消费者个人信息的法律保护研究

WORD.学校编码：10173 分类号密级学号：3460513170 UDC法 律 硕 士 学 位 论 文消费者个人信息的法律保护研究A Research on Legal Protection of Consumers Personal Information 杜丽诗 指导教师XX：王岩 作 者 年 级：2012级论文答辩时间：2015年10月28 / 38摘 要当前，消费者个人信息的安全一直受到社会关注。消费者个人信息作为新兴的社会资源，极大地帮助了经营者降低经营成本，制定正确决策和扩展市场。而随着社会通信科技的发展，消费者个人信息产业化带给每个人若干种通信交流方式，这些方式在为人们带来便利的同时，也导致了许多困扰。如今，泄露或不正当使用消费者的个人信息现象比较多见，经常有人抱怨说自己的手机垃圾短信不断，垃圾邮件众多，甚至还有些消费者的个人信息因为泄露而引发了许多犯罪案件。个人信息被非法泄露和使用不仅给人们的生活带来诸多不便的同时也对人们的人身财产与个人隐私安全构成严重的威胁。我国2015年的消费者权益保护法已经正式实施，这是消费者个人信息保护立法的重要里程碑。但由于司法、行政、立法、执法等方面的缺位，构建完善的消费者个人信息保护机制还言之尚早。2009年，中华人民共和国刑法修正案（七）中就严格规定了国家机关单位工作人员牵涉到出售公民个人信息并且情节严重的，处三年以下有期徒刑或拘役并处罚金”。这一规定虽然有助于保护公民的个人信息，但是该规定过于笼统，只规定了“违反国家规定”的情形，所以该规定的实施还离不开具体法律制度的协助。随着这些年个人信息泄露频繁发生，消费者权益保护法的最新修订中便规定经营者需承担相应的法律责任。不过比较国外而言，我国对公民个人信息的保护依然存在很多不足。国际上，美日加拿大以与阿根廷、澳大利亚、韩国等国家都寻求保证信息正常流通基础上保障个人信息的安全。公平信用报告法、录像隐私保护法、关于消费者财务信息的数据隐私规定等都是很有力的监控手段。欧盟自1995年颁布关于自动处理个人数据信息的保护以与此类数据信息自由流动的指令以来也逐渐形成了较为完整的个人信息保护体系，这些法律为欧盟成员国相关法律规范奠定了坚实基础。由此可见，消费者个人信息的保护在全球各国都受到了重视，许多国家都通过立法体系来保护消费者个人信息。本文主要通过我国消费者个人信息法律保护的研究来提升我国国民个人信息的安全。首先，本文解释我国消费者个人信息的概念、特征以与侵权的主要表现形式，同时提与到保护的必要性，接着本文深入了解我国现行立法是如何保护消费者个人信息并系统分析目前我国消费者个人信息保护所面临的困难和尴尬。通过考察其它国家与地区对个人信息的保护经验和现状，最终剖析我国立法不足之处后而提出相关的完善建议，希望对我国个人信息方面的立法和相关体系完善有借鉴和指导作用。关键词：消费者个人信息；法律保护；立法体系ABSTRACTThe security problem of consumers personal information has always been a focus of social concern. As a new social agency resource, it greatly helps the operators reducing the operating costs, making right decisions and expanding markets. Nevertheless, with the development of social communication technology and the industrialization of consumers personal information, people have several kinds of pattern of communications, which bring convenience, but also triggers many problems. Resulting in a large number of consumers information leakage and improper use. Frequently, people complain that their mobile phones spam messages, junk emails constantly, and even the leakage of information that caused crimes. This illegally leaks and uses in crime cases becoming a major problem in citizens lives. It not only brings inconvenience, but also poses a serious threat to personal, property and privacy. The formal implementation of the new Consumer Protection Act has been concerned by the community; this is the milestone of the consumers personal information protection legislation. However, due to the lack of judicial, administrative, relief and law-abiding, it is still early