一、世界主要国家地区个人信息保护立法动态

全球主要国家地区个人信息法律保护制度和模式已基本成型，总体来说可以归纳为两种模式，一是以欧盟GDPR主导的国家统一立法模式，另一类是美国以补充现有法律+行业自律的模式。欧盟模式将个人数据和隐私保护根植于人格尊严之上，美国则更多从自由和行业发展角度来强调数据的利用。

（一）欧盟GDPR

1.加强数据主体的控制

基于欧盟公民对互联网行为的不信任和失去控制感，《一般数据保护条例》改革的一个重点是加强数据主体对个人数据的控制，能够让个人对他们的数据拥有绝对控制权。在以往立法实践经验和权利发展的基础上，《一般数据保护条例》在其第3章对数据主体所具有的十余项权利进行了规定，主要包括知情权、访问权、同意的权利、数据携带权、数据修改权、擦除权、反对权等等。

2.强化数据控制者和处理者的义务

为了确保数据控制者和处理者合理利用个人数据，防止个人数据的滥用，《一般数据保护条例》对数据控制者和处理者所需要承担的义务进行了扩充和强化，有一些新的尝试主要表现在以下几个方面，

（1）引入“设计数据保护”（Data Protection by Default）的机制

《一般数据保护条例》在第25条规定，控制者有责任采取必要的技术和组织措施，在数据服务系统开发阶段就实现一定程度的数据保护功能，例如采用匿名化、数据最小化等方法。而且，这些措施的初始设置默认为不公开数据主体的个人数据。“设计数据保护”通常也被成为“设计隐私”（Privacy by Default），通俗来讲是指数据控制者通过对信息系统的技术和服务设计实现隐私和数据保护的功能。虽然技术无法帮助我们解决所有的问题，但是至少一些低级的隐私侵犯是系统内部运作的结果，是可以通过设计隐私来规避的。此外，隐私设计还可以通过适当的标准进行推广，通过将这些标准作为数据保护功能的一般规制来实现隐私友好型系统和服务设计。但也有学者认为，大数据控制器目前适用的一些设计隐私策略会严重限制数据主体的权利。欧盟在《一般数据保护条例》中引入“设计数据保护”的初衷是好的不容置疑，但是隐私设计的发展严重依赖于现有信息技术的发展水平，特别是作为数据控制者其内部技术人员的专业能力和专业水平。如何消除技术障碍，实现利用技术来平衡隐私控制和隐私保护还有待进一步的研究和发展。

（2）确保数据安全并发布数据泄露报告

根据《一般数据保护条例》的规定，如果发生个人数据泄露的事件，数据控制者应在72小时内向相关监管机关报告数据泄露事件，除非个人数据泄露事件对数据主体不会带来风险。如果数据控制者没有在规定时间内提交报告，需要说明原因。根据数据处理的透明原则，如果数据泄露事件会给数据主体的权利和自由带来高风险时，数据控制者同样需要将其及时传达给数据主体。

（3）实施数据保护影响评估

数据保护影响评估（Data Protection Impact Assessment），主要是指在进行具有高风险的处理活动之前，数据控制者需要对其数据操作处理方式进行评估。特别是数据处理是建立在自动化处理、包括用户画像的基础上，或者大规模处理特殊类型的数据、违法数据等，又或者是以大规模的方式系统监控公众可以访问的空间时，需要进行数据保护影响评估。《一般数据保护条例》对数据保护影响评估的内容和流程进行了规定，数据保护影响评估有利于数据控制者对数据处理潜在风险的整体控制。

（4）任命数据保护官

《一般数据保护条例》在第四章的第四部分对数据保护官的设置做出了规定。根据其要求，除法院的所有公共机构、进行大规模数据处理活动的其他机构以及核心活动涉及大规模处理特殊类型数据和定罪违法数据的其他机构，都应该任命数据保护官。数据保护官的任命是强制性的。条例还对数据保护官的职位和任务进行了全面的规范。数据保护官的设置对于数据控制者降低数据处理风险、实现数据处理活动的合法合规、提高数据保护能力具有重要的意义。《一般数据保护条例》对数据保护官的规定为数据保护官制度的发展提供了重要的法律依据。

