”其實是一個虛擬“社區(qū)”。它公布一些基本的隱私權(quán)保護原則。任何企業(yè),只要宣布自己遵守上述原則并提出了具體落實方案,報有關(guān)部門或機構(gòu)備案后,就算進人了“信息安全港”,可以“安全、合法地”從歐盟國家轉(zhuǎn)移消費者資料了。如果事后發(fā)現(xiàn)該企業(yè)并未達(dá)到聲稱的保護標(biāo)準(zhǔn),則可以以欺詐論處。16安全港協(xié)議16“信息安全港”在下述概念和機制上,明顯低于歐盟的要求:1.歐盟的《指令》要求以“國家”為單位,判定其對隱私權(quán)的保護是否符合標(biāo)準(zhǔn)。而“信息安全港”實際上變成了以企業(yè)為單位,逐個企業(yè)進行認(rèn)定。2.歐盟《指令》要求以法律手段強制企業(yè)保護隱私權(quán)。而“信息安全港”體系不是法律,完全沒有強制性,完全由企業(yè)自愿加人。3.歐盟《指令》要求俊犯隱私權(quán)的企業(yè)將依照有關(guān)隱私權(quán)法律進行懲處。而“信息安全港”原則既然不是法律,違反該原則的企業(yè)也就不能以所謂“侵犯隱私罪”論處,只能以“商業(yè)欺詐”論處,這兩者的性質(zhì)、懲處力度和執(zhí)行機制都完全不同。17“信息安全港”在下述概念和機制上,明顯低于歐盟的要求:17最終解決方案從1998年底開始,歐盟和美國進行了長達(dá)一年半的談判。幾經(jīng)交鋒,歐盟意識到,在上述1、2方面迫使美讓步是困難的。就1而言,若歐盟堅持要求將美國作為整體來判斷,結(jié)果只能是雙方貿(mào)易戰(zhàn),而歐盟并無真正和美國開啟貿(mào)易戰(zhàn)的意圖。就2而言,美國的立法體制以及企業(yè)界的強烈反對,決定了美國短期內(nèi)不可能實施強制性的隱私權(quán)保護制度。18最終解決方案18于是雙方談判的焦點便集中在“執(zhí)行機制”方面。歐盟的主要要求是:

①

必須為歐盟的消費者提供切實可行的利用渠道,當(dāng)某個消費者懷疑自己的隱私權(quán)遭到美國公司、機構(gòu)侵犯時,應(yīng)有明確的、方便的渠道進行申訴,調(diào)查取證,并有具體的補救和懲處措施;②對加人信息安全港后又違背有關(guān)原則的企業(yè),必須有足夠嚴(yán)厲的懲罰。歐盟認(rèn)為:若達(dá)不到這兩條,所謂“信息安全港”就是一紙空文。19于是雙方談判的焦點便集中在“執(zhí)行機制”方面。歐盟的主要要求是最終雙方達(dá)成的“信息安全港”協(xié)議,與最初的美國建議相比,在如下方面有所強化:1.信息安全港要求成員企業(yè)必須有一個面向消費者的投訴機制。

美方最初提出,這個機制可以由企業(yè)自己建立。歐盟則認(rèn)為:自己監(jiān)督自己的機制是完全不能接受的。最終,美方同意,任何面向消費者的投訴機制,都必須由獨立于企業(yè)的組織來運營,例如,通過行業(yè)協(xié)會來運營。2.明確了信息安全港成員企業(yè)若違背信息安全港原則將受到何種懲處。3.最終協(xié)議要求:凡根振美國法律不受某個明確政府機構(gòu)(或其他有法律強制權(quán)力的機構(gòu))監(jiān)管的行業(yè),其企業(yè)均不得進入信息安全港。在美國的自由市場體制下,有相當(dāng)一批產(chǎn)業(yè)恰恰是不受任何具體政府機構(gòu)監(jiān)管的。其中最重要的是銀行金融業(yè)。20最終雙方達(dá)成的“信息安全港”協(xié)議,與最初的美國建議相比,個人信息保護法21個人信息保護法1一、個人信息保護的需求與個人信息全的產(chǎn)生（一）隱私權(quán)的傳統(tǒng)見解（1）隱私權(quán)的主體是自然人。（2）隱私權(quán)的保護客體是“個人領(lǐng)域的事物”。

個人領(lǐng)域的事物包括隱私信息、私人事物、私人領(lǐng)域三個方面。

（3）隱私權(quán)的作用是一種控制權(quán)

“控制權(quán)”體現(xiàn)在：①個人可以選擇將事物公開或不公開②個人可以決定在何時、何地、何種程度下，何人可以知悉或參與自身事物，最終維持個人的獨立和不受支配。22一、個人信息保護的需求與個人信息全的產(chǎn)生（一）隱私權(quán)的傳統(tǒng)見（二）從隱私權(quán)到咨詢自決權(quán)隱私權(quán)————————資訊自決權(quán)

