个人资料的利用应受目的明确原则的严格限制,但基于个人资料对本人的重要性,因而有必要对其课以更为严格、明确的规制,方能彰显法律对一般人格权的保护,体现社会对基本人权的尊重。科技的发展,给人类增添了许多新的利用个人资料的方式,个人资料计算机比对就是较为常见的一种个人资料利用行为,对其进行特别的规制是现代社会的需要。若个人资料的利用是基于商用目的,在当事人间发生费用给付,就会出现一种以个人资料为标的的交易类型。在经济利益的驱动下,不排除某些人借以谋利,肆意处分他人的个人资料,侵害本人合法权益。法律对个人资料交易进行规范刻不容缓,这关系到现代社会人们能否安心参与社会活动,不至于终日害怕自己的资料及行为暴露于社会,也关系到社会的稳定与发展。
(第一节)个人资料利用概述
个人资料处理主体由于在各个阶段从事不同的行为,因而在传输中称为传输人,在利用中称为利用人。个人资料利用人按其性质的不同,又可分为国家机关利用人和非国家机关利用人。本节对国内个人资料的利用作探讨。
一、个人资料利用的概念
(一)概念
我国台湾“资料法”第3条第5款规定:“利用:指公务机关或非公务机关将其掌握之个人数据文件为内部使用或提供当事人以外之第三人。”这一定义容易与传输混淆。个人资料利用人将个人资料为内部使用,固然可称为利用,而将个人资料提供给第三人,既可是利用行为也可是传输行为。即该定义把传输的部分内涵纳入了利用,但利用并非个人资料处理阶段,而传输又是处理的重要环节。因此,该定义不妥,未能将利用与传输作明确区分。我们认为,个人资料利用是指个人资料的利用人对个人资料的使用或公开披露。使用一般指利用人为达其一定目的,将经合法收集的个人资料,经一定处理或未予处理,而为内部或对外之使用。例如,医院对病人的以往病史与现实病况进行分析,有时甚至要对病人的饮食习惯和生活作息习惯进行分析,从而制定出适合病人的医疗方案;又如,公安机关对所掌握的嫌疑人个人资料进行分析、排查,以达到尽快侦破案件的目的。公开披露,是指利用人为达其预先目的,将掌握的资料以各种方式使公众得以知悉的行为。例如,司法机关对通缉犯个人资料的公开披露;网络服务提供商将个人资料在网站上进行展示等。
(二)利用与收集
收集是整个个人资料处理过程的首要步骤,也是利用的前提。对于掌握人来说,其在收集个人资料之前应有特定目的,该目的抽象来说就是利用,或为即时利用,或为将来利用。因此,利用既是收集的动因,又是收集的必然结果。
(三)利用与处理
欧盟95指令在其第一章中规定,个人资料处理是指对个人资料所作的任何操作或一组操作,操作可以通过自动或非自动的方式进行,如收集、记录、组织、存储、改编或更改、检索、咨询、使用或通过传输进行公开以及传播或使其能够被使用、排列或组合、封锁、删除或破坏。荷兰《个人资料保护法》
第1条第2款规定,个人资料处理,是指涉及个人资料的任何一种行为或一系列行为,包括任何情况下的个人资料的收集、记录、比较、存储、修订、修改、恢复、查询、使用、传输和其他形式的公布或公开,以及资料的组合、播放、删除和破坏。由此可知,以上两立法例均将利用列为个人资料处理阶段之一。美国隐私权法不使用处理的概念,而使用“保持”,依该法规定,保持是指保存、收集、使用或传播。该法也把利用与保存、收集等典型的处理阶段并列,从而可推知该法亦认为利用应与收集等共处于同一上位概念之下。但德国资料法则将利用视为处理阶段之外的另一独立行为。依该法第3条第6款规定:利用,指使用个人资料而与处理无关者。本书亦认为利用应与处理相互区分。因为处理一般不使个人资料与外界发生接触,因而处理之结果相对于利用而言,对本人权益的损害相对较小;而利用则使个人资料与外界接触的机会大大增加,往往对本人产生更大的影响,对本人权益的损害会更大。正基于此,法律对处理和利用制定了不同的行为规则,对二者的例外情形也有不同的要求。我国台湾学者许文义先生在其专着中,对处理与利用的区分作了详细的论述:单纯地指出资料记录于某一特定之资料档案中,尚非所谓利用;但是,从某一资料档案中摘录出一部分之个人资料或复制其内容,虽其行为并无显示资料处理结果的内容,仍被认为是利用行为,因为此种表达方式是不必要的。
