政府获取个人数据的权利及其限制
发布日期:2009-11-10 文章来源: 互联网 作者:汪全胜
现代世界很多国家通过制定政府信息公开方面的法律法规来保障社会公众对政府机关拥有信息的知情权。政府信息是政府部门在履行其职责过程中收集、获取、保存和传播发布的信息。从其来源来讲, 有这样几类: ①政府部门自身的信息, 比如政府部门的职权、工作程序等; ②政府部门在行使其行政管理职能过程中获取的公民、法人、社会组织等的信息; ③政府部门对获取的信息进行再加工的信息, 比如政府部门制定的方针、政策、措施等。其中, 政府部门在其行使行政管理职能中所获取的信息是政府部门所拥有的非常重要的信息, 在这些信息资源中, 包括了政府部门所获取的相关的个人数据(即个人信息) 。目前, 我国尚无完善的制度对政府获取个人信息的权利作出规定, 因此, 我国需要尽快出台《政府信息公开法》、《隐私权法》等法律规定。1 个人数据及个人数据权利英国《数据保护法》将个人数据定义为: “由有关一个活着的人的信息组成的数据, 对于这个人, 可以通过该信息(或者通过数据用户拥有的该信息的其他信息) 识别出来, 该信息包括对有关该个人的评价, 但不包括对该个人数据用户表示的意图。”《欧盟数据保护规章》对其界定是: “有关一个被识别或可识别的自然人(数据主体) 的任何信息; 可以识别的自然人是指一个可以证明,即可以直接或间接地, 特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”欧洲理事会在1992年的《理事会数据保护条例》的修改建议稿中将个人数据定义得更加宽泛: “个人数据是指有关一个可识别的自然人的任何信息, 不局限于以可处理形式存在的信息, 它包括任何种类和任何形式的信息, 只要这种信息是有关个人的, 不论是活着的人或死去的人; 并且只要这个人或这些人是可以识别的。”笔者比较赞成个人数据是用来直接或间接识别自然人情况的数据资料这个定义。个人数据包括以下内容: ①标识个人自然情况的信息, 诸如性别、出生日期等。②标识私人的并且与公共利益无关的活动的数据资料, 诸如日常生活、社会交往、夫妻之间的两性生活、教育背景等。③标识私人隐秘范围的数据资料, 诸如身体的隐秘部位、个人居所、旅客行李、学生书包、日记等。④与自然人上网有关的个人数据资料, 这类数据有些与以上所列举的数据有重叠的地方, 它是随着网络的普及, 公民个人从事上网行为所形成的有关个人的一些信息资料。个人数据构成个人隐私的重要内容。隐私权是公民对其个人生活秘密和个人生活自由享有不受他人干涉的权利, 它实际是一种生活的自由权, 包括隐私不被窥视、侵入、干扰和非法收集利用的权利。具体来讲, 公民对其个人数据享有如下权利: ①个人数据的隐瞒权。公民对自己的个人数据有权隐瞒, 使其不为人所知。②个人数据的控制权。即数据主体有权决定将个人数据提供给何人使用、提供数据的内容, 并有权决定对方对其所提供数据的使用权限。③个人数据利用权。数据主体可以利用自己的个人数据, 满足自己精神上或物质上的需要。④个人数据支配权。权利人可以支配自己的个人数据, 准许或者不准许他人知悉或者利用自己的个人数据。⑤个人数据收益权。即数据主体有权要求数据合法持有者对其提供的有商业或新闻价值的个人数据支付报酬。⑥个人数据了解权。即数据所有权人有权知道其所提供的个人数据被使用的目的及情况。⑦个人数据的修改权。即数据主体可以根据自己的要求以及实际情况的变化, 对其提供的某些个人数据进行修改的权利。⑧个人数据保护权。即当自己的个人数据被泄露或者被侵害的时候, 有权寻求司法保护。2 政府获取个人数据的主要方式我国尚无专门的法律规定政府机关对个人数据的获取问题, 在一些部门法中有一些零散的规定。考察我国现行的法律法规规定, 政府对个人信息的获取方式主要有以下几种:1) 登记。登记是日常生活中较为常见的政府信息获取权的方式。如公民出生之后在公安机关所进行的户口登记; 公民、法人成立企业前去工商行政管理机关进行的营业登记; 公民、法人在税务机关进行的税收登记; 公民结婚去民政部门办理结婚登记等等。