个人信息保护法的回顾及启示_个人信息保护法进展

个人信息保护法的回顾及启示由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“个人信息保护法进展”。

个人信息保护法的回顾及启示

[摘要]文章从国外的个人信息保护法的发展历程出发,论述第一代个人信息保护法和第二代个人信息保护法的形成及其特点。通过对OECD的自由流通原则基本内容的介绍,指出其局限性。在制定中国的个人信息保护法律法规时,应当充分借鉴国外先进的立法例,同时要根据本国国情进行适当的立法。

[关键词]个人信息;保护法;回顾;启示

[作者简介]贾淼,昆明理工大学法学院,云南昆明650000

[中图分类号] DF529 [文献标识码] A [文章编号] 1007-7723(2010)09-0015-0005

个人信息保护法固然导源于人们控制个人信息的渴望以及捍卫民主的决心,但是其发展却与经济有着千丝万缕的联系。回顾个人信息保护法的发展历程,从中寻找出有益的启示是撰写本文的初衷。

一、国外的个人信息保护法

第二次世界大战时期,德国纳粹根据其掌握的户籍资料来锁定特定宗教信仰、种族或其他特定人群,美国则用个人信息来锁定日裔美籍人;个人信息成为强权政府诛伐异己的有力工具①。这一惨痛的历史教训是20世纪70年代初欧洲第一代个人信息保护法产生的重要诱因。

1946年,世界上第一台计算机问世。在其后的十多年时间内,由于价格昂贵、数量极少,政府不可能在各部门大规模使用计算机,计算机主要被用于国防和军事用途。20世纪60年代中期,小型计算机问世,计算机开始广泛用于教育、科学研究和刑侦等部门。1965年,局域网技术(计算机与计算机之间的通信技术)问世,政府各部门开始利用计算机比对各自储存的个人资料以获得更为准确的个人信息,以满足战后福利国家的建设需要。政府收集、处理和利用个人信息的行为达到了前所未有的深度和广度。当时,欧美各国试图筹建各种类别的个人资料管理档案或自动化信息系统,如德国的“大黑森”计划、瑞典国家资料库计划、英国的全国统一的驾照管理系统以及美国的联邦资料中心计划。政府的筹建行动引起了民众的高度警惕,为防止“电子老大哥”对市民社会的全方位监视(total surveillance by an electronic Big Brother)、政治国家过多地介入市民生活,避免二战时期的悲剧再度上演,制定专门的法律保护个人信息已迫在眉睫,在欧美各国,信息保护运动空前高涨。在这种背景下,第一代个人信息保护法出台了。1970年,德国黑森邦颁布了该邦的《个人资料保护法》。1973年,瑞典颁布了世界上第一部适用于全国范围的个人信息保护法,即《瑞典联邦个人资料保护法》。1970年、1974年,美国相继出台了《公平信用报告法》和《隐私权法》。

“资料保护”、“信息保护”概念的出现,是第一代个人信息保护法的主要贡献。但是,当时的立法者认为,既然没有计算机便不能达成社会革新和行政改革的目标,使用计算机又会威胁信息本人的利益;所以制定个人信息保护法的重点在于如何规制政府利用计算机处理个人信息的行为,以及在何种条件和程序下可以登录储存有个人信息的资料库。因此,当时的个人信息保护法的一大特色是广泛使用计算机技术术语,如“资料”、“资料库”、“资料档案”和“记录”等。另一特色则在于通过立法直接规制政府处理信息的行为,信息本人没有控制其个人信息的权利。

20世纪70年代初,随着制造成本降低,小型计算机开始广泛用于商业目的,不但民间企业能利用分散式电子资料处理系统处理个人信息,政府部门内较小的处、科、室、组也能使用计算机进行资料处理。人们发现,仅规制政府行政机关或集中式大型资料库不足以保护信息本人的利益,对企业、银行等商业主体为了商业目的处理个人信息的行为也应当进行规制,信息本人有权主动参与信息处理的过程。加之第一代个人信息保护法在立法技术上的不成熟,如保护程序繁冗耗时、技术用语没有坚持技术中立原则等缺陷,使得第一代个人信息保护法很快为第二代个人信息保护法所取代。

