高志明
[摘 要]對(duì)個(gè)人信息利益、個(gè)人信息流轉(zhuǎn)的調(diào)整可分為國家層面與社會(huì)層面,國家層面包括個(gè)人信息相關(guān)立法,專門、專業(yè)的行政管理機(jī)構(gòu)的監(jiān)管,通過法的適用對(duì)侵害個(gè)人信息權(quán)利的行為追究法律責(zé)任;社會(huì)層面包括通過市場機(jī)制調(diào)節(jié)的個(gè)人信息契約行為,組織內(nèi)部建立個(gè)人信息保護(hù)專員制度,相關(guān)行業(yè)制定行業(yè)自律規(guī)范,個(gè)人信息保護(hù)協(xié)會(huì)等社會(huì)組織、媒體輿論、社會(huì)公眾的監(jiān)督等。個(gè)人信息保護(hù)中的行業(yè)自律機(jī)制是一種基于市場機(jī)制、基于市民社會(huì)內(nèi)部的自覺自發(fā)、自下而上的機(jī)制,具有專業(yè)性、經(jīng)濟(jì)性、相對(duì)靈活性等優(yōu)點(diǎn)。行政部門對(duì)個(gè)人信息流轉(zhuǎn)的監(jiān)管體現(xiàn)在對(duì)個(gè)人信息處理的事前審查與事后救濟(jì)兩方面,包括預(yù)先通知與預(yù)先審查制度、登記備案與許可制度、申訴與救濟(jì)制度等。
[關(guān)鍵詞]個(gè)人信息保護(hù);自律;監(jiān)督
[中圖分類號(hào)]D93/97 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1671-8372(2016)03-0083-12
一、個(gè)人信息保護(hù)中的多元機(jī)制
學(xué)者吳嘉生認(rèn)為,在信息社會(huì)中,我們期盼在信息科技基礎(chǔ)上,建立完整的三個(gè)規(guī)范層次:自律規(guī)范(倫理道德規(guī)范)、社會(huì)規(guī)范(介于道德與國家法律之間的規(guī)范)與法律規(guī)范;雖然這個(gè)三層次架構(gòu)在不同國家、文化與社會(huì)環(huán)境中,會(huì)有不同的具體表現(xiàn),但這種架構(gòu)是不會(huì)改變的[1]156-157。實(shí)際上,從法理的角度來看,社會(huì)調(diào)整根據(jù)其作用于人們行為的方式與人們服從原因的不同,可分為內(nèi)在調(diào)整(自律)與外在調(diào)整(他律)。內(nèi)在調(diào)整使人們認(rèn)識(shí)到從事某種行為是否正當(dāng),使外在的行為規(guī)則內(nèi)化為自覺從事正當(dāng)行為的一種習(xí)慣,是人的社會(huì)化過程的體現(xiàn);外在調(diào)整則是通過外部規(guī)范的壓力,使人們遵守一定社會(huì)規(guī)范的過程[2]45。在個(gè)人信息法中規(guī)定一定的自律機(jī)制與監(jiān)督機(jī)制,實(shí)現(xiàn)內(nèi)在調(diào)整與外在調(diào)整的有機(jī)結(jié)合,對(duì)促進(jìn)個(gè)人信息保護(hù)具有積極意義。對(duì)此,各國家或地區(qū)的相關(guān)立法多有體現(xiàn)。
對(duì)個(gè)人信息利益、個(gè)人信息流轉(zhuǎn)的調(diào)整可分為國家層面上的調(diào)整與社會(huì)層面上的調(diào)整,二者綜合構(gòu)成一種多元機(jī)制。在國家層面上,通過立法活動(dòng)制定出統(tǒng)一的規(guī)范個(gè)人信息利益的法律,通過專門的行政管理機(jī)構(gòu)對(duì)個(gè)人信息流轉(zhuǎn)進(jìn)行監(jiān)管,通過法的適用對(duì)侵害個(gè)人信息權(quán)利的行為追究法律責(zé)任、施以法律制裁。在社會(huì)層面上,相關(guān)主體之間形成個(gè)人信息法律關(guān)系,個(gè)人信息交易等契約行為依市場機(jī)制進(jìn)行調(diào)節(jié),相關(guān)行業(yè)制定適用全行業(yè)的自律規(guī)范,個(gè)人信息保護(hù)協(xié)會(huì)等社會(huì)組織對(duì)個(gè)人信息流轉(zhuǎn)行為進(jìn)行社會(huì)監(jiān)督等。
圖1 個(gè)人信息保護(hù)的多元機(jī)制
多元機(jī)制能夠較為有效地防止個(gè)人信息保護(hù)中的法律失效、政府失靈、市場失靈等問題。在統(tǒng)一的個(gè)人信息法中,企業(yè)自律、行業(yè)自律機(jī)制,行政監(jiān)管制度,以及社會(huì)監(jiān)督機(jī)制,通常都體現(xiàn)為相應(yīng)的原則性、引導(dǎo)性規(guī)范。國家層面對(duì)個(gè)人信息的立法規(guī)范與司法救濟(jì),已經(jīng)多有論述,本文探討個(gè)人信息保護(hù)中的企業(yè)自律、行業(yè)自律、行政監(jiān)管及社會(huì)監(jiān)督問題。
二、個(gè)人信息保護(hù)中的自律
自律即社會(huì)個(gè)體的自我約束、自我控制,使自我行為符合一定的道德規(guī)范。自律是與自由相伴的一個(gè)概念,法律保障人們的自由,但同時(shí)也需要倫理道德等規(guī)范約束人們的行為,這是一種內(nèi)在的自我約束,旨在避免過分?jǐn)U展甚至濫用個(gè)人權(quán)利自由而侵害他人的正當(dāng)權(quán)益。
信息社會(huì)必須正視高科技帶來的副作用,因?yàn)樾畔⒖萍嫉牟划?dāng)利用對(duì)社會(huì)造成的傷害,有時(shí)還超過該科技所帶來的便利;倫理道德是行為的指導(dǎo)準(zhǔn)則,信息社會(huì)須構(gòu)建相應(yīng)的倫理道德,以規(guī)范人們的行為[3]3-12。
在個(gè)人信息保護(hù)問題上,自律指由相關(guān)公司企業(yè)或產(chǎn)業(yè)實(shí)體聯(lián)合制定該行業(yè)的行為規(guī)范或行為指引,在行業(yè)內(nèi)部遵循的保護(hù)個(gè)人信息權(quán)利的機(jī)制[4]443。個(gè)人信息保護(hù)的自律規(guī)范通常是一套關(guān)于個(gè)人信息保護(hù)的完整的行為規(guī)范或道德準(zhǔn)則,分為技術(shù)規(guī)范與社會(huì)規(guī)范兩類,前者指直接以技術(shù)標(biāo)準(zhǔn)作為規(guī)范,后者指人們在個(gè)人信息收集、處理、傳輸與利用等過程中形成的維系正常有序的個(gè)人信息法律關(guān)系所要求的規(guī)范[5]185。
個(gè)人信息保護(hù)中的自律包括企業(yè)自律與行業(yè)自律。
(一)個(gè)人信息保護(hù)中的企業(yè)自律
