|
他山之石周汉华
据不完全统计,世界上制定了个人信息保护法律的国家或地区已经超过50个。就法律名称使用的概念而言,主要有三个,分别是“个人数据”、“个人信息”与“隐私”。其中,使用个人数据概念的国家或地区最多,主要是欧洲理事会、欧盟、欧盟成员国以及其他受欧盟1995年指令影响而立法的其他大多数国家。在普通法国家(英国作为欧盟成员国除外)
,如美国、澳大利亚、新西兰、加拿大等,以及受美国影响较大的APEC,则大多使用隐私概念。在日本、韩国、俄罗斯等国,则使用“个人信息”概念。
概念的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容。就内容而言,各国或地区的个人信息保护法律虽然在许多方面具有重大的差别,但是,它们都具有如下两个共同的特征:第一,法律保护的对象是作为自然人的个人,而不是企业或其他组织。第二,法律所要实现的目标是使能够识别特定个人的信息不被随意收集、传播或作其他处理,侵犯个人的权利。因此,法律规制的重点与其说是个人信息,不如说是“个人信息处理活动”更为贴切。许多国家或地区的法律名称中为此专门突出了“处理”概念,如欧洲理事会、欧盟、圣马力诺、冰岛、希腊、丹麦、我国台湾地区等。
为有效保护个人信息,同时,也为了便利信息的有序流动,许多国家或地区的个人信息保护法律均规定了一些基本原则,用以指导个人信息处理活动。
由于欧盟与美国在世界上的经济、政治地位以及它们对其他国家个人信息保护立法的影响非常大,常将它们视为个人信息保护立法两种不同模式的代表。
欧盟立法模式
欧洲理事会协定规定的基本原则包括如下七个方面,分别是:1、数据质量,被自动化处理的个人数据应当:a、正当合法地获取和处理;b、基于特定的合法目的存储,并不得通过与这些目的相悖的方式而被使用;c、与存储的目的具有充分、相关而不多余的关系;d、是准确的,并在必要时保持更新;e、通过允许识别数据主体的方式被保存,但保存时间不得超过存储数据所必需的期限。2、数据的特殊类型,除非国内法已提供了适当的保护措施,禁止对揭示以下内容的个人数据进行自动化处理:人种、政治主张、宗教或其他信仰、以及与健康或性生活有关的个人数据。与刑事判决有关的个人数据,也不应当被自动化处理。3、数据安全,应当采取适当的安全措施,保护自动化数据文档中的个人数据,使其免受偶然或未经授权的破坏或意外丢失,同时免受未经授权的获取、变更或分解。4、对数据主体的保护,应当使任何人能够:a、确认自动化个人数据文档的存在,获悉文档的主要目的、文档管理者的身份、惯常居所及其主要营业地;b、在合理的期限内、无过多延迟、无过多花费地确认,与其相关的个人数据是否已被存储在个人数据文档中,以及通过能被其理解的方式向其传达这些数据;c、如果被处理的数据违反了法律的规定,则可以对这些数据进行矫正与删除;d、如果没有满足数据主体关于本条b款和c款规定的确认、传达、矫正或删除数据的要求,则数据主体可以要求赔偿。5、例外与限制,对个人数据保护的例外或限制必须是基于以下目的并且在民主社会中必须采取的措施:a、保护国家安全、公共安全、国家的财政利益或抑制刑事犯罪;b、保护数据主体或他人的权利和自由。6、赔偿责任,对违反有关数据保护基本原则的行为,应当承担适当的制裁措施与赔偿责任。7、扩大的保护,个人数据保护中本所有的规定都不得被解释为是对一方授予数据主体超过本法规定之更多保护措施的限制或其他影响。
其他国家或地区的立法所确立的基本原则大致都在上述这些原则的范围之内,但也有的国家在此基础上确立了一些更进一步的原则,比如德国的联邦数据保护法第3a条就确立了“信息缩减与信息节约”的规定,要求信息处理系统尽可能不采用或者采用最少的个人信息,而且,应尽可能采用匿名的个人信息。同样,美国专门制定了公文削减法,要求政府机关收集信息尽可能降低社会的成本。卢森堡所制定的数据保护法律的名称也叫《关于计算机处理中最少使用数据法》,体现了政府机关信息收集活动尽量减少社会成本的立法意图。
欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通讯技术对社会的影响问题,并导致欧盟于1995年制定了欧盟数据保护指令(1998年10月开始生效)。欧盟指令价值倾向明显,覆盖范围广泛,规制程度深,执行机制健全。在欧盟指令的要求下,所有欧盟国家(新近入盟10国除外)均已完成了新一轮的个人信息保护立法或者修法工作。尤其是,欧盟指令规定,第三国的隐私法律只有经欧盟委员会判定达到“充分的”保护标准,才能自欧盟向其进行跨境个人信息传输。这样,非欧盟国家纷纷开始制定个人信息保护法,以满足欧盟指令的要求。虽然世界上制定个人信息保护法律的国家很多,但迄今为止,只有加拿大、阿根廷、匈牙利和瑞士通过了欧盟的“充分性”判断标准。
美国立法思路及模式