to build the perfect mechanism.Early in 2009, Criminal Law Amendment of the Peoples Republic of China(7) in the prescribed state agency or the financial, telecommunications, transportation, education, health care and other units of staff, in violation of the provision of the state, the unit in the performance of their duties or provide services in the process of the personal information of citizens, sold or provided to others illegally, if the circumstances are serious, with a penalize of imprisonment or criminal detention of less than three years, and a fine or single fine to forfeit. This provision while helping to protect citizen personal information, but it way too general, only the situation of in violation of the relevant provision of the state, so the implementation of the provisions is also inseparable from the specific legal assistance.With the increasing of the personal information leakage, the effective of the protection is more and more needed. In the latest revision of Consumer Protection Law Act, includes the protection and provides the obligations and corresponding legal responsibility of the operators. Yet take a serious look at the new Consumer Protection Law Act, it still in a lower level in our country, the relevant legislation still has many problems.The United States, Japan, Canada, Argentina, Australia, South Korea and other countries have relevant legislation to safeguard the softy of consumer personal information. For example, The US is seeking to ensure balance between information circulation and protection of the security of personal information legislation though under the guidance of the formulation of multiple laws, mainly include the Fair Credit Reporting Act, the Video Privacy Protection Act, Consumer finance information data privacy rules, etc. The European Union as the earliest attention to regional organization for the protection of personal data, since 1995 promulgated the automatic processing of personal data protection directive of free flow of information and the data, after more than ten years of development formatted a complete legal system, not only unified the member nations substantive law, also developed relevant domestic laws and regulations for EU member states laid the foundation. Thus, in many countries, the PPI of consumers gets more attention, they formulated the relevant legislative system to protect it, the operator