国外个人信息保护或隐私保护法规汇总

国外在企业收集、利用公众信息方面的

政策、措施、规定、法规。

一、美国

1.《隐私权法》

11974年12月31日,美国参众两院通过了《隐私权法》（PrivacyAct）,1979年,

美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私

生活秘密法》,是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行

政机关”对个人信息的采集、使用、公开和保密问题作出详细规定,以此规范联

邦政府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾。2

该法中的“行政机关”,包括联邦政府的行政各部、军事部门、政府公司、

政府控制的公司,以及行政部门的其他机构,包括总统执行机构在内。该法也适

用于不受总统控制的独立行政机关,但国会、隶属于国会的机关和法院、州和地

方政府的行政机关不适用该法。该法中的“记录”,是指包含在某一记录系统中

的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项

或一组信息”。其中,“其他标识”包括别名、相片、指纹、音纹、社会保障号

码、护照号码、汽车执照号码,以及其他一切能够用于识别某一特定个人的标识。

个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的

记载。

《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应

遵守的准则。

2.《电子通讯隐私法》

到目前为止，美国并没有一部综合性法典对个人信息的隐私权提供保护，主

1

2

/foia/privacy/

摘自《情报科学》，周健：美国《隐私权法》与公民个人信息保护

-精品-

要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是

1986年颁布的《电子通讯隐私法》（TheElectronicCommunicationPrivacyAct，简

称ECPA）3。

尽管《电子通讯隐私法》还存在不足，但它是目前有关保护网络上的个人信

息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数

字化形象的传输等所有形式的数字化通讯，它不仅禁止政府部门未经授权的窃

听，而且禁止所有个人和企业对通讯内容的窃听，同时还禁止对存贮于电脑系统

中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。

3.《金融服务现代化法案》

FinancialServicesModernizationActof1999，也就是格雷姆-里奇-比利雷法

（Gramm-Leach-BlileyAct，GLBAct）4，它规定了金融机构处理个人私密信息的

方式。这部法案包括三部分：金融秘密规则（FinancialPrivacyRule），它管理私密

金融信息的收集和公开；安全维护规则（SafeguardsRule），它规定金融机构必须

实行安全计划来保护这些信息；借口防备规定（Pretextingprovisions），它禁止使

用借口的行为（使用虚假的借口来访问私密信息）。这部法律还要求金融机构给

顾客一个书面的保密协议，以说明他们的信息共享机制。

4、《儿童在线隐私权保护法案》

TheChildren’sOnlinePrivacyProtectionAct,，简称COPPA5，它规定网站经营

者必须向父母提供隐私权保护政策的通知，以儿童为目标的网站必须在网站主页

上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了

网站对13岁以下儿童个人信息的收集和处理。

3

4

摘自/ywdt/txt/2010-01/25/content_

/privacy/privacyinitiatives/

5/ogc/

-精品-

5.《健康保险携带和责任法》

TheHealthInsurancePortabilityandAccountabilityActof1996，简称HIPAA6，

该法案通过建立电子传输健康信息的标准和要求鼓励健康信息系统的发展。保障

个人的健康隐私信息的完整性和机密性；防止任何来自可预见的威胁、未经授权

的使用和泄露；确保官员及其职员遵守这些安全措施。

