个人敏感信息的法律规制探析,本文主要内容关键词为:探析论文,规制论文,敏感论文,法律论文,信息论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
〔中图分类号〕G20 〔文献标识码〕A 〔文章编号〕1008-0821(2010)05-0024-04
1 个人敏感信息的范围
“个人信息是用来直接或间接识别自然人情况的数据资料”[1]。个人敏感信息是被认为具有特殊风险,从而通常受到特殊保护的个人信息。将个人信息划分为个人一般信息与敏感信息(特殊信息,特殊数据)是欧盟及其所属各国的立法特色。我们且不论它是依据什么标准将个人信息作出了这样的划分,我们需要考察是欧盟及其所属各国立法中如何界定“个人敏感信息”的范围。
1981年1月28日欧洲理事会通过的《有关个人数据自动化处理的个人保护协定》中第6条(数据的特殊类型)规定:“除非国内法已提供了适当的保护措施,禁止对揭示以下内容的个人数据进行自动化处理:人种、政治主张、宗教或其他信仰以及与健康或性生活有关的个人数据。与刑事判决有关的个人数据,也不应当被自动化处理。”
1995年欧盟通过的《个人数据保护指南》第8条第1款规定:“各成员国应禁止处理显示种族或民族起源、政治观点、宗教或哲学信仰和工会资格的数据,并禁止对有关健康和性生活有关的数据进行处理。”
1999年《奥地利联邦个人数据保护法》在第一章第四节对“敏感数据”范围进行了界定,它认为敏感数据是法律上值得特殊保护的数据,包括:与自然人有关,涉及他们的种族或伦理起源、政治观点、商会身份、宗教或哲学信仰的数据,以及关涉健康或性生活的数据。
《保加利亚个人数据保护法》则将“个人敏感数据”归结为:涉及种族、政治观点、宗教哲学信仰、参加政治团体、商会、宗教、哲学、政治或劳工组织的情况以及涉及健康状况、性生活的个人数据。
欧盟各国中对“个人敏感数据”规定最为全面与细致的当是《冰岛有关个人数据的保护法》。它将“个人敏感数据”概括为以下5个方面:
(1)揭示个人的人种或种族、肤色、政治立场、宗教信仰以及其他信仰的数据;
(2)揭示个人是否是犯罪嫌疑人、被告或罪犯的数据;
(3)健康数据:包括基因数据、揭示任何药品或酒精的医疗或非医疗用途的数据;
(4)有关性生活的数据;
(5)有关工会成员资格的数据。
从欧盟及其各国的立法来看,有两个共性的特点:一是都通过列举的方式将个人敏感信息范围确定下来;二是各国关于个人敏感信息的规定都有相似的地方。
实际上,作为立法中常用的技术与方法,对“个人敏感信息”作出列举是有必要的。但是我们也要知道,“个人敏感信息”可能在不同的国家不同的时代会有不同的范围,比如说涉及政治立场的个人数据,在一些国家并不认同为个人敏感数据。我国制定个人信息保护法应当吸收欧盟国家的一些共同作法,并根据我国的国情对“个人敏感信息”的范围作出如下规定:
(1)有关人种、种族、宗教信仰的个人数据;
(2)关于个人违法、犯罪等方面的数据;
(3)能根据资料识别的个人医疗数据;
(4)有关性生活的数据;
(5)其他各种对个人会造成人身财产重大损害的个人数据。
前四个方面涉及欧盟及各国的共同做法,后一个方面实际上涉及对个人信息的划分问题,根据一般的理解,将个人信息区分为一般个人信息和特殊个人信息,一个重要的标准即是看这种个人数据对个人人身财产利益的损害程度。考虑这一点,立法上既采取一种能列举的尽量列举,不能列举的设置一个原则规定,随着社会的发展、人的认识水平的提高等,立法者甚至执法者、司法者可以对其加以灵活变通的解释。
2 个人敏感信息的征集与处理的原则
一般来说,从现行很多国家的立法来看,对个人敏感信息原则上是禁止征集与处理的。欧洲理事会《有关个人数据自动化处理的个人保护协定》规定,除非国内法已提供了适当的保护措施,禁止对个人敏感信息进行自动化处理;奥地利等国家立法中规定在保护数据主体隐私利益的前提下,可以对个人敏感信息进行征集处理。因此,在能够确保数据主体隐私利益的前提下,可以对个人敏感信息根据法律的规定进行征集与处理。