公民、法人在有关政府机关履行登记手续时, 政府机关对公民有关申请进行审查, 符合条件的准予登记。公民、法人在履行登记手续时, 政府机关也获得了公民、法人一些与登记相关的信息。如户口登记就可以准确地了解当地的人口增长情况、登记人的家庭成员及相关资料等。2) 许可。行政法学上所讲的许可行为是行政机关应行政相对方的申请, 通过颁发许可证、执照等形式, 依法赋予行政相对方从事某种活动的法律资格或实施某种行为的法律权利的行政行为[ 1 ]。如公共场所营业许可、食品卫生许可、书刊发行许可、森林采伐许可、进出口货物许可、药品生产许可等等。行政许可是由行政相对人提出申请的情况下, 由行政机关根据一定的标准进行审查, 符合条件的颁发许可证的行为。在行使该种行为时, 政府机关获取了公民、法人的相关信息。3) 调查。调查是政府机关对某些事实进行的调研查实活动。比如根据《行政处罚法》规定, 行政机关发现公民、法
人或者其他组织有依法应当给予行政处罚行为的, 必须全面、客观、公正地调查、收集有关证据。在《行政诉讼法》、《民事诉讼法》、《刑事诉讼法》中也规定了司法机关的调查核实证据的权利。调查是政府机关信息获取权的一种重要方式。4) 听取意见。听取意见是我国很多法律法规规定的, 政府机关在做出某种行政决定之前听取相对人的意见或建议。《立法法》第34条和第58条规定了全国人大常务委员会以及国务院在立法时要听取有关机关、组织和公民的意见, 听取意见可以采取座谈会、论证会、听证会等多种形式。另外《行政处罚法》、《价格法》都规定了听证会听取意见的方式。听取意见是政府机关信息获取权的行使方式, 并以听取的意见与建议为依据与参考, 作出行政决定。5) 统计。统计是政府机关对关系国家利益与国计民生的重大问题进行统计调查、统计分析, 提供统计资料和统计咨询意见的行为。它是我国特定国家机关如国家统计局以及地方各级统计局根据法律法规的规定从事的数据调查与统计的行为, 如关于人口普查、物价统计、国有资产统计等。统计是我国法律规定的政府获取信息权的行使方式。6) 检查。检查是政府机关对公民、法人、社会组织等进行检验查实的行为, 它是政府机关的一种法定监督行为。如工商行政管理机关对市场所进行的执法检查活动,上级国家机关检查下级国家机关某项事项的完成情况等。政府机关通过检查行为, 了解有关主体有关任务的执行与落实情况。当然, 以上这些是政府机关获取个人数据的主要方式, 并且不仅仅限于以上这些, 这些方式之间也不是界限分明的, 它们互相渗透, 比如, 统计方式中也有检查、调查方式等。3 政府获取个人数据须遵循的基本准则个人数据是构成公民隐私权的主要内容。为了防止侵犯公民隐私权, 一些国家通过立法规定政府机关在获取个人数据或带有个人数据的信息时须遵守一定的准则, 如美国1974年制定的《联邦隐私权法》、新西兰1993年制定的《隐私权法》、荷兰1998 年制定的《个人数据保护法》。美国《联邦隐私权法》规定了政府机关必须通过法定程序与方式收集涉及个人隐私的档案信息, 允许个人要求修改与其有关的档案内容; 联邦政府在收集对某人不利或者有害的资料时, 必须向该公民收集; 在收集资料时,应向被收集者表明该资料所依据的权利、收集该资料的性质和用途及不提供该资料的法律后果; 所有联邦机构只能收集与该机构职责有关的资料; 各联邦机构保存的数据必须做到具有精确性、相关性、完整性和公平性; 除法律有特别规定者外, 未经与资料有关当事人之同意, 政府机关不得将属于个人隐私档案的内容向任何第三人泄露; 对任何隐私资料的公开, 都应作出完整的记录等。新西兰《隐私权法》则规定了12项信息隐私原则: 收集个人信息的目的合法; 个人信息来源于本人; 从本人处收集信息的规则; 个人信息的存储与安全; 获得个人信息; 修改个人信息; 信息使用前对准确性等的审查; 机关持有个人信息不得超过必要的时间; 使用个人信息的限制; 公开个人信息的限制; 独特的识别标志等[ 2 ]。当然这些原则不仅仅涉及个人信息的收集, 还涉及到个人信息的持有、使用、公开等。