美欧资料隐私法律保护体制的不足与完善

第三节　美欧资料隐私法律保护体制的不足与完善

美国的隐私政策具有事后补救性而非事先预见性，片面性而非全面性，分散性而非一致性。法律很多，但隐私保护水平却不高。⁽¹⁹³⁾

——班内特(Colin J．Bennett)

欧盟的资料保护与美国的信息隐私体制主要存在三大区别:(1)在理论上，欧盟更注重资料隐私的政治特性和社会价值，并逐步将其确立为人权保护的重要组成部分。美国更关注信息隐私的经济特性和个人价值，将其界定为一个私人问题与一项个人权利。(2)在立法模式上，欧盟各国均制定了全面的资料保护法，一并规制公私领域中的资料处理行为，不仅保护个人的隐私权，更调整资料当事人与资料使用者和社会之间在信息流转上的利益关系。对公共领域，美国仅针对联邦机关的资料处理行为制定了隐私法。对私人行业，美国采取了分散立法模式，只对电信、金融、保险等行业与驾驶员信息、影像制品租赁信息、教育信息和儿童网上隐私等特定领域通过了联邦立法。此外，美国宪法和普通法也未能给信息隐私提供全面的保障。(3)在执行体制上，欧盟采取了以国家公权力监督为主导的自上而下的模式，设立国家资料保护机构，对资料处理进行登记和审批，对违法资料处理行为进行审计、调查、处罚和制裁，处理个人提起的与资料处理相关的控诉，同时鼓励资料使用人自律，培育行业自治。对公共领域，美国采取了资料使用者自律与个人自力救济相结合的执行机制。对私人行业，美国则奉行以市场为主导、以行业自治为中心的信息隐私政策，尽量减少政府的强制干预。

当然，上述区别是相对的，且也有其内在的政治、经济、社会和文化等原因。本节将结合欧洲资料保护的经验，分析美国在信息隐私立法和执行上的缺陷和不足，并论证在信息时代，兼顾资料隐私的政治、经济和科技特性，权衡资料隐私的个人和社会价值，合理确定政府、市场和科技在资料隐私保护上的角色，有效结合法律、市场规则和科技规则的调整功能，充分发挥资料保护机构、市场自治和科技自律的作用，这是构建全面高效的资料隐私保护体制的关键。

一、美国分散的信息隐私法及其执行机制

(一)隐私侵权与信息隐私保护

隐私权的理论和实践均源自美国，而且，作为计算机等信息技术的发源地，美国也较早地关注信息隐私问题，但其普通法和宪法并未能给信息隐私提供全面有效的保护。

在美国，个人信息隐私权渊源于传统的隐私权。如高姆利(Ken Gormley)所言，“隐私的不同分支都与一个根紧密相连，都产生于同一片土壤”。⁽¹⁹⁴⁾法院和立法者也利用模糊但现成的隐私概念应对信息技术带来的新问题。然而，传统的隐私权多以保护个人的私人世界免受干扰为目的，以保密和防止信息披露为手段，保护个人的独处状态，或要求他人有限地接近自我。传统隐私法所针对的问题与个人资料处理具有根本的区别。例如，随着摄像技术与报业的兴起，个人的私人和家庭生活遭到严重侵扰。为此，沃伦和布兰蒂斯于1890年指出，当时的普通法并未能有效地规制这一现象，主张确立个人免受外界干扰的权利，⁽¹⁹⁵⁾这也被认定为隐私权的起源。⁽¹⁹⁶⁾随后，美国法院也逐步确立了被布兰蒂斯称为最全面，也是文明社会中人们最重视的权利，⁽¹⁹⁷⁾即独处权。⁽¹⁹⁸⁾然而，独处权仅旨在保护私人和家庭生活中神圣的私密世界。⁽¹⁹⁹⁾

经比较研究三百多个隐私侵权案件，普劳瑟将隐私侵权分为四类:(1)侵扰原告的隔离或独处境况，或干扰其私人事务;(2)公开披露与原告有关并令其尴尬的私人事实;(3)使原告被公众错误理解的宣传;(4)挪用原告的姓名或肖像以牟取私利。⁽²⁰⁰⁾由于这些侵权旨在规制披露私人秘密或令人尴尬的事实，它们不以限制个人信息的不当收集、使用和散播为初衷，自然也就不能很好地解决个人信息隐私保护问题。⁽²⁰¹⁾

“侵扰原告的隔离或独处境况，或干扰其私人事务”旨在限制对理性的自然人而言具有严重的侵扰性的故意侵扰个人的独处和独居状态或干涉他人的私人事务的行为。⁽²⁰²⁾索罗伍教授认为，虽然该侵权可适用于当代的个人信息收集活动，很多信息收集自身对理性的自然人而言并不具有严重的侵扰性。单个的信息通常微不足道，但信息合并使问题发生了质变。⁽²⁰³⁾美国法院也未将利用个人电话号码开展直接营销，⁽²⁰⁴⁾向直接营销公司出售个人邮件地址，⁽²⁰⁵⁾收集和披露个人的保险历史记录⁽²⁰⁶⁾等认定为隐私侵权。此外，侵扰意味着干涉个人的独处或独居，信息仍处于保密状态，因此，法院拒绝保护已经公开的个人资料，但如今，政府和企业收集的信息多为公开性的个人信息。

“公开披露与原告有关并令其尴尬的私人事实”需要满足两个条件:信息对理性的自然人而言具有严重的侵扰性，而且公众不具有了解该信息的正当理由。⁽²⁰⁷⁾表面上看，该侵权可用以限制披露和买卖个人信息，而实际上，它主要用来限制报纸向公众不当披露对个人具有私密性而公众无权知悉的私人事实。相对于报纸等媒体散播私人事实而言，企业之间买卖或转移信息更具隐蔽性，个人往往不知道自己的信息为他人收集，更无从探究谁为了什么目的披露或买卖信息。

“使原告被公众错误理解的宣传”要求被告向公众披露关于原告的事实，使公众对其产生错误的认识，而且对理性的自然人而言，这具有严重侵扰性。⁽²⁰⁸⁾该侵权旨在保护个人的名誉，但除不准确的个人信息外，资料处理往往并不歪曲个人的公共形象。

“挪用原告的姓名或肖像牟取私利”旨在限制被告为了私利不当使用原告的姓名或肖像，⁽²⁰⁹⁾保护原告对其身份的专属使用权。它也不能有效地限制政府和企业因不当发掘个人信息的商业价值而侵害个人的信息隐私。例如，在Dwyer v．American Express Co．案中，美国法院认为运通公司(American Express)向商家出售持卡人的姓名并不构成上述隐私侵权，因为，单个的个人姓名并无商业价值，只有将其与被告所持有的名单相关联，它才具有价值。信用卡公司通过处理、合并这些单个的姓名创造了新的价值。同时，被告出售原告的姓名并不影响原告姓名自身所具有的任何价值。⁽²¹⁰⁾

因此，即使经适当的调整，隐私侵权可以摆脱上述困境，资料库所牵涉的隐私保护问题超越了侵权所针对的特定侵害行为。从本质上讲，侵权法更关注特定的加害行为和损害事实。资料库所关涉的隐私问题并不源自任何特定行为，而主要是合并单个微不足道的信息而带来的系统性的权力失衡问题。⁽²¹¹⁾换言之，解决信息隐私的关键不在于为特定的信息处理行为确立侵权诉讼的法律依据，而是要通过法律调整个人同资料使用者在信息流转上的利益关系。

实际上，除了索罗伍教授所称的合并问题(Aggregation Problem)外，收集、使用和散播个人信息等具体的资料处理行为都可能侵害个人的权利和自由。信息隐私所牵涉的问题比传统的隐私侵权要广得多，而且与之也有质的不同。尤其是，在当今的信息社会，政府和企业不当收集、使用和转移的个人信息并不具有私密性，不令人尴尬，也不损害个人的名誉，但它们仍足以侵害个人的基本权利，损害个人的现实利益和自由决策。此外，信息收集、处理和散播也无影无形，个人很难查实隐私侵权行为的根源，更难以举证。总之，以个人自力救济为执行手段对特定侵权行为进行事后补救的隐私侵权法，从内容和执行途径上都无法为信息社会中的个人资料隐私权提供有效的保障。

(二)美国宪法与个人信息隐私

与隐私侵权普通法一样，美国宪法也不能有效地保护个人的信息隐私权。首先，宪法确立的隐私权一般以保护私密性的个人事实为目的，并非直接针对个人信息。其次，宪法仅旨在限制政府非法侵扰个人的私人和家庭生活，并不规制私人行业中的个人信息收集、使用和散播。最后，与侵权法一样，宪法确立的个人信息隐私权也以个人自力救济为执行手段，以事后补救的方式解决个案中的特定问题。

根据美国宪法第一、第三、第四、第五和第九修正案，美国法院承认个人在不同情形下具有隐私利益，但它们都不能直接限制政府的不当个人信息处理行为。⁽²¹²⁾其中，第四修正案与限制政府不当使用个人信息的关联最为密切，但法院将隐私严格界定为保护个人的私人秘密，并不足以保护个人在资料收集、使用和散播过程中对资料所具有的正当利益。例如，在Smith v．Maryland案中，法院认为，个人向电话公司透露了其拨打的电话号码，他对有关这些号码的记录不具有隐私利益。⁽²¹³⁾在United States v．Miller案中，法院认为个人对银行记录的支票和存款单等金融信息也不具有隐私利益，因为，这些信息并不属于保密性的信息，它们是商业交易的工具，且个人在同银行间的业务中自愿透露了这些信息。第四修正案并不禁止政府机关收集个人向第三人透露的信息及其向政府提供的信息。⁽²¹⁴⁾因此，一旦向第三人透露自己的个人信息，或自愿地向他人提供个人信息，个人就不具有宪法所界定的隐私利益。当今，国家机关和私人行业记录和使用的个人信息日益增多，以保护私人秘密为主旨的宪法性隐私权根本无法保护个人的信息隐私。

此外，美国法院还在不同的案件中认定个人在特定情形下具有宪法性的信息隐私权，但多数判决仍以保护个人信息的保密性及禁止不当披露私人事实为主旨。1977年的Whalen v．Roe⁽²¹⁵⁾案将隐私保护扩展到信息隐私。该案中，纽约通过了一项法律要求对接受特定药瘾治疗者进行登记。原告主张该法侵害了其隐私权。法院认为，宪法保护的隐私范围应扩展至两种不同的利益:独立地作出特定种类的重大决定，个人在避免私人事项遭披露上具有利益。⁽²¹⁶⁾此案之前，对保护第二种利益还不存在判例。原告主张，他们害怕其个人信息会遭到更大范围的公开，存在被披露的风险，并因此未获得有关的处方，损害了他们独立地作出有关健康的决定的权利。然而，法院却指出，宪法性的信息隐私权仅限制不适当的信息披露，且州已经采取了充分的安全措施。⁽²¹⁷⁾按照这一逻辑，在法院看来，对具有较强私人性的个人信息，如性行为或医疗状况等，个人具有隐私利益。⁽²¹⁸⁾除此之外，宪法并不保护其他个人信息，例如，个人对与其有关的逮捕和犯罪信息不具有隐私权，因为这些信息已经存在于公共记录中。⁽²¹⁹⁾

信息隐私关涉信息的收集、使用和散播等整个信息流转过程，而不只是私密信息的不当披露。在信息社会中，个人信息在个人同公私机构间的交往关系中产生，在不同的主体间快速流转，也因此不再具有私密性。虽然不当披露个人信息可能侵害我们的隐私权，但避免信息披露并非信息隐私的核心内容。对个人信息，资料当事人要求的不只是保密，而是更强的控制力以及对信息流转过程更有效地参与和决策能力。美国宪法确立的以保密为主旨的个人信息隐私权并未把握资料隐私的本质，自然也无法有效地保护资料隐私。如纳弗所言，随着与我们相关的个人信息被越来越多地储存至资料库中，私密性的信息越来越少，美国联邦宪法和普通法所能提供的保护也越来越有限。若隐私法仅保护特定的、具有较强私人性、非公开性和保密性的信息，那么能得到保护的信息会很少。而且，如果我们主要依赖个人力量通过诉讼等方式来执行普通法和宪法，信息隐私将几乎不具备任何法律保障。⁽²²⁰⁾

(三)1974年《隐私法》及其执行机制

1．1974年《隐私法》的制定过程

第二次世界大战后，尤其是20世纪60年代初，政府的公共福利职能增强，金融和保险等行业对个人信用依赖程度提高，计算机和通信等信息技术飞速发展，美国政府机关和私人行业越来越多地收集和使用个人信息，创建包含大规模人群信息的计算机化数据库。美国学者、政府和民众也开始讨论个人信息记录的计算机化可能对公民权利带来的影响，并主要关注资料库对个人隐私带来的风险及如何规制其创建和运作。计算机技术的发展和广泛运用为个人同政府和企业之间在资料流动上创设了新型的法律关系，也带来了新的问题。普通法和宪法未能根据科技和社会发展通过判例法对个人隐私权提供适当的保障，也是个人信息隐私问题产生的重要原因之一。⁽²²¹⁾而且，司法程序似乎从功能上不宜针对信息记录发展一般性的普通法规则。美国国会也开始关注该问题，然而，离开法律规制，政府机关为了提高工作效率仍在不断地利用计算机技术集中公民信息。经考察个人信息记录计算机化带来的影响，1973年的《记录、计算机与公民权利报告》⁽²²²⁾指出，已有法律的自然演进根本无法保护个人隐私免受计算机化个人资料系统造成的风险，联邦政府机关应采纳正当信息行为守则，立法机关应及时采取行动，制定适当的规则，全面解决个人同信息记录组织和社会间的利益冲突。

由艾文任主席的美国参议院司法委员会宪法权利特别委员会(Senate Judiciary Committee's Subcommitee on Constitutional Rights)，对美国《隐私法》的内容及其最终通过都发挥了至关重要的作用。1970～1974年，经深入调查联邦机关记录个人资料及创建和使用数据库的情况，特别委员会探讨了有关的问题，并发表了《联邦资料库与宪法权利报告》。⁽²²³⁾报告指出，大量的政府数据库已经存在，它们包含与每位美国公民相关的各种个人信息。委员会建议，应通过法律调整政府资料库的创设和运行，政府应采取全面、准确的报告制度，保障个人隐私，通知资料当事人，限制跨机构间的信息转移，严格保护信息的安全，由法律全面规制政府资料库的目的、内容和使用。⁽²²⁴⁾

