“足够保护”标准对全球个人信息保护制度的影响
开篇:润墨网以专业的文秘视角,为您筛选了一篇“足够保护”标准对全球个人信息保护制度的影响范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
[摘 要] 欧盟《数据保护指令》(以下简称指令)第25条有关欧盟成员国公民个人信息向非成员国境内传输的要求,对欧盟与其他国家之间的商务贸易、尤其是电子商务贸易构成了潜在的障碍和威胁。为了消除这种障碍和威胁,包括美国在内的许多国家不得不通过各种方式以达到其“足够保护”的标准。凭借其强大的市场竞争力,欧盟《指令》所确定的“足够保护”标准对其他国家的个人信息保护制度产生了重大影响,从而导致个人信息保护制度在立法模式、保护原则和标准等方面出现高度的趋同性。
[关键词] “足够保护”标准;个人信息保护;影响
[中图分类号] F114.41 [文献标识码] A [文章编号] 1006-5024(2007)04-0132-03
[作者简介] 向玉兰,佛山科学技术学院法律系讲师,法学硕士,研究方向为经济法。(广东 佛山 528000)
随着网络信息技术的发展和经济全球化进程的加快,个人信息不断被人误用或滥用,个人信息隐私面临前所未有的威胁。为了保护个人信息隐私,保障个人信息安全,不少国际组织和国家先后建立了个人信息保护制度。需要特别指出的是,在20多年的发展历程中,现有的个人信息保护制度越来越表现出高度的趋同性。本文试图从欧盟《指令》的域外适用对其他国家和地区立法产生的影响,说明保护标准的趋同性对中国个人信息保护立法的借鉴作用,并提议建立国际个人信息保护体系。
一、OECD《隐私指南》和EU《数据保护指令》
(一)OECD《隐私指南》。1980年9月23日通过的《关于保护个人隐私和个人信息跨境流通指南》即OECD《隐私指南》是第一部比较全面地保护个人信息的多边立法,适用于公共部门和私营部门的个人信息保护,保护因处理方法、信息特征或使用环境等原因而受到伤害的个人信息。《指南》要求各成员国采取适当的国内立法,鼓励和支持自律模式,采取合理措施帮助个人行使其权利,若信息控制者违反隐私政策,要保证能够启动救济和执行机制,提供充分的司法救济措施,确保个人信息主体不受歧视。
《隐私指南》第二部分第7-14条规定了个人信息境内流通的原则,同时确立了“自由流通和合法限制”的个人信息跨国流通原则。《隐私指南》虽然为各成员国提供了个人信息保护的一般原则和最低保护标准,但具体政策措施则由各成员国根据其各自不同的政治、经济和文化背景以及各国的国家利益和权利等确定。OECD《隐私指南》的颁布与实施引起了国际社会对个人信息隐私保护问题的普遍关注,推动了各国、各地区的个人信息隐私保护立法。
(二)EU《数据保护指令》。欧盟1995年通过、1998年生效的《关于个人数据处理与数据自由流通的保护指令》即《数据保护指令》承袭了OECD《隐私指南》中所确定的基本原则和标准,适用于任何个人信息(本文用“信息代替”《指令》中的“数据”data以统一全文的术语)处理,不受部门和使用环境的限制(公共安全和公共政策除外)。《指令》对信息控制者采取事前干预措施,并允许个人对其本人的个人信息行使事后控制权。信息控制者在处理信息之前必须履行一定义务,如将其身份或其人的身份和收集信息的目的告知信息主体;只能为特定目的收集和使用信息。但有些义务受一定例外情况的限制,如《指令》要求信息控制者在信息主体明确表示同意的情况下才能处理个人信息,但在下列情况下,即使没有取得明确的同意,信息控制者也可以处理个人信息:(1)为了履行信息主体为当事人的合同需要;(2)为履行法律义务需要;(3)为保护信息主体的主要利益需要;(4)为了公共利益、或为了行使官方权力而必须对其披露的信息;(5)为了信息控制者或第三方的合法利益所需,除非该合法权益藐视了信息主体的基本权利和信息自由。