(一)电脑处理与非电脑处理的个人资料各国关于个人资料保护的立法,大都限于电脑自动化处理程序,如美国、英国以及大部分的欧洲国家。德国立法例则于1990年之修正案中公务机关部分始将非电脑自动化处理文卷中的个人资料,也列入资料保护的范围。我们认为,电脑技术的出现,使个人资料保护益显重要,但并非只有在电脑出现之后才有保护个人资料的必要性,而且电脑处理的个人资料与非电脑处理的个人资料除了在处理方式上有不同之外,并无本质的差异,所以对电脑处理和非电脑处理的个人资料应当同等保护,而不应以其采用的技术不同而有区别。
(二)敏感性个人资料
我国台湾资料法并未将敏感性个人资料与非敏感性个人资料相区别,等于默认可以依据该“法”对敏感性个人资料的收集和处理,造成个人隐私有受到侵害的危险存在。德国法也没有区分敏感性个人资料和非敏感性个人资料。而欧盟多数成员国对敏感的个人信息实行特殊保护。欧盟95指令第8条规定,严格禁止揭示种族或种族起源、政治观点、宗教或哲学信仰、工会会员资格或有关健康或性生活等的敏感信息收集、利用或传播的行为,并要求各国的个人资料主管机关对这些行为加以严格的监察。鉴于敏感性个人资料的特殊性,应将敏感性个人资料与非敏感性个人资料相区别,原则上禁止处理。对于哪些资料属于敏感性个人资料,各国规定又有所不同。英国资料法规定敏感性个人资料指由资料本人的种族或者人种的起源、政治观点、宗教信仰或者其他类似的信仰、是否工会的成员、身体和精神健康或状态、性生活、犯罪的行为或者任何被指称的犯罪行为等组成的个人资料,关于他已犯的或者被指称的犯罪行为的诉讼,诉讼的处理或者任何法庭作出的在这些诉讼中的判决。奥地利《个人资料保护法》第4条规定“敏感性资料”指涉及自然人的人种或种族的起源、政治观点、工会会员资格、宗教或哲学信仰和健康、性生活的资料。
(三)未成年人个人资料的特别保护
网络的迅速发展,给人们带来了可以充分享用网络资源的机会。网络上的内容可以说是包罗万象,对于网络上的内容,只要是合法的,每一个成年人都有权浏览。然而网络上的内容又是良莠不齐的,特别是对心智发育未健全的未成年人来说,很可能受到网上不健康内容的影响,其个人资料也更容易被收集、不当利用,从而对其造成不良影响。我国上网人数中未成年人占了很大份额,如何对未成年人个人资料进行保护也是一个值得关注的问题。
就多数国家来看,并没有对未成年人个人资料的保护作出特别规定。而美国于1998年10月21日,由国会制定并由总统签署通过《1998儿童在线隐私保护法案》(Children’sOnlinePrivacyProtectionActof1998),其目的在于保护儿童隐私。该法规定凡是有13岁以下儿童访问的网站必须公布有关搜集儿童访问者个人信息的隐私政策,必须安装使用通知孩子的父母并事先征得其同意的系统;否则,每违规一例将被处以11000美元罚款。凡以儿童为对象的网站经营者必须提供关于所有透过网站或线上服务收集儿童个人资料的网站的经营者的姓名、地址、电话号码、电子邮件地址,从儿童收集到的个人资料的类型以及处理个人资料的方式的公告。收集、使用、公开儿童个人资料,必须获得父母可经查证的同意,应提供给父母一个合理的方式,使其有机会检视其子女被收集的个人资料,或拒绝同意其子女的资料被进一步的利用。不得要求儿童公开更多的个人资料,作为其参与游戏、活动、获得奖品的条件。建立和维持合理的程序,以保护儿童个人资料的保密性、安全性、完整性。该部以保护未成年网民个人隐私的法律21日刚生效便遇到了麻烦。迪斯尼公司采纳了FTC的建议,宣布儿童上网登录它的所有网站都必须提供其父母的信用卡号。