1974年5月1日，艾文等参议员向参议院提交了《关于设立联邦隐私委员会的法案》。⁽²²⁵⁾该法案不仅适用范围广泛，内容全面，而且在执行体制上也别具特色。在适用范围上，它一并规制联邦、州和地方政府以及私人行业的资料收集、保存和散播活动;在执行体制上，它要求设立联邦资料保护委员会。另外，它还明确了正当信息行为原则，赋予个人知情权与查阅和修改资料等权利。与此同时，1974年8月，毛海德(Moorhead)等议员向众议院提交了《1974年隐私法案》。⁽²²⁶⁾该法案仅适用于联邦政府机关收集、使用和散播个人信息的行为，也不建议设立联邦资料保护委员会监督隐私法的实施。由于美国参众两院对同一立法通过了内容存在重大差异的法案，两院不得不就此开展协商。结果，隐私法以众议院法案为蓝本，折中了两草案的做法:在适用范围上，放弃规制私人行业中的资料处理;在执行体制上，不再设立具有广泛职权的联邦隐私委员会，成立仅具有调查、研究和立法建议权的临时性“隐私保护研究委员会”，由管理与预算办公室(Office of Management and Budget)负责监督隐私法的实施。1974年12月，两院通过了《隐私法》。⁽²²⁷⁾

2．公私分立的分散立法模式

1974年《隐私法》漫长且充满争议的制定过程一直围绕两个焦点问题:是否需要对私人行业中的资料处理一并立法?是否需要设立联邦隐私委员会?美国与欧盟对两个问题的不同回答，导致二者在资料隐私立法和执行体制上开始分道扬镳，并渐行渐远，《隐私法》也成为欧美资料隐私保护模式出现裂痕的分水岭。对私人行业中的资料处理，美国采取了分散立法模式。在执行体制上，对公共领域，美国未设立联邦隐私委员会监督隐私法的实施，而采取了以联邦机关自律为主，以个人自力行使与通过法院执行资料权利为辅的资料隐私保护模式。

如上所述，1973年的《记录、计算机与公民权利报告》建议联邦机关和私人行业均遵守正当信息行为守则，美国参议院提出的隐私法案也主张一并规制公私领域的资料处理，但这种全面立法的动议遭到了各方面的反对。美国商务部等主张，并不存在证据证明私人行业同联邦机关一样正在不当收集、使用和散播大量的个人信息。⁽²²⁸⁾为此，主张保护个人隐私者必须证明，私人行业的资料库存在不当运作，并严重侵害了个人的正当权益。他们提供了零散的事实，但仍无法证明私人行业资料库的运作存在系统性、整体性的问题，也无法说明为何需要严格限制私人行业中的资料处理行为。

同时，美国的私人行业，尤其是大量收集、使用和转移个人信息的保险、金融、直接营销及后来兴起的个人信息处理行业，也纷纷反对以联邦立法的形式限制私人行业中的资料处理活动。人们一贯认为，私人行业牵涉过多的问题与相互冲突的利益，不宜通过集中化的中央管制模式解决有关问题。通过联邦制度保护信息隐私，同时还不给私人行业施加过重的负担，是一个棘手的难题。⁽²²⁹⁾为此，就连隐私权的强力支持者威斯丁也认为，对私人行业中的资料处理行为统一立法似乎为时尚早。⁽²³⁰⁾

3．资料保护委员会与《隐私法》的执行机制

1974年《隐私法》制定前后，备受争议的另一问题为隐私法的执行体制，即美国是否需要设立联邦隐私委员会，由其负责监督资料处理行为。早在20世纪60年代末，美国参议院的宪法权利委员会就曾建议设立隐私保护机构，监督联邦机关收集、使用和散播个人信息。⁽²³¹⁾70年代初，在艾文等人的倡导下，越来越多的人支持设立独立的机构监督联邦机关资料库的运作。⁽²³²⁾

然而，这一建议遭到了各方面的反对。例如，1973年的《记录、计算机与公民权利报告》指出:“有人建议由公共性的保障机构监督个人资料自动化系统的运作，确定并公开其危害，调查并处理对其不当运作提起的控诉……我们认为这一做法具有很多优点，但是它以事后救济为基本理念，而且只有在法律确定了相应的权利和程序后，它才能得以有效运作。此外，该方法在美国也不能得到较好的理解、接受和支持。有人认为在美国的法律、政治和行政管理传统下，它存在严重的缺陷。”⁽²³³⁾设立独立的联邦机构统一管理所有的自动化个人资料系统是个人隐私最强有力的保障机制。尤其是，有人建议由该机构负责对资料系统进行登记和审批，确保其遵守特定的隐私保障要求。然而，使用个人资料自动化系统的组织和机构的数量和种类繁多。系统自身在目的、复杂性、适用范围和管理环境等方面也大不相同。它们的有害影响也同这些特征一样存在差异。“我们怀疑是否有必要设立一个具有如此广泛职权和普遍影响力的联邦机构，由其管理所有自动化的个人资料系统，我们更怀疑公众当前对该做法的支持。”此外，管理和登记制度不仅在运作上极其复杂，而且成本也过高，还可能对运用计算机技术记录个人信息造成不必要的障碍。⁽²³⁴⁾隐私保障机制不应给资料处理技术的进一步发展、革新和应用造成障碍，因为它们增进了当代社会中个人和组织的福祉。因此，隐私保护不要求设立一个全新的机制，而且，限制电子资料处理技术的运用也应以适当地保障资料记录中的个人隐私为限。以协调资料处理中各当事方与社会整体之间的利益冲突为主旨，委员会主张以正当信息行为守则为依据，确立以资料使用机构自律为中心、以法院对不当信息行为进行制裁为辅助的隐私保障机制。⁽²³⁵⁾

1974年，艾文向参议院提交的法案要求设立联邦隐私委员会，由其负责监督联邦机关、州和地方政府以及私人组织的资料处理行为。⁽²³⁶⁾委员会由五人组成。为保证委员会的独立性，法案要求其成员应经参议院推荐，并由总统任命。三个以上的成员不得属于同一政党。成员的任期为三年，且连任不得超过两届。成员在任职期间不得担任其他公职。在职责上，委员会除了应负责执行法案第二部分有关个人信息处理的规定外，还应向总统和国会做年度报告，汇报美国现有的资料处理系统及其运作情况。为确保隐私委员会能够独立、有效地履行职责，草案赋予其广泛的权力:调查权，对资料处理系统进行调查，并要求公私资料系统的持有人提供与系统相关的文件;制裁权，一旦断定存在违法行为，委员会有权命令有关组织停止违法行为;举行公开听证权:对主张不适用本法案规定的请求举行公开听证，并向国会提交建议。可以说，从委员会的组成、成员的任命以及委员会的职责和权限等方面，法案为美国设立隐私保护机构，由其负责执行隐私法作出了全面、细致的规定。由于种种原因，这一法案和设立联邦隐私委员会的建议在美国只是昙花一现，而它在欧洲则得以全面发展，并于当今呈遍地开花之势。⁽²³⁷⁾

在法案讨论过程中，有关联邦隐私委员会的规定成为参议院争论的焦点。政府机构的代表认为，应主要靠各机关的自律保护个人信息隐私，设立隐私委员会只会增加政府的成本，而且复杂的行政管理机制也不能解决相关的问题。例如，管理与预算办公室的主任艾什(Roy Ash)指出，设立独立的机构对法律的执行非但没有必要，而且毫无帮助，还可能破坏现有的责任分配。他建议委员会删除关于设立隐私委员会的全部条款，改由各机构自律。虽然已对法案进行多处修改，“联邦政府机关仍将其视同魔鬼。从行政机关冗长的反对中，似乎只有删除法案中的所有主要条款才能满足行政机关中某些人的要求”。委员会重申了设立联邦隐私委员会的必要性:“设立委员会，协助执行本法案，监督违法行为，协助国会和行政机关监控联邦政府对美国公民隐私的侵害，在我们看来都是必要的。”⁽²³⁸⁾然而，由于联邦行政机关的强烈反对，1974年11月，参议院通过的草案缩减了隐私委员会的管理职权，使其成为一个调查和建议性的机构。例如，对自动化个人资料系统，委员会仍具有调查、监督、举行听证、发布公报、制定行为守则等权力，但它无权要求联邦机关停止或终止某个人资料库。⁽²³⁹⁾

同时，1974年8月，毛海德等议员向众议院提交的《1974年隐私法案》不要求设立专门机构监督隐私法的实施。⁽²⁴⁰⁾在法案的评议过程中，众议院认为设立此类机构成本过高，管理方式过于机械化，总统也反对设立该机构，而且美国法院为公民提供了自然的救济方式——自行提起诉讼。⁽²⁴¹⁾众议院最终通过的隐私法案不要求通过外部机构监督隐私法的实施。⁽²⁴²⁾

经美国参众两院协商与妥协，在折中两法案的基础上，最终通过的《隐私法》放弃设立联邦隐私委员会，仅成立隐私保护研究委员会，由其负责调查和研究政府、区域和私人组织持有的资料库、自动化资料处理程序和信息系统，以决定保护个人信息的标准和程序，并在资料处理与信息隐私保护上向总统和国会提出建议。美国总统管理与预算办公室负责为联邦机关执行隐私法制定指导原则或规章，为联邦机关执行原则和规章提供协助和监督。

随着私人行业被剔除出隐私法的适用范围，尤其是设立联邦隐私委员会动议的流产，《隐私法》选择了以联邦机关自律为主的执行机制，同时还辅以个人通过向法院起诉的方式进行自力救济。这一机制存在严重的缺陷和不足，尤其是离开外部机构的有效监督，联邦机关不具有内在动因进行自律。它们负责制定有关规则，限制资料的收集、使用和散播，允许个人查阅和修改资料。对个人而言，隐私法在纸面上规定个人有权查阅自己的资料，修改不相关或不准确的个人信息。但在现实中，由于成本、时间和精力耗费等原因，个人很难有效地行使上述权利。如《隐私法》规定，未经个人同意，联邦机关之间不得分享个人信息，联邦机关认为获取大量个人的同意成本过高，且往往不具可行性。此外，依靠个人参与和法院判决执行隐私法也无法保护个人的资料隐私权。根据《隐私法》，因联邦机关故意或有意行为而违反隐私法规定的，个人有权提起民事诉讼，并主张赔偿。然而，只有在能够证明联邦机关的行为对其造成实际损害的情况下，个人才可以主张赔偿。个人很难通过诉讼有效地行使其法定权利。

在现实中，由于其自身性质、功能等方面的限制，管理与预算办公室也未能积极有效地行使其法定职责，很少对联邦机关遵守隐私法的规定提出建议，在监督联邦机关的资料处理行为上也采取了消极立场。人们逐渐认识到《隐私法》自身及其执行体制的不足，并建议成立隐私委员会。⁽²⁴³⁾直到当今，很多美国学者仍在呼吁美国借鉴欧盟的资料保护经验，对公私领域中的资料处理统一立法，并设立国家资料保护机构监督信息隐私法的实施。⁽²⁴⁴⁾

(四)行业性联邦信息隐私法的缺陷与不足

1．分散立法的开端与个人自力执行机制

如上所述，1974年《隐私法》拉开了美国对公私领域信息隐私进行分散立法的序幕。忽视隐私的社会价值，强调隐私的个人特性，注重个人信息的商业价值，美国对私人行业采取了以市场为主导、以资料使用人自律与行业自治为中心的个人信息保护体制。针对不同领域中的具体问题，美国自20世纪70年代初至今不断通过联邦立法逐一加以应对，对金融、通信、医疗等特定行业及教育、家庭娱乐和驾员信息等特定信息分别立法，并由此形成一套保护水平不均、相互冲突且主要依靠个人自力救济的信息隐私法律保护体制。

根据1970年的《正当信用报告法》(FCRA)，个人有权查阅信用报告机构持有的个人信用信息，对报告中信息的准确性提出异议，限制信息的披露，并对违法行为造成的损害主张赔偿。由于采取了以个人自力救济为主的执行模式，在实际运作中，该法规定的个人权利与信用报告机构的义务形同虚设。随着信用机构允许个人通过互联网的方式查阅个人信息报告，人们逐渐采取措施确保信息的准确性和全面性。此外，根据该法，信用报告的使用者，如贷款人、雇佣者和保险公司等，若以报告中的信息为依据对个人作出了不利的决定，应将该事宜告知消费者，包括该信用报告的来源以及个人有权查阅报告并要求修改错误信息。⁽²⁴⁵⁾虽然存在种种弊端，自我执行模式对信用信息至少还具有可行性，因为信息报告中错误信息所导致的损害能较快地传递至消费者。

2．联邦信息隐私法的缺陷与不足

参照《正当信用报告法》，美国随后的信息隐私法也采取了以个人自力救济为主的执行机制。其中，有些立法比较成功。例如，1974年的《家庭教育权利与隐私法》限制校方公开学生记录，未经家长同意不得披露学生的成绩单和守纪情况等记录。⁽²⁴⁶⁾这些记录一直被视为具有较强的私人性，且一旦披露可能对个人产生严重的负面影响。同时，校方出于维护自己名誉的考虑也不会为了牟利而披露学生的记录。实际上，该法反而为校方拒绝披露学生信息提供了法律依据。

其他依赖个人自力执行的隐私立法则存在严重的不足。1984年的《电缆通信政策法》(CCPA)⁽²⁴⁷⁾要求电缆通信公司向用户通告收集和使用其个人信息的情况，并不得披露用户的查阅习惯。但是，该法规定了广泛的例外情形，如为了正当的商业活动，通信公司可披露个人信息。此外，“9·11”事件前，该法要求通信公司在向政府披露用户的保密信息前对用户作出通告，且用户对披露有权要求进行听证，⁽²⁴⁸⁾而该事件后，《美国爱国法》(U．S．Patriot Act)剥夺了宽带网络用户的上述权利。⁽²⁴⁹⁾

1986年的《电子通信隐私法》(ECPA)⁽²⁵⁰⁾将政府不得非法截取的信息通信手段由传统的电话扩展至现代化的通信设备，如移动电话和电子邮件等，限制政府监听或监控私人的通信信息。然而，它仅适用于通信服务商向政府披露个人信息，并不限制网络服务提供商同非政府机构分享用户的个人信息。根据1988年的《影像隐私保护法》(VPPA)，⁽²⁵¹⁾未经消费者事先书面同意，录像带等影视服务商不得披露其租赁、购买或订阅的影视资料的名称等信息。但是，若披露属于正常的业务活动，服务商可向其他商家披露影视销售和出租信息。根据1991年的《电话消费者保护法》(TCPA)，⁽²⁵²⁾个人有权要求电话直销商不再通过电话向其开展商业推广活动，但它仅旨在减少骚扰性的商业广告电话或传真，并不限制个人资料处理行为。

