□高富平 [杏悦娱乐法律學院教授]
□國際組織和各個國家均是在人權或基本權利保護的角度來規範個人數據處理行為以保護個人權益的。
□原則上,不侵犯個人隱私權的個人數據處理均是合法的。解放對數據流通的束縛,促進數據流通的安全與快捷,仍然是國際社會未竟的事業。
□我國需根據國情製定出個人數據保護法,以規範個人數據處理行為,並且在保護個人基本權利與自由的前提下促進個人數據的流通和利用。
自上世紀末涉足電子商務法,個人信息保護問題就成為本人關註的研究領域。時至從事國家社會科學基金重大項目“信息服務與信息交易法律製度研究”,又再一次慎重地開始對該問題進行系統研究。為此,本人組建了一支研究團隊,開始對個人數據保護進行系統的研究。
我們認為,影響當今世界個人數據保護的立法源流主要有三:其一是世界經濟合作與發展組織(OECD),該組織於1980年即發布了《隱私保護和個人數據跨境流通的指南》;其二是歐洲委員會(Council of Eu-rope),於1981年發布了《個人數據自動化處理中的個人保護公約》;其三是歐盟(Euro-pean Union),於1995年發布了《數據保護指令》,試圖統一各成員國有關個人數據保護的規則。截至當前,歐盟委員會發布的《統一數據保護條例》當屬國際社會有關個人數據保護最新最全面的法律文件了。
通過本項研究,我們初步得出以下結論:
人權保護意義上理解個人數據保護
在這方面,作為歐洲個人數據保護立法源流的歐洲委員會的《108公約》 即是定位於保護個人尊嚴和保護基本人權和基本自由(尤其是為了保護隱私),還強調必須與其他人權和基本自由(包括表達自由)相協調。相較於歐洲偏好使用“個人數據”一詞,美國則通常使用“隱私”(privacy)一詞。美國法上的“隱私”的涵義非常廣泛,其立法將隱私保護納入到侵權法的救濟體系中,旨在保護個人的獨處權、個性、尊嚴和自治、親密關系以及對個人信息的控製等。其所使用的Privacy的內涵遠大於我們理解的具體人格權意義上的隱私權。美國法上的隱私權實質承載著保障私生活領域內的個人尊嚴、人格自由的使命,具有人權法或憲法的淵源。由此,盡管有些國家並沒有美國的隱私或隱私權概念或者各國對隱私的理解不一致,但是在保護基本人權與自由的共同理念下,就會形成共同普遍的個人數據保護原則並被各國所接受進而內化為各國的國內立法。因此,我們必須在人權保護意義上理解個人數據保護的立法目的和宗旨。
個人數據保護未被上升為權利
在美國個人數據保護或者信息隱私保護向來是以侵權救濟的形式存在的,即使歐洲也沒有將個人數據保護抽象為個人信息(數據)權,將之塑造成為個人支配個人信息的權利。這主要體現於,無論是作為源頭的《108公約》,還是具體的法律文本(從具有指導意義的《數據保護指令》到直接具有法律約束力的《統一數據保護條例》)均采取“基本原則+具體行為規範”的立法例。基本原則是個人數據保護的基本規範,而具體的行為規範則是基本原則的落實。雖然這些法律文本在具體行為規範中賦予了數據主體(個人)一定的權利,但是個人並沒有因此取得可以排他控製其個人信息的權利。2012年修訂版的《108公約》第8條規定的“數據主體權利”僅僅是從消極的角度規定,而並沒有賦予數據主體以事先同意處理個人數據的權利。無論是依據1995年的《數據保護指令》還是2016年的《統一數據保護條例》,歐盟法律並沒有將數據主體的同意作為個人數據處理合法性的唯一條件,實際上它只是條件之一。OECD《指南》的基本原則也只是要求在“情形允許時應經數據主體知曉或同意”,這就說明並非在任何情形下、針對任何個人數據的處理都必須要事先征詢數據主體(個人)的同意。原則上,不侵犯個人隱私權的個人數據處理均是合法的。這些法律更強調個人數據處理的透明,強調控製者各種義務的履行,確保個人可以知曉其數據被處理的情形並在必要時拒絕處理; 同時還強調政府的數據保護監管部門應對數據處理行為進行監督,以確保個人數據保護的法律規則得到貫徹和實施。
基本目的是促進個人數據自由流通
