域外个人信息保护立法进路分析
2016-08-04高志明燕山大学法学系河北秦皇岛066004
高志明(燕山大学法学系,河北 秦皇岛,066004)
域外个人信息保护立法进路分析
高志明
(燕山大学法学系,河北 秦皇岛,066004)
对于个人信息保护的规范,肇始于少数关系个人信息秘密的行业伦理规范,总体上经历了从特殊行业伦理规范到一般人格权规范,再到晚近出现的具体人格权益如隐私权规范,进而向新型具体人格权之个人信息权规范的发展进路。美欧关于个人信息利益规范进路的区别体现为:立法理论根基、法律传统不同,是否以正面立法规制为主导不同,是否集中、统一立法不同,个人信息保护的范围不同等。
个人信息;保护;立法进路
一、域外个人信息保护立法的历史与逻辑
对个人信息利益的规范,肇始于少数关涉个人信息秘密的行业伦理规范,尔后分为行业自律与法律规制两条线索:一条线索是在少数特殊行业伦理规范的基础上扩展为更多的行业自律规范;而另一条线索则是以法律制度规范个人信息保护与利用为主导,总体上经历了从特殊行业伦理规范到一般人格权规范,再到晚近出现的具体人格权如隐私权规范,进而向新型具体人格权之个人信息权规范发展的历史与逻辑。不同国家或地区对个人信息相关问题的立法规制可能处在不同的阶段,如欧盟《个人数据保护与流通指令》将个人信息权作为一项基本人权、作为一般人格权来规制;美国则一直强调行业自律的主导地位,同时以隐私权立法对个人信息流转加以规制;而大陆法系国家或者大量移植大陆法系法律制度的中国大陆则以具体人格权规范个人信息利益,并有确立“个人信息权”的立法趋势,强调法律规制的主导地位。
(一)个人信息保护的行业自律规范
在古代人类社会,最初对个人信息的保护主要是来自一些特殊行业的伦理规范。比如医疗行业,据希腊历史记载,古希腊“医学之父”希波克拉底(Hippocrates,前 460-前 377)在其“誓言”中要求医生:“在治病过程中,凡我所见所闻,不论与行医业务是否直接关系,凡我认为要保密的事项,坚决予以保密”[1]。也就是要求医生必须恪守为患者保守个人信息秘密的医生职业道德。该誓言在西欧流行了2000多年,后于1948年世界医学会在此基础上制定了《日内瓦宣言》,明确规定医务人员应当无例外地保守病人的秘密,坚持医业光荣而崇高的传统职业道德准则[2]。
除了医疗领域外,其他领域对个人信息权维护的行业自律规范均不断发展成熟。比如,1996年,加拿大标准协会制定了《保护个人信息标准守则》,对相关行业在处理个人信息中行为进行规范;1997年,瑞典信息技术行业制定了瑞典《信息技术企业组织商业行为规则》,涉及到个人信息的保护问题;1998年,美国电子工业协会、工商协会等和AOL、IBM、美洲银行等100多家主要团体和企业成立了“在线隐私联盟”(Online Privacy Alliances,“OPA”),发布了在线隐私指导,规定网上在线收集个人信息应当将有关情况全面告知消费者。
(二)个人信息保护的基本人权规范
个人的独立、平等、自由、尊严被认为是“第一代”基本人权的范畴,这是资产阶级革命时代的产物。具体而言,17、18世纪古典自然法学说对自然权利、天赋人权进行了系统的论述,进而成为资产阶级革命中反对封建专制对基本人权桎梏的旗帜。而作为文本得以固定下来,则是1789年法国《人权宣言》。
“二战”中法西斯对人权的践踏给人类社会留下了深刻的精神创伤,人们日益关注基本人权保障问题。1948年《世界人权宣言》将隐私权作为一项人权,其第12条指出:任何人的隐私、家庭、住宅或通信不受任意干涉,其尊严和名誉不受无端攻击;任何人都有权享受法律保护,以免受这种干涉或攻击。1966年通过的《公民权利和政治权利国际公约》第17条重申、发展了上述条款:对任何人的私生活、家庭、住宅或通信不得加以任意或非法干涉,对其荣誉和名誉不得加以非法攻击;人人有权享受法律保护,以免受这种干涉或攻击。
1950年通过(1953年开始生效)的《欧洲人权公约》第8条第1款规定:任何人都有追求自己的私生活、家庭生活、住所以及通信受到尊重的权利。1981年,欧洲理事会(委员会)通过了有约束力的个人信息保障国际协定《个人数据处理保护协定》①,该协定于1985年10月1日生效。1990年,欧盟委员会(欧共体委员会)认为当时欧盟14个成员国的个人信息保护法律限制了个人信息的跨境流通,阻碍了欧盟统一市场的建立,于是起草了《个人数据保护与流通指令》,该指令于1995年获得通过,1998年生效。欧盟指令将个人信息权作为一项自然人的基本权利,作为一项基本人权来加以保障,要求欧盟各成员国不得违背该指令的宗旨限制或者禁止个人信息在成员国间的自由流动。
1990年12月4日的联合国大会通过了《个人数据档案指针》,该指南首先适用于所有公共的和私人的经计算机处理的个人信息档案,也适用于经过手工处理的个人信息档案,还也可适用于所有的或部分的关于法人的信息,尤其是当这些法人的信息包括了一些个人信息。该指南将个人信息作为基本人权的内容加以保护,在世界范围内明确了个人信息权保障的重要性,并确立了各国立法保障个人信息权的最低基本原则,如收集、处理、传输与利用个人信息的方式应当合法、合理,不得违背联合国宪章的宗旨和原则等。
(三)个人信息保护的宪法规范
个人信息权的宪法规范主要体现为宪法的人格权规范。人格权是“人之所以为人”、人之作为法律关系主体之格的权利,是一项不断发展的个人基本权利。人格权首先被确立为一项宪法权利,进而又需要民事、行政、刑事等部门法的具体规范加以保障。人格权发展的逻辑是先出现生命、健康、名称、肖像、名誉等具体人格权,进而出现一般人格权②,尔后又出现各种新型具体人格权。由专门宪法机构进行的宪法上的人格权创设,系加长基本权利清单的宪法性创制活动,等级高于一般立法活动,因而须慎重权衡何种法益能够升格为宪法上的基本权利[3]。这应当从基本权利的发展史,现有基本权利所体现的价值体系,新型基本权利与原有权利之间的冲突整合出发,综合考量该项法益所体现的普遍性、保障的必要性、人权的品质及比较法上的发展趋势等[4]。包括个人信息法益在内的人格权作为个体生存与发展的基础,构成了整个法律体系中的一项基础性权利。各国宪法均赋予人格权重要的地位,比如,瑞典1989年宪法第3条、斯洛文尼亚宪法第38条、瑞士1999年宪法第13条等[5]。中国宪法中与个人信息保护有关的条款有:第33条第2款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵犯”等。
