另外,德国资料法注意到最高额限制不能完全弥补个人资料本人受到的损害的情况,特别规定了行政侵权行为的“一般赔偿责任”。该法第7条规定:
“依其他规定,赔偿义务人应负责之范围超过本条规定或应负其他损害赔偿责任的,该其他规定不受影响。”该条所谓的“其他规定”主要指国家赔偿法和民法(公务机关或公务机关工作人员职务侵权)的规定。依照上述规定,个人资料本人有权利依照国家赔偿法和民法的规定要求公务机关承担超过25万马克的赔偿。这使得本人在个人资料权利损害额超过25万马克的情况下,有了进一步主张权利的机会,更有利于保护个人资料本人。但是,个人资料本人主张一般损害赔偿责任的,应该负举证责任,证明公务机关在资料处理上的过错。也就是说,与个人资料保护法损害赔偿责任不同的是,依照一般损害赔偿责任的规定,公务机关对其致害承担过错责任。
(第三节)各国和地区个人资料保护法比较研究
一、立法模式
从立法模式上可将各国和地区立法分为两种形式:一种是以美国为代表的分散式立法,另一种则是德国、英国及多数欧洲国家采用的统一立法。美国的分散式是指对不同领域中的个人资料分别立法。其中,最重要的领域划分是公共领域和非公共领域。公共领域的立法主要是防止政府侵犯个人信息隐私权的行为;非公共领域的立法则是政府行为之外对信息隐私权的保护。在规制政府行为的公共保护领域,除了联邦宪法外,比较重要的是两部联邦立法即《信息自由法》和《隐私法》。除此之外,其他防止政府行为对信息隐私权侵犯的联邦法案还有1994年的《司机隐私保护法》(Driver’sPrivacyProtectionAct)。
这些法案对个人资料的保护十分有限,适用的范围仅限于某一机构的某种资料,而且只是规范资料的传播和公布,对于资料的收集、存储、利用没有规定。在不涉及政府行为的非公共领域内,个人资料的法律保护主要来自联邦法案和普通法中的侵权救济。在这一领域内,同样有很多联邦法案,不过这些法规都是专注于经济生活的某一方面或某一具体的行业,试图解决其中具体的隐私权问题。这种“目标途径”(targetedapproach)导致了分散的、不一致的法律保护状态。这些联邦法规主要集中于四个领域内。1970年《公平信用报告法》(FairCreditReportingAct)、1978年《电子基金转移法》(ElectronicFundsTransferAct)和1996年《消费者信用报告改革法》(ConsumerCreditReportingReformAct)规定了个人财务资料的保护。1984年《有线通信隐私政策法》(CableCommunicationPrivacyPolicyAct)、1986年《电子通信隐私法》(ElectronicCommunicationPrivacyAct)、1988年《录影带隐私保护法》
(VideoPrivacyProtectionAct)和1996年《电信法》(TelecommunicationAct)保护的是个人涉及电信领域活动和录影带出租时的资料保护。《平等就业机会法》(EqualEmploymentOpportunityAct)对雇员在工作地点留下的个人资料提供了少量的保护。1974年《家庭教育权和隐私法》(FamilyEducationRightsandPrivacyAct)对学生的教育档案中的个人资料提供了比较广泛的保护。以上的联邦法规只是局限于各自的行业或领域内,而且对个人资料保护的范围、标准也不尽相同,因此出现了个人资料保护的“条块分割”状况。综合来看,美国由于其独特的法律体系,使得资料保护显得格外错综复杂。宪法、联邦法规、判例法各有各的保护方式,各有各的侧重点,个人资料的保护呈现的最明显的特征就是“条块分割”(sectoralpatchwork)。不同类的资料由不同的法律管辖,不同机构涉及个人信息的行为也由不同法律管辖,这种“支离破碎”的模式要较欧盟的“综合”模式在法律保护的充分性上相对弱一些。而德国、英国等国家则规定了统一的个人资料保护法,适用于各个领域的不同种类的资料保护,并设有一个资料保护机关,负责有关资料保护事宜。相比之下,美国无法由一个统一的立法对个人资料保护进行调整,势必造成不同机构适用的法律不相同,对个人资料提供的保护标准各不相同,而且也不能形成一个对个人资料保护进行监督的统一的机构。有鉴于我国法律的一贯传统,我们主张我国应该采用统一式立法。这并不排斥对特殊的领域个人资料另行制定法律进行调整。
二、规制方式
