(1)赋予个人资料本人以资料权。本人资料权是个人资料保护法赋予资料本人的一项新的具体人格权,它使资料本人可以通过自己的行为保护其个人资料。本人资料权的范围十分广泛,包括接触、查阅、更正、请求制给复制本、请求删除、请求告知等,难以列举穷尽,其主要意旨在于保护资料本人知道其个人资料的内容和有关处理情况,换句话说即资料本人享有支配其资料利益并排除他人干涉的权利。
(2)规范有关个人资料的收集、处理和利用行为。各国个人资料保护法主要从资料处理主体的角度来调整个人资料的收集、处理、储存、传输、利用、安全,一般就行为主体、行为目的、行为方式、行为对象、行为时间等内容作了强制性规定。
(3)强调违法责任。有关国家和地区个人资料立法多有一项“责任原则”,往往列专章规定罚则,强调违反该法必须承担法律上的不利后果,法的制裁性表现得淋漓尽致。个人资料法典上同时出现了三种责任:民事责任、行政责任和刑事责任。民事主体违反个人资料保护法,要承担相应的民事责任,责任方式为停止处理、删除非法保存的个人资料、返还不当得利、赔偿损失等。行政主体违法,则要承担行政责任,责任方式有罢免职务、停职、罚款、限期改正等。以上违法构成犯罪的,还要承担刑事责任,承担刑事责任的方式有罚金、拘役、有期徒刑等。
个人资料保护法通过这三个方面的规定,将法律保护和自己保护,事前保护和事后救济结合起来,充分保护了资料本人的人格利益,并通过其辐射作用保护资料本人的其他合法权益((第二节)已就辐射作用作了全面阐释,此处不赘)。从而,规范并促进了个人资料的合理利用。
2个人资料保护法是信息社会促进贸易与合作的重要法律。个人资料保护法对贸易与合作的促进作用主要体现在以下两个方面:第一,树立网络用户的信心。一份来自商业周刊的哈理斯民意调查披露,美国人十分关注他们的个人隐私,对在线隐私的担心和怀疑使许多潜在用户远离互联网。1999年3月16日发行的商业周刊的民意调查显示,有近2/3的非互联网用户表示如果他们的个人信息和通讯隐私得到保护,他们更有可能使用网络。最近的调查显示,92%的消费者关心(67%的消费者非常关心)在线个人资料的滥用。76%的消费者表示,他们不担心离线状态下个人信息的滥用,但却担心对网络隐私的侵权。在隐私政策方面,调查表明,压倒多数的在线用户认为,网站公布隐私政策,阐明他们在为消费者提供信息和购物前如何利用这些个人资料,非常重要。在金融信息方面,65%的在线用户十分担心,15%的用户在一定程度上担心他们网上购物使用的信用卡号被泄露。对此,香港个人资料私隐专员刘嘉敏指出,“电子贸易表面上不可阻挡的发展潜力遇上了一个显着的障碍,这个障碍就是如何赋予经营者及消费者充分的信任和信息保障资料私隐是确保信心和信任的最主要因素之一”。
第二,避免阻碍个人资料的跨国流通。个人资料的跨国流通是开展国际贸易与合作的基础,没有自由的资料跨国流通,国际贸易与合作无从谈起。个人资料立法如限制资料自由流通,则将在有关国家间形成贸易壁垒,阻碍贸易自由。因此,在制定本国个人资料保护法时,应尽可能考虑到个人资料保护法所可能带来的影响。
3个人资料保护法在信息社会发挥着维护国家主权的重要作用。就个人资料的跨国流通,有两种截然相反的主张:一种观点主张,不对个人资料保护作任何限制,各国应尽量消除资料自由流通之障碍,我们称之为自由主义。另一种观点主张限制,我们称之为限制主义。这两种观点冲突的背后,隐藏的是国家利益。持自由主义观点的多为发达国家,以美国为代表,而持限制主义观点的则多为发展中国家,究其原因主要有如下几点:
(1)经济上的原因。发达国家在信息通讯技术上处于优势地位,在信息收集、处理、分析和利用等方面均领先于发展中国家。有人称发达国家与发展中国家在这方面的差距为“数字鸿沟”(DigitalGap)。由于技术、管理、制度等方面的原因,发展中国家和发达国家对信息的利用程度明显不同,后者的优势是有目共睹的。发达国家利用信息产业、信息服务业等方面的优势,可以轻易地瓜分发展中国家的市场份额,进行经济侵略。因此,发展中国家普遍认为,对资料流通加以限制可以避免在信息资源上过度依赖发达国家,避免遭到经济上的损害。
发达国家则认为,信息的跨国流通是双向的,发展中国家也可以在资料跨国流通中获益,发展中国家欲开拓市场或做其他用途,也需要发达国家的消费资料、市场统计资料、人口资料等,因此对资料跨国流通之限制,不利于双方利益,不应采纳。
