个人数据流动法律规制策略研究,本文主要内容关键词为:规制论文,策略论文,法律论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
[中图分类号]DF51[文献标识码]A[文章编号]1003-2797(2008)02-0038-05
1 个人数据流动法律规制现状
个人数据(personal data)在信息经济时代具有非常重要的经济价值与社会价值。个人数据贸易的迅速发展,客观上导致互联网络个人数据泄露事件的频发,零售业、电信、银行、保险业均成为个人数据泄露的重要场所。从2005年2月到2006年3月,超过500万的消费者信用档案被报遗失或失窃[1]。美国《Network World》开展的“2007数据泄露与品牌资产消费者调查”显示,各个行业中零售业是客户信息泄露的重灾区。
为有效规制个人数据自由流动与个人权利保护之间的冲突,许多国家或地区纷纷制定了个人数据保护法。1970年,德国黑森州(Hesse)制定了世界上第一部数据保护法,而同在1970年,美国国会也制订了《公平信用报告法》(Fair Credit Reporting Act,FCRA),并于1971年4月开始实施。《公平信用报告法》创设了允许目的(permissible purpose)的概念,禁止将消费者征信、保险、雇用及其他的消费者个人信息用于非信贷行为。该项法律对规范消费者信用调查/报告机构(Consumer reporting agency)和消费者信用调查报告的使用者起到了重要的作用,成为美国消费者隐私立法的范本。1973年,瑞典制定了世界上第一部国家层面上的《数据保护法》(Data protection law)。1977年和1978年,德国与法国也分别制定了各自的《数据保护法》。迄今为止,域外已经制定个人数据保护法律的国家及地区超过50个,但是,个人数据有序流动问题并未在法律上得到根本解决,尤其是个人数据跨界流动国际协调方面。
国际性机构或组织方面,为实现信息社会个人数据的自由流动,促进多边贸易,推动全球经济的持续增长,世界经济合作与发展组织(OECD)与欧盟制定了专门的法律来规范个人数据自由流动的问题。1981年,OECD制定了《关于隐私保护与个人数据跨界流动的指导方针》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)(简称《指针》)。《指针》在序言中指出,“自动化数据处理的发展使得大量数据瞬间传遍各国,因此有必要考虑与个人数据有关的隐私保护问题。……有一种危险,即各国立法的差异可能会阻碍个人数据的自由流动(free flow)。”同样,基于“要求个人数据能在成员国之间(个人数据)自由流动,而且个人的基本权利应当得到保护”的宗旨,欧洲议会和欧盟理事会于1995年10月24日通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(简称《指令》),以期消除个人数据流动的障碍及保护个人数据的合法使用。
我国在个人数据流动法律规制方面,并没有制定过专门的法律。我国个人数据流动的法律规制从总体上看是分散无序的,一些法律规定分散在不同的法律法规之中。例如公安部发布的《计算机信息网络国际联网安全保护管理办法》第7条规定,“用户的通信自由与通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第18条规定:“用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动。”1999年5月1日施行的《中华人民共和国执业医师法》规定医生不得披露治疗中获得的健康信息,违反的需要追究刑事责任。在银行信用方面,《中华人民共和国商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”《中国工商银行员工行为守则》则规定了员工“严守客户秘密。对于客户提供的信息资料,员工有保密的义务,以维护客户的合法权益。除依法可以提供或客户同意提供的信息外,员工无权擅自披露客户信息。”当前,全球电子商务的迅速发展,客观上要求我国顺应国际趋势,制定符合我国国情的个人数据流动法律。
