欧美应对信息安全风险的经验

欧盟与美国为应对个人信息再利用所引发的上述风险，都通过立法这一有效的制度安排手段促使再利用者合理地运用信息技术确保个人信息安全。这些实践经验对于惯常通过汲取舶来法律文明精髓探索立法规制路径的我国而言，不无借鉴意义。

（一）区分规制前端与后端的美国例

从事电子政务活动的公共机关应当被强制履行对信息安全的注意与维护义务，这充分地体现在了美国联邦以及各州颁行的法律规范中。该国1974年隐私法案§552a．即规定，公共机关（public organ）在向他方传输个人信息时，有义务采取合理措施以确保信息处于真实、完整与可靠的状态；同时根据联邦信息自由法案b（6），行政与司法机关在向他方（主要是以经营者为主的私人机构）传输个人信息之前，原则上应当取得信息主体的授权，同时采取保密技术防止信息被未取得授权者获得；根据隐私法案§552a，违反前述义务的公共机关将承担相应民事、行政甚至刑事责任，各州立法进而细化了关于责任追究程序与承担方式的规定。譬如，根据俄克拉荷马州公共文件法624A．17，官员未履行该法以及联邦相关法案所规定的义务并导致信息被泄露或歪曲的，将接受民事、行政或刑事审判，进而承担民事赔偿、行政罚金甚至刑事责任；又如，南卡罗来纳州机动车管理办法656－5－1275条规定，行政机关在将个人交通信息提供给其他机构再利用的过程中因疏于管理而使信息内容失真的，应向信息主体予以赔偿，同时被处以一定数额的行政罚金。

不同的是，对于从事电子商务与网络社交等活动的私人机构与个体应如何承担义务以及相应责任的问题，无论联邦还是州法律规范都鲜有规定。1984年《电缆通讯政策法》（Cable Communications Policy Act）与1991年《电话消费者保护法》（Telephone Consumer Protection Act）甚至赋予经营者自由获取相关个人信息而无须经过信息主体同意的权利。

（二）统合规制两端的欧盟例

按照欧盟《1995年个人数据保护指令》第一章第2条（d）的界定，受该指令约束的不仅包括公共机关，还涵盖了其他私人机构与个体，当然也包括了私人机构与网络社交个体。为确保个人信息的真实性与完整性，该指令第17条要求成员国对再利用者课以采取适当技术措施的义务，从而防止个人信息被意外遗失、变更或被非法毁灭。而当再利用者通过网络传输个人信息时，其应对以上安全要素履行更高的注意义务；同时为确保个人信息处于保密并为其主体可控制的状态，指令第7、12与14条要求成员国规定：主体有权知悉其个人信息被他人再利用的相关情事（譬如事由、实施者身份以及采取的信息技术等），并且在一般情况下得以反对他人未经其明确授权而实施上述行为；为使前述规范的实施得到强制保障，指令第三章“司法救济、责任与制裁”部分要求成员国设置司法与行政程序，追究违反相关义务的再利用者责任，责任承担方式包括民事赔偿与行政处罚等。

除了德国之外，欧盟主要成员国的立法在约束的再利用者范围以及约束方式和程度上与欧盟指令基本保持了一致。譬如根据法国2004年《数据处理、档案与自由法》第3条与第五章第一节，受该法约束的个人信息再利用者包括公共机关、商事机构以及其他组织与个体，几者均应对个人信息安全履行相应义务；英国1998年《数据保护法》第一部分、瑞典1998年《个人数据法》第9条等也做了相似的规定。

（三）评述

通过对比不难发现，欧美立法者都以个人信息安全的诸要素——保密性、可控性、完整性与可靠性等为基点，衍生出了再利用者应遵守的基本规则。譬如美国隐私法案§552a与欧盟个人数据保护指令第17条的规定是为了确保个人信息的完整性与可靠性，美国信息自由法案b（6）的规则与欧盟指令第7、12与14条则是为了维护该信息的保密性与安全性。

欧盟及其大多数成员国通过制定统一的规则，对所有再利用者（包括公共机关、私人机构与网络社交个体）的行为进行同等程度的约束；与欧盟不同的是，美国立法者着重规制作为个人信息前端控制者的公共机关的行为，而对处于后端的私人机构与个体的行为则持放任态度。具体体现是，无论联邦隐私法案、信息自由法案还是各州立法中的规则几乎都不适用于这些机构与个体。为了促使后一类再利用者维护信息安全，美国主要发挥其所在的行业协会所制定的自律规范的规制作用。该国行业协会ACM（Association for Computing Machinery）、OPA（Online Privacy Alliances）以及ICCP（The Institute for Certification of Computer Professions）分别于1973年、1998年与2003年颁行的关于保护客户在线隐私的自律规范就是代表。美国联邦贸易委员会（FTC）在1999年7月向国会提交的一份报告中甚至阐述道，由经营者所在的行业自律是促使其关注个人信息安全最有效的手段。^[8]