個(gè)人信息保護(hù)中的企業(yè)自律,是指相關(guān)企業(yè)在收集、處理、傳輸與利用個(gè)人信息過程中的自我約束。其中最主要的是設(shè)立企業(yè)內(nèi)部的個(gè)人信息保護(hù)專員制度,該制度由德國首創(chuàng),1977年德國數(shù)據(jù)保護(hù)法律就明確規(guī)定了這一制度。歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》采納了德國的做法,允許個(gè)人信息控制者依法任命個(gè)人信息保護(hù)專員,獨(dú)立負(fù)責(zé)確保個(gè)人信息保護(hù)法在控制者內(nèi)部的適用,對(duì)控制者實(shí)施的個(gè)人信息處理行為進(jìn)行登記,并確保個(gè)人信息處理不對(duì)個(gè)人信息本人的權(quán)利和自由造成不利影響①。德國、荷蘭、瑞典和盧森堡等國的個(gè)人信息法都規(guī)定了企業(yè)內(nèi)部設(shè)立個(gè)人信息保護(hù)專員的制度。具有一定專業(yè)知識(shí)與經(jīng)驗(yàn)者才有資格成為個(gè)人信息保護(hù)專員,企業(yè)內(nèi)部的個(gè)人信息保護(hù)專員須以書面形式任命,其職責(zé)主要是負(fù)責(zé)監(jiān)督個(gè)人信息保護(hù)法律規(guī)范在企業(yè)的實(shí)施,監(jiān)督企業(yè)內(nèi)部的個(gè)人信息處理行為,避免企業(yè)侵害個(gè)人信息本人的權(quán)利。
由于企業(yè)內(nèi)部個(gè)人信息保護(hù)專員是由具有專業(yè)知識(shí)和經(jīng)驗(yàn)者擔(dān)任,他們處在個(gè)人信息流轉(zhuǎn)諸環(huán)節(jié)的監(jiān)督“前線”,能夠直接了解信息控制者實(shí)施的個(gè)人信息處理行為的具體情況,可以因地制宜地提出更可行的指導(dǎo)、意見和建議,因而能夠卓有成效地監(jiān)督企業(yè)的個(gè)人信息處理行為[6]265。這是該制度的優(yōu)勢所在。而該制度的缺點(diǎn)主要是這種個(gè)人信息保護(hù)的內(nèi)部監(jiān)督機(jī)制掣肘于相關(guān)企業(yè)內(nèi)部的高層管理者及管理部門,可能存在失靈或虛設(shè)等問題。
除了設(shè)立個(gè)人信息保護(hù)專員外,一般網(wǎng)絡(luò)企業(yè)特別是大型網(wǎng)絡(luò)企業(yè)都重視個(gè)人信息收集、處理、傳輸與利用中的自律,并做出了相應(yīng)的在線個(gè)人信息隱私保護(hù)承諾或聲明。比如,新浪網(wǎng)規(guī)定了較為細(xì)致的個(gè)人信息隱私政策:第一,明確了站點(diǎn)收集的個(gè)人信息范圍,包括用戶的姓名、地址和電話號(hào)碼,用戶有權(quán)隨時(shí)決定不接受來自新浪網(wǎng)的任何信息;第二,采取適當(dāng)?shù)牟襟E保護(hù)用戶的個(gè)人信息隱私,每當(dāng)用戶提供敏感信息時(shí),新浪網(wǎng)將采取合理的步驟保護(hù)該敏感信息,采取合理的安全手段保護(hù)已存儲(chǔ)的個(gè)人信息,除非根據(jù)法律或政府的強(qiáng)制性規(guī)定,在未得到用戶的許可前,不把用戶的任何個(gè)人信息提供給無關(guān)的第三方;第三,規(guī)定了管理涉及隱私的個(gè)人信息的五項(xiàng)原則,包括明確詢問、說明用途、選擇拒絕、特殊披露、投訴舉報(bào)等;第四,說明了cookies的用途;第五,公布了更新提供給新浪網(wǎng)的個(gè)人信息的渠道①。搜狐、網(wǎng)易等大型門戶網(wǎng)站均有類似的個(gè)人信息隱私保護(hù)聲明,包括在收集、處理、傳輸與利用個(gè)人信息時(shí)均遵循用戶同意、知情、選擇等原則。特別值得一提的是,谷歌于2011年10月20日修改了隱私權(quán)政策(2012年3月1日生效),詳細(xì)地規(guī)定了收集哪些個(gè)人信息,收集的原因、方式,對(duì)收集的個(gè)人信息的使用方式,為用戶提供接受與拒絕收集的選擇,訪問和更新個(gè)人信息的方式等②。
(二)個(gè)人信息保護(hù)中的行業(yè)自律
在個(gè)人信息保護(hù)領(lǐng)域,單純依靠行政、司法等公權(quán)力,可能會(huì)存在成本過高、政府失靈、法律失靈等問題;而純粹采取自由交易的市場模式,個(gè)人在保護(hù)其個(gè)人信息權(quán)利時(shí)可能耗費(fèi)很高的代價(jià),也存在市場失靈的情況,導(dǎo)致個(gè)人無法以私力救濟(jì)方式保護(hù)其個(gè)人信息。行業(yè)自律規(guī)范往往為大多數(shù)企業(yè)所公認(rèn),在特定行業(yè)領(lǐng)域內(nèi)具有廣泛的權(quán)威性并能夠得到自覺遵守,通過行業(yè)自律機(jī)制能夠較好地解決特定行業(yè)對(duì)個(gè)人信息特殊保護(hù)的問題[7]83-84。
1.行業(yè)自律的典型—美國
從各國家或地區(qū)現(xiàn)有的個(gè)人信息救濟(jì)制度來看,行業(yè)自律機(jī)制均受到普遍重視。特別是美國尤其強(qiáng)調(diào)行業(yè)自律在個(gè)人信息保護(hù)中的主導(dǎo)地位。自律觀念在美國整個(gè)社會(huì)受到推崇,在一定程度上,與其說自律機(jī)制在美國很發(fā)達(dá),不如說自律在美國更是一種文化傳統(tǒng)或社會(huì)習(xí)慣。美國的立憲者相信人民的善行與自律,因而美國憲法主要規(guī)定了限制政府公權(quán)力和保障人民私權(quán)利的條款,只闡明了人民的權(quán)利,而并未提及人民的責(zé)任與義務(wù)[5]184-185。美國對(duì)個(gè)人信息保護(hù)的有限立法主要集中在公共領(lǐng)域,而諸多私人領(lǐng)域則采取各種行業(yè)自律機(jī)制。
1996年12月,美國政府發(fā)布了《全球電子商務(wù)政策框架》白皮書,闡明了保護(hù)個(gè)人信息隱私的重要性及相關(guān)內(nèi)容,指出保護(hù)個(gè)人信息隱私對(duì)商務(wù)活動(dòng)的重要意義,并提出消費(fèi)者的個(gè)人信息隱私受到侵害應(yīng)當(dāng)?shù)玫窖a(bǔ)償。但美國政府對(duì)個(gè)人信息隱私采取的是行業(yè)自律為主導(dǎo)的模式。1997年7月1日,美國政府發(fā)布了《全球電子商務(wù)架構(gòu)報(bào)告》,指出政府應(yīng)避免對(duì)電子商務(wù)活動(dòng)予以過多法律限制,而應(yīng)采取市場主導(dǎo)的原則。這表明了美國政府對(duì)信息時(shí)代個(gè)人信息隱私保護(hù)所采取的基本立場。
個(gè)人信息隱私保護(hù)的行業(yè)自律主要有四種類型:
其一,技術(shù)性選擇保護(hù)(technical protection)。采取一定標(biāo)準(zhǔn)的個(gè)人信息隱私保護(hù)軟件,給用戶提供是否同意收集其個(gè)人信息的選擇,將選擇權(quán)交給用戶自己。最著名的技術(shù)性選擇保護(hù)個(gè)人信息軟件是“個(gè)人隱私偏好平臺(tái)”(Personal Privacy Preference Platform, “P3P”),用戶可以將其個(gè)人隱私偏好設(shè)定在該軟件的選項(xiàng)中,從而形成用戶與網(wǎng)絡(luò)服務(wù)商在個(gè)人信息收集問題上的一個(gè)電子協(xié)議。
其二,在線隱私(認(rèn)證)標(biāo)識(shí)計(jì)劃(online privacy seal program)。由網(wǎng)絡(luò)隱私認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)的從業(yè)者進(jìn)行審查,對(duì)同意遵守機(jī)構(gòu)制定的個(gè)人信息隱私保護(hù)規(guī)則的網(wǎng)站,授權(quán)掛出特定的在線隱私認(rèn)證標(biāo)識(shí)。在線隱私認(rèn)證是跨行業(yè)的,其代表有TRUSTe③和BBBonline④等。
其三,建設(shè)性行業(yè)指引(suggestive industry guidelines)。由從事網(wǎng)絡(luò)業(yè)務(wù)的行業(yè)聯(lián)盟制定適用于行業(yè)內(nèi)部的網(wǎng)上個(gè)人信息隱私保護(hù)的建設(shè)性指引,要求行業(yè)聯(lián)盟的成員發(fā)布與執(zhí)行,而具體的個(gè)人信息隱私保護(hù)辦法由從業(yè)者自行制定。建設(shè)性行業(yè)指引不跨行業(yè),其代表是“在線隱私聯(lián)盟”(Online Privacy Alliance)⑤指引。
其四,行業(yè)自律規(guī)范(industry self-regulations)。相關(guān)行業(yè)的聯(lián)盟或協(xié)會(huì)提出適用于本行業(yè)的自律規(guī)范,試圖通過同行業(yè)彼此良性競爭發(fā)揮自律規(guī)范的拘束作用,以取代統(tǒng)一的個(gè)人信息隱私規(guī)范可能無法顧及的專業(yè)上特別需求的缺陷,其代表是美國直銷協(xié)會(huì)配合聯(lián)邦貿(mào)易委員會(huì)提出的行業(yè)自律規(guī)范[8]185-186。
2.行業(yè)自律在其他國家的發(fā)展
日本的個(gè)人信息保護(hù)體制以立法規(guī)范為主導(dǎo),制定了《個(gè)人情報(bào)保護(hù)法》,但對(duì)一定領(lǐng)域內(nèi)的個(gè)人信息保護(hù)也采取了行業(yè)自律機(jī)制。日本政府認(rèn)為,公務(wù)部門與非公務(wù)部門收集、利用個(gè)人信息的目的、方法不同,侵害個(gè)人信息隱私的樣態(tài)也不同,如果對(duì)所有領(lǐng)域的個(gè)人信息隱私保護(hù)都采用剛性的法律,則在有效防止公務(wù)部門侵害個(gè)人信息權(quán)利的同時(shí),卻也大幅度地限制了非公務(wù)部門的自由經(jīng)濟(jì)行為,這違背了日本行政改革與放松管制的潮流。同時(shí),不同行業(yè)對(duì)個(gè)人信息收集、利用的情況也存在不同,對(duì)所有行業(yè)適用統(tǒng)一的法律規(guī)范客觀上也是不可能的。因而,日本政府首先確立了公務(wù)部門與非公務(wù)部門個(gè)人信息保護(hù)的一般規(guī)范,再就金融等特殊行業(yè)制定特殊法,還針對(duì)非公務(wù)部門的特點(diǎn)采取靈活的機(jī)制,鼓勵(lì)非公務(wù)部門進(jìn)行自律[9]335。1998年,日本信息處理開發(fā)協(xié)會(huì)創(chuàng)設(shè)了“隱私標(biāo)識(shí)”(Privacy Mark)認(rèn)證①機(jī)制,向采取適當(dāng)?shù)膫€(gè)人信息保護(hù)措施的非公務(wù)部門頒發(fā)隱私標(biāo)識(shí),以督促其積極改善個(gè)人信息保護(hù)狀況,同時(shí)便于消費(fèi)者判斷該部門的個(gè)人信息保護(hù)處于何種水平。后來,日本還將隱私認(rèn)證標(biāo)識(shí)納入日本工業(yè)標(biāo)準(zhǔn)管理體系,以《關(guān)于個(gè)人情報(bào)保護(hù)應(yīng)遵守規(guī)則的要求事項(xiàng)》②作為通過隱私標(biāo)識(shí)認(rèn)證的要件。在日本,隱私標(biāo)識(shí)認(rèn)證機(jī)制所確立的標(biāo)準(zhǔn)至少等同于甚至略高于法律規(guī)范的要求,因而,凡是取得隱私標(biāo)識(shí)認(rèn)證的非公務(wù)部門就可以被認(rèn)為達(dá)到了個(gè)人信息保護(hù)法律規(guī)范要求的保護(hù)水平[10]236。
其他很多國家對(duì)個(gè)人信息保護(hù)的行業(yè)自律一般也持肯定的態(tài)度,有些國家或有些國家的某些領(lǐng)域?qū)€(gè)人信息保護(hù)的行業(yè)自律進(jìn)行了一定的嘗試,在不同程度上采取了行業(yè)自律的做法。比如,加拿大標(biāo)準(zhǔn)協(xié)會(huì)于1996年制定了《保護(hù)個(gè)人信息標(biāo)準(zhǔn)守則》,對(duì)相關(guān)行業(yè)在處理個(gè)人信息中的行為加以規(guī)范。瑞典信息技術(shù)行業(yè)于1997年制定了瑞典《信息技術(shù)企業(yè)組織商業(yè)行為規(guī)則》,其中涉及個(gè)人信息的保護(hù)問題。荷蘭消費(fèi)者協(xié)會(huì)、產(chǎn)業(yè)與雇工聯(lián)盟于1998年制定了《個(gè)人隱私行為守則》。韓國通信信息部要求從2005年10月起,任何通信服務(wù)組織和其他服務(wù)提供者都應(yīng)當(dāng)制定專門的內(nèi)部管理辦法,以保護(hù)其在服務(wù)過程中對(duì)個(gè)人信息的保護(hù),而設(shè)在信息通信部下的信息通信產(chǎn)業(yè)協(xié)會(huì),則對(duì)那些在個(gè)人信息安全方面達(dá)到一定標(biāo)準(zhǔn)的網(wǎng)站授予“個(gè)人信息保護(hù)優(yōu)秀網(wǎng)站認(rèn)證標(biāo)識(shí)”。
在中國,個(gè)人信息保護(hù)的行業(yè)自律也同樣受到重視。臺(tái)灣微軟2010年9月9日成立“微軟個(gè)資保護(hù)中心”,這是臺(tái)灣地區(qū)針對(duì)個(gè)人信息保護(hù)議題設(shè)立的專職機(jī)構(gòu),主要針對(duì)大中型企業(yè)客戶對(duì)個(gè)人信息保護(hù)的咨詢,包括診斷與風(fēng)險(xiǎn)評(píng)估,以及建立符合信息安全的IT環(huán)境③。大連市軟件行業(yè)協(xié)會(huì)于2007年開始主導(dǎo)實(shí)施個(gè)人信息保護(hù)評(píng)價(jià)④制度,被評(píng)價(jià)單位必須已經(jīng)有個(gè)人信息保護(hù)體系的實(shí)踐并已經(jīng)取得一定效果,才獲資格向大連市個(gè)人信息保護(hù)工作委員會(huì)申請(qǐng)個(gè)人信息保護(hù)體系評(píng)價(jià);評(píng)價(jià)的程序包括資格審查、現(xiàn)場審核、公示、審批等[11]313-314。