实际上,立法上可以采取对个人信息处理一般原则作出规定,在涉及个人敏感信息处理的特别原则时,应就特别原则作出规定。也就是说,对个人信息处理的一般原则也适合于个人敏感信息征集与处理的原则。然后针对个人敏感信息征集与处理的特别原则再作出规定。
关于个人信息征集与处理的一般原则各国立法的规定都大同小异,都在某种程度上参照了经济合作与发展组织(OECD)《关天隐私保护与个人数据跨疆界流动的指导原则》的规定,它规定的八项原则成为各国个人信息立法的范本。
这八项原则是:(1)收集限制原则。即个人信息的收集应通过合法与正当的方式,并在一定条件下要经由数据主体的同意或默示;(2)数据质量原则。个人数据应该与它们将要使用的目的和该目的必要的程度相关,个人数据应保持精确、完整与最新状态;(3)列明目的原则。个人数据征集的目的应当在征集之前列明。(4)使用限制原则。个人数据不应该被披露和公开使用,除非在数据主体同意以及法律授权情况下才能公开;(5)安全保护原则。该原则是指“个人资料应采取合理的安全保护措施,以防止资料的丢失、非法接触、毁损、利用、修改和揭露等危险的发生。”[2]。(6)公开原则。数据主体有权了解个人数据的存在与性质、使用目的以及数据控制者的身份与通常住所;(7)个人参与原则。数据主体有权知晓或获得数据控制者是否拥有有关他的数据,数据主体应允许在合理的时间以合理的方式取得有关他自己的数据等;(8)责任原则。“滥用或使用不实的信息主体的信息导致信息主体的权利受损害时,应依法承担法律责任。[3]”数据控制者有责任遵守赋予以上八原则以效力的措施。
对于个人敏感信息征集与处理的特别原则,根据各国的立法来看,有以下方面:
2.1 本人同意原则
各国个人数据保护法中关于个人敏感信息征集与处理的原则中都要求数据主体明确表示同意。如《冰岛有关个人数据的保护法》规定:“数据主体已同意处理”。《奥地利联邦个人数据保护法》则规定“数据所有人明确将数据亲自公布。”一般来说,对于个人敏感信息的征集与处理需要数据主体的明确同意。在数据主体不知情、不同意的情况,不能对个人敏感信息进行征集与处理。
2.2 从数据主体及其代理人处获得个人敏感信息的原则
各国也对征集个人敏感信息的来源作出规定,征集个人敏感信息必须从数据主体自身征集。如《冰岛有关个人数据的保护法》规定:“处理只与数据主体本人已经公布的数据相关。”从他人手里获取个人敏感信息都是不允许的。
2.3 利益衡平原则
对个人敏感信息的征集与处理要考虑到不同利益的平衡,如个人利益与公共利益、本人利益与他人利益的平衡。如《冰岛有关个人数据的保护法》规定:“处理是基于医疗目的或为了实施公共健康领域的常规管理而必须采取的行为,并且该处理应由遵守保密任务之卫生保健系统的人员实施。”“处理是为进行统计或科学研究而必须实施的行为。”《奥地利联邦个人数据保护法》也规定:“在法律服务于一项重要的公共利益的范围内,使用数据的义务或授权是由法律规定的。”数据的使用是“为了第三方的重大利益。”
3 个人敏感信息征集与处理的基本条件
虽然各国原则上规定对个人敏感信息禁止征集与处理,但是它又规定了例外,在符合某些条件时,各国立法又规定可以对个人敏感信息进行征集与处理。
最早规定“个人敏感信息”的欧洲理事会《有关个人数据自动化处理的个人保护协定》中原则上就规定禁止对个人敏感信息进行征集与处理,但是它又规定3种情形下,可以对个人敏感信息进行征集与处理:(1)保护国家安全、公共安全、国家的财政利益或抑制刑事犯罪;(2)保护数据主体或他人的权利和自由;(3)如果明显不存在对数据主体隐私的侵害危险,则可以在与为统计或科研目的而进行的处理。
1995年欧盟《个人数据保护指南》则将个人敏感信息的征集与处理的条件规定更为具体化一些,从而为欧盟各国的立法奠定了坚实基础。在该指南中,它规定了以下7种情形可以对个人敏感信息进行征集与处理:
(1)数据主体明确表示同意处理这些数据;
(2)处理对于管理者在就业法范围内行使其义务和特殊的权利是必要的,但限于就足够的保护措施给予规定的国家法律的授权范围;