(2)文化上的原因。发展中国家认为,科技及知识水平之差距,往往令已开发国家得以轻易地自开发中国家收集政治、经济等资料,而后传输至已开发国家予以储存、分析,所形成之资讯难免含有已开发国家自身之价值观。而因同样资讯科技差距之理由,亦迫使开发中国家必须自已开发国家进口所需资讯,依赖已开发国家之资讯科技或服务。是以开发中国家便担心其国家之文化被侵略,即因资料之储存、研析、处理不在国内,而使国家文化发展受阻;因所进口之资讯含有已开发国家之价值观,导致其国家变为已开发国家之文化殖民地;因只能接受资讯出口国所决定给予之资讯,照单全收的结果,可能形成偏颇之世界观,进而丧失民族意识及固有文化,影响国家日后之决策。
发达国家认为,科技、文化等资料的跨国流通有利于国家间互相利用最新的信息和知识,减少摸索研究的时间,避免支出不必要的科研费用,可以快速提升一国的文化和科技水平。至于如何吸收外来文化,并结合本国的价值观和传统,重新赋予该文化以新的内涵和生命,则是文化本土化的问题,不应以此为理由对资料跨国流通横加限制。
(3)主权上的原因。现代以来,主权观念有重大发展,已从“领土主权”
发展成为包括经济、文化、政治、资源、信息主权等广泛内容的概念。因此,前述内容皆可以为“维护国家主权”之理念所涵盖。这里要说的是国家安全意义上的主权。近年来,美国国防部、联邦调查局屡遭黑客攻击,引发人们广泛的讨论,在信息时代如何维护国家安全,采取何种措施才能保证国防信息的安全?国家高级官员的资料,特别是外交、经济、国防、科技方面官员和人士的个人资料,在国防安全方面有十分重要的意义。关于这些高级官员的资料,哪些可以收集、处理、传输、利用,哪些不可以,将成为个人资料保护法特别调整的内容,也是个人资料保护立法的重要课题。
实际上就涉及国防安全信息的个人资料,各国均要求采取一定的保护措施,严格限制其处理和利用,以免危及国家安全。
鉴于上述原因,各国就个人资料的跨国流通都采用了符合本国利益的立法规制。例如,美国因其在信息和通讯技术方面的绝对优势,力主自由主义。学者指出,对美国而言,资讯自由流通之定义是资讯的全无限制或限制极少地进行跨国流通。加拿大基于其特殊地理位置之考虑,采限制主义,恐系西方发达国家中最接近发展中国家立法的国家,而其意图主要在于防止美国损害其利益。欧盟诸国均采自由主义,但为了防止美国之“入侵”,也规定了许多限制,其中最值得一提的是欧盟95指令的第25条。该条规定:“对于个人资料向第三国传递的情形,只有当该第三国在个人资料隐私的保护方面达到了足够的保护水平,始能许可个人资料通过处理向该第三国传输。”该条实际上是针对美国的,由于美国在信息隐私的保护上并不像大部分欧洲国家有类似数据保护法的制度设计,且亦无像“数据保护局”这种事权统一的监督或执法机关,因此,基于该指令第25条的规范,等于断绝了美国收集欧盟市场消费者资料的可能。后来,美欧之间就此议题开始长期谈判。为了有效进入欧洲市场,美国商业部(DepartmentofCommerce)于1999年4月19日提出《国际安全港隐私权原则》(InternationalSafeHarborPrivacyPrinciples),以之作为与欧盟谈判的依据,而在2000年7月27日,欧盟方面正式同意了此一协议,允许参加该安全原则的美国公司收集欧盟会员国消费者资料。虽然美国得以顺利打入了欧盟市场,可是安全港原则的制定,对欧盟则有更重大的意义,这等于将欧盟95指令推上了全球性政策指针的地位,从而使欧盟的个人资料立法成为全球立法的模本。学者指出,对于电子商务发展契机,美国掌握最快,并且现在亦居于领先的地位,所以其尽量避免制定信息隐私相关法律、法规去限制电子商务的发展,以维持市场竞争力。至于欧盟,由于其高度法制化的社会背景领先定出个人数据保护指令,并且以其位居全球重要经济体的有利条件,要求世界其他各国亦须依据指令之规范标准完成立法,目的是希望借此指令规范推上“全球标准”之地位,所以欧盟此种强迫其他国家尊重的方式其实亦有其目的存在。美欧之间的这一争端,充分暴露出个人资料立法的重要性,成为个人资料立法支持者的重要论据。
综上所述,个人资料保护法对保护个人资料,促进贸易与合作,扞卫国家主权与利益均有十分重要的作用。
(第四节)个人资料保护法律关系
一、个人资料保护法律关系
个人资料保护法律关系是指由个人资料保护法调整的因个人资料的控制、收集、处理和利用所形成的社会关系。它是个人资料本人与资料处理主体之间的以权利义务为内容的社会关系。