1994年的《驾员隐私保护法》(DPPA)⁽²⁵³⁾要求各州在向商家披露个人的车辆登记信息前首先获取该个人的同意，对违法披露尤其是出售个人车辆信息的各州主管部门进行处罚，而且，个人有权对非法获取或披露个人信息者提起民事诉讼，要求法院作出实际和惩罚性的损害赔偿。但它仅适用于车辆记录，而且还规定了众多例外情形，例如，它允许向执法机关、汽车行业、政府机构、保险行业、收债机构、私家侦探等披露上述信息。1996年的《健康保险便利与责任法》(HIPAA)⁽²⁵⁴⁾要求健康计划和特定健康服务提供者在开展治疗、付款或健康护理业务外的活动中使用或披露个人信息应首先获得个人的同意，并采取适当的措施保障病人医疗信息的安全。未经个人书面同意，若已经剔除了识别性的信息，HIPAA允许披露病人的信息。但它仅适用于健康计划、健康信息处理者和健康服务提供者持有的个人医疗资料，其他持有健康信息者不受该法约束。

作为首部网络隐私保护法，1998年的《儿童网上隐私保护法》(COPPA)⁽²⁵⁵⁾限制通过互联网收集儿童的个人信息，但它仅适用于针对儿童开设的网站、网页或运营商实际上了解其正在收集儿童的个人信息，且仅保护年龄不超过13周岁的儿童的信息。此外，该法仅限制信息披露，并规定了众多的例外情形。1999年的《金融服务现代化法》(FSMA)⁽²⁵⁶⁾为银行、保险、投资公司等存在相互关联的金融机构在其分支或附属机构之间共享个人信息提供了合法依据，因为它们虽然有责任告知消费者它们在分享其个人信息，个人并无反对权。若金融机构对外披露客户的个人信息，个人具有排除权。但是，在实际运作中，金融机构的隐私政策纷繁复杂、难以理解且具有较强的误导性，个人也难以有效地行使排除权。⁽²⁵⁷⁾此外，该法仅适用于非公开性的信息，而数据库中的信息多为公开性的信息。

总之，美国私人行业中的信息隐私联邦立法并未把握资料隐私问题的本质，将隐私视为一项私人权利，忽视了资料隐私的社会价值及隐私的社会性，未确立切实可行的执行机制，也未平衡个人同资料使用者在信息流转关系上的力量。从内容上看，它们仅解决了资料隐私中的某些特定问题。美国的联邦立法构建了一套复杂的管理体系，且存在着严重的空缺和不足。⁽²⁵⁸⁾例如，在适用范围上，联邦立法仅规制个人信用报告、联邦机关的记录、教育记录、电子通信记录、影像租赁记录、州机动车辆记录、儿童网上隐私与特定的医疗信息等，而不适用于公司广泛使用的其他个人信息。班内特认为，美国的隐私政策具有事后补救性而非事先预见性，片面性而非全面性，分散性而非一致性。存在不少法律，但却不存在有效的保护。最后，在执行体制上，联邦隐私法均以资料使用者自律与个人自力救济为中心，缺乏必要的外部监督机制，这使得原本存在严重缺陷的纸面立法的实际作用再打折扣。

二、美国的市场调节与行业自治机制

着眼于资料隐私的经济特性，对私人行业中的信息隐私保护，美国主要采取了以资料使用人自律，市场调节与行业自治为主导的执行机制。该机制经历了产生、发展和勃兴等阶段，期望达到个人信息的最优化使用，并为个人隐私提供适当的保护。它不但存在理论缺陷，在实践上也不能有效地保护个人的资料隐私。

(一)市场调节与行业自治机制的产生与发展

1．市场调节与行业自治机制的产生

在执行机制上，美国1973年的《记录、计算机与公民权利报告》就曾建议通过立法明确个人资料系统使用者的责任，为其严格遵守正当信息行为原则提供诱因，以便公私机构在资料处理的决策上做到公开、透明、公正，适当地考虑个人的隐私利益，但不得限制信息技术的应用和发展。⁽²⁵⁹⁾1977年，根据美国《隐私法》设立的隐私保护研究委员会公布了《信息社会中的个人隐私报告》。⁽²⁶⁰⁾报告指出，个人信息隐私既具有社会价值，也具有个人利益。个人信息记录关系涉及重大的社会利益，个人信息隐私也就自然具有社会价值，并需要与其他社会价值进行权衡，如信息自由、司法、成本、联邦同州之间的关系等。但是，在决定如何平衡这些重大的社会利益时，委员会将隐私视为一项私人性的个人权利，尤其是，对私人行业中的信息隐私保护，委员会建议采取资料使用者自律与市场自动调整为主的方式。委员会不主张通过立法保护私人行业中的信息隐私，因为私人行业会自动接受规则的约束。由此，对私人行业中的个人信息隐私保护，美国以市场调节和行业自治为主导，限制政府干预，由个人同企业在市场上对个人信息进行定价和交易，期望在实现个人信息最优化配置的同时保护个人隐私。

2．国家信息高速公路计划

相对于政府的强制性干预，私人行业一直更倾向于市场调节和行业自治。尤其是，随着美国信息经济与电子商务的迅速崛起，为保持其信息产业和电子商务的世界领先地位与可持续发展，美国政府也开始介入与电子商务相关的个人信息隐私保护。但是，这种以经济发展为导向的功利主义策略使得美国在私人行业中信息隐私的保护上更加注重市场的调节作用，强调行业自治的主导地位，尽量限制政府干预。

为执行“国家信息高速公路计划”(National Information Infrastructure)，美国联邦政府于1993年设立了信息高速公路工作组(Information Infrastructure Task Force)，由其负责制定与信息技术发展相关的政策。1995年，工作组公布了《隐私与国家信息高速公路:提供与使用个人信息的原则报告》。⁽²⁶¹⁾报告指出，国家信息高速公路的发展具有两重性，它既给社会创造了福利，也同时危及个人隐私。为了实现隐私的个人和社会价值，增强个人对信息发展计划的参与，促进国家信息高速公路的全面发展，工作组针对个人、私人行业和政府等相关当事方制定了一系列正当信息行为原则。⁽²⁶²⁾这些原则不具有法律效力，也不创设任何实体和程序性的权利和义务。

从具体内容上看，工作组将信息隐私界定为个人对个人信息收集、披露和使用条件的控制权。根据正当信息行为原则，作为一般原则，只有当个人同信息使用者在信息收集、使用和披露上达成相互一致时，才能最好地保护个人隐私。只有在少数特定情形下，如个人不具有适当的谈判力量，个人同信息使用者之间虽已达成自愿性的一致，也可能未对隐私提供适当的保护。在这种情形下，为满足信息隐私原则的要求，社会应确保一定程度的隐私水平。换言之，市场是调节个人同资料使用者之间信息流转关系的最好手段，但市场也存在一定的缺陷，需要通过行业自治等手段加以矫正。

3．电信与信息服务

同年，参照上述报告，美国电信与信息管理局(National Telecommunications and Information Administration)对电信行业中的隐私保护也公布了白皮书，即《收集、使用和散播同电信相关的个人信息》。白皮书强调，美国法并未给个人隐私提供有效的保护。信息隐私并非一项绝对的权利:任何人只要生活在社会中均不可能对与其相关的每份信息都具有完全的控制。实际上，个人信息的流转有助于促进个人福利。在执行体制上，只有个人同信息使用者对信息收集、使用和披露达成一定的共识，才能最好地保护信息隐私。在这种交易模式下，公司可以告知客户将为了什么目的收集哪些信息。消费者可以接受公司的邀约，或拒绝接受。公司同个人可以就信息收集、使用和披露达成一致，而无需政府过多的干预。消费者与电信和信息服务提供商可以共同决定隐私的最佳保护水平，而无需依靠政府来决定哪些信息有待保护。简言之，交易模式旨在将政府介入隐私问题的评定和解决最小化。但是，个人信息市场的缺陷可能致使上述交易模式无法正常运作，也不能实现适当的隐私保护水平。为此，不可完全依靠纯粹的交易模式，而应通过施加两项要求对其进行矫正:电信与信息服务提供商在信息收集、使用和散播上对消费者负有告知义务;其次，根据个人信息的性质，为了收集外的目的使用敏感信息应首先获取资料当事人的明示同意。矫正后的交易模式不仅可以有效地保护消费者的信息隐私，减少政府对市场的强制干预，还能够增强个人对信息设备和服务的需求，增进消费者、企业和社会的福利。⁽²⁶³⁾

4．全球电子商务框架

1997年，克林顿政府公布了《全球电子商务框架》。⁽²⁶⁴⁾报告指出，全球信息高速公路(Global Information Infrastructure)仍处于初级发展阶段，互联网等信息技术已经对人们生产生活的方方面面产生了革命性的影响。为了给电子商务的发展扫清各种政策障碍，报告建议各国政府采取如下五项原则:(1)以私人行业为主导;(2)减少对电子商务的不当限制;(3)若政府有必要介入，应旨在协助和执行具有可预见性、最小化、一致性和简明的商务法律环境;(4)政府应认识到互联网的特质;(5)应从国际层面促进电子商务的发展。

撇开该报告的内在目的和动机不谈，上述五项原则是美国政府对私人行业、尤其是电子商务中个人信息隐私保护政策的最好体现。“以私人行业为主导”意味着市场是调节电子商务运作的根本手段。政府应鼓励行业自治，并仅应在必要情形下协助私人行业组织发展相应的机制促进互联网更有效的运作。而且，若需要达成集体协议或标准，私人企业应尽可能地发挥主导作用。若需要政府采取行动或达成跨政府间的协议，私人行业的参与应是决策程序中的正式组成部分。“减少对电子商务的不当限制”要求政府尽量不干预电子商务市场的运作，不施加不必要的管制。根据第三项原则，政府在必要情形下为电子商务提供简明的法律环境时，应以自下而上的交易模式为基础，而不得以自上而下的管制为主导。根据第四项原则，互联网的惊人成就取决于其分散性及其自下而上的管理传统。这对现有的管理模式构成了严重的逻辑和技术挑战，政府在制定政策时应充分考虑互联网的上述特征。互联网的跨国性与电子商务的全球性要求各国采取统一的政策。

5．联邦贸易委员会与网上隐私

自网上贸易诞生之日起，对网上隐私，作为保护消费者权益的国家机关，美国联邦贸易委员会(Federal Trade Commission)曾长期坚持鼓励和促进网络市场的自律与行业自治，并将其作为保护消费者网上隐私的首要执行手段。电子商务，尤其是B2C贸易的飞速发展，加之网上隐私保护的严重匮乏，促使委员会在其1998年向国会提交的报告中确立了五项正当信息行为原则:通告/知情、选择/同意、查阅/参与、完整性/安全、执行/救济。委员会指出，互联网是一个多变的市场。行业自治是最为有效的执行方式，因为，在该框架下，企业可以及时应对科技的变化，并采取最新的技术保护消费者的隐私。同时，为消除消费者的隐私忧虑，企业接受并执行正当信息行为原则，可以为消费者的隐私提供有效的执行机制。委员会还强调，只有建立有效的执行机制和适当的救济方式，行业自治才能发挥其应有的作用。在执行机制上，它建议各行业制定信息行为守则，通过审计、核查等行业监督活动确保成员采纳并遵守有关规则。行业自治还必须提供必要的救济方式，调查消费者提起的控诉，为消费者寻求救济提供简便、可行、有效的途径。⁽²⁶⁵⁾

然而，行业自治并未切实保护消费者的网上隐私。根据委员会1998年的调查报告，很多私人行业未制定信息行为守则，已经制定的守则不但未能遵循委员会以通知、选择、查阅和安全为中心的各项原则，而且都不具备行业自治的核心要素，即有效的执行机制。此外，通过对商业网站的信息收集、使用和散播行为进行抽样调查，委员会发现，私人企业通过互联网直接和间接地收集大量的个人信息，而多数未遵守基本的正当信息行为原则。但是，委员会主张以行业自治保护消费者网上隐私的立场并未转变，仅是将工作重心集中于更好地培育行业自治环境。对儿童网上隐私保护，考虑到问题的严重性与行业自治的不足，委员会建议国会制定联邦法。在其于1999年向国会提交的报告中，委员会着重考察了网上隐私保护行业自治活动的进展及企业的实际网上信息处理活动，并指出，行业自治面临各种挑战，但没有必要对网上隐私进行立法，应继续完善现有的行业自治制度。⁽²⁶⁶⁾

2000年，委员会的态度和立场出现了180度大转弯，不仅反思行业自治制度自身的缺陷和不足，还建议通过立法和专门机构保护网上隐私。在其向国会提交的报告中，委员会强调，一直以来，美国企业都以促进交易为目的向消费者收集个人信息，互联网使得企业能够高效、低成本、快速地收集大量的个人资料，并可将其用于各种目的。正是信息收集和使用的普遍性、简易性和低成本性，使网上交易市场同其他贸易方式和信息收集具有质的差异，并对消费者的隐私构成更严重的威胁和侵害。

经考察作为行业自治主要监督方式的认证项目(Seal Programs)，委员会认为，若为企业广泛采纳，此类项目无疑有助于督促通过认证的企业遵守信息行为守则，但是，由于参加的企业较少，其作用和影响力仍比较有限。通过再次对企业的网上信息行为进行抽样调查，委员会认为，企业并未切实遵守正当信息行为原则，也未适当地保护消费者的隐私，仅靠行业自身的努力是远远不够的。行业自治还未建立起广泛且有效的执行机制，它还不能确保网上交易市场作为一个整体遵守各行业确立的标准。鉴于消费者对网上隐私的日益关注与行业自治的缺陷，委员会建议国会通过立法为商业网站确立个人隐私保护的最低标准，规制企业的信息处理活动，并由专门机构监督法律的实施，切实保障消费者的网上隐私。在该法律框架下，行业自治活动，尤其是认证项目仍应继续发挥作用。⁽²⁶⁷⁾