中國大陸學(xué)者在各自的“個(gè)人信息保護(hù)法”(建議稿)中,都寫入了有關(guān)行業(yè)自律的規(guī)范。其中,齊愛民教授2005年的個(gè)人信息保護(hù)法“學(xué)者建議稿”第29條專門就“自律規(guī)范”的效力進(jìn)行了擬定:“非國家機(jī)關(guān)依據(jù)本法制定的自律性規(guī)范,達(dá)到本法要求標(biāo)準(zhǔn)的,具有與本法同等的效力?!盵12]5這是一種“認(rèn)可”的“立法”方式,等于認(rèn)可了“自律規(guī)范”的法律效力。當(dāng)然,究竟“自律規(guī)范”的效力能否與法律規(guī)范等量齊觀,進(jìn)一步說,自律規(guī)范究竟達(dá)到何種標(biāo)準(zhǔn)才能與法律規(guī)范效力等同,筆者認(rèn)為,這是一個(gè)值得商榷的問題,起碼還要涉及個(gè)人信息主管部門的審查、批準(zhǔn)等機(jī)制。
周漢華教授在2006年的個(gè)人信息保護(hù)法“專家建議稿”中用一節(jié)兩個(gè)條文對(duì)“行業(yè)自律機(jī)制”進(jìn)行了擬定。其中,第53條擬定了“行業(yè)自律組織”:“國家鼓勵(lì)其他個(gè)人信息處理者在資源的基礎(chǔ)上成立行業(yè)自律組織,并創(chuàng)造條件,逐步向行業(yè)自律組織轉(zhuǎn)移政府職能。行業(yè)自律組織的設(shè)立條件和要求,由國務(wù)院信息資源主管部門具體規(guī)定。行業(yè)自律組織成立后,應(yīng)在政府信息資源主管部門進(jìn)行登記,接受政府信息資源主管部門的指導(dǎo)和監(jiān)督?!盵13]19第54條則擬定了“行業(yè)自律組織的職能”,包括制定本行業(yè)的行為準(zhǔn)則,推廣本行業(yè)的執(zhí)業(yè)可信度認(rèn)證標(biāo)志,協(xié)調(diào)本行業(yè)與政府信息資源主管部門的關(guān)系,接受信息主體的投訴,對(duì)信息主體與成員之間的爭議進(jìn)行協(xié)調(diào)、處理,處理行業(yè)自律組織成員之間的關(guān)系等職能[13]19。這里的可取之處是對(duì)行業(yè)自律組織進(jìn)行了全面的規(guī)范,但對(duì)行業(yè)自律規(guī)范以及行業(yè)自律與法律規(guī)范的關(guān)系缺少規(guī)定,同時(shí)此處的相關(guān)條文似乎略顯繁瑣。
3.行業(yè)自律的優(yōu)勢與不足
行業(yè)自律是一種基于市場機(jī)制、基于市民社會(huì)內(nèi)部的自覺自發(fā)、自下而上的機(jī)制,具有專業(yè)性、經(jīng)濟(jì)性、相對(duì)靈活性等優(yōu)勢。專業(yè)性,指的是行業(yè)自律往往由相關(guān)行業(yè)的協(xié)會(huì)或聯(lián)盟針對(duì)該行業(yè)的個(gè)人信息保護(hù)問題,專門制定相應(yīng)的規(guī)范、標(biāo)準(zhǔn)或指引,能夠密切結(jié)合該行業(yè)的特點(diǎn)與專業(yè)性問題,這是一般的立法所難以做到的。經(jīng)濟(jì)性,指的是行業(yè)自律節(jié)省了國家立法、行政、司法等公共資源,同時(shí)由于行業(yè)自律是行業(yè)自我監(jiān)督,自治性較強(qiáng),程序相對(duì)簡單,效率較高,執(zhí)行成本較低。相對(duì)靈活性,指的是行業(yè)自律能夠針對(duì)相關(guān)行業(yè)的發(fā)展變化進(jìn)行動(dòng)態(tài)調(diào)整,能夠較為迅速地回應(yīng)信息社會(huì)不斷出現(xiàn)的新情況、新問題,能夠針對(duì)行業(yè)內(nèi)部的具體問題靈活適用,而不像個(gè)人信息法律規(guī)范那樣具有較強(qiáng)的原則性和剛硬性;但要注意的是,行業(yè)自律的靈活性只是相對(duì)于法律規(guī)范而言的,行業(yè)自律是行業(yè)內(nèi)部的監(jiān)督機(jī)制,也必然具有一定的原則性與強(qiáng)制性,否則就不成其為行業(yè)規(guī)范了。
對(duì)于自律規(guī)范及自律規(guī)范機(jī)構(gòu)的優(yōu)勢,英國學(xué)者曾論述道:第一,由于較之于獨(dú)立的公務(wù)機(jī)構(gòu),自律規(guī)范機(jī)構(gòu)在相關(guān)領(lǐng)域一般能夠掌握更高程度的實(shí)務(wù)專長和技術(shù)知識(shí)以及具有更大的創(chuàng)新的可能性,因此,制定和解釋標(biāo)準(zhǔn)的信息成本相對(duì)較低;第二,基于相同理由,監(jiān)督和執(zhí)行成本也相應(yīng)減少,而在互動(dòng)很可能產(chǎn)生彼此信任的條件下,從業(yè)者與管理者打交道的成本也得以減少;第三,較之于公共規(guī)范制度,在自律規(guī)范機(jī)構(gòu)的程序以及規(guī)則較為不正式的范圍內(nèi),修改標(biāo)準(zhǔn)的成本(包括導(dǎo)致延遲的因素)降低了;第四,這種制度的管理成本通常是在其規(guī)范的行業(yè)或活動(dòng)內(nèi)部承擔(dān),而獨(dú)立的公務(wù)機(jī)構(gòu)的管理成本通常由納稅人承擔(dān)[14]309-310。
當(dāng)然,任何制度或機(jī)制都不可能十全十美,行業(yè)自律亦不例外。行業(yè)自律的不足包括:規(guī)范性不足、執(zhí)行力有限、合法性隱憂等。規(guī)范性不足,指的是很多個(gè)人信息保護(hù)的行業(yè)自律往往只是一種行業(yè)標(biāo)準(zhǔn)、認(rèn)證或指引,缺乏法律規(guī)范那樣的具體明確的規(guī)范性。執(zhí)行力有限,指的是由于行業(yè)自律并沒有強(qiáng)有力的執(zhí)行機(jī)構(gòu),行業(yè)內(nèi)部的企業(yè)組織往往只是出于自覺遵守,但如果出現(xiàn)不自覺遵守的情況,相關(guān)的制裁措施也很難奏效。合法性隱憂,指的是有些行業(yè)自律規(guī)范出于維護(hù)行業(yè)、企業(yè)自身利益的考量,其內(nèi)容往往有利于維護(hù)本行業(yè)及其內(nèi)部的企業(yè)組織的利益,這可能與統(tǒng)一的個(gè)人信息法律潛在一定沖突,可能對(duì)保護(hù)個(gè)人信息權(quán)利存在不利。
