個人數據保護法律研究論文

時間:2022-08-12 11:14:00

導語:個人數據保護法律研究論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

個人數據保護法律研究論文

【摘要】:隨著我國入世后政府職能的進一步轉變和信息化水平的不斷提高,公共事務管理機構的許多運作對于個人數據的依賴已經達到了空前的程度。如何能使這些花費巨額成本收集的個人數據發揮出最大的社會效應,已經成為當前各公共事務管理機構作為個人數據擁有者所熱衷探討的課題。然而伴隨這一課題同時值得重視的又極易被忽視的,就是如何在收集、加工、使用這些個人數據的過程中保護數據提供者個人隱私不受侵害。對公共事務管理機構的個人信息數據作進一步開發利用是必然的趨勢,對個人隱私的保護也必須同時提到一個新的高度加以重視。如何在這二者之間尋求利益的平衡點,一方面使得公共事務管理機構的現代信息化手段得以充分利用,另一方面又能使作為其管理和服務對象的個人隱私得到切實的保護,已是我們迫切需要研究的一個問題。然而當前我國對于這個問題的立法和制度建設都幾乎是一片空白,本文寫作的目的也僅僅是拋磚引玉,為這一問題的深入探討做一塊鋪路石,為立法者與制度建設者提供一些參考意見。

【主題詞】:公共事務管理個人數據隱私保護

在當今信息化社會中,個人數據的運用對公共事務管理機構的運行所產生的重要作用已日益彰顯。公共事務管理機構對個人數據運用所產生的影響與結果不僅關系到老百姓方方面面的利益,同時也關系到老百姓個人隱私的保護。在相當長的一段時期內,如何使收集的個人數據發揮出最大的社會效應成為管理機構努力探求的方向,即個人數據的充分利用成為熱衷的焦點,而個人數據的保護則并未提高到其應有的高度。經過了長期的實踐,個人數據的有效利用確實為政府部門的管理、社會事業的發展起到了相當積極的作用,但與此同時,由于最初對個人數據保護的缺乏重視,由此也引發了諸多棘手的法律問題。本文試圖從公共事務管理機構對個人數據的收集、加工及使用的整個流程中可能產生的問題作為切入點,有針對性地提出一些對策和參考意見。這里首先需要明確的一點是,本文所討論的公共事務管理機構的范圍包括政府及其職能部門、公共服務機構、公共教育機構、公共醫療機構、事業單位和某些特殊的企業單位(如水、電、煤、電信等公司)。我們認為,個人數據在這些機構和單位中的運用將會影響到個人隱私的保護。

一、個人數據流程中的問題探討

1、個人數據的收集

個人數據的收集大致可分為無條件的收集和有條件的收集兩種。前者目前只有通過人口普查這一種途徑得以實現;而后者則主要是通過老百姓到各公共事務管理機構辦理各種相關業務等多種方式來獲得個人數據,即以業務為。例如我們熟悉的居民去公安局申報戶口、辦理戶口的變遷,辦理身份證,辦理暫住證等業務就需要填報多項個人數據,而公安局就將這些個人數據輸入電腦,匯總到它的數據庫中。

在這個環節中,我們重點考察了公共事務管理機構對個人數據收集的法律依據。然而,考察結果收獲甚微,我們幾乎沒有發現此方面的法律依據,僅有唯一的《中華人民共和國戶口登記管理條例》賦予了公安機關在辦理戶口登記業務時收集個人數據的行政職權。聚精會神地閱讀這一1958年由第一屆全國人大通過的條例,我們發現條文上僅只有相當籠統的二十六條,內容上對收集個人數據的具體方式、種類等則完全沒有提及,而其中所用辭藻如“人民委員會”等則明顯不合時宜??磥?,要完全嚴格地依照此項條例來規范如今的戶口登記管理操作已不具可能。據我們了解,當前對個人數據收集的普遍做法是,公共管理機構根據自己的業務工作需要,以現行的政策和慣例來具體操辦那些涉及到個人數據收集的業務。由此可知,當前公共事務管理機構在個人數據收集方面是缺乏有力的法律依據的。剖析造成這種立法上空白的原因,主要可歸結為以下三點:第一,立法本身具有滯后性,往往是新情況出現后要經歷長期的立法準備工作,再等到立法時機成熟后才有可能出現一部新的法律;第二,現代科技的迅猛發展,網絡技術的日新月異,在以前社會條件下幾乎無法預見到今天的網絡將得到如此飛速的發展,而當時的個人數據也根本不像今天得到如此廣泛的運用并涉及到個人的種種利害關系,所以當這些沖突顯現時,今天的信息管理者才會頗感措手不及;第三,隨著社會的發展、法制建設的不斷健全,公民的權利意識正不斷增強,原本認為理所應當向公共事務管理機構提供的個人數據如今也涉及到了隱私權的問題,公民意識到自己的權利有可能受到侵害,所以產生了公共事務管理機構知情權與公民隱私權之間的矛盾。

