牛津通识读本:隐私 [15]
经合组织的原则
收集限制原则
收集个人数据应受限制,任何这类数据应以合法和公平的手段获取,并在适当情况下,应在数据主体知情或同意的情况下获取。
数据质量原则
个人数据应与其使用目的相关,并在这些目的所需的程度上应准确、完整并保持不断更新。
目的明确原则
收集个人数据的目的,应在不迟于收集数据时明确下来,随后所收集的个人数据只用于实现这些目的或不违反这些目的的其他目的,并在每次目的变更时应进行说明。
使用限制原则
除下列情况外,不得披露、提供或以其他方式将个人数据用于第九段所指明用途以外的用途:
(a)经数据主体同意;
(b)法律授权。
安全保障原则
个人数据应受到合理的安全保障措施的保护,以防丢失或未经授权获取、销毁、使用、修改或披露数据等风险。
开放性原则
在个人数据的发展、实践和政策方面,应有一个开放的总体政策。应有办法方便获得确定个人数据的存在和性质、其使用的主要目的,以及数据控制员的身份和惯常住所。
个人参与原则
个人应享有以下权利:
(a)从数据控制员处获取个人数据,或以其他方式确认数据控制员是否有与他相关的数据;
(b)向他人提供与他有关的数据;
(i)在合理时间内;
(ii)如果有任何费用,该费用并不过分;
(iii)以一种合理的方式;
(iv)以一种他容易明白的方式;
(c)如果根据(a)项和(b)项提出的请求被拒绝,应说明理由,并能质疑这种拒绝;
(d)质疑与他有关的数据,如果质疑成功,数据将被删除、纠正、补齐或修订。
问责原则
数据控制员应负责遵守为落实上述原则而采取的措施。
OECD,《关于保护个人数据隐私和跨界数据流动的指导原则》(第二部分),1980年9月23日通过。
遵守或更确切地说,执行这一目标(以及相关的获取和纠正的权利)的情况已经融入了制定数据保护立法的约四十个法域中。这些法规大多以上述两项国际文件为基础。欧洲理事会《关于在个人数据自动处理方面保护个人的公约》第1条规定,其目的是在每一缔约国境内,确保每个人,不论其国籍或住所,在自动处理与其有关的个人数据方面,尊重其权利和基本自由,特别是其隐私权(“数据保护”)。
这些原则的重要性再怎么强调也不过分。特别是使用限制和目的明确原则,是公平信息实践的重要准则,加上以公平、合法方式收集个人数据的原则,这些原则提供了一个用以保障使用和披露这类数据的框架,并(在公平收集原则中)限制诸如截取电子邮件信息等侵入性活动。除非数据主体同意,使用或披露个人数据只能用于收集数据的目的或一些直接相关的目的。这一关键原则对管制互联网上个人数据的滥用有很大帮助。但这些原则要求,在已存在的地方更有效率,在部分实施的地方抓紧采用(最明显的是在美国)。
数据保护立法的制定,仅在一定程度上是由利他主义推动的。新的信息技术瓦解了国家边界;个人数据的国际流通是商业生活的一个常态特征。在数字世界中,如果B国没有对个人数据的使用进行控制,那么在B国计算机上检索个人数据,就会使得A国对个人数据提供的保护毫无意义。因此,有数据保护法的国家经常禁止向缺乏数据保护的国家转让数据。事实上,欧盟已在其一项指令中明确要求消灭这些“数据天堂”。如果没有数据保护法,各国就有可能被快速扩展的信息商业拒之门外。
有关处理个人数据的《欧洲联盟指令》
第3条
1. 本指令应适用于全部或部分以自动方式处理个人数据,以及以非自动方式处理构成文件系统一部分,或旨在构成文件系统一部分的个人数据以外的其他方式的处理;
2. 本指令不适用于下述情况的个人数据处理:不属于共同体法律范围的活动,在该活动中的数据处理……在任何情况下,都不适用于处理涉及公共安全、国防、国家安全(包括涉及国家安全事务时国家的经济利益)的行动及国家在刑法领域的活动;也不适用于纯粹的个人或家庭活动过程中自然人进行的活动。
第6条
1. 成员国应规定,个人数据必须:
(a)公正、合法地处理;
(b)为特定、明确和合法的目的而收集,并且不以不符合这些目的的方式加以进一步处理。为历史、统计或科学目的进一步处理数据不应被视为不相容,但成员国应提供适当的保障措施;
(c)充分、相关和不过分,与所收集和/或进一步处理的目的相关联;
(d)准确,并在必要时不断更新;必须采取一切合理步骤,确保在考虑到收集数据或进一步处理数据的目的的情况下,删除或纠正不准确或不完整的数据;
(e)以一种允许识别数据主体身份的形式保存,其保存时间不超过收集或进一步处理数据以达到目的所必需的时间。成员国应制定适当的保障措施,将长期储存的个人数据用于历史、统计或科学用途。
1995年10月24日的欧洲议会和欧洲理事会指令
数据保护的要点