在美国资料被认为是自由市场机制中的因素,政府不应干预过多。美国采取自律的立场是对电子商务政策使然。由于美国是信息产品输出大国,为便于民间企业有效地掌握住此一契机,创造迥异于过去工业革命时代的新经济,因此采取自由经济市场的政策方针,政府在电子商务中退缩为仅负责维持市场的公平竞争,并且尽量避免法律规范遏止经济成长,因此有关网络上交易秩序等问题,政府主张应交由业者自律。1995年,克林顿政府的信息基础结构工作组下属的隐私工作组发表了题为《个人隐私和国家信息基础结构:提供和使用个人信息的原则》的报告。该报告举出了很多的例子建议政府采取非管制手段来保护信息隐私,如合同模式、加强信息相关方的教育或发生争议进行磋商调解等。同年,美国国家电信与信息管理局发布了《个人隐私与国家信息基础结构》的白皮书。白皮书建议在企业和消费者之间达成相关的契约,来规定双方在信息收集、储存、利用和传播等方面的权利义务。1996年底美国政府发布《全球电子商务框架》充分体现了美国政府鼓励自律的立场。该报告揭示了以下基本原则:1私人企业应居于领导地位。网际网络应该发展为自由市场导向而非由法律规范的产业,同时政府应该鼓励业者自律。2政府不应该对电子商业作不必要的限制。消费者可以在政府介入范围最小的情形下,在网络上自由买卖商品或索取服务,对于经由网络发生的商业活动,政府应避免制定任何新的法律规则、官僚程序以及税捐课征加以限制。3政府参与之目的在于支持及实施一个可预测的、最小化的、持续性的以及简单的商业法律环境。对于电子商务的发展政府虽然有介入的必要,但是其所扮演的角色应该是在确保网际网络成为一个公平竞争环境,保护智慧财产权,防止网路上有仿冒或诈欺行为的发生,并促进争议解决,提供争议解决方案,但不要用硬性规定的方式以图达到以上目的。4政府应该肯认网际网络的独特性质。爆炸性的成功有一部分可以归功于它向外分散的性质,没有中央主管机关,以及由下而上的管理方式,因此,现存的法律及规则将阻碍电子商业的发展,政府应重新审视及修改以适应电子时代的需要。5网际网络电子商务的推动应以全球为基础。
因为网际网络是全球性的市场,不论买方或卖方住在世界的任何地点,网际网络上支持商业交易的法律构架应该是一直且可预测的,如此才能增加消费者上网从事商务的信心。
和美国相反,欧盟主张个人资料的保护应该以统一立法的方式进行。欧盟提出“Noprivacy,notrade”的看法,对于个人资料的保护非常重视。欧盟各会员国应该按照欧盟95指令的标准去制定个人资料保护法,而且该指令第25条要求各会员国应规定,只有当第三国确保能够提供充足的保护时,才能向第三国转让正在处理或转让后将要被处理的个人资料。由于美国在资料保护上采取的是自律的态度,并没有像大多数欧洲国家有类似资料保护法的制度设计,也没有资料监督机关,因此基于该指令第25条的规定,无异于拒绝了美国收集欧盟市场消费者资料。双方就该冲突进行了多次沟通,终于于2000年7月27日,欧盟正式同意了美国商业部提出的“国际安全港隐私权原则(InternationalSafeHarborPrivacyPrinciples)”,该安全港原则旨在达到欧盟所规定的适当性个人资料保护程度,使合乎标准的公司或组织在传输资料时不受阻断。安全港原则提出了七项原则:资料收集人的告知义务、资料当事人的选择权、安全设备、资料的完整与正确、资料当事人的修改与删除权利、资料当事人的资料接近权和本原则的强制执行方式。美国公司可自愿加入该原则,一经加入即可收集欧盟会员国消费者资料。
自律能否达到个人资料保护的目的,一直是个有争议的问题,起码这种保护力度是不够的。因为每一个收集、处理个人资料的主体由于自身利益的关系,难以保证能够绝对的自我约束,而不损害资料本人的利益。所以,制定法律,进行他律才是个人资料保护的最终道路。从美国和欧盟的妥协来看,美国企业接受了安全港原则,实际上也就接受了欧盟的指令。2000年,美国联邦贸委会也表达了放弃对网络自我管理机制的支持的观点,并呼吁立法机构保护用户的隐私。美国贸易委员会发布了一篇长达200页的报告,对网上用户隐私侵犯问题作了阐述,并建议国会采纳保护用户网上隐私的建议。贸委会援引只有20个站点保护消费者隐私的事实,指出网络产业所号称的自我管制机制起不到任何作用。贸委会主席RobertPitofsky在一次声明中表示,贸委会的大部分成员发现单独通过自我管制而不通过法律制约,是不可能为在线用户提供他们所需要的保护。贸委会的报告指出,Internet产业无法贯彻贸委会所颁布的四条信息公平操作的原则,根据联邦代理处的统计数字,只有20%的网络公司和42%的大型站点遵循这些协议。
我国在个人资料跨国流通中面临着比美国更严重的问题。我国至今还没有一部专门的个人资料保护法或条例,我国应走他律——立法的道路,同时并不排斥自律。尤其是在我国尚未有相关立法的今天,鼓励自律其意义自不待言。