美国是一个尤其重视企业的创造力与创新性的国家,其权利法案对传统个人权利的保护对世界各国宪法也产生了重大的历史影响。对于网络和现代通讯技术所带来的海量个人信息收集、存储和处理,根据美国官方的说法,它们既有利于跨境贸易和电子商务,也会引起对个人隐私权的担忧。美国政府的政策取向是,既要在国际范围内保护个人隐私,又不应阻断跨境信息流,影响电子商务和跨境贸易。美国政府希望通过对隐私保护采取平衡的规制方式,创造有利于创新的最佳增长环境。美国官方认为,美国的规制方式更加注重防止对个人信息滥用所造成的实际危害,因此可以保持商界最大的参与。相反,欧盟指令不加区分地适用于所有的行业,适用于个人数据处理的所有环节。
在立法思路上,目前,美国没有设定隐私保护最低要求的综合性联邦法律。相反,美国对隐私保护采取了一种灵活的策略。美国政府认为,自律机制(包括企业的行为准则,民间“认证制度”以及替代争议解决机制)配合政府的执法保障,可以有效地实现保护隐私的目的。为此,美国政府一直保持与商界和消费者团体的对话,鼓励更多地保护隐私,采用自律性的隐私保护政策。另一方面,在某些高度敏感的领域,美国政府认为适宜通过相应的立法,保护个人信息。美国国会通过的法律所保护的高度敏感个人信息包括儿童信息、医疗档案以及金融数据。并且,美国行政当局已经制定了行动计划,以进一步防止身份盗窃、发送垃圾邮件以及未经授权使用社会保险号等行为。为实现这些目标,美国联邦贸易委员会已经宣布了一项主要的隐私保护执法计划,增加资源,保护消费者的消费信息不被滥用。
在国际上,美国政府一直通过各种国际组织,如经合组织,全球电子商务对话(Global Business DialogueonElectronic Commerce),泛大西洋商务对话(Trans-AtlanticBusinessDialogue)以及各种消费者组织等,推行其隐私保护灵活策略。经合组织1980年制定的隐私保护与跨境数据流指南,1998年全球隐私网络渥太华宣言,都明显地体现了美国的策略,强调了自律规制的重要性。目前,经合组织正在进行的项目包括进一步鼓励使用隐私保护技术,加强对使用者网络隐私意识与观念的教育。同时,在APEC,也积极讨论、起草一份隐私保护框架,包括隐私保护的原则与实施机制。APEC隐私保护框架以经合组织指南为主要参考,争取在个人信息保护与信息的自由流动之间保持平衡,也反映了美国在隐私保护问题上的策略。该框架已于2004年11月在APEC领导人峰会上最后通过。
美欧“安全港”协议
尽管欧盟委员会从未对美国的个人数据保护体系发表过正式意见,但美国自律式的隐私保护体系能否通过欧盟的“充分性”保护标准在欧盟一直遭到许多怀疑。为此,美国对欧盟以及成员国进行强力游说,希望让它们承认美国达到了充分保护的水平。1998年,美国开始与欧盟就隐私保护的“安全港”协议进行协商,以保证数据的跨界流动。在这种体制下,由美国公司自愿做出承诺,表明遵守由美国商务部和欧盟委员会内部市场司制定的一系列隐私原则,这样,这些公司就被假定达到了充分保护的要求,可以继续接受来自欧盟的个人数据。如果美国公司违反这些承诺,美国联邦贸易委员会与法院可以以虚假陈述为由对其加以惩处,但实践中基本上是由业界进行自我管制。美国与欧盟对安全港的谈判进行了近两年,其间受到隐私保护团体与消费者团体的猛烈批评。2000年7月初,欧盟议会甚至通过一项决议,要求欧盟委员会重新与美国谈判,以充分保护个人信息。不过,2000年7月26日,欧盟委员会批准了协议。但是,欧盟委员会同时答应,如果欧盟居民的救济被证明不充分,它将会重新开启谈判。
安全港协议要求所有签字的组织对其收集信息的种类、使用的目的、以及可能传披露给的第三方等,为个人提供“清晰和明显的”通知。这种通知必须在收集任何个人信息时或者实践可行之时提供。如果信息准备披露给第三方或者用于不相关的目的,个人必须能够明示选择拒绝收集这种信息。如果是敏感信息,个人必须明确地明示同意这种收集。如果第三方参加安全港或者如果第三方签署保护数据的合同,可以向第三方传送数据。参加的组织必须保证个人可以获知有关他们个人的任何信息,并有机会改正、修改或者删除不准确的信息。截至2003年12月2日,共有420个美国组织签署加入了安全港。
2002年2月,欧盟委员会发布了欧美安全港协议实践运作情况的第一份报告,认为协议的主要内容已经到位,如果个人觉得其权利受到侵犯,存在着提起申诉的结构。不过,委员会也发现签署了安全港协议的组织缺乏足够的透明度,并且,并非所有的争议解决提供者都遵守协议的隐私保护原则。在9.11事件的影响下,2004年5月17日,欧盟与美国签署航空安全条约,向美国提供始自欧洲的航班上的乘客的34项信息,此举受到隐私保护团体更加强烈的批评。
中国的立法思路:立足国情,博采众长
我们认为,不论是欧盟立法模式还是美国立法模式,都有其合理的地方,更重要的是,都有各自的价值观和社会基础作为支撑。作为第三方,比较好的选择是分别吸取其有益的经验,并结合本国的国情作出具体的制度设计。日本学者在这个问题上观点非常鲜明,值得我们借鉴。日本学者丝毫不讳言日本的个人信息保护立法外形上类似欧盟立法模式,实质上采纳了许多美国的做法。我国的立法应充分吸收、借鉴了欧盟与美国的经验,在每个具体的制度设计上都充分考虑将两者的长处结合到一起,并反映中国社会生活的现实与长远需要。
(作者为中国社会科学院法学研究所研究员)
| 