荷兰《个人数据保护法》对政府机关收集个人信息的原则作了如下规定: 个人数据处理应当依法进行, 方式合理得当; 个人数据收集必须准确属实, 合法正当; 数据主体对其个人数据处理已经作出明确同意; 个人数据的处理不能超出该数据的获取目的的范围; 个人数据的收集目的和处理目的实现后, 该个人数据不得以数据主体被识别的形式继续储存等。通过比较分析与研究, 我们认为, 政府机关在收集个人数据或信息时, 应遵守以下准则:1) 政府部门只能收集与履行职责有关的信息。超越职权或没有职权收集信息的权力应严格禁止。对于个人数据主体而言, 非有法律规定, 可以拒绝政府机关对其个人数据的收集, 非为行政机关职权范围之许可, 数据主体也可以拒绝提供与政府机关履行职责有关的信息。2) 收集或获取信息的政府部门必须事先向法定的主管部门申请授权并报告采集的目的与方式, 同时向被获取者说明信息获取的目的和法律依据。如果不是法定的强制性信息采集行为, 公民、法人或其他组织有权予以拒绝。3) 不得建立不为人所知的政府信息秘密存储系统,特别是在涉及到个人信息、个人隐私方面, 防止对公民、法人或社会组织造成不必要的损害。4) 当信息采集行为可能导致对信息主体不利时, 或者为了确保政府机关所收集的个人数据可靠, 政府机关应尽可能向其本人直接采集而不能任意向其他人收集。因为第三人所提供的关于他人的信息可能是错误的、过时的、不负责任的。如果政府机关根据第三人提供的信息对其作出不利决定, 对受到影响的个人而言是不公平的。5) 政府机关收集个人信息的方式必须合法、合理,政府机关不得以非法手段、不公平或不合理侵犯个人的私人事务的方式收集个人信息。6) 政府机关必须明确获取相对人的信息量的使用与保存期限, 并保证所收集与拥有的信息的准确性、完整性与适时性。使用与公开相对人的信息不能与获取该信息的
目的相违背。政府机关在收集完个人信息后, 持有信息的机关应该采取合理措施确保存储的安全, 防止信息丢失,避免未经持有机关的授权就获得、使用、修改、公开该信息以及以其他方式错误使用该信息, 并且持有个人信息的政府机关持有该信息不应超过合法使用该信息所要求的时间。7) 除常规使用或法律特许的情况以外, 涉及到信息主体的信息, 在未经信息主体许可的情况下, 不得公开。涉及到信息主体的信息如许可公开的话, 应对公开的时间、性质、目的和对象有完整的记载, 并按法定的期限保存。8) 信息主体有权了解涉及其本身的信息的存放地点、存储内容和使用情况, 对其认为有错误、有遗漏或已过时的信息应准许提出修改意见。数据主体有权获得有关自身信息的权利, 有权了解政府机关所掌握的有关自己的信息情况, 以确定政府机关持有的有关自己的信息是否准确。如果政府机关持有的个人信息不准确或已经过时, 利害关系人有权请求修改政府机关持有的个人信息。9) 政府机关对涉及到信息主体的信息进行转让时,必须事先征得信息主体的授权并明确受让部门或个人的保密义务。10) 滥用或使用不实的信息主体的信息导致信息主体的权利受损害时, 应依法承担法律责任。4 政府信息公开过程中个人数据权利的立法保护模式 从国外立法的经验来看, 关于个人数据权利的保护即隐私权的保护主要有两条法律途径: 一是民法保护, 二是行政法保护。前者针对平等民事主体之间侵权, 设立民事救济途径。后者则针对政府机关在其工作中所收集、利用和处理的个人信息, 要求政府机关合理收集、使用以及公开这些个人信息, 防止行政机关滥用个人信息, 侵犯个人隐私权。我国法律一直非常重视个人隐私权的民法保护。1986年我国通过的《民法通则》原则性地规定了保护公民个人隐私内容: ①确认并保护公民的生命健康权、姓名权、肖像权、荣誉权; ②宣示性地规定公民的人格尊严受法律保护; ③规定了侵害公民生命健康的赔偿责任; ④规定了侵害公民姓名权、肖像权、荣誉权、名誉权的民事责任[ 3 ]。在一些司法解释中对侵犯隐私权的案件作了解释,如《最高人民法院关于适用〈中华人民共和国民事诉讼法〉若干问题的意见》、《最高人民法院关于审理名誉权案件若干问题的解答》、《最高人民法院关于未经对方当事人同意私自录制其谈话取得的资料不能作为证据使用的批复》等。但是在行政法领域, 对个人隐私的行政法律保护问题一直是我国法律的空白。政府信息公开既强调公众获得政府信息权利, 也强调保护个人数据在内的不应公开的信息例外。