欧盟网络隐私权的法律法规保护及其启示
发布日期:2009-11-11 文章来源: 互联网 作者:徐敬宏
摘要:欧盟十分重视保护隐私权,实行着以法律规制为主导的网络隐私权保护模式。我国也应积极向欧盟学习:可以先行制定专门的《网络隐私权保护条例》之类的法规,争取《中华人民共和国个人信息保护法》早日出台;同时也应借鉴美国与欧盟之间达成的“安全港口协议”,早日与欧盟达成类似的协议,促进我国的电子商务和互联网产业。
关键词:保护 隐私 欧盟网络
欧盟采用以法律规制为主导的网络隐私权保护模式,其基本做法是通过制定法律的方式,从法律上确立网络隐私权保护的各项基本原则与各项具体的法律规定和制度,并以为基础,采取相应的司法或者行政救济措施。欧盟成员国有大量的保护隐私和个人数据的规定,这些规定也并不是全部起源于欧盟机构,比如有欧盟成员国参与的经济合作与发展组织[1]和联合国等组织也都实行了对重要数据进行保护的原则。在这些种类繁多的关于隐私和个人数据保护的规定中,1995年欧盟数据保护指令是欧盟数据和个人信息保护规章的核心。
另外需要指出的是,由于欧盟的指令是采用综合立法的模式,将网络隐私的内容包含在个人信息里面,所以在一些指令中甚至没有出现网络隐私的字样,而在网络保护中的网络服务提供商,实际上就是指令中所称的数据(或资料)控制者(data controller)。
一、欧盟保护网络隐私权的法律法规
欧盟各成员国一直都比较重视个人隐私权的保护,有着重视和保护隐私权的
传统。早在1973年瑞典就颁布了《数据法》,1978年,法国颁布了《数据处理、档案及自由法》,1984年英国制定了《数据保护法》等。
另外,与欧盟成员国有特殊关系的国际组织,也非常重视对网络隐私权,特别是针对个人数据资料的保护。1980年9月23日,经济合作与发展组织(OECD,Organization for Economic Co-operation and Development)颁布的《关于保护隐私与个人数据跨国界流动的准则:理事会建议》(Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)生效,该准则强调指出,鉴于信息技术已经进入经济和社会生活各领域,同时计算机数据处理的重要性和能力日益扩大,决定颁布保护隐私和私人数据跨国界流动国际政策的准则。
该准则规定了国家应用的基本原则,包括收集限制原则、数据质量原则、说明目的原则、利用限制原则、安全保护原则、开放性原则、个人参与原则和负责任原则等,国际应用基本原则为自由流动与法律限制。[2]尽管该准则只是一个建议,对OECD各成员国并无强制力,但这些原则已被大量应用在国家法规或自律规章中,而且目前仍然广泛地应用于公共和私营部门。
欧盟也一直在努力促进各成员国之间在保护隐私权和个人数据方面的协调和统一,制定了一系列的法规,主要包括:
1.1981年1月28日,欧洲理事会(the Council of Europe)的各成员国签署《欧洲系列条约第108号条约:有关个人数据自动化处理之个人保护公约(斯特拉斯堡,28.1.1981)》(European Treaty Series-No. 108. Convention For the Protection of Individuals with Regard to Automatic Processing of Personal Data,Strasbourg, 28.1.1981)。公约明确规定对于个人数据进行自动化处理时,应当遵循下列原则:a.公正、合法地获取和处理;b.以明确、合法的目的进行存储,并不得以不符合这些目的的方法使用;c.依据存储数据的目的,处理必须适当、相互关联并且不超越此目的范围;d.数据必须准确,必要时随时更新;e.数据以特定形式存储,可允许对数据主体进行与数据保存目的相应的必要的识别。对于特殊类别数据(敏感数据),公约也做了规定:泄露种族血缘、政治见解、宗教或者其他信仰的个人数据,关于健康或者性生活的个人数据,原则上不得进行自动化处理,除非国内规定了适当的保护措施。[3]另外,该公约还对数据安全、数据的跨国传输等内容进行了规定。该公约于1985年10月1日生效。