establishes a sense of self-discipline consciously abide by the laws and regulations is required, not only to consider their own interests, but also to consider the consumers legitimate right and interests, protect the consumers vulnerable position. To sum up, this study of legal protection of consumers personal information analyzes the concept of personal information for our consumers characteristics, the forms of infringement and protection, and discusses the necessity of understanding our legislation to protect consumers personal information, the legal protection system analysis of consumers personal information in our country current difficulties, clear the necessity of legal protection of personal information to consumers, at the same time, through the investigation in other countries and regions on consumers personal information protection present situation, the shortage of legislation in our country the status quo and perfect suggestions, to our country present situation and the improvement of the legislation system also ahs reference and guiding role.Key Words: Consumers personal information；Legal protection; Legal system目 录引言11消费者个人信息概述21.1个人信息与个人信息权21.1.1个人信息21.1.2 个人信息权21.2消费者个人信息的界定与特征31.2.1消费者个人信息31.2.2消费者个人信息权31.3对消费者个人信息权进行法律保护的必要性41.3. 1护消费者权益的需要41.3.3保证市场经济健康发展的需要52.我国消费者个人信息法律保护现状与存在的问题62.1我国消费者个人信息法律保护的现状62.1.1消费者权益保护法的规定62.1.2其它法律法规与地方性法规62.2我国消费者个人信息法律保护存在的问题82.2.1个人信息的界定和范围不明确82.2.2对侵害消费者个人信息的行为列举不全面92.2.3对侵害消费者个人信息权的法律责任不明确92.2.4监管技术手段的缺乏92.2.5消费者个人自我保护意识不到位103.域外对消费者个人信息的立法保护以与启示113.1域外对消费者个人信息的立法保护113.1.1美国对消费者个人信息的立法保护113.1.2欧盟对消费者个人信息的立法保护123.1.3香港地区对消费者个人信息的立法保护143.2域外对消费者个人信息的立法保护对我国的启示163.2.1适用范围明确163.2.2保护标准明确163.2.3执行机制先进174.完善我国消费者个人信息法律保护的措施184.1明确界定权利184.1.1依法明确定义184.1.2依法明确范围184.2完善侵权行为规定和法律保护措施194.2.1列举侵害消费者个人信息的行为表现194.2.2完善对侵害消费者个人信息权的法律责任194.2.3增加多样化的技术保护措施204.3完善监督机制与行政管理204.3.1加强行政监管204.3.2加强行业管理214.3.3建立消费者个人信息专属保护机构224.4消费者提高自我保护意识224.4.1加强社会普法力度224.4.2消费者自身慎重向商家提供个人信息23结论25参考文献26引言随着科学技术的快速发展和日益增长的网络通信,现代社会已经全面进入信息时代。消费是一个必不可少的日常活动,人们的生活消费支出,企业往往会要求消费者离开包括XX、联系、家庭住址、工作单位和一系列的个人信息。各大企业也发现消费者个人信息中包含的巨大的商业机会,一些犯罪分子非法收集、利用消费者个人信息为了寻求利润。人民经常可以遇到这样的情况，刚刚买了房子，装修公司的就接踵而来；刚刚买了车子，就有保险人员联系推荐车险；刚刚生了孩子，各种育婴中心、儿童营养品的宣传单就递到手中。每天各种垃圾邮件、营销短信更是铺天盖地，不计其数。这给消费者平静的生活造成了极大的困扰，更无奈的是，消费者从来没有订购这些讯息，更不知道自己的个人情况是从什么渠道被营销人员获得的。消费者个人信息的保护得到消费者迫切的渴望，消费者都希望得到实际有效的个人信息权利保护，切实地保护自身利益。1消费者个人信息概述1.1个人信息与个人信息权1.1.1个人信息个人信息是指个人XX,年龄,包括自然人(出生)、性别、籍贯、民族、XX号码、身体特征、身体状况、婚姻状况、政治前景,个人信仰,最高学历,毕业院校,就业形势,特别爱好,家庭住址,联系信息,个人资产、违法犯罪记录和一系列的包括生理的和心理的信息特征。