(四)个人信息保护的一般人格权规范
个人信息所体现的个人自由、尊严、独立等基本人格利益属于一般人格权范畴,这些利益不仅是宪法、基本法明确规定的首要利益,同时更需要部门法加以具体保障。1804年《法国民法典》是1789年《人权宣言》的具体落实,确立了全体公民民事权利平等的原则、绝对所有权制度、契约自由和过失责任原则等,而私权神圣的核心就是所有权绝对,这是自然法学说中“天赋人权”思想在民法典中的体现。这部法典成为一部解放人性的法典,但该法典并没有将人格权作为一项基本权利来保护,而是将财产作为保护人权的核心。将人格作为一项基本权利来保护的是1896年《德国民法典》,该法典以潘德克顿法学的理论为指导,具有明显的分析实证主义法学特点,但受到罗马法学派的影响,将人格权利作为一种原权,是更高层次的权利。由于德国民法典并没有明确规定一般人格权,德国法对人格利益的保护一度陷入瓶颈之中,这种状况直到法院通过“能动司法”确立一般人格权才得以解决。在司法实践中,德国联邦法院通过1954年“读者来信案”(涉及个人信息秘密的读者来信未经本人许可被杂志刊登)的审判,依据《德国基本法》第1条、第2条的规定,将“一般人格权”解释为《德国民法典》第823条第1款规定的“其他权利”③[6]11。此后,德国联邦宪法法院将一般人格权确立为具有宪法渊源性和基本法依据性的地位[7]。德国司法从该案开始的一系列判决中确立和发展了一般人格权制度,而且其影响已超出德国而扩展到相当多的国家尤其是大陆法系国家。但鉴于一般人格权外延的不确定性,对一般人格权的保护常以牺牲另一个人的权利为代价,因此德国联邦法院指出:“一个人的一般人格权与另一个人的一般人格权具有同等的地位,一个人自由发展其人格恰恰旨在谋求超越自身范围的发展”,故对一般人格权作界定时必须“在特别的程度上进行利益权衡”[8]。
(五)个人信息保护的隐私权规范
隐私权(the right to privacy)正式提出于1890年,是年的《哈佛法律评论》发表了两位美国法学家沃伦和布兰代斯的“论隐私权”一文。作者认为,随着人类文明不断演进,人们的自我意识变得日益强烈,越发注重自己的独立人格,而随着生活的日趋紧张和复杂,人们的个人生活变得越发容易受到干扰和侵入,因而在现代社会,保护隐私就变得特别重要,从而,经过文明洗礼的社会,每个人都享有不受他人干涉和打扰的权利[9]。这篇文章深受古典自然法思想的影响,体现在作者对高德钦(E. L. Godkin)观点的引用,比如:“决定公众最大程度上可以拥有多少个人私人事务的知识的权利”是一项自然权利。而对于派维斯奇诉新英格兰生命保险公司(Pavesich v. New England Life Ins. Co.)案,引用了佐治亚州最高法院对隐私权的总结:“有其自然本能的基础——因此是由自然法衍生出来的”[10]14-15。
美国首先将个人隐私作为一种宪法权利来加以保护,主要通过宪法修正案确立了隐私权保护的宪法依据,通过普通法上的侵权行为责任具体保护隐私权。美国宪法第4修正案规定:“禁止侵犯公民的人身、住所、文件和财产不受无理搜查与扣钾的权利;除非有宣誓或郑重声明提出的适当理由,有专门指定的搜查地点和被扣押的人或物品,否则不得颁发搜查证或者扣押证。”逮捕令必须描述清楚要逮捕者;面对个人信息隐私权利,普通法令状原则也存在例外。而在约克诉斯托里案(York v. Story,案情大致为:警察对报案的女子裸体拍照且传播照片)的判决中,肯定了信息隐私权是宪法第4修正案所包含的一项权利。而在另一些案件中法官的判决认为信息隐私权也构成了第5修正案和第14修正案规定的“自由权”的一部分[10]102。加拿大《权利与自由宪章》(1982年通过)第8条在借鉴和批判其美国法的基础上,宣称“人人都有权不受不合理的搜查和扣押”,相关宪法判例也深受美国最高法院所作判例的影响,将搜查的判断标准确定为“隐私的合理期待”。传统观念中,搜查仅涉及对公民财产权的干预,这在普通法中也不例外。20世纪以来,英美法系国家对搜查的宪法保护发生了悄然变化,从侧重于对财产权的保护转向了隐私权[11]。
美国在“水门事件”后于1974年通过了《隐私法》(Privacy Act)对个人信息隐私进行全面保护;并对某些特定领域涉及个人信息隐私的事项进行立法规范,如1978年的《金融隐私法》、1986年的《电子通信隐私法》、2001年《爱国者法》等。同为英美法系国家的加拿大、澳大利亚、新西兰分别于1985年、1988年、1993年制定了《隐私法》,澳大利亚又于2001年颁布了《(私营部门)隐私修正法》[Privacy Amendment (Private Sector) Act]。中国香港地区则于1996年颁布了《个人资料(私隐)条例》[Personal Data(Privacy) Ordinance]。以色列于1981年制定、1985年修正了《隐私保护法》(Protection of Privacy Law)。但英国对个人信息保护的法律规范更与欧洲大陆国家接近,制定了《数据保护法》,而迄今为止还没有一个全面的隐私法,这是由于英国法传统上并不承认独立的隐私权,而对隐私则主要通过衡平法的的保密理论、普通法的诽谤等侵权及制定法来进行间接或部分保护[12]。
欧洲人在“二战”中受尽纳粹的监视和控制之苦,对个人隐私的保护特别重视,法律规制的基本做法是通过国家立法确立隐私权保护的各项基本原则与各项具体制度,并在此基础上建立相应的司法或者行政救济措施。欧盟大力制定保护隐私权的标准,并要求各成员国的私营组织和公共机构遵守统一的原则,还努力将其制定的规则提升为国际标准[13]。根据欧盟《个人数据保护与流通指令》,欧盟成员国陆续制定或者修订了个人信息法。而德国在“二战”后,在一般人格权的发展过程中认可了隐私权,并在事实上保护了隐私权[14]。法国于1974年批准加入《欧洲人权条约》,而此前1970年就已经制定了《人权保障强化法》,对隐私权从民事、刑事方面加以保障。
(六)个人信息的全面保护——个人信息权的立法明确