法国、奥地利、挪威和丹麦的立法可以作为第二代个人信息保护法的代表。第二代个人信息保护法具有如下特点:

第一,适用范围更加宽泛。将政府以外的主体纳入到了法律调整的范围之中,较为重视规范基于商业目的收集、处理和利用个人信息的行为。

第二,从只规制政府信息处理行为的单轨制转向赋予信息本人权利与规制政府行为并重的双轨制。这一时期,立法更加注重对个人自由的维护,更加重视对独处权利(the right to be alone)、私密空间的权利(the right to delimit one's own intimate space)和隐私(privacy)等权益的保护。立法规定信息本人在多个方面具有决定权。例如,丹麦法律规定,信息本人有权决定是否将其在公共资料库的个人信息传输到私人资料库;挪威法律规定,信息本人有权拒绝将其个人信息用于市场营销或市场调查目的。

第三,排除了技术用语,定义较为抽象,与科技关联较少。在第一代个人信息保护法律规范中,资料、资料库、资料档案、资料记录等技术性用语较多。第二代个人信息保护法中,则出现了人格权、隐私和信息等概念或用语。

虽然,第一、第二代个人信息保护法赋予信息本人在多个方面的决定权,但是,由于行使权利的成本过高,信息本人在各种社会活动中往往选择放弃这些权利;同时商人利用格式条款等手段诱使信息本人选择这种放弃,使得个人信息在实质上没有获得充分保护,本人信息权也流于形式。这引发了个人信息保护法的又一次改革。

第三代个人信息立法围绕着“行使权利的成本”这一议题展开,它赋予了信息本人“信息自决权”,使信息本人有权自主决定其个人信息何时、何地,以何种方式向何人公开,并有权参与个人信息收集、处理、利用的全过程①②。这样一来,当参与社会活动的成本相较于信息保护显得过高时,信息本人可以放弃信息利益以降低成本;当参与某项社会活动相较于信息保护显得微不足道时,信息本人可以拒绝提供个人信息,捍卫其信息利益。

第三代信息保护立法者排除了第一、第二代信息保护法中赋予信息本人的部分自由决定权,改用强制性规范保护个人信息,如丹麦、芬兰、法国等国家的信息保护法禁止处理敏感性资料;并且要求资料处理者告知信息本人不提供个人信息可能引发的不利后果。在证据制度上,第三代信息保护法采用了有利于保护信息本人的规定,如德国、挪威等国在归责上采用无过错责任原则。除保护一般性资料外,第三代个人信息保护法还加强了对特定信息的保护,要求各部门制定各自实施信息保护法的细则,并在原则上禁止收集敏感性信息。在机构建设上,注意区分监察和裁判的不同功能,设置了专司监察和裁判的两套机构。由此,信息本人至少可以选择两种途径保护其个人信息。

二、OECD自由流通原则的确立

个人信息可以在几秒中之内完成跨国、跨大陆的传输,这使得各国开始考虑保护与个人信息有关的人权问题。近一半以上的OECD成员国(奥地利、加拿大、丹麦、法国、德国、卢森堡、挪威、瑞典以及美国已通过了相关法案;比利时、冰岛、荷兰、西班牙以及瑞士则准备起草相关法案)开始利用个人信息保护法规制非法存储、滥用或者未经授权披露个人信息的行为。另一方面,各国个人信息立法的差异已明显妨碍、限制了个人信息自由跨国流通。这种妨碍与限制已严重影响到经济的运行,特别是在银行和保险业方面。因此,OECD成员国开始考虑颁布一项指南,在协调各成员国个人信息立法、提升人权保护的同时,避免对个人信息的国际流通造成不利的影响③。