（5）设计巨额罚款提高违法成本

《一般数据保护条例》第83条对违法行为的处罚也制定了严苛的标准，并因为其规定的巨额罚款上限而激起了全世界的热议。处罚分为两个层面：一是对于一般性的违法行为，主要包括没有实施充分的信息技术安全保障措施，没有提供全面透明的隐私政策，或没有签订书面的数据处理协议等。针对这类情况，罚款上限是处以1000万欧元或者上一年度全球营收2%的罚款，两者取数额高者。第二种情况是针对严重违法行为，主要包括无法说明获取用户同意的途径，违反数据处理的一般性原则，侵犯数据主体的合法权利，以及拒绝服从监管机构的执法命令等。这类违法行为的罚款上限是处以2000万欧元或者上一年度全球营收4%的罚款，两者取数额高者，高额的罚款对于任何企业而言都会是天文数字，足以导致其破产。

3.构建全面的数据保护监管体系

（1）完善成员国监管机构的协作机制

根据《欧盟数据保护指令》，欧盟每个成员国都需要至少设立一个数据保护监管机构，用于加强成员国数据保护水平，同时减少欧盟在区域层面的行政负担。在新的《一般数据保护条例》中，欧盟对监管机构的运行机制进行了改革，在成员国监管机构的基础上，引入主管监管机构，根据第56条，在控制者或处理者主营业所所在地的监管机构可以充当主管监管机构，主要负责监督控制者或处理者的跨境处理活动。条例对监管机构的权利和职责进行了丰富和完善，建立了以欧盟数据保护委员会、主管监管机构和其他监管机构为主体的“一站式”监管机制，不同监管机构之间相互合作、联合行动，提高执法效率。

（2）升级欧盟数据保护委员会

《一般数据保护条例》规定要设置欧盟数据保护委员会（European Data Protection Board），并在第68条到76条，用了共六条的体例对欧盟数据保护委员会进行了规定。欧盟数据保护委员会是一个由成员国监督机构首长、欧盟数据保护监督局首长或其代表组成的独立的法人机构。欧盟数据保护委员会将取代根据《欧盟数据保护指令》设立的“第29条工作组”，主要负责协调不同机构和部门的数据保护工作，发布提供与个人数据保护相关的指导方针、建议和最佳实践，进行认证、评估等。新的条例强化了欧盟数据保护官的作用和地位，是对欧盟数据保护监管机构权力的提升。

欧盟个人数据保护立法从以《欧盟数据保护指令》为核心的保护发展到以《一般数据保护条例》为框架的新阶段，由以指令为主导的立法形式转为以条例和指令相结合的立法模式，完成了碎片化立法向统一立法的转变，实现了欧盟内部市场的整合运转和个人基本权利的平衡。在其立法发展过程中，对数据保护官的规定构建了数据保护官制度的理论基础。

（二）美国个人数据隐私保护的法律法规

相对来说，出于对产业利益和资本利润的追求，美国对数据保护的法律法规秉持宽松态度，仍坚持市场导向，以行业自律为主、辅之以政府监管。具体在个人信息立法方面，沿用现行的法律框架，通过联邦层面的法律法规与部分州层面的法律来进行规范，执法则主要由联邦贸易委员会（FTC）和联邦通信委员会（FCC）来实现。

具体到联邦层面的法律法规，最具有代表性的是《隐私法案》（Privacy Act），是美国在1974年通过的对隐私权予以保护的法案，也是美国最重要的一部有关个人信息保护方面的法律。该法案主要对政府机构收集处理个人信息的行为进行规范，主要内容包括信息主体的权利、政府机构的义务以及民事救济的措施。但是由于该法案的适用对象仅限于联邦政府机构，对地方各州没有约束力，因此所能发挥作用的空间有限。此后，1986年美国颁布了《电子通讯隐私法案》，1988年制定《电脑匹配与隐私权法》及《网上儿童隐私权保护法》等。美国采用分散立法的模式对具体领域的个人信息活动进行专项立法，主要有《公平信用报告法》《金融服务现代化法》《健康保险便利和责任法案》《反垃圾邮件法》《电子通信隐私法》等，针对不同领域不同类型的信息，特别是个人信用信息、金融信息、医疗信息等敏感信息给予保护。