任何数据保护法的核心,都是“在个案的情况下,以合法及公平”的原则收集个人数据,此处引用1995年中国香港的《个人资料(隐私)条例》的用语,作为这方面的范例。在此类数据的使用和披露方面,未经数据主体的同意,只可将其用于收集数据或某些直接相关的目的。
这些规定得到了六项“数据保护原则”的支持,而这六项原则实际上是立法机制的主干。简言之,第一项原则禁止收集数据,除非这些数据是为与数据使用者的职能或活动直接相关的合法目的而收集的,而且这些数据较之该目的而言是充分而不过分的。个人数据只能以合法和公平的方式收集。这就要求数据使用者向数据主体通报使用数据的目的、可向其传输数据的各类人员、数据主体提供数据是自愿的还是强制的、未能提供数据的后果,以及数据主体有权请求访问和更正个人数据。
第二项原则要求,数据使用者确保所持有的数据是准确和最新的。如果有疑问,数据使用者应该立即停止使用该数据。数据保存时间不应超过为达到数据收集目的所需的时间。第三项原则规定,在未经数据主体同意的情况下,个人数据不得用于收集数据时所通报的使用目的以外的任何其他目的。
第四项原则要求,数据使用者有义务采取适当的安全措施来保护个人数据。他们必须确保个人数据得到充分的保护,不受未经授权或意外的访问、处理、删除或被无权限的其他人使用。第五项原则是关于数据使用者须就所持有的个人数据的种类及其处理个人数据的政策和做法,向公众公布有关信息。这通常通过“隐私政策声明”来实现,该声明包括数据的准确性、保存期、安全性和使用的细节,以及在数据访问和数据更正请求方面采取的措施。
最后一项原则涉及数据主体有权获取关于其本人的个人数据,并要求提供该数据使用者所持有的此种个人数据的副本。如果发现数据不准确,则数据主体有权要求数据使用者更正记录。
受到侵扰或披露的受害人,可向个人数据隐私专员投诉违反这些原则的行为。他(她)有权发出“执行通知”,以强制侵权人遵守相关法律,如果侵权人不遵守这种通知,即为犯罪,可处以罚金和两年监禁。法律还规定了赔偿,包括对感情伤害的赔偿。
数据保护法的一个重要元素是隐私专员有权批准实务守则,为数据使用者及数据主体提供“实践指引”。隐私专员迄今颁布的都是实质性文件,是与有关各方进行详细和长时间磋商的结果。此外,虽然法律规定,数据使用者不遵守守则的任何部分,不应导致民事或刑事诉讼,但在这类诉讼中,数据使用者未能遵守守则的指控可作为证据予以采纳。
什么是“个人数据”?
任何数据保护法的出发点都是“个人数据”的概念,或者,在某些法规中,是“个人信息”的概念。在本书中,这个术语已经使用过无数次了,但它具体包括什么呢?尽管各国国内法规之间存在着差异,但它们都对这一用语有着相当宽泛的定义。《欧洲联盟指令》第2条(a)款对“个人数据”采用了以下表述:
与已识别或可被识别的自然人(“数据主体”)有关的任何信息;可被识别的自然人是指可以直接或间接地被识别的个人,特别是通过身份证号码或与其身体、生理、心理、经济、文化或社会身份特征相关的一个或多个因素予以识别。
但是,通过嵌入在产品或服装中的信息记录程序或RFID标签生成的数据又如何呢?它们不一定是指向个人,但由于它们便于对一个人做出决定,因此应在个人数据的标题下得到保护。
虽然现行立法对个人数据的定义明显包括获取或披露可被适当地称为侵犯隐私权的信息,但其范围之广博,忽略了这些问题。我个人认为,主要是一些私密或机密的信息,应以隐私的名义获得保护。但是,尽管该指令和国内数据保护立法忽视了这种类型的信息,但正如我们将看到的那样,立法并没有完全忽视这种信息。
尽管事实上任何数据保护制度对信息的保护远远超出了基本上属于私人性质的信息,而且其是(也许是不可避免的)程序性而非实质性的性质,但它们为更有效地应对挑战,特别是解决电子隐私问题提供了有用的路标。
《欧洲联盟指令》第25条规定,任何正在处理或待处理的个人数据的转让,必须受到其所送达法域的充分保护。保护是否充分,要参照数据的性质、拟处理的目的和期限、来源国和最终目的国、有关法域内的一般或部门条例,以及安全措施的性质和范围来评估。这立即危及世界上最大的市场——美国的商业前景。我将在下文再回到这个难题。
敏感数据
某些个人信息在本质上比其他信息更敏感,因此需要更有力的保护。这些类型的信息可能是什么?《欧洲联盟指令》第8条要求,成员国禁止处理“披露种族或族裔出身、政治观点、宗教或哲学信仰、工会成员身份,以及涉及健康状况或性生活”的个人数据。但是,这一限制有若干例外情况,其中包括除非国内立法另有明确规定,数据主体明确同意这种处理。在必要时,也允许在就业法领域中保护控制者的权利和义务,或保护数据主体的“重要利益”。
其他欧洲法域的立法也有类似的规定。英国1998年的《数据保护法》将下列数据归类为“敏感”信息:数据主体的种族或族裔出身、政治观点、宗教或类似信仰、