瑞典早在1973年就制定了《资料法》,该法规定建立瑞典资料监督局,未经该局批准,任何人不得非法保有他人的个人资料,并对有关资料的收集、利用和保管等方面进行了规范。随着电脑技术的迅速发展,网络的普及,各种侵犯个人资料案件的发生,人们对个人资料保护认识逐步提高,加上经济合作与发展组织1980年《关于隐私保护与个人资料跨国流通的指针》提出了个人资料保护的八大原则,各国开始纷纷制定法律对个人资料进行保护。据统计,目前已有近二十个国家或地区制定了个人资料保护方面的法律。欧洲许多国家都已制定了个人资料保护法。法国于1978年通过了《资料处理、档案与自由法案》,规定收集和处理、使用个人资料,不得损害个人资料主体的人格和身份以及私生活;规定资料库必须公布其收集资料的授权、目的和种类等。还有挪威1978年《个人资料登录法》,芬兰1978年《资料保护法》,奥地利1978年《个人资料保护法》,德国1977年《联邦资料保护法》,荷兰1988年《资料保护法》,英国1984年《资料保护法》,葡萄牙1991年《资料保护法》,爱尔兰1988年《资料保护法》,比利时1992年《资料保护法》,冰岛1981年《有关个人资料处理法》。自欧盟1995年个人资料保护指令出台以后,欧盟会员国又纷纷按照该指令对个人资料保护法进行了修订。已依欧盟指令制定的标准及完成配合立法的国家,有比利时、英国、希腊、意大利、芬兰、葡萄牙、瑞典、奥地利等国。我国台湾于1995年公布了“电脑处理个人资料保护法”,香港的《个人资料(私隐)条例》也于1996年生效。另外还有些国家没有专门的个人资料保护法,但有相关的法律对个人资料进行保护,如美国1974年《隐私权法》、1970年《公平信用报告法》对个人资料保护均有相关规定。个人资料保护法具有国际性的特点,学习和研究各国各地区的立法对我国将来要制定的个人资料保护法无疑是有益的。
(第一节)全球个人资料保护的立法概况
一、经济合作与发展组织
经济合作与发展组织(OrganizationforEconomicCooperationandDevelopment,简称OECD),早于1974年即成立一个关于跨国流通暨隐私权保护专家组,研究有关资料跨国流通的保护问题,分别于1977年及1980年举行相关议题研讨会。1980年9月23日,经济合作与发展组织理事会通过了《关于隐私保护与个人资料跨国流通的指针》(OECDRecommendationoftheCouncilConcerningGuidelinesGoverningtheProtectionofPrivacyandTransborderFlowsofPersonalData),该指针共分五章22条,分别为第一章(第1条至第6条):
总则、特定用语的定义与适用范围,指出个人资料是指任何关于一个被识别或可以被识别的自然人(本人)的信息;第二章(第7条至第14条)国内适用的基本原则,规定了个人资料的八大原则;第三章(第15条至第18条)国际间适用之基本原则——自由流通与法律限制,规定成员国应采取一切适当的措施确保个人资料国际流通的自由以及对自由流通进行限制的条件;第四章(第19条)国内实施,规定为确保前二章原则在各国内的实施,成员国应该通过制定国内法、建立机构等方式来保护关于个人资料的隐私和个人自由;第五章(第20条至第22条)国际合作,规定国际互相合作。其中第二章规定国内个人资料保护之八大原则:
1限制收集原则。应对个人资料的收集加以限制,收集任何资料都应该用合法的、公正的手段,必要时,应得到本人的同意或告知本人(第7条)。
2资料完整正确原则。个人资料应当和被使用的目的有关联,应该是准确的、完整的和时新的(第8条)。
3特定目的原则。个人资料在收集时,目的应该是特定的,在其后的利用也不得与最初收集的目的相抵触,在目的变更时也应该是特定的(第9条)。
