很多国家在录用公务员时注意其品德及“对国家的忠诚”,录用的国家机关有调查的义务。以下介绍德国、美国忠诚调查制度中的一些具体做法,期能供我国有关部门实践以参考。(1)德国的有关实际做法有:为求符合比例原则,立法者首先规定“惟有事实根据足以显示申请人未具备担任公职所应具备的条件时”,始能进行忠诚调查。换言之,拟任公务员机关向情报机关请求提供安全资料一事,不能成为作业流程中例行性的一环。情报机关仅能传递对当事人的宪法忠诚足以构成怀疑,且属法院有利用可能的事实。所传递者仅以过去两年内的事实为限——“对旧账自然、健康与合理的不信任”。所传递者也不得包含申请人未成年时期的资料——“对青年因无知犯错的合理原谅”。(2)美国则根据杜鲁门总统的命令,忠贞案件的审理可分为三级:每一行政机关,得成立一个复核忠贞案件的机构,称之为“忠贞委员会”
(loyaltyboard),由本机关选派三人以上的代表组成。此一委员会的任务,为根据联邦调查局的调查报告,再加复核,以决定联邦调查局的调查结果是否正当确实。在忠贞委员会复核时,当事人有申辩的权利,并有权聘请律师或选定代表,提出有利的证据。忠贞委员会的决定不利于当事人的,当事人得诉之于机关的首长。而机关首长的决定并非最后决定,最后审议忠贞案件的是设于华盛顿的联邦专责机构——忠贞复议委员会。凡不服各机构决定的,均可诉之于忠贞复议委员会,并得延聘律师或代表,提供有利于本人的证据。我们认为,忠诚调查是与西方政体相契合的制度,不能盲目搬抄于我国,但其中一些具体做法是值得我国学习、改造和借鉴的。简单来说,为国家利益而调查公务员的个人生活,须有合理根据、依法定程序并遵守必要范围要求,同时赋予公务员申辩的权利,以达到对其个人资料保护和职业保障的目的。
(二)考绩资料
检索我国有关国家公务员的法律、法规,关于公务员对其考核成绩的查询、异议及更正的权利和程序之规定,只有《国家公务员暂行条例》第25条第2款:“对国家公务员的考核结果应当以书面形式通知本人。本人如果对考核结果有异议,可以按照有关规定申请复核。”我们认为,应该在日后出台的国家公务员法律中明文规定公务员对其考核成绩的查询权、异议权和更正权及行使的条件和程序,并配合“三公”、严明的考核制度,保证公务员的上述权利不受上级长官人为因素的干扰或流于形式。关于公务员考核成绩异议权的行使,是否还包括行政诉讼救济的问题,则有待研究。我们初步认为,为充分利用系统内复核或复议便捷解决的资源优势,避免诉累,应适当限制此处的行政诉讼,但至少有两种情形是应提起行政诉讼的:一是国家机关在考核中有重大过失(如考核官员徇私舞弊、公报私仇的,考核成绩误登、错登的等)致依考核成绩辞退公务员的;二是因考核成绩不实严重影响公务员的工作或待遇并经复核仍未解决的。
(第五节)非国家机关个人资料收集与传输的要件
在收集、传输个人资料一般要件的问题上,非国家机关与国家机关从形式上看并无实质差别,但其内容却由于公私界线而有所不同。国家机关有可能不当行使或滥用公权力而侵犯公民合法权益,非国家机关也有可能在商业利润的驱使下肆意收集、传输个人资料而践踏个人资料权。以下就非国家机关收集、传输个人资料的一般要件逐项探讨。
一、主体合法要件
这是非国家机关收集、传输个人资料的前提条件,即主体适格,指非国家机关在处理个人资料领域具有法律认可的资格或者说已依法成立,经有关主管机关认可登记并持有相关执照。考察各国或地区立法,对非国家机关进入个人资料处理领域的法律认可大体有准则主义与许可主义两种模式。准则主义,也称申报制,是指欲进行个人资料处理的非国家机关向有关主管机关申请,有关主管机关只进行形式审查,便予以登记发给执照的认可方式。这里的执照不是各私法组织成立时取得的营业执照,而是在其目的事业范围内已取得合法资格的非国家机关为进行个人资料处理而专门领取的资格证书。关于主管机关,有的立法规定为专司个人资料保护法实施的监督机关,有的则是各私法行业的中央行政主管机关。前者例如德国“联邦资料保护检察使”领导的监督机构,其职权之一就是专门备置登录簿,由资料处理业者登录其所收集掌握个人资料的情况。经记载于登录簿的资料,任何人均可随时查阅,资料处理业者在必要时也应将登录信息加以公告。又如法国的个人资料保护法第16条规定,关于私的部门个人资料系统的设置,须向“资讯处理与自由全国委员会”申报。