著名未来学家托夫勒从物质形态更迭的角度指出人类社会的发展经历了农业社会、工业社会、信息社会三次“浪潮”[15]。齐爱民教授认为,随着人类社会形态依次更迭为农业社会、工业社会、信息社会,社会的核心法则也依次更迭为土地法、动产法、信息法[16]。1990年代以来,随着信息技术的突飞猛进、日新月异,人类社会的信息化程度越来越高。由此带来了人类社会诸多领域的深刻变革,而“信息”作为一种现实的、实在的利益,也当然地引发了法律的变革,即“信息”已然成为一种法益,成为法律关系的客体,而且出现了“信息法”这样一个崭新的法律部门。在信息社会,信息成为一种独立的财产权利即信息财产权,以及一种独立的人格权利即信息人格权的载体。
由于个人信息与个人隐私存在着交叉关系(关于二者关系的论述详见第一章第一节),二者又各有自己独立之处,因而,沿用隐私权立法模式规范个人信息保护与利用就显有不足之处,而将“个人信息权”确权则成为一种立法趋势。胡卫萍、郑剑指出:个人信息与隐私权益实践利用的差异、网络时代的发展、人格权法律发展的需要、个人信息的客观归类等使个人信息权民事确权成为必要[17]。应当看到,将“个人信息权”明确为一项具体人格权需要解决各种分歧,需要理论界、实务界的广泛共识。但实际上,从目前立法例来看,各国家或地区已经逐步地规定了“个人信息权”的各项权能,全面确立“个人信息权”已然是大势所趋。
目前世界上已经有60个以上国家或地区制定了个人信息法(总体情况见表1),对个人信息保护进行了较为全面的规范。比如,德国是大陆法系国家中最早进行个人信息保护专门立法的国家,基于人格权保护思想,在20世纪中后期对个人信息保护的强调有加,通过立法将个人信息权发展成法定权利[18]。实际上,德国有关个人信息的立法实践在计算机出现前的很早一段时间就已经开始,如针对司法及医疗机构以及公共服务部门违背保密义务的刑事处罚规范在19世纪就已经出现。而随着信息技术的迅速发展,新兴科技给人们带来的忧虑引发了人们对个人信息问题的关往,为了限制政府的权力和企业的行为,经政治运动促进的个人信息保护立法获得发展。德国黑森州于1970年制定了世界首部个人信息保护法,涉及到黑森州公共机构对个人信息处理的规则。1977年,德国联邦议会通过了《联邦数据保护法》(Federal Data Protection Law, 经1994年、1997年、2001年、2003年等多次修订,现已符合欧盟《个人数据保护与流通指令》的要求),涵盖了联邦公共机构和私人组织为一般的职业或商业目的而进行的个人信息处理行为。
总体来看,欧盟成员国实际上是在欧盟指令的框架下,制定或修订了相应的国内个人信息法律规范。而美国1970年通过了世界首部个人信用信息保护法《公平信用报告法》,规定个人有权查阅信用报告机构持有的个人信用信息,有权对信息的准确性提出异议,有权限制个人信息被披露,并对侵权行为造成的损害有权主张赔偿。1986年,美国通过了《电信隐私法》,规定政府不得非法截取个人电话、电子邮件等通信信息。除了针对特定领域的成文立法外,作为判例法国家的美国,对包括个人信息隐私利益的人格利益的立法保护主要通过普通法判例来推动,一般将私法层面的人格利益保护纳入到侵权法领域。但由于美国的二元司法体制,侵权案件由联邦各州法院管辖,而各州的侵权法有所不同,导致美国的侵权法体系颇为庞大和复杂。为此,美国法律研究院编撰、整理出了《侵权法重述》。
部分亚洲国家或地区在1990年代末和2000年代,也开始了与个人信息保护相关的立法。比如,1997年泰国通过了《政府信息法》,涉及到个人信息保护事项;2003年日本通过了《个人情报保护法》;2011年韩国通过了《个人信息保护法》。
表1:域外个人信息保护立法进程
规范名称年份国家/地区/国际组织 英文 中文1999 Personal Data Act 个人数据法1988 爱尔兰 Data Protection Act 数据保护法1988 2001澳大利亚Privacy Act Privacy Amendment (Private Sector)Act隐私法(私营部门)隐私修正法1988 1999荷兰Data Registration Act Personal Data Protection Law数据登记法个人数据保护法(取代前者)1990 2001新修订斯洛文尼亚 Personal Data Protection Act 个人数据保护法1991自动化处理个人数据保护法Act on the Protection of Personal Data with regard to Automatic Processing Act on the Protection of Personal Data葡萄牙1998个人数据保护法1992 瑞士⑤ Federal Act on Data Protection 联邦数据保护法1992信息系统的个人数据保护法捷克2000 Act on Protection of Personal Data in Information Systems Personal Data Protection Law 个人数据保护法(取代前者)1992 1998修订斯洛伐克Act on Protection of Personal Data in Information Systems信息系统的个人数据保护法1992 1999修订Organic Law on the Protection of Personal Data西班牙个人数据保护基本法1992 匈牙利Protection of Personal Data and Disclosure of Data of Pubic Interest个人数据保护与公共利益数据披露法1993 新西兰 Privacy Act 隐私法1996 爱沙尼亚 Personal Data Protection Act 个人数据保护法1996 2000修订个人数据法律保护法立陶宛Law on Legal Protection of Personal Data 1996 2003修订意大利 Data Protection Act 数据保护法1997公务机关个人信息保护法韩国2011 Act on the Protection of Personal Information Maintained by Public Agencies Act on the Protection of Personal个人信息保护法