个人信息与个人隐私有所区别,个人隐私是指公民个人生活不愿公开超出一定范围的秘密,个人隐私包含一个人的所有个人信息。 齐爱民，中华人民共和国个人信息保护法示范法草案学者建议稿，河北法学，2005年6月；个人信息的采集、处理、使用和传递一直在进行。随着上世纪六十年代科技的不断发展与壮大，尤其是信息技术的使用和推广，政府或非政府机构对个人信息的广泛批量自动化处理已经大范围使用，从而导致人们对个人信息的安全担忧。2003年，日本颁布并执行的个人信息保护法 周伟，通信自由与通信秘密的保护问题，2006年第6期；，其中规定个人信息，包含XX、出生年月日等可以识别个人的信息。我国目前为止尚无明确界定。中华人民共和国刑法修正案（七） 中华人民共和国刑法修正案（七） ，2009年2月。第二百五十三条规定国家机关单位的工作人员不能出售或者非法提供他人个人信息。在实践中，各行各业也会掌握很多个人的信息，从而对公民的人身、财产、隐私等构成重大威胁。同时，该条款中只规定了“违反国家规定”过于笼统，因此还需要具体的法律制度来支撑。1.1.2 个人信息权首先，个人信息有独特的权利内容。个人信息权由信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权组成。各国或地区对个人信息权有不一样的立法规定。美国执行隐私法案，德国遵守联邦数据法和个人资料保护法，我国台湾地区颁布施行电脑保护个人资料保护法等等，这些法律都是对个人信息保护的主要立法。其次，个人信息有独立的权利客体。个人信息权的客体指一系列生理、心理经济等多方面的个人资料。再者，假设个人信息受到侵害，其后果易扩散和不易估量。现如今的互联网时代，网络的交互性使得获得个人信息变得更加容易，信息传递也更为迅速，由于网络的多元性和立体性使个人信息被利用和传播的后果也更易扩散。即使在地球北部的一个小村落发布一条信息，地球南部的大都市里每一个使用电脑、电视、等媒体端的个人也会瞬间获知。一些不法行为产生的损害后果很大程度上无法估量，因此，侵害个人信息的后果更具有不易估量性。1.2消费者个人信息的界定与特征1.2.1消费者个人信息消费者个人信息为在购买、使用商品和接受服务时，由消费者提供给经营者或者由经营者收集到的，能够单独识别或辅以其他信息能够识别出特定主体的个人资料和数据。消费者个人信息形成的首要条件是在消费中形成。收集信息的主体为经营者。所有可以识别特定自然人的信息都可称之为个人信息，其范围非常广泛。但消费者的个人信息与之有着不可分割的联系实则又有区别，是在特定的消费条件下所形成的个人信息。比如，在医疗范围内，个人信息包括基因、血型、指纹、家庭病史等内容，但这些信息通常在消费条件下不是商户关注的重点内容，而消费习惯、消费偏好、个人收入情况、资产情况便成了经营者希望了解的主要目标。1.2.2消费者个人信息权1.消费者个人信息具有特定性。新修订的消费者权益保护法 消费者权益保护法，2014年3月修订；（以下简称新消法）中针对消费者给出的定义：为生活消费需要购买、使用商品或者接受服务的自然人，因此，消费者的个人信息的形成仅限于消费者在购买、使用商品或者接受服务时自然人与经营者之间形成的权利。例如消费者为享受优惠向商户申请会员卡、积分卡时填写的申请表格、在商铺的消费单据和购买记录等等 王万竹，消费者信息搜集研究综述，时代租赁，2008年8月，第6卷。2.消费者个人信息具有非公开性。运营商应合法、合理利用消费者的个人信息,表达的目的,方法和范围必须严格保密,没有消费者同意,经营者不得出售或者非法提供给他人,它体现出消费者的个人信息是最重要的特性之一是不能宣传。正是这一特点使得加强个人信息的法律保护已经变得越来越必要。3. 消费者个人信息具有财产性。有学者提出“信息本身是一种合法的财产权益”（齐爱民捍卫信息社会中的财产）。在现实生活中,消费者的个人信息商业化。一些提供者为了利润,将消费者的个人信息卖或作为公司的资产被转移到其他企业。第三方或其它企业收集到这个个人信息后反过来有可能对消费者实行诈骗行为，导致消费者财产受到损失。1.3对消费者个人信息权进行法律保护的必要性1.3. 1护消费者权益的需要人格尊严是公民的名誉。公民作为一个人应当受到他人最起码的尊重。我国宪法 中华人民共和国宪法，2004年；第三十八条规定中华人民共和国公民的人格尊严不容侵犯。公民即包括消费者，其人格尊严是宪法赋予的神圣权利，我国民法 中华人民共和国民法通则，2009年。中也明确规定公民人格尊严受保护，不容任何人侵犯。经营者不得侮辱、诽谤,不得侵犯个人自由。“消费者权益保护法律”第十四条也明确规定:“消费者在购买和使用商品和服务时,其有受人尊敬的权利,任何人有权依照法律保护自己个人信息的安全。”现在消费者个人信息被非法利用和传播的现象层出不穷，传统的民法保护方式已经不能保证消费者个人信息，也不能保证个人信息被泄露或权利被侵犯后的有效补救。因此，对消费者个人信息进行法律保护非常必要。必要合理的法律保护才能维护消费者的依法权益和良好的消费氛围，才能使消费者有所保障。1.3.3保证市场经济健康发展的需要体现消费者的消费需求的个人信息必需通过经营者合理分析和统计，虽有助于商家制定正确的消费决策，规划合理的市场经济走向，提升商业价值，不过同样对社会的资源配置也起到合理分配。如此良性地循环下去，消费者的个人需求可以得到最大化的满足，可以文明、健康地节约社会资源，只有资源使用效率大幅度提高，市场经济才会更加健康有序发展。2.