2 国外个人数据流动法律规制存在的问题
2.1 个人数据涵义的法律规范问题
由于不同国家或地区的法律体系及使用习惯的不同,个人数据的定义也因此存在着差别。1981年1月欧洲理事会在斯特拉斯堡通过的《有关个人数据自动化处理的个人保护协定》将“个人数据”定义为:“与已识别或可识别的个人(数据主体)相关的任何信息。”1995年欧盟《指令》则进一步对个人数据的定义进行细化,指“任何与已经确认的或可以确认的自然人(数据主体)有关的信息;可以确认的自然人是指直接或间接的参考他的识别号码或他所特有的身体、生理、精神、经济、文化和社会识别等众多因素中的一个或几个可以对其进行确认的人。”欧盟的定义为其成员国国内数据保护法对个人数据的定义提供了借鉴作用,奥地利、保加利亚、比利时、丹麦、匈牙利等国对个人数据的定义均同欧盟的定义接近或相同。
冰岛《个人数据保护法》虽然沿用了欧盟的定义,但它又明确地将自然人的范围确定为在世者与去世者。冰岛《个人数据保护法》中的“个人数据”的定义为:“任何与已识别或可识别的自然人相关的信息,即可以直接或间接地追溯到特定的个人(包括在世的和去世的人)的信息。”持相同观点的国家还有加拿大。加拿大采取列举定义法,在加拿大《个人数据保护法》第3条第(m)款明确规定,个人数据包括“死去20年以上的个人信息。”
韩国、日本、中国香港的个人数据法律则仅指在世的个人。例如日本《个人信息保护法》有关个人数据的规定:“指与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分。”日本个人信息保护法律中的个人信息,即指个人数据,其第2条第4款明确地指出,“本法所称的‘个人数据’系指构成个人数据库等的个人信息。”我国香港地区则在个人数据保护法规中的第2条“释义”部分将个人数据定义为:“个人资料(personal data)指符合以下说明的任何资料——(a)直接或间接与一名在世的个人有关的……。”
意大利1996年制定的《数据保护法》将个人数据定义为:“是指与特定的或能够被识别的自然人和法人、团体、协会有关的信息,甚至这种识别是通过参考包括个人身份证号码在内的其他信息而间接完成的。”意大利的定义同欧盟及其成员国国内法的定义相比,显然扩大的个人数据的内涵,将法人、机构、团体、协会都包括在内。
上述各国或地区对“个人数据”的定义不同,直接影响到对“数据主体”概念的理解,以及执法范围的宽窄。究竟是仅将活着的自然人作为“数据主体”,还是包括所有的自然人(在世的与去世的人),抑或是将法人、团体等也包括在内,是法律规制个人数据流动方面首先需要解决的问题。
2.2 敏感个人数据流动惠益分享问题
敏感个人数据的流动是个人数据流动过程中的特殊方面,各国对个人敏感数据的流动都进行了专门的规定,关于“敏感个人数据(sensitive personal data)”的范围,英国《1998年数据保护法》第2条规定范围包括:(1)数据主体所属的种族或民族;(2)其政治观点;(3)其宗教信仰或具有相同性质的其他信仰;(4)其是否为工会的成员;(5)其身体或精神健康的状况;(6)其性生活;(7)其所犯的或被指控的罪行;(8)关于其所犯罪行或被指控的罪行的诉讼,上述诉讼的结果或上述诉讼中法院的判决。对于敏感个人数据的流动,各国通行的法律规定是要求有数据主体的明确同意,或者是为了公共利益目的的流动。
敏感个人数据具有重大的市场价值,因此,敏感个人数据流动惠益分享问题的解决是关键。例如美国前总统克林顿,在他的自传《我的生活》里,主动披露个人私生活,因而书还没写完,出版商就向他支付了1200万美元稿费。但是,敏感个人数据无序的流动,比如媒体对名人、明星、个人政治观点的披露,常常导致侵害当事人的合法权利。美国通用电气公司前董事长兼首席执行官杰克·韦尔奇在离婚官司中,为避免在法庭上公开个人的婚姻生活和通用公司财务细节,被迫向前妻支付1.8亿美元的过失补偿费。