2009年美国通过HealthInformationTechnologyforEconomicandClinicalHealth

Act，简称HITECH法案7，该法案也增强了HIPAA的安全和隐私要求并扩展了

相应的处罚。

6.《有效保护隐私权的自律规范》

1998年，美国商务部发表了《有效保护隐私权的自律规范》（Elementsof

EffectiveSelfRegulationforProtectionofPrivacy）8，要求美国网站从业者必须制定

保护网络上个人资料与隐私权的自律规约。

7.《公平信用报告法》

TheFairCreditReportingAct，该法的全称为《公平信用报告法-消费者信用保

护法标题VI》9，属于消费者保护法系列。这项法律规范的对象是消费者信用调

查/报告机构（Consumerreportingagency）和消费者信用调查报告的使用者。主

要规定了消费者个人对信用调查报告的权利，规范了消费者信用调查/报告机构

对于报告的制作、传播、对违约记录的处理等事项，实际明确了消费者信用调查

机构的经营方式。

8．身份信息盗窃红旗规则

IDTheftRedFlagsRule10，该条例是由美国联邦贸易委员会与货币总监署

6

7

/ocr/hipaa/

/ocr/privacy/hipaa/understanding/coveredentities/guidance_

8/reports/privacydraft/

9/os/statutes/

10/redflagsrule

-精品-

（OCC）、联邦存款保险公司（FDIC）、美国联邦储备委员会和其他几个联邦机

构共同制定的，遵照2003年公正准确信用交易法（FACTAct）。条例规定，在

RFR违规事件中，联邦贸易委员会可以展开民事诉讼，寻求不超过2,500美元的

违规行为。

该条例要求一些企业和组织制订和实施书面计划，以保护消费者免遭身份盗

用。任何允许备兑账户的债权人或金融机构，必须为红旗规则实施一项防止身份

盗用的计划（IdentityTheftPreventionProgram）。由于受到各方阻力，该规则生效

的期限被再三拖延，目前的最终期限为2010年6月1日。

9.其他的信息隐私条例

（1）《信息自由法》，该法规范了第三方对包含个人信息的政府记录的获取。

（2）《金融隐私权法案》（RighttoFinancialPrivacyAct）11，它对银行雇员披

露金融记录，及联邦立法机构获得个人金融记录的方式做出了限制。

（3）《有线通讯隐私权法案》》（CableCommunicationPolicyAct），它禁止闭路

电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息

12。

（4）1996年《电讯法》（TelecommunicationAct），规定电讯经营者有保守客

户财产信息秘密的义务。

10.行业自律规则

除了上述分散的网络隐私权保护法律法规之外，美国还倾向于采取行业自律

政策对网络隐私权提供保护。由于网络技术发展迅速，而立法总是滞后于现实状

况，所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一

致鼓励和支持。总体而言，美国目前的行业自律形式有三类：建议性的行业指引、

网络隐私认证、技术保护模式。

•建议性的行业指引

11

12

/regulations/laws/rules/

/uscode/47/usc_sup_01_47_10_5_20_

-精品-

许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则，如“在线

隐私联盟”（OnlinePrivacyAlliances）13、“银行家圆桌会议”、“直销协会”、“互

动服务协会”等等。其中，“在线隐私联盟”最为著名，由超过80家的国际公司

和协会组成，致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的

保护。它于1998年6月发布了以联邦商业委员会的建议为原则的在线隐私指

引，旨在指导网络和其他电子行业隐私保护。

•网络隐私认证

不同于适用于同一行业内部的建议性行业指引，网络隐私认证适用于跨行业

的联盟。他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志，以便

于用户识别。美国著名的网络隐私认证组织有TRUSTe14、BBBOnLine15、

WebTrust16等。

•技术保护模式