國際社會的個人數據保護立法文件普遍包含兩個立法目的,一方面要保護個人隱私或個人權利,另一方面要保護個人數據正當使用和自由流通,促進數據的自由流通就是這些立法的基本目的之一。而在OECD《指南》中最能夠看出這一立法目的的體現。OECD《指南》全稱《隱私保護和個人數據跨境流通的指南》,其標題旗幟鮮明地將個人數據的跨境流通作為其基本目的之一,同時還在具體條文中提醒各成員國應當在限製個人數據跨境流通方面保持克製態度,以在能夠提供充分的安全保障措施的前提下實現個人數據的跨境流通。1981年發布《108公約》時歐洲委員會明確指出“承認存在協調尊重隱私與保障信息自由流通兩者的基本價值的需要”,而在2012年修訂時則明確為:“承認有必要在全球範圍提升尊重隱私和保護個人數據的基本價值,由此利於信息的自由流通”。而歐盟先後頒布的指令、條例的全稱中均包括個人數據的自由流通(指令的全稱為《有關個人數據處理中的個人保護和所涉數據自由流通的第95/46/EC/號指令》,條例的全稱為 《歐盟議會和歐盟理事會關於規範個人數據處理中個人保護和所涉數據的自由流通,取代第95/46/EC/號指令》)。由此可見,促進個人數據的自由流通一直是個人數據保護立法的重要目的之一,但是由於國際社會強調保護個人權利與自由的聲浪過高,所以促進自由流通的目的就常常被忽視。在大數據時代,數據流通成為社會發展的普遍需求,人們忽然發現過去的一些法律規則不合時宜,一些正確的立法原則在實踐中反而被細化為妨礙數據流通的規則。因此,解放對數據流通的束縛,促進數據流通的安全與快捷,仍然是國際社會未竟的事業。
保護個人隱私不受侵犯是國家義務
通過翻譯和整理國際個人數據保護權威文獻我們還發現,各個國家尤其是歐盟成員國對於數據處理中個人權利的保護並不是通過賦予個人以私權利,然後通過個人主動維權來實現的。換言之,它並非主要依賴私權體系(相應的司法救濟)來實現對個人隱私的保護。從《數據保護指令》到《統一數據保護條例》,歐盟一直努力建立“行業行為準則+法律強製性規範”的雙重規範體系和“數據控製者自律+政府數據監管機構的監督管理”的雙重管理體系,以監督數據保護相關法律的貫徹和實施。尤其是《統一數據保護條例》,新增了數據保護的系統保護和默認保護機製、數據控製者和數據處理者在個人數據處理中的安全保障義務、數據處理對個人數據保護影響的評估義務、事先征詢數據監管機構的意見、數據保護認證等製度措施,以通過一系列“技術+製度”的雙重保障措施實現對個人隱私和權利的保護;同時條例還要求從歐盟到各成員國均要建立獨立的監管機構,建立數據主體向監管機構投訴和監管機構受理、處理投訴的一整套完備的行政救濟製度框架。
受到傳統文化和法製重建等因素的影響,我國的隱私長期被置於名譽權範疇中加以保護,其內涵相當窄,僅指個人不願意公開的個人生活信息,而包含人格尊嚴、自由等內容的一般人格權保護主要還停留在理論上,還未發展出完備的法律規則和司法保護體系。憲法對公民權利與民法對個人人格權利的保護之間還未形成無縫隙的銜接機製。我國2003年即已經提出要製定個人數據保護法,但至今仍未有實質進展。而在此期間,考慮到我國個人數據保護形勢十分嚴峻,我國立法機關還是零星地發布了一些法律,其中最有影響的體現在2009年《中華人民共和國刑法修正案(七)》增設了“非法獲取公民個人信息罪”,2012年12月28日全國人大常委會發布的《關於加強網絡信息保護的決定》(雖然具有一般規定的性質,但因采決定形式,其法律效力並不明確),2013年10月25日修正後的《消費者權益保護法》增加了對消費者個人信息保護的內容。我國雖然缺少個人數據保護基本法,但是《決定》及其相關法律、規章和司法解釋,基本上采納國際社會有關個人數據保護的基本原則和規範,但在理解上存在偏差,有權利化趨勢,比如多將數據主體的同意作為個人數據處理或利用的前提條件。同時由於立法位階和銜接問題,也因為法律過於嚴苛或不合時宜,法律執行存在嚴重問題,個人數據收集和使用存在許多亂象,非法使用或盜賣個人數據的問題十分嚴重,這不僅侵犯了個人隱私,甚至可能危害到公民的人身安全。因此,我國亟待正本清源,在正確理解國外立法基本規則和趨勢的基礎上,根據我國國情製定出我國的個人數據保護法,以規範個人數據處理行為,並且在保護個人基本權利與自由的前提下促進個人數據的流通和利用。
(來源於《上海法治報》,2017年2月15日)
