非国家机关TDF以其目的不同又可分为管理目的、交易目的(以个人资料为交易标的)、履行契约目的三种形态。以实现内部管理为目的的TDF主要是跨国公司内部员工个人资料的流通,子公司、分公司或分支机构通常要向母公司提供员工的个人资料,比如性别、年龄、国籍、工作特长、薪金、健康状况等,以利于公司总部掌握分散于全球的员工的基本情况,制定相应的人事制度,更好地实现其跨国管理。以交易为目的的TDF主要指提供有偿信息服务的情况。如数据库经营者将经过一定处理的个人资料有偿提供给使用者使用,当这种服务贸易跨越国境时,我们称之为以交易为目的的资料跨国流通。而以履行契约为目的的TDF,比如开展国际旅行业务的旅行社组团到国外旅游观光,就需要事先将旅客的有关资料传往目的地接待团,涉及的个人资料通常包括旅客的性别、年龄、健康状况、有无特别嗜好等,便于接待团安排旅客的行程及食宿等,均是出于履行契约的需要。
规范以商业利用为目的而进行的个人资料的收集与利用,我国已经有地方性法规在这方面作尝试,如《上海市消费者权益保护条例》第29条规定:经营者提供商品或者服务时,不得要求消费者提供与消费无关的个人信息;除法律、法规另有规定外,经营者未经消费者本人同意,不得以任何理由将消费者的个人信息向第三人披露;前两款所称的个人信息,包括消费者的姓名、性别、职业、学历、联系方式、婚姻状况、收入和财产状况、指纹、血型、病史等与消费者个人及其家庭密切相关的信息。
上述规定虽然仅涉及消费领域,也可看做个人资料保护立法的有益尝试。
另外,我国《计算机信息网络国际联网管理暂行规定实施办法》第20条规定:
“互联单位、接入单位和用户应当遵守国家有关法律、行政法规,严格执行国家安全保密制度;不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安和淫秽等有害信息;发现有害信息应当及时向有关主管部门报告,并采取有效措施,不得使其扩散。”
该条可作为对于个人资料跨国流通的一般性规定,无论公法上的流通还是私法上的流通都应遵守本条规定。而对于非国家机关的TDF,我国法律尚未有明确统一的规定,目前仅有一些零散的规定散见于各行政法规。比如《电信条例》第57、58条,《计算机信息网络国际联网管理暂行规定》第13条等。
由于以上所提到的TDF对个人信息自决权带来的种种负面影响,我们应实行一定的监管措施。
(二)法律监管措施
首先,要完善相关立法。
在个人资料保护及信息立法方面,我国不仅比西方发达国家落后几十年,也落后于我国香港、台湾地区。我国的电子商务发展水平,虽然尚不能和美国等发达国家相比,但发展速度仍是惊人的,而资料跨国流通引发的问题也将随着电子商务的国际化发展逐渐凸现。美国电子商务的发达,与其立法的高度前瞻性是分不开的,因此,我们应未雨绸缪,尽快制定相关法律。那么,是单独立法还是在制定个人资料保护法时将其囊括其中,是一个颇值得考虑的问题。
就目前的立法环境而言,单独立法的时机尚未成熟,可就个人资料的跨国流通问题在个人资料保护法中作出相应规定。当然必须清醒地认识到,鉴于网络技术易变性的特点,根据国际经验,我们的立法应保持“技术中立”,允许多种技术并行发展,并保持法律的灵活性与适应性;鉴于信息之于信息社会的重要作用,应充分保证信息的自由流动和传播。因此我们认为,非国家机关将个人资料传往国外应符合以下条件:1遵守国际条约或我国与其他国家签订的协定;2个人资料流通目的地应对个人资料有与我国相当的法律保护;3不得为规避法律而向第三国传递;4资料本人书面同意或在获取书面同意不切实际时,有理由相信本人会予以同意;5不违反法律规定及社会公共利益。
对于第1款规定,目前我国尚未加入有关个人资料保护的国际条约,但从我国已签署加入的国际条约或协定来看,有一些涉及隐私权、信息自决权的规定(如《公民权利和政治权利国际公约》第19条),在向外传输个人资料时对有关规定应予遵守。为切实保护我国公民个人资料在国际互联网上不被歪曲滥用,第2款规定是十分必要的。如为规避法律而以迂回方式向第三国传递,一旦发现,应立即停止。对第2、3两款规定举例说明如下:我国与甲国签订了有关保护个人资料的协定,而与乙国、丙国均没有签订(也不同时是某一国际公约的成员国),根据乙国法律,对个人资料保护的程度与我国相当,保护范围包括敏感资料与琐细资料;丙国法律仅对敏感资料予以保护。如欲将个人资料通过甲国传往乙国,或直接传往乙国,都符合以上条款的规定。而欲将资料通过甲国传往丙国,则构成规避法律,即违反第3款规定;而直接传往丙国,就违反了第2款规定,应予禁止。关于第4款,本人同意即表示其认为所涉资料无害于自己的人格利益,即使有害,也表示其放弃该利益。个人资料保护法属于私法范畴,原则上允许意思自治,例外情况下,国家主管机关仍可限制其意思自治。如其拟公开的个人资料有伤风化,违背社会公德等。第5款为一兜底条款,有两个功能,其一使个人资料保护法具有开放性和灵活性,便于适应经济发展而增加对个人资料跨国流通的合理限制;其二,限制第1、2、3、4四个条款,使个人资料的流通具有合法性和符合我国社会公共利益。
其次,应设立专门的登记机构。
就监督制度而言,各国和地区立法例有两种做法:一种是设立独立的监督官或委员会;另一种是由各行业的主管行政机关兼任。欧盟国家及我国香港地区均采用设立专门的个人资料管理机关的方式行使对个人资料的登记、审查等监督权。如英国有资料保护登记处,德国设联邦资料保护监察使(公务领域)和资料保护监察人(私人领域),香港设个人私隐专员等。就我国的习惯而言,目前似乎由各行政主管机关先行行使监督权较为容易接受。但这种多头管理的模式也存在不可克服的弊端,政出多门,各部门互相掣肘或相互推诿,不利于及时有效地保护当事人的利益。从长远来看,要想真正发挥监督制度的功能,达到管制的效果,还是应设立有独立职权的监督机关为宜。登记处的职能应包括:1网络服务商的从业登记。是指拟从事TDF业务的网络服务商应向登记处申请,未经批准,不得擅自开展该项业务。2对拟传往国外的资料进行审查、监督。是指对向外传递的资料,一般要经监管机关的形式审查与许可,对于一般资料,可给予概括许可;对于特定种类的资料,监管机关有实质审查与禁止传递权,当事人对监管机关的决定不服的,可向监管机关申请复议或向法院起诉。3公告查询。是指对于从事TDF的网络服务商的有关登记事宜可向公众开放,便于公众了解哪些站点有开展此项业务的权限,对于违规经营的,也应予以公告,提示公众在上网时加以注意。4受理投诉。是指登记处作为一个行政管理机关,有权受理当事人的投诉。这里的当事人不仅包括个人资料本人,也包括个人资料的收集者、持有者以及数据库经营者。
此外,个人资料保护法不仅保护本国公民的个人资料,也保护外国公民的个人资料,对在本国发生的滥用外国公民个人资料的行为,应有涉外条款予以规定,实行内、外国公民个人资料一体保护。比如,从国外网站传进我国的外国公民的个人资料,如依照我国法律的保护标准,构成侵权的,我国法律应提供救济途径。
(三)鼓励行业自律