技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支

撑。最常见的一种模式是由互联网协会推出的个人隐私选择平台（Platformfor

PrivacyPreferencesProject，简称P3P）17。P3P能让网站指明对个人数据使用

和公布的状况，让用户选择个人数据是否被公布，以及哪些数据能被公布，并能

让软件代理商代表双方达成有关数据交换的协议。在这种模式下，个人能够利用

充足的信息做出明智的决定，同意或是拒绝提供本人的数据，并且能够委托软件

代理商将决定付诸实践。

11.S.1490、S.139草案

美国参议院司法委员会2009年11月5日通过了两个有关建立数据泄漏通报

标准的法案：《2009个人隐私与安全法案》（S.1490：PersonalDataPrivacyand

SecurityActof2009）18以及《数据泄漏事件通报法案》(S.139:DataBreach

otificationAct)19。这次投票结果意味着这两项法案现在可以进入参议院审批阶

13

14

/

/

15/

16/

17/P3P/

18/bill/111-s1490/show

19/bill/111-s139/show

-精品-

段。

《2009个人隐私与安全法案》建立了风险评估、漏洞检测以及对访问敏感信

息的控制和审计相关标准，同时也有条款规定了在出差及在非工作时间的数据保

护措施，以及在数据泄漏时需及时通报执法部门、信用报告机构及受影响的个人。

作为补充，这一法案规定在联邦贸易委员会下设置联邦身份保护办公室。《数据

泄漏事件通报法案》要求美国联邦政府机构以及业务范围跨州的企业在发生数据

泄漏事件时必须通知所有信息可能被或者已经被访问、获取的当事人。

二、欧盟

1.《关于在个人数据处理过程中保护当事人及此类数据自由流通的指

令》。

欧洲议会和欧盟理事会于1995年10月24日通过的《关于在个人数据处

理过程中保护当事人及此类数据自由流通的指令》（Directive95/46/EConthe

protectionofindividualswithregardtotheprocessingofpersonaldataandonthefree

movementofsuchdata）20。简称数据保护指令(DataProtectionDirective)，这是欧

盟在个人信息保护方面最重要的指令。3年后正式生效。这一指令要求欧盟各国

采取欧盟统一标准对个人数据进行保护。为适应欧盟对其成员国个人数据保护的

统一要求，欧盟各成员国相继制定了本国的数据保护法，或者对已有的数据保护

法进行修改21。

2.《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此

种数据自由流动的规章》

2000年12月18日，欧洲议会和欧盟理事会通过《关于与欧共体和组织的个

人数据处理相关的个人保护以及关于此种数据自由流动的规章》

20

21

/justice_home/fsj/privacy/docs/95-46-ce/dir1995-46_part1_

部分参考/art/1032/20100124/1986019_

-精品-

3.《关于在电子通信领域个人数据处理及保护隐私权的指令》

2002年7月12日，欧盟理事会和欧洲议会共同颁布了新的《关于在电

子通信领域个人数据处理及保护隐私权的指令》(Directive2002/58onPrivacyand

ElectronicCommunications)22，简称电子隐私权指令(E-PrivacyDirective)。该指令

于2004年4月起在欧盟成员国生效实行。此项指令取代了1997年12月15

日通过的《有关电信行业中的个人数据处理和隐私权保护的指令》（简称电信业

隐私权指令），是欧盟基于电子商务及互联网发展现状，而制定的旨在规范电子

商务消费者隐私权保护的最新立法。指令包含有一系列专门针对电子通信领域个

人信息处理和隐私权保护的特别规范，其中部分内容对欧盟电子商务指令的规定

也做了进一步的补充和完善。

4.欧盟数据保护监督专员

欧洲数据保护监督专员(EuropeanDataProtectionSupervisor)23这一职位设立于

2001年，职责是确保所有欧盟机构和组织在处理公民个人数据时尊重公民的隐

私权。

当欧盟的组织或机关处理一位有确定身分的公民的个人数据时,它们必须尊

重该公民的隐私权。欧洲数据保护监督专员确保它们会这么做,并在个人数据处

理上给与他们指导.