一石激起千层浪。美国私人行业，尤其是个人信息处理与网上贸易企业对委员会提出的立法与通过专门机构监督法律实施的建议纷纷表示反对。网上隐私一时也成为美国国会炙手可热的议题，⁽²⁶⁸⁾但企业自律与行业自治的地位仍牢不可撼，美国未制定联邦法，也未设立专门机构监督网上个人信息处理行为。

(二)市场调节与行业自治机制的缺陷

1．市场调节与行业自治机制的理论基础

追本溯源，市场与行业自治机制以个人信息控制权理论为基础。信息隐私一旦成为个人信息控制权，成为一项可由个人处置的私人权利，加之个人信息在市场上自由流动，并对企业具有越来越大的商业价值，财产与合同制度就成为隐私保护的基本法律框架。威斯丁指出:“若将个人对信息的权利视为个人对其私人人格的决定权，应将该权利界定为个人对其信息的财产权。财产法对限制公共和私人机构的干涉已经设计了灵活的制度。按照这一思路，未经资料当事人授权而转移其个人信息，实质上是在跨州商务中处理一种危险的商品，应为信息使用者创设特殊的责任和义务。”⁽²⁶⁹⁾米勒也指出，最为简洁的隐私保障方式之一就是将个人信息看成一种财产。若接受了这一前提，资料当事人就自然而然地有权控制与其相关的信息，并有权享受法律为财产所有权提供的全套保护。⁽²⁷⁰⁾

由于美国政府奉行以市场为主导的资料隐私保护体制，1995年以来，不少学者再次将资料的财产化和市场化运作提上议事日程。如莫菲认为个人信息与所有的信息一样也是财产。法律必须回答的问题是谁对个人信息具有所有权。⁽²⁷¹⁾劳顿主张资料使用者利用个人资料应对个人进行合理的补偿，他们不能一边享受着使用别人资料的免费午餐，而一边却侵害资料当事人的隐私。他将当前的信息隐私危机归结为市场缺陷，而该缺陷的根源就在于未将个人信息的所有权赋予资料当事人，反而是资料使用者对资料具有绝对的支配权。经济和法律体系必须将个人信息的财产权赋予资料当事人本身，由他们同资料使用者在市场上通过更准确的定价更好地反映资料的价值，并构建以市场为主导的资料隐私保护机制。⁽²⁷²⁾美国商务部也发表了《信息时代的隐私与自治报告》，从市场和隐私、反不正当竞争、行业自治的模式、行业自治的要素、科技和隐私政策等方面分析信息时代，尤其是信息市场环境下的隐私保护问题，为美国确立以市场和行业自治为主导的信息隐私保护模式提供了理论指导。⁽²⁷³⁾

在市场与行业自治的支持者看来，作为一种在信息市场上自由流动的商品，个人信息的收集、使用和散播应主要由市场这只无形的手来调控。在完美的信息市场调控模式下，作为理性人，个人同信息使用者经过权衡信息的价值，在信息市场上通过议价决定信息的归属和使用，从而达到信息在个人同资料使用者间的最优化配置，并实现最为适当的个人隐私保护水平。个人信息成为个人同资料使用者交易的另一筹码，个人可以拿它换取相应的产品或服务，从而增加双方的福利。总之，市场的调节与企业自律，无需政府通过外力加以干涉，就能达到理想的信息隐私保护水平。然而，由于自身的缺陷，信息市场并不能按照上述模式正常运作。现实中，企业可以免费地收集和使用大量的个人信息，而无需承担不当信息行为对个人隐私造成的损害。经济学家将这一现象视为企业行为的外部性。根据市场运作理论，不少学者主张将个人信息的所有权赋予个人自身，企业在收集和使用个人信息时必须承担外部性成本。经矫正的信息市场可在行业自治的模式下有效运作，在实现信息高效使用的同时保护个人的信息隐私，并无需政府这只有形的手加以强制干预。

2．市场调节与行业自治机制的缺陷

不少学者对以经济学为基础的市场调节与行业自治模式提出了质疑和批判。他们认为，市场调节与行业自治非但不能保护个人的信息隐私，将信息的最初所有权赋予个人只会将企业不当收集、使用和转移资料的行为合法化。市场与行业自治的缺陷主要表现为如下几个方面:首先，信息隐私并非仅是一项私人权利，它不但是人格自由全面发展的保障，也是人权的重要组成部分。作为一种不可剥夺以及同人身相分离的权利，将个人信息视为商品及允许个人同企业交易信息都必将损害个人的信息隐私、民主政治体制与社会信息流转关系。简言之，信息隐私的人权属性与社会价值要求不得将个人信息作为商品，更不得将之同人身相分离;其次，将个人信息作为商品，其财产权归属也难以界定。个人信息并非个人单独劳动的成果，它在个人同企业的交易关系中产生，并因其对交易或未来交易具有商业价值，个人对信息不具有与生俱来的所有权。单个信息或杂乱无章的信息堆积并不具有商业价值，通过收集、加工和处理信息，企业反而可以创造或增加信息的价值，并可据此对信息或信息库主张所有权。再次，即使法律将信息的最初所有权分配给个人，物权与合同制度也无法保障个人的正当权益。与其他物不同，个人信息的价值在于其流动性，而且一方占有和使用信息并不影响信息对他人的价值。因此，法律若规定个人对信息具有所有权，只能促进个人信息在更广的范围内流动，而不能加强个人对信息的控制与对信息流转过程的参与。又次，由于市场信息不对称，即使法律将信息的所有权赋予个人，个人也无法准确地衡量信息的价值。在无法了解和理解企业的信息处理行为的情况下，个人不知道企业将收集哪些信息、为何以及如何使用这些信息，不清楚信息处理可能对其造成的不利，更不能准确衡量信息的价值。此外，即使不存在信息不对称，个人在同企业的交往中仍处于弱势地位，为了获取相应的产品和服务，他们也不得不将自己的信息交给企业。最后，由于信息收集和使用的隐蔽性，离开有效的外部监督机制，隐私保护也不可能转化为企业间竞争的动因，更不能为企业保护个人信息提供经济诱因。

三、欧洲资料保护体制面临的挑战

如上所述，美国法仅保护特定行业和领域中的信息隐私，更注重市场和科技的作用，并尽量限制国家干预信息处理活动。与美国不同，欧盟各国采取了全面立法模式，针对资料处理带来的社会问题，制定基础性的资料保护法，一并规制公私领域中的资料处理活动。同时，欧盟更加注重国家公权力在资料保护中的作用，建立国家资料保护机构，由其负责监督资料保护法的实施。⁽²⁷⁴⁾与美国相比，欧洲统一立法与以公权力为主导自上而下式的资料保护体制更显完备，但在实际运作中，尤其是随着互联网等信息科技的发展，它也面临着越来越大的挑战。

(一)资料保护法的集中化与分散化

综合性的资料保护法是资料隐私保护体制的基石，它规定了资料处理的基本法律原则，明确资料当事人与资料使用者的权利和义务，确立资料处理事先登记、审批、审计与事后检查、制裁和处罚机制。但是，作为基础性的法律，为保障法律适用的灵活性，资料保护法仅规定了资料隐私的基本问题。个人信息并非静态的，它随着个人同资料使用者的交往和交易关系产生，并不断在不同的资料持有人之间秘密流转。由于个人信息自身的流动性与信息处理行为的隐蔽性，纸面的法律需要有效的法律执行机制。同时，信息科技和信息经济既是资料隐私问题产生的原因，也是导致其不断复杂化的动因，再完备的立法也要接受科技和经济的考验。此外，由于内容的抽象性，资料保护法规定的基本原则需要考虑不同行业和领域中资料处理的具体情况。如果说欧洲理事会于1981年通过的《资料保护公约》掀起了欧洲各国制定综合性资料保护法的高潮，欧盟于1995年通过的《资料保护指令》推进了欧洲各国修改或制定资料保护法，那么，在具备了基础性的资料保护法后，欧洲各国根据不同行业和领域的具体特点，纷纷制定行业性和领域性的资料保护法或资料处理行为守则。换言之，资料隐私的集中化立法在实施上仍需要走分散化的道路。

根据不同行业和领域的具体特点，立法者制定专门的资料保护法，或在关于国家安全、治安、健康与社会保障、金融和保险等事项的法规中添加资料保护条款。这种就事论事的立法方式使得立法者可能“只见树木不见森林”，一国的资料保护法律体系也因此变得更加分散。⁽²⁷⁵⁾法院甚至资料使用者对资料保护规则具有越来越大的裁量权。对私人行业而言，这种现象尤为严重，个人同意成为企业收集和使用个人资料的首要法律依据。买卖、租赁等协议中增加了资料保护条款，网站也公布了隐私政策，然而，并非所有这些条款和政策都符合资料保护原则的要求。私人行业中的个人资料保护也由公民的基本权利降格为一个消费者保护问题。由于在交易关系中处于弱势，为了获取产品和服务，消费者也多委曲求全，同意向企业提供个人资料，并允许使用其个人信息。更多的消费者对资料隐私认识不足，允许企业随意收集、使用和披露个人资料。因此，随着立法的分散化与法律的适用的具体化，统一、全面、完备的资料保护法也面临不一致、不完善，甚至无法适用的困境。

(二)资料处理管理和监督的强制性与机械化

国家资料保护机构在资料保护体制中具有毋庸置疑的重要地位和作用，但随着资料处理普遍性、复杂性和隐蔽性的增强，资源和职权有限的资料保护机构欲有效地履行其广泛的法定职能也需要克服更多的困难。如果说在20世纪70年代，国家资料保护机构可以通过登记和审批个人资料库，确保资料处理的公开性，监督资料使用者遵守资料保护原则，如今，与政府收集、使用个人资料不同，企业的个人信息处理行为更具普遍性和隐蔽性。考虑到对所有的资料处理行为都进行登记和预先审批不具可行性，欧洲各国的资料保护法与欧盟指令一再缩减须强制登记和审批的资料处理的范围。虽然如此，受资源所限，资料保护机构仍无法完成其法定职责。这使得欧洲各国，尤其是德国、荷兰、瑞典和卢森堡等国均允许资料使用者通过设立内部资料保护专员免除其向资料保护机构通报资料处理的义务。

面对多变的信息科技与日益复杂的资料处理，尤其是频繁的跨境资料转移，自上而下的资料处理监管机制逐步突显机械性。资料保护机构的年度报告越来越长，但有待解决的问题却越来越多。实际上，在信息社会中，仅靠高高在上的资料保护机构，即使其资源足够丰富，职权足够广泛，也不能完全解决日益普遍化的信息处理中所牵涉的众多资料隐私保护问题。由此，人们开始反思以国家资料保护机构为中心自上而下的资料保护法执行机制自身所存在的问题，强调资料保护机构在资料处理行为守则制定中的指导作用、在资料隐私保护上的宣传功能、在保护资料隐私型科技研发上的引导能力及其对违法资料处理行为的制裁和处罚职责。

(三)信息科技的挑战

信息科技，尤其是互联网对欧盟的资料保护体制构成了双重挑战，即科技自身带来的挑战，以及科技对资料隐私保护机制理念的挑战。⁽²⁷⁶⁾欧洲当前的资料保护法，尤其是资料保护指令主要针对计算机、资料库、信息处理等技术带来的隐私保护问题，而非互联网等信息技术所牵涉的资料保护问题。互联网的广泛运用改变了传统的资料收集方式，加快了个人信息的流转速度，信息的收集、使用和转移变得不可捉摸。互联网还使得网上交易成为现实，随着网上交易市场的形成和网上贸易的勃兴，个人网上隐私也成为欧盟资料保护体制面临的最大挑战。

互联网等信息技术对欧盟资料保护体制的挑战不在于其全面立法模式，而在于资料保护执行机制。首先，随着网络技术的普及，它已成为人们生产和生活中不可或缺的信息传递工具。互联网使得资料隐私保护问题更具普遍性，它所涉及的人群更广，发生的频率更高。其次，互联网使个人资料的收集、使用和散播变得无影无形，传统的资料保护体制无法有效地追究资料使用者的责任。再次，互联网与网上贸易使得过于注重资料隐私问题的政治性及隐私社会价值的资料保护体制难以为资料使用者自律和行业自治提供必要的经济诱因。最后，互联网使得资料的跨境收集、使用和转移成为普遍现象，欧盟确立的以资料保护机构为中心的监管机制无法有效保护跨境资料转移中的个人资料。

四、政府、市场、科技与资料隐私保护

(一)政治、经济与科技

如下图所示，资料隐私涉及政治、经济和科技三重因素。⁽²⁷⁷⁾在欧洲，资料保护被确立为一项政治性的人权，并通过全面的立法保护个人在资料处理上的基本权利和自由。相反，在美国，信息隐私被视为一项私人事务和个人权利，主要由市场来调节消费者同企业之间的信息流转关系，并通过企业自律、行业自治和个人的自力救济来保护信息隐私。⁽²⁷⁸⁾作为一种自律性的机制，科技规则也在两种模式下以不同的方式发挥作用。

资料隐私保护模式图示

从政治的角度审视隐私，强调资料隐私的社会价值，在欧洲，资料保护成为公民的一项基本人权，信息自决权也成为民主社会中不可或缺的权利。作为一种人权，个人非但不能随意抛弃资料隐私，它还要求国家通过公权力介入资料隐私保护。全面立法与资料保护机构成为欧洲资料保护模式的两个重要组成部分。通过制定基础性的资料保护法，欧洲各国确立了资料处理的基本原则，并据此为资料当事人确立广泛的权利，为资料控制者施加各种义务。在执行机制上，欧洲各国设立了国家资料保护机构，由其负责对资料处理进行登记和审批，督促资料使用人遵守资料处理原则，对资料处理行为进行事先审计，对违法行为进行事后处理、警告、制裁和处罚，并负责处理个人提起的资料处理争议。这样，从立法、执法和司法三个层面，欧洲各国建立起以公权力为主导的自上而下的资料隐私保护体制。

与欧洲不同，美国侧重于从经济的角度看待信息隐私，将隐私界定为一项私人事务。若将信息隐私看做一项个人权利，个人不但可以在信息市场上同企业自由交易个人信息，由市场调节个人同企业之间在信息流转上的利益关系，不要求国家通过立法全面规制个人信息处理行为，也不要求国家通过外力干预个人信息处理与信息市场的运作。按照这种思路，对私人行业中的信息隐私保护，美国采取了分散立法的模式，仅对特定行业和领域制定联邦法。企业自律、行业自治与个人的自力救济成为正当信息行为原则的主要执行方式。这样，从经济视角看隐私，美国构建起以市场调节为主导与以行业自治为主要执行方式的信息隐私保护体制。