在我國民法意義上,隱私是指公民個人生活中不愿為他人公開或知悉的秘密,包括個人私生活、個人日記、照相簿、儲蓄及財產狀況、生活習慣及通訊秘密等。并未直指個人的姓名、住址、電話號碼、身份證號碼等信息。而這部分信息在十幾年前,甚至在五六年前幾乎沒有人將之與個人隱私聯系起來,而在今天,由于網絡和信息技術的飛速發展,這些信息一旦在網絡上傳播,其速度之快、范圍之廣以及任何人攫取之便捷將無法控制。這些信息原本在其相對人可控的范圍內傳播不被認為是隱私。而在這種不可控的條件下,這些個人信息對于其相對人來說也就成了需要保護的隱私了。若非迫于公共事務管理機構對于個人的某些特定的權益,個人亦不會情愿提供這些個人數據。雖然現在公共事務管理機構對所收集進自己數據庫的個人數據都基本采取了不對外提供的保密措施,但在獲取這些信息時,或者說相對人在提供其個人數據時并沒有得到任何承諾和保障,那么相對人在提供自己的個人數據之后對其可能對自己個人隱私權造成的侵害而擔憂亦不無原因。我國《憲法》及許多法律中均有隱私權保護性條款,這里不加贅述,但正是由于前文所述的原因而導致的隱私范圍的擴大,對于這些基本的個人數據作為隱私來加以保護的條款卻是沒有的。對于公共事務管理機構來說,相對人本來就處于弱勢,需要加以保護。而對于相對人的這部分新“成長”起來的隱私的保護卻是缺乏法律條文的有力支持的。我們認為在個人數據的收集階段,一是要盡快填補個人數據收集在法律依據上的缺陷,使收集工作有法可依,得以有序進行;二是要對相對人的隱私加以重視和保護,這樣才能鼓勵相對人積極、全面、如實地提供公共事務管理機構所需的個人數據,降低數據收集的成本,從而保證收集工作和后續工作的順利開展。具體設想將在下文中加以探討。

2、個人數據的加工

在進行個人數據的有效收集之后,進行加工整理來使其集合效應的新的使用價值得以體現,似乎是一件順理成章的事情。然而我們稍加分析,卻不難發現,對這些數據進行的任何加工整理皆是有明確目的的,而此目的即為了使用,也就是說在對收集來的個人數據的處理有這樣一個過程:考慮其用途——以此目的進行加工整理——投入實際使用。由于目前公共事務管理機構的數據庫都僅作本部門業務工作需要的使用,因此對所收集的個人數據所作的加工整理也相當有限。我們認為對個人數據的加工整理是在一個封閉系統下所作的內部行為,其直接產生法律問題,引起法律后果的可能性微乎其微,而其真正的實際影響將在個人數據加工整理結果的使用上得以體現。因此我們對個人數據的加工整理這一環節也就沒有作過多探討的必要,而是把目光直接聚焦到個人數據的使用上。

3、個人數據的使用

個人數據的使用多種多樣,其引起的法律關系和法律責任也因之而易。因此我們首先有必要對個人數據的使用加以分類,逐個探討。按使用方向分可分為內部使用、反饋使用(指公共事務管理機構在對某特定相對人進行管理或提供服務時使用該相對人所提供的其自身的個人數據)以及外部使用。按使用層次分可分為直接使用、間接使用和混合使用。直接使用指對收集來的原始的、未經加工的具體的個人數據進行使用;間接使用是指對收集來的個人數據進行了批量加工整理后得出的結果數據的使用,而從該結果數據中已經不能通過逆向加工得到具體的個人數據了;而混合使用則是指使用中既有直接使用,又有間接使用。