我国消费者个人信息法律保护现状与存在的问题2.1我国消费者个人信息法律保护的现状2.1.1消费者权益保护法的规定我国于2013年对消费者权益保护法进行修订。修订后的消费者权益保护法明确规定消费者消费时享有人格尊严和民族风俗得到尊重的权利。同时，新增了第二十九条：“收集和使用个人信息给消费者,企业经营者应该遵循法律适当的原则、必要的表达方式和正确的沟通，其必须得到个人信息拥有者的认可和赞同。收集和使用个人信息给消费者,企业经营者应该开放其收集范围、使用的主要规则,其不得违反法律的规定,规章规定必须得到双方的审阅和把关。经营者和企业员工收集消费者的个人信息后必须严格保密,不得披露、出售或者非法提供给他人。经营者应当采取的必要的技术措施与其他辅助措施来确保信息安全,防止消费者个人信息泄漏和损失。当或者消费者个人信息有可能丢失或泄漏时,其应该立即采取措施来纠正。个人信息收集人没有消费者的同意或请求,不能拒绝消费者要求而随意发送个人信息给其他企业经营者。“消费者应享有安全保证个人信息的权利,自主选择,公平交易,尊重彼此的义务。国家保护消费者依法行使权利,维护消费者的合法权益不受侵害。新修订的消费者权益保护法首次明确了消费者个人信息的主要内容，还规定了对侵害消费者个人信息的经营者与其工作人员的行为予以相应的处罚，这一规定有助于遏制消费者个人信息被滥用的情况。2.1.2其它法律法规与地方性法规目前,我国还没有专门完善系统的执法体系来保护消费者的个人信息,但在新消费者权利保护法发行之前,我国一些法律、法规的有关规定也部分涉与到这方面。例如,“中华人民共和国刑法修正案(7)规定的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责的过程中或提供服务的公民个人信息,出售或者非法提供给他人,情节严重的,处以有期徒刑三年或者拘役,并处部分或者全部罚金”。“中华人民共和国的宪法”第三十八条的规定:“中华人民共和国公民的人格尊严禁止以任何方式侮辱、诽谤和诬告陷害。这是保护公民的个人信息立法直接在中国宪法中出现。保护公民个人生活的安全,也包括公民个人信息的保护。在我国刑法第二百五十三条规定,如果严重侵犯消费者的个人信息的权利，将以出售、非法提供公民个人信息罪入罪。2000年,我国信息产业部的互联网电子公告服务管理规定第十二条规定:“电子公告服务提供者应当保护互联网用户的个人信息,没有消费者用户的同意,不得透露给他人,法律另有规定的除外。2012年2月,中国消费者协会在消协呼吁加强保护移动智能终端用户信息,强烈呼吁相关制造商开展业务活动和提供技术服务时严格遵守我国有关法律、法规,尊重消费者隐私权，安全、正确的对消费者全面负责。相关制造商收集个人信息用户的位置,消费者应该提前被告知,制造商应该解释特定的信息收集理由,使用用途和主要风险。消费者协会2012年3月又发布的网络消费安全研究报告，曝光了网络消费中存在的宣传与实际物品出入大、物流配送问题频出、支付存在风险等九大问题，并提醒消费者网络购物时谨慎选择交易对象，尽可能选择安全可靠的网站和支付手段，谨慎处理个人的隐私信息。其中提到信息安全亟须加强保护，其特别之处要制定专门立法等来加强消费者个人信息保护，加强行政监管，强化司法保护与进行消费指导等。另外，一些地方性的法规也在相关的法律条款中作出规定以保护消费者的个人信息权益。2003年，广东省计算机系统安全保护管理规定 广东省计算机系统安全保护管理规定，2003年。中第十一条规定：“任何单位和个人不得利用计算机信息系统做出下列行为:(1)生产、复制、查阅、传播有害信息;(2)侵犯别人的隐私,盗取别人的XX,利用另一个人的名字发布假消息或者向他人发送垃圾短信等。”2004年修订的内蒙古自治区实施的办法 内蒙古自治区实施办法，2004年修订版；第十八条第二款规定：“经营者提供商品或者服务,不得要求消费者提供与消费无关的个人信息;法律、法规另有规定的除外,消费者没有同意,经营者不能因为任何原因把消费者的个人信息透露给第三人。个人信息中提到的是指消费者的XX、性别、年龄、职业、教育、联系信息、婚姻状况、收入、财产状况、指纹、血型和其他密切相关的个人消费者信息记录等。”2005年，福建省实施办法 福建省实施办法，2005；第二十九条规定：“在我国提供商品或服务,经营者不得迫使消费者提供与消费活动无关的个人信息，除法律、法规另有规定外。消费者没有同意,生产经营单位不得以任何理由把包括消费者的XX、性别、职业、教育、联系信息、婚姻状况、工作、收入和财产状况、指纹、血型、历史个人消费记录提供给第三人。”2011年实行的江苏省信息化条例 江苏省信息化条例，2011年；第二十四条规定：“任何单位和个人不得非法披露所采集的信息”2014年修正的XX市消费者权益保护条例 XX市消费者权益保护条例，2014年。中第十四条规定：“消费者接受服务时其生命健康权、XX权、个人隐私等人身权受到损害的，有权要求经营者依法予以赔偿。” 从上述地方性法规我们可以看出在新消法颁布之前，许多省市已经对消费者个人信息的保护有了足够的重视，以期逐步完善消费者个人信息法律保护机制。 2.2我国消费者个人信息法律保护存在的问题从前述我国关于消费者个人信息保护的情况来看，目前我国已经出台的相关政策大多数效力范围较低。目前，我国关于消费者个人信息法律保护存在的主要问题包括：个人信息的界定和范围不明确、对侵害消费者个人信息的行为列举不全面、对侵害消费者个人信息权的惩处不明确、监管技术手段的缺乏和消费者个人自我保护意识淡薄。2.2.1个人信息的界定和范围不明确目前，我国尚没有关于个人信息的定义和涵盖范围界定的专门立法。现行各项法律法规缺少专门权威性的立法明确权利确认。我国消费者的个人信息权缺少可以遵循的根本原则，其它法规规定的保护力量也同时被削弱和受到影响 高晓玉，消费者个人信息法律保护研究，2012年；。