与商人交易中产生的商法类似，科技在运作中也形成了内在的标准和规则，不少学者称之为科技自治法(Lex Informatica)。⁽²⁷⁹⁾因此，除了关涉政治和经济因素外，资料保护还受到科技和科技规则的影响，科技标准和规则决定了信息技术倾向于保护还是侵害个人隐私。

在具体运作上，政治、经济与科技三种模式也具有很大的不同。政治模式以国家为主导，通过立法全面规制资料处理行为，并建立起以公权力为中心的执行机制，自上而下地保护个人资料。经济模式以市场为主导，通过市场规则限制企业的信息处理行为，主要通过企业自律、行业自治和个人自力救济，自下而上地执行正当信息行为原则。作为一种自治性的体制，科技模式主要通过科技自身包含的规则影响信息的收集、使用和散播。然而，三种模式都具有自身的优势和缺陷，都不足以独自解决资料隐私保护问题。实际上，在个人资料数字化的信息时代，资料隐私同时涉及政治、经济和科技三重因素，国家、市场和科技三个主体应施展各自的优势，法律、市场规则和科技标准应发挥其调整功能，国家资料保护机构、行业自治与科技都有其用武之地。

(二)国家、市场与科技模式的缺陷

如上所述，美国分散立法与以企业自律和行业自治为主导的信息隐私保护体制并不足以统一、全面、有效地保护个人隐私。欧洲全面立法与以资料保护机构为中心自上而下的资料保护体制也面临种种困难和挑战。同样，离开法律的规制与市场规则的调节，自治性的技术规则也不能为个人信息提供安全的科技环境。

以市场为主导的美国信息隐私保护体制过于强调隐私问题的经济特性，而忽视了其对民主政治和社会的公共价值。⁽²⁸⁰⁾实际上，资料隐私不仅对人格的自由健全发展不可或缺，还对民主政治和社会体制的运作也至关重要。⁽²⁸¹⁾完全依赖市场按照其自身的规则调节企业与个人之间的信息流转关系，必将弱化资料隐私的政治属性和社会价值。除该价值导向的不足以外，其自身的缺陷也影响信息市场的正常运作及个人信息的有效保护。信息市场缺乏透明度，企业的信息处理行为具有隐蔽性，信息隐私保护政策抽象多变，信息市场的运作也以信息使用者为主导，倾向于保护企业在个人资料处理上的既得利益。在信息流转上，个人同企业之间存在严重的信息不对称。个人无法了解企业的信息处理行为和信息隐私政策，不能有效地参与到信息处理过程中，更无法对信息实施有效的控制。行业自治也不能矫正信息市场的上述缺陷。离开统一的法律规制、消费者的正当参与，尤其是有效的执行、监督和处罚机制，行业自治不仅在内容上与正当信息行为原则不符，而且也不能给企业提供遵守规则的诱因。因此，虽然在网络隐私保护上，在政府尤其是联邦贸易委员会的推动下，美国的行业自治更为完备，出现了多家专门的网上隐私政策认证机构，但信息隐私仍未得到适当和充分的保护。

如上所述，欧洲全面立法和以国家为主导自上而下的资料保护体制也面临困境和挑战。基础性的资料保护法在内容上更全面，涵盖了公共领域和私人行业，但是，立法的全面性和分散性也存在着矛盾和张力。信息处理的多样性和复杂性对资料保护法的具体实施以及个人和资料使用者间的权利和义务分配造成了各种困难。尤其是，互联网等信息技术的发展对欧洲的资料保护体制提出了前所未有的挑战。虽然资料保护法中的基本原则因其抽象性和基础性并未过时，但如何在更具普遍性、隐蔽性和跨时空性的网络环境下有效地适用和执行它们则成为欧盟面临的难题。

离开公共政策的约束，科技自身受市场规则的限制难以形成有利于保护个人资料隐私的技术标准。现实中，信息科技的研发主要按照市场模式运作。为了有效地拓展业务，企业需要收集和使用更多、更细致、更准确的个人信息。企业的需求正是科技开发的动力和经济支持，这样，研发的科技只会有助于企业更多、更快、更准确地处理个人资料。

(三)信息流转与资料隐私保护体制

个人资料并非静止不动的，它在个人同公私机构之间的管理和交易关系中产生。一旦为公私机构收集，个人信息便脱离资料当事人的控制，进入个人无法有效参与的信息流转过程。资料当事人对个人信息具有的利益也非静态的，它产生于动态的信息流转过程中。从静态的角度看，公共机关和私人机构收集大量的个人资料就足以影响个人人格的自由健全发展。从动态的角度看，个人信息从资料当事人向资料使用人流转，随着信息在资料使用人间传递，资料当事人对信息的控制力逐步减弱，对信息流转过程的参与能力逐步降低，信息的不当收集、使用和披露都足以损害个人的正当权益。此外，信息隐私问题的产生、发展和保护不可归因于某单一因素，它既具有政治特征和社会价值，也具有经济特性和商业价值，同时还与科技的发展密切相关。信息流转过程的动态特性，资料隐私牵涉的政治、经济和技术因素以及国家、市场和科技三者在资料隐私保护上的互动性，都要求我们打破传统的思维，从资料隐私的个人、经济、政治和社会价值入手，发挥国家、市场和科技各自的优势，构建全面的资料隐私保护体制。

如下图所示，⁽²⁸²⁾资料隐私的政治、经济和科技特性要求从国家、市场和技术三个层面构建资料隐私保护体制。政治模式依赖国家、经济模式通过市场、科技依靠技术，来调整个人同企业之间的信息流转关系。国家可以制定资料保护法、市场可发展行业自治规则、科技可以通过技术标准来保护个人的资料隐私。个人信息的流动性使得三者在运作上存在互动关系。资料隐私的政治特性与社会价值要求国家通过资料保护机构等公权力，以自上而下的方式，从宏观上调控信息市场的运作与信息科技的研发。国家、法律和资料保护机构对市场、行业自治、科技与技术规则的运作具有指导和规划作用。例如，美国政府采取了自下而上的以市场为主导的信息隐私保护模式，鼓励行业自治，发展网上隐私保护认证项目等。⁽²⁸³⁾欧盟《资料保护指令》不仅要求成员国的资料保护机构积极介入资料处理行为守则的起草、制定和实施，还要求在欧盟层面发展市场行业自治规则，鼓励行业自治。⁽²⁸⁴⁾同时，欧盟还强调科技在资料保护中的地位，要求各国指导信息科技的发展，鼓励研发和应用有助于保护个人资料的技术。⁽²⁸⁵⁾

科技对资料保护法和市场行业自治规则的制定和实施都具有重大影响。科技的发展对立法的必要性以及法律的性质和具体内容均具有决定性的影响。例如，20世纪60年代，计算机在公共领域的广泛运用导致政府大量收集个人资料，创建、合并个人资料库。欧美早期的立法也以限制政府收集个人资料、规制个人资料库的创建和运作为中心。随着计算机和通信等其他信息技术的普及，个人信息成为政府管理和企业运作必不可缺的要素，不当个人信息行为泛滥。资料库不再是资料隐私的核心问题，资料保护法也以规制资料处理为中心，以确立资料控制者的责任与资料当事人的权利为基本内容。科技还打破了自动化和手动资料处理的界限，欧洲各国的资料保护法也放弃对自动化和非自动化资料处理进行严格区分。此外，科技也影响行业自治规则的制定和运作。互联网技术的普及直接导致网络市场和网上贸易的勃兴。为培育信息经济和网上贸易，美国对信息隐私采取了以行业自治为主导的模式。Cookies技术使网站可以自动收集个人的网页浏览信息。网上贸易公司和各大网站也纷纷利用该技术收集个人信息，编辑个人的消费偏好。行业自治规则不得不应对该问题，限制Cookies技术的应用。⁽²⁸⁶⁾

资料隐私保护体制图示

市场和行业自治规则对科技和技术规则以及国家和立法的发展也具有重大的影响。市场前景和技术的商业价值是科技研发的内在动力。如上所述，企业和网站对个人网页浏览信息的需求推动了Cookies等技术的产生和普及。市场和行业自治中的个人网上隐私保护规则也促使科技朝着有助于保护个人隐私的方向发展。例如，P3P(Platform for Privacy Preferences)等有利于保护个人隐私的技术也得以开发和应用。作为信息处理和资料隐私保护的第一线，市场和行业自治是国家立法和执法的必经之路。离开市场对信息流转关系的调节与行业自治规则对资料隐私的保护，纸面的立法和高高在上的国家资料保护机构难以将完美的法律制度转化为高水平的资料隐私。

国家、市场和科技三者所产生的法律、规则和标准交互作用，共同规制信息时代中的个人信息处理行为，在资料隐私保护政策上相互影响，并构成资料隐私保护体制的政策基础。既然三者在实际运作中不可分立，全面有效的资料保护体制必须结合三者的优势，营造有利于资料隐私保护的政策环境。首先，应确立国家和立法的主导地位及其宏观调控作用。国家应积极介入资料隐私保护，从宏观上调控个人信息流转关系，并通过全面和行业立法，明确资料处理的基本原则，确立个人的资料权利与资料使用人的义务。在执行上，国家应设立资料保护机构，监督资料使用人的行为，保障资料当事人有效行使资料权利。国家还应调控信息市场和科技的发展，鼓励行业自治与开发有助于保护个人隐私的技术。⁽²⁸⁷⁾其次，确立市场和行业自治的基础地位与微观调节作用。信息隐私的私人特性和个人价值以及个人信息的商业价值与流转特性，要求我们必须充分确保企业自律和行业自治在资料隐私保护上的基础性地位，发挥行业自治规则和正当信息行为守则在资料隐私保护上的作用。最后，应把握科技和技术规则的内在自治特性，通过国家和市场的政策引导，鼓励研发和推广保护隐私型的信息处理技术。

【注释】

(1)Fred H．Cate，Privacy in the Information Age，Brookings Institution Press，1997，p．80．

(2)David H．Flaherty，Privacy in Colonial New England，University Press of Virginia，1972，pp．1-2．

(3)Note，The Right to Privacy in Nineteenth Century America，94 Harv．L．Rev．1892，note 18(1981)．

(4)Semayne’s Case，77 Eng．Rep．194(K．B．1604)．

(5)Jonathan Elliot，The Debates in Several Conventions on the Adoption of the Federal Constitution，1974，pp．448-49．

(6)U．S．Const．amend．III-V．

(7)Note，The Right to Privacy in Nineteenth Century America，94 Harv．L．Rev．1892，1906-07(1981)．

(8)Priscilla M．Regan，Legislating Privacy，1995，p．46．

(9)Priscilla M．Regan，Legislating Privacy，1995，p．47．

(10)David J．Seipp，The Right to Privacy in American History，1978，p．1．

(11)Id．，pp．50-51．

(12)Id．，p．65．

(13)Boyd v．United States，116 U．S．616(1886)．

(14)Harry Kalven，Jr．，Privacy in Tort law—Were Warren and Brandeis Wrong?，31 L． ＆ Contemp．Probs．326，327(1966)．

(15)Warren ＆ Brandeis，The Right to Privacy，4 Harv．L．Rev．193，195(1890)．

(16)Id．，pp．198-205．

(17)诸如Roberson v．Rochester Folding Box Co．(64 N．E．442(N．Y．1902))和Pavesich v．New England Life Ins．Co．(50 S．E．68(Ga．1905))等案例。

(18)William Prosser，Privacy，48 Cal．L．Rev．383(1960)．

(19)U．S．，Restatement(Second)of Torts§652B(1977)．

(20)William Prosser，Privacy，48 Cal．L．Rev．383，389(1960)．

(21)Whalen v．Roe，433 U．S．425(1977)．

(22)Whalen v．Roe，433 U．S．599-60(1977)．

(23)Daniel Solove，A Brief History of American Information Privacy Law，2006，p．24．

(24)Vance Packard，The Naked Society，David McKay Co．，1964;Alan Westin，Science，Privacy，and Freedom:Issues and Proposals for the 1970’s，66 Colum．L．Rev．1003(1966); Kenneth L．Karst，“The Files”:Legal Controls over the Accuracy and Accessibility of Stored Personal Data，31 L． ＆ Contemp．Probs．342(1966);Symposium，Privacy，31 L． ＆ Contemp．Probs．251-435(1966);Symposium，Computers，Data Banks，and Individual Privacy，53 Minn．L．Rev．211-45(1968);Arthur R．Miller，Personal Privacy in the Computer Age:The Challenge of a New Technology in an Information-Oriented Society，67 Mich．L．Rev．1089(1969)．

(25)5 U．S．C．§552．

(26)U．S．，HEW Report，1973．

(27)正当信息行为守则在美国隐私法发展中扮演着重要的角色。See Mark Rotenberg，Fair Information Practices and the Architecture of Privacy，2001 Stan．Tech．L．Rev．1，44(2001)．

(28)英国的杨格委员会(Younger Committee)和林道普委员会(Lindop)分别于1972年和1977年发表的隐私报告，加拿大通信部和司法部1972年公布的《隐私与计算机:工作组报告》，欧洲理事会分别于1973年和1974年通过的《私人行业中的电子资料库与个人隐私保护》与《公共领域中的电子资料库与个人隐私保护》两项决议，以及后来经济合作与发展组织制定的《资料保护指导原则》，欧洲理事会的《资料保护公约》，欧盟《资料保护指令》，以及欧洲各国早期资料保护法中的资料保护原则与行为守则具有很多相同之处。

(29)5 U．S．C．§552 a．

(30)该法开篇关于其宗旨的多项规定与《记录、计算机与公民权利报告》中的正当信息行为守则一致。5 U．S．C．§552 a(2)(b)．

(31)Steven L．Nock，The Costs of Privacy:Surveillance and Reputation in America，1993，p．73．

(32)15 U．S．C．§1681．

(33)15 U．S．C．§§6801-09(2000)．

(34)42 U．S．C．§551．

(35)U．S．，The Omnibus Crime Control and Safe Street Act of 1968，42 U．S．C．§3711．

(36)18 U．S．C．§2510-22，2710-11，3121-27．

(37)47 U．S．C．§227．

(38)U．S．，Federal Trade Commission，Privacy Online:A Report to the Congress，1998．

(39)15 U．S．C．§§6501-06．

(40)42 U．S．C．§1320d-2(2000)．

(41)45 C．F．R．§164．500(2002)．

(42)20 U．S．C．§1232 g．

(43)18 U．S．C．§2710．

(44)18 U．S．C．§2721-25．

(45)Fred H．Cate，Privacy in the Information Age，1997，p．80．

(46)Joel R．Reidenberg，Privacy in the Information Economy:A Fortress or Frontier for Individual Rights?，44 Fed．Comm．L．J．195，222-23(1992)．