很明显,《指令》第7条给信息控制者提供了许多灵活的操作,在大多数情况下,他们可依赖这些法律除外条款排除自己在未征得信息主体同意的情况下而处理信息的责任,因此,他们在收集非敏感性个人信息时尽量避免征得信息主体的同意。然而,《指令》特别要求,在个人信息因为直销目的而首次向第三者披露之前,必须告知信息主体,该主体有权反对披露或使用其个人信息。而且,对关乎信息主体重要利益的敏感信息,一般是禁止利用或处理的,或只能在用户通过查看表示其同意或通过定入选择表示其同意的情况下才能对其信息进行处理。敏感信息包括有关种族、民族、政见、或哲学信仰、工会会员资格、健康和性生活等方面的信息。
根据《指令》第16-17条赋予个人的事后控制权,个人对其自己的信息拥有永久的访问权,有权获得有关自己的信息副本并更正错误信息;有权了解其信息控制者的身份及其使用信息的方法,并有权阻止信息控制者将其收集到的个人信息用于非特定或非法目的。
该《指令》在很大程度上发展了OECD《隐私指南》中确定的有关保护个人信息和隐私的基本原则,试图消除个人信息在成员国之间跨国流通的障碍,同时保护在成员国之间和在成员国与第三国之间流通和传输的个人信息。该《指令》第1条明确要求成员国将个人隐私权、尤其是个人信息处理过程中的个人隐私权,作为自然人的基本权利加以保护。第25 条第1款规定,如果欧委会认定某第三国在个人信息隐私保护方面未能达到足够的保护水平,经欧盟成员国有效多数同意,欧盟委员会可以决定禁止一切个人信息向包括美国在内的该第三国传输。保护水平是否充分应当依照整个信息传递过程的情况来具体评判,综合考虑信息本身的特点、传递目的和期限、信息来源国和目的国、该第三国的执业规则和安全措施等。该指令的主要目的之一是,通过建立“充分保护”的认定标准,以保证在成员国和第三国对个人信息实行同等水平的保护。为了在保证个人信息在非成员国得到足够保护的前提下,促进个人信息向非成员国流动,欧盟委员会(EC)于2001年12月起草了一系列适合与非成员国之间的个人信息交换的标准合同条款。
二、欧盟《指令》对其他国家个人信息保护标准的影响
(一)美国分散个人信息保护制度和欧美“安全港协议”
1.美国个人信息保护制度简述。美国没有普遍适用于私营部门的一般法律规定,私营部门处理个人信息的行为较少依赖政府干预,而更多依靠市场调控,通过行业自律模式保护个人信息。国会对强大的直销企业不予任何干预,虽然在市场压力的作用下,各公司或行业协会制订了大量的行业标准和内部政策,但这些自律式制度是自愿参加的,没有约束力,导致企业对个人信息可以任意进行编辑、比对、买卖、交换和分析等,个人信息隐私面临巨大威胁。
这种公、私部门适用不同标准的做法引发了许多问题。一方面,在就业、医疗、个人伤害保险、家庭理财、大部分交通、通信和娱乐服务等方面扮演着日益重要角色的私营部门在个人信息处理方面所受的法律约束却比公共部门少得多。另一方面,尽管私营部门利用自律模式保护个人信息隐私,但在这种自律模式下,隐私保护规则的制订、隐私认证标志的授予、个人投诉的受理等都是由私营协会负责,隐私保护主义者怀疑,个人是否能指望公司或由公司资助的私营协会来解决他们的隐私保护问题,所以他们主张立法干预。