两者并行不悖, 相互依存。但关于既保障公众的信息获取权又保护公众的个人隐私权, 各国采取的立法模式不一样, 主要的立法模式有3种类型: 一是单独制定个人数据保护法或隐私法保护个人信息, 信息公开法对个人的信息不加以规定,如德国、新西兰; 二是在政府公开法中规定个人信息保护的基本原则与制度, 不再制定单独的个人数据保护法, 如泰国; 三是既制定个人数据保护法, 同时也在信息公开法中规定个人信息保护的基本原则, 如美国、欧盟等。应该说, 公众的政府信息获取权随着公众权利的发展逐渐被人们所认识, 并成为国际性的立法潮流。最早制定政府信息公开立法的是瑞典, 瑞典1766年制定的《出版自由法》规定了公民为出版而阅读公文的权利。其后,芬兰于1951年制定《公文书公开法》; 丹麦于1970年制定《行政文书公开法》; 挪威于1970年制定《行政公开法》; 法国于1978年制定了《行政文书使用法》; 1978年荷兰也制定了《公共信息使用法》; 加拿大于1982年制定了《情报自由法》; 英国于1985年制定了《地方自治法》, 作为国家行政机关的《信息自由法》也于1999年颁布施行; 澳大利亚也于1982年制定了《信息自由法》;韩国于1996年制定《公共机关情报公开法》; 日本也于1999年5月制定了《关于行政机关保有的情报公开的法律》。美国的信息公开制度则是由一系列的法律构成。美国1966年制定的《情报自由法》要求行政机关依职权或依申请向社会公开政府信息; 1976年制定的《阳光下的政府法》进一步要求, 行政机关的会议必须公开举行,公众可以观察会议的进程, 取得会议的信息和文件; 1974年制定的《隐私权法》规定行政机关对个人信息的搜集利用和传播必须遵守一定的规则; 1996年《电子情报法》对电子情报的检索、公开、期限等问题作了具体地规定。但是公众的个人隐私权保护也是不能忽视的, 这是各国立法的一个特点。如瑞典1973 年通过了《数据法》(Data Act of 1973) , 1982 年又出台了《瑞典情报法案》( The Swedish Data Bank Statue) ; 联邦德国1974年出台了《联邦数据保护法》( Federal Data Protection Act) ; 法国1978年出台了《法国数据处理、档案及权利法》( TheFrench Data Processing, Files and L iberties Law ) ; 美国1974年制定了《联邦隐私权法案》( Privacy Act of 1974) ,1998 年专门通过了针对儿童的网上隐私权保护的法案《网上儿童隐私权保护法》(Children’ s Online PrivacyProtection Act) , 并于2000年6月生效。最具
有代表性的是美国1984年的《数据保护法》(Data Protection Law) ,详细规定了保护个人数据基本原则。笔者认为, 我国应借鉴美国的立法保护模式, 既要制定《政府信息公开法》, 又要制定《隐私权法》。《政府信息公开法》原则性地规定个人信息保护的基本原则: 个人信息权利受法律保护, 个人有权获得自己信息的权利,有要求修改不正确记录的权利, 有限制个人信息使用的权利。《隐私权法》则具体规定隐私的范围、公民所享有的隐私权利, 其他社会主体尤其是政府机关所应承担的隐私义务以及违反隐私权所应承担的法律责任等。这一点已得到人们的共识, 目前, 我国已启动了《政府信息公开法》和《隐私权法》的立法起草工作。在不久的将来, 我们会建立起一套以政府信息公开法为基础, 以《保守国家秘密法》、《国家安全法》、《商业秘密保护法》、《隐私权法》等为主体的政府信息立法体系。参考文献1 罗豪才主编. 行政法学. 北京: 北京大学出版社, 2001. 1222 周汉华主编. 外国政府信息公开制度比较. 北京: 中国法制出版社, 2003. 2673 张新宝. 隐私权的法律保护. 北京: 群众出版社, 1997. 81作者简介: 汪全胜, 男, 1968 年生, 博士, 副教授, 硕士生导师。主要研究方向: 法理学、立法学。