對(duì)于行業(yè)自律的不足,中國臺(tái)灣地區(qū)的熊愛卿博士曾指出:其實(shí)向來經(jīng)驗(yàn)與實(shí)證數(shù)據(jù)已經(jīng)顯示,行業(yè)自律只是個(gè)人信息保護(hù)的必要條件之一,并非充分條件;面對(duì)信息科技所呈現(xiàn)的不確定與安全威脅,加上多年自律機(jī)制實(shí)證結(jié)果顯示,或許已經(jīng)到了政府適當(dāng)介入的時(shí)候了[7]99-100。
三、個(gè)人信息保護(hù)中的行政監(jiān)管
(一)個(gè)人信息保護(hù)的行政監(jiān)管機(jī)構(gòu)及其職責(zé)
各國家或地區(qū)的個(gè)人信息行政監(jiān)管機(jī)構(gòu)(supervisory authority)與職責(zé)有所不同,具體情況如下:
1.歐盟指令框架
歐盟在1995年個(gè)人數(shù)據(jù)保護(hù)與流通指令框架下,設(shè)置了個(gè)人信息保護(hù)的監(jiān)管機(jī)構(gòu)、咨詢機(jī)構(gòu)和專家委員會(huì)。
監(jiān)管機(jī)構(gòu)。歐盟設(shè)有歐盟數(shù)據(jù)(信息)保護(hù)專員機(jī)構(gòu)①,監(jiān)督歐盟機(jī)構(gòu)與組織的個(gè)人信息處理。根據(jù)歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第28條,歐盟各成員國應(yīng)當(dāng)設(shè)置一個(gè)或多個(gè)公共機(jī)構(gòu),監(jiān)督本指令的有關(guān)規(guī)定在其境內(nèi)的適用,成員國的法律法規(guī)中如果涉及個(gè)人信息保護(hù),相關(guān)部門都應(yīng)當(dāng)咨詢該機(jī)構(gòu)的意見,而且,該機(jī)構(gòu)應(yīng)當(dāng)享有相應(yīng)的調(diào)查權(quán),以及依職權(quán)或者依有關(guān)當(dāng)事人申請(qǐng),有對(duì)相應(yīng)的個(gè)人信息相關(guān)違法行為進(jìn)行查處的權(quán)力、通過介入訴訟維護(hù)法律實(shí)施的權(quán)力等。根據(jù)該規(guī)定,歐盟成員國一般都設(shè)立了相應(yīng)的個(gè)人數(shù)據(jù)(信息)監(jiān)管機(jī)構(gòu)。
咨詢機(jī)構(gòu)。根據(jù)歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第29條,歐盟設(shè)立了“涉及個(gè)人數(shù)據(jù)(信息)處理時(shí)保護(hù)個(gè)人的工作組”,也被稱為“第29條工作組”,具有咨詢地位且獨(dú)立行事。其成員由成員國數(shù)據(jù)(信息)監(jiān)管機(jī)構(gòu)或指定機(jī)構(gòu)的代表等組成,每年召開數(shù)次會(huì)議。工作組的職能包括:檢查依照歐盟指令制定的國內(nèi)法在適用過程中產(chǎn)生的任何問題,促進(jìn)這些措施的統(tǒng)一適用;就共同體和第三國的數(shù)據(jù)(信息)保護(hù)水平向歐盟委員會(huì)提出意見;就歐盟指令修改、涉及個(gè)人信息處理時(shí)保護(hù)自然人權(quán)利和自由的任何附加措施或特殊措施等向歐盟委員會(huì)提出建議;就共同體層面草擬的行為守則提出意見。
專門委員會(huì)。根據(jù)歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第31條,設(shè)立由歐盟成員國政府代表組成、由歐盟委員會(huì)的代表任主席的專門委員會(huì)來協(xié)助歐盟委員會(huì)工作,也被稱為“第31條委員會(huì)”。該委員會(huì)定期在布魯塞爾開會(huì),對(duì)需要成員國同意的事項(xiàng)作出決定。該委員會(huì)不僅像“第29條工作組”那樣具有咨詢作用,而且對(duì)法律文件的通過具有重要作用,關(guān)于個(gè)人信息保護(hù)的許多重要措施的通過需要其批準(zhǔn)。歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第31條于2003年9月29日進(jìn)行了修改,是整個(gè)指令實(shí)施以來唯一進(jìn)行了修改的條款,旨在授予歐盟委員會(huì)根據(jù)《歐共體條約》提及的程序行使法律文件規(guī)定的執(zhí)行權(quán)。
2.歐洲國家的兩種模式
歐盟成員國在歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》框架下,都建立了相應(yīng)的個(gè)人數(shù)據(jù)(信息)行政管理機(jī)構(gòu),其中德國每個(gè)州還設(shè)置了數(shù)據(jù)(信息)保護(hù)機(jī)構(gòu)。歐洲的數(shù)據(jù)(信息)保護(hù)機(jī)構(gòu)在組織和作用上多有相似,但也存在差異,一些國家采取的是監(jiān)察(ombudsman)模式,如芬蘭、匈牙利和瑞典的個(gè)人信息監(jiān)管機(jī)構(gòu);另一些國家采取的是管制(regulation)模式,如法國、波蘭和西班牙的個(gè)人信息監(jiān)管機(jī)構(gòu)[15]15-16。監(jiān)察模式的監(jiān)管機(jī)構(gòu)主要關(guān)注提出法律請(qǐng)求的特定個(gè)人的情況,如果認(rèn)為存在違反信息保護(hù)法律的情況,會(huì)為個(gè)人尋求救濟(jì),如要求對(duì)有關(guān)的個(gè)人信息進(jìn)行修正,可能的話還要求給予賠償,但其自身并不廣泛地介入信息控制者的實(shí)踐活動(dòng);管制模式的監(jiān)管機(jī)構(gòu)關(guān)注法律的遵守,當(dāng)收到投訴并判定違反信息保護(hù)規(guī)范的情況屬實(shí)時(shí),考慮的不僅是個(gè)人的情況,而且包括決定采取何種可能行動(dòng)的一系列因素,其主要關(guān)注的是確保遵守法律而非為投訴的個(gè)人提供救濟(jì)[15]16。歐洲國家專門的個(gè)人行政主管機(jī)構(gòu)的詳細(xì)情況見表1。
3.美國的發(fā)展
英美法系國家或地區(qū)大都設(shè)置了“隱私專員公署”之類的個(gè)人信息(隱私)保護(hù)專門管理機(jī)構(gòu),但美國是個(gè)例外,美國采取的是以行業(yè)自律為主導(dǎo)的個(gè)人信息保護(hù)體制,沒有設(shè)置專門的個(gè)人信息(隱私)保護(hù)管理機(jī)構(gòu)。據(jù)《華爾街日?qǐng)?bào)》報(bào)道,2010年12月16日奧巴馬政府表示,需要設(shè)立隱私保護(hù)公署(Privacy Policy Office),幫助制定互聯(lián)網(wǎng)“隱私法”以保護(hù)美國公民的隱私權(quán),并協(xié)調(diào)全球隱私保護(hù)問題②。
4.亞洲國家或地區(qū)的選擇
