摘 要: 基于信息隐私保护的历史及个人信息保护法律的演变分析,对欧盟、美国、日本、印度、中国香港和中国台湾的个人信息保护法律进行了比较,探寻个人信息的定义、保护个人信息的目的及范围差异,并从个人信息保护的范围和立法战略两个方面指出了改善中国大陆地区个人信息保护现状的启示。
关键词: 个人信息; 信息隐私; 保护; 比较
随着计算机及信息通讯技术的迅猛发展, 个人信息保护受到多个国家和地区的重视。本文通过对已出台个人信息保护专门性法律的国家和地区进行比较, 探寻其保护个人信息的原因及立法演变之同, 以及个人信息界定、 保护个人信息目的及范围之异, 以为改善中国大陆地区的个人信息保护现状提供参考与借鉴。
1 信息隐私保护的源起最早对隐私的概念进行界定的当属SamuelWarren 和Louis Brandeis, 在 “The Right to Privacy” 一文中, 将隐私界定为独处的权利, 并认为与公民私生活相关的信息传播会侵扰个人隐私[1]。自此, 隐私作为一个法律术语进入人们的视野。隐私可分为四类[2]。物理隐私: 指限制他人通过一种或多种感觉来了解一个人或情境; 信息隐私: 指限制搜索或揭示不想让他人知晓的事实; 决策隐私: 指限制干涉专属于一个机构的决策; 性情隐私: 指限制试图知晓个人的思想状态。信息隐私作为个人、 组织或机构决定他们何时、 如何以及在多大程度上将与其相关的信息与他人交流的一种权利[3]。信息隐私强调的是个人对自身信息的控制权, 保留一块属于自己的信息和自由空间。
二战后,个人隐私保护,特别是个人信息隐私逐渐引起了各国的重视。1948年颁布的 《联合国人权宣言》将隐私保护权作为一项基本人权, 并指出:他人不得任意干涉他的隐私、 家庭或者通信,也不允许别人侵害他的名誉和尊严; 每个人都有权利用法律反对这种干涉或侵害[4]。关于信息隐私保护的立法于20世纪70年代在欧美国家出现。欧美国家的信息隐私保护法律出台的背景如下。
(1)计算机技术的发展。二战后,随着计算机技术的发展与应用,西方国家开始将数据库技术应用于人口普查,将所采集到的个人信息存入数据库, 这些信息被政府和私营部门掌握和运用, 引起了人们对政府和私部门可能侵犯其隐私、 自由的担心。二战的恐怖历史使用人们认为这种担心是必要的、 充分的。二战期间, 欧洲一些国家的社会主义政府利用国家普查数据来识别特定种族、 宗教信仰的家庭, 或者其他目标群体; 在美国, 普查数据被用于识别日裔美国人[5]。
(2)福利国家的兴起与发展。二战后, 西方国家纷纷建立起福利国家,推行各种福利计划,对经济、社会进行全面干预。在福利国家建设之下,政府的职能和权力急骤扩大,为向国民提供更好的公共服务,政府大量采集公民的个人信息, 并对个人信息进行处理。
为限制政府权力、 规范政府行为, 保障公民的隐私权、 保障人权, 欧美国家相继出台了个人信息隐私保护的法律, 如芬兰于1973年出台 《数据法》 ,美国于1974年出台 《隐私法》 , 联邦德国于1977年出台 《数据保护法》 等。
2 立法演变之同 — —从信息隐私保护
到个人信息保护世界上出台个人信息保护立法的国家和地区,立法演变的进路主要有两条: 一是从只关注计算机领域的个人信息的自动化处理到个人信息的处理;二是由关注个人信息隐私保护到个人信息保护。各国及地区法律名称及内容的变化清晰地呈现出以上两条进路。在法律名称方面, 欧盟由1981年的《关于个人数据自动化处理的个人保护公约》 到
1995年的 《关于个人数据处理及其自由流动的保护指令》 和2012年的 《关于个人数据处理及其自由流动的保护规定》 ;1974年, 美国出台的 《隐私法》 调整对象为联邦政府机构的个人信息隐私电子记录,之后相继出台了一些个人信息保护法, 如 《录像隐私权保护法》 、 《驾驶员隐私保护法》 ; 日本由1988年的《行政机关电脑处理个人信息保护法》 到2003年的《个人信息保护法》 ; 中国台湾由1995年的 《计算机处理个人数据保护法》 到2010年的 《个人信息保护法》 。由以上可得, 各国及地区在个人信息保护方面经历了保护与计算机有关的个人信息到个人信息的全面保护的过程。
在法律内容方面,联邦德国于1977年出台的《数据保护法》,此法并不是保护个人数据本身, 而是通过防止个人数据被滥用来保护个人的隐私[6]。按照欧盟1995年出台的 《数据保护指令》要求,德国于2003年对该法进行了修订,明确将个人数据中特殊类型的个人数据单列出来,并规定了这类数据采集和使用的条件。美国的《隐私法》通过限制联邦政府部门滥用所持有的个人信息电子记录来保护个人信息隐私,随后制定的法律对个人信息进行了分类,如《驾驶员隐私保护法》将高度限制的个人信息从个人信息中单列出来,并规定了采集和使用的条件。中国台湾出台的《计算机处理个人数据保护法》为规范计算机处理个人资料, 以避免人格权受侵害,对个人数据进行保护,而2010年代替该法的《个人信息保护法》将个人信息隐私从个人信息中单列出来,并明确规定了采集和使用的条件。由以上可得,各国及地区在个人信息保护立法方面由关注个人信息隐私的保护发展到关注个人信息的保护,并将个人信息隐私作为一个重要方面予以单独进行保护。