上述的数据“处理”包括了许多行为，例如搜集信息、录制和储存、重新提

取、发送或使其他人员获得以及阻止、删除或销毁数据。有严格的保密条例来管

理这些行为。例如，欧盟机构或机关被禁止处理揭示公民种族或宗教，政治观点，

宗教或哲学信仰，或工会成员资格的个人数据。

5.欧盟数据保护工作组

Article29DataProtectionWorkingParty24，数据保护指令第29条规定：建立

22

23

/pri/en/oj/dat/2002/l_201/l_

/EDPSWEB/edps/pid/1?lang=en

24/justice_home/fsj/privacy/workinggroup/index_

-精品-

一个“在个人数据处理中保护个人的工作组”，一般称之为“第29条工作组”。

或者数据保护工作组。

欧盟数据保护工作组2009年分别致信谷歌、微软和雅虎三大搜索巨头，认为

搜索引擎服务商保存用户搜索记录时间超过6个月的理由并不成立，因此要求这

三大搜索引擎商必须缩短用户搜索信息的保留时间。

三、日本

1.《个人信息保护法》

日本政府于2003年5月颁布了日本《个人信息保护法》，并根据这部法律的

基本理念，相继制定并颁布了针对行政机关、独立行政法人等持有个人信息机关

的4部法律。《个人信息保护法》可以称作企事业单位规制法，它的规制对象是

全部持有并处理个人信息的企事业单位，其行为受到行政厅的监督和管理25。

日本《个人信息保护法》是一部对于个人信息持有处理者的企事业单位的规

制法。从法律条文中的公开制度的表述中我们也不难发现，法律中没有类似于“国

民可以做出某某行为”的表述，而是以“企事业单位不可以做出某某行为”的表

述代之。因此这部法律不是一部直接规定国民的权利和利益的法律，它直接约束

的是企事业单位。国民的权利和利益在日本是依靠民法的权利保护条款去执行

25对外经贸大学硕士学位论文，张苑：日本《个人信息保护法》的实施及其对中国的启示

-精品-

的，因此原则上隐私受到侵害时，在明确隐私权如何受到侵害及其侵害度后，应

定性为民法的不法行为进行法律诉讼。

另一方面，企事业单位在利用消费者的个人信息时，需要告知“使用用途”，

并有“通知、发布”的义务。事实上几乎所有的企业为了保证消费者的个人信息

安全制定了相关的安全对策，并发布在各自的网站上。依据网站上的个人信息安

全对策，个人信息的利用者、消费者和企业之间形成了一种合同约定，据此可以

追究企事业单位的合同责任。

日本《个人信息保护法》目前只对于个人信息处理者的企事业单位的违法行

为进行处罚。行政厅对于个人信息处理者的企事业单位进行各种规制管理，并通

过要求其公开个人信息使用途径等方法了解其行为规范与否并对此进行法律监

督。然而对于非企事业单位或者法律规定企事业单位范围之外的企事业单位，目

前还没有具体的处罚规定，受害当事人可以对依据民法的规定对信息泄露者申请

违约责任、不法行为等赔偿。

2.其他

（1）《职业法》第五条之四规定了职业介绍机构等在保护求职者个人信

息方面的责任26。

（2）通商产业省也曾于1997年3月公布了《关于保护民间部门电子计算机

处理所涉及的个人信息的指南》（简称为“通产省指南”），以指导非政府部门的

个人信息保护。

（3）财团法人日本情报处理开发协会于1998年开始运作“隐私标识”（Privacy

Mark）制度，依据“通产省指南”向采取有力措施保护个人信息的非政府部门颁

发“隐私标识”。

26《中国社会科学院院报》，吕艳滨：日本隐私权保障的研究与启示

-精品-

四、加拿大

1.《隐私法》

《隐私法》生效于1983年,主要是规范加拿大联邦政府部门和机构收集、使

用和披露个人信息的行为。

2.《个人信息保护与电子文件法》

《个人信息保护与电子文件法》（PersonalInformationProtectionandElectronic

DocumentsAct，简称PIPEDA）是2000年通过的,并于2001年1月、2002年1

月和2004年1月等三个阶段逐步生效,它是规范加拿大私营部门在商业活动过程

中收集、使用或披露个人信息的行为。此外,加拿大一些省还对某些方面的个人