(47)Joel R．Reidenberg，Privacy Wrongs in Search of Remedies，54 Hastings L．J．877，898(2003)．

(48)Spiros Simitis，From the General Rules on Data Protection to a Specific Regulation of the Use of Employee Data:Policies and Constraints of the European Union，19 Comp．Lab．L． ＆ Pol’y J．351(1998)．

(49)Heissisches Datenschutzgesetz，Gesetz und Verordungsblatt I(1970)，625．

(50)Datal gen，SFS 1973:289．

(51)David H．Flaherty，Protecting Privacy in Surveillance Societies，1989，p．94．

(52)Jan Freese，Preserving the Open Flow of Information across Borders，in OECD，Transborder Data Flows and the Protection of Privacy，Proceedings of a Symposium held in Vienna，1979，p．282．

(53)Jan Freese，The Swedish Data Act，6 Current Sweden 178，November 1977．See Colin J．Bennett，Regulating Privacy，1992，p．62．

(54)David H．Flaherty，Privacy and Government Data Banks:An International Perspective，London:Mansell，1979，pp．105-106．

(55)Colin J．Bennett，Regulating Privacy，1992，pp．62-63．

(56)Sweden，Commission on Publicity and Secrecy of Official Documentation，Computers and Privacy，1972，p．6．

(57)Sweden，Commission on Publicity and Secrecy of Official Documentation，Computers and Privacy，1972，p．5．

(58)Herbert Kurbert，Privacy-Data Protection-A German/European Perspective，in Engel，Christoph;Keller，Kenneth H．，eds．，Governance of Global Networks in the Light of Differing Local Values，Baden-Baden，2000，p．48．

(59)David H．Flaherty，Protecting Privacy in Surveillance Societies，1989，p．94．

(60)参考瑞典的做法，欧盟的《资料保护指令》也确立了资料处理的登记和审批制度，由国内资料保护机构负责具体实施。

(61)Frits W．Hondius，Data Legislation on March，1 Information Privacy 4(1978)．

(62)丹麦于1978年对公共和私人领域中的资料处理分别制定了《公共资料库法》与《私人资料库法》。同年，挪威颁布了本国的《个人资料库法》。芬兰的立法相对较晚，它于1987年才通过了《个人资料库法》。

(63)Heissisches Datenschutzgesetz，Gesetz und Verordungsblatt I(1970)，p．625．

(64)二战后，德国通过宪法再次扩大了地方政府的权限，由地方政府负责执行联邦、州和地方的法律法规。Federal Republic of Germany，Basic Law，amended on 23 September 1990，Art．28(2)．

(65)Colin J．Bennett，Regulating Privacy，1992，p．48．

(66)Herbert Kurbert，Privacy-Data Protection:A German/EU Perspective，2000，p．45．

(67)该法共17条，且大半关涉资料保护专员的任命、职权和运作。

(68)专员无权对个人提起的控诉作出判决。Herbert Kurbert，Privacy-Data Protection:A German/EU Perspective，2000，p．46;Colin J．Bennett，Regulating Privacy，1992，p．77．

(69)Frits W．Hondius，Emerging Data Protection in Europe，1975，p．36．

(70)“资料保护”一词并未表达资料隐私的本质，即它不旨在保护个人资料本身，而保护资料所关涉个人的权利，限制政府和企业等资料使用人滥用资料，但它广为各国和国际组织接受，并成为资料隐私的代名词。Otto Mallmann，Computer and Civil Liberties:the Situation in Federal Republic of Germany，7 L． ＆ Computer Tech．3(1974)．

(71)Frits W．Hondius，Data Law in Europe，16 Stan．J．Int'l L．86，97-102(1980)．

(72)Herbert Kurbert，Privacy-Data Protection:A German/EU Perspective，2000，pp．46-47．

(73)Colin J．Bennett，Regulating Privacy，1992，p．48．

(74)Id．，p．50．

(75)Federal Republic of Germany，Bundestag，Drucksache 6/2885，December 1971．

(76)Spiros Simitis，Establishing Institutional Structures to Monitor and Enforce Data Protection，in OECD Policy Issues in Data Protection and Privacy，OECD Informatics Studies No．10，Paris，1976，pp．83-94．

(77)Bundesdatenschutzgesetz(BDSG)of 27 January 1977(BGB1．IS．201)．

(78)Spiros Simitis et al．，Kommentar，p．69．See Colin J．Bennett，Regulating Privacy，1992，p．81．

(79)Gesetzüber eine Volks-，Berufs-，Wohnugs-，und Arbeitsstattenzahlung，1982 Bundesgsetzbdatt［BGB1］I 369．

(80)不少英国学者开始讨论计算机对个人资料记录的革新，以及由此可能对个人造成的侵害。Malcolm Warner and Michael Stone，The Databank Society:Organizations，Computers and Social Freedom，London:Allen ＆ Unwin，1970;Donald Madgwick and Tony Smythe，The Invasion of Privacy，London:Pitman，1974;Paul Sieghart，Privacy and Computers，London:Latimer，1976．

(81)Colin J．Bennett，Regulating Privacy，1992，pp．47-48．

(82)Alexander Lyon，The Right of Privacy Bill，8 February 1967;Kenneth Baker，Data Surveillance Bill，1969;Brian Walden，Right of Privacy Bill，1969．

(83)Alexander Lyon，HC Debs．，Ss．，8 February 1967，col．1565．

(84)Malcolm Warner and Michael Stone，The Databank Society，1970，p．117．

(85)Brian Walden，HC Debs．，Ss．，23 January 1970，cols．862-68．爱尔兰隐私工作组经比较研究隐私问题和法律保护的不足，于2006年发布了报告，建议通过立法明确隐私的内涵和外延，确立隐私侵权的各种诉因。Ireland，Report of Working Group on Privacy，31 March 2006．

(86)Rosemary Jay and Angus Hamilton，Data Protection:Law and Practice，London: Sweet ＆ Maxwell，2003，p．5．

(87)U．K．，Younger Report，1972，p．1．

(88)U．K．，Report of the Committee on Privacy，Cmnd．5012，July 1972，pp．179-184．

(89)a)应为了特定的目的持有个人资料;b)只有在获得授权的情况下才得查阅资料; c)尽少保存资料，并须为了特定的目的;d)不得识别统计调查中涉及个人的身份;e)个人应有权查阅资料;f)对资料提供事先性的安全保障;g)对个人资料提供程序性的保障;h)仅在必要期间内保存资料;i)资料应准确并得以更新;j)任何价值判断都应对资料加密。

(90)这些原则为后来的国内和国际立法在不同程度上采纳，如欧洲和美国的早期立法、经济合作与发展组织的《资料保护指导原则》、欧洲理事会的《资料保护公约》与欧盟《资料保护指令》等。

(91)U．K．，Consumer Credit Act 1974，Ss．158-59．

(92)Rosemary Jay and Angus Hamilton，Data Protection:Law and Practice，2003，p．5．

(93)U．K．，Home Office，Computers and Privacy，Cmnd．6335，London:HMSO，1975．

(94)U．K．，Home Office，Computers:Safeguards for Privacy，Cmnd．6354，London:HMSO，1975．

(95)U．K．，Home Office，Computers and Privacy，1975，p．3．

(96)Colin J．Bennett，Regulating Privacy，1992，pp．88-89．

(97)U．K．，Home Office，Report of the Committee on Data Protection，Cmnd．7341(Chairman:Sir Norman Lindop)，London:HMSO，1978．

(98)(1)为保护资料当事人的利益:a)资料当事人应了解正在处理与其相关的哪些资料，为何需要它们，谁为了什么目的将在多长的期限内如何使用资料;b)只能为了收集资料时明确告知的目的或后续获得授权的目的使用个人资料;c)对其使用目的而言，处理的个人资料应准确、完整、相关且及时;d)除非为告知或经授权的目的所必需，不得处理有关的个人资料;e)资料当事人有权核实这些原则的实施。(2)为了资料使用者的利益:在成本不是过高的情况下，根据告知或获得授权的目的，使用者可为了实现其正当利益或履行有关责任而处理个人资料。(3)为了社会的整体利益:整个社会应享受个人资料处理带来的利益，并免受其不利影响。

(99)U．K．，Data Protection Act 1984，Schedule 1．

(100)Netherlands，Act Providing Rules for the Protection of Privacy in Connection with Personal Data Files，1999，Artt．25 ＆ 26．根据贸易、服务、劳工、社会保障、健康和福利、治安、司法与政府等领域中资料处理的具体特点，荷兰的资料保护机构制定了相应的行为守则。

(101)U．K．Data Protection Act，1998，Art．52;Directive 95/46/EC，Art．27．

(102)U．K．，NCCL，Legislating for Information Privacy，London，1980;Labour Party，Personal Information and Privacy，London，1981．

(103)C．o．E．Convention，Art．12．英国于1981年加入该公约。

(104)U．K．，Home Office，Data Protection:The Government’s Proposals for Legislation，Cmnd．8539，London:HMSO，1982．

(105)Rosemary Jay and Angus Hamilton，Data Protection:Law and Practice，2003，p．10．该法的全称为“An Act to Regulate the Use of Automatically Processed Information relating to Individuals and the Provision of Services in respect of Such Information”。

(106)a)应合理且合法地收集和处理个人资料;b)只能为了特定且合法的目的持有个人资料;c)不得以与上述目的不符的方式使用或披露资料;d)对上述目的而言，个人资料应充分、相关且不过多;e)个人资料应准确，并在必要情形下得以更新;f)为了某目的持有个人资料不得超过该目的所必需的期限;g)个人有权查阅资料;h)应采取适当的措施保障个人资料的安全。这些原则几乎全部来自《资料保护指导原则》和《资料保护公约》。

(107)Rosemary Jay and Angus Hamilton，Data Protection:Law and Practice，2003，pp．9-10．

(108)France，SAFARI(système automatisépour les fichiers administratifs et le répertoire des individus)．Henri Delahaie，Félix Paoletti，Informatique et libertés，Paris，1987，p．20．

(109)Loi n°78-17 du 6 janvier 1978 relative à l'informatique，aux fichiers et aux libertés，1978．

(110)《欧洲人权与基本自由保护公约》(European Convention on the Protection of Human Rights and Fundamental Freedoms)、欧盟《资料保护指令》与《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)等逐步确立了资料隐私的人权法地位。

(111)Directive 95/46/EC，Art．15．

(112)Ireland，Data Protection Act，1988．

(113)Belgium，Act on Privacy Protection in relation to the Processing of Personal Data，1992;Spain，Organic Law on the Regulation of the Automatic Processing of Personal Data，1992;Portugual，Law for the Protection of Personal Data with regard to Automatic Processing，1991;Switzerland，Federal Act on Data Protection，1992;Italy，Act on Protection of Individuals and Other Subjects with regard to the Processing of Personal Data，1996;Greece，Law on the Protection of Individuals with regard to the Processing of Personal Data，1997．

(114)1963年设立，致力于促进人类社会的法治，保护人权。www．worldjurist．org．

(115)Stig Stromholm，Right of Privacy and Rights of the Personality:A Comparative Survey，Stockholm:Norstedt，1967．See Colin J．Bennett，Regulating Privacy，1992，p．132．

(116)Frits W．Hondius，Emerging Data Protection in Europe，1975，p．75．

(117)Universal Declaration of Human Rights，General Assembly Resolution 217 A(III)，10 December 1948．

(118)U．N．，General Assembly Resolution 2450，23 U．N．GAOR，Supp．(No．18)，U．N．Doc．A/7218，1968．

(119)对此，由于科技发展水平和社会体制的差异，西方工业国家、社会主义与第三世界国家的立场并不相同:社会主义国家将科技的革新视为人类的进步，并否认计算机等电子技术在社会主义社会中的应用会引起任何冲突;第三世界国家也不承认利用个人资料存在什么问题，它们更关注如何获得先进技术;科技的较早普及与民主、自由的政治体制和文化传统，使得西方发达国家最关心科技对公民权利和自由构成的威胁。See Frits W．Hondius，Data Law in Europe，16 Stan．J．Int'l L．86，90(1980)．

(120)U．N．Doc．A/7218，1968，p．54．

(121)如国际电信联盟(International Telecommunications Union)、联合国跨国企业中心(UN Center on Transnational Corporations)、欧洲共同体、信息处理国际联合会(International Federation of Information Processing)与欧洲计算机生产商协会等(European Computer Manufacturers Association)。

(122)1949年，法国、德国和英国等欧洲十国签订了《伦敦条约》(Treaty of London)，并决定在斯特拉斯堡设立欧洲理事会。当前，理事会的成员国已达48个。

(123)1970年发展成欧洲理事会的“欧洲议会”(Parliamentary Assembly)。

(124)协商会议未将计算机列为有待考察的一项当代技术设备。

(125)See Frits W．Hondius，Data Law in Europe，16 Stan．J．Int'l L．86，92(1980)．

(126)Frits W．Hondius，Emerging Data Protection in Europe，1975，p．66．

(127)Council of Europe，Committee of Ministers Resolution(73)22 on the Protection of thePrivacy of Individual vis- à -vis．Electronic Data Banks in the Private Sector，1973;Resolution(74)29 on the Protection of the Privacy of Individuals vis- à -vis Electronic Data Banks in the Public Sector，1974．

(128)Council of Europe，Resolution(73)22 and Resolution(74)29．

(129)决议对私人行业规定了十项资料处理原则:1)保存的信息应准确且得以更新。一般而言，不得记录与个人私人生活有关的信息或可能导致不当歧视的信息，即使已记录也不得披露这些信息;2)对其保存目的而言，信息应适当且相关;3)不得通过欺诈或不当方式获取个人信息;4)应制定规则明确保存和使用特定类型信息的期限;5)未获得适当的批准，不得将信息用于保存信息时以外的其他目的，或向第三方传送信息;6)作为一般原则，有关个人对下列事项具有知情权:保存了哪些与其相关的信息、保存的目的，尤其是信息的披露;7)应采取必要措施更正不准确的信息，删除过期或非法获取的信息;8)应采取措施避免信息的滥用和不当使用;9)只有具有合法依据者才能查阅保存的信息;10)只能以整体的形式公开统计性资料，且不能将信息与特定的个人建立关联。Council of Europe，Resolution(73)22，Annex．对公共领域，决议规定了类似的原则。Council of Europe，Resolution(74)29，Annex．