迪斯尼公司从去年初开始实施的是通过电子邮件来进行父母认可确认的,但是其发言人最近表示,提供父母信用卡号的方式确认程度最为准确,因而公司决定采用这种方式,并强调在确认过程中不会从信用卡上划走一分钱。但是这个计划一出台,就受到了万事达国际信用卡公司的强烈批评。万事达公司明确表示它不希望自己的信用卡在没有金融交易发生的情况下被用做确认用途,理由是这样做容易引发更多数量的信用卡欺诈案。该公司发言人说:“信用卡从来就不是用来进行年龄确认用途的,再说如果进行零单位交易,电脑系统将会不予以接受。”FTC官员称除了信用卡以外,还建议网站开通免费电话和电子邮件系统供父母们对孩子的上网进行确认。不过这名官员承认所有这些方法都不是最理想的,政府将积极寻求其他更为稳妥安全的技术手段(其中包括电子签名)。这件事情还没有个结果,一个非盈利组织也对隐私法提出了批评,指责这项法律给商业网站的经营活动增加了沉重的负担。该组织在声明中指出:法律不仅在间接地鼓励孩子隐瞒自己的年龄,而且会造成网站经营成本大幅上升。据一名业内专家预计,一个网站要完全做到符合这项法律的规定,仅支付额外雇请的管理登记系统的员工工资一项,每年就必须增加6万到10万美元的经营成本预算。针对这种情况,FTC建议网站开通免费的电话和电子邮件系统供未成年人合法监护人进行确认或积极地寻求其他更为稳妥的安全技术手段,其中包括电子签名。虽然美国的《1998儿童在线隐私保护法案》还有需要完善的地方,还要解决技术上、经济上的问题,但它至少为各国保护儿童个人资料提供了一个可供参考的模式。
未成年人心智发育未健全,其个人资料容易被收集并受到侵害。鉴于未成年人网上个人资料保护的特殊性,确实有必要对其进行专门的保护。但是否应以法律强行介入呢?有意见认为在现阶段网络环境未臻成熟,如果法的强制力于此时介入,惟恐破坏网络自由发展的特性,因此提倡业者自律。但反对完全依赖业者自律的意见认为,自律的强制效果毕竟有限,因商机驱使而建置的不良网站比比皆是,同时有越演越烈的趋势。我们认为,业者自律是远远不够的,对未成年人网上个人资料保护进行法律规范是必要的,也是不可避免的,一个行业的发展不应该以其他人的权利被侵害为代价,而且不考虑对个人资料的保护而获得的繁荣发展,这种繁荣是畸形的,必然也难以长久。
五、主体权利
关于资料本人的权利,各国规定差别不大,基本都规定有以下几项:
(一)控制权。即资料本人对本人个人资料的最终决定权,他人收集、使用这类数据资料必须经过本人的同意,否则即构成侵权。
何为本人的同意?荷兰《个人资料保护法》第1条规定,资料本人的同意是指资料本人同意对与其相关的个人资料处理的自愿的、明确的、正式的真实意思的表达。欧盟95指令第2条规定,本人的同意指本人表达他同意对关于自己的资料进行处理的明示的和暗示的意思。明示和默示是意思表示的两种方式,明示直接明确地表达了本人的意志,而默示是由本人的行为直接表现或推定的意思表示。未采用口头和书面表达方式而从其行为本身能表明其意思表示的形式称为积极默示;完全的沉默,指既无明示也无动作表示。积极默示发生在特定的场合,能根据日常生活中的惯用举止或因当事人的已有默契,根据动作可推知当事人的意思。而消极默示由于当事人完全没有明示的意思表示,也没有动作,所以其意思表示为何应由法律规定。
(二)获取权。即资料本人有权获取他人拥有的本人资料的权利。
资料本人享有从资料使用者处获取自己资料的权利,如我国台湾“资料法”规定当事人享有请求制给复制本的权利。但在法律规定有豁免的情况下,资料本人的这一权利受到限制,他的个人资料使用者依法不向其透露他的个人信息。
(三)知悉权。即资料本人有知悉其个人资料被收集处理的有关事项的权利。
各国一般对本人的知悉权予以确认,但对于本人应得以知悉的具体事项则有差异。
荷兰《个人资料保护法》第33条规定当准备从本人获取个人资料时,责任方应通知本人其资料将被处理的目的、资料的类别、资料获取的环境、资料的使用。第35条规定资料被处理,责任方应向本人提供全面清楚的处理总结、处理目的及目的的诠释、与处理相关的资料类别、资料接收者或资料接收者类别、资料来源方面的有用信息。应本人要求,提供与之相关的资料的自动处理基本理论方面的信息。
德国资料法第19条规定在公务机关处理资料时,本人应可知悉的事项有存储的关于自己的个人资料、资料的来源与接收者和储存的目的。第34条规定在非公务机关和参加竞争的公用企业处理资料时,本人有权知悉存储的关于本人的资料,包括涉及他们的来源和接收者存储的目的,接收传递资料的人。