(1)本人表示同意的个人资料处理;(2)对主体已经公开的个人资料处理;(3)为建立、行使、保护法定权益而进行的必要的个人资料处理;(4)为履行公共法律义务进行的必要的个人资料处理;(5)以尊重重要公共利益为前提,为保护个人隐私提供了适当保障并获法律授权或注册办公室的特许而进行的必要的个人资料处理。第23条第2款规定了“以学术研究或统计为目的的个人资料”第16条禁止处理规定的阻却违法性事由:(1)进行服务于公共利益的研究所做的个人资料处理;(2)相关研究或统计所必需的个人资料处理;(3)不可能得到个人资料本人同意或得到本人的同意过于困难情况下进行的个人资料处理;(4)责任方已经提供充分的保障确保此个人资料处理不会给个人资料本人的个人隐私带来超出适当范围的不利影响。第七章“除外与限制条款”第43条规定了“责任方”特定目的处理、特别规定的保密义务(第9条)、实施安全保护措施义务(第13条)、告知义务(第33、34、35条)的阻却违法性事由:(1)为国家安全;(2)为防止、查明、追捕刑事犯罪;(3)为国家或其他公共机构的重要经济、金融利益;(4)为监督以上(2)、(3)规定的利益为目的而进行个人资料处理的合法性;(5)为保护个人资料本人或其他人的权利和自由。第44条第1款规定了“社会组织或服务机构以学术研究或统计为目的进行的个人资料处理且已经采取必要措施确保该个人资料只用于学术研究或科学统计”是“责任方”第34、35条规定的告知义务的阻却违法性事由;第2款规定了“已经发送到《档案法》第12、13条规定的存储地点的档案记录的个人资料被处理”是“责任方”第34条规定的告知义务的阻却违法性事由。
第八章“法律保护”第49条第4款规定了“责任方或个人资料管理者证明自己无过错”的阻却违法性事由。
欧盟95指令第二章“对个人资料的合法性的一般规定”(第三节)“处理的特殊标准”第8条“特殊个人资料处理”第1款规定了“各成员国禁止处理现实种族或民族起源、政治观点、宗教或哲学信仰和工会资格的(敏感)个人资料,并禁止对有关健康和性生活有关的个人资料进行处理”义务。第8条第2款规定了其“第1款禁止处理”义务的阻却违法性事由:(1)成员国的法律规定本人的同意可以排除第1款的规定时,个人资料本人明确表示同意处理这些资料;(2)处理对于管理者在就业法范围内行使其义务和特殊的权利时必要的;(3)如果个人资料本人在身体上或法律上无法表示同意,但是处理对于保护本人或其他人的重大利益是必要的;(4)处理是在基金会、组织或其他非营利性机构处于政治、哲学、宗教或工会目的且有足够保障的活动中进行的,条件是该处理只涉及该机构的成员或与该机构签订有关其目的的例行合同的人;(5)处理所涉及的个人资料明显是由个人资料本人公开的或该处理对于提出、行使或保护合法要求是必要的。第8条第3款规定:“如果出于预防医学、医疗诊断、提供护理和治疗或保健服务管理的目的而提出对个人资料进行处理的要求;如果是在卫生专业部门在国家法律和国家管理机构制定的法规下,出于其专业保密的义务而进行的个人资料处理,或是其他人由于同样的保密义务而进行的处理。”第8条第4款规定:“在遵守提供适当的保护的条件下,各成员国可以出于实际公共利益的原因,通过国家法律或监督机关的决议规定除第2款以外的免除情况。”第8条第5款规定处理“涉及犯罪、选票和安全措施的有关个人资料”的阻却违法性事由:在官方机构的管理下,或者根据国家法律规定提供适当的特殊保护时,但是宣判的完整登记只能在官方机构的管理下予以保存,各成员国可以规定,涉及行政制裁和民事判决的个人资料也必须在官方机构的管理下进行和处理。(第四节)第10条规定“自本人处收集个人资料时的通知义务”的阻却违法性事由:个人资料本人已经掌握管理者和其代表的身份、将要处理的个人资料的目的、其他进一步的信息,如个人资料的接收者和接受者的类别,就提问予以答复是义务的还是自愿的,不作答复的可能后果,访问权的存在以及更改有关其个人资料的权利。