4限制利用原则。除非本人同意,或者法律另有规定,个人资料不应被泄露,被他人取得或被以特定目的外的目的利用(第10条)。
5安全保护原则。个人资料应该以合理的安全措施保护,防止资料有遗失、不法之接触、破坏、使用、修改或者泄露的危险(第11条)。
6公开原则。应有关于个人资料的发展、运用和政策的一般公开政策。
确定个人资料的存在和属性、利用的主要目的和资料控制者的身份、住所的方法应该是易得的(第12条)。
7个人参与原则。本人对他人持有自己的资料有如下权利:(1)从资料控制者(datacontroller)处知道资料控制者是否保有关于自己的资料;(2)在合理期间内、在有必要时以不是过度的费用、以合理的方式、以自己了解的形式知悉有关自己的资料;(3)在根据以上(1)、(2)要求获得卷宗而被拒绝时,提出异议;(4)对有关于自己的资料提出异议并被认为是合理时,对资料进行删除、修改、完善或者补正(第13条)。
8责任原则。资料控制者应对遵守以上原则负责(第14条)。
该建议对国际间适用之基本原则、自由流通及其合法限制规定如下:
1成员国应该考虑其他成员国国内的个人资料的处理和再输出的适用(第15条)。
2成员国应该采取一切适当的措施保证跨国个人资料流通(包括经过一成员国的传输)不被打断及其安全(第16条)。
3一个成员国应该制止对本国与另一成员国跨国个人资料流通的限制,但在另一成员国并未实质性地遵守这些指针或者前述资料所移送的国家并没有隐私权保护法的情形,则不在此限。一个成员国也可以因为本国的隐私权法考虑到这些资料的自然属性而作出的对某些种类的个人资料进行限制的特别规定,或者由于其他成员国没有对这些资料提供相当的保护而作出限制(第17条)。
4成员国应避免制定以保护隐私和个人自由为名义的,可能产生对跨国资料流通障碍,而创设超出保护需求的法律、政策和惯例(第18条)。
该指针与下述欧洲保护个人自动化处理公约不同,对经济合作开发组织成员国并无法律上拘束力,且范围不限于经自动化处理的个人资料,还包括部分以人工处理的个人资料。时至今日,该指针内容或因科技发展而有不合时宜之处,或因其本身架构松散使然,原先规定的诸多原则,不尽能全部落实。例如建议所定之目的明确原则,即可能因科技的进步,使得现时使用者已非原始的资料收集者,而且由于没有详细规定谁来执行立法旨意,该目的明确原则便无法落实。
但该建议确立了国内个人资料保护的八大原则,并确立了资料国际自由流通的方向,已成为当今世界各国相关立法的重要参考。
二、欧洲议会
欧洲议会(TheCouncilofEurope)成立于1949年5月5日,目前有成员国40多个,总部设在法国斯特拉斯堡。其设立宗旨是保护和加强多元民主及人权,寻求解决社会重大问题的办法,促进实现欧洲文化的同一性。欧洲议会向来努力提倡资料保护,对个人隐私甚为关注。经过长期研究,部长委员会于1981年制定《有关个人资料自动化处理个人保护公约》(ConventionfortheProtectionofIndividualswithRegardtoAutomaticProcessingofPersonalData),该公约分为七章27条,并于1999年对该公约进行了修改。值得注意的是该公约所指个人资料之范围,可包括法人资料。公约的主要内容为:
(一)适用范围:该公约适用于在公共的和私人的部门中自动化处理的个人资料档案和自动化处理的个人资料(第3条)。