后者如我国台湾,由于没有专门的监督机构,其“法务部”与“中央目的事业主管机关”负责相关工作。根据我国台湾“电脑处理个人资料保护法部分条文修正草案”第19、20、21条的规定,非公务机关须向目的事业主管机关具载明处理个人资料详细事项的申请书,并依法登记获得执照,方可进行个人资料的收集、电脑处理或国际传递及利用;申请登记核准后,非公务机关应将申请书的各事项以适当方式公告。
许可主义,即许可制,是指欲进行个人资料处理的非国家机关向有关主管机关申请,有关主管机关须依法进行资格实质审查才批准登记并发给执照的认可方式。鉴于许可制审查繁琐、国家干预性强、限制营业自由的缺陷明显,与现代准则主义的潮流相冲突,各国或地区一般都很少将其适用于私的部门。我国台湾地区认为,征信业直接以收集、处理和提供他方利用个人资料为主要业务,危害个人资料权的可能性相当大,故此特别行业采用许可制,其他行业实行准则制。
值得注意的是,准则制和许可制在公的部门也有适用的实例。例如,德国法与美国法关于公的部门就采用准则制。在德国,行政机关掌握的资讯系统,以向联邦资料保护检察使申报为原则,护宪局、联邦情报局、军事反制局则免除其申报义务。在美国,所有行政机关设置系统或是变更既存系统时,必须预先向国会与行政管理预算局申报。公的部门采许可制的有挪威法和丹麦法。
在挪威,是由国王或受其委任之内阁或资料监视局(官方监督机关——笔者注)许可,但关于包含有隐私的琐细资料的资料系统可不必许可。在丹麦,中央政府的资讯系统设置,须经由主管部长与财务部长协议后承认,地方政府系统由地方议会承认,并且上述任一情形还须征得资料监督厅(官方监督机关——笔者注)的意见。其实,公的部门无论采准则制还是许可制,都受到一国的统治结构、行政机关与立法机关之力量对比以及中央与地方权力划分等诸多复杂因素的影响。
建议我国非国家机关个人资料处理的法律控制采申报制。因目的事业或业务需进行个人资料处理的非国家机关若已依法成立,则持营业执照及申请书到全国各级个人资料保护法监督部门进行审查登记;新成立的非国家机关先完成成立登记,再持营业执照和申请书进行个人资料处理资格的登记。申请书应记载申报机关的基本信息以及旨在执行个人资料保护法的一切规程和措施,具体事项可参考前述德国及我国台湾的法律规定。鉴于我国尚处于电子商务的起步阶段及审查成本的节省,应以形式审查为原则,涉及敏感个人资料处理则作实质审查。非国家机关提供虚假信息申请登记由此侵害公民资料权的,除承担民事赔偿责任外,轻则责令改正,重则依法注销其资格登记,法定代表人或直接负责人依法承担行政甚至刑事责任;任何个人和组织有权检举揭发,专门监督机关也要实行定期及突击检查,以及时更正或注销登记。
二、特定目的要件
这是个人资料保护法目的明确原则在收集或传输阶段上的直接反映。就非国家机关而言,收集或传输的特定目的因收集主体事业目的繁多而不胜枚举,包括但不限于以下几种:
(一)为其目的事业开展或业务进行而收集或传输个人资料
这是非国家机关依特定目的收集或传输个人资料最普遍的情形。收集情形如学校为学籍管理而对学生资料的收集归档等,又如保险公司为保险业务而对被保险人人身或财产的个人资料收集记录。
传输也是如此。如母公司或者总公司或基于人事调动,或基于经营决策等目的,要求子公司提供其掌握的员工或客户资料。当购买商品,尤其是贵重商品(如手机、电器)时,在商品包装内常附有一张售后服务卡或客户资料登记卡,要求消费者填写一定的个人资料,以供商品制造商存档、更好地开展售后服务。有的还附有调查问卷,收集消费者的兴趣爱好等个人资料。各子公司将这些个人资料传输给总公司以作整理分析,按年龄层次、消费习惯、收入水平等标准分类,为其经营决策、开发新产品提供信息参考。又如由于升学或转学,也会出现转出学校向转入学校传输学生个人资料的情形。还有银行业间、保险业间为调查个人的信用所进行的传输;医院之间为联合诊治或转院诊治所进行的传输病人病患资料等。
(二)在个人资料本人作为当事人的契约或在类似契约关系中为本人权益而收集或传输个人资料