第11条第1款规定“自非本人处收集个人资料时的通知义务”的阻却违法性事由(与第10条相关规定相同),第2款规定“出于统计目的和历史、科学研究目的对个人资料进行的处理,提供这些信息被证明是不可能的或需要不适当的努力,或者如果所进行的记录和公开是法律的规定”是第1款“通知义务”的阻却违法性事由。(第六节)“免除和限制”第13条第1款规定了“特定目的收集义务”(第6条第1款)、“通知义务”(第10条第1款、第11条第1款)、“协助本人访问权行使义务”
(第12条)、“处理操作公开义务”(第21条)的阻却违法性事由:(1)国家安全;(2)防御;(3)公共安全;(4)对刑事犯罪或违反所规定的职业道德的防范、调查、侦查和诉讼;(5)成员国或欧盟重要的经济或金融利益,包括货币、预算和税务事宜;(6)在(3)、(4)、(5)所述情况下,官方机构行使有关的监督、检查和管理职能;(7)对个人资料本人或其他人的权利和自由的保护。第13条第2款规定:“不对本人的隐私产生侵害的情况下,当个人资料处理的目的只是为了科学研究,或在建立统计所必须的期限内以个人形式予以保留”是“协助本人访问权行使义务”(第12条)的阻却违法性事由。第九节“通知”第18条“向监督机构通知义务”第2款规定“向监督机构通知义务”的阻却违法性事由:(1)由于处理操作的类型各不相同,考虑到将要处理的个人资料以对本人的权利和自由造成负面影响的个人资料,在它们指明处理的目的、正在处理的个人资料和个人资料的类型、类别和个人资料本人的类别、接受者或向其公开个人资料的接受者的类别以及个人资料存储的时间长度的情况下;(2)在管理者根据相关国家法律指定个人资料保护官员,负责确保在内部以独立的方式执行根据该指示所制定的国家规定和保留管理者进行的处理操作的登记,从而确保处理操作不会对个人资料本人的权利和自由造成负面影响。
第18条第3款规定“向监督机构通知义务”的阻却违法性事由:该处理的惟一目的是保留根据法律或法规打算向公众提供信息,并向一般公众和证明有合法兴趣的公众的咨询予以公开的登记。第18条第4款规定“第8条第2款第4项的情况”是“向监督机构通知义务”的阻却违法性事由。
最后,我国关于国家机关侵害个人资料行为阻却违法性事由的相关立法依据是国务院发布的《中华人民共和国电信条例》,该条例第66条规定“电信用户依法使用电信的自由和通信秘密受法律保护”,“除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查”,其中,“因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查”,是“任何组织或者个人不得以任何理由对电信内容进行检查”的不作为义务的阻却违法性事由。
由此可见,国家机关职权范围内保有的个人资料为侵害对象的违法性行为与阻却违法性事由关系的实质,是对于个人资料予以保护(如保密)还是不保护(如公开)协调下的分界线,大多数情况下取决于个人资料给国家或社会公众带来多大利益,此种利益是否具有不可替代性。
(四)侵害个人资料的行政责任形式
德国资料法规定“公务机关”应对个人资料本人承担损害赔偿责任,但原则上只及于财产损害赔偿。该法第7条第3款规定了同一事实原因最高赔偿额的限制:“第1款与第2款请求权的总额,最高不得超过25万马克。基于同一原因应对多数当事人给付损害赔偿,而其合计最高总额超过25万马克者,各个赔偿给付应按其各个总额与合计最高总额之比例减少。”该法第7条第7款规定了“公务机关”责任范围超过前项限制或存在其他损害赔偿责任时,超出的和其他责任适用一般损害赔偿责任的相关规定,对于这些责任则适用过错归责原则,即“公务机关”只对存在故意或过失的行为承担相应的侵权责任。关于行政责任的形式,我国国家赔偿法有具体的规定,在此不一一赘述。
三、侵害个人资料的刑事责任