规范名称年份国家/地区/国际组织 英文 中文Information 1997 巴西 Law on Habeas Data 数据保护法1997 波兰 Law on the Protection of Personal Data 个人数据保护法1997 希腊Law on the Protection of Individuals with regard to the Processing of Personal Data处理个人数据的个人保护法1997 泰国 Official Information Act 政府信息法1998 比利时 Data Protection Act 数据保护法1999 阿尔巴尼亚 Law on the Protection of Personal Data 个人数据保护法1999 2009修订奥地利Federal Act concerning the Protection of Personal Data联邦个人数据保护法1999 智利 Law for the Protection of Private Life 私人生活保护法2000 阿根廷 Law for the Protection of Personal Data 个人数据保护法2000 冰岛Act on Protection of Individuals with regard to the Processing of Personal Data与个人数据处理相关的个人数据保护法2000 2002修订拉脱维亚 Law on Personal Data Protection 个人数据保护法2001 波黑 Law on the Protection of Personal Data 个人数据保护法2001 罗马尼亚Law on the Protection of Individuals with regard to Personal Data and Free Movement of Such Data关于个人数据保护与自由流通的个人保护法2001 马其他 Data Protection Act 数据保护法2002 2007修订卢森堡Law on the Protection of Persons with regard to the Processing of Personal Data关于个人数据处理的个人保护法2002 保加利亚 Personal Data Protection Act 个人数据保护法2002 乌拉圭 Habeas Data Law 个人数据保护法2002 亚美尼亚 Law on Personal Data 个人数据法2002 列支敦士登Data Protection Act Ordinance on the Data Protection Act数据保护法数据保护法实施条例2003 日本 Personal Information Protection Act 个人情报保护法2004 突尼斯 Data Protection Act 数据保护法2005 摩纳哥 Act on Personal Data Protection 个人数据保护法2005 克罗地亚 Law on Protection of Personal Data 个人数据保护法
规范名称年份国家/地区/国际组织 英文 中文2006 2011修订俄罗斯 Federal Statute on Personal Data 联邦个人数据法1980经济合作与发展组织Guidelines on the Protection of Privacy and Transborder Flows of Personal Data关于隐私保护与个人数据跨境流通的指导方针1981 欧洲理事会Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data关于个人数据自动化处理的个人保护协定1990 联合国Guidelines for the Regulation of Computerized Personal Data Files关于计算机化个人数据档案的指导方针1995 2009启动修订工作欧洲联盟Directive 95/46/EC on the Protection of Individuals with regard to the Processing of Personal Data and on the Movement of Such Data关于涉及个人数据处理的个人保护与此类数据自由流通的指令
二、美欧个人信息保护立法进路比较
从中观层面来看,世界上不同国家、地区制定的个人信息法均是特定国家、地区特定社会现实生活、特定社会关系的反映,均有其各自的特点。但从宏观层面来看,世界上不同国家或地区个人信息利益保障的立法进路可大体上分为两种⑥:一种是以美国为代表的行业自律与指引为主导,正面立法规制为辅助,分散立法的进路;另一种是以欧盟、欧洲国家为代表的正面立法规制为主导,辅以行业指引、自律,统一立法的进路。简言之,美国是市场机制为主导的进路,欧洲则为国家立法规制为主导的进路。这两种进路的形成与其法律传统与政治现实多有关联,各有短长,各自适合该国家或者地区保障个人信息利益的实际情况,但也需要一定的调整与改进,以适应个人信息利益保障的新情况、新问题。
具体而言,美欧关于个人信息利益规范进路的区别如下:
(一)立法理论根基、法律传统不同
美国的法律实践深受实用工具主义法学、现实主义法学的影响,强调法律的现实功效,尊重“法官造法”,而其制定法的立法理论更关注现实社会的变化,立法程序也比较复杂、繁琐,认为为了保证法律的质量,立法者经常需要进行调查求证,得以找出与涉法问题性质和程度相关的事实等[19]。美国法更注重将个人信息权作为一种财产权来加以保护[20]。欧洲法律实践既有自然法学的基因又有分析实证主义法学的特质,倾向于通过人格权来维护个人信息利益,对于自然人的隐私、个人信息不分国界,一律予以保护。深受罗马法传统的影响的欧洲国家,认为个人信息权是一个人格权问题,而人格权又是一种自然权利,是一种原权利,因而特别重视对个人信息权的立法保障,在欧盟指令的指引下,纷纷制定出相应的个人信息法。