(1)內部使用。內部使用中既有對個人數據的直接使用,也有對個人數據的間接使用。直接使用如公安機關、檢察機關、審判機關等司法機關部門依法行使對某個或某些公民的調查權或偵察權等而對個人數據進行調閱、摘錄或復制,這些行為均屬于在法律授權的條件下的合法使用。間接使用如根據大量的個人數據的一些統計結果來制定政策,分析研究社情、民情等。在這些情況下,個人隱私權與公共事務管理機構所依法履行的職權相較,處于下位,相對人不得以保護自身隱私權為由與之相抗。這種觀點已經為我國及世界各國立法所采納,也普遍為公眾所接受,所以在這種情況下的使用也不存在我們探討的空間。

(2)反饋使用。反饋使用大體上都是直接使用。由于其個人數據使用的方向性直指相對人本人,因此也就不會產生個人隱私權受侵害的情形。而根據我們了解,這其中產生問題較多的原因是由于個人數據未及時更新或個人數據出現差錯等引起的在政策適用等方面關系到相對人切身利益的糾紛。如某知青子女為享受回滬政策故意減小年齡,在回滬后為了找工作又要求上海市公安局恢復其真實年齡。又如某人身份證號碼與他人重號而遭銀行、證券公司等拒絕提供服務。這些問題雖然不涉及個人的隱私問題,但說明這些個人數據上出現的問題對個人的利益有著重大的影響。從第一個例子中我們可以看出造成問題的原因是相對人沒有提供真實的個人數據而導致的,而第二個例子則顯然是由于公共事務管理機構的工作疏漏造成的。這兩個例子是此類使用中的兩個典型問題。對于例一中公共事務管理機構是否可以因為該知青子女已經從其虛報的個人數據中獲利而有權將錯就錯,拒絕修改其個人數據呢?而例二中的公共事務管理機構又應當為自己的工作疏漏承擔怎樣的責任呢?我們認為:對例一,應當對沒有提供真實的個人數據的相對人處以一定的罰款,并需提供原始證據(如出生證)才予以更正;對例二,有關機構應當自行負責給予更正,而不能叫相對人跑來跑去地搞,必要時要給予相應的賠償。而另有一點我們可以明確地從這兩個例子中感受到的是:個人數據一旦被公共事務管理機構所收集和利用,其性質即發生了一定的變化,帶有了一層公共事務管理機構職權所賦予的權威性色彩。該個人數據將不僅是表明相對人某方面特征的符號,而且反過來對相對人產生約束并影響其權益。這些,我們也將在個人數據收集機構與提供數據的個人的權利義務的設想中繼續探討。

(3)外部使用。外部使用也包括直接使用和間接使用。

間接使用如向外部提供一些某方面個人數據統計結果等。由于其中某個具體的個人數據已經不可被推知,因此我們認為這樣的外部使用已經不涉及個人隱私的保護問題,而是涉及政府保密部門是否認為這些統計數據本身具有保密的必要,依其政策來決定是否可向外部提供或向哪些外部單位提供。

直接使用中又可分為直接向外提供個人數據和僅提供個人數據服務(如個人數據的比對)兩種。其本質在于前者是提供原料,而后者是提供產品,尤如前者是提供核電站用來發電的鈾,而后者是提供核電站所發的電。

對于前者,在實際操作中是慎之又慎的。雖然現在已經有很多家信息咨詢等公司對公共事務管理機構的個人信息數據庫十分感興趣,試圖商洽合作或買斷等事宜,但皆遭回絕。由此我們認為,這種直接使用的個人數據的提供當然地涉及到了個人隱私的擴散問題,必須嚴格限制其使用范圍或者僅限于公共事務管理機構之間。但由此引出一個在公共事務管理機構之間的共享個人數據的問題。我們認為,這種共享應當屬于合理使用,因為這不僅避免了政府有關部門再一次收集如此海量的個人數據的重復勞動和巨額的成本投入,也使個人免除了再一次提供個人數據的麻煩。但值得注意的是,這種共享也應當有法律依據,隨著使用范圍的擴大,其權限設置也應當不同。這我們也將在下文中繼續探討。