亞洲國家或地區(qū)的情況不盡相同。日本在個(gè)人信息保護(hù)法立法過程中認(rèn)為,如果設(shè)置歐洲那樣對(duì)任何領(lǐng)域都擁有管理權(quán)限的個(gè)人信息保護(hù)行政機(jī)關(guān),可能限制非公務(wù)部門本應(yīng)進(jìn)行的自由活動(dòng),這不合乎日本的國情,與行政改革和放寬管制的趨勢相左,所以日本傾向于設(shè)置事后救濟(jì)制度③。日本《個(gè)人情報(bào)保護(hù)法》中沒有規(guī)定專門的個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu),但第49條規(guī)定了“主管大臣”制度:內(nèi)閣總理大臣在認(rèn)為必要時(shí),可以將特定的大臣指定為主管大臣。韓國設(shè)置了公務(wù)部門和非公務(wù)部門個(gè)人信息處理的不同機(jī)構(gòu),國務(wù)總理下屬的個(gè)人信息保護(hù)審議委員會(huì)負(fù)責(zé)公務(wù)部門相關(guān)制度和政策的制定和完善,并對(duì)公務(wù)部門個(gè)人信息保護(hù)事項(xiàng)進(jìn)行協(xié)調(diào),行政自治部負(fù)責(zé)指導(dǎo)公務(wù)部門的個(gè)人信息保護(hù);信息通信部負(fù)責(zé)對(duì)非公務(wù)部門的個(gè)人信息處理糾紛的救濟(jì),該部設(shè)立了個(gè)人信息糾紛調(diào)停委員會(huì)④。泰國設(shè)置了政府信息管理委員會(huì),負(fù)責(zé)政府對(duì)個(gè)人信息的保護(hù)等事務(wù)⑤。
中國香港地區(qū)設(shè)置了個(gè)人資料(信息)私隱專員公署⑥,主要職責(zé)包括:監(jiān)督個(gè)人信息私隱專員的行政及管理工作;制訂行動(dòng)方針及程序,以執(zhí)行條例的規(guī)定;監(jiān)察及監(jiān)管各界遵守私隱條例的規(guī)定;行使核準(zhǔn)及發(fā)出實(shí)務(wù)守則的權(quán)力,為遵守條例的規(guī)定提供實(shí)務(wù)性指引;加強(qiáng)各界對(duì)條例的認(rèn)識(shí)和理解,以及促使各界遵守條例的規(guī)定;對(duì)認(rèn)為可能影響個(gè)人信息私隱的建議中的任何法例(包括附屬法例)加以審核,以及向建議制定有關(guān)法例的人士報(bào)告審核結(jié)果;視察機(jī)構(gòu)的個(gè)人信息系統(tǒng),包括政府部門及法定團(tuán)體的系統(tǒng);在接獲信息當(dāng)事人的投訴后,或是主動(dòng)對(duì)涉嫌違反條例規(guī)定的情況做出調(diào)查;就可能對(duì)個(gè)人信息私隱有不利影響的個(gè)人信息處理方法及計(jì)算機(jī)科技進(jìn)行研究,以及監(jiān)察其發(fā)展情況;就互相關(guān)注并涉及個(gè)人信息私隱的事項(xiàng),與香港以外任何地方擔(dān)任類似信息保障職能的人士保持聯(lián)絡(luò)及互相合作。
中國澳門地區(qū)設(shè)有個(gè)人資料(信息)保護(hù)辦公室⑦,主要職能包括:監(jiān)察、協(xié)調(diào)對(duì)《個(gè)人資料保護(hù)法》的遵守和執(zhí)行,接受個(gè)人信息處理的通知,并做出登記;審批許可申請(qǐng)和其他申請(qǐng);訂定保密制度,監(jiān)察該等制度的實(shí)施;接受、調(diào)查及處理有關(guān)個(gè)人信息保護(hù)方面的查詢、投訴或舉報(bào),對(duì)違反《個(gè)人資料保護(hù)法》的行政違法行為做出處罰;向公眾宣傳《個(gè)人資料保護(hù)法》,令市民提升保護(hù)私隱的意識(shí);對(duì)個(gè)人信息保護(hù)領(lǐng)域進(jìn)行理論研究,不斷完善相關(guān)的制度和規(guī)定。
中國臺(tái)灣地區(qū)尚未設(shè)立專門的個(gè)人信息保護(hù)行政管理機(jī)構(gòu)。不過,前面述及的“微軟個(gè)資保護(hù)中心”是臺(tái)灣針對(duì)個(gè)人信息保護(hù)議題設(shè)立的專職機(jī)構(gòu)(社會(huì)機(jī)構(gòu))。
對(duì)于中國大陸法域而言,設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)是必要的,其理由為:第一,設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)符合大多數(shù)國家個(gè)人信息管理的慣例;第二,設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)有利于統(tǒng)一領(lǐng)導(dǎo)全國個(gè)人信息保護(hù)工作;第三,設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)有利于與其他國家或地區(qū)協(xié)調(diào)個(gè)人信息保護(hù)與跨境流通等問題。其職能可以包括:第一,統(tǒng)籌全國個(gè)人信息保護(hù)管理與執(zhí)法工作;第二,制定全國個(gè)人信息保護(hù)指導(dǎo)方針、政策、規(guī)劃等;第三,領(lǐng)導(dǎo)各級(jí)個(gè)人信息管理部門與執(zhí)法機(jī)構(gòu)的工作;第四,監(jiān)督全國日常的個(gè)人信息保護(hù)工作;第五,協(xié)調(diào)有關(guān)機(jī)構(gòu)或組織的個(gè)人信息保護(hù)工作;第六,與國際溝通個(gè)人信息保護(hù)工作,加強(qiáng)個(gè)人信息保護(hù)的國際合作。
(二)個(gè)人信息保護(hù)的行政監(jiān)管制度
行政主管部門對(duì)個(gè)人信息保護(hù)的監(jiān)管體現(xiàn)在對(duì)個(gè)人信息收集、處理、傳輸與利用等行為的事前監(jiān)督與事后監(jiān)督兩方面,而為了避免行政力量對(duì)市場行為的過度干預(yù),一般情況下不宜設(shè)置事中監(jiān)督制度。
1.預(yù)先通知與預(yù)先審查制度
預(yù)先通知制度,是指個(gè)人信息本人以外的有關(guān)主體,在對(duì)個(gè)人信息進(jìn)行全部或部分處理操作前,須向行政監(jiān)管部門預(yù)先通知有關(guān)情況并公開處理操作的制度。預(yù)先通知制度有利于監(jiān)管部門對(duì)個(gè)人信息處理行為的事前監(jiān)督,也有利于個(gè)人信息本人預(yù)先了解個(gè)人信息處理的情況[6]261。預(yù)先審查制度,是指個(gè)人信息的行政監(jiān)管部門在收到處理個(gè)人信息的預(yù)先通知后,隨即進(jìn)行審查,從而決定是否允許其對(duì)個(gè)人信息進(jìn)行處理或是否需要采取必要措施的制度。預(yù)先審查制度在一定程度上有利于預(yù)先防止個(gè)人信息處理者的非法和不當(dāng)行為,有利于預(yù)先維護(hù)個(gè)人信息本人的正當(dāng)權(quán)益[6]263。