另外,在制定个人资料保护法律以后,也可以通过自律来对个人资料进行更高标准的保护。我国信息产业部于2002年制定的《中国互联网行业自律公约》
倡议互联网全行业从业者加入本公约并要求公约成员自觉维护消费者的合法权益,保守用户信息秘密;不利用用户提供的信息从事任何与向用户作出的承诺无关的活动,不利用技术或其他优势侵犯消费者或用户的合法权益。由中国互联网协会负责组织实施该公约,负责向公约成员单位传递互联网行业管理的法规、政策及行业自律信息,及时向政府主管部门反映成员单位的意愿和要求,维护成员单位的正当利益,组织实施互联网行业自律,并对成员单位遵守本公约的情况进行督促检查。该公约对于建立我国互联网行业自律,保护消费者的个人资料起了积极的作用,但是由于仅限于互联网行业,其作用也是有限的。
三、资料主体
(一)法人
多数国家资料保护法立法,其对象仅限于与自然人有关的资料,而不及于法人资料。但仍有奥地利、丹麦、挪威、冰岛、卢森堡等国法律将法人的资料列入保护范围。如奥地利《关于个人资料保护的联邦法案》第4条规定“资料本人”是指控制者以外的,其资料被处理的任何自然人或法人或自然人的集合。相应地,学术上也存在两种相对立的观点:一为肯定说,该说认为资料保护应扩及法人,其理由有:1保障营业竞争的公平。认为对法人的档案若不予以一般人格权的保护,则将造成一个公司易于获得其营业竞争对手所拥有的资料,引起商业上的不公平。2保护自然人的资料。认为法人所持有的资料最终仍属与自然人有关的资料,所以保护法人也就是保护自然人。二为否定说。该说认为资料保护不应扩及法人,其理由有:1性质不同。认为一般人格权是自然人应有的合法权利。自然人个别一般人格权之需要与法人的一般人格权,两者存在性质上的不同。2已有保护规定认为现行有关的商事法律已有保护资料的规定足以保障法人的利益。3对商业秘密造成危害。有关法人一般人格的规定,意味着企业应开放其资料,因为一个法人若欲使其一般人格获得法律保护,必将其营业资料标的向主观机关申报,制成档案,以供查证,而在检验这些资料正确与否的托辞下,企业即可透过此种表面上被人认为是属于合法化的工业间谍活动模式,获得潜在性的竞争利益。4获得资料管道变小。有关法人之个别的资料若纳入法律管制,可能使得本来可以获取很多资料的公开管道变得狭小,事实上,这类资料一般被认为属于合法且公共利益之领域范围,本可透过公开管道获得,若一旦受到法律“保护”,反而将造成获取不易的情形。5造成不必要的支出。为了保护自然人或法人的一般人格权,法律必须规定一个机关所持有的档案资料,应如何设立以达到保护机密的程序,而此“程序”可能要耗费大量金钱。
我们认为以上两种学说中以否定说更为可取。因为首先,资料保护的基础是隐私权或一般人格权,而法人不能具有这两项权利。其次,法人资料的价值和功能与自然人不同,法人资料和个人资料应该由不同的法律分别保护。法人资料应由民法和反不正当竞争法分别就商业秘密、技术诀窍以及商业信誉进行保护。再次,法人欲使其资料获得资料保护法的保护,其必须同意将法人信息(商业秘密)记录为资料,制作为档案并向主管机关申报,这样做反而不利于保护法人商业秘密。最后,将法人列入资料保护主体,可能导致法人的商业竞争对手假借行使个人资料权之名,行收集商业秘密之实,导致政府在保护成本上无谓的浪费。
(二)死者
英国资料法第1条规定个人资料是指和一个活着的人有关的资料。我国台湾“电脑处理个人资料保护法施行细则”第2条规定,个人是指生存之特定或得特定之自然人。个人资料保护法只保护活着的人,而不保护已死亡的人,其理由是个人资料保护的是自然人的一般人格权,而自然人死亡时其民事权利能力终止,死者没有民事主体资格,自然不存在人格权。我们认为自然人死后遗留的个人资料仍应受到保护。对死者遗留个人资料保护的一方面是为了保护正常的社会秩序和尊重善良风俗;另一方面是保护死者遗留个人资料涉及的人。
欧洲理事会在1992年《理事会资料保护条例》的修改建议中规定:“个人资料是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是指有关个人的,不论是活着的人还是死去的人,并且只要这个人或这些人可以识别。”(三)外国自然人
个人资料保护法是否应对外国自然人提供保护?欧盟95指令将外国人包括在保护范围之中,并将外国人适用于本国法与否视为是否符合指令所谓的“适当程度”之一。考虑到网络无国界的特色,因此外国人的个人资料也应当得到法律的保护。但是,将外国自然人的个人资料进行保护,并不意味着外国自然人是资料保护法上的资料本人。对外国自然人的保护应规定于涉外条款中,实施同等保护。
四、适用范围