当事国不得纯为保护隐私权而禁止或限制私人资料的跨国流通;缔约国于本国立法已就特定类型之资料,设有特别规定且其他缔约国无相同程度之保护,或于有规避缔约国资料保护法律之情形时,则可对资料跨国流通加以限制;缔约国须就其国内法制定必要规范,以实现公约所提出之基本资料保护原则。
(二)欧盟95指令
该指令于1995年10月24日由欧洲议会和理事会共同发布。指令正文部分共七章34条,其中第25条涉及TDF问题。指令第25条规定:对于资料向第三国传递的情形,只有当该第三国在个人资料隐私的保护方面达到了足够的保护水平,始能许可个人资料通过运行向该第三国传递。该条第2款规定,保护水平是否充分应当依照围绕整个传送操作过程的条件来评判,尤其应当考虑资料的性质、运行操作的目的和期间、来源国和目的国、一般和特别领域的生效的法治情况,以及该国的执业规则和安全措施等。指令第26条规定了一些例外的情况,主要包括本人同意、出于履行合同的必要、为保护本人利益或公共利益等。
该指令已于1998年10月生效,由于其对TDF进行较为严格的限制,遭到信息大国——美国的强烈反对。这一规定也成为许多国家的电子商务业者在涉足欧洲的电子商务市场时的一大障碍,因此,欧盟也作出一定的变通,除了和美国签订美欧安全港架构协议(TheSafeHarborFramework)外,还于2001年批准一份欧盟居民个人资料传输至非欧盟会员国的电子商务业者契约范本(standardcontractualclauses)。这份契约的主要目的在于保障欧盟居民的个人资料在传输到非欧盟国家时,仍能享有欧盟指令所规定的高标准保障,并且能促进欧盟会员国与其他国家电子商务的健康发展。
从以上几个国际组织的立法来看,除欧盟外,其他的法律文件均未能生效。而欧盟指令虽然在1998年正式生效了,但由于遭到美国的竭力反对,也不得不考虑变通。由此也反映出TDF的复杂性以及各国立场的分歧。
四、美国信息安全港
美国作为全球经济大国,其跨国公司遍及全世界,在客观上要求资料自由流通,否则其经济影响力无法充分体现。同时美国也是信息技术最为发达的国家,其电子商务的发展是世界上最快的,在资料收集、信息处理上具有强大的优势,其在TDF中获益最大,是全球最大的资料进口和信息出口国。在个人资料的保护方面,美国的情况较欧盟要复杂得多,这主要受美国本身复杂的法律体制的影响。美国的个人资料保护可以分为两部分:公共领域的法律保护(thepublicsector)和非公共领域的法律保护(theprivatesector)。前者,主要是防止政府侵犯个人资料隐私权的行为;后者是政府行为之外对个人资料隐私权的保护。美国前总统克林顿于1997年7月批准并公布最新全球电子商务架构报告(AFrameworkforGlobalElectronicCommerce),此一报告内容中关于隐私权部分为:要想让民众能放心在网络上从事商业活动,确保隐私权不被侵犯是重要的;政府当局支持私人企业开发有意义、使用方法简易之保护隐私权自律机制;对于自律机制不能解决部分,政府将与产业合作,共同研商解决之策。由此可见,美国对TDF的监管比较宽松,并没有统一的立法,主要靠行业自律结合信息安全港的方式解决。而政府只在国际上进行协商、草拟协定,制定个人资料保护的最低标准。所谓的信息安全港是指某一特定的在线服务商产业公布产业的网络隐私保护的行为指引,该指引由联邦贸易委员会通过后,即成为安全港,有关的网络服务商只要遵守该指引,就可以被认为是遵守了本条例(儿童在线隐私保护法执行条例)的有关要求。虽然安全港政策最早仅适用于儿童隐私权的保护,但就其发展趋势来看,也应适用于所有个人资料保护的范围。
美国之所以主张对TDF不加严格限制,除了经济跨国发展的要求外,还有意识形态方面的考虑。希望通过其强大的信息优势,将其文化观念、价值标准向全世界传播。经过多年努力,美国文化已成为公认的强势文化,渗透到世界的每一个角落。
不过严格的欧盟指令,却对美国造成相当大的压力。因为,美国正是属于该指令中欠缺完善隐私权保护之第三国。鉴于许多美国机构担心欧盟实施个人数据保护指令可能带来之影响以及不了解欧盟所谓“适当”(adequatelevel)保护标准为何,为利于美商遵循参考,美商务部特建置一套保护隐私之标准与欧盟进行磋商,而商务部次长Aaron并于1998年11月4日发布“国际安全港隐私保护原则(SafeHarborPrivacyPrinciples)”,该原则计有七大项,分别为通知、选择、转送、安全、资料完整、渠道及执行。其所揭示之隐私保护原则与欧盟95指令相似,惟该原则系采由业者自愿加入的方式,业者承诺遵守相关原则进行个人资料管理与接受消费者申诉,作为美国自律模式之规范个人资料处理依据。