(3)如果数据主体在身体或法律上无法表示同意,但是处理对于保护数据主体或其他人的重大利益是必要的;
(4)处理是在基金会、组织或其他非营利性机构出于政治、哲学、宗教或工会目的具有足够保障的活动中进行的,条件是该处理只涉及该机构的成员或与该机构签订有关其目的的例行合同的人,而且未得到数据主体的同意,不得向第三方公开这些数据;
(5)处理所涉及的数据明显是由数据主体所公开的或该处理对于提出、行使或保护合法要求是必要的;
(6)如果出于预防医学、医疗诊断、提供护理和治疗或保健服务管理的目的而提出对数据进行处理的要求;
(7)如果是卫生专业部门在国家法律或国家管理机构制定的法规下,出于其专业保密的义务而进行的数据处理,或是其他人由于同样的保密义务而进行的处理。
其后奥地利《联邦个人数据保护法》规定了13种情形下以个人敏感信息的收集,与欧盟规定相比,它增加了如:在法律服务于一项重要的公共利益的范围内,使用数据的义务或授权的法律规定的;是公共部门的管理员履行其提供的部门间协助义务时实施的;数据的使用仅仅涉及由数据所有人行使的一项公共职务等。其他欧盟国家如比利时、冰岛、丹麦、荷兰、瑞典等国家也都规定了类型的情形。
虽然欧盟各国的规定基本上遵守了欧洲理事会以及欧盟的规定,但是因为国情的不同,也有一些细微的差异。考虑到我国的国情状况,可以适当吸纳欧盟各国的原则规定,又可以根据我国的实际情况对某些规定加以改变,比如说涉及政治、哲学、工会等目的个人敏感信息在我国一般不存在或不被认为是个人敏感信息。
借鉴欧盟及其所属各国的立法,在我国《个人信息保护法》中,可以考虑设置对个人敏感信息的征集与处理的具体条件,在满足以下一种或多种条件下,有关数据征集与处理主体可以个人敏感信息进行征集与处理:
(1)个人敏感信息的主体明确以书面方式授权或同意;
(2)对个人敏感信息的征集与处理是为了数据主体重大的利益或第三方的重大利益;
(3)政府机关根据国家法律法规的规定,对个人敏感信息的征集与处理,但仅限于公务行使的目的与适当的范围;
(4)数据主体已公开的个人敏感信息,但仅以其公开的范围为限;
(5)个人敏感信息的处理是为了在诉讼中提出主张或针对诉讼主张提出抗辩的必需行为;
(6)处理是基本医疗目的或为了公共健康领域的常规管理而必须采取的行为,并且该处理应由遵守保密义务之卫生保健部门的人员实施;
(7)处理是为进行统计或科学研究而必须实施的行为;
(8)其他因法律规定或重大利益考虑而采取的个人敏感信息的征集与处理行为。
4 我国个人信息保护法关于“个人敏感信息”的立法选择
从现有相关个人信息保护法的国家来看,关于个人敏感信息的法律规定有两种类型:一是在立法中对“个人敏感信息”的范围及征集与处理条件作出明确规定,即有关于个人敏感信息的规定,这以欧盟及其所属国家为典型;二是没有区分个人一般信息与个人敏感信息,在立法中只是对个人信息作出规定,立法中没有采用“个人敏感信息”的概念。这在经济发展与合作组织、美国、日本、韩国等国家的个人信息保护法中体现很明显。
为什么在立法中不采用“个人敏感信息”概念?经济合作组织在解释性备忘录中对此进行了说明:“有人可能主张说,列举本质上敏感的数据种类和范畴既是可能的,也是必需的,对此种数据的收集应当受到限制甚或禁止。在欧洲的立法中存在类似的先例(如种族、宗教信仰、犯罪记录),另一方面,也可以认为,任何数据本质上都不是“私人的”或“敏感的”,但是,它们可能在特定的语境下和在被放置到不同的用途中时变成“私人的”或“敏感的”。例如,这种观点反映在美国的隐私立法中。专家团讨论了许多敏感标准,如差别待遇的风险,但是,它并不认为,给那些通常被认为是敏感的数据下定义是可能的,因此,在第七段仅包含一个应当限制个人数据收集的普遍阐述。[4]”
我国《个人信息保护法》已提上立法日程,2003年年初,国务院信息办委托中国社会科学院法学研究所以周汉华研究员为负责人的个人数据保护法研究课题组承担《个人数据保护法》比较研究及草拟一份专家建议稿。经过几年的时间,该专家建议稿已经起草完成。