(二)个人资料保护的基本原则:1资料品质原则。进行自动化处理的个人资料应是:(1)被公正合法地取得和处理;(2)基于特定的合法的目的保有并不得以与这些目的相违背的方式利用;(3)充足的、相关的,不超出保有的目的;(4)准确的,并且在需要时保持最新状态;(5)不超过资料保有的目的所需要的时间,以允许资料本人辨认的方式保护(第5条)。2资料安全原则。应采取适当的安全措施保护存在自动资料档案中的个人资料,防止未授权的破坏、意外丢失和未授权的接近、改动和散播(第7条)。3本人权利原则。公约规定任何人有权利确认自动化个人资料档案的存在、它的主要目的、该档案控制者的身份、经常居住地、主要营业地;在合理的时间内,不用过度花费,以一种可理解的方式获知有关自己的个人资料是否被存在自动化的资料档案及有关他的资料的文件中;对资料的进行修改或删除和享有获得救济的权利(第8条)。4对个人资料限制之例外。对公约上述处理个人资料的限制的排除只有在依据签约国法律规定,并且是为了如下利益提供了必要的措施时才被允许:(1)保护国家安全、公共安全、国家的金融利益、镇压犯罪;(2)保护本人的或者其他人的权利和自由(第9条)。5责任原则。各国应该建立适当的对违反内国法的行为进行制裁和救济的制度(第10条)。
(三)资料跨国流通:一方不得仅为保护隐私,禁止个人资料的跨国流通。
除非在该方的法律对特殊种类的个人资料、自动化个人资料档案有特别保护的规定,或传递会违反该国的法律(第12条)。
该公约具有国际法上的约束力,签约国负有就其国内法采取必要之措施,以履行公约上所规定之法律义务。
三、联合国
联合国于1990年12月4日召开联合国大会通过了《关于自动资料档案中个人资料的指南》(GuidlinesConcerningComputerizedPersonalDataFiles),依据该准则规定,关于自动资料档案中个人资料规定适用程序之主动权,交由各会员国自行决定,但规定了各国立法所应确保实行的最低之基本原则:
1合法、合理原则
应以合法、合理的方式收集、处理个人资料,不得与联合国宪章的目的和原则相违背。
2准确性原则
负责资料编辑和保存的人有义务对记载的资料的准确性和相关性进行定期检查,以保证它完整、无缺漏,并且保证它们是最新的。
3特定目的原则
档案的存储和使用应该有特定的、合法的目的。
4本人参与原则
任何提供个人身份证明的人都有权利知悉有关自己的信息是否正在被处理,有权利以合法途径及时取得该信息而无须付费,有权进行对非法的、不必要的或者不准确的资料进行适当的修改、删除。
5不得歧视原则
除了第6条原则规定的严格的例外外,有可能引起不法的、武断的歧视的资料,包括关于种族和人种起源、肤色、性生活、政治观点、宗教、哲学和其他的信仰及作为一个协会或者工会的会员的信息,都不应被编辑。
6例外规定
本条是对原则1~4的例外规定只有在有必要保护国家安全、公众的需求、公共安全和道德及他人的权利和自由,特别是那些正被迫害的人的权利和自由(人道主义条款)的情况,假如这些例外被明确地规定在已公布的法律或者相当的规则中,这些法律和规则是符合内国的明确规定了他们的限制和提供合理的保护的法律体系的。
对原则5关于禁止歧视的例外,还有对原则1和4的保护的例外只有在世界人权法案和其他相关的保护人权和禁止歧视的文件中明确规定有限制时才能适用。
7安全原则
应当采取适当的措施来保证档案免受自然的危险,比如意外的毁损,还有人为的危险,比如不经授权的进入、欺骗性的错误使用数据、计算机病毒的侵害。
8监督与处罚
各国法律应当任命一个符合内国法的机构,该机构有责任对上述各项原则的遵守进行监督。该机构应该为公平、负责处理和创建资料的人员及代理的独立性和技术上的能力提供保证。在有违反内国为执行上述原则而指定的法律的情况发生时,可以采用刑事的或其他制裁方式和采用适当的私力救济。
9跨国资料传输
当两个或者更多的国家关于跨国资料传输的立法提供了类似的对个人隐私、信息的保护时,资料应当像在各个相关的领土内那样自由地传输。除非在保护隐私需要时,如果没有互惠的保护,不应该采取不适当的对传输的限制。
10适用范围