从宪政角度比较,在美国,自由主义造就了比较成熟的市民社会,人们认为管制越少的政府就是越好的政府,奉行的是私人化的宪政模式,认为社会公领域与私领域是对立关系,将私领域视为自由领域,国家经过私领域的授权而存在,公领域的扩张则意味着私领域的缩小,对个人信息保障加以立法会导致对个人自由的限制,因而更强调自律机制的重要性;而在很多欧洲国家,奉行的是国家促进式的宪政模式,国家扮演着促进人权与自由实现的角色,不认为公领域与私领域对立,因而积极立法对个人信息利益加以保障[6]187-188。
(二)是否以正面立法规制为主导不同
美国是非常重视企业的创造力的创新型国家,以普通法为主要法律渊源,政府采取了灵活的政策,既要在国际范围内保护个人隐私,又不致阻碍信息的跨境流通,从而避免影响电子商务和跨境贸易,因而在隐私保护与信息自由流通问题上采取平衡的规制方式,以创造有利于创新的最佳增长环境,这是以行业自律与指引为主导、正面立法规制为辅助的立法进路;美国政府认为自律机制(企业和行业的行为准则、机构的认证制度等)配合政府的执法保障,可以有效地实现隐私保护的目的,因而美国政府一直保持与商界和消费者团体的对话,鼓励更多地保护隐私;而在特定的高度敏感的领域如医疗档案、金融数据等,美国政府认为适宜通过相应的立法来加强对个人信息的保护[21]。美国还比较重视信息加密技术标准的制定,比如EES就体现出了美国政府倾向于通过技术手段加强个人信息保护的努力⑦ [22]146。
相比之下,欧盟提出“无隐私则无商贸”的贸易原则,强调以正面立法规制个人信息利益,将个人信息权保障上升到基本人权的层面,欧盟、欧洲国家采取的是正面立法规制为主导、辅以行业指引、自律的立法进路。1960年代末,欧洲一些国家的政府决定对涉及计算机化个人信息的权利与义务进行立法规制。1970年代,欧洲有国家如瑞典、德国出现了个人信息保护的立法。1980年代,欧洲理事会试图调和各成员国的个人信息保护政策,通过了《个人数据处理保护协定》,但未能促成各国在立法中形成统一模式[22]148。1995年,欧盟采纳了欧共体(European Community,“EC”)的建议,制定了《个人数据保护与流通指令》,此后,欧盟成员国在该指令框架下,相继制定或修改了个人信息法,如德国《联邦数据保护法》、英国《数据保护法》、西班牙《个人数据保护基本法》等。
(三)是否集中、统一立法不同
美国对于个人信息隐私的保护采取的是个别立法、分散立法的方式,针对各公私领域的不同特点和不同需求,分别推出单行法律,这具有一定的局限性和临时性[23]。比如,《隐私法》只规范联邦行政机关等公权力机关涉及个人信息处理的行为,而其他如《公平信用报告法》、《家庭教育权和隐私法》、《金融隐私法》、《电子通信隐私法》等,则针对不同事项规范不同主体涉及个人信息处理的问题。而且,美国《隐私法》仅适用于公民及取得永久居留权的外国人,但其他法律如公平信用报告法,则可以适用于任何人[24]。另外,作为判例法国家,美国还有很多更为分散的涉及个人信息利益保障的普通法判例。
欧盟、欧洲国家主要通过集中立法的方式,对个人信息在诸多领域的事项作出了较为统一的规范。欧盟1995年针对个人信息保护通过了一部指令,要求个人信息的控制者应当将其身份、收集信息的目的以及其他必要的确保公平的个人信息收集程序等,告知个人信息本人;企业只能基于特定的目的拥有及使用该项个人信息,不得以特定目的收集不必要的个人信息;个人信息收集者第一次将个人信息转给第三人作为直销使用前,必须告知相关个人,而且要明示告知个人有拒绝他人无偿取得及使用个人信息的权利。欧盟指令赋予个人享有监控及拒绝个人信息使用的权利,个人对于个人信息有接近、修改的权利,并不受任何限制[25]。欧盟各成员国是集中、统一的立法进路,纷纷根据欧盟指令陆续完成了对本国个人信息法的制定或修订,一般都是一部集中、统一的关涉个人信息利益的法律,而无其他单行的个人信息规范性法律文件。
(四)个人信息保护的范围不同
美国华盛顿电子隐私信息中心主任罗坦伯格(Rotenberg)曾在《纽约时代》上撰文指出:“隐私之于21世纪的信息经济,如同消费者保护问题和环境问题之于20世纪的工业社会”⑧[26]。这一言论从侧面反映了美国非常重视个人信息利益的保障,但美国对个人信息利益的保护一般限于个人信息中的隐私部分,即个人信息与个人隐私交叉的部分,对个人信息利益保障持一种保守、谨慎的态度。在美国,隐私权的宪法保护比较狭隘,主要限于搜查与逮捕、人的繁殖等领域;普通法禁止侵犯非公众人物和非商业目的利用个人相关信息,但也仍然比较有限[27]。欧洲国家关于个人信息权的保障则比较全面,不仅限于个人隐私权利部分,而是对个人信息权进行了具体化、细化,保护的范围更为宽广、全面,对个人信息权保障持一种开放、发展的态度。
另外,与欧洲不同的是,美国对个人信息隐私的保护区分公的领域与私的领域,对于前者,即公务机关收集、处理、传输与利用个人信息的领域,采取立法方式;对于后者,则采取行业自律机制,通过行业协会等行业组织或者由公司或者产业实体制定自律规范加以保护[6]186。不过,美国对特殊主体如儿童的个人信息,对特殊领域如信用、电信、财务、金融等领域,比较重视立法以加强保护力度。美欧关于个人信息保护范围的不同导致了美欧在个人信息跨境传输方面的障碍,而“安全港协议”则是协调这种国际法律冲突的一种有效机制。
三、域外立法对中国个人信息保护立法的借鉴及立法建议
(一)域外立法借鉴
随着中国社会的不断发展,特别是互联网技术的不断发展,个人信息面临着很多被不当利用甚至侵害的风险,制定中国的个人信息保护法的呼声不断提高。而事实上,我国也正在一些单行法律中设置了个人信息保护的条款。本文认为,制定中国的个人信息保护立法至少可以借鉴域外个人信息保护法的几个方面:
第一,确权。顺应世界个人信息保护的趋势,中国立法应当明确个人信息权或个人信息自决权,明确个人信息权的内容,明确个人信息保护的范围,明确个人信息利用的限制。
第二,原则。吸收国际个人信息保护的原则,规定个人信息收集、处理、传输与利用的目的特定原则、知情同意原则、信息质量原则、个人参与原则、程序公开原则、安全保障原则。
第三,规则。借鉴域外个人信息收集、处理、传输与利用的规则,具体规定个人信息流转环节的基本规则,同时对特殊个人信息的保护规定特别的规则。