2.欧美个人信息保护制度的冲突和“安全港协议”。欧盟境内的实践表明,个人信息隐私保护制度本身不是贸易的障碍,而这种保护制度的不够协调才产生潜在的壁垒,通过协调信息隐私保护制度可以确保欧盟境内的信息自由流动。同样,正是由于欧美之间的隐私保护法律制度不够协调才导致欧盟有可能阻止信息向美国传输,而欧盟是一个拥有巨大市场的强有力政治实体,对跨太平洋信息流通的潜在限制将关系到欧美贸易的前途,也关乎美国经济的发展。因此,欧盟《数据保护指令》被看作是欧盟成员国与美国公司之间未来跨太平洋商业交易的潜在威胁,主要担心这种法律规定引起的冲突可能扰乱和破坏欧盟与美国公司之间的跨境交易,甚至会遭到欧盟有关法律授权的权利机构的。为此,在欧盟《指令》颁布以后,美国官方作出了认真的反应,即在敦促美国企业加强其内部的隐私保护政策以避免与欧盟政策发生冲突的同时,努力与欧盟磋商,企图找出适当的解决方法。在信息隐私保护问题的谈判中,欧盟强大的市场力量为欧盟官员提供了相当重要的谈判筹码。欧盟市场对美国企业来说至关重要,欧盟是美国最大的贸易伙伴,美国的大部分外国投资都来自欧盟。在欧美贸易往来中,美国公司的业务运作在很大程度上依赖信息的流通,包括供应商、顾客、顾问、销售商和其他服务提供商以及子母公司、合营企业和合伙公司等之间的信息和信息流通。所以,欧盟限制个人信息向第三国流通的要求对美国企业造成了巨大的潜在威胁。
为了消除这种潜在的威胁,美国商务部与欧盟委员会进行了长达数年的磋商,并于2000 年在布鲁塞尔就如何保护电子商务交易中的隐私权问题达成了安全港协议。安全港协议要求所有签字企业或组织在收集信息时或收集前将其收集的信息种类、使用目的等“清晰而明确”地通知信息主体,如果是敏感信息,则必须经信息主体明示同意方可收集。申请参加该协议的组织必须保证信息主体能够获取有关其个人的任何信息,并有机会更正、修改或删除不准确的信息。根据该协议,美国企业在与欧盟成员国的个人和企业进行网上交易时,首先要向欧盟“安全港”监管机构提出进行网络信息传输活动的申请,同时还要遵守由美国商务部和欧盟内部市场理事会共同制定的上述规则。
(二)欧盟《指令》对其他国家和地区个人信息保护制度的影响。欧盟《指令》所确立的“足够保护”标准不仅影响了美国,而且对其他国家和地区的个人信息保护制度产生了较大的影响,香港、加拿大、日本等先后制订的个人信息保护法都在一定程度上借鉴了欧盟《指令》所确立的原则来规定信息主体和信息收集者之间的权利义务关系,如香港1996年12月生效的《个人信息(隐私)保护法令》所规定的六大原则、加拿大2004年生效的《个人信息保护和电子文档法》(PIPEDA)所采用的十大原则等,都与《指令》所确定的原则有着非常密切的关系。日本国家立法会于2003年5月23日颁布、2005年4月1日全面生效的《个人信息保护法》也在多方面借鉴了欧盟《指令》的规定。该法是日本目前最完整的个人信息隐私保护立法,与欧盟《指令》一样,是一部综合性的个人信息保护法,适用于公共部门和私营部门,保护“与活人有关的、可以用来辨别特定个人的信息”(第2条)。信息收集主体必须遵守“同意原则”、“目的特定原则”、“告知原则”、“安全保障原则”等(15-25条),信息主体有权要求个人信息控制者及时披露其个人信息或当企业违反其义务时须立即停止使用其个人信息(25-27条)。但该法的适用范围不如欧盟《指令》广,《指令》不但适用于欧盟境内的隐私保护,而且通过“足够保护”标准将其适用范围扩大到欧盟之外的国家和地区,对欧盟之外的企业和组织产生了重要影响,而在日本境外处理或使用个人信息的外国企业和组织不受日本《个人信息保护法》的约束。因此,日本《个人信息保护法》对日本境外的公司企业等的影响没有欧盟《指令》大,不会与其他国家的法律规定产生冲突。该法的执行机制和美国的个人信息保护模式比较相似,即由各部门负责其所辖领域的个人信息保护问题,国家政府和地方公共实体有权根据法律精神或各地区特征制定和执行必要的措施以保障个人信息得到适当处理。可见,从立法模式和保护标准看,该法综合了欧盟和美国的做法。