要实现敏感个人数据有序的流动,就必须处理好敏感个人数据流动的利益分配问题。敏感个人数据流动利益格局中涉及到多个利害关系方,包括数据主体、数据收集者、数据处理者、行政机关等等,尤其是涉及到社会公共利益与敏感个人数据控制之间的利益平衡方面,更要引起重视。因而,合理配置敏感个人数据流动带来的收益,是个人数据流动法律规则的重要问题之一。
2.3 个人数据跨境流动国际协调问题
个人数据跨境流动国际协调问题是个人数据流动法律规制的重要部分。对于个人数据跨境流动,欧盟《指令》中的重要规定要求,个人数据不得传入欧盟认为没有提供“充分数据保护”的国家。在“充分性”标准下,许多国家,包括美国及澳大利亚都被认为是没有对个人数据进行充分保护的国家。根据欧盟的“充分性”裁决,阿根廷、加拿大、冰岛、瑞士、根西岛等少数国家或地区符合要求。事实上欧盟的充分性保护标准不利于个人数据的跨境流动,阻碍全球电子商务发展的速度。
为了协调欧盟的充分性保护标准,欧盟内部的国家基本上按照标准制定了本国的个人数据保护法律。欧盟以外的国家,例如美国,则采取了“安全港协议”,即加入该协议的美国企业,被欧盟认定为是对数据提供了“完备保护”的部门。“安全港协议”的通过是美欧在个人数据保护及电子商务方面利益博弈的结果。
美国“9·11”事件以后,以国家安全为主轴的国际反恐主义成为国际社会发展的趋势之一,因而也对个人数据国际性流动产生了重要影响。例如美国要求欧盟签署航空安全条约,使美国安全部门可以审查从欧盟飞往美国的航班乘客的个人数据。双方最终于2004年5月签署了该条约,但是,在欧盟人权组织及其他团体的强大压力下,欧洲法院于2006年5月30日作出判决,认定美欧之间航空安全协议“是建立在违法的基础之上的”,严重侵害个人隐私,因此判定该协议无效。该协议的失败意味着个人数据跨境流动国际协调上的艰难性。
2.4 个人数据流动规制法的效率问题
现行个人数据流动成文法律的执行效果并不理想,不能够解决个人数据流动面临的诸多的挑战。
法国巴黎国际商业委员会(ICC)数据委员会主席Christopher Kuner先生在分析了欧盟95/46/EC、2002/58/EC、2006/24/EC系列数据库保护法规后认为,欧盟个人数据保护标准提高了消费者的信心,促进了电子商务的发展,但95/46/EC指令规则过多,不适宜现代电子商务环境,与国际间的协调也不够,容易引发国际贸易争端[2]。美国芝加哥—肯特法律学院访问教授Edward C.Harris从贸易的角度审视欧盟数据保护指令认为,欧盟数据保护一般指令在隐私保护与个人数据流动之间的平衡作用很不成功,欧盟法院的判例也表明指令在实现个人数据商业使用方面极为失败[3]。
美国印第安纳大学网络安全应用研究中心法律教授Fred H.Cate回顾了1890~2006年美国的隐私法保护历程指出,美国的隐私法同其他多数国家一样,对个人数据的流动反应较慢,并且美国隐私法的复杂性与非一致性,加深了这一问题[4]。
3 我国个人数据流动法律规制策略
3.1 明确个人数据及其流动的法律内涵
由于个人数据定义的差别较大,许多国家个人数据保护法的规范客体也就不同,从而影响个人数据流动法律规制的力度及效果,所以,明确界定个人数据及个人数据流动的法律内涵,是我国个人信息保护立法首先要面对的问题。
关于个人数据的定义,法律界存在着两种较为代表性的概念:一是以隐私权为基础的定义,即以美国Parent教授为代表的学者认为,个人数据系指社会中多数所不愿向外透露者;或是个人极敏感而不愿他人知道者。二是识别型定义,即涉及自然人的身体状况、心理状况、精神状况、家庭状况、经济状况、文化教育状况与社会背景的信息,能够通过直接识别或间接识别出数据主体的信息。我国个人信息保护立法专家建议稿就采用识别型定义。个人信息(个人数据),即指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息[5]。专家建议稿中所采取的定义方法属于列举概括型,与我国台湾地区的个人资料保护法第3条第1款的规定较为相似。我国台湾地区定义的“个人资料(个人数据)指自然人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料。”