OECD的科学技术政策委员会在1974年展开了个人信息保护问题的调查与研究,1978年成立了一个资料跨国流通障碍专家组,专门研究有关资料跨国流通的问题。在多次举行相关议题研讨会后,OECD于1980年通过了《关于隐私保护与个人资料跨国流通的指针》(以下简称80指针)以协调各成员国之间的个人信息保护立法。80指针共分为五个部分,其第三个部分为“国际适用的基本原则:自由流通和法律限制(Free Flow and Legitimate Restrictions)”,由以下条文组成:

第15条:成员国应该考虑个人资料的国内处理和再输出对其他成员国的影响。

第16条:成员国应该采取一切合理的、适当的措施保证个人资料跨国流通(包括经过一成员国的传输)的安全和不被打断。

第17条:任一成员国应该制止对本国与另一成员国之间的个人资料跨国流通进行限制,除非后者未实质地遵守本指针或者出口这样的资料会规避其本国的隐私权法。鉴于本国隐私权法根据资料属性对某些种类的个人资料作出特别规定,而其他成员国没有对这些资料提供相当的保护,成员国可以限制这些资料的流通。

第18条:成员国应避免以保护隐私和个人自由为名,制定可能阻碍个人资料跨国流通,超出必要保护程度的法律、政策和惯例。

这四个条文反映出OECD鼓励个人信息自由跨国流通的决心。OECD建议:

1.成员国应考虑关于隐私和个人自由保护的国内立法是否与80指针兼容。

2.成员国应努力避免以保护隐私的名义,制造个人信息跨国流通的障碍。

3.成员国应积极合作,确保指针的贯彻。

4.成员国应尽可能快地就相关咨询和合作程序达成协议①。

笔者认为,OECD的自由流通原则,虽然有助于OECD成员国之间,成员国内部各州之间统一立法,消除对限制流通可能带来的不利影响,提升这些国家的人权保护水平,但由于OECD成员国没有发展中国家,这个指针没有反映出发展中国家的要求,在客观上不能理解为“自由流通原则”不是发达国家之间相互妥协的产物,更不能理解为其中没有发达国家瓜分全世界信息资源的“野心”。

三、欧盟95指令第25条对信息跨国流通的负面影响

1990年初,因各成员国在关于自由、权利,特别是个人信息保护制度方面存在着差异,已经妨碍了欧盟内部统一市场的建立和一体化进程,欧盟启动了个人信息保护统一立法工作。1995年,部长理事会通过立法程序制定了《关于个人资料处理及其自由流通个人保护指令》,并要求各成员国务必在三年内完成个人信息保护法的修改,以符合并满足该指令的要求。1998年10月25日,95指令正式生效(也有文章称其为“98指令”),成为适用国家最多、适用人口最多的个人信息保护国际立法文件。

虽然95指令仅具有约束成员国的内部效力,但是,鉴于欧盟在国际舞台上的经济与政治地位,加上95指令禁止将欧盟成员国的个人信息向缺乏个人信息保护法的国家传输,与OECD鼓励的“无限制的信息自由流通”背道而驰,95指令的出台还是立即引起了全世界的关注。

95指令第25条规定,对于个人数据向第三国传递的情形,只有该第三国在个人数据隐私的保护方面达到了足够的保护水平,始能许可个人数据向该第三国传递。至于哪些国家符合“足够保护水平”的要求,则要由欧盟委员会进行“保护充分性”的认定。以美国为例,由于美国在信息隐私的保护上并不像大部分欧洲国家有类似数据保护法的制度设计,且亦不像“数据保护局”这种事权统一的监督或执法机关,因此,基于该指令25条的规范,等于断绝了美国搜集欧盟市场消费者资料的可能②。95指令出台后,美国立即启动谈判程序,要求与欧盟委员会进行“保护充分性”的认定。但是,谈判持续了5年,直到 2000年7月27日欧盟始正式批准由美国商业部提出的相当于“投降协议书”的《国际安全港隐私权原则》(International Safe Harbor Privacy Principles)。根据这一文件,只有参加该信息安全港协议的美国公司才可以收集欧盟成员国消费者资料。截至目前,除美国外,只有阿根廷、加拿大、根西岛(Guernsey)和瑞士等少数国家获得了欧盟委员会的“保护充分性”认定。充分性认定是一个耗费时日的与对方政府谈判的过程,其对正常的国际经济秩序产生了极为不利的影响。