2.1990年9月,欧盟委员会(the European Commission)制定了关于个人数据保护指令的草案。1992年,欧洲议会(the European Parliament)通过了该草案,同时也采取一系列的修正案。因此,上述两个草案也被称为1990年指令草案和1992年指令草案。[4]1995 年10月24日,欧洲议会和欧盟制定通过《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)。该指令是欧盟数据保护规章的核心,制定了一系列需要所有成员国实施的原则和规则。它确保欧盟内数据的自由流动并为个人数据保护设定了共同的标准。其所建立的原则适用于私人或商业生活的一切领域。[5]
3.1997年9月15日,欧盟委员会通过了《电信部门个人数据处理和隐私保护指令》(DIRECTIVE 97/66/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector)。该指令除了对1995年的个人数据保护指令进行了补充之外,还特别强调了电子通信部门的有关安全、保密等相关原则。[6]该指令已为2002年7月的指令所替代,不再有效。
4.1999年,欧盟通过了《关于在信息高速公路上收集和传递个人数据的保护指令》,寻求个人权利的保护、网上信息交换的保密性和资料自由流动之间的平衡,其中尤其强调了网络服务商的责任和对用户个人自我保护意识的培养。[7]
5.2000年12月18日,欧洲议会和欧盟理事会通过《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》[Regulation (EC)No.45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the community institutions and bodies and on the free movement of such data],该规章成为欧共体2001年第45号规章。该规章第一章总则认为,欧共体的机构或组织,应当保护自然人的基本权利和自由,尤其是应当保护他们与个人数据处理有关的隐私权。既不应当限制也不应当禁止个人数据在他们之间的自由流动,以及限制或禁止个人数据自由流动至受实施95/46/欧共体指令的成员国的国内法管辖的数据接收者。规章第二章是关于个人数据处理合法性的一般性规则,分为数据质量原则、合法处理数据的标准、数据处理的特殊分类、应向数据主体提供的信息、数据主体的权利、豁免与限制、数据处理的机密性与安全性、数据保护官员等部分;第三章为救济措施;第四章为欧共体内电信网络环境下的个人数据和隐私保护;第五章规定,设立独立监督机构:欧洲数据保护监督员;第六章为最后条款。另外,还有5条附件。[8]
6.2002年7月12日,欧洲议会和理事会又通过《关于电子通信领域个人数据处理和隐私保护的指令》[Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector(Directive on privacy and electronic communications)],用以取代1997年的《电信部门个人数据处理和隐私保护指令》。
欧盟通过上述一系列法规和指令,建构起了一套完备的网络隐私权保护的法律框架,为用户、网络服务商、政府等方方面面提供了清晰可循的原则。但在所有的指令中,1995年指令和2002年指令两个文件被证明对建立欧洲信息社会的制度具有至关重要的作用。
二、对欧盟模式的评价
欧盟对于网络个人隐私信息的保护,主张订立严格的保护标准,并通过所设立的特别委员会,敦促各国以立法的形式来保护网络隐私权。欧盟对网络隐私权的保护,最重要的特点在于该指令的第25条,它对与欧盟有电子交易的他国网络隐私权的保护同样提出了要求,因此也自然而然地将欧盟所确立的网络隐私权的保护标准,提升到了国际标准的地位,从而使得在国际范围内出现了大规模针对网络隐私权保护的立法活动。
为什么欧盟会选择以法律规制为主导的网络隐私权保护模式呢?首先,由于欧洲在二战期间尝尽了纳粹独裁的监视和控制的苦头,因此欧盟各国都比较重视个人隐私权的保护,一直有着重视和保护隐私权的历史。其次,欧盟的成员国比较多,而且各国的法律法规都不尽相同,对于个人数据等隐私权内容的保护,在欧洲内部各国也很不统一,因此,要想尽快在保护网络隐私权这一领域步调一致,更好地发展信息社会的各种跟互联网相关的产业和应用(比如电子商务、电子政务等),最有效的方法是通过统一的法律法规来协调。