2.2.2对侵害消费者个人信息的行为列举不全面侵害消费者在日常消费活动,企业可能并不合理收集消费者信息或者不适当披露进行非法交易而欺骗消费者,甚至危害消费者的个人财产安全和生命安全。但在有关法律、法规没有完全明确哪些行为是侵害消费者个人信息的行为 齐爱民，个人信息保护法研究，河北法学，2008年第4期；。这在类似违法违规的侵害行为出现时无法可依，对案件的审理和判决带来极大的困惑。2.2.3对侵害消费者个人信息权的法律责任不明确虽然相关法律条款、地方性行政法规在一定程度上对消费者个人信息予以保护，从上述所列的法律条文中我们不难发现，“消费者有权要求经营者依法予以赔偿”以与“国家保障消费者”和“对经营者处以罚金”等字眼定义模糊，实际操作困难，惩处的不明确导致消费者的合法权益很难实现，消费者个人信息权利还是无法切实得到保障。2.2.4监管技术手段的缺乏除上述问题之外，我国缺失完整立法层面支持，到现在也没有专门的监督技术手段来切实保障消费者个人信息与合法权益。例如个人信息保护系统，消费者进行消费活动时避免跟踪和入侵的防病毒软件，同时，也没有保护消费者个人信息的监管机构，假使工商行政管理部门认定侵权后，其也只能根据情节轻重施以处罚 孔令杰，个人资料隐私的法律保护，武汉大学，2009年。但这种监管属于一种事后补救措施，无法在源头上遏制侵犯行为的发生。并且，多个部门同时管理也会导致“要么都管，要么都不管”的混乱局面。缺乏有力的监管技术手段，消费者个人信息进行切实保护难以全面展开也就理所当然了。2.2.5消费者个人自我保护意识不到位消费者自身自我保护意识的淡薄和无奈，也大大提升了个人信息被非法利用的众多风险。很多消费者随意丢弃含有个人信息的快递运单、购物袋、消费凭证 ，或者进行电子商务活动时不注意保密，使用不可靠的网站链接或电子设备被黑客、钓鱼软件入侵，导致个人信息泄露，从而给自己带来危险。各地已报道多起因消费者法律意识薄弱，个人不注意保护个人消费水单、购物袋被不法分子盯住，进而引发入室偷盗和抢劫的犯罪案件发生。这些都是消费者对自己个人信息不负责任的行为，而这些行为不仅增加了不法分子非法牟利的机会，也给自身权益带来极大威胁。3.域外对消费者个人信息的立法保护以与启示3.1域外对消费者个人信息的立法保护3.1.1美国对消费者个人信息的立法保护尽管美国在隐私保护的理论研究和立法相对完善,但其在个人信息保护方面,美国并没有形成一个特别的立法体系。美国保护他们消费者个人信息和其传统价值观是分不开的。在个人信息保护方面,美国政府所倡导的产业解决个人信息保护的问题领域的自律法律规范。政府只对个人信息保护领域的特殊问题特殊解决,具体的个人信息保护立法在美国联邦立法体系中主要包括:1966年取消了信息自由法案,对各种政府部门向公众提供副本的信息检索和便利,并提供合法的请求信息;1968年颁布“全面街头犯罪控制和安全法”,规定在限制情况下,消费者报告机构可以提供信用报告;1973年犯罪控制法案,要求各州采取措施保护和规范其犯罪记录个人信息;1970年的公平信用报告法案要求在限制情况下,消费者报告机构可以提供信用报告,1973年犯罪控制法案要求各州采取措施保护和规范其犯罪记录个人信息;1974年的隐私法规范个人信息的收集和传播不能越过行政部门管辖范围,1974年家庭教育和隐私法案要求学校给家长和学生在一个特定的个人信息的权利。这种保护模式很大程度上体现了美国承认个人信息的经济价值，注重个人信息的流通，在保护个人隐私的同时，通过立法和判例保证公民获得信息的自由。信息自由法的存在的政府信息,确保公共访问权,但其免去调控麻烦和体现信息保护的必要。这个隐私法的目的是强调保护个人信息,为了不与信息自由法的其他规定的法规冲突，美国特意采取立法手段来协调隐私权与公众获取信息的权利，从而使其得到了有效地解决之间。个人信息保护的分散立法模式能避免不必要的立法权纠纷,免去政府行政干预和正常的执法活动。第一,个人信息的收集、处理、不同行业不同,其分别根据不同的行为来制定不同的个人信息设计系统,美国提供了一个相对详细的个人信息保护体系来避免统一立法的缺点,从而在保护个人信息的保护的形成多元化模式。在有限的前提下保护个人信息,促进信息的完整的循环,加快经济发展的自由来创建一个更宽松的环境。第二，美国行业自律机制相对灵活，可以对社会发展做出迅速的反应和调整，弥补了法律天然的滞后性。同时，行业自律具有针对性，能够根据行业自身的特点制定合适的个人信息保护标准。美国除了相关的立法来保护消费者的个人信息文件外,在司法方面还向消费者提供保护。美国司法对消费者的个人信息没有特别规定,依法进行包括消费者权益的司法保护是值得我国参考学习的。美国采取两个模式的申诉程序，即小诉讼程序和集团诉讼程序。虽然一开始美国不是专门设置小程序来解决消费者权益的问题,但大多数案件的情况下违反了消费者权益。小的诉讼过程中,最大的优势在于其诉讼成本是便宜,简单的试验过程。消费者个人信息的案件涉与的数量一般较小,通过普通程序来解决争端比较耗时。因此,美国通过小程序的司法保护消费者个人信息，在该情况下，其能调动司法积极性和有效性，从而能大大的保护消费者权利。这种诉讼的方式能有力的鼓励消费者维护自己的合法权益。集团诉讼制度也能保护消费者的权益,其在美国也带来了巨大的影响。集体诉讼制度本质是大多数消费者在一起联合行动。通过集团诉讼、消费者救济的可能性大大增加。更多的情况下，侵害消费者个人信息的事件都能得到很好的解决。如美国某公司参与1990年的个人信息交易活动,其涉与超过一亿人，因此,美国司法体系将受害人采取集团诉讼的联合行动。当然，由于少量的消费纠纷可以通过司法程序解决,使成千上万的持有“微不足道观念”的脆弱消费者享受司法保护。