欧盟指令要求以国家为单位,判定其对个人资料的保护是否符合标准;而信息安全港实际上变成了以企业为单位,逐个企业进行认定。除此之外,两种模式的法律后果也大不相同,欧盟指令要求侵犯隐私权的企业将依照有关隐私权的法律进行惩处;而信息安全港既然不是法律,违反该原则的企业也就不能以所谓“侵犯隐私罪”论处,只能以“商业欺诈”论处,这两者的性质、惩处力度和执行机制都完全不同。美国与欧盟这两大势力不断展开协商,试图找出平衡的方法。经过长达一年半的谈判,终于在2000年3月14日有突破性的进展,提出双方均可接受的建议。这项建议的内涵为,如果美国产业对所谓的“安全港口协议”(safehaboragreement)表示同意,就可以在严格限制隐私权保护的欧洲进行交易,而这项提议亦已于2000年6月获得欧洲议会的通过。美国商务部亦于2000年7月21日公布这一协议。协议仍然包括上述七大原则,内容上则更为明确具体,有以下七项:1通知。企业必须告知资料本人资料收集、使用的目的,投诉的方式,向第三方披露个人资料的类型以及本人选择或限制企业使用、披露个人资料的方法,而且通知必须使用清楚、明确的语言。2选择。资料本人有权决定其资料是否向第三方公开或被用于与收集不同的目的,为实现选择的权利,企业应提供明确、可行的选择机制。对于敏感资料利用,尤其应经过本人肯定、直接授权。3转送。为向第三方披露个人资料,企业必须适用通知、选择原则,否则,当第三方对本人构成侵权时企业不能免责。4安全。企业处理、保有、利用或传播个人资料时必须采取合理的措施以防资料被丢失、滥用、歪曲、毁坏。5资料完整。企业必须采取合理措施保证其使用的个人资料的准确、完整、更新以及与使用目的的关联性。6渠道。本人应获得纠正、修改、删除不实资料的渠道,除非使用这种渠道的成本过高以至于违反比例原则。7执行。包括救济机制、进入安全港的批准原则等。
协议在企业责任、投诉机制以及进入安全港的企业资格方面都比1998年公布的原则有更严格要求,该协议也充分体现了美欧在个人资料保护及电子商务发展方面的斗争与妥协。
五、英国资料法
英国于1984年通过了资料保护法,其中第3、5、12、37、39条的规定涉及TDF,主要内容包括:(1)设立资料登记处为英国国内主管资料保护机关;(2)拟将资料直接或间接移转至英国以外的国家或地区时,应就该地区或国家的名称与有关说明向登记处登记。对于内容(2)有以下情形之一者,发出禁止移转的通知:将资料送往非欧洲公约缔约国;借助一公约国将资料传送至非公约国,且此进一步的传送可能违反或导致违反任一资料保护准则时;(3)在英国境外持有及处理的资料。如资料持有人在英国,则必须受该法拘束(包括英国人为受委托人的情形),本法不适用于在外国处理的资料。
1998年重新修订的资料保护法对上述原则有了更加详细的规定。从英国法的有关规定中可以看出,对TDF的监管主要是控制本国资料向境外传递,并没有涉及对外来资料的控制与监管,并且对资料输出的限制也是比较严格的。
六、德国资料法
德国在1977年通过了《联邦个人资料保护法》(Bundesdatenschutzgesetz1977;BDSG),并于1990年重新修订(Bundesdatenschutzgesetz1990;BDSG),全文44条及一篇附则,其中仅在第17条对公务机关的资料跨国流通作了规定,而对非公务机关及个人的资料跨国流通未设专门条文,只能通过对本法总则的解释来加以规范。相关内容涉及两个方面。
1公务机关的资料跨国流通。(1)许可条件。除非德国与其他国家或国际组织有协定时,依照协定之规定进行,否则应符合以下条件:为执行其主管职务所必需;资料接收者对该资料有正当利益。(2)禁止传递。有理由足认流通将违反德国法律的目的。(3)传递人责任。传递资料的公务机关应对拟传资料进行审查,对传递的合法性负责。
2非公务机关的资料跨国流通的许可条件。(1)基于契约或类似契约之信赖关系的目的范围内;(2)基于资料传输人的正当利益,且不足损害资料本人的重大利益;(3)本人同意。
七、我国香港私隐条例以及台湾“资料法”
香港私隐条例第33条规定,禁止除在指明情况外将个人资料移转至香港以外地方。条例适用于:1其收集、持有、处理或使用是在香港进行的个人资料;或2其收集、持有、处理或使用是由主要业务地点是在香港的人所控制的个人资料。其指明情况大体应当使移转目的地具有与本条例相当程度的立法、为本人利益、公共利益、本人同意等。如违反该条规定,将个人资料移转境外,私隐专员可向有关资料使用人送达书面通知,限期纠正。有关资料使用者可在执行通知送达后14日内,向行政上诉委员会提出上诉反对该通知。台湾地区的“资料法”对TDF问题有以下规定:1公务机关对个人资料之国际传递及利用,应依相关法令为之(其相关法令包括“洗钱防制法”、“组织犯罪防制条例”、“电信法”等)。2非公务机关为国际传递及利用个人资料,有下列情形之一者,“目的事业主管机关”得限制之:(1)涉及重大公共利益者;(2)国际条约或协议有特别规定者;(3)接收国对于个人资料之保护未有完善之法令,致有损害当事人权益之虞者;(4)依迂回方法向第三国传递及利用个人资料规避本法者。