三、欧盟《指令》和其他国家的立法对我国个人信息保护制度的影响
作为中国重要的贸易伙伴,欧盟、美国和日本等国家和地区的个人信息保护制度势必影响我国与这些国家(地区)之间的经贸合作。如果不制订符合国际社会要求的个人信息保护法,从长远看会损害我国经济发展,尤其是电子商务经济的发展。为此,制订完善的个人信息保护制度已成为当务之急。可喜的是,我国专家学者在认真研究欧盟、美国及其他发达国家的个人信息保护法的基础上,结合我国实际,已于2005年初出台了《个人信息保护法》专家建议稿,国务院已经启动该法的立法程序。另外,为了满足外国合作者对我国个人信息保护水平的要求,减少企业因个人信息保护不当可能造成的损失,全国重要的软件外包基地――大连 ,已于2006年4月1日在全国率先实施了个人信息保护方面的行业标准――《大连软件及信息服务业个人信息保护规范》,为中国个人信息保护立法提供了宝贵的经验。但是,作为地方行业标准,其效力层次和适用范围非常有限,因此,政府应该加快立法进程,尽快出台能普遍适用的个人信息保护法。
四、结语
如前所述,欧盟《指令》通过“足够保护”要求将保护义务延伸到其他管辖区的信息收集者身上,从而更好地保护了信息主体的信息利益,促进个人信息的跨境流通,但欧盟的立法初衷似乎没有如愿实现,因为到目前为止,大多数国家的个人信息保护水平还没有达到欧盟的要求,只有加拿大、阿根廷、匈牙利和瑞士等极少数国家的个人信息保护制度得到了欧盟的认可,个人信息仍然面临在全球范围内被侵害的危险,在一国受保护的个人信息也许在其他国家却得不到保护。因此,有必要在全球范围内建立统一的个人信息保护体系,除在个人信息保护制度方面达成地区性和全球性共识外,可以通过签订各种国际多边或单边条约如“法律协作条约”、“法律承认和执行条约”、“司法判决相互承认条约”的方式建立强有力的合作网络,在控制和规范个人信息跨国流通方面建立跨国司法合作,并在信息交流、跨国调查、证据收集、判决执行等方面展开全面合作,这也是OECD《隐私指南》对其成员国的要求。除了国家之间的合作外,还可建立地区间合作,如亚太经济组织成员国可以与欧盟成员国合作,也可以与其它地区或经济组织合作,这样,协作网络就会不断扩大,为最终建立统一的个人信息国际法律保护框架奠定基础。但要想成功建立这一网络,首要问题是就个人信息保护的技术标准和保护原则达成国际协议,这样可以满足保护个人信息隐私和促进个人信息顺利流通的双重目的,增加消费者交易和清除不必要的信息流通障碍,从而直接或间接地促进自由贸易。
参考文献:
[1] OECD《隐私保护指南》第2条,,2006-08-10.
[3] Elbert Lin. Prioritizing Privacy: A Constitutional Re-sponse to the Internet, 17 Berkeley Tech. L.J. 1085 (2002)
[4]Shaffer,Gregory.Globalization and Social Protection: The Impact of EU and International Rules in the Ratcheting up of U.S. Data Privacy Standards.Yale Journal of International Law, Vol. http://papers.省略,2006-08-10.