對于提供個人數據服務這一種使用,鑒于當前市場經濟的發展與政府職能的轉變,我們認為不能抱著死守的態度,而是要正視其價值,加以合理的開發利用。而我們孜孜以求的在發揮個人信息數據庫的社會效應與保護個人隱私之間的利益平衡點也必將在這里產生。

首先我們要探討一下目前公共事務管理機構所擁有的個人信息數據庫的定位問題。根據歐洲議會與歐盟理事會在1996年3月通過的《關于數據庫法律保護的指令》(TheEuropeanDirectiveontheLegalProtectionofDatabase)中作出的界定:“數據庫”是指經系統或有序的安排,并可通過電子或其它手段單獨加以訪問的獨立的作品、數據或其它材料的集合。⑴從使用范圍上分,數據庫有兩類,一類是根據國家、部門和個人的專門需要而開發的專用數據庫,也稱自用數據庫(In-housedatabase)。這類數據庫一旦信息泄露或系統被非授權訪問,就會造成不同程度的損失。因此,它所面臨的法律問題主要是保密問題。另一類是向社會開放的,商業性服務的商用數據庫(Commercialdatabase),這類數據庫信息種類繁多,數量龐大,在收集、組織和整理過程中需要開發者投入大量的時間、精力和資金,并在用戶使用過程中會帶來價值增值,因此,它受到適應的法律保護是必然的。以此標準劃分,公共事務管理機構的個人信息數據庫顯然屬于前者,然而再具體地來看,這些數據庫中的數據又并非十分機密的數據,而是與每個公民息息相關的涉及到個人隱私的個人數據,只要將保護個人隱私這一問題妥善解決好,其定位向社會服務性方向移動一些是符合當前社會發展需要和市場經濟模式要求的,理由如下:

①與商用數據庫一樣,公共事務管理機構投入了大量的人力物力去收集這些原始的個人數據材料,整理并按一定的形式組織編排。以上海市公安局的這個個人信息數據庫為例,其建設前后耗時4年,至2000年已投入了1億多資金,平均每收集一份個人數據就需7元(其中不包括數據維護、更新的費用)。而當前由于種種的原因,其使用仍基本局限于內部,遠遠沒有發揮出其蘊涵的潛在價值,這點不難從眾多咨詢公司、信息公司、保險公司、銀行等對它心存“非分之想”,多次試圖高價收購的事實中看出。為了使這一巨大投資充分發揮其社會效應,讓納稅人充分享受其投資成果,也為了鼓勵公共事務管理機構積極從事這一社會受益的工作,有必要對這類數據庫的定位作一些調整。

②該數據庫中的個人數據在社會中處于實際的壟斷地位。除公共事務管理機構外的其它社會組織無能力也不被允許大規模地收集個人數據;一般公民也不會情愿提供;而如果收集的個人數據達不到一定的規模,也就可能失去其利用的價值。事實上,社會上許多事業對這些個人數據有著迫切的需求,如建立社會信用體系,銀行、保險公司、電信公司考查客戶資信,咨詢公司做市場分析,教育科研機構作教學研究等。美國HowardCoble1997年10月提出的H.R.2652法案(CollectionofInformationAntiprivacyAct)(美國眾議院于1998年通過了該法案,并入《數字化千年法案》(TheDigitalMillenniumAct))更是涉及了一系列法定許可行為,包括從數據庫中獲取單個非實體部分的信息、利用數據庫中信息核實一些被獨立收集的數據、非盈利性的研究使用等。所以,為了促進市場經濟的健康發展,緩解對于這部分個人數據的供需困境,也有必要調整定位。

正是基于在這種數據庫定位可能發生調整的情況下,個人數據所蘊涵的個人隱私面臨被侵害的風險無疑就大大增加了。該類數據庫在目前的情況下,我國并沒有法律來保護它。美國的H.R.3531法案則明確排除對政府有關數據庫的保護,H.R.354法案中進一步指出政府雇員的和其他主要受政府資助機構為實現政府職能,并受合同約束來自政府獨占性權利行為所產生的信息庫將不在保護范圍之列。目前在這類提供服務的使用中,已經有銀行、保險公司要求公共事務管理機構進行個人數據比對。我們覺得這是為該類數據庫合理開發利用開了個先河,但必須在開發利用的同時及時建立規章制度,強化個人的隱私的保護。