在州立法层面，最有影响力的是2018年6月，加州通过了堪称美国最全面和最严格的隐私法《加州消费者隐私法》（California Consumer Privacy Act），该法融合了国际个人信息立法趋势，也吸收了欧盟GDPR的立法经验，赋予消费者对个人数据的删除权、有权要求机构不得出售个人数据等。

除了以上法律法规之外，还值得引起关注的是，2021年7月，美国统一法律委员会通过了《统一个人数据保护法》，该法是有关数据隐私保护法案的范本，旨在为美国各个州的立法机构提供一个有关个人数据保护立法的模板，该法案预计在2022年1月被州立法机构引入。该法的适用也存在一些问题，一是该法只有被各个州的立法吸纳采纳之后才能发挥法律效应，但是各个州最终是否采纳还取决于各州的情况和立法机构的态度。二是该法不管是在形式上还是实质上与美国乃至国际上现有的隐私和数据保护法有很多不同，而且与影响广泛的加州隐私法和弗吉尼亚隐私法制度存在不同，在互操作性层面还存在一定的冲突，因此最终能够被采纳以及多大程度上被采纳都还依赖于日后实践发展来观察。

（三）加拿大《个人信息保护与电子文件法案》

2000年，加拿大通过了《个人信息保护与电子文件法案》（Personal Information Protection and Electronic Documents Act），该法案分三个阶段生效，主要规定了私人或企业在进行商业活动时使用个人信息的范围与准则。加拿大该法案的颁布时间在世界个人信息立法进程中属于比较早的，但是由于加拿大经济影响力、市场广泛性都还有所欠缺，所以该法案的影响也较小。

（四）日本《个人信息保护法》

日本于2005年通过《个人信息保护法》（Amended Act on the Protection of Personal Information），于2017年施行了新版的《个人信息保护法》，又于2020年6月通过《个人信息保护法》修正法案。该法案与此前发布的《行政机关个人信息保护法》《独立行政法人等个人信息保护法》等行配套，共同构成了日本个人信息保护立法体系。

（五）卡塔尔《个人信息隐私保护法》

2011年，卡塔尔信息与通信技术最高委员会发布了一项隐私法草案，即《个人信息隐私保护法》，2016年11月，该国发布第13号法，成为海湾合作委员会的第一部法律。《个人信息隐私保护法》的适用范围扩展到以电子方式获取或处理个人数据的活动，并授予个人包括给予或撤回对其个人数据的任何处理的权利。为了保护这些权利，《个人信息隐私保护法》给数据控制者和处理者增加责任以确保其谨慎处理个人数据并得到适当保护，以防止任何泄露或丢失或未经授权的数据披露。

同时，《个人信息隐私保护法》还是有一些例外规定，允许主管当局或控制者在不遵守某些规定的情况下处理个人数据。这些例外如下：保护国家和公共安全；保护国家的国际关系；保护国家的经济或金融利益；预防，收集犯罪数据或调查犯罪；依法执行与公共利益有关的任务；根据法律或具有管辖权的法院的命令执行义务；保护重要的个人利益；为了公众利益进行科学研究；和应调查机关的正式要求，收集调查刑事犯罪所需的信息。

（六）迪拜的数据保护法

2020年，迪拜在原有的《数据保护法》基础上更新了新的《数据保护法》（DIFC DATA PROTECTION LAW 2020），主要吸纳了欧盟GDPR的概念以及包括《加州消费者隐私法》在内的世界各地的其他制度。尽管更新后的法律将从2020年7月1日开始生效，但受影响的企业将有三个月的过渡期，直到2020年10月1日。这使受影响的企业有很短的时间来考虑更新后的法律并实施一些必要措施以应对法律的变更，尤其是对于那些尚未进入GDPR法律框架的DIFC企业。