消極被動積極主動強調(diào)個人隱私不受侵害強調(diào)個人信息的主動控制

前者強調(diào)的是侵害隱私權(quán)行為的成立要件以及有關(guān)的權(quán)利救濟，后者強調(diào)如何對處理個人信息的行為進行監(jiān)管，以及擁有個人信息的本人和信息處理者之間的關(guān)系如何進行調(diào)整，實際上是有關(guān)個人信息的管理法或者有關(guān)個人信息處理者的管理法。23（二）從隱私權(quán)到咨詢自決權(quán)3（1）資訊自決權(quán)的“稱謂”之稱①采用“個人隱私”稱謂的立法例:美國、以色列、加拿大、澳大利亞、比利時等。②采用“個人信息”稱謂的立法例：奧地利、英國等。③采用“個人信息”稱謂的立法例：法國、冰島、日本等。④我國：個人信息、個人資料、個人數(shù)據(jù)。

本書采廣義理解，即將個人隱私權(quán)或者個人信息權(quán)均作為個人信息保護的內(nèi)容來理解。

24（1）資訊自決權(quán)的“稱謂”之稱4（2）個人信息權(quán)（資訊自決權(quán)）具體包含以下幾個方面：①個人信息得知權(quán)②個人信息使用權(quán)③個人信息控制權(quán)④個人信息安全請求權(quán)⑤個人信息獲取權(quán)

25（2）個人信息權(quán)（資訊自決權(quán)）具體包含以下幾個方面：5（三）個人信息權(quán)之形成

在法律上確立個人信息權(quán)并非僅僅是對個人信息本身的保護。個人信息如果脫離信息主體，只是一堆沒有任何意義的符號。所以個人信息并不是保護的目標(biāo)和價值，法律保護的是個人信息所承載的人格利益。而個人信息所承載的個人利益是多種多樣的。以下通過個人資料的法律性質(zhì)了解個人信息所承載的不同的利益。（1）.隱私權(quán)客體說（客體為一種具體人格權(quán)）該理論將個人信息定位為隱私利益。即將個人信息采用隱私權(quán)保護模式。這一學(xué)說在英美法系有其生根發(fā)芽的土壤。（2）.所有權(quán)客體說（非人格利益）該理論將個人信息定位為一種財產(chǎn)利益。（3）.人格權(quán)客體說（客體為一般人格權(quán)）該理論是目前學(xué)術(shù)界較為流行也比較有說服力的觀點，德國法是這一學(xué)說的代表。此種模式下承載于個人信息之上的人格利益不能完全被傳統(tǒng)的具體權(quán)利所承載，故有必要賦予個人信息主體以新的權(quán)利，個人信息權(quán)由此產(chǎn)生。

26（三）個人信息權(quán)之形成6二個人信息權(quán)的內(nèi)涵（一）個人個人信息保護法上的個人僅指有生命的自然人，不包括法人和已死之人。（二）個人信息（三）個人信息權(quán)

(1)個人信息權(quán)VS傳統(tǒng)的隱私權(quán)

(2)個人信息權(quán)的實體內(nèi)容：①個人信息的取得、收集②個人信息的保有、管理、利用③個人信息的知情、訂正

27二個人信息權(quán)的內(nèi)涵（一）個人7個人信息保護法（一）個人信息保護法的概念個人信息保護法：為了有效保護個人的合法權(quán)益而對識別出或者可以識別出特定的個人信息加以收集、利用、傳播等行為進行規(guī)范的法律制度。28個人信息保護法（一）個人信息保護法的概念8（二）個人信息保護法的適用范圍（1）主體的適用范圍（個人信息保護法的適用主體）：公共部門、私營部門①不加區(qū)別的適用于二者：奧地利、波蘭、阿根廷。②通過一部法律分章進行規(guī)定：德國、我國臺灣③不同法律分別規(guī)定適用主體：日本、丹麥、加拿大④規(guī)定適用主體為公共部門：韓國、美國

29（二）個人信息保護法的適用范圍9（2）各國適用范圍不同的原因①法律體系特點，大陸法系國家存在公、私法的劃分，因此將適用于公共部門和私營部門的不同內(nèi)容分別予以規(guī)定。②各國不同的立法強制程度。30（2）各國適用范圍不同的原因10（三）個人信息保護法的主要原則（1）目的正當(dāng)原則（2）安全完整原則（3）個人信息自決原則（4）敏感信息妥善處理原則31（三）個人信息保護法的主要原則11（四）個人信息保護法律關(guān)系（1）概念：個人信息保護法律關(guān)系是指由個人信息保護法調(diào)整的因個人信息的控制、收集、處理和利用所形成的社會關(guān)系。（2）個人信息保護法律關(guān)系主體：個人信息主體、信息處理主體。