第四,责任。参考域外个人信息保护法律责任的条款,规定侵害个人信息权的民事、刑事等责任。
(二)立法建议
关于制定中国统一的个人信息保护法的立法进路选择,应当适应信息社会发展的趋势,参照世界通行规则,衔接国际标准,并充分考虑中国国情、社情、民情,综合法律、自律、监督等机制,体现中国特色社会主义法律的特点与创新。以下试提出一份立法建议稿纲要:
中华人民共和国个人信息保护法(建议稿纲要)
第一章 一般规定
第一条 【立法目的】 为保护公民的个人信息权利,规范个人信息的收集、处理、传输与利用活动,明确侵害个人信息权利的责任,预防并制裁侵害个人信息权利的行为,促进信息社会的和谐稳定,制定本法。
第二条 【适用范围】 本法适用于公务部门和其他主体收集、处理、传输与利用个人信息的行为。
【适用例外】 其他法律对个人信息相关事项有特殊规定的,依照其规定。
第三条 【定义】 “个人信息”指自然人具有的、能够直接或者间接识别该个人身份的任何信息,包括身份信息、自然信息和社会信息。
“敏感个人信息”指涉及个人隐私的、非依特定事由、特定程序不得擅自披露的个人信息。
“个人信息本人”指完全享有并支配、控制个人信息利益的自然人,是个人信息的权利主体。
“个人信息相对人”指与个人信息本人相对的义务主体,是在收集、处理、传输与利用等个人信息流转中承担法定或者约定义务的主体。
“公务部门”指为履行法定职权而收集、处理、传输与利用个人信息的国家机关和具有公共管理职能的组织。
“流转”指个人信息的收集、处理、传输与利用等环节。
“收集”指出于特定目的,通过自动化、半自动化或者非自动化方式将有关个人信息集中起来的行为。
“处理”指利用信息技术或者其他方式对个人信息进行的存储、编辑、修正、比对、封存及删除等操作。
“传输”指将个人信息从个人信息本人以外的传输者传输到接收者的行为。
“利用”指个人信息利用者基于特定目的对个人信息的使用,以发挥个人信息的效用。
第四条 【目的特定原则】 个人信息的收集、处理、传输与利用的目的应当事先予以明确,并不得擅自超出特定的目的。
第五条 【知情同意原则】 个人信息的收集、处理、传输与利用,应当充分通知个人信息本人,并征得个人信息本人的明确同意。
第六条 【信息质量原则】 个人信息管理者、控制者应当保证个人信息完整、精确并及时更新。
第七条 【个人参与原则】 个人信息本人有权向个人信息管理者、控制者确认是否持有其个人信息,并就被持有的自己的个人信息享有本法第二章规定的各项权利。
第八条 【程序公开原则】 关于个人信息收集、处理、传输与利用的程序性信息应当向个人信息本人公开或者向社会公众公开。
第九条 【安全保障原则】 个人信息的管理者、控制者应当采取充分的安全措施确保个人信息的安全。
第二章 个人信息本人的权利
第十条 【自决权】 除因公共利益、本人或者他人重大利益,个人信息本人对其个人信息享有绝对的控制、支配权利。
第十一条 【选择权】对于个人信息的收集、处理、传输与利用,个人信息本人有权选择同意或者反对,个人信息相对人应当履行通知、说明和警示的义务。
第十二条 【查询权】 个人信息本人对公务部门或者其他主体管理、控制的本人个人信息享有查阅、了解的权利,公务部门或者其他主体应当以正式方式予以答复。
第十三条 【知情权】 个人信息本人对其个人信息在流转中的情况享有了解、知悉的权利。
第十四条 【保密权】 个人信息本人享有请求个人信息管理者、控制者保持个人信息不被第三方知晓的权利。
第十五条 【更正权】 个人信息本人对发现的其个人信息存在错误、不精确、不完整或者未及时更新的情况,享有请求个人信息的管理者、控制者进行更正、补充等维护操作的权利。
第十六条 【封锁权】 在法定或者约定事由出现时,个人信息本人享有请求个人信息管理者、控制者以一定方式对个人信息进行封存、锁定,暂停个人信息流转的权利。
第十七条 【删除权】 在法定或者约定事由出现时,个人信息本人享有请求个人信息管理者、控制者删除其个人信息的权利。
第十八条 【(特定个人信息)收益权】 基于与其他主体签订的利用具有特定经济价值个人信息的协议,个人信息本人享有向个人信息利用者请求支付报酬的权利。
第十九条 【获得救济权】个人信息本人的个人信息权利遭受侵害时,除可以进行私力救济外,还可以寻求公力救济、社会救济。
第三章 个人信息的收集、处理、传输与利用
第二十条 【收集的规则】 个人信息收集者基于法律的授权或者合同的约定而进行个人信息收集,应当按照特定的目的,不得在没有目的、超出目的或者改变目的的情形下为个人信息收集行为。
个人信息收集者应当以适当的方式将收集个人信息的目的、类别、身份、程序等事项明确告知个人信息本人,不得在个人信息本人不知情的情况下收集个人信息。
个人信息收集者应当保证个人信息的质量,保证个人信息内容正确、完整,并对个人信息保持适时更新。
公务部门不得超出法律规定的范围收集个人信息。
第二十一条 【处理的规则】 个人信息处理须经个人信息本人的知情和明确同意,并基于有效合约或者法律规定而履行特定义务的需要。
个人信息处理者应当采取完善的组织措施、技术措施、物理措施保证个人信息处理的安全进行,处理个人信息的人员负有对处理的个人信息保密的义务。
第二十二条 【传输的规则】 个人信息传输必须是基于特定目的并不得超出特定目的,必须经过个人信息本人的书面同意。
公务部门传输个人信息必须有法律的明确规定或者授权,必须是为履行特定职责或者为特定的公共事务管理的需要。
跨境传输个人信息依据相关的双边或者多边安排进行。禁止跨境传输关系到国家安全、国防利益等重大国家利益的个人信息。
第二十三条 【利用的规则】 个人信息利用者应当在法律规定的范围内,经当事人明确同意,并符合特定的目的利用个人信息。
个人信息利用者不得超出特定的范围、目的与期限利用个人信息,不得擅自将个人信息提供给第三方利用。
公务部门不得超出法律规定的范围利用个人信息。
第二十四条 【例外情况】出于公共利益、本人利益或他人利益的考量,或者在紧急情况下推定个人信息本人应当同意的情况下,可以不经个人信息本人的同意而收集、处理、传输与利用个人信息。
第二十五条 【敏感个人信息的保护】 非因重大公共利益、本人或者他人的重大利益,并经个人信息本人书面明确同意,并在确保个人信息安全的条件下,不得收集、处理、传输与利用敏感个人信息。