二、國外和國內某些地區的立法狀況介紹

首先要說明的是,我們這里談的所要保護的個人隱私權已經與民法傳統意義上的概念有所區別。隱私權的概念,可以分為積極意義與消極意義。前者強調個人私生活事務不受恣意公開、干擾的權利,此亦即民法上所指的隱私權;⑵后者則是指個人資料控制支配權,亦即賦予個人對其個人數據的收集利用的開發權和停止權、更正權等,換言之也就是個人對于其個人數據應有主動積極控制支配的權利,亦即本文所要探討的隱私權保護客體,有學者將之稱為“資訊隱私權”。信息的普及和發達,其影響已深入我們的生活,個人數據的收集、處理與利用比以往更為容易,這種趨勢已強烈威脅到個人的權利,當個人數據可以輕易地遭受有心人侵襲與操控之后,個人隱私權利不免受到威脅。于是,“資訊隱私權”(informationprivacy)的概念應運而生,有別于傳統意義上對隱私權保護的思考,而轉向以“個人數據保護”(dataprotection)為重心上,以對抗信息時代中隱私權所受到的沖擊。

各國及各國際組織以“個人數據保護”為中心的立法和決議已經陸續發展起來,除了較早的經濟合作及發展組織(OECD)1980年9月通過《隱私個人保護基準》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData),及歐洲議會1981年簽署的《個人數據保護協定》(CouncilofEuropeConventionFortheProtectionofIndividualswithRegardtoAutomaticProcessingofPersonalData)等規范外,歐盟于1995年通過《個人數據保護指令》(EuropeanUnion’sDirective95/46/EContheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata),此保護指令于1998年10月25日已經正式生效,該指令要求15個成員國都要立法去管理個人資料,并且特別規定第三國若未符合“適當”標準(adequacystandard),則為保護其人民個人數據隱私起見,歐盟將采取必要措施防止其個人數據轉移至該具有疑義的第三國。保護指令的基本原則大致如下:用途上的限制、數據的品質、安全性的原則、透明化的原則、同意權的原則、個人救濟的原則。美國的相關保護除了用其《隱私保護法》來補足其《情報公開法》和《陽光下的政府法》之外,還散見于各相關文件中,如克林頓總統于1997年7月批準并公布的《全球電子商務架構報告》(AFRAMEWORKFORGLOBALELECTRONICCOMMERCE),此報告內容中關于隱私權部分中提到:要想讓民眾能放心在網絡上從事商務活動,確保個人數據不被侵犯是重要的。而中國臺灣在其八十四年八月十一日正式公布實施了《電腦處理個人資料保護法》(以下簡稱個資法)??梢妼Α皞€人數據的保護”已引起了廣泛的關注,我們也應當加以借鑒,加快我們的立法步伐,來解決我們在實際中已經碰到的問題,保護我們公民的個人數據。

三、對策和參考意見

在分析研究了公共事務管理機構對個人數據的收集、使用等情況中的問題之后,我們試圖提供一些解決問題的建議以供參考。

基于目前的國情,要建立一部獨立的《個人數據保護法》似乎條件還不成熟,但就公共事務管理領域來說,個人數據的保護應當納入地方法規和部門規章來填補這一領域的個人數據保護的空白。我們覺得要這樣做的話,以下幾點是應當貫徹的:

1、個人數據首先要確立對個人數據不得任意收集的原則。如《個資法》中規定非公務機關非特有目的的不得進行個人資料的收集和處理;如有特有目的要向事業主管機關申請登記,核準后發給執照,而申請登記核準后還須公告登載并供查閱。對于大規模的個人數據的收集只能是由法定的公共事務管理機構,如公安機關等,按法定的程序來收集。或者僅限于公安機關,而通過立法規定政府部門之間的關于個人數據的共享程序來使有需要的部門獲得相關的個人數據。而這種在公共事務管理機構之間的使用范圍的擴大也不得隨意,法律應當規定何種情況可以擴大,何種情況不可;按照對個人數據的分類,哪些個人數據可以共享,哪些不可以共享;并對訪問權限進行設置??傊@種獲得個人數據的行為,不論是收集還是從他處實現共享,都必須是法律授權的,也就是要有法律依據。