在对某当事人甲实施问话的程序中,只使用甲已储存的个人资料(不涉及甲以外第三人之资料),来比对其有关身份特征的回答资料时,由于只是一种技术上的机械化处理过程,符合德国资料法第1条第3款第1项的“中间储存”之规定,不属于利用行为。但在使用人工的浏览卡片索引或在目录中搜寻,甚至在荧幕上阅览,则不只从事此一行为之人,而且所有参与之人均可能因此而获悉其中所记载的资料,因此,属于利用行为。此外,许多处理行为,例如使资料不复辨识但未达全然消除之行为,由于不符合德国个人资料保护法关于处理之定义,所以属于利用行为;更具体之利用行为有:使用资料与本人通讯之行为,将资料放置于自己所有“随时准备供截取”系统中,而无储存之行为者,拷贝、制作资料摘要,处理单位自行运用其处理所获得之个人资料的结果,告知本人与将资料转交给受委任之处理者及处理后之归还。
(四)利用与传输
传输一般会涉及两个主体:个人资料处理人(在传输阶段为传输人)和接收人。利用一般只是个人资料处理人(在利用阶段为利用人)的行为。个人资料传输的目的从接收人角度来说通常是为了对个人资料加以利用,个人资料利用是目的,传输是手段,当接收人接受传输后,成为新的个人资料处理人。从原处理人的角度来说,由于传输是处理的一个环节,利用与处理是相互区分的,因此传输与利用也应相互区分。利用人利用资料,其方式是多种多样的,某些方式的外观与传输相同,但不应把这些方式当做传输行为。传输也会使接收人知悉个人资料,但传输是传输人与接收人间的移转个人资料的行为,是点对点的关系;利用中的公开披露则是利用人对不特定的公众展示个人资料,是点对面的关系。例如,某些交友网站将所收集的个人资料在网站页面上公开,让网友知悉并据以选择交友对象,网站的目的是为了提高浏览量和增加会员数,最终达到广告商的青睐和风险投资商的融资之目的。我们认为,传输与利用区别的关键在于:前者是个人资料的跨系统的移转行为,是双方行为;后者多是个人资料在系统内的运用行为,多为单方行为。例如,将现行个人资料与其他已储存或新输入资料相互联结行为,属资料利用行为。在处理人内部的资料示知、或为管理目的之资料传送或资料处理系统的保养、或经常以某种方式为资料的内部公告、或复印或有目的阅览、或资料比对等,均不是传输而属利用。
二、个人资料利用之现状
目前,个人资料被不当利用已成为不争之事实。报纸、新闻网站等媒体近年来时常报道,某某高考落榜生同时收到多所民办高校的录取通知书,经调查是有关人员将成绩数据库的成绩连同考生的个人资料透露出去,以谋取不当利益。又如,许多学校将学生每次考试的成绩及排名张榜公布,虽其目的是为了表彰先进警示后进,并无恶意,但此种个人资料利用行为常会伤害一些学生的人格自尊,特别是成绩差的学生会产生一种强烈的自卑感,他们是不愿被人知悉其成绩的。再如,当消费者填写了一份某种商品的保修单之后,其他无数种商品的宣传广告、订购单就会纷至沓来。显然,消费者的个人资料(姓名、地址等)此时已经被泄露并被移作他用。网络环境下,个人资料的利用将更加简便和频繁。如,商品经营者利用个人电子信箱发送广告;利用Cookies软件收集个人上网资料加以利用等。
当然,基于公益或其他法律许可的目的,个人资料也有被正当利用之情形。例如,2003年春,北京SARS疫情严重,有关机关迅速利用GIS(地理信息系统)技术研制“非典网络地理信息系统”,把“非典”的各类数据以图形化的方式展示出来,并配有相关的疫情走势图、动态图。利用疫区的个人资料,如将本人的姓名、住址、性别、身份证号码等与该本人的活动进行联结,从而达到监控该地区所有人员的目的,有效地把握与SARS病人(包括疑似病人)密切接触者的分布情况,一旦发现病例,可迅速组织隔离,防止疫情的扩散。
2003年5月8日《南方周末》法治版刊载了一篇报道:《建行贿人资料库供招标方遏腐败——宁波检察院悄砸行贿商饭碗》。宁波市北仑区检察院率先建立建筑行业的行贿人员“黑名单”,被收集进资料库的行贿人有三类:1因行贿罪被判刑的行贿人;2虽未判刑,但行贿数额巨大(一般在5万元以上);3检察机关已掌握其行贿事实,但本人未主动交代,或拒不承认的。考虑到社会影响和涉及司法秘密,收集的方式是对行贿人保密的。据记者调查,北仑区检察院使用资料库的方式大致有以下几种:1提供“诚信咨询”。招标单位事先咨询某些投标人是否存在行贿污点,检察院将审查结果反馈,由招标单位自行决定;2对长期与该院合作的国家机关或特大型国企提供部分行贿人名单;3为反贪、法纪等有关部门的侦查行为提供必要的资料帮助。这种做法迅速在宁波市的检察系统推广,并将范围扩大到医药行业和政府采购领域的行贿人资料。本来检察机关为了预防犯罪在其权限和司法工作范围内收集、利用个人资料应为允许,但问题在于其扩大了资料的利用范围,向社会提供了个人资料服务。此种司法机关无法律依据而凭借公权力介入私法秩序的做法,本身就值得商榷。可见,该报道已反映出个人资料的规范利用并无明确的法律依据,建立我国的个人资料保护法律制度已刻不容缓。