第二十六条 【未成年人个人信息的保护】 对未成年个人信息实行特殊保护,任何组织或者个人不得披露未成年人的个人信息隐私。
教育机构、教育管理机构对不得公开的未成年人个人信息要严格保密;网络经营者在未成年人的监护人未知情同意的情况下,不得收集未成年人的个人信息;在涉及未成年人的报道、出版物中不得公开未成年人的姓名、住址等个人信息。
涉及未成年人的案件不公开审理;对犯罪时不满十八周岁、被判处五年有期徒刑以下刑罚的未成年人,在入伍、就业时免除前科报告义务。
第二十七条 【特殊领域个人信息的保护】 电子政务、电子商务、电信、医疗、金融、信用等特殊领域实行特殊严格的个人信息保护规则,由有关主管部门结合该领域的特点具体制定相关规则。
第二十八条 【登记与批准】 非公务部门进行一般的个人信息收集、处理、传输与利用的,须向个人信息主管部门登记备案。
非公务部门日常业务较多涉及个人信息收集、处理、传输与利用的,或者进行特殊的个人信息收集、处理、传输与利用的,须向个人信息主管部门申请,经个人信息主管部门批准许可,方可进行个人信息收集、处理、传输与利用。
申请书的内容应当载明申请者的身份、名称,收集、处理、传输与利用个人信息的目的、类别、方式、安全措施等项目。
国家个人信息主管部门负责组织对达到个人信息保护标准的企业进行认证并颁发证书。未获批准或认证不得从事本条第一款中所述的相关业务活动。
第四章 个人信息保护中的自律与监督
第二十九条 【组织自律】 与个人信息保护相关的组织应当在内部建立个人信息保护专员制度,加强该组织在收集、处理、传输与利用个人信息过程中的自我约束。
个人信息保护专员独立负责监督个人信息保护法律规范在该组织的实施,对控制者实施的个人信息处理行为进行登记,监督组织内部的个人信息处理行为,避免组织侵害个人信息本人的权利。
第三十条 【行业自律】 与个人信息保护相关的行业应当建立本行业的个人信息保护协会,针对本行业的特点,根据本法的原则与精神,制定本行业的个人信息保护行业标准、自律规范,加强本行业在个人信息保护中的自律。
第三十一条 【主管部门】 国家在中央设立个人信息主管部门,县级以上人民政府的信息资源主管部门负责本地区的个人信息保护的监管工作。
国家个人信息主管部门负责统筹全国个人信息保护管理与执法工作,制定全国个人信息保护指导方针、政策、规划,领导各级个人信息管理部门与执法机构的工作,监督全国日常的个人信息保护工作,协调有关机构或者组织的个人信息保护工作,与国际沟通个人信息保护工作,加强个人信息保护的国际合作。
个人信息主管部门应当建立举报、申诉与处理机制,对违反本法规定者进行及时查处,对个人信息权利受侵害者提供及时的行政救济。
第三十二条 【社会监督】 国家鼓励社会力量依照本法成立个人信息保护团体,并给予适当的经费支持。国家鼓励、支持和引导媒体、公众依照本法对个人信息保护进行监督,加强个人信息保护社会监督平台建设。
第五章 法律责任
第三十三条 【民事责任】 违反本法规定造成他人个人信息权利损害,尚不构成犯罪的,应当承担停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失、赔礼道歉、消除影响、恢复名誉等民事责任。
以上承担侵权责任的方式,可以单独适用,也可以合并适用。
对于严重侵害个人信息权利的行为,受害人有权向致害人请求精神损害赔偿。
第三十四条 【行政责任】 国家工作人员因执行职务的行为造成他人个人信息权利损害的,由国家承担行政赔偿责任。国家在承担行政赔偿责任后应当向存在故意或者重大过失的国家工作人员追偿。
对于国家工作人员涉及个人信息保护的失职、违纪与违法行为,依法给予行政处分。构成犯罪的,依法追究刑事责任。
第三十五条 【行政责任】 未经登记或者许可擅自从事涉及个人信息收集、处理、传输与利用等活动的组织,由个人信息行政监管部门予以取缔,没收违法所得,并处以违法所得一倍以上五倍以下罚款。构成犯罪的,依法追求刑事责任。
第三十六条 【刑事责任】 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第六章 附则
第三十七条 【实施细则】 国家个人信息主管部门可以根据本法制定具体的实施细则。
第三十八条 【施行日期】 本法自20__年__月__日起施行。
[注释]
① “关于个人数据自动化处理的个人保护协定(Council of Europe, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, 1981.)”,本文简译作欧洲理事会1981年《个人数据处理保护协定》。
② 一般认为,“一般人格权”概念在立法上正式出现于1907年《瑞士民法典》。参见王利明《人格权法研究》一书,中国人民大学出版社2005年7月出版,第166页。
③ 《德国民法典》第823条第1款:“因故意或者过失不法侵害他人生命、身体、健康、自由、所有权或者其他权利者,对被侵害人负赔偿义务。”
④ 此外,美国还有如下个人信息隐私相关立法:1978年《金融隐私法》、1980年《隐私权保护法》、1984年《有线电视通信政策法》、1986年《电子通信隐私法》、1988年《雇员测谎保护法》、1988年《录影带隐私权保护法》、1991年《电话购物消费者保护法》、1994年《驾驶员隐私保护法》、1994年《通信协助执行法》、1996年《个人责任和工作机会协调法》、2001年《爱国者法》、2003年《反垃圾邮件法》、2004年《偷拍窥癖隐私保护法》等。
⑤ 瑞士于1934年颁布了世界首部《银行保密法》(Bank Secrecy Law),其中涉及个人信息保护问题。
⑥ 国内一些学者在比较美欧个人信息保护立法时,常归纳为两种“模式”,但笔者认为,由于个人信息保护立法尚属新领域,随着信息技术的不断发展,新的问题不断出现,有关国家或地区也在全面修改个人信息法律,尚且很难说已经形成哪些“模式”,只能说这是一个仍在发展进行中的立法问题,所以这里采用“进路”一词应更为恰当。
⑦ Escrowed Encryption Standard,第三方协议加密标准。
⑧ Electronic Privacy Information Center in Washington D.C, EPIC, http://epic.org.