四、启示

(一)个人信息保护法与经济的密切关系

综观个人信息保护法的演进史,我们不难发现,在立法初期,立法者提倡保护个人信息的首要目的,并不在于为经济发展创造良好、通畅的信息流通秩序或者保护当个自然人的人格利益,其目的主要在于规范并制约政府的资料处理行为,防止政府“侵入”市民社会,过多地干预民主生活,其价值核心在于保护“人权”。因此,早期的个人信息保护法主要表现为行政法,其规范和约束的对象主要是行政机关的个人信息处理活动。

但是,我们应当注意到,随着信息处理和传播技术的发展,个人信息被广泛用于商业目的,个人信息保护法的发展便更多地和经济纠缠在一起。以下事实较为明显地反映出这种“趋势”:

1.个人信息的商业利用催生了第二代个人信息保护法

20世纪80年代,随着小型计算机、迷你电脑广泛运用于商业,信息本人的注意力从行政机关掌握的数据库转移到在千千万万台商业微机和网络上处理、传播的信息,越来越频繁的商业使用,加深了权利人对个人信息保护的疑虑。第二代个人信息保护法为解除这种疑虑,在制度上进行了大胆的改革,依托德国宪法法院1983年“人口普查法判决”创设的“信息自决权”,各国在具体制度上赋予了权利主体更为广泛的参与权。本人同意成为信息处理的前提,本人有权接触、更正其个人信息,成为各国的普遍做法;在更为激进的国家,信息本人有权拒绝将其信息用于市场营销或商业调查,信息本人有权决定是否将其位于公共数据库的敏感资料传输给私人数据库①。可以这样认为:正是个人信息的商业利用最终导致了“个人信息权”的产生。

2.贸易争端的出现是国际组织致力于个人信息立法的重要原因

在各国建立了各自不同的信息保护制度之后,贸易争端出现了。瑞典就曾以英国法律没有提供充分的资料保护为由,撤销了一家英国公司的一份以制造身份磁卡为内容的合同②。因此,在1980年初,为避免和减少贸易争端,作为欧美国家重要的经济合作组织的OECD就开始致力于协调各成员国的个人信息保护制度。1997年以后,OECD开始向全球推行“避免对个人信息的跨国流通进行不必要的限制”的倡议,并于1998年渥太华“创造一个无边境的世界”的部长级会议上重申了该倡议。除OECD外,联合国、欧盟、亚太经合组织等国际组织也对此进行了各种努力。如联合国1990年的《关于自动数据档案中个人资料的指南》中对跨国资料传输作出了这样的建议“:当两个或者更多的国家关于跨国资料传输的立法提供了类似的对个人隐私、信息的保护时,资料应当像在各个相关的领土内那样自由地传输,不应该对传输进行不必要的限制,除非有必要对隐私提供保护,或者没有互惠关系。”

国际组织的努力,虽然没有完全解决数据跨国流通的问题,但却在传递个人信息保护理念、统一全球立法等方面产生了重要影响。

3.个人信息保护法制造的无形贸易壁垒

欧盟95指令在制定之时有两个目的:一是允许数据在欧盟范围内自由流通,禁止成员国以保护数据为幌子阻滞数据在欧盟内部流通;二是在全欧范围内实现数据保护最低限度制度。目前,在统一欧盟各国个人信息制度,促进市场信息在欧盟内部市场上自由流通方面,95指令基本上完成了它的目标。但是,95指令,特别是该指令的第25条在客观上却大大增加了非欧盟国家收集欧盟消费者、劳工等信息的成本,已经形成了无形贸易壁垒。

