个人信息保护法

个人信息保护法个人信息保护法个人信息保护法在法律上确立个人信息权并非仅仅是对个人信息本身的保护。个人信息如果脱离信息主体，只是一堆没有任何意义的符号。所以个人信息并不是保护的目标和价值信息产生信息内涵中国保护外国保护主讲老师：XXX班级：X级X班目录目录01个人信息权的产生TheGenerationofPersonalInformationRights03中国个人信息保护法ChinaPersonalInformationProtectionLaw02个人信息权的内涵TheConnotationofPersonalInformationRights04外国个人信息保护法概述OverviewofForeignPersonalInformationProtectionLaw个人信息的产生个人信息的产生第一部分在法律上确立个人信息权并非仅仅是对个人信息本身的保护。个人信息如果脱离信息主体，只是一堆没有任何意义的符号。所以个人信息并不是保护的目标和价值个人信息权的产生（一）隐私权的传统见解1）隐私权的主体是自然人。2）隐私权的保护客体是“个人领域的事物”。（个人领域的事物包括隐私信息、私人事物、私人领域三个方面。）3）隐私权的作用是一种控制权“控制权”体现在：①个人可以选择将事物公开或不公开②个人可以决定在何时、何地、何种程度下，何人可以知悉或参与自身事物，最终维持个人的独立和不受支配。隐私权消极被动强调个人隐私不受侵害资讯自决权积极主动强调个人信息的主动控制前者强调的是侵害隐私权行为的成立要件以及有关的权利救济，后者强调如何对处理个人信息的行为进行监管，以及拥有个人信息的本人和信息处理者之间的关系如何进行调整，实际上是有关个人信息的管理法或者有关个人信息处理者的管理法。个人信息权的产生（二）从隐私权到咨询自决权（1）资讯自决权的“称谓”之称①采用“个人隐私”称谓的立法例:美国、以色列、加拿大、澳大利亚、比利时等。②采用“个人信息”称谓的立法例：奥地利、英国等。③采用“个人信息”称谓的立法例：法国、冰岛、日本等。④我国：个人信息、个人资料、个人数据。本书采广义理解，即将个人隐私权或者个人信息权均作为个人信息保护的内容来理解。个人信息权的产生①个人信息得知权②个人信息使用权③个人信息控制权④个人信息安全请求权⑤个人信息获取权个人信息权的产生（2）个人信息权（资讯自决权）具体包含以下几个方面：在法律上确立个人信息权并非仅仅是对个人信息本身的保护。个人信息如果脱离信息主体，只是一堆没有任何意义的符号。所以个人信息并不是保护的目标和价值，法律保护的是个人信息所承载的人格利益。而个人信息所承载的个人利益是多种多样的。以下通过个人资料的法律性质了解个人信息所承载的不同的利益。隐私权客体说（客体为一种具体人格权）该理论将个人信息定位为隐私利益。即将个人信息采用隐私权保护模式。这一学说在英美法系有其生根发芽的土壤。个人信息权的产生（三）个人信息权之形成一所有权客体说（非人格利益）该理论将个人信息定位为一种财产利益。二人格权客体说（客体为一般人格权）该理论是目前学术界较为流行也比较有说服力的观点，德国法是这一学说的代表。此种模式下承载于个人信息之上的人格利益不能完全被传统的具体权利所承载，故有必要赋予个人信息主体以新的权利，个人信息权由此产生。三个人信息的内涵个人信息的内涵第二部分在法律上确立个人信息权并非仅仅是对个人信息本身的保护。个人信息如果脱离信息主体，只是一堆没有任何意义的符号。所以个人信息并不是保护的目标和价值（三）个人信息权(1)个人信息权VS传统的隐私权（一）个人个人信息保护法上的个人仅指有生命的自然人，不包括法人和已死之人。个人信息权的内涵（二）个人信息(2)个人信息权的实体内容：①个人信息的取得、收集②个人信息的保有、管理、利用中国个人信息保护法中国个人信息保护法第三部分在法律上确立个人信息权并非仅仅是对个人信息本身的保护。个人信息如果脱离信息主体，只是一堆没有任何意义的符号。所以个人信息并不是保护的目标和价值个人信息保护法：为了有效保护个人的合法权益而对识别出或者可以识别出特定的个人信息加以收集、利用、传播等行为进行规范的法律制度。中国个人信息保护法（一）个人信息保护法的概念1）主体的适用范围（个人信息保护法的适用主体）：公共部门、私营部门:①不加区别的适用于二者：奥地利、波兰、阿根廷。②通过一部法律分章进行规定：德国、我国台湾③不同法律分别规定适用主体：日本、丹麦、加拿大④规定适用主体为公共部门：韩国、美国2）各国适用范围不同的原因：①法律体系特点，大陆法系国家存在公、私法的划分，因此将适用于公共部门和私营部门的不同内容分别予以规定。②各国不同的立法强制程度。