现行个人信息和隐私保护法律的核心是积极贯彻“告知后同意”（informed consent）或称为“通知与选择”（notice and choice）原则，该原则建构的基础主要来自两个方面：一方面是个人信息和隐私保护是在确保个人信息主体的个人信息控制权；另一方面是强调自由市场概念，即在自由市场背景下，个人信息主体、个人信息控制者与个人信息用户，会自发地就个人信息的开发利用与隐私保护找到最佳的平衡点。

经合组织早在1980年就出台了《关于隐私保护和个人数据跨国流通指导原则》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）。该文件除序言外，共包括5章22条。虽然该文件对经合组织成员国并无法律上的约束力，但其确立的个人信息保护以及确保个人信息国际自由流通的原则，已成为当今世界各国相关立法的重要参考。2013年，该组织升级了上述隐私保护指导原则，并引入了新的概念，包括（1）国家隐私策略的建立——除了立法之外，尚需多种类型的国家级隐私策略，由最高政府机关协调执行；（2）隐私管理方案的规划：这是核心隐私保护机制，以个人信息为核心服务的隐私机制应由各组织共同来实现系统化保护；（3）个人信息安全侵害通知：除向有关个人信息保护的监管部门报告外，也要通知个人信息所有人［7］。

欧盟在1995年通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，以下简称《个人数据保护指令》）。《个人数据保护指令》几乎涵盖了个人信息保护的所有领域，规定欧盟各成员国必须根据这个指令来制定本国的个人信息保护法，以保障个人信息在成员国间的自由流动。欧盟司法专员V.雷丁（Viviane Reding）在2012年1月提出了《一般数据保护条例》（General Data Protection Regulation，GDPR）草案（以下简称《条例》），试图整合现有的三大数据保护指令。《条例》将适用于欧盟的27个成员国，从而调整目前在《个人数据保护指令》背景下各国执法力度不一致的情况。欧洲议会在2014年3月通过了《条例》，但在如何实施方面，欧盟各国政府还存在一定的分歧。《条例》一方面强调个人信息控制者义务，另一方面通过设计不同机制，实现个人信息当事人对其个人信息的自主控制，进一步强化了对个人信息当事人的隐私保护，比如提出了“从设计出发来保护个人信息”（data protection by design），同时对新兴信息技术有了较大程度的回应，提出了数据合理利用的方向与选择。2016年5月，《条例》得以正式通过，且在2018年5月开始正式实施。

德国《联邦个人数据保护法》（German Federal Data Protection Act）在1977年1月27日生效，并在1980年经过了第一次修正，而后在2001年5月再次进行修订，目的是为了与欧盟《个人数据保护指令》保持一致。德国《联邦个人数据保护法》共有6章60条，针对公共机关和非公共机关的个人数据分别进行保护。德国数据保护机构在2010年6月和2011年10月提出了云计算相关法律意见和指导方针，就云计算可能涉及的法律问题以及云计算服务使用者及服务提供者之间的合同内容提出强制规定。为了应对欧盟《条例》的出台，德国在2017年2月1日通过了《为调整数据保护法以符合欧盟一般数据保护条例与欧盟数据保护指令之法律修正草案》。

英国早在1984年就推出了《数据保护法》（Data Protection Act），但该法只是针对以自动化设备处理的个人信息做出了规范。1998年7月通过了修改后的《数据保护法》，并于2000年3月生效实施，将保护范围扩大至部分的手工数据。英国个人数据保护法规范主体包括政府部门和非政府部门。

美国在1974年通过了《隐私权法》（Privacy Act），这是美国保护隐私权的基本法。《隐私权法》对政府机构收集、使用、公开个人信息和个人信息保密制定了详细的规范，明确“隐私权为联邦宪法所保障的基本人权”。另外，美国还在一些比较敏感的领域，如儿童信息、医疗档案等方面，以分散立法的形式保护相关个人信息。比如在2012年12月，美国通过了《儿童在线隐私保护法》（Children's Online Privacy Protection Act）最终修正案，将涉及对象扩展到收集儿童信息的网络插件和目标客户为儿童的在线广告商等，扩展了互联网“个人信息”定义和目标对象范围。2012年，美国政府还颁布了包含有《消费者隐私权利法案》的白皮书。“棱镜门”事件爆发后，为了限制政府收集个人信息的行为，美国众议院通过了有关限制美国国家安全局大规模收集民众电话记录的新立法［8］。(www.daowen.com)