在颁布80指针之时,OECD的成员除美国、加拿大等国家外,基本上都是现在的欧盟国家。但是,欧盟在制定95指令,对待跨国数据流通问题时,却选择了不同的态度和立场。在欧盟内部,继续坚持80指针的“自由流通及合法限制”原则;对外部,则坚持限制将欧盟数据传输到“缺乏充分性保护”的国家。对内对外不同态度的背后是否隐藏着不可告人的动机?不免让人质疑③。目前,欧盟的主要贸易伙伴,如澳大利亚、中国、印度、日本等都被欧盟认为是缺乏充分性保护的国家,但在近期内,欧盟并不打算对这些贸易伙伴进行充分保护性的裁决。相反,对那些经济地位不太重要的小国家,欧盟却微笑着展开了怀抱④。事实上,95指令已经成为欧盟在国际贸易谈判桌上的重要筹码。

(二)中国的选择

目前,我国已经着手个人信息相关立法的准备工作。在制定中国的个人信息保护法律法规时,笔者认为,应当充分考虑到个人信息保护法可能对我国对外贸易造成的影响。

自《国际安全港隐私权原则》提出后,欧盟在全球个人信息立法的导向上战胜了美国,成为全球个人信息立法的指挥者,95指令亦成为全球个人信息保护法的立法模本。在这样的背景下,中国个人信息立法可以拒绝来自欧盟的指挥么,能够拒绝移植欧盟的个人信息保护法吗?笔者认为,拒绝或者回避只会让中国输掉本轮比赛,失去个人信息保护法这个重要的“贸易谈判砝码”。以中国目前的经济实力仍不足以抗拒来自超级经济体的“立法要求”,失败的例子在知识产权领域不胜枚举,《大连软件和信息服务业推行个人信息保护规范》的出台则更能说明问题。因此,移植欧盟的个人信息保护法才是一种明智的选择。

当然,在移植时,还要注意滞后与超前的问题。目前,我国没有保护个人信息的基本法律,欧盟个人信息不能向我国传输,已影响到我国的对欧贸易。当务之急,我国应当尽快制定一部统一适用于公私部门的个人信息保护法,对个人信息保护的目的、原则、适用范围、法律效力、权利主体、本人权利、资料控制者义务、保护机关、责任以及跨国流通等问题作出明确的规定。至少在形式上,达到欧盟“统一立法,独立监管”标准的要求。

为避免超前保护可能阻碍电子商务和经济的发展,应当努力限制信息本人的权利。虽然欧盟国家在宪法中普遍确立信息自决权,认为信息本人有权决定何时何地,以何种方式公开、使用其个人信息;但是,在各国的专项立法中,本人信息权的控制力却并没有如此强大,各国通过各种方式对本人信息权进行了限制。例如,“本人同意”并没有成为个人信息收集的前提条件;又如,德国个人资料保护法上,仅仅规定了知悉、更正、删除、封锁、自动化决策权、直接营销禁止等五项权能;再如,欧盟《隐私与电子通信指令》第13条规定,只有在客户同意的情况下,才能向其拨打电话、发送广告传真或电子邮件,但该条并不要求后续的同类或类似的推销行为仍要获得客户的明示同意,只需要向客户提供一个可以表示拒绝的机会即可。因此,弄清本人信息权的可控制范围并对其进行必要的限制,是个人信息保护法研究者和立法者的重大责任。

中国如何构建自己的个人信息保护法律制度,是关系着中国能否顺利地利用国外信息资源,继续保持我国外贸优势的重大议题。站在立法的十字路口,如何选择,应当审慎。