我国个人信息保护立法专家建议稿中的定义仔细推敲起来失之过宽,定义中未能明确“特定的个人”究竟是指在世的自然人还是二者(在世的与去世的人)都包括在内;“与其他信息对照”中的“其他信息”是不是属于个人信息的一部分。上述定义的严谨与否将不可避免地影响未来的执法效果。
我们认为,个人数据定义的基本目标,是为了从根本上解决现实中个人数据的收集、处理、传播与利用中产生的一系列问题,从而促进我国电子商务与电子政务的发展。如果将不在世者的个人数据也纳入到规范的内容,则数据主体的明示同意、更正与停止使用请求权、个人信息的获取权等数据主体的权利都无从谈起,只能通过第三方代为行使,将会导致个人数据保护法律关系的复杂化。因此,笔者认为宜将个人数据定义如下,即“个人数据”系指与生存着的自然人有关的信息中,可以利用该信息或者同其他信息组合识别出该特定个人的信息。关于个人数据流动的涵义,即指有关个人数据的收集、处理、传播及利用等个人数据相关的动态的过程。
3.2 尊重个人数据人格权与数据流动惠益分享的前提
个人数据的流动,其重要的前提之一就是人格权的尊重。个人数据是识别个人的重要信息,个人数据并非个人数据保护法的根本目标和价值,法律之所以要保护个人数据,根本原因在于个人数据所体现的精神性人格权益。人格尊严是公民作为人所必须具有的资格,指一个人所应有的最基本的社会地位,并应受到社会和他人的尊重。1948年12月10日联合国大会通过的《世界人权宣言》第12条宣称:“任何人的隐私、家庭、住宅或通信不受任意干涉、其尊严和名誉不受无端攻击。任何人都有权享受法律保护,以免受这种干涉或攻击。”即使个人的职业、职务、政治立场、宗教信仰、文化程度、财产状况、民族、种族等不同,其人格尊严是同等的。因此,我国个人信息保护立法要充分体现尊重个人数据人格权的特征,符合《世界人权宣言》、《经济、社会、文化权利国际公约》、《公民权利和政治权利国际公约》等国际规定。例如德国《数据法》第1条及我国台湾地区1995年出台的《台湾资料法》第1条均规定了这一项原则,即在个人数据的收集、处理、利用的过程中,不得侵犯数据本人的人格权。
实现个人数据有序流动另一重要前提就是如何分享个人数据带来的商业利益。解决数据主体与数据使用者之间利益分享机制,需要以双方的利益平衡为支点。例如对个人基因信息的获取,双方要对个人数据的获取方式、经济利益作出明细规定。特别是对数据主体各种权益的界定、分配和保护政策、商业性使用和转让第三方的权利与利益分配,以及违约侵权的责任和处罚都要明确规定。美国布鲁克林法学院Schwartz教授认为,现代信息与网络技术催生了个人数据的市场化,若使个人数据有序流动并且尊重市场规律,必须从五个方面入手,即包括个人权利的适当限制、强制性披露交易细节的默认条款、个人数据市场参与者的退出机制、市场失灵的补偿机制以及建立起维护个人数据市场和处罚侵犯隐私权的法律执行机构[6]。
3.3 建立直销明示拒绝机制
由于个人数据用于直销(Direct Marketing)是许多公司营销策略的重要途径,例如利用个人电话或电子邮件推销保健品、家俱、教育保险等等,所以许多公司企业选择市场直销作为获取新的客户的重要手段。相对于传统的直销机制而言,利用个人数据来进行目标直销(Target marketing)更为常见,对直销对象产生的负担概率较小,特别是新的公司企业,采用目标直销的方式获取新的客户,能够大大降低进入市场的成本。但是企业的直销策略给消费者或者网络用户带来潜在的侵扰或损害。