由此可见，美国重视保护消费者个人信息的立法和司法保护，值得很多国家学习。对于个人信息的法律保护，美国的个人信息保护虽存在不少法律，其构建了一套复杂的管理体系，但仍然没有集中统一的立法，缺乏整体规划性。从执行体制上看，美国联邦立法依赖企业自律和个人自力救济模式，没有最终的司法救济机制，有可能导致部分企业在利益的驱使下，不择手段的规避政策，侵害公民的利益，导致个人信息保护政策有形同虚设的危险。3.1.2欧盟对消费者个人信息的立法保护1995年，欧盟全体成员国通过了关于个人数据处理所涉与的个人保护委员会指令，简称欧盟95指令 周汉华，域外个人数据保护法汇编，法律，2006年。此外，2002年隐私与电子通讯指令、2006年的数据保存指令等都是欧盟保护消费者个人信息权的有力法律。欧盟95指令的立法目的包括：成员国应对自然人的个人数据享有处理的基本权利和自由,尤其是应该保护消费者的个人隐私。其次,每个成员不得第一点所提供的保护相违背,限制和禁止每个成员国的个人数据的自由流动。命令的基本目标是保证自然人的基本权利和自由,调节有关个人数据保护体系,促进个人数据自由流动的有效性和合法性。从适用主体的角度看，自然人和法人的个人数据处理是影响有关消费记录的。规定还指出，该法适用于所有包括官方的和非官方的业务分支机构,指令适用于全部或部分个人文件系统由。敏感的个人数据一律采取禁止处理的原则,个别特殊情况例外。从个人的角度来对待数据处理行为,该指令并不适用于公安、国防和国家安全有关的活动，对于实行国家刑罚的个人数据处理情况另外。与此同时,为了纯粹的个人或家庭的个人数据处理也将得到保护。个人信息控制器应确保个人数据处理的数据是在公正合理法律的规定之下。个人数据是基于具体、明确的法律目的,进一步处理的个人资料不应违反特定的目的。由于历史、统计和科学客观需要的个人数据也得提供必要并适当的保护。个人信息数据采纳系统需要保持个人数据的准确和更新,要采取合理的步骤来删除不准确和不完整的个人信息。对历史统计数据和有重要科学目的个人信息数据,应采取措施,以确保个人信息数据的长期保存。指令同时也制定出了个人数据保护的最低标准，这一方面既能保护公民的个人隐私，也能规范了个人基本权利与自由数据的跨国流通 陈飞，个人数据保护欧盟指令与成员国法律、经合组织指导方针，法律，2006年；。从实践应用程度来看，过于繁琐的条款在实践执行中的问题也能解决。当前，欧盟对各国法律协调的不够；各国政府要求数据公开的政治冲突和强调个人隐私保护压力在目前也面临着巨大的压力。3.1.3香港地区对消费者个人信息的立法保护“香港个人资料(私隐)保护公署是对每个香港人信息保护法律制度中重要的一环。”由于香港个人资料(私隐)保护公署的独立地位，其不受任何机构管治，也无需向最高行政长官报告，因此能在个人信息保护工作中发挥巨大的作用。 张金城、康永威，香港个人资料隐私保护之经验兼论我国个人资料保护法之规定，河北法学，2008年11月。公署的目标是通过教育、宣传、推广，确保个人、公共部门、非公共部门能够清楚的认识到自身的权利和义务。在个人资料(私隐)保护公署的积极努力下，现如今香港大多数市民都具有很强的个人信息自我保护意识。公署遇到侵犯个人信息的行为会主动调查、发出改正通知。但这一切并不依靠强制手段，而是以温和的方式进行。香港设立个人资料私隐专员公署来监督条例的实施与保障公民的个人信息隐私权，这机构在亚洲都是唯一的私隐保护监管机构 李海元，香港私隐专员公署：亚洲唯一的私隐保护机构，人民网。这种温和的方式培养了香港的个人信息保护文化，但面对日新月异的信息时代，个人资料(私隐)条例和个人资料(私隐)保护公署正在经历一次又一次考验。不过最近有资料显示：个人资料隐私专员公署已逐渐暴露不足之处:一个是调查报告不具有约束力，其监管权力是有限的。专员只有当机构改善无效后才能跟检察官提出建议。”事实上，香港很多居民都认为个人资料(私隐)条例保护力度太弱，如果自己个人信息遭到侵害，他们通常选择法院而不是选择公署。香港个人资料条例生效于1996年12月20日，其中的第十章内容包括介绍执行事务代码,数据用户申报表和用户注册个人资料的查阅与改正,个人数据检查、数据转移,检查投诉和犯罪调查、权益补偿等内容。其中包括6个表,分别是数据保护原则,专员金融要点,咨询授权范围、专员个人资料、专员手令等。现对其主要内容介绍如下：第一、收集资料的目的与方式。收集资料其应该是合法和公平的方式,用户状态下的信息收集应该从信息主要点向当事人提与并整理。第二,个人数据的正确性和保存期。保存的个人资料必须是准确和最新的信息,其保存时间不得超过实际需要。第三、个人资料的使用。除非得到消费者同意的信息,要不然收集的个人资料只可用于描述的目的而不能直接转移。第四、个人资料保护。应采取实际措施保护个人信息或当意外访问出现时与时处理信息。首先,访问的权利需要一个资料副本。数据主体有权知道数据处理人相关的个人资料。如果数据处理人来保存自己的信息,需要处理的数据人要提供数据处理人个人的一个资料副本。当请求不符合条件时,有权拒绝书面通知的数据处理。 第二、要求更正资料的权利。当数据问题人处理数据时发现消费者的个人数据是不准确时,可以要求数据进行校正,校正后的数据需要通过一个修正副本校对。假使不符合条件,数据处理人员可以拒绝改正要求并有权书面通知主管部门。第三,违反法律的主要投诉的处理权利。第四，获得补偿的权利。如果资料处理者的资料主体遭受损害或是伤害，资料主体有权获得赔偿。 资料处理者的义务有：第一，删除不再需要的个人资料。个人信息得到特定的目的之后且不再为所需要，资料处理者应该与时删除该资料。第二，备存记录薄。对拒绝查阅资料的个人要求或拒绝更正等事项要与时备存记录薄，保存时限规定为四年。