国外在企业收集、利用公众信息方面的
政策、措施、规定、法规。

一、美国
1.《隐私权法》
1974 年12 月31 日, 美国参众两院通过了《隐私权法》（Privacy Act）1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。

该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。

就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。

2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。

该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。

该法中的“记录”, 是指包含在某一记录系统中的个人记录。

个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。

其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。

个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。

《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。

1/foia/privacy/index.html
2摘自《情报科学》，周健：美国《隐私权法》与公民个人信息保护
2.《电子通讯隐私法》
到目前为止，美国并没有一部综合性法典对个人信息的隐私权提供保护，主要依靠联邦和州政府制定的各种类型的隐私和安全条例。

其中最为重要的条例是1986 年颁布的《电子通讯隐私法》（The Electronic Communication Privacy Act，简称ECPA）3。

尽管《电子通讯隐私法》还存在不足，但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。

《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯，它不仅禁止政府部门未经授权的窃听，而且禁止所有个人和企业对通讯内容的窃听，同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。

3.《金融服务现代化法案》
Financial Services Modernization Act of 1999，也就是格雷姆-里奇-比利雷法（Gramm-Leach-Bliley Act，GLB Act）4，它规定了金融机构处理个人私密信息的方式。

这部法案包括三部分：金融秘密规则（Financial Privacy Rule），它管理私密金融信息的收集和公开；安全维护规则（Safeguards Rule），它规定金融机构必须实行安全计划来保护这些信息；借口防备规定（Pretexting provisions），它禁止使用借口的行为（使用虚假的借口来访问私密信息）。

这部法律还要求金融机构给顾客一个书面的保密协议，以说明他们的信息共享机制。

4、《儿童在线隐私权保护法案》
The Children’s Online Privacy Protection Act,，简称COPPA5，它规定网站经营者必须向父母提供隐私权保护政策的通知，以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。

它还详细规定了网站对 13 岁以下
3摘自/ywdt/txt/2010-01/25/content_3357265.htm
4/privacy/privacyinitiatives/glbact.html
5/ogc/coppa1.htm
儿童个人信息的收集和处理。

5.《健康保险携带和责任法》
The Health Insurance Portability and Accountability Act of 1996，简称HIPAA6，该法案通过建立电子传输健康信息的标准和要求鼓励健康信息系统的发展。

保障个人的健康隐私信息的完整性和机密性；防止任何来自可预见的威胁、未经授权的使用和泄露；确保官员及其职员遵守这些安全措施。

2009年美国通过Health Information Technology for Economic and Clinical Health Act，简称HITECH法案7，该法案也增强了HIPAA的安全和隐私要求并扩展了相应的处罚。

6.《有效保护隐私权的自律规范》
1998年，美国商务部发表了《有效保护隐私权的自律规范》（Elements of Effective Self Regulation for Protection of Privacy）8，要求美国网站从业者必须制定保护网络上个人资料与隐私权的自律规约。

7.《公平信用报告法》
The Fair Credit Reporting Act，该法的全称为《公平信用报告法-消费者信用保护法标题VI》9，属于消费者保护法系列。

这项法律规范的对象是消费者信用调查/报告机构（Consumer reporting agency）和消费者信用调查报告的使用者。

主要规定了消费者个人对信用调查报告的权利，规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项，实际明确了消费者信用调查机构的经营方式。

6/ocr/hipaa/
7/ocr/privacy/hipaa/understanding/coveredentities/guidance_breachnotice.html
8/reports/privacydraft/198dftprin.htm
9/os/statutes/031224fcra.pdf
8．身份信息盗窃红旗规则
ID Theft Red Flags Rule10，该条例是由美国联邦贸易委员会与货币总监署（OCC）、联邦存款保险公司（FDIC）、美国联邦储备委员会和其他几个联邦机构共同制定的，遵照2003年公正准确信用交易法（FACT Act）。

条例规定，在RFR 违规事件中，联邦贸易委员会可以展开民事诉讼，寻求不超过2,500美元的违规行为罚款。

该条例要求一些企业和组织制订和实施书面计划，以保护消费者免遭身份盗用。

任何允许备兑账户的债权人或金融机构，必须为红旗规则实施一项防止身份盗用的计划（Identity Theft Prevention Program）。

由于受到各方阻力，该规则生效的期限被再三拖延，目前的最终期限为2010年6月1日。

9. 其他的信息隐私条例
（1）《信息自由法》，该法规范了第三方对包含个人信息的政府记录的获取。

（2）《金融隐私权法案》（Right to Financial Privacy Act）11，它对银行雇员披露金融记录，及联邦立法机构获得个人金融记录的方式做出了限制。

（3）《有线通讯隐私权法案》》（Cable Communication Policy Act），它禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息12。

（4）1996年《电讯法》（Telecommunication Act），规定电讯经营者有保守客户财产信息秘密的义务。

10. 行业自律规则
除了上述分散的网络隐私权保护法律法规之外，美国还倾向于采取行业自律政策对网络隐私权提供保护。

由于网络技术发展迅速，而立法总是滞后于现实状况，所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一
10/redflagsrule
11/regulations/laws/rules/6500-2550.html
12/uscode/47/usc_sup_01_47_10_5_20_V-A.html
致鼓励和支持。

总体而言，美国目前的行业自律形式有三类：建议性的行业指引、网络隐私认证、技术保护模式。

•建议性的行业指引
许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则，如“在线隐私联盟”（Online Privacy Alliances）13、“银行家圆桌会议”、“直销协会”、“互动服务协会”等等。

其中，“在线隐私联盟”最为著名，由超过80家的国际公司和协会组成，致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。

它于 1998 年 6 月发布了以联邦商业委员会的建议为原则的在线隐私指引，旨在指导网络和其他电子行业隐私保护。

•网络隐私认证
不同于适用于同一行业内部的建议性行业指引，网络隐私认证适用于跨行业的联盟。

他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志，以便于用户识别。

美国著名的网络隐私认证组织有 TRUSTe14、BBBOnLine15、WebTrust16等。

•技术保护模式
技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。

最常见的一种模式是由互联网协会推出的个人隐私选择平台（ Platform for Privacy Preferences Project ，简称P3P ）17。

P3P 能让网站指明对个人数据使用和公布的状况，让用户选择个人数据是否被公布，以及哪些数据能被公布，并能让软件代理商代表双方达成有关数据交换的协议。

在这种模式下，个人能够利用充足的信息做出明智的决定，同意或是拒绝提供本人的数据，并且能够委托软件代理商将决定付诸实践。

13/
14/
15/
16/
17/P3P/。