(130)截至欧洲理事会通过第二项决议，只有瑞典与德国的两个州制定了资料保护法。

(131)Frits W．Hondius，Data Law in Europe，16 Stan．J．Int'l L．86，93(1980)．

(132)第七届欧洲司法部长会议也通过决议提出了类似的建议。7^thConference of European Ministers of Justice，Resolution No．3，Basle，1972．

(133)C．o．E．Convention，Explanatory Note，para．12．

(134)直属于部长委员会，法律合作委员会自1963年起负责欧洲理事会在众多法律领域中的合作活动，为部长委员会准备公约或决议。

(135)C．o．E．Convention，Explanatory Note，para．13．

(136)Id．，paras．8-11．

(137)Frits W．Hondius，Data Law in Europe，16 Stan．J．Int'l L．86，105(1980)．

(138)专家组成员多为欧洲发达国家的代表，如奥地利、比利时、法国、联邦德国、意大利、荷兰、西班牙、瑞典、瑞士和英国。自1976—1980年，专家组的主席分别为法国的儒瓦奈(Louis Joinet)、英国的哈灵顿(R．A．Harrington)与瑞士的弗瓦亚姆(J．Voyame)。C．o．E．Convention，Explanatory Note．

(139)Council of Europe，Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，ETS No．108，1981．

(140)Council of Europe，Amendment to Convention ETS No．108 allowing the EuropeanCommunities to Accede，adopted on 15 June 1999．通过该修正，理事会允许欧洲共同体加入公约。Council of Europe，Additional Protocol to Convention ETS No．108 on Supervisory Authorities and Transborder Data Flows，opened for signature on 8 November 2001．参照欧盟《资料保护指令》，协定对公约进行了补充规定，要求缔约方设立资料保护机构，并制定了更为完备的跨境资料流动规则和机制。

(141)Recommendation No．R(2002)9 on the Protection of Personal Data Collected and Processed for Insurance Purposes，18 September 2002;Recommendation No．R(99)5 for the Protection of Privacy on the Internet，23 February 1999;Recommendation No．R(97)18 on the Protection of Personal Data Collected and Processed for Statistical Purposes，30 September 1997; Recommendation No．R(97)5 on the Protection of Medical Data，13 February 1997;Recommendation No．R(95)4 on the Protection of Personal Data in the Area of Telecommunication Services，with particular reference to Telephone Services，7 February 1995;Recommendation No．R(91)10 on the Communication to Third Parties of Personal Data Held by Public Bodies，9 September 1991;Recommendation No．R(90)19 on the Protection of Personal Data Used for Payment and Other Operations，13 September 1990;Recommendation No．R(89)2 on the Protection of Personal Data Used for Employment Purposes，18 January 1989;Recommendation No．R(87)15 Regulating the Use of Personal Data in the Police Sector，17 September 1987;Recommendation No．R(86)1 on the Protection of Personal Data for Social Security Purposes，23 January 1986;Recommendation No．R(85)20 on the Protection of Personal Data Used for the Purposes of Direct Marketing，25 October 1985．

(142)Progress Report on the Application of the Principles of Convention 108 to the Collection and Processing of Biometric Data，2005;Guiding Principles for the Protection of Personal Data with regard to Smart Cards，2004;Report Containing Guiding Principles for the Protection of Individuals with regard to the Collection and Processing of Data by means of Video Surveillance，2003;Guide to the Preparation of Contractual Clauses Governing Data Protection during the Transfer of Personal Data to Third Parties not bound by an Adequate Level of Data Protection，2002;Report on the Impact of Data Protection Principles on Judicial Data in Criminal Matters including in the Framework of Judicial Co-operation in Criminal Matters，2002;Third Evaluation of Recommendation No.R(87)15 Regulating the Use of Personal Data in the Police Sector，2002;Model Contract to Ensure Equivalent Protection in the Context of Transborder Data Flows with Explanatory Report，1992;The Introduction and Use of Personal Identification Numbers: the Data Protection Issues，1991;Data Protection and Media，1990;New technologies:A Challenge to Privacy Protection?，1989．

(143)OECD，Group on Computer Utilization，OECD Committee for Science Policy，established in Paris，1968．

(144)但隐私已成为OECD重点关注的问题。G．Niblett，Digital Information and the Privacy Problem，OECD Informatics Studies，No．2，1971．

(145)OECD，Policy Issues in Data Protection and Privacy，OECD Informatics Studies No．10，1976．

(146)OECD Guidelines，Explanatory Note，para．18．

(147)Draft Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data，OECD Doc．DSTI/ICCP/79．40，June 1979．

(148)当时，奥地利、加拿大、丹麦、法国、德国、卢森堡、挪威、瑞典和美国已经制定了资料隐私法，比利时、冰岛、荷兰、西班牙和瑞士也在起草资料保护法。

(149)Michael D．Kirby，Transborder Data Flows and the“Basic Rules”of Data Privacy，16Stan．J．Int'l L．27，28(1980)．

(150)OECD Guidelines，Preface．

(151)Michael D．Kirby，Transborder Data Flows and the“Basic Rules”of Data Privacy，16Stan．J．Int'l L．27，29(1980)．

(152)Michael D．Kirby，Statement to the 24^thSession of the Committee for Scientific and Technological Policy of the OECD，21 November 1979，p．5．

(153)如今，OECD的成员国已达30个，除了英法德等欧洲发达国家外，还包括美洲的美国、加拿大和墨西哥，澳洲的澳大利亚和新西兰与亚洲的日本和韩国等。

(154)Council of Europe，Resolution(73)22，1973．

(155)Reply to Oral Question 122/73(E．P．Debs．No．168 at 104)，13 November 1973．

(156)Reply to Written Question 171/74，O．J．1974，C．90/33．

(157)S．E．C．(73)4300 final．

(158)Reply to Oral Question 193/73，E．P．Debs．No．173，13 March 1974，p．34．

(159)Case 11/70(1970)E．C．R．1125 at 1134;Case 4/73(1974)E．C．R．491 at 507．

(160)Frits W．Hondius，Emerging Data Protection in Europe，1975，p．73．

(161)Couste Report，E．P．Doc．153/74 at 23;Manfield Report，E．P．Doc．487/74 at 9．

(162)E．P．Debs．No．186 256，21 February 1875．

(163)C．O．M．(75)467 final，p．47．

(164)Bayerl Report，E．P．Doc．100/79，1979．

(165)O．J．1979，C 140/35．

(166)O．J．1976，C 184/19．

(167)O．J．，1982 C 87/39．

(168)Spiros Simitis，From the Market to the Polis:The EU Directive on the Protection of Personal Data，80 Iowa L．Rev．445，477(1995)．

(169)Treaty Establishing the European Economic Community(EEC Treaty)，as amended by Treaty on European Union(Maastricht Treaty)，7 Feb．1992．

(170)自1981年至1991年，所有的欧共体成员国都签署了《资料保护公约》，且丹麦、法国、德国、爱尔兰、卢森堡、西班牙和英国还批准了该公约。

(171)德国于1977年制定了首部《联邦资料保护法》，且其宪法法院于1983年确立了“个人信息自决权”在资料隐私保护中的理论指导地位。法国于1978年制定了资料保护法，设立了国家信息与自由委员会，并不断通过登记、审批等制度加强对个人隐私、基本权利和自由的保护。

(172)Proposal for a Council Directive Concerning the Protection of Individuals in Relation tothe Processing of Personal Data，O．J．1990，C 277/03．除提出上述建议外，委员会还提出了关于制定电信行业资料保护指令的建议。Proposal for a Council Directive Concerning Protection of Personal Data and Privacy in the Context of Public Digital Telecommunications Networks，in particular，the Integrated Service Digital Network and Public Digital Mobile Networks，O．J．1990，C 277/12．该建议最终成为《电信行业中的个人资料处理与隐私保护指令》。Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 Concerning the Processing of Personal Data and the Protection of Privacy in the Telecommunications Sector，O．J．1998，L 24/8．

(173)Amended Proposal for a Council Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，O．J．1992，C 311/ 30，Recitals，para．10．

(174)《资料保护指令》通过前，在欧盟当时的15个成员国中，只有意大利和希腊还未制定资料保护法(瑞典(1973)、德国(1977)、法国(1978)、挪威(1978)、丹麦(1978)、奥地利(1978)、卢森堡(1979)、英国(1984)、芬兰(1987)、爱尔兰(1988)、葡萄牙(1991)、西班牙(1992)、比利时(1992))，而自1981年至1991年，所有的欧共体成员国都签署了《资料保护公约》。

(175)German Federal Data Protection Act，1977，§4(1)．

(176)Amended Proposal for a Council Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data(Draft Directive 1992)，Art．27，O．J．1992，C 311/30．

(177)U．K．，Act to Regulate the Use of Automatically Processed Information Relating to Individuals and the Provision of Services in Respect of Such Information(Data Protection Act 1984)，§36(4);Netherlands，Act Providing Rules for the Protection of Privacy in Connection with Personal Data Files，Artt．15 ＆ 16．

(178)Belgium，Law Concerning the Protection of Personal Privacy in Relation to the Processing of Personal Data，Artt．6 ＆ 7;France，Act 78-1 on Data Processing，Data Files and Individual Liberties，§31;Spain，Law on the Regulation of the Automatic Processing of Personal Data，Artt．7 ＆ 8;Portugual，Law for the Protection of Personal Data with regard to Automatic Processing，Art．11．

(179)Spiros Simitis，Revisiting Sensitive Data，Council of Europe Studies，1999．

(180)Draft Directive 1992，O．J．1992，C 311/30，§28．

(181)Spiros Simitis，From the Market to the Polis:The EU Directive on the Protection of Personal Data，80 Iowa L．Rev．445，451(1995)．

(182)Draft Resolution of the Representatives of the Governments the Member States，Proposal for a Council Directive Concerning the Protection of Individuals in Relation to the Processing of Personal Data，O．J．1990，C 277/03．

(183)Spiros Simitis，From the Market to the Polis:The EU Directive on the Protection of Personal Data，80 Iowa L．Rev．445，455-456(1995)．

(184)Directive 95/46/EC，1995．

(185)Treaty Establishing the European Community，Art．249．

(186)Directive 95/46/EC，Art．33．

(187)Austria，Federal Act Concerning the Protection of Personal Data(Datenschutzgesetz 2000，“Austrian DSG 2000”)，originally promulgated on 17 August 1999，amended in 2001; Belgium，Consolidated text of the Belgian law of 8 December 1992 on Privacy Protection in relation to the Processing of Personal Data，as modified by the law of 11 December 1998 implementing Directive 95/46/EC(“Belgian DPA 2003”)，26 June 2003;Denmark，Act 429 of 31 May 2000 on Processing of Personal Data(“Dennish DPA 2000”)，2000;Finland，Personal Data Act，Act No．523/1999 and Act on the amendment of the Finnish Personal Data Act(“Finnish PDA 1999”)，1999;France，Loi n°78-17 du 6 janvier 1978 relative à l'informatique，aux fichiers et aux libertés，Loi n°2004-801 du 6 aot 2004，Loi n°2006-64 du 23 janvier 2006(“French LIFL 2006”);Germany，The Federal Data Protection Act(Bundesdatenschutzgesetz，“German BDSG 2006”)，2006;Greece，Law 2472/1997 on the Protection of Individuals with regard to the Processing of Personal Data(“Greek DPA 1997”)，1997;Ireland，Data Protection Act 1988 and Data Protection(Amendment)Act，“Irish DPA 2003”)，2003;Italy，Act on Protection of Individuals and Other Subjects with regard to the Processing of Personal Data，Act No．675，31 December 1996，Personal Data Protection Code(“Italian PDPC 2003 2003”)，Legislative Decree No．196，30 June 2003;Luxembourg，Loi du 2 aot 2002 relative à la protection des personnesàl'égard du traitement des donnees à caractère personnel(Luxembourg DPA 2002)，2002;Netherlands，Data Protection Act(“Dutch DPA 1999”)，approved by the Lower House on 23 November 1999;Portugal，Act 67/98 on the Protection of Personal Data(“Portuguese DPA 1998”)，1998;Spain，Organic Law 15/1999 on the Protection of Personal Data(“Spanish DPA 1999”)，13 December 1999;Sweden，Personal Data Act(“Swedish PDA 1998”)，1998:204，29 April 1998;U．K．，Data Protection Act 1998(“U．K．DPA 1998”)，1998．

(188)Bulgaria，Law for the Protection of Personal Data 2001，amended in 2004，2005 and 2006;Czech Republic，Personal Data Protection Act 2000;Estonia，Data Protection Act 2003; Malta，Data Protection Act 2001;Poland，Act of 29 August 1997 on the Protection of Personal Data，amended January，March and May of 2004;Cyprus，The Processing Personal Data(Protection of the Individual)Law of 2001，as amended in 2003;Latvia，Personal Data Protection Law，amended by law of 24 October 2002;Lithuania，Law on Legal Protection of Personal Data of 21 January 2003，amended on 13 April 2004;Romania，Law No．677/2001 of 21 November 2001 on the Protection of Individuals with regard to the Processing of Personal Data and Free Movement of Such Data，Law No．102/2005 regarding the Setting up，Organization and Functioning of the National Supervisory Authority for Personal Data Processing;Slovenia，Personal Data Protection Act(March 1990)，New Personal Data Protection Act(July 1999)，Act Amending the Personal Data Protection Act(July 2001)，New Personal Data Protection Act(July 2004)，Information Commissioner Act(January 2005);Slovakia，Act No．428/2002 Coll．on Protection of Personal Data，as amended by the Act No．602/2003 Coll．，and the Act No．90/2005 Coll．

(189)See Directive 95/46/EC，Recitals，para．11．a)应合理且合法地处理个人资料;b)为了特定、明确与正当的目的收集个人资料，且不为了与该目的不符的方式进一步处理这些资料;c)对资料收集和进一步处理的目的而言，个人资料应准确、相关且不过多;d)个人资料应准确，且在必要时得以更新。根据资料收集或进一步处理的目的，应采取必要措施确保删除或修改不准确与不完整的资料;e)以可识别资料当事人的身份的形式持有个人资料不得超过资料收集或进一步处理所必需的期限。资料控制者应尽责遵守上述原则。Directive 95/46/EC，Art．6．