2、為切實保護個人隱私權,在個人數據的收集環節中就應當得以體現并作出相應的保證。明確收集個人數據的使用目的,并且明確告知哪些個人數據是必須要提供的,而哪些是可以選擇提供也可以選擇不提供的。個人不僅是個人數據產出的最初來源,也是其正確性最后的核查者,所以個人當然地對其個人數據擁有主動積極的控制支配權。當個人將其數據提供給收集機關時,這種主動積極的控制支配權即發生分化和弱化。所以,應當通過制度的方式來彌補這種分化和弱化,而個人也應當成為收集機關對該個人數據使用范圍的參與決定者。當個人將其數據提供給收集機關時,當可以視為個人對收集機關所告知的目的的使用的同意,但其他目的的使用則視為不同意。我們認為在此階段即可通過格式化的行政合同或其它協議來決定個人數據的使用范圍并設立救濟方式。而收集機關在沒有同當事人協商并獲得其同意之前,不得將當事人為某特定目的所提供的個人數據運用在另一個目的上。

3、法律應當對所保護的個人數據的客體包括公共事務管理機關可以收集的個人數據的范圍加以細數。如中國臺灣的《個資法》中規定:保護客體即是個人資料,所謂“個人資料”是指“自然人的姓名、出生年月日、身份證號碼、特征、指紋、婚姻、家庭、教育、職業及其他足以識別該個人的資料”,亦即可以憑借該資料辨識誰是資料本人的資料。

4、法律應當規定個人與個人數據收集機構的權利義務。對于個人來說,法律應明確賦予其控制其自身數據的權利;在其按規定向收集機關提供其個人數據后享有獲得相應服務、辦理相關事務的權利等。同時個人又負有按規定主動、如實地向收集機關提供、及時更正其個人數據,保障公共事務管理機關順利開展工作的義務等。對于個人數據收集機構來說,擁有按法律規定收集、加工、使用個人數據的權利以及維護其收集工作正常進行的權利等。其義務在于告知數據提供人其權利義務;告知所要收集的個人數據的范圍和使用目的;保護數據提供人的隱私;維護所收集個人數據的安全和完整;透明化對個人數據的使用狀況;接受法定監督機關以及公民的監督等。這里需要另外指出的是,由于個人數據一旦成為收集機關加以使用的數據,即具有權威性,對個人的權益產生影響,所以個人對其提供的數據的真實可靠性負有責任,收集機關亦有在數據的收集、加工、使用過程中避免其出現差錯的責任,由此產生的不利后果應當由過錯方承擔,如見前述。

5、法律規定應當約束公共事務管理機構對外提供個人數據,并對公共事務管理機關對外提供個人數據服務樹立宗旨并加以指導。對外提供服務應當符合維護社會公共利益的宗旨,在“三公”的前提下向社會提供對外服務。避免由于對壟斷數據資源獲得途徑的差異而造成不正當競爭。歐盟指令1992年的建議里有關許可的條款要求擁有任何特定信息唯一來源的數據庫擁有者按照公平和一視同仁的條件許可任何競爭者使用該信息。法律應當規定對征信業及以收集或處理個人數據為主要業務的團體或個人、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業等行業可以提供服務的范圍和審批程序。

6、公共事務管理機構應當完善內部的規章制度,強化個人數據相關工作的管理,杜絕內部工作人員非工作目的的私自對個人數據的處理和泄露。

7、法律應當對個人數據使用的法定許可與合理使用的范圍進行規定,避免個人隱私權的不合理膨脹。

四、結束語

對于公共事務管理中的個人數據保護,我們現在所做的研究是膚淺的,許多問題尚未吃透,故不敢妄加評論。尤其是對公共醫療機構的個人數據保護的研究則完全沒有涉及,這是本文的一大缺憾。

我國在公共事務管理過程中對個人數據的保護還處于探索階段,筆者僅將研究中發現的有關個人數據保護的問題突顯出來,希望在該問題的相互探討過程中能夠找出解決問題的合理方法,為規范和完善我國公共事務管理中的個人數據保護獻出一份綿薄之力。