有关最新法律适用性的规定，根据旧数据保护法，只有一个广泛的声明，即规则适用于“DIFC的管辖范围”，而更新后的法律第6条第3款则规定该法律适用于DIFC中的控制器和处理器，而无论处理是否在DIFC中运行；持续而非偶然处理DIFC中的个人数据的信息控制者或处理者，无论其成立于何处。而且，新法第6条第（3）款（c）项指出，当用于进行数据加工活动的工具或人员物理上位于DIFC内时，在“DIFC内”进行加工和“DIFC外”进行的加工都收该法约束。

该法律同样对任命数据保护官（“DPO”）提出规定，当数据控制者或处理者有系统地或定期地执行“高风险处理活动”时则有义务任命数据保护官。即使在不需要控制者或处理器任命DPO的情况下，其也必须明确分配对更新后的法律（或“任何其他适用的数据保护法”）下的数据保护职责和义务进行监督和合规的责任。

根据更新后的法律第20条，有必要针对“高风险处理活动”进行数据保护影响评估（“DPIA”）。该法案引入共同控制人的概念，共同控制人有义务订立具有法律约束力的书面协议，其中规定了各自的责任，以确保遵守更新后的法律（根据更新后的法律的第3A部分）的义务，类似于GDPR第26条规定的内容。

新法进一步明确控制者义务是确保在控制器通过平台提供在线服务的情况下，必须设置平台的默认隐私首选项，以使获取或收集的信息不超过提供或接收相关服务所需的最少个人数据，数据主体应：提示您在首次使用时主动选择其隐私偏好；能够轻松更改此类首选项。

新法在赋予数据主体的权利方面，引入明确的撤回同意权和数据可移植权；增强的违规通知要求，包括在发生个人数据泄露（定义见其中）的情况下，控制人员有义务“合理地”尽快通知专员；以及适用于此类通知的特定内容要求；要求控制人与其每个处理人订立具有法律约束力的协议，并符合一系列严格定义的条件，这与GDPR第28条所规定的条件相类似。

在数据跨境流动方面，新法删除了向专员申请许可进行跨境数据传输的选项。现在仅允许跨境转移至：（a）某些国家；（b）某些国家中的一个或多个指定部门；（c）被专员认为提供了足够保护水平的国际组织（根据最新法律的定义）；有“适当的保障措施”（根据最新法律第27条第2款定义）的地方；或适用第27条第3款规定的减损之一的情况。

在特殊类别的数据处理方面，新法删除处理“特殊类别个人数据”（即泄露或涉及（直接或间接）种族或族裔血统，社区血统，政治背景或观点的个人数据）向专员申请许可的选项或哲学信仰，犯罪记录，工会会员资格以及健康或性生活，包括遗传数据和生物识别数据（用于唯一识别自然人的目的）。现在，只有在符合《新法》第11条规定的一个或多个特定处理法律基础的情况下，才可以处理特殊类别的个人数据；专员现在有权的情况下。

该法案对违反特定条款的行为处以罚款。每项侵权行为的罚款从25,000美元到100,000美元不等。根据旧数据保护法，罚款范围为5000美元至25,000美元。根据旧数据保护法，只有9项具体罚款，而根据更新后的法律，现在总共有35项罚款；和对违反最新法律的行为处以一般罚款，他认为的数额“考虑到违反的严重性和对任何相关数据主体的实际损害风险”，是“适当和相称的”。

（七）巴林的个人数据保护法

巴林于2018年发布个人数据保护法，并于2019年8月开始生效。该法的要求基本与欧盟的GDPR相似，包括保护个人隐私、数据处理的特定同意要求以及创建个人数据保护机构。巴林的数据保护法对适用范围进行了扩张，它不仅适用于处理其数据的居民和公司，还适用于不在巴林居住或工作的个人以及在该国没有营业地的公司。