第三，依要求停止可停止个人消费信息的促销使用。 由于香港个人资料(私隐)保护公署的独立地位，不受任何机构管治，也无需向最高行政长官报告，因此能在个人信息保护工作中发挥更大的作用。公署的目标是通过教育、宣传、推广，确保个人、公共部门、非公共部门能够清楚的认识到自身的权利和义务。在个人资料(私隐)保护公署的积极努力下，现如今香港大多数市民都具有很强的个人信息自我保护意识。公署遇到侵犯个人信息的行为会主动调查、发出改正通知。但这一切并不依靠强制手段，而是以温和的方式进行。这种温和的方式培养了香港的个人信息保护文化，但面对日新月异的信息时代，个人资料(私隐)条例和个人资料(私隐)保护公署正在经历一次又一次考验。我国香港地区是东南亚的经济中心,交易相当频繁，欧盟国家在欧盟指令之前,香港为了避免缺乏个人信息保护法在国际贸易中处于劣势和数据保护壁垒,其加强制定法律保护个人信息。基于这样的背景下,香港的个人信息保护立法深受欧盟保护个人信息法律体系的影响。正因为如此,香港是可以与欧盟个人信息法律保护体系相提并论并为数不多的几个地区之一。3.2域外对消费者个人信息的立法保护对我国的启示3.2.1适用范围明确无论是美国还是欧盟，对于个人信息的保护都有采取必要的措施。欧盟与美国对个人信息的范围都有明确的界定。欧盟95指令，个人信息权利的范围明确定义为“任何与已经确认的或者可以确认的自然人有关的信息”，在美国的隐私法案中，个人信息也有明确的范围为“由任何有关个人情况的单项、集合或组合，包括但不限于其教育背景、金融交易、医疗病史、犯罪前科、工作履历以与其XX、XX号码、代号或者其他属于该人的身份标记，例如指纹、声音、照片等记录”，我国台湾地区对个人信息的保护范围则包括XX、出生年月日、XX统一编号、健康检查、犯罪前科、联络方式、财务状况、社会活动以与其他足以直接或间接识别该个人的资料等” 蒋坡主编，个人数据信息的法律保护，中国政法大学，2008年；。尽管目前对个人信息的范围有不同的意见和看法，但学术界大都认可应该对个人信息提供一种尽可能宽泛的保护。我国学者王利明教授认为个人信息就应该包括“所有可以直接或间接地识别本人的信息” 王利明，隐私权概念的再界定，法学家，2012年；。我国在在消费者的个人信息保护方面有所缺失。而随着时代的发展进步，个人信息的范围还将继续扩大，个人信息的范围很难被全部涵盖，因此借鉴域外的立法模式，采取概括或列举的方式，使其尽可能全面地受到法律的保护，才能更能适应时代的发展以与保护消费者权利的需求。3.2.2保护标准明确通过上述国家的立法,不难看到全面立法体系下的欧洲模式是使用全部统一的个人信息保护法律规则,其并提出了非常具体的个人信息保护的标准。其不全部是从私权的角度来阐述个人信息权的权利属性和内容,其也强调了国家公权力的作用。在某种程度上这有助于加强个人信息权利的保护的范畴。美国的立法模式主要是从实用主义的角度分析,其侧重于依靠市场监管和行业自治,这尽管有利于信息安全保护氛围的流通和监管,但由于其缺乏统一规则的法律来保护个人信息，其个人信息的收集、使用和处理完全由企业,持有人与个人消费者之间的合同关系来归属,这有可能导致的结果是不利于保护个人信息。美国当前也已经清楚了解到消费者个人信息的保护标准,其下一步将做出积极的举措来保护消费者的合法权益。3.2.3执行机制先进国外先进的执行机制是值得我国学习和借鉴的。美国虽然没有司法保障程序来帮助消费者个人信息保护,但其完美的小诉讼程序和集团诉讼制度,调动消费者的热情来维护他们的权利,鼓励消费者维护自身合法权益的保护。消费者个人信息的安全案件能获得公平公正的审判,方便又快捷。欧盟的个人数据保护指令能建立严格的信息处理标准、全面和有效的信息保护执行机制,达成庭外和解或临时措施,实行举证责任倒置,如辅助可执行程序等措施可以以明确的方式提供法律来保护个人信息。现在,从我国的司法保护现状情况来看,当前消费者的个人信息没有特殊的司法保护和执行机制,目前的程序性规则下没有特殊的诉讼方式来维护消费者的利益,域外国家的做法一定程度上能给我国提供宝贵的学习经验。4.完善我国消费者个人信息法律保护的措施4.1明确界定权利4.1.1依法明确定义个人信息的识别性是个人信息与信息所指向的主体之间存在的一定联系，消费者的个人信息的识别性、无形性、不固定性、可复制性、财产性等特征是区别与其他主体个人信息的特点 古丽，论个人信息权，西南政法大学硕士论文，2013年；。只有明确含义，明确消费者个人信息权的合法性，才能巩固消费者主体所享有的权利与地位 齐爱民，论戈恩信息保护法的地位与性质，中国流通经济，2009年第1期。明确消费者个人信息权的定义，是保护个人信息的核心要求，也会提高保护的立法层级，对各地方级规定或行政条款的制定起到指导作用，才能统领各层级规范而形成完整的一套立法保护体系。4.1.2依法明确范围不清晰的消费者个人信息也是立法保护中的一项缺陷。法律文件缺乏系统性，涵盖太窄或对消费者个人信息保护没有规定的法律条款原则。大多数法律文件指规定了消费者的个人信息应予以保护，却并没有对其涵盖的范围进行明确的规定。这样既容易导致在实践中没有具体可遵循的法律依据，也容易引起各项条款之间因规定不同导致的矛盾。消费者对于个人信息的知情权 李枫，消费者个人信息的法律保护，中南民族大学硕士论文，2010年6月；需要明确细化，明确消费者个人信息所涵盖的范围和保护的内容，在实践中才有相应的标准作为法律依据，更有利于保护消费者的个人信息不受侵犯。目前,在中国个人信息保护的范围并不完全。颁发的2011年中国人民银行在银行业金融机构做好个人金融信息保护的注意中对在有关个人财务信息监管范围给一个详细定义为：个人财务信息包括个人身份信息、房产