[1] 綦彦臣.希波克拉底誓言[M].北京:世界图书出版公司北京公司,2004:4.
[2] 日内瓦宣言[EB/OL].(2016-01-22)[2016-01-22].http://baike.baidu.com/view/1327670.htm.
[3] 张红.一项新的宪法上基本权利-人格权[J].法商研究,2012(1):42.
[4] 王泽鉴.宪法上人格权与私法上人格权[M]//王利明,编.民法典·人格权法重大疑难问题研究.北京:中国法制出版社,2007:11.
[5] 孔令杰.个人资料隐私的法律保护[M].武汉:武汉大学出版社,2009:336,337,339.
[6] 齐爱民.拯救信息社会中的人格-个人信息保护法总论[M].北京:北京大学出版社,2009.
[7] 张新宝.隐私权的法律保护[M].北京:群众出版社,2004:1.
[8] (德)迪特尔·梅迪库斯.德国民法总论[M].邵建东,译.北京:法津出版社,2001:807.
[9] SAMUEL D. WARREN,LOUIS D. BRANDEISThe Right to Privacy[J].Harvard Law Review,1890(4):193-196.
[10] (美)阿丽塔·L·艾伦,理查德·C·托克音顿.美国隐私法:学说、判例与立法[M].冯建妹,译.北京:中国民主法制出版社,2004.
[11] 向燕.搜查与隐私权保护-加拿大宪法与美国宪法第4修正案之比较[J].环球法律评论,2011(1):83.
[12] 郗伟明.论英国隐私法的最新转向-以Mosley案为分析重点[J].比较法研究,2013(3):104.
[13] 张秀兰.网络隐私权保护研究[M].北京:北京图书馆出版社,2006:129.
[14] (日)五十岚清·松田昌土.西德对私生活的私法保护[M]//(日)戎能通孝·伊藤正己,编.隐私研究.东京:日本评论社,1962.
[15] (美)阿尔文·托夫勒.第三次浪潮[M].朱志炎,译.北京:新华出版社,1996:7-9.
[16] 齐爱民.中国信息立法研究[M].武汉:武汉大学出版社,2009:18-25.
[17] 胡卫萍,郑剑.个人信息权民事确权刍议[J].华东交通大学学报,2010(5):87-89.
[18] (德)迪特尔·梅迪库斯.德国民法总论[M].邵建东,译.北京:法津出版社,2001:802.
[19] (美)罗伯特·S 萨默斯.美国实用工具主义法学[M].柯华庆,译.北京:中国法制出版社,2010:78.
[20] MICHAEL HENRY.Internet Privacy,Public and Personality Laws[M].London:Butterworth,2001:193.
[21] 周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006:31.
[22] AMY FLEISCHMANN.Personal Data Security:Divergent Standards in the European Union and the United States[J].Fordham International Law Journal,1995(19).
[23] 高圣平.比较法视野下人格权的发展——以美国隐私权为例[J].法商研究,2012(1):35.
[24] 范姜真媺.政府资讯公开与个人隐私之保护[J].法令月刊,2001(5):357-370.
[25] 齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:5.
[26] 苏令根.隐私权:信息与网络时代的重要人权[J].社会,2002(5):11.
[27] CHARLES B CANNON.What Franchisors Need to Know About Privacy Rights,a Safe Harbor,and Standard Contractual Clauses Before Exchanging Personal Information with Europeans[J].Franchise Law Journal,2003(winter):176.
本文推荐专家:
韩松,西北政法大学,教授,研究方向: 民商经济法。
焦和平,西北政法大学,副教授,研究方向: 民法和知识产权法。
The Approach to Legislation of Information Protection Overseas
GAO ZHIMING
( Faculty of Law, Yanshan University, Qinhuangdao,066004 )
The norms for personal information protection begin with several industrial ethic standards related to personal information secretes, generally experiencing the special industrial ethical norms, ordinary right of personality norms and newly emerging specific rights and interests of personality norms, like privacy right and developing towards personal information right norms of new-type specific right of personality. The differences of American and European personal information benefits norms are represented by different legislation theory foundation and legal traditions, different positive legislative regulations domination,different central and universal legislation and different personal information protection scope, etc.
personal information; protection; approach to legislation
D913.04
A
1008-472X(2016)02-0085-15
2015-11-26
燕山大学青年教师自主研究计划课题(13SKB006)。
高志明(1978-),男,辽宁昌图人,法学博士、管理科学与工程博士后,燕山大学硕士生导师,研究方向为法律与信息、知识产权。