日本现行的个人信息保护法主要包括：《个人信息保护法》《关于保护行政机关所持有之个人信息的法律》《关于保护独立行政法人等所持有之个人信息的法律》《信息公开与个人信息保护审查会设置法》《对〈关于保护行政机关所持有之个人信息的法律〉等的实施所涉及的相关法律进行完善等的法律》五部法律，这五部法律被称为日本“个人信息保护关联五法案”，其中《个人信息保护法》是日本个人信息保护法律体系的核心，针对公共部门和非公共部门规定了保护个人信息的若干共同事项，该法是在2003年通过的［9］。该法由6章59条以及附则构成，其中第1章至第3章是基本法，主要是有关个人信息保护的基本理念，主要用于规范政府部门和民营组织，第4章至第6章是一般法，主要用于规范民营组织中的个人信息控制者和处理者。基本法部分从颁布时起就开始实施，一般法部分则在2005年4月1日起开始实施。日本个人信息保护的立法模式是对美国模式和欧盟模式的糅合，既注意到本国行业自律机制的有限性和法制化的必要性，也没有一味迎合欧盟对个人信息实施全面保护的要求，最后形成了一个涵盖政府部门和非政府部门的比较完整的个人信息保护法律体系，通过政府立法和行业自律的双重保护模式来实现对个人信息的保护［10］。2014年6月，日本首相官邸组织的“个人信息研讨会”提出修改《个人信息保护法》，并制定新的《个人信息使用方案》（以下简称《方案》），以推动并规范“大数据”的利用。《方案》提出“活用个人数据修改制度大纲”，认为信息通信技术不断发展，个人主观认识等因素也会随时代变化而变化，为保持灵活性，法律只规定大的框架，具体规则应由民间团体自行制定［11］。经过一系列的修改、审议和征询后，日本政府在2015年3月向国会提出了《有关个人信息保护法及行政程序中为识别特定个人的编号利用等法部分修正案》。同年9月3日经过修改的《个人信息保护法》经国会审议通过。新修改的法律分两阶段实施，关于个人信息保护法监督管理部门的个人信息保护委员会在2016年1月开始运作，并制定修改后的《个人信息保护法》所需要的实施细则。而新修改的法律条文则在两年内开始实施［12］。

韩国《个人信息保护法》于2011年3月在国会通过，于2011年9月30日正式实施。2014年8月7日，该法修正案开始实施。该法对公共部门和私营部门采取一致的管理标准。韩国放送通信委员会又制定并实施了《位置信息保护法》，对个人位置信息的收集、使用等做出了明确规定，要求在使用个人位置信息时必须得到当事人允许［13］。

新加坡在2012年10月15日通过该国第一部个人信息保护法《个人数据保护法》，并在2013年1月正式生效。该法主要规范非政府部门个人信息收集、使用、披露和保管行为，而不包括政府部门，并特别规定建立全国性“谢绝来电”（Do－Not－Call Registry，DNC）登记处。DNC登记处允许个人登记其新加坡电话号码，谢绝接收来自机构的营销电话、手机短信和彩信、传真，通过互联网发送短信的手机应用程序如WhatsApp也将受管制。企业和相关机构每次违例可面对一万新元的罚款［14］。该法分成三个阶段生效：有关个人信息保护委员会的有关条文在2013年1月2日生效；有关“谢绝来电”的相关条文在2014年初生效；有关个人信息保护的主要相关条文在2014年7月生效。

中国台湾地区早在1995年就制定了所谓“电脑处理个人资料保护法”及其施行细则。随后在2010年4月正式通过了新修订的所谓“个人资料保护法”，并于2012年10月1日正式施行。2015年12月又通过了最新修订的所谓“个人资料保护法”，并于2016年3月15日正式施行。