个人资料保护法律关系是法律关系的一种,具备法律关系的一般特征:
(1)是一种权利义务关系;(2)是一种思想社会关系,属上层建筑的范畴;(3)是根据法律规范建立的关系,法律规范的存在是其建立的前提;(4)是国家强制力保证其实施的社会关系。
除此之外,个人资料保护法律关系还有自己独有的特征:
1是基于控制、收集、处理和利用个人资料的法律事实所形成的法律关系。
法律事实是法律关系产生、变更和消灭的原因,没有法律事实就没有法律关系。个人资料的控制、收集、处理和利用是个人资料保护法律关系发生、变更和消灭的主要原因。控制是指个人资料本人支配控制其个人资料;收集是指资料处理主体以任何方式取得个人资料;处理是指除收集与利用之外,对个人资料进行的任何操作或一组操作;利用是指以任何方式使用个人资料。其他法律事实如盗窃、抢劫资料媒介等也能引起个人资料保护法律关系的产生、变更和消灭,但它们不是主要的原因。
2是一种人身法律关系。个人资料保护法的主要调整对象是围绕个人资料所产生的人身关系,旨在保护个人资料本人的人格利益,避免资料本人因其个人资料的非法收集、处理和利用而遭受损害。
3是存在于个人资料本人与资料处理主体之间的法律关系。个人资料保护法律关系的双方主体是个人资料本人与资料处理主体。个人资料本人与资料处理主体以外的主体的关系、资料处理主体与个人资料本人以外的主体的关系不是个人资料保护法律关系,各依相关法律规范进行调整。
二、个人资料保护法律关系的主体
个人资料保护法律关系的主体是个人资料保护法律关系的构成要素之一,是个人资料保护法律关系存在的前提。个人资料保护法律关系的主体有二:个人资料本人和资料处理主体。
1个人资料本人
(1)个人资料本人概念和特征
个人资料本人,简称资料本人,是指产生个人资料的自然人,也即个人资料的主体。个人资料本人是个人资料的来源,为保护其在个人资料上承载的人格利益,对个人资料当然享有支配和控制的权利。
个人资料本人有如下特征:
个人资料本人是个人资料的来源。个人资料是关于本人属人或属事的资料,是本人自然属性以及各种社会活动的信息记录。没有资料本人就没有个人资料,资料本人是个人资料的来源。由于资料本人与资料存在的这种客观联系,根据个人资料可识别出资料本人,了解他的兴趣、爱好、血型、学历、婚姻和收入等信息。
个人资料本人是自然人。法律关系的主体包括自然人、法人和其他组织。资料本人可否是法人,法人资料可否适用个人资料保护法呢?有观点认为,法人资料应该与个人资料一并保护。他们认为法人也有一般人格权,法人的一般人格权应该受到平等保护;并且,对法人资料和个人资料的一并保护,可以防止竞争对手掌握法人营业资料;奥地利政府还主张,法人资料由自然人组成,保护法人就是保护自然人。主张将法人资料与个人资料一并保护的立法例还有挪威与卢森堡等少数国家。我们主张资料本人(datasubjects)应以“自然人”(individuals)为限,反对将法人资料一并保护。首先,法人资料的价值和功用与自然人不同,法人资料和个人资料应该由不同的法律分别保护。
个人资料由个人资料保护法保护,法人资料则应该由民法和反不正当竞争法分别就商业秘密技术诀窍以及商业信誉进行保护。其次,法人资料欲获得资料保护法的保护,必须将法人信息(包括商业秘密)记录为资料、制作为档案并向主管机关申报,这样做反而不利于保护法人商业秘密。从各国立法例来看,大部分国家采否定的立场,对保护主体作狭义的解释,将法人等社会团体的资料排除在资料保护法的范围之外。
个人资料本人对其资料享有人格利益。个人资料是个人信息的一种存在形式,这种信息与肖像、隐私、姓名代表的信息具有一致性,一方面没有直接的财产内容,另一方面有需要保护的人格利益。因此,我们赋予资料本人以资料权来保护其人格利益。
(2)关于个人资料本人的立法分歧
概念的分歧。在个人资料主体的概念上,有的将主体称为“个人资料当事人”。我们主张采用“个人资料本人”的概念。“当事人”通常是指在诉讼中以自己名义,向国家司法机关请求确定并保护其权利的人及其相对人。个人资料当事人的概念,应该指在个人资料收集、处理或利用过程中,以自己名义,向国家机关主张保护其权利之人。在未进入国家权利救济程序之前,似不宜称为当事人。另外,个人资料当事人可能涉及个人资料本人以及拥有个人资料档案权利的人(如,个人资料合法持有者)。而个人资料保护的目的在于保护个人资料本人的权利,不包括其他个人资料合法持有者。因此应选择个人资料本人的概念。