以上基本上是对资料的输出进行一定的规制,而对资料的输入则鲜有限制。在规范的主体上,德国与我国台湾地区有公务机关与非公务机关的划分,而英国和我国香港则没有。除美国以外,各国都以统一立法的形式对资料的跨国流通进行了一定的限制,以达到保护本国公民个人资料不被滥用的目的,相比较而言,英国的限制最为严格。而美国由于其对个人资料保护采分散式立法,对资料跨国流通现象并没有特别规定,仅通过各跨国企业内部的自律性条款来规范个人资料的跨国流通。
以上举例虽然还有不完善之处,但对我们这样一个对个人资料的跨国流通认识还不是很充分的国家,仍有较大的借鉴作用。
综上所述,对于TDF的监管模式,各国及地区政府存在着两种完全不同的政策倾向:一为行业自律取向,一为法律规制取向。两种完全不同的取向,表明了不同国家或地区的政府对于两种利益,即产业利益和个体利益的权衡取舍不同。如果一国或地区政府强调对于产业发展及电子商务的维护,减少政府的直接干预,从而达到充分鼓励和促进产业发展的目的,自然主张行业自律;反之,如果一国或地区政府强调对于个体权利的充分的保护和尊重,同时认为单纯的行业自律不足以实现对于个体权利的目的,自然主张法律规制。立法取向的不同反映了各国及地区文化传统、价值取向的差异。同时,它也是一国或地区电子商务发展水平、信息技术能力在法律上的反映。对信息的技术控制能力越强的国家或地区往往在法律上的监管措施越宽松,反之越严格。究其根源,经济因素仍然是造成这种分歧的最重要、最深层的因素。美国近年来经济强劲,称霸全球,最主要的因素就是以旺盛的技术创新为后盾的“新经济”。
美国政府为避免伤害方兴未艾的新经济,对信息、生物等新技术产业,尽量采取“不干预”甚至优惠扶持的政策。而欧盟各国认为美国政府放纵企业以忽视消费者权利的方式取得竞争优势,对欧盟企业实为不公。而生效的欧盟95指令客观上即含有迫使美方约束本国企业的意向。
(第三节)个人资料跨国流通的基本原则
自从经合组织在1981年首次提出个人资料跨国流通的基本原则——自由流通与法律限制(FreeFlowandLegitimateRestrictions),规定成员国应采取一切适当的措施确保个人资料国际流通的自由,以及对自由流通进行限制的条件以来,就为资料跨国流通确立了基本方向。而legitimate在英文里既有合法、法律的意思,也有合理的意思。从我国的语言习惯来说,笔者个人认为,译为合理限制更能体现出在“自由”与“限制”之间的一种度的平衡。对于资料的跨国流通,存在两种不同的主张。
一、自由流通原则
以美国为代表,主张资料应得以自由地在国与国之间流通。理由在于:一方面,TDF有助于科技、文化的发展,进而对推进经济发展社会进步都具有不可替代的意义;另一方面,资料跨国流通同时也是通讯自由、贸易自由的表现,而通讯自由是各国公认的公民基本权利,贸易自由主义也为多数国家所接受。更有学者认为,隐私权的保障是属于资讯伦理性、实体性的限制,在其所流通的资料有误而威胁个人隐私权时,才宜根据其实体性有害的理由,对之加以规范,而不宜对程序上的流通予以限制。
二、严格限制原则
对于TDF主张限制的国家,主要是信息技术欠发达的发展中国家即资料出口——信息产品进口国。由于受技术上的限制,这些国家在资料收集、处理、利用的能力上远远不及发达国家,而个人资料保护意识的缺位又使其公民的个人资料往往易于为他国掌握。为避免在国家信息主权的实现上受制于人,进而影响其经济、文化主权的有效行使,这些国家自然主张严格限制TDF。
除了技术落后国家外,一些西欧国家由于深受两次大战的残害,对个体权利的保护尤为重视。为避免个人资料权利遭到滥用和文化入侵,也主张对资料跨国流通予以限制。比如法国为保护其传统文化不受美国文化的入侵、影响,曾经一度限制国际互联网在本国的发展。欧盟95指令的限制立场也是显而易见的。
三、我国的应有立场——自由流通下的合理限制原则
我国对资料的跨国流通究竟应持何种立场,不无疑问。从以上两种主张来看都有失偏颇:不加限制,则会对一国的国家权利、个人权利都带来负面影响,极易成为“信息殖民主义”的牺牲品;然而全面防堵的政策更不可行,在信息社会试图阻断信息的自由传播,等于固步自封。对于信息自由传播所带来的种种问题,应通过其他方式加以解决。