在《个人信息保护法》专家建议稿中没有对“个人敏感信息”作出规定。该专家组认为,“尽管在我国确实有必要加强对某些敏感个人信息的保护(如传染病人、艾滋病患者),但是,在个人信息保护法中不宜采用敏感个人信息概念。”为什么呢,他们提出了3个方面的理由:“(1)域外立法中的敏感信息概念含义非常广泛,包括了政治权利、宗教信仰、结社自由、健康、性生活与司法公正等许多方面。在我国,由于国情的不同……,如果采用含义广泛的敏感个人信息概念,会导致个人信息保护法与我国宪法和根本政治制度的冲突。(2)对于我国实际生活中各个方面收集个人信息过多,甚至收集直接涉及类似个人健康、医疗信息的问题,完全可以通过单行立法来解决,没有必要一定要在个人信息保护法中规定敏感个人信息》……(3)不采用敏感个人信息概念,在域外立法中也是一种比较常见的选择。[5]”
作者认为,我国既然要制定第一部个人信息保护方面的法律,应当借鉴欧盟及其所属各国的立法模式,对“个人敏感信息”作出规制。
4.1 个人信息中可以通过技术与标准区分为“个人一般信息与个人敏感信息”,对个人敏感信息的范围作出界定是可能的而且是必要的
其可能性在于,从世界上现有个人信息保护的国家来看,实际上对个人敏感信息作出规定的国家数量比没有作出规定的国家在数量上要多得多,而且在影响上也要大。欧盟及其各国对“个人敏感信息”范围作出规定就是基于一定的标准与技术做出来,而且是就目前的认识水平来讲是较为合理的;其必要性在于:个人敏感信息是客观存在的,就连我国起草《个人信息保护法》的专家也都承认,一些信息(如传染病人、艾滋病患者)确实属于个人敏感信息,有特别保护的必要。至于专家组认为域外的个人敏感信息概念过于宽泛,如果吸纳这些观念,可能与我国宪法和根本政治制度相冲突,这个问题可以完全避免,一个国家的国情及性质,不可能要照搬照抄别国的立法,可以根据自己的国情与性质作出特别的规定,范围可以小于也可以大于其他一些国家的规定。从我国当前的立法选择来看,可以考虑结合各国规定的共性方面作出规定。
4.2 现实中对个人信息收集与处理已出现了一些问题,尤其是对个人敏感信息的征集与处理涉及数据主体的隐私与安全,需要针对不同性质的个人信息作出规定
我国到目前为止没有一部相关的个人信息保护方面的完整法律,仅有一些零散的规定,这不利于个人信息尤其是个人敏感信息的保护。有专家建议可以采用单行法的形式对个人敏感信息作出规定,这一方面增加立法成本不说,另一方面也可能涉及对个人信息全面保护的缺乏。既然要制定个人信息保护方面的专门法律,有必要对该法所能涉及的问题,需要规制的问题都有所规定,借鉴其他国家的成熟做法,我们可以制定一个全面的、完整的、可操作性强的个人信息保护法。
4.3 域外立法中采用“个人敏感信息”的规定居多
虽然欧洲理事会《有关个人数据自动化处理的个人保护协定》、欧盟《1995年个人数据保护指南》成为欧盟各国立法的指南与范本,同时“欧盟的规定……成为一个国际问题,也使欧盟之外的其他许多国家在立法中纷纷效仿。[5]”另外,欧盟及其所属各国关于个人信息保护方面的法律制定得比较早,有些国家还做了一些修改,条款内容也逐渐成熟。我国在这方面的立法刚刚起步,为尽快弥补这个缺憾,需要制定一个完善的包括“个人敏感信息”规定的个人信息保护法非常有必要。
4.4 经济全球化的发展以及各国国际合作的加强,一个国家吸纳别国的先进立法成果已成必然趋势
一个国家的发展有快慢先后,立法也经历不同的过程,为更好的促进国际合作,更好履行我国加入的国际条约与协定的义务(比如加入世贸组织承诺的“透明原则”),也需要制定出与各国立法共同性比较接近的相关法律。同时,社会经济的发展,人员、信息等生产要素在全球范围内自由流通,这是一国经济得以高速发展的重要前提,跨境数据流动既是对主权国家的挑战也是机遇[6]。因此,在制定《个人信息保护法》这个问题上,宜将“个人敏感信息”问题作一个较为全面、详细、操作性强的规定,以适应我国经济发展与国际交往的需要。
收稿日期:2010-03-12