欧盟主张立法规制模式,非常注重对于个人隐私权益的充分保护和尊重。在这种模式之下,对于网络服务提供商在网上的各种各样的搜集用户数据和隐私的行为,都通过具体的法律法规,来进行明确的规定和限制。如此,网络服务提供商在网上搜集用户隐私材料的行为更规范,相对于用户来讲更透明,使网络用户的个人隐私更容易得到保护。然而,这一模式的负面影响也是显而易见的,它无疑增加了网络服务提供商的法定义务和过多的责任,无疑增加了以网络服务提供商为代表的整个信息产业的成本,甚至会损害信息产业的利益并阻碍网络的发展。
三、欧盟模式对美国等国家的影响
欧盟通过上述一系列法规和指令,建构起了一套完备的保护网络隐私权的法律框架,为网络服务商、普通网民和电子商务消费者等各方都提供了清晰可循的原则。
由于欧盟是世界上最主要的几大市场之一,加上欧盟在互联网和电子商务等相关领域一直也占据着举足轻重的地位,因此,当欧盟主张采取严格的保护标准,并通过所设立的特别委员会,敦促各国以立法的形式来保护网络隐私权的时候,无形之中也是将自己的立法标准提升到国际标准的重要地步。在欧洲,非欧盟成员国的一些国家自然容易受其影响,欧洲经济区内的三个非欧盟成员国(挪威、冰岛和列支敦士登)[9],实际上也是严格地执行着欧盟的标准。到目前为止,美洲和亚洲的大多数国家,都缺乏完整的保护网络隐私权的法律法规,当这些国家开始颁布较为详尽的与网络隐私权保护相关的法律时,经常容
易受到欧盟的影响,借鉴其保护模式。比如,我们很容易从阿根廷2000年10月4日颁布的《个人数据法》看到欧盟指令的影响。[10]也正因为如此,在国际范围内,出现了大规模的以欧盟标准为参照的保护网络隐私权的立法活动。
另外,从前面的分析不难看出,在对网络隐私权和个人资料的保护方面,相对美国而言,欧盟国家采取了比较严格的标准。比较严格的欧盟指令,给美国造成了相当大的压力。美国作为全球最大的经济强国,其跨国公司遍及全球,随着网络的普及和电子商务的飞速发展,客观上要求个人信息等数据的全球自由流通。美国是信息技术最先进的国家,其电子商务的发展是世界上最发达的,在资料收集、信息处理方面具有强大的优势,是全球最大的资料进口和信息出口国,也是个人信息资料跨国流通获益最多的国家。美国自然很是希望继续保持这种优势,继续让个人信息等数据实现自由流通。然而,美国又正属于欧盟95指令中所指的“欠缺完善隐私权保护之第三国”。
为此,许多美国机构担心欧盟实施个人数据保护指令可能带来的影响,同时也对不了解欧盟所谓“适当”的保护标准具体指什么感到担忧。为了与欧盟在个人数据流通方面加强沟通,也为了避免被拒于具有重要地位的欧盟电子商务市场之外,美国于1998年4月11日发布“国际安全港隐私保护原则”(Safe Harbor Privacy Principal),共有七大原则,分别为通知、选择、转送、安全、资料完整、渠道及执行,所揭示的隐私保护原则与欧盟95指令相似,只不过该原则是采用由业者自愿加入的方式,业者承诺遵守相关原则进行个人资料管理与接受消费者申诉,作为美国自律模式之规范个人资料处理依据。[11]但这与欧盟的标准还有一段距离。
美国和欧盟经过长达一年半的谈判,终于在2000年3月14日取得突破性的进展,提出了双方均可接受的建议。这项建议的内容为,如果美国产业对所谓的“安全港口协议”(Safe Harbor Agreements)表示同意,就可以在进行严格隐私权保护的欧盟进行交易。这项提议已于2000年6月获得欧洲议会的通过。美国商务部也于2000年7月21日公布了这一协议。