從現(xiàn)有立法例來看,尚只有歐盟及其成員國個(gè)人信息法規(guī)定了個(gè)人信息處理的預(yù)先通知和預(yù)先審查制度。在歐盟,各成員國對(duì)通知制度存在不同的主張,有些成員國的個(gè)人信息法主張實(shí)施通知制度,有些成員國則主張盡量避免通知和預(yù)先審查的嚴(yán)格程序要求。歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》采取了折中的做法,原則上,各成員國個(gè)人信息法應(yīng)當(dāng)規(guī)定管理者或其代表在進(jìn)行全部或部分自動(dòng)處理操作前,必須通知個(gè)人信息行政監(jiān)管機(jī)構(gòu)。各成員國可以規(guī)定在例外情況下,簡化或免除通知的義務(wù),這些情況包括:個(gè)人信息處理侵害個(gè)人信息本人權(quán)利的風(fēng)險(xiǎn)較低,而且處理者提供了有關(guān)個(gè)人信息處理的具體信息;個(gè)人信息控制者任命了個(gè)人信息內(nèi)部保護(hù)專員,由其監(jiān)督個(gè)人信息處理的具體實(shí)施,以避免侵害個(gè)人信息本人的權(quán)利;個(gè)人信息處理的目的是為公眾提供信息;個(gè)人信息處理屬于合法的敏感個(gè)人信息的處理[6]258。
歐盟各成員國的個(gè)人信息法堅(jiān)持了歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》的預(yù)先通知原則,但對(duì)例外情況的規(guī)定有所不同。其中,荷蘭、瑞典、德國、法國等成員國的個(gè)人信息法規(guī)定,個(gè)人信息處理者通過任命內(nèi)部的個(gè)人信息保護(hù)專員監(jiān)督個(gè)人信息處理行為,可以不向個(gè)人信息保護(hù)機(jī)構(gòu)通知。對(duì)于是否應(yīng)當(dāng)通知的個(gè)人信息處理的類別等具體情形,奧地利《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》規(guī)定,只有涉及公開性和間接性的個(gè)人信息處理行為不用通知①;而葡萄牙、比利時(shí)、丹麥的個(gè)人信息法則規(guī)定處理員工的薪酬、員工管理等信息可以適用簡化通知程序或免除通知義務(wù)。
預(yù)先通知的內(nèi)容至少包括:管理者及其代表(如果有)的姓名和地址;操作的目的;個(gè)人信息本人及信息的類別,或與其相關(guān)信息類別的描述;可能向其公開信息的接收者或接收者的類別;擬議中向第三國進(jìn)行的信息轉(zhuǎn)讓;為保障處理的安全性而采取的措施的適度性做基本的評(píng)估②。
關(guān)于預(yù)先審查制度,歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》要求各成員國應(yīng)當(dāng)確定對(duì)個(gè)人信息本人的權(quán)利和自由帶來特定風(fēng)險(xiǎn)的處理操作,并應(yīng)當(dāng)在操作開始前檢查這些操作過程是否受到了檢驗(yàn);監(jiān)管部門應(yīng)當(dāng)在收到由于產(chǎn)生懷疑而必須向監(jiān)管部門進(jìn)行咨詢的管理者或個(gè)人信息保護(hù)官員的通知后進(jìn)行預(yù)先檢查;各成員國也可以在國會(huì)所采取的措施或以這些立法措施為基礎(chǔ)而采取的措施的準(zhǔn)備過程中進(jìn)行檢查,以確定操作的性質(zhì)并制定適當(dāng)?shù)谋Wo(hù)方法③。
歐盟各成員國個(gè)人信息法都規(guī)定了預(yù)先審查制度,只是具體規(guī)定存在一定的不同。比如,葡萄牙規(guī)定國家數(shù)據(jù)(信息)保護(hù)委員會(huì)進(jìn)行預(yù)先審查的是:處理敏感個(gè)人信息;處理涉及非法活動(dòng)、犯罪和行政違法行為指控,以及適用刑法、安全措施、罰金與其他刑事決定的個(gè)人信息;處理涉及個(gè)人信用和破產(chǎn)的信息;對(duì)個(gè)人信息進(jìn)行互聯(lián);在收集個(gè)人信息目的外使用個(gè)人信息①。而法國規(guī)定國家信息與自由委員會(huì)預(yù)先審查的是:處理敏感個(gè)人信息;醫(yī)療人員和生物學(xué)家為了預(yù)防醫(yī)學(xué)、醫(yī)療診斷、護(hù)理或治療管理的目的,自動(dòng)化處理基因信息;處理涉及犯罪、判決或安全措施的個(gè)人信息;如果法律無明確規(guī)定,自動(dòng)化信息處理因其性質(zhì)、重要性或目的可能剝奪個(gè)人的權(quán)利、服務(wù)或合同利益;對(duì)一個(gè)或多個(gè)涉及不同公共利益的信息庫進(jìn)行互聯(lián);個(gè)人信息處理涉及自然人的身份編號(hào);自動(dòng)化信息處理涉及個(gè)人社會(huì)問題的信息;自動(dòng)化信息處理包含確定個(gè)人身份所必須的生物信息②。從歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》和歐盟成員國的立法可見,預(yù)先審查制度既包括形式審查,也包括實(shí)質(zhì)審查。
2.登記備案與許可制度
個(gè)人信息處理的登記備案與許可制度目前主要是研究者的一種探討。比如,周漢華教授寫道:“其他個(gè)人信息處理者開始進(jìn)行個(gè)人信息收集之前,須向政府信息資源管理主管部門進(jìn)行登記。以個(gè)人信息處理為主要業(yè)務(wù)或通過個(gè)人信息處理營利的公民、法人或其他組織,在開始進(jìn)行個(gè)人信息收集之前,須經(jīng)政府信息資源主管部門行政許可?!雹坳P(guān)于登記制度的創(chuàng)設(shè),楊麗華認(rèn)為:首先,明確規(guī)定監(jiān)督執(zhí)行機(jī)構(gòu)專門負(fù)責(zé)登記;其次,明確規(guī)定信息處理者收集個(gè)人信息前必須進(jìn)行登記以及符合登記的形式要件;最后,明確規(guī)定對(duì)不履行登記手續(xù)的信息處理者,監(jiān)督執(zhí)行機(jī)構(gòu)有采取行政措施的權(quán)力[16]38。
個(gè)人信息處理的許可制度,實(shí)際上是審查批準(zhǔn)個(gè)人信息處理者的個(gè)人信息處理資格的一種批準(zhǔn)制度,其規(guī)則與行政許可法的相應(yīng)規(guī)則基本相同。關(guān)于行政許可制度的建立,楊麗華認(rèn)為:個(gè)人信息處理許可制度要求其他個(gè)人信息處理者在進(jìn)行個(gè)人信息收集之前,需向監(jiān)督執(zhí)行機(jī)構(gòu)申請(qǐng),監(jiān)督執(zhí)行機(jī)構(gòu)針對(duì)其申請(qǐng),分別進(jìn)行形式審查和實(shí)質(zhì)審查,判定其是否具有從事該個(gè)人信息收集的資格,決定其是否可以實(shí)施這種行為;并非所有信息處理者都要申請(qǐng)?jiān)S可,個(gè)人信息行政許可制度應(yīng)當(dāng)只限于以信息處理為業(yè)務(wù)或者牟利的信息處理者;若信息處理者未經(jīng)行政許可,擅自處理個(gè)人信息的,監(jiān)督執(zhí)行機(jī)構(gòu)可以采取行政措施[16]38。