各国及地区重视个人信息的保护,源于以下原因:第一,随着信息通讯技术的迅速发展, 人类进入了信息时代,博客、社交网络等新媒体出现,使个人信息的获取、传播、使用等更加便捷同时,个人信息的泄露亦更加严重, 对个人的正常生活、人格尊严、生命财产构成威胁,如自2001年日本—美国隐私和数据保护项目开始追踪企业泄露个人数据问题以来,发现日本各类企业都发生过个人数据泄露事件,这些企业泄露各种类型的个人信息, 包括姓名、住址、 出生日期及敏感的健康和财务数据, 受害者达数百万人[7]。2008年3月,Gratis Internet Com⁃pany通过互联网收集700万美国人的个人数据, 而后出售给第三方[8]。
第二, 信息经济的发展。随着信息经济的发展, 特别是电子商务飞速发展, 作为信息经济健康发展的关键因素 — —个人信息的安全问题引起了人们的关注。个人信息的安全与否直接影响着人们对信息经济的信心, 关系到信息经济能否健康发展。负责欧盟司法、基本权利和公民权的副主席Viviane Reding指出, 个人数据是当今数字市场的货币, 同任何货币一样, 它需要稳定信任[9]。欧盟2012年出台的 《21世纪的欧盟数据保护框架: 互联世界中的隐私保护》 指出: 要强化个人数据保护的基本权利, 特别是培养人们在数字环境的信心; 要简化企业和公共部门的法律环境, 促进欧盟单一市场和其他市场的数字经济发展[9]。
第三, 保护本国或地区贸易的需要。一些国家和地区出台的个人信息保护法律, 如欧盟、 日本和中国香港, 具有域外效力, 即对个人信息转移到第三方进行明确的限制。对于来自个人信息保护不充分国家的企业, 法律禁止其收集本国公民的个人信息, 并且不允许个人信息转移到个人信息保护不充分的国家或地区。在信息时代, 个人信息对于一国或企业具有重大的价值, 而这些国家和地区通过限制个人信息的跨境自由流动, 在保护本国公民权利的同时, 客观上亦起到了保护本国或地区贸易、本国企业的作用。
3个人信息保护法律之异
3.1 欧盟
欧盟保护个人信息的目的在于:保护自然人的基本权利和自由,特别是涉及处理个人数据的隐私权;成员国不应因保护个人数据而限制或禁止个人数据在成员国之间的自由流动[10]。欧盟将个人信息界定为:个人数据是指一个数据主体相关的任何信息; 数据主体是指一个可识别的自然人,或控制者、自然人、法人通过有效运用数据而识别的一个自然人,特别是运用这个人的身份证号码、定位数据、网络标识符、生理、心理、基因、精神、经济、 文化、社会身份[10]。并对基因数据、 生物识别数据及健康数据进行了分别界定, 将基因数据、 健康数据、性生活及犯罪前科作为特殊类型的数据予以专门保护。这表明欧盟对个人信息的保护内容范围是比较广的, 但却仅为单项信息。
欧盟对个人信息的定义并不准确, 因为与数据主体相关的信息有很多, 如姓名、 出生日期、 性别、健康状况、 照片、 身份证号码等, 但是并不是每一个单项的信息都可以识别一个自然人, 通常一些信息的组合才可以识别一个特定的人, 如姓名和身份证号码的组合便可以识别一个特定的人。因此, 欧盟的个人信息定义有待改进, 个人信息保护法所保护的应是可识别一个人的单项信息或信息集合。
3.2 美国
美国1974年出台的 《隐私法》 广泛适用于存储在政府记录系统中的个人信息[11]。该法主要目的在于限制政府的权力, 以保护公民的自由与权利,随后出台的 《财务隐私权法》 和 《健康信息隐私和安全法》 等旨在保护公民的隐私权, 保护公民的财务信息、 健康信息的保密性、 安全性。在隐私法中, 采用 “记录” 指称 “个人信息” 。记录是指一个机构所持有的与一个人相关的单项信息、 信息集合或一组信息, 包括但不限于: 他的教育、 金融交易、 医疗病史、 包含姓名的犯罪前科或工作履历、 识别号码、 代号, 以及其它专属于一个人的标记,如指纹、声纹或照片[12]。与欧盟不同, 美国在个人信息界定方面较为准确,它所保护的是与一个人相关的单项信息、信息集合或一组信息;单项信息,如照片;信息集合, 如姓名和医疗病史, 这些信息都可以识别一个人。
3.3 日本
日本政府鉴于信息通讯社会的高速发展,个人信息的使用显著增加,在使用个人信息时, 个人权利和利益需要得到保护[13],故出台法律保护个人信息。并将个人信息界定为:个人信息是指与一个在世的人相关的信息,因包含姓名、出生日期以及其他内容而可以识别出特定的人(可较容易的与其他信息相比对并借此识别出特定个人的信息)[14]。与欧盟相同,日本政府对个人信息的界定有失准确性,仅限于单项信息。因为与一个在世的人相关的信息很多,这些信息虽然都属于个人信息,但是需要保护的信息则是可识别一个人的单项信息或信息组合,而这正是日本政府个人信息定义所缺乏的。
3.4 印度
与其他出台个人信息保护法的国家和地区不同, 印度目前出台的法律只保护个人敏感信息或者说个人信息隐私。印度政府出台个人信息隐私保护法主要是基于经济因素考虑。信息技术产业是印度经济的重要支柱产业, 且信息技术产业在外包业务占有较大比重, 印度在制定数据保护法律方面的迟缓将致使欧盟国家的外包业务由印度流向新兴东欧国家, 或其它通过法律或其他措施对个人数据进行充分保护的国家[14]。前文所述的欧盟 《数据保护指令》 的域外效力是印度出台个人信息保护法的外力驱动力。2011年, 印度政府出台了《个人敏感信息有效的保护措施和程序法草案》,将个人敏感信息界定为:个人敏感信息或数据包括一个机构、中介或个人收集、接收、存储、传递和处理的以下信息:密码;用户登记时及之后提供的详细信息;与财务信息相关的信息,如银行账户、信用卡、借记卡、其他支付工具的用户详细信息;生理和心理健康状况;医疗记录和历史; 生物识别信息;法人团体根据合法的合同存储或加工接收的信息;通话数据记录[15]。从上述定义可得, 印度政府只是对个人信息的子集—信息隐私进行保护,而且采用列举的形式对个人敏感信息进行界定,所列举的信息皆为单项的个人信息隐私,表明印度政府在个人信息的范围方面比较狭窄。