非国家机关与个人资料本人有契约关系的有两种情况:一是个人自愿以契约方式,同意非国家机关对其个人资料进行收集或传输。此为本人对个人资料的自决支配,在不损害公益及他人利益时,法律应予肯定认可和保护。但该契约的生成应符合契约的成立与生效要件,并采书面形式。二是没有书面协议的存在,但由于非国家机关为个人提供服务而存在事实契约关系或类似契约关系。“类似契约关系”,据我国台湾“资料法”施行细则第32条第1款的规定,指以下两种情形之一:(1)非公务机关与当事人于契约成立前,为订定契约或进行交易为目的,所为接触、磋商所形成之信赖关系。例如消费者向旅店预订房间而提供姓名、身份证件号码、通讯方式甚或信用卡号码等。(2)契约因无效、撤销、解除、终止或履行而消灭时,非公务机关与当事人为行使权利、履行义务或确保个人资料完整性之目的所形成之联系关系。这两种情况都是非公务机关为了个人特定权益的满足履行约定义务,在此范围内收集个人资料当属符合特定目的,且符合个人意愿,法律应予认可和保护。
(三)为学术研究而有必要收集或传输个人资料且对本人重大权益无侵害
这种情况旨在便利学术研究。负有学术研究任务的单位从掌握个人资料主体处获得个人资料,也是收集行为。在这种情况下,他方掌握的个人资料对于特定的学术研究是不可或缺的,而耗费大量的费用另行收集、储存显然没有必要,并斟酌学术研究的公共利益重于禁止目的变更所保护的本人权益时,应允许改变原收集目的而用于学术研究。但此时要注意匿名化,以最大限度地减少因此带给个人资料本人的权益损害。如德国资料法第28条第1款第4项规定:
“为储存单位实施学术研究所必要,且依研究计划实施之学术利益显然重于禁止目的变更之当事人利益,而依其他方法不能达成研究目的或需不当耗费始能达成者。”本项也同样适用于历史记录、统计及科研等情形。如欧盟95指令第6条第1款第2项规定:“(各成员国应该规定个人资料必须)是出于特定、明确和合法的目的而进行收集的,所进行的进一步处理不能违反这些目的。如果成员国提供适当的保护,出于历史、统计和科学目的进行的进一步处理不被认为是违反收集目的。”我国在2003年春抗击非典型性肺炎(SARS)的斗争中,各科研机构纷纷针对该病毒研发药品和防治方法,医院应其请求而提供SARS病人的病历及其他相关个人资料,即是符合本项规定的合法传输。医院亦同时负有为本人适当保密的义务,如将病历匿名化。
(四)依法律、法规而进行传输
非国家机关在法律、法规对该传输有明确的授权或认可时,依法传输也是符合特定目的之要求。例如我国《中华人民共和国保险法》第109条规定:
“保险监督管理机构有权检查保险公司的业务状况、财务状况及资金运用状况,有权要求保险公司在规定的期限内提供有关的书面报告和资料。保险公司依法接受监督检查。保险监督管理机构有权查询保险公司在金融机构的存款。”由于保险公司的业务经营资料常会涉及众多投保人、被保险人和受益人的个人资料,此时,保险公司基于此法律、规定传输个人资料,应视为合乎本项规定。
相似的情形还有,《中华人民共和国刑事诉讼法》第45条第1款:“人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。”《中华人民共和国民事诉讼法》第65条第1款:“人民法院有权向有关单位和个人调查取证,有关单位和个人不得拒绝。”以上规定若涉及个人资料传输亦应视为符合特定目的的传输,非国家机关可得为之。
三、书面同意要件该要件的要求与前述国家机关的情形基本相同。需要强调的是,非国家机关收集个人资料尤其要遵守这一要件,以彰显这种民事法律关系的平等和意思自治原则,防止和减少非国家机关为一己私利而侵害本人资料权。例外仅限于已经公开的个人资料,非国家机关可不经本人同意而径行收集。因为合法公开的个人资料已脱离了本人的专属支配,非国家机关一旦获得这种已属于公用领域的信息,就负有保证该个人资料完整正确更新及合法正当处理的义务,故法律允许不经本人同意的例外。所谓已公开的个人资料,据我国台湾“资料法”施行细则第32条第2款的规定,是指不特定的第三人得合法取得或知悉的个人资料。德国资料法第28条第1款第3项规定中的“资料取自一般可得之来源”系指同一事物,即一种在技术上合适且明确,能使大众获得资讯之资讯来源。因此,来自公共电话簿、报刊杂志、广播电台、电视台以及其他可获知的公开出版物、展览会、博览会、公开演讲,甚至向大众开放的官方或各单位的登记簿册、服务业者整理后合法公开的资料,均属此情形。