（二）个人信息保护法的适用范围中国个人信息保护法①目的正当原则；②安全完整原则；③个人信息自决原则；④敏感信息妥善处理原则（三）个人信息保护法的主要原则1）概念：个人信息保护法律关系是指由个人信息保护法调整的因个人信息的控制、收集、处理和利用所形成的社会关系。2）个人信息保护法律关系主体：个人信息主体、信息处理主体。①个人信息主体：是个人信息的来源、是自然人、对其信息享有人格利益；②信息处理主体：信息的控制者两种分类方式：国家机关和非国家机关收集人、处理人和利用人；③关于信息主体的范围争议；信息主体可否为法人？死者和胎儿是否具备信息主体身份？（四）个人信息保护法律关系中国个人信息保护法3）个人信息保护法律关系的内容：信息主体本人和信息处理主体对个人信息享有的权利和承担的义务。外国个人信息保护概述外国个人信息保护概述第四部分在法律上确立个人信息权并非仅仅是对个人信息本身的保护。个人信息如果脱离信息主体，只是一堆没有任何意义的符号。所以个人信息并不是保护的目标和价值欧盟：《欧盟联盟隐私指令》1）数据的品质要求2）数据处理的合法性标准（搜集、输入、使用和传播）合法标准：①告知目的，征求同意②符合合同要求及数据主体要求③符合数据管理人的法定义务的要求④符合保护数据主体基本利益的要求⑤为履行公共事务或行使公共权力的数据管理人可以披露的数据⑥基于数据管理人和接受数据的第三方的合法利益可以适当披露数据，但不能损害数据主体的利益。外国个人信息保护概述3）指令的基本要求：数据的使用和披露必须限制在数据收集的目的之内4）充分性判断标准1）立法分散，针对不同领域中的个人信息分别立法。最重要的领域划分：公法领域、私法领域。公法领域：《联邦宪法》、《信息自由法》、《隐私权法》、《司法隐私保护法》私法领域：专注于四个领域外国个人信息保护概述（美国）2）实用主义立法模式；重视个人和市场自由3）立法思路：自律机制配合政府的执法保障。4）高度敏感领域制定专门立法：儿童信息、医疗档案、金融数据。（1）背景：为了通过欧盟“充分性”标准，以保证数据的跨界流动。在《指令》制订后,美方即予以关注，1996年开始与欧盟方面就此问题接触。1997年底,美方试探提出了名为“信息安全港”的解决建议。1998年10月欧盟《指令》生效后,表示“为了双方共同的贸易利益”暂时不对美国企业采取行动。美方无疑看到了一把随时可能斩下的达摩克利斯之剑,于是尽力加快谈判步伐。外国个人信息保护概述（安全港协议）（2）安全港协议：”信息安全港”其实是一个虚拟“社区”。它公布一些基本的隐私权保护原则。任何企业,只要宣布自己遵守上述原则并提出了具体落实方案,报有关部门或机构备案后,就算进人了“信息安全港”,可以“安全、合法地”从欧盟国家转移消费者资料了。如果事后发现该企业并未达到声称的保护标准,则可以以欺诈论处。“信息安全港”在下述概念和机制上,明显低于欧盟的要求:1.欧盟的《指令》要求以“国家”为单位,判定其对隐私权的保护是否符合标准。而“信息安全港”实际上变成了以企业为单位,逐个企业进行认定。2.欧盟《指令》要求以法律手段强制企业保护隐私权。而“信息安全港”体系不是法律,完全没有强制性,完全由企业自愿加人。3.欧盟《指令》要求俊犯隐私权的企业将依照有关隐私权法律进行惩处。而“信息安全港”原则既然不是法律,违反该原则的企业也就不能以所谓“侵犯隐私罪”论处,只能以“商业欺诈”论处,这两者的性质、惩处力度和执行机制都完全不同。外国个人信息保护概述外国个人信息保护概述最终解决方案：从1998年底开始,欧盟和美国进行了长达一年半的谈判。几经交锋,欧盟意识到,在上述1、2方面迫使美让步是困难的。就1而言,若欧盟坚持要求将美国作为整体来判断,结果只能是双方贸易战,而欧盟并无真正和美国开启贸易战的意图。就2而言,美国的立法体制以及企业界的强烈反对,决定了美国短期内不可能实施强制性的隐私权保护制度。①必须为欧盟的消费者提供切实可行的利用渠道,当某个消费者怀疑自己的隐私权遭到美国公司、机构侵犯时,应有明确的、方便的渠道进行申诉,调查取证,并有具体的补救和惩处措施;②对加人信息安全港后又违背有关原则的企业,必须有足够严厉的惩罚。欧盟认为:若达不到这两条,所谓“信息安全港”就是一纸空文。外国个人信息保护概述于是双方谈判的焦点便集中在“执行机制”方面。欧盟的主要要求是:1.信息安全港要求成员企业必须有一个面向消费者的投诉机制。美方最初提出,这个机制可以由企业自己建立。欧盟则认为:自己监督自己的机制是完全不能接受的。最终,美方同意,任何面向消费者的投诉机制,都必须由独立于企业的组织来运营,例如,通过行业协会来运营。外国个人信息保护概述最终双方达成的“信息安全港”协议,与最初的美国建议相比,在如下方面有所强化:2.明确了信息安全港成员企业若违背信息安全港原则将受到何种惩处。3.最终协议要求:凡根振美国法律不受某个明确政府机构(或