该协议仍然包括上述1998年“国际安全港隐私保护原则”中的七大原则[12]: 1.告知(NOTICE)。企业必须告知资料本人资料收集、使用的目的,投诉的方式,向第三方披露个人资料的类型以及本人选择或限制企业使用、披露个人资料的方法,而且通知必须使用清楚、明确的语言。2.选择(CHOICE)。资料本人有权决定其资料是否向第三方公开或被用于与最初收集目的不同的其他目的,为实现选择的权利,企业应提供明确、可行的选择机制。对于敏感资料利用,尤其应经过本人肯定、直接的授权。3.转送(ONWARD TRANSFER)。为向第三方披露个人资料,企业必须适用通知、选择原则,否则,当第三方对本人构成侵权时企业不能免责。4.安全(SECURITY)。企业处理、保有、利用或传播个人资料时,必须采取合理的措施以防止资料被丢失、滥用、歪曲和毁坏。5.资料完整(DATA INTEGRITY)。企业必须采取合理措施保证其使用的个人资料的准确、完整和更新以及与使用目的的关联性。6.渠道(ACCESS)。本人应获得纠正、修改、删除不实资料的渠道,除非使用这种渠道的成本过高以至于违反比例原则。7.执行(ENFORCEMENT)。包括救济机制和进入安全港的批准原则等。
与1998年的七大原则相比,此协议内容上更为明确具体,在企业责任、投诉机制以及进入安全港的企业资格方面,都有着更为严格的要求,该协议也充分体现了欧盟95指令对美国的重大影响,以及美欧之间在网络隐私权保护及电子商务发展方面的斗争与妥协。
四、欧盟模式对我国的启示
我国法律对与互联网有关的立法以及网上监管的严重滞后与我国的互联网产业日新月异发展现状不相适应。比如《计算机信息网络国际联网安全保护管理办法》第七条,以及《计算机信息网络国际联网管理暂行规定实施办法》第十八条,尽管都分别规定不得利用互联网侵犯公民的通信自由和通信秘密,不得篡改他人信息、散发恶意信息、侵犯他人隐私,但上述规定只体现了对部分网络隐私权进行保护,而且缺乏可操作性。另外,我国目前尚没有专门保护网络个人资料的法律,关于网络经营者的责任以及实际侵权者的责任问题也没有明确规定,极不利于规范互联网上的行为。
由于网络隐私权有其独有的性质,是一种新型的随着互联网的发展和运用而产生的权益,以前的法律法规很难完全适用,因此,国际社会上加强对网络隐私权保护的一个通常的做法,就是对网络隐私权进行单独立法,不仅过去那些本来就有专门的隐私权专门立法的国家如此,而且过去未给隐私权单独立法保护的国家也是如此。英国、德国、西班牙、瑞典等欧盟国家都制定了专门针对网络环境下的个人数据保护法。而我国目前一直没有全国性的专门的隐私权法,在保护网民个人资料等网络隐私权方面的任务就更为艰巨,更需要有专门的网络隐私权立法。
鉴于普通法律的出台程序复杂,周期较长,而网络隐私权的保护又迫在眉睫,可以先制定《网络隐私权保护条例》之类的法规来进行权宜性地
规范,等待民法典正式出台后再通过相关的解释和法规来进一步规范。目前,最值得期待的是《中华人民共和国个人信息保护法》的早日出台。《中华人民共和国个人信息保护法》专家建议稿从2003年就开始起草,2005年初已经完成。
2007年6月16日,国务院信息化工作领导小组办公室政策规划组司长秦海向记者透露,国务院信息办正在推动《个人信息保护法》的研究和制定,“我们已经起草了一个草案”,争取在合适的时候上报国务院。[13]如果这部法律出台,今后个人的手机号码、家庭住址、邮件、健康医疗信息、职业情况、资产状况、婚姻家庭信息,以及档案等等信息,都被纳入法律保护的范围。今后,在与个人信息(或资料)保护相关的法律法规中,应该对个人信息的具体内容、个人信息收集的知情权、选择权,个人信息的控制权,个人信息安全的请求权,个人信息使用的限制权等内容进行详细而明确的规定。
需要指出的是,由于我国互联网行业和电子商务等产业的发展还处于刚刚起步阶段,许多从促进整个互联网行业的发展的角度出发,立法规定对网络隐私权进行保护,也只应是最低限度的保护,是一种原则性、指导性和概括性的规定。不应该过于严格,否则,会束缚我国刚起步的互联网行业和电子商务等产业。
在保护网络隐私权方面,还应加强与欧盟和美国的联系和合作。在电子商务等互联网应用领域,由于美国和欧盟两个市场在世界上的重要地位,今后我国与它们的交流和联系一定会越来越紧密,而我国的网络隐私权保护不力的现状已经开始成为一个严重的阻碍因素,我们也应该借鉴美国与欧盟之间达成的“安全港口协议”,争取早日与对网络隐私权保护采取严格标准的欧盟达成类似的协议,促进我国的电子商务和互联网产业。从法律规制等方面对电子商务消费者个人信息进行保护的时候,还应该注意到目前我国两岸三地对于电子商务消费者个人信息保护的不平衡现状。各有关方面应积极主动地面对,寻求妥善解决这一问题的有效途径。