现行的原则应当首先被适用于所有公共的和私人的经电脑处理的档案,通过可选择的范围和对根据适当地调整,也适用于手工的文件。特别的规定,也是可选择的,可以制定来扩大所有的或者部分的关于法人的资料的原则,特别是当这些法人包括了一些关于个人的信息。
四、欧盟
欧盟1995年通过了关于个人资料处理及自由流通个人保护指令(Directive95/46/ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheProtectionofIndividualswithRegardtotheProcessingofPersonalDataandontheFreeMovementofSuchData)。规定为了保证个人资料在欧洲共同体内的自由流通,成员国必须保证自然人在个人资料处理过程中的权利和自由,特别是他们的隐私权。为了使各国对于通信行业个人资料处理中基本权利和自由所进行的保护,并保证资料和电信设备及服务能够在欧共体自由流通,于1997年通过了《电信行业数据保护指令》(DirectiveConcerningProcessingPersonalDataandProtectionofPrivacyinTelecommunicationSector),2002年又通过了新的《电信行业数据保护指令》取代了1997年的指令。该指令针对电信业发展迅速和电信技术不断更新的情况,为个人信息隐私在电信领域内的保护提出了一个统一的标准。《电信行业数据保护指令》是对欧盟95指令作出的详细说明和补充,以下仅就欧盟95指令的主要内容进行介绍。
(一)指令的目的。保护个人资料处理中自然人的基本权利和自由,特别是他们的隐私权(前言)。
(二)适用范围。全部或部分适用于通过自动方法对个人资料进行的处理,以及通过非自动方法对构成编档系统或打算构成编档系统的个人资料的处理(第3条)。
(三)本人的权利。本人享有以下权利:1访问权。不受每隔一段合理时间的约束,无需过度的延迟及费用,获知是否对自己资料进行处理的确认。在资料处理不符合指令的规定时,要求适当地更改、删除(第12条)。2拒绝权。拒绝对与其相关的数据进行处理,拒绝管理者参与的,出于直接营销目的而对与其相关的数据进行处理(第14条)。3自主决策权。如果某些决策会对本人产生法律影响或造成其他重要影响,如果这些决策仅以打算对某些涉及其个人的信息,如他的工作表现、信用度、可靠性、行为等作出评价的资料处理为基础,本人有权不服从这些决定,而在采取适当的措施能保护他的合法利益时,本人也可以同意这些决定(第15条)。4获得救济权。本人由于非法处理操作和任何违反根据该指示所采取的国家的行为而遭受损害时,有权向管理者要求赔偿(第23条)。
(四)管理者的义务。1公平合法地处理资料,须出于特定、明确、合法的目的进行收集,所进行的进一步处理不能违反这些目的,并确保个人资料的精确,如果必要还必须不断更新(第6条)。2必须采取适当的技术和组织措施以保护个人资料免受意外或非法的破坏或意外丢失、更改,进行未被授权的公开或访问(第17条)。3在进行全部或部分自动化处理操作或为了单一或几个相关目的而进行的整套操作之前,必须通知监督机关(第18条)。
(五)跨国资料流通。各会员国应规定,只有当第三国确保能够提供充足的保护(anadequatelevelofprotection),才能向第三国转让正在处理或转让后将要被处理的个人资料(第25条)。同时又规定,各会员国可以许可向不能确保提供足够保护措施的第三国进行资料转让,条件是管理者提出对个人隐私和基本权利及自由和行使相关权利的保护措施(第26条)。
(六)监督机关和工作组。每个会员国应该规定一个或多个机关以负责监督在其领土内根据该指令所采取的规定的应用情况(第28条),并建立具有顾问性质的对个人资料处理中的个人予以保护的工作组(第29条)。
五、英国