信息技術(shù)和數(shù)字世界的飛速發(fā)展，讓我們在享受數(shù)據(jù)流通、信息傳遞帶來的巨大紅利時，也在承擔(dān)隨之而來的風(fēng)險挑戰(zhàn)。2023 年 5 月 22 日，愛爾蘭數(shù)據(jù)保護委員會（Irish Data Protection Commission）在對 Meta 旗下 Facebook 服務(wù)進行調(diào)查后，對其處以 12 億歐元（91.2 億元人民幣）罰款。這次的罰款是目前數(shù)據(jù)隱私安全領(lǐng)域開出的最高的罰單，而在此前愛爾蘭數(shù)據(jù)保護委員會曾就 Instagram 侵犯兒童隱私事件（2022）、Facebook 數(shù)據(jù)泄露事件（2022）、WhatsApp 隱私政策不透明問題（2021）、 Facebook 和 Instagram 強迫用戶接受定向投放的個性化廣告（2023）分別對 Meta 開出 4.05 億、2.65 億歐元、2.25 億歐元、和 3.9 億歐元的罰單。

其他各國因數(shù)據(jù)安全事件開出的高額罰款層出不窮，如美國 T-Mobile 為數(shù)據(jù)泄露事件支付 3.5 億美元、Twitter 違法收集個人信息支付 1.5 億美元、西班牙數(shù)據(jù)保護機構(gòu)對谷歌違反 GDPR 罰款 1000 萬歐元、盧森堡的隱私監(jiān)管機構(gòu)對亞馬遜處以 7.46 億歐元等。這些已然引發(fā)了人們對數(shù)據(jù)安全的高度警覺，數(shù)據(jù)安全已經(jīng)成為了全球數(shù)字化時代的頭等大事，任何一次數(shù)據(jù)泄露事件都可能給個體、企業(yè)、甚至整個社會帶來不可估量的損失和影響。

根據(jù)聯(lián)合國貿(mào)易和發(fā)展會議（UNCTAD）的統(tǒng)計，截至 2021 年，全球 194 個國家和地區(qū)中已有 137 個通過了數(shù)據(jù)和隱私保護相關(guān)法律[^1]。各個國家已高度重視數(shù)據(jù)安全問題，各國 / 各區(qū)域在結(jié)合本國情況的基礎(chǔ)上制定、修改、完善本國法律規(guī)范，相關(guān)法規(guī)各有側(cè)重但都在逐步完善法律框架，維護個人隱私和社會穩(wěn)定。本篇將從司法實踐入手，分別選取國內(nèi)外各 1 則案例，結(jié)合所在地的法律規(guī)定一起了解下各國是在如何捍衛(wèi)個人隱私權(quán)益的。

一、我國司法案例

在個人信息保護和數(shù)據(jù)安全領(lǐng)域，我國在《中華人民共和國個人信息保護法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》的三大法律框架下，逐步落實相關(guān)法規(guī)及制度規(guī)范，并配套相關(guān)的監(jiān)管措施，不斷加強完善對個人信息的全面保護。

2022 年 8 月，杭州互聯(lián)網(wǎng)法院發(fā)布案例：吳某某訴上海某信息服務(wù)有限公司等違規(guī)提供用戶個人信息保護糾紛案[^2]，法院以該案情為基礎(chǔ)對“何種情況下，違法處理信息主體構(gòu)成對人格尊嚴、人格自由的精神損害”進行了有益的探索。

該案件中，原告吳某認為自己下載某電商購物 App 使用時其權(quán)利受損，故向法院提起訴訟。經(jīng)法院審理查明，法院認定二被告的信息處理行為侵害了吳某某的個人信息權(quán)益且認定其遭受到精神利益的害。同時，結(jié)合兩被告主體身份的影響力，法院認為兩被告對原告?zhèn)€人信息的處理行為存在意思聯(lián)絡(luò)，且對于相關(guān)的個人信息處理活動未盡到列述的注意義務(wù)、存在明顯的過錯，故判令兩被告向吳某某進行書面道歉并賠償相應(yīng)合理維權(quán)支出。