(190)资料处理的法律依据包括:a)资料当事人已明确表示同意;b)处理为履行资料当事人作为一方的合同，或应当事人要求执行订立合同的先行措施所必需;c)处理为控制者履行其法律义务所必需;d)处理为保护资料当事人的重大利益所必需;e)处理为控制者或被告知资料的第三人执行具有公共利益的任务，或者行使职权所必需;f)处理为实现控制者或被告知资料的第三人的正当利益所必需，除非资料当事人的基本权利、自由的利益优于上述正当利益。Directive 95/46/EC，Art．7．

(191)Commission of the European Communities，First Report on the Implementation of the Data Protection Directive(95/46/EC)，COM(2003)265，15 May 2003．

(192)Seth P．Hobby，The EU Data Protection Directive-Implementing A Worldwide Data Protection Regime and How the U．S．Position has Progressed，1 Int'l L ＆ Mgmt．Rev．155(2005)．

(193)Colin J．Bennett，Convergence Revisited:Toward a Global Policy for the Protection ofPersonal Data?，in Technology and Privacy:The New Landscape，Philip E．Agre ＆ Marc Rotenberg eds．，The MIT Press，1997，p．113．

(194)Ken Gormley，One Hundred Years of Privacy，1992 Wis．L．Rev．1335，1357(1992)．

(195)Warren ＆ Brandeis，The Right to Privacy，4 Harv．L．Rev．193(1890)．

(196)Harry Kalven，Jr．，Privacy in Tort Law—Were Warren and Brandeis Wrong?，31 L． ＆ Contemp．Probs．326，327(1966)．

(197)Olmstead v．United States，277 U．S．438，478(1928)(Brandeis，J．，dissenting)．

(198)早在1886年的Boyd v．United States案(116 U．S．616(1886))中，美国法院已经承认了个人的隐私权，但直到20世纪中叶，美国的隐私法才开始全面发展。See Gerald G．Ashdown，The Fourth Amendment and the“Legitimate Expectation of Privacy”，34 Vand．L．Rev．1289(1981)．早期的案例可参见Roberson v．Rochester Folding Box Co．(64 N．E．442(N．Y．1902))与Pavesich v．New England Life Ins．Co．(50 S．E．68(Ga．1905))等。

(199)Warren ＆ Brandeis，The Right to Privacy，4 Harv．L．Rev．193，195(1890)．

(200)William Prosser，Privacy，48 Cal．L．Rev．383(1960)．该分类也为美国的《侵权法重述》采纳。U．S．，Restatement(Second)of Torts§652 B(1976)．

(201)但也有学者主张，相对于政府管制等其他手段，侵权法可以更好地保护个人信息隐私，应充分发挥其作用。The Privacy Torts:How U．S．State Law Quietly Leads the Way in Privacy Protection，http://www.privacilla.org/release/Torts_Report.html．

(202)U．S．，Restatement(Second)of Torts§652 B(1976)．

(203)Daniel J．Solove，Privacy and Power，53 Stan．L．Rev．1393，1432(2002)．

(204)Seaphus v．Lilly，691 F．Supp．127，132(N．D．Ill．1988)．

(205)Shibley v．Time，Inc．，341 N．E．2d 337，339(Ohio Ct．App．1975)．

(206)Tureen v．Equifax，Inc．，571 F．2d 411，416(8^thCir．1978)．

(207)U．S．，Restatement(Second)of Torts§652 D(1976)．

(208)U．S．，Restatement(Second)of Torts§652 E(1976)．

(209)U．S．，Restatement(Second)of Torts§652 C(1976)．

(210)652 N．E．2d 337(Ill．App．Ct．1995)．

(211)Daniel J．Solove，Privacy and Power，53 Stan．L．Rev．1393，1434(2002)．

(212)Priscilla M．Regan，Legislating Privacy，1995，p．35．

(213)442 U．S．735(1979)．

(214)425 U．S．435，441-43(1976)．

(215)429 U．S．589(1977)．

(216)Id．，pp.599-600．

(217)Id．，pp.601-02．

(218)如在United States v．Westinghouse Elec．Corp案中(638 F．2d 570，581(3d Cir．1980))，法院认为，只有在该机构告知工人有关情形，且允许其对信息披露进行异议的情形下，政府机构为了调查与工作有关的健康危险而要求工人提供医疗记录，才不侵犯雇员对其健康记录所具有的隐私权。在Doe v．Borough of Barrington案中(729 F．Supp．376，382(D．N．J．1990))，法院认为警察不得披露个人感染艾滋病的信息。在Woods v．White案中(689 F．Supp．874，875(W．D．Wis．1988))，法院认为犯人对其医疗记录具有隐私权。

(219)如在Cline v．Rogers案中(87 F．3d 176(6^thCir．1996))，法院认为宪法不保护公共记录中的个人信息。在Russel v．Gregoire案中(124 F．3d 1079(9^thCir．1997))，法院认为，向社区披露性犯罪并不侵害罪犯的隐私权，因为该逮捕与判决记录已经对公众公开。

(220)James P．Neuf，Recognizing the Societal Value in Information Privacy，78 Wash．L．Rev．1，35(2003)．

(221)David M．O’Brian，Privacy，Law，and Public Policy，New York:Praeger，1979，p．203．

(222)U．S．，HEW Report，1973．

(223)U．S．，Senate，Federal Data Banks，Computers，and the Bill of Rights，Hearings before the Subcommittee on Constitutional Rights of the Committee on the Judiciary，Senate，92nd Cong．，1^stsess．，1971．

(224)U．S．，Senate，Federal Data Banks，Computers，and the Bill of Rights，pp．iv-v．

(225)U．S．，Senate，A Bill to Establish a Federal Privacy Board，S．3481，93d Cong．，2nd sess．，1974．

(226)U．S．，House of Representatives，A Bill to Safeguard Individual Privacy from the Misuse of Federal Records，H．R．16373，93d Cong．，2d sess．，1974．

(227)U．S．Congress，Legislative History of the Privacy Act of 1974，Washington，1976．

(228)Before the Ad Hoc Subcommittee on Privacy and Information Systemes of the Senate Committee on Government Operations and the Subcommittee on Constitutional Rights of the Senate Committee on the Judiciary，Privacy-The Collection，Use and Computerization of Personal Data:Joint Hearings，93d Cong．，2d sess．，515，450-51(statements of the American Life Insurance Association and Department of Commerce)，1974．

(229)Priscilla M．Regan，Legislating Privacy，1995，pp．78-79．

(230)U．S．，HEW Report，1973，p．43．

(231)U．S．，Senate，Federal Data Banks，Computers，and the Bill of Rights，Hearings before the Subcommittee on Constitutional Rights of the Committee on the Judiciary，Senate，92nd Cong．，1^stsess．，1971．

(232)Priscilla M．Regan，Personal Information Policies in the United States and Britain:The Dilemma of Implementation Considerations，4 J．of Pub．Pol’y 19，25(1984)．

(233)U．S．，HEW Report，1973，p．42．

(234)U．S．，HEW Report，1973，p．43．但是，报告并不反对管制特定领域中与有限范围内的计算机化资料记录系统。对已经受到管理的部门，如公共机构、运输、保险和医院等，可由国家主管机关负责制定和执行隐私保障的要求。See Id．，note 12．

(235)U．S．，HEW Report，1973，pp．43-44．

(236)U．S．，Senate，A Bill to Establish a Federal Privacy Board，S．3481，93d Cong．，2nd sess．，1974．

(237)在欧洲，1970年，德国的黑森州根据其资料法率先设立了资料保护机构。1973年，瑞典制定了首部全国性的资料法并设立了资料调查委员会。此后，随着德国和法国设立全国性的资料保护机构，尤其是随着欧盟《资料保护指令》的通过，欧洲各国都设立了资料保护机构。这些机构在人员组成、任命，职责和权限各方面都可以看到艾文法案中美国联邦隐私委员会的影子。

(238)U．S．Congress，Legislative History of the Privacy Act of 1974，1976，pp．772-73．

(239)U．S．，S．3418，Title I—Privacy Protection Commission，93d Cong．，2nd sess．，21 November 1974，U．S．Congress，Legislative History of the Privacy Act of 1974，Washington，1976，pp．334-47．

(240)U．S．，House of Representatives，A Bill to Safeguard Individual Privacy from the Misuse of Federal Records，H．R．16373，93d Cong．，2nd sess．，1974．

(241)David Flaherty，The Need for an American Privacy Protection Commission，1 Government Information Quarterly 235，239(1984)．

(242)U．S．，House of Representatives，A Bill to Safeguard Individual Privacy from the Misuse of Federal Records，H．R．16373，93d Cong．，2nd sess．，1 November 1974．

(243)参见美国参众两院关于个人信息隐私保护的讨论。

(244)Priscilla M．Regan，Legislating Privacy，1995;Joel R．Reidenberg，Setting Standardsfor Fair Information Practice in the U．S．Private Sector，80 Iowa L．Rev．497(1995);Daniel J．Solove，Privacy and Power，53 Stan．L．Rev．1393(2001);James P．Neuf，Recognizing the Societal Value in Information Privacy，78 Wash．L．Rev．1(2003)．

(245)15 U．S．C．§1681．

(246)20 U．S．C．§1232(g)．

(247)42 U．S．C．§551．

(248)42 U．S．C．§551(c)，amended by USA Patriot Act，Pub．L．No．107-56，§211，1115 Stat．272，28384(2001)．

(249)Pub．L．No．107-56，209-212，224，115 Stat．272，283-85，295(2001)．

(250)18 U．S．C．§2510-22，2710-11，3121-27．

(251)18 U．S．C．§2710．

(252)47 U．S．C．§227．

(253)18 U．S．C．§2721-25．

(254)42 U．S．C．§1320d-2(2000)．

(255)15 U．S．C．§§6501-06．

(256)15 U．S．C．§§6801-09(2000)．

(257)Ted Janger ＆ Paul M．Schwartz，The Gramm-Leach-Bliley Act，Information Privacy，and the Limits of Default Rules，86 Minn．L．Rev．1219，1230(2002);James Neuf，Recognizing the Societal Value in Information Privacy，78 Wash．L．Rev．1，note 263(2003)．

(258)Colin J．Bennett，Convergence Revisited:Toward a Global Policy for the Protection ofPersonal Data?，in Technology and Privacy:The New Landscape，1997，p．113．

(259)U．S．，HEW Report，1973，pp．43-44．

(260)U．S．，PPSC Report，1977．

(261)U．S．，Privacy Working Group，Information Policy Committee，Information Infrastructure Task Force，Privacy and the National Information Infrastructure:Principles for Providing and Using Personal Information，6 June 1995．

(262)1)适用于所有参与方的一般原则:保护信息隐私原则、信息完整性原则与信息质量原则;2)适用于个人信息使用者的原则:收集原则、通告原则、保护原则、公平原则与教育原则;3)适用于提供信息的个人的原则:知情原则、权利原则与救济原则。应该承认，单从内容上看，这些原则非常完备，它从信息的收集、使用至披露整个流转过程，从资料使用者的责任、资料当事人的权利与救济等方面确立了全面的正当信息行为原则。

(263)U．S．National Telecommunications and Information Administration，Department of Commerce，Privacy and the NII:Safeguarding Telecommunications-Related Personal Information，Washington D．C．，October 1995．

(264)William J．Clinton ＆ Albert Gore，Jr．，A Framework for Global Electronic Commerce，the White House，1 July 1997．

(265)U．S．，FTC，Privacy Online:A Report to Congress，1998．

(266)See U．S．，FTC，Self-Regulation and Privacy Online:A Report to Congress，1999．

(267)U．S．，FTC，Privacy Online:Fair Information Practices in the Electronic Marketplace，A Report to Congress，May 2000．

(268)参见美国参众两院关于网上隐私问题的历次讨论。

(269)Alan F．Westin，Privacy and Freedom，1967，pp．324-25．

(270)Arthur R．Miller，The Assault on Privacy，1971，p．211．

(271)Richard S．Murphy，Property Rights in Personal Information:An Economic Defense ofPrivacy，84 Geo．L．J．2381，2384(1995)．

(272)Kenneth C．Laudon，Market and Privacy，39 Communications of ACM 92-104(1996)．

(273)U．S．，Department of Commerce，Privacy and Self-Regulation in the Information Age，Washington D．C．，June 1997．

(274)Peter Swire ＆ Robert E．Litan，None of Your Business:World Data Flows，Electronic Commerce and European Privacy Directive，Brookings Institution Press，Washington，1998．

(275)See Herbert Kurbert，Privacy-Data Protection:A German/EU Perspective，2000．

(276)Herbert Kurbert，Privacy-Data Protection:A German/EU Perspective，2000，pp．60-65．

(277)Joel R．Reidenberg，Privacy Protection and the Interdependence of Law，Technologyand Self-Regulation，Conference On the Brink of New Evolutions in the Law Information Technology，20^thAnniversary of the C．R．I．D，Namur，Belgium，2000．

(278)Fred H．Cate，The Changing Face of Privacy Protection in the European Union and theUnited States，33 Indiana L．Rev．173(1999)．

(279)Joel R．Reidenberg，Lex Informatica:The Formulation of Information Policy Rules Through Technology，76 Tex．L．Rev．533(1998)．

(280)Joel R．Reidenberg，Restoring American’s Privacy in Electronic Commerce，14 Berkeley Tech．L．J．771(1999)．

(281)Paul Schwartz，Privacy and Participation:Personal Information and Public Sector Regulation in the United States，80 Iowa L．Rev．533(1995);Spiros Simitis，Reviewing Privacy in an Information Society，135 U．Pa．L．Rev．707(1987)．

(282)Paul M．Schwartz，Internet Privacy and the State，32 Conn．L．Rev．815(2000)．

(283)U．S．，FTC，Privacy Online:A Report to Congress，1998;Self-Regulation and Privacy Online:A Report to Congress，1999;Privacy Online:Fair Information Practices in the Electronic Marketplace，A Report to Congress，2000．

(284)Directive 95/46/EC，Art．27．

(285)Commission of the European Communities，First Report on the Implementation of the Data Protection Directive(95/46/EC)，15 May 2003，pp．15-16．

(286)U．S．，FTC，Self-Regulation and Privacy Online:A Report to Congress，1999．

(287)Paul M．Schwartz，Internet Privacy and the State，32 Conn．L．Rev．815(2000)．