三、个人资料利用的法律要件
个人资料之利用对本人权益关系重大,除要遵守目的明确原则外,还应符合若干法定要件;若涉及重大公益或特殊情形方可为目的外之利用。此处借鉴我国台湾“资料法”,探讨个人资料利用的法律要件。
(一)国家机关个人资料利用的法律要件
我国台湾“资料法”第8条前款规定:“公务机关对个人资料之利用,应于法令职掌必要范围内为之,并与收集之特定目的相符。”故依该条之规定,国家机关利用个人资料须具备两项法律要件,即“于法令职掌必要范围内”和“与收集之特定目的相符”。关于前项已于第五章中讨论,在此不再赘述,后一项要件就是目的明确原则的体现,相关论述可参看本书第三章内容。
(二)国家机关个人资料为目的外利用之要件
我国台湾“资料法”第8条规定:“公务机关对个人资料之利用,应于法令职掌必要范围内为之,并与收集之特定目的相符。但有下列情形之一者,得为特定目的外之利用:1法令明文规定者。2有正当理由而仅供内部使用者。
3为维护公共安全者。4为增进公共利益者。5为免除当事人之生命、身体、自由或财产上之急迫危险者。6为防止他人权益之重大危害而有必要者。
7为学术研究而有必要且无害于当事人之重大利益者。8有利于当事人权益者。9当事人书面同意者。”
(三)非国家机关个人资料利用的法律要件
非国家机关对个人资料的利用,应在收集之特定目的必要范围内为之。此为目的明确原则的体现,也是非国家机关个人资料利用的法律要件。
(四)非国家机关对个人资料为目的外利用之要件我国台湾“资料法”第23条规定:“非公务机关对个人资料之利用,应于收集之特定目的必要范围内为之。但有下列情形之一者,得为特定目的外之利用:1为增进公共利益者。2为免除当事人之生命、身体、自由或财产上之急迫危险者。3为防止他人权益之重大危害而有必要者。4当事人书面同意者。”
(五)国外个人资料利用的除外与限制条款简介
欧盟95指令第13条规定:“1当这些限制构成对以下内容进行保护的必要措施时,各成员国可以采取立法措施以限制第6条第1款、第10条、第11条第1款、第12条和第21条所规定的义务和权利的范围:(1)国家安全;(2)防御;(3)公共安全;(4)对刑事犯罪或违反所规定的职业道德的防范、调查、侦查和诉讼;(5)成员国或欧盟重要的经济或金融利益,包括货币、预算和税务事宜;(6)在(3)、(4)、(5)所述情况下,官方机构行使有关的监督、检查和管理职能;(7)对数据主体或其他人的权利和自由的保护。2应该采取足够的合法保护措施,特别是当资料不是利用对任何特定个人所采取的措施和决定时,在不含对资料主体的隐私产生侵犯的情况下,当资料处理的目的只是为了科学研究,或在建立统计所必需的期限内以个人形式予以保留时,各成员国可以通过立法措施限制第12条所规定的权利。”
荷兰《个人资料保护法》第43条规定,“当资料处理为下列利益之一时,责任方可以不受本法第9条、第13条第3款、第33、34、35条的限制:1为国家安全;2为防止、查明、追捕刑事犯罪;3为国家或其他公共机构的重要经济、金融利益;4为监督以本条2、3规定之利益为目的而进行资料处理的合法性;5为保护资料主体或其他人的权利和自由。”
德国资料法第14条第2款规定:“限于以下情形,始得为其他目的而储存、变更或利用:1法规明文或以此为必要条件者。2当事人自愿。3显然有利于当事人,且无理由足以认定当事人如知悉其他目的将拒绝自愿者。4有事实足以认定当事人资料有不正确之虞,必须予以检查者。5自一般可得之来源获得之资料或储存单位已公开之资料,但当事人之禁止变更目的显然享有值得保护之重大利益者,不在此限。6为防止公益之重大不利或公共安全之直接危害所必要者。7为追诉犯罪或违反秩序之行为、刑法第11条第1款第8项之处分或少年法院之感化处分教养方法或执行罚金所必要者。8为防止重大侵害他人权利所必要者。9为实施学术研究所必要,且依其他方法不能达成研究目的或需不当耗费始能达成者。”
以上是某些欧洲国家的立法例。这些国家对个人资料的利用有严格的限制,一般情况下非符合法定要件不得利用个人资料。但是,在涉及重大公益或他人重大权益且又为必要的前提下,个人资料处理主体可对个人资料为目的外利用,以平衡社会利益与个人利益。
四、网络上利用个人资料的行为规范