該判決的裁判要旨在于《個人信息保護法》第十三條對個人信息處理行為的合法性基礎(chǔ)、個人信息處理規(guī)則做出了原則性的規(guī)定，并構(gòu)建了以取得同意為原則，以豁免同意為例外的個人信息處理合法性基礎(chǔ)的二元結(jié)構(gòu)。我們該案例中也可以得知知情同意規(guī)則并非信息處理行為的唯一合法性基礎(chǔ)，雖允許存在其他例外的合法性基礎(chǔ)，但信息處理者仍需確保其處理行為符合對應(yīng)規(guī)則的要求。

二、國外處罰案例

2022 年 5 月 ，聯(lián)邦貿(mào)易委員會宣布（FTC）Twitter 同意司法部和聯(lián)邦貿(mào)易委員會支付 1.5 億美元的罰款，并實施全面的合規(guī)計劃，以解決涉嫌的數(shù)據(jù)隱私違規(guī)行為。

據(jù) FTC 調(diào)查數(shù)據(jù)顯示，自 2014 年到 2019 年，Twitter 聲稱著“保護您的賬號”的安全目的，誘使超過 1.4 億人次的用戶向 其提供了電話號碼或者郵箱地址。而實際上，Twitter 利用這些信息向特定消費者投放特定廣告，獲取到數(shù)百萬美金的非法收入。

Twitter 本次的行為不僅違反了聯(lián)邦貿(mào)易委員會法案第 45 (a)(1) 和 (l) 條以及第 53（b）條，關(guān)于虛假廣告，禁止和限制令中臨時限制令，初步指令的規(guī)定。同時，違反了 2010 年聯(lián)邦貿(mào)易委員會的裁決命令。

基于此，聯(lián)邦貿(mào)易委員會最終對 Twitter 處以 1.5 億美元的罰款，并要求其執(zhí)行多項整改措施，包括禁止虛假陳述、限制使用電話號碼或者郵箱地址、必須通知消費者、建立隱私與個人信息安全計劃以及各項命令的確認及報告要求。

通過聯(lián)邦貿(mào)易委員會對 Twitter 的本次處罰，我們了解到美國監(jiān)管機構(gòu)對于當前互聯(lián)網(wǎng)平臺監(jiān)管的態(tài)度和力度，同時也可以看出全世界各個國家對個人信息處理行為的合法性基礎(chǔ)以及個人信息處理的原則性規(guī)定上有著相似的認定原則。

三、全球隱私保護相關(guān)立法

中國

《中華人民共和國個人信息保護法》于 2021 年 11 月 1 日起施行。個人信息保護法外引域外立法智慧，內(nèi)接本土實務(wù)經(jīng)驗，熔“個人信息權(quán)益”的私權(quán)保護與“個人信息處理”的公法監(jiān)管于一爐，統(tǒng)合私主體和公權(quán)力機關(guān)的義務(wù)與責(zé)任，兼顧個人信息保護與利用，奠定了我國網(wǎng)絡(luò)社會和數(shù)字經(jīng)濟的法律之基。

《中華人民共和國數(shù)據(jù)安全法》于 2021 年 9 月 1 日起施行，是對我國網(wǎng)絡(luò)法律法規(guī)體系實現(xiàn)進一步完善。

《中華人民共和國網(wǎng)絡(luò)安全法》 于 2017 年 6 月 1 日起施行，2022 年 9 月發(fā)布公開征求《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定（征求意見稿）》意見的通知。

歐盟

《通用數(shù)據(jù)保護條例》（GDPR） 2018 年 5 月 25 日起正式施行，完善了數(shù)據(jù)保護的基本規(guī)定。GDPR 的出臺全面加強了歐盟所有網(wǎng)絡(luò)用戶的數(shù)據(jù)隱私權(quán)利，明確提升了企業(yè)的數(shù)據(jù)保護責(zé)任并顯著完善了有關(guān)監(jiān)管機制，同時，提高了人們對隱私和數(shù)據(jù)保護的認識，對世界各國的立法都具有啟示性的意義。