（八）埃及《个人数据保护法》

埃及的《个人数据保护法》于2020年7月13日获得通过，并于2020年7月15日发布。该法律将于2020年10月14日生效，《行政法规》预计将于2021年4月14日生效。《个人数据保护法》引入了各种合规要求以及一些重大的刑事处罚。《个人数据保护法》将“个人数据”定义为与已识别自然人有关的任何数据，或与通过参考任何其他包括但不限于姓名、语音、图片、身份证号码、在线身份等其他数据直接或间接识别的自然人有关的任何数据标识符，或识别心理、健康、经济、文化或社会身份的任何数据。“敏感个人数据”定义为披露心理、精神、身体、遗传健康、生物特征数据、财务数据、宗教信仰、政治见解或安全状况的个人数据。《个人数据保护法》禁止未经数据主体授权或者法律特许的数据处理行为。数据主体享有各种权利：知道由谁处理哪些个人数据并有权访问该个人数据的权利；在处理个人数据方面撤回同意的权利；纠正，修改，删除，添加或更新其个人数据的权利；限制在有限范围内处理其个人数据的权利；和被告知有关其个人数据的任何个人数据泄露的权利。

埃及的《个人数据保护法》规定了数据保护官。除某些例外情况外，除非经尚未建立的埃及资料保护中心允许，且提供的保护等级达到该法规定，《个人资料保护法》规定禁止将个人资料转移给埃及以外的接收者。

《个人数据保护法》规定了各种刑事犯罪，并处以罚款和监禁等一系列处罚。这些包括：未经数据主体同意或法律另行许可，通过任何方式收集、处理、披露、提供访问或散布个人数据；不按照个人数据保护法处理个人数据；阻碍数据主体行使根据《个人数据保护法》授予的权利；数据控制者或数据处理者未能遵守《个人数据保护法》中规定的特定义务和通知/报告要求；没有任命数据保护官，或没有向其提供履行职务的基本要求；数据保护官未履行《个人数据保护法》规定的职责；超越《个人数据保护法》规定跨境传输个人数据；未遵守《个人数据保护法》规定从事数字营销。

二、世界主要国家地区个人信息保护立法趋势

从世界主要国家地区个人信息立法动态来看，目前世界个人信息保护的立法趋势具有以下特点：

一是，个人信息保护立法逐渐趋同。即世界主要国家地区所采用的个人信息保护立法路径和模式有走向融合的趋势。在立法形式上的趋同，都基本采用了统一立法的形式，即便是以分散立法为代表的美国，也在一定层面上希望推动相对统一、标准一致的个人信息保护法。在保护原则上趋同，基本遵守最小化原则、知情同意原则、正当性原则、目的限定原则等。在权利体系设置上的趋同，都引入删除权，设置查询权、知情权、访问权等。个人信息保护的法律法规在不同国家和地区不一样，主要因为每个国家地区原有的法律体系不一样，而且各个国家的经济发展水平、技术条件也有差别。但是具体到个人信息保护与利用的基本原则和路径，有很多已经形成共识，走向融合统一。

二是，世界各国个人信息立法逐渐重视个人信息的多元价值，强调个人信息保护与利用的平衡。大数据的积累和发展使个人信息的价值已经超越了个人的人格价值属性、财产价值属性，而具有了公共利益属性和国家主权属性，关涉公共安全和国家安全。因此世界主要国家和地区的个人信息立法也越来越关注个人信息背后所蕴含的国家安全和国家主权问题。

三是，世界个人信息立法推动了全球企业合规的发展。一方面，个人信息已经成为很多企业开展业务的“基础设施”，企业已经逐渐把保护、利用用户的个人信息作为企业战略之一。另一方面，个人信息立法的发展，要求企业从产品设计服务流程来重塑企业内部的制度规范，应对不同国家法律制度，针对对不同国家地区法律的合规越来越受到企业的重视。

四是，世界个人信息立法具有立法意图政治化的倾向。这个特点也可以换一种说法，即为了应多大国竞争和世界格局秩序的变化，在网络安全和信息保护等领域，以美国、欧盟为主的国家地区有政治意图法律化的显著趋势。网络安全、数据安全、个人信息保护不仅仅是数字经济发展和社会发展的需要，而是成为大国竞争的工具，成为一些国家政党实现政治意图的遮掩布，成为权力操控的手段。（周净泓，北京市社会科学院）