侵害个人资料行为在构成侵权行为的基础上,行为人的过错和违法行为造成个人资料本人的损害达到相对严重的程度,已经危害到由刑法保护的社会关系,同时由个人资料本人提起刑事诉讼,是侵害个人资料刑事责任的前提。如荷兰《个人资料保护法》第十章“处罚”(第三节)规定了对犯罪行为的刑事处罚。德国《安全审查法》第六章“旅行限制、应外国政府的请求而进行安全审查以及最后条款”第37条“刑事责任条款”第1款规定:任何人未经授权储存、修改或移交,或通过自动程序手段撤销,或从计算机文件中为自己或为他人撤除或获取本法所保护的个人资料,不包括众所周知的个人信息,处1年以下的监禁或处以罚金;第2款规定:通过提供不正确信息,而移交受本法保护的并非普通常识的个人资料,或违反本法第21条第1款或第27条第3句的规定,出于其他目的,将个人资料转交给本机构内的其他人员,实施上述行为的人,也应受到本条第1款规定的处罚;第3款规定:如果实施本条第1、2款行为的人是以获取报酬为目的,或为自己或他人赢利,或以他人受损害为目的时,处以2年以下监禁或处以罚金;第4款规定了涉及本条规定的刑事案件为自诉案件。另外,德国《安全审查法实施细则》第37条“处罚规定”也作出相关规定。我国台湾“资料法”第五章“罚则”第33条规定了“公务员”
职务中“以营利为目的”侵害个人资料行为违反该法第7、8、18条、第19条第1、2项、第23条对“公务机关”收集、处理、利用个人资料科以之义务,或违反依该法第24条所颁布的“限制命令”,并造成他人损害时,该侵害个人资料行为构成犯罪行为,刑事责任形式为2年以下有期徒刑、拘役或科或并科新台币4万元以下罚金;第34条规定了“非公务机关”以为自己或第三人牟取不法利益为目的或以损害他人利益为目的,对个人资料档案实施“非法输出、干扰、变更、删除、或以其他方法妨害个人资料档案之正确性”,并造成他人损害时,该侵害个人资料行为构成犯罪行为,刑事责任形式为3年以下有期徒刑、拘役或科或并科新台币5万元以下罚金;第35条还规定了“公务员”
利用职务上的“权力、机会或方法”,实施的侵害个人资料行为,同时构成了第33、34条规定之罪时,“加重其刑至二分之一”;第36条规定:第33、34、35条规定之罪所涉及的刑事案件为自诉案件,即不告不理原则的体现;第37条规定:构成犯罪的,而其他“法律”有较重处罚规定的,从重处罚。
对上述立法例的考察可知,当侵害个人资料行为满足法定的犯罪要件时,本人得以自诉方式提起刑事诉讼,以维护自己的合法权益。本人得以请求刑事救济的要件是:(1)资料的收集与处理人须有情节显着轻微以外的侵害个人资料自决权行为;(2)有个人资料自决权被侵害的危害结果发生;(3)危害行为危害结果之间有因果关系;(4)资料收集和使用人具有主观故意和过错。目前,我国关于侵害个人资料的刑事责任的相关规定,主要有最高人民法院公布的《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》,该解释第8条规定:盗用他人公共信息网络上网账号、密码上网,造成他人电信资费损失数额较大的,依照刑法第264条的规定,以盗窃罪定罪处罚。第9条规定:以虚假、冒用的身份证件办理入网手续并使用移动电话,造成电信资费损失数额较大的,依照刑法第266条的规定,以诈骗罪定罪处罚。参照外国相关立法及我国刑法有关的定罪量刑规则,笔者提出以下的对侵害个人资料自决权行为的刑罚方法:1对于收集和利用人非法剥夺本人对个人资料的控制与决定权收集使用他人资料,违反法定和约定的告知本人义务,怠于自律以保持资料隐秘性,经本人申请无合法理由不更正或补充资料以致本人权益受损害者,处以2年以下有期徒刑、拘役及4万元以下罚金;2对于超出法定和约定目的收集处理资料,为损害本人利益,而非法输出、干扰、变更、消除或封锁及其他非法方式妨害个人资料正确者,处以5年以下有期徒刑、拘役及5万元以下罚金。