参考文献:
1 Samuel Warren,Louis Brandeis.The Right to Privacy[EB/OL]. http:
//www.law.louisville.edu/library/collec⁃tions/brandeis/node/225, 2012-11-10.
2 Privacy [EB/OL].http://www.businessdictionary.com/definition/privacy.html, 2012-11-11.
3 Westin, Alan F. Privacy and Freedom [M].New York:Atheneum,1967:7.
4 The Universal Nations Declaration of Human Rights[EB/OL].
http://www.un.org/en/documents/udhr/,2012-11-14.
5 Solveig Singleton. Privacy and Human Rights: Compar⁃ing the United States to Europe[EB/OL].http://www.ca⁃to.org/pubs/wtpapers/991201paper.html,2012-11-16.
6 J Lee Riccardi. The German Federal Data Protection Act of 1977: Protecting the Right to Privacy? [J]. Bos⁃ton College International and Comparative Law Re⁃view,1983,6(1):242-272.
7 Alan F. Westin. Data Leakage and Harm[EB/OL].http://
www.privacyexchange.org/japan/dataleakEd.html,2012-11-18.
8 InfoWatch analytical center. Global Data Leakage Sur⁃vey 2006[EB/OL]。http://www.securelist.com/en/analysis/204791919/Global_Data_Leakage_Survey_2006,
2012-11-19.
9 Giorgos Rossides, DG JUSTICE, Data Protection Unit.A European Data Protection Framework for the 21stcentury: Safeguarding Privacy in a Connected World
[EB/OL].http://ec.europa.eu/sverige/documents/dp_re⁃form_presentation stockholm.pdf, 2012-11-22.
10 European Commission. Regulation on the protection of indi⁃viduals with regard to the processing of personal data and onthe free movement of such data (General Data ProtectionRegulation) [EB/OL].http://ec.europa.eu/justice/data-protec⁃tion/document/review2012/com_2012_11_en.pdf,2012-11-26.
11 阿丽塔 ·L · 艾伦,理查德 ·C · 托克音顿.美国隐私法: 学说、判例与立法[M].冯建妹,石 宏,郝 倩,刘相文,译.北京:中国民主法制出版社,2004:230.
12 The Privacy Act of 1974[EB/OL].http://www.justice.gov/opcl/privstat.htm, 2012-11-27.
13 Act on the Protection of Personal Information [EB/OL].http://www.cas.go.jp/jp/seisaku/hourei/data/APPI.pdf,2012-11-29.
14 Raghunath Ananthapur. India’ s New Data Protection Legis⁃lation[J]. SCRIPTed,2011,8(2):192-203.
15 Government of India Ministry of Communications and Infor⁃mation Technology .Draft Rules - Reasonable security prac⁃tices & procedures and sensitive personal information [EB/OL].http:
//www.huntonfiles.com/files/webupload/PrivacyL⁃aw_Reasonable_Security_Practices_Sensitive_Personal_In⁃formation.pdf,2012-12-05.