關(guān)于個(gè)人信息處理登記與許可申請(qǐng)應(yīng)當(dāng)載明的事項(xiàng),周漢華教授認(rèn)為應(yīng)當(dāng)包括:自然人的姓名、身份證號(hào)、住址、法人或其他組織的名稱、住所、法定代表人或主要負(fù)責(zé)人的姓名;個(gè)人信息文件的名稱;個(gè)人信息的使用目的;個(gè)人信息的主要內(nèi)容;個(gè)人信息的收集方法;個(gè)人信息的保存期限;個(gè)人信息文件的主要使用者;個(gè)人信息文件的公開方式與地點(diǎn);個(gè)人信息文件的安全保護(hù)措施;個(gè)人信息文件安全保護(hù)主要負(fù)責(zé)人姓名、身份證號(hào)、住址及簡歷;國務(wù)院信息資源主管部門要求的其他事項(xiàng)④。
3.申訴與救濟(jì)制度
申訴制度,是指個(gè)人信息本人因其個(gè)人信息權(quán)利遭受公務(wù)部門主體或公務(wù)部門以外主體的侵害,而向個(gè)人信息行政管理機(jī)構(gòu)投訴的制度。個(gè)人信息行政管理機(jī)構(gòu)根據(jù)個(gè)人信息本人的申訴,依法律、依職權(quán)對(duì)侵害個(gè)人信息權(quán)利的行為進(jìn)行查處,此即個(gè)人信息遭受侵害的行政救濟(jì)制度。行政申訴制度與救濟(jì)制度的規(guī)則與行政法的相應(yīng)規(guī)則基本一致,個(gè)人信息法一般只針對(duì)個(gè)人信息保護(hù)的特殊之處,制定相應(yīng)的規(guī)范。
對(duì)于公務(wù)部門處理個(gè)人信息的行為而言,這是出于履行法定職責(zé),進(jìn)行行政管理的需要,構(gòu)成行政法律關(guān)系;因而,個(gè)人信息本人的權(quán)利受到公務(wù)部門侵害的,除了采取個(gè)人信息法規(guī)定的司法救濟(jì)方式外,還可以通過行政復(fù)議、行政訴訟獲得行政救濟(jì)[16]36。依中國大陸法域現(xiàn)行法律,個(gè)人信息本人在要求公開、修改個(gè)人信息遭到公務(wù)部門拒絕的,可以就這一具體行政行為申請(qǐng)行政復(fù)議或提起行政訴訟;如果個(gè)人信息本人要求公開、修改個(gè)人信息,公務(wù)部門不予答復(fù),個(gè)人信息本人可以依行政不作為申請(qǐng)行政復(fù)議或提起行政訴訟;而且個(gè)人信息本人對(duì)救濟(jì)的途徑有選擇權(quán)[16]37。日本于2005年施行的《信息公開及個(gè)人信息保護(hù)審查會(huì)設(shè)置法》規(guī)定,凡是與個(gè)人信息處理有關(guān)的行政復(fù)議案件,復(fù)議機(jī)關(guān)必須咨詢專門設(shè)立的“信息公開與個(gè)人信息保護(hù)審查委員會(huì)”的意見,該機(jī)構(gòu)的委員具有較高的專業(yè)水平和獨(dú)立地位,復(fù)議機(jī)關(guān)一般比較尊重其提出的意見①。韓國行政自治部負(fù)責(zé)公務(wù)部門的個(gè)人信息保護(hù),相關(guān)的爭議通過一般的行政復(fù)議或行政訴訟方式解決。
個(gè)人信息遭受侵害者向個(gè)人信息管理機(jī)構(gòu)提起申訴后,個(gè)人信息管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)申訴的事項(xiàng)范圍,決定是否受理。在歐盟,各成員國對(duì)應(yīng)當(dāng)受理的事項(xiàng)范圍的規(guī)定存在不同,西班牙、葡萄牙、丹麥、法國等國家的立法規(guī)定,只要申訴的事項(xiàng)與個(gè)人信息處理有關(guān),個(gè)人信息管理機(jī)構(gòu)就有權(quán)受理。但芬蘭、奧地利等國的立法則規(guī)定,個(gè)人信息本人申訴的事項(xiàng)只能是涉及查閱和修改個(gè)人信息等權(quán)利行使的事項(xiàng)。
個(gè)人信息管理部門在受理了個(gè)人信息本人的申訴后,將根據(jù)具體情況決定是否展開調(diào)查。而調(diào)查的對(duì)象是除個(gè)人信息本人外的其他相關(guān)個(gè)人信息控制者的個(gè)人信息處理行為。經(jīng)過調(diào)查后,個(gè)人信息管理機(jī)構(gòu)確定相關(guān)的個(gè)人信息控制者是否違法,決定是否采取行政強(qiáng)制措施,決定解決糾紛的具體方式。解決糾紛的方式包括行政調(diào)解、行政裁決、行政處罰等。比如,奧地利《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》規(guī)定:在獲知個(gè)人信息本人的請(qǐng)求并未涉及立法或司法行為所需的信息使用范圍,數(shù)據(jù)(信息)保護(hù)委員會(huì)應(yīng)當(dāng)對(duì)個(gè)人信息所有人主張的,由數(shù)據(jù)應(yīng)用程序的管理員對(duì)其享有的知情權(quán)造成的侵害做出裁決;當(dāng)處理相關(guān)申訴時(shí),如存在緊急情況,在涉及信息準(zhǔn)確性的爭議情況時(shí),數(shù)據(jù)(信息)保護(hù)委員會(huì)可以完全或部分禁止對(duì)個(gè)人信息進(jìn)一步的使用,命令管理員對(duì)該爭議點(diǎn)做出標(biāo)記②。
四、個(gè)人信息保護(hù)中的社會(huì)監(jiān)督
社會(huì)監(jiān)督是個(gè)人信息保護(hù)中國家機(jī)關(guān)、行業(yè)內(nèi)部以外的第三種監(jiān)督力量,也是最為廣泛的監(jiān)督力量,并日益成為一種強(qiáng)有力的監(jiān)督力量,對(duì)個(gè)人信息保護(hù)有不可忽視的作用。個(gè)人信息保護(hù)的社會(huì)監(jiān)督包括個(gè)人信息保護(hù)團(tuán)體的監(jiān)督,媒體輿論的監(jiān)督以及社會(huì)公眾的監(jiān)督等。個(gè)人信息法對(duì)社會(huì)監(jiān)督機(jī)制一般應(yīng)當(dāng)設(shè)置相應(yīng)的指引性規(guī)范,以保證社會(huì)監(jiān)督有序進(jìn)行并發(fā)揮積極的作用。
(一)個(gè)人信息保護(hù)中的社會(huì)團(tuán)體監(jiān)督
個(gè)人信息保護(hù)團(tuán)體主要是指專業(yè)、專門針對(duì)個(gè)人信息保護(hù)進(jìn)行社會(huì)監(jiān)