在日渐成熟的全球电子商务环境中,明示拒绝(opt-out)机制成为消费者减少伤害或拒绝无理侵扰的重要途径。明示拒绝是指消费者拒绝接受对没有获得其事先同意而单方面地发送的广告邮件或电话等直销方式。美国《请勿打我电话法》(Do-Not-Call-law)在规制商业性推销电话方面显然具有借鉴价值。《请勿打我电话法》能够简单有效,易于操作,其根本原因是建立了行之有效的明示拒绝机制。该法赋予用户明示拒绝的具体条款以及例外条款,例如商家只给已建立的客户打电话进行直销。对于已经在联邦贸易委员会登记的电话号码,商家若没有获得拨打的许可,贸然拨打将会受到11000美元的罚款。美国《请勿打我电话法》颁布后,消费者到美国联邦贸易委员会登记的电话号码超过1亿,此法起到了让公司或企业遵守个人数据合理使用原则的作用。
明示拒绝机制目的旨在防止个人数据被商业滥用,因而我国个人信息保护立法中应明确设立明示拒绝条款,以减少越来越多的目标直销行为给消费者造成的伤害。例如瑞典《个人数据法案》明确规定,“若个人对数据控制者信息处理有异议,则其个人信息就不得用于直销。”
3.4 鼓励试行有约束力的企业规则(BCRs)
有约束力的企业规则(Binding Corporate Rules,BCRs)是指由企业或者企业集团制定的数据处理规则,它能够通过多种多样合法的策略,允许个人数据跨国流动或区域流动。BCRs本质上讲是促进个人数据流动的可操作性的规则,相比欧盟个人数据指令则更加灵活。BCRs能够促进企业集团内部个人数据的自由流动,因而同欧美之间的安全港协议较为相似。为了实现个人数据的自由流动,企业集团内的公司必须绑定在一起,使用统一的个人数据处理标准。有了BCRs,个人数据可以自由地从一个企业流动到另一个企业,不必考虑个人数据所处的国家,而保护的力度一致。BCRs机制同时还具有促使数据主体遵守个人数据保护的作用,BCRs通过赋权给个人,同时也要求企业在全球范围内对个人数据流动进行保护。BCRs代表着数据保护的发展趋势,把适用法律的责任从数据保护机构和个人转移到企业,有约束力的企业规则也创造和维护着企业文化,即尊重数据主体的隐私,提高数据保护法的遵守效率[7]。
目前,德国、英国及奥地利等国均已接受BCRs方案。BCRs是个人数据流动合法性的新动向,既保护了个人数据,又促进了数据的自由流动,受到越来越多的国家关注。我国愈来愈多的企业走向世界,例如海尔、联想、中石油等公司,因而允许并鼓励这些跨国公司制定个人数据流动规则,将有利于规范我国企业的贸易秩序及业务拓展。
3.5 设立独立的个人数据保护机构
独立的个人数据保护机构是个人数据有序流动的保证。欧盟指令序言第65条明确指出:“鉴于在共同体层面应当设立一个涉及个人数据处理时保护个人的工作组,该工作组必须完全独立地行使职权;鉴于其特殊性质,工作组应当向欧盟委员会提出建议,特别是促进依照本指令而通过的国内规定的统一适用。”依据该指令,欧盟成立了“第29条工作委员会”,负责在全欧盟内部对个人数据保护状况进行调查。设立独立的个人数据保护机构的好处之一就是该部门在执行法律时,摆脱了来自于行政机构或企业团体的压力;个人数据保护机构独立的另一好处在于建立全球保护的协调机制,可以作为监督与处理跨国企业全球守法的桥梁。
从全球范围来看,加拿大、阿根廷、新西兰、葡萄牙、澳大利亚、中国香港等国家或地区,均设有独立的个人数据保护机构。例如葡萄牙《个人数据保护法》第21条规定:“1.国家数据保护委员会是在葡萄牙议会授权范围内运行的独立的权力机构。2.不论数据处理适用什么国内法,国家数据保护委员会都应当在全国范围内行使其职权。”上述规定可以看出,国家数据保护委员会对涉及个人数据的处理享有独立的权力,排除了来自司法、政府的干扰。从市场效率上讲,独立的数据保护机构能够减少个人数据违法使用的解决程序,节省公司时间成本与经济成本,有利于国内经济与国际经济的发展,是个人数据流动法律规制重要措施。因此,我国在个人信息保护立法时,应考虑建立专门的个人信息保护法执行机构。