信息保护进行了专门立法,如阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和安大略

省就对医护服务提供者和其他医疗机构收集、使用和披露个人健康资料进行了专

门立法。27

对个人信息定义方面,加拿大《隐私法》和《个人信息保护与电子文件法》

对个人信息的定义并不完全一致。《隐私法》规定法律保护的个人信息是指以任

何形式记载的可识别的个人的信息,同时还明确列举了民族、种族、血型、指纹、

个人看法和观点等一些个人信息的具体类型。而《个人信息保护与电子文件法》

则规定,个人信息是指除姓名、职务以及作为一个组织雇员的或电话号

码外,所有的可识别的个人的信息。很明显,《隐私法》保护的个人信息没有涵盖

尚未形成记录的个人信息。

2.隐私专员办公室

在机构设置上,加拿大联邦的个人信息保护专门机构是加拿大隐私专员办公

室（OfficeofthePrivacyCommissioner）28,同时各省也设立隐私专员办公室或类

似机构,但各省隐私专员与联邦隐私专员之间并没有隶属关系。联邦隐私专员是

27《韶关学院学报》，许春尧：加拿大个人信息保护法律制度及借鉴

28/index_

-精品-

由加拿大总督与参、众两院的各政党领导人协商后提名,并经两院批准任命的,

任期七年。隐私专员的职责主要有（1）受理和调查个人信息侵权投诉。（2）对

私营部门和政府机构的个人信息保护政策措施进行审计。（3）向加拿大政府机构

和私营部门就个人信息保护问题提供咨询。（4）开展个人信息保护政策措施的研

究。（5）向加拿大议会提交个人信息保护情况的年度报告和特别报告。

五、国际流通

《关于保护隐私和个人数据国际流通的指南》

欧美各国在20世纪70年代就开始完善个人信息保护的相关法律。到了20世

纪80年代，经济合作开发组织（OECD）理事会从协调各国法律规定的角度出

发，颁布了《关于保护隐私和个人数据国际流通的指南》(Guidelinesonthe

ProtectionofPrivacyandTransporterFlowsofPersonalData)29。

2.《安全港协议》

欧盟在规范公司如何采集和处理个人数据时，显得比美国谨慎。1998年生效

的欧盟个人数据保护指令，不许向未达到欧盟标准的国家或地区传输客户的个人

数据。鉴于这种现状，欧盟向美国传输客户的个人数据时，显得十分勉强。为了

避免贸易摩擦，经过2年多的谈判，于2000年双方推出了由美国提出的《安全

港协议》（SafeHarbor）30。按照此协议精神，美国公司可以自愿接受约束，以获

取来自欧洲的更多商业机会。即便如此，《安全港协议》的严谨程度还是比不上

现行的欧洲相关法律，遭到一些消费者权益保护组织的非难。

“信息安全港”其实是一个虚拟“社区”。它公布一些基本的隐私权保护

原则。任何企业,只要宣布自己遵守上述原则并提出了具体落实方案,报有关部

门或机构备案后,就算进入了“信息安全港”,可以“安全、合法地”从欧盟

国家转移消费者资料了。如果事后发现该企业并未达到声称的保护标准,则可以

29

30

/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,

/safeharbor/

-精品-

以欺诈论处。

1.信息安全港要求成员企业必须有一个面向消费者的投诉机制。

2.明确了信息安全港成员企业若违背信息安全港原则将受到何种惩罚。

3.凡根据美国法律不受某个明确政府机构或其他有法律强制权力的机构监

管的行业,其企业均不得进入信息安全港。

隐私保护框架

亚太经合组织旨在建立一个地区隐私保护标准，该标准建立在经合组织已有

原则的修订版之上，旨在处理跨国家的个人数据流动问题。自亚太经合组织电子

商务领导小组于2004年期间修正之后，亚太经合组织隐私保护框架(APEC

PrivacyFramework)31最终于2004年11月被亚太经合组织成员国部长会议通过。

31

/apec/news___media/2004_media_releases/201104_ib

?url=/etc/medialib/apec_media_library/downloads/ministerial/annual/.v1.1

-精品-