美國

1974 年，美國通過《隱私權(quán)法案》，對收集和使用個人數(shù)據(jù)的行為邊界和責(zé)任做出了規(guī)定。相繼通過了《電子信息隱私法》《互聯(lián)網(wǎng)保護個人隱私政策》《消費者數(shù)據(jù)隱私保護法案》以及《消費者隱私權(quán)利法案》，對最早的個人數(shù)據(jù)隱私保護法案作出補充。除了聯(lián)邦法案外，美國各州也有自己的隱私保護法，在保護細節(jié)上不盡相同。

2018 年 6 月，《加利福尼亞州消費者隱私保護法案》（CCPA）公布，并于 2020 年 1 月 1 日起正式實施。該法在訪問、刪除和分享企業(yè)收集到的個人數(shù)據(jù)上賦予了消費者新的權(quán)利。

2023 年 1 月 1 日，《加利福尼亞隱私權(quán)利法》（CPRA）生效。

2023 年 1 月 1 日，《弗吉尼亞消費者數(shù)據(jù)保護法》（VCDPA）生效。

《科羅拉多州隱私法》（CPA）和《康涅狄格州數(shù)據(jù)隱私法》（CTDPA）將于 2023 年 7 月 1 日開始生效。

《猶他州消費者隱私法》（UCPA）將于 2023 年 12 月 31 日生效。

2022 年發(fā)布《數(shù)據(jù)隱私和保護法案（草案）》，旨在聯(lián)邦層面建立消費者隱私數(shù)據(jù)保護法律框架。

日本

2005 年 4 月，《個人信息保護法》正式施行。

2022 年 4 月 1 日，修訂后的《個人信息保護法》（"APPI 2022"）生效，該修正案引入了重大改革，對公司的隱私慣例和業(yè)務(wù)運營產(chǎn)生了影響。

英國

2017 年出臺《數(shù)據(jù)保護法》（DataProtectionAct，DPA）。

2022 年 7 月，英國政府向下議院提交《數(shù)據(jù)保護和數(shù)字信息法案》；2023 年 3 月，英國政府在議會提出新的《數(shù)據(jù)保護和數(shù)字信息法案》。

韓國

2022 年通過《個人信息保護法（修正案）》，旨在加強在數(shù)字經(jīng)濟大的背景下公民可能被削弱的個人信息權(quán)利。

新加坡

2012 年頒布了《個人數(shù)據(jù)保護法》（PDPA），該法分不同階段生效,有關(guān)數(shù)據(jù)保護的條款于 2014 年 7 月 2 日開始執(zhí)行。

2022 年通過《個人信息保護法（修正案）》，旨在保護數(shù)據(jù)主體的個人數(shù)據(jù)并且規(guī)范數(shù)據(jù)處理者的數(shù)據(jù)處理行為。

印度

2022 年 11 月，印度電子和信息技術(shù)部推出了《2022 年數(shù)字個人數(shù)據(jù)保護法案》（DPDP 法案）的草案，并呼吁公眾提出意見。

越南

2023 年 4 月，越南政府頒布第 13/2023/ND-CP 號法令 《個人數(shù)據(jù)保護法》（PDPD），該法令將于 2023 年 7 月 1 日正式生效。

泰國

2022 年 6 月 1 日，泰國《個人數(shù)據(jù)保護法》正式生效，這是泰國第一部綜合數(shù)據(jù)保護法，規(guī)定了數(shù)據(jù)收集、使用和披露的合法理由，包括敏感的個人數(shù)據(jù)、控制者和處理者的義務(wù)，以及數(shù)據(jù)主體權(quán)利等。

文末福利

關(guān)注傲空間公眾號，回復(fù) “ 法律法規(guī) ” 即可獲得我國對個人信息和數(shù)據(jù)保護的相關(guān)立法匯總。