①個人信息主體：是個人信息的來源、是自然人、對其信息享有人格利益②信息處理主體：信息的控制者

兩種分類方式：國家機關(guān)和非國家機關(guān)收集人、處理人和利用人

32（四）個人信息保護法律關(guān)系12③關(guān)于信息主體的范圍爭議信息主體可否為法人？死者和胎兒是否具備信息主體身份？（3）個人信息保護法律關(guān)系的內(nèi)容信息主體本人和信息處理主體對個人信息享有的權(quán)利和承擔(dān)的義務(wù)。33③關(guān)于信息主體的范圍爭議13外國個人信息保護法制概況與評介歐盟：《歐盟聯(lián)盟隱私指令》

（1）數(shù)據(jù)的品質(zhì)要求（2）數(shù)據(jù)處理的合法性標(biāo)準(zhǔn)（搜集、輸入、使用和傳播）合法標(biāo)準(zhǔn)：

①告知目的，征求同意②符合合同要求及數(shù)據(jù)主體要求③符合數(shù)據(jù)管理人的法定義務(wù)的要求④符合保護數(shù)據(jù)主體基本利益的要求⑤為履行公共事務(wù)或行使公共權(quán)力的數(shù)據(jù)管理人可以披露的數(shù)據(jù)⑥基于數(shù)據(jù)管理人和接受數(shù)據(jù)的第三方的合法利益可以適當(dāng)披露數(shù)據(jù)，但不能損害數(shù)據(jù)主體的利益。

（3）指令的基本要求：數(shù)據(jù)的使用和披露必須限制在數(shù)據(jù)收集的目的之內(nèi)（4）充分性判斷標(biāo)準(zhǔn)34外國個人信息保護法制概況與評介歐盟：《歐盟聯(lián)盟隱私指令》14美國（1）立法分散，針對不同領(lǐng)域中的個人信息分別立法。最重要的領(lǐng)域劃分：公法領(lǐng)域、私法領(lǐng)域。公法領(lǐng)域：《聯(lián)邦憲法》、《信息自由法》、《隱私權(quán)法》、《司法隱私保護法》

私法領(lǐng)域：專注于四個領(lǐng)域（P85）（2）實用主義立法模式；重視個人和市場自由（3）立法思路：自律機制配合政府的執(zhí)法保障。（4）高度敏感領(lǐng)域制定專門立法：兒童信息、醫(yī)療檔案、金融數(shù)據(jù)。35美國15安全港協(xié)議（1）背景：為了通過歐盟“充分性”標(biāo)準(zhǔn)，以保證數(shù)據(jù)的跨界流動。在《指令》制訂后,美方即予以關(guān)注，1996年開始與歐盟方面就此問題接觸。1997年底,美方試探提出了名為“信息安全港”的解決建議。1998年10月歐盟《指令》生效后,表示“為了雙方共同的貿(mào)易利益”暫時不對美國企業(yè)采取行動。美方無疑看到了一把隨時可能斬下的達(dá)摩克利斯之劍,于是盡力加快談判步伐。（2）安全港協(xié)議：”信息安全港”其實是一個虛擬“社區(qū)”。它公布一些基本的隱私權(quán)保護原則。任何企業(yè),只要宣布自己遵守上述原則并提出了具體落實方案,報有關(guān)部門或機構(gòu)備案后,就算進人了“信息安全港”,可以“安全、合法地”從歐盟國家轉(zhuǎn)移消費者資料了。如果事后發(fā)現(xiàn)該企業(yè)并未達(dá)到聲稱的保護標(biāo)準(zhǔn),則可以以欺詐論處。36安全港協(xié)議16“信息安全港”在下述概念和機制上,明顯低于歐盟的要求:1.歐盟的《指令》要求以“國家”為單位,判定其對隱私權(quán)的保護是否符合標(biāo)準(zhǔn)。而“信息安全港”實際上變成了以企業(yè)為單位,逐個企業(yè)進行認(rèn)定。2.歐盟《指令》要求以法律手段強制企業(yè)保護隱私權(quán)。而“信息安全港”體系不是法律,完全沒有強制性,完全由企業(yè)自愿加人。3.歐盟《指令》要求俊犯隱私權(quán)的企業(yè)將依照有關(guān)隱私權(quán)法律進行懲處。而“信息安全港”原則既然不是法律,違反該原則的企業(yè)也就不能以所謂“侵犯隱私罪”論處,只能以“商業(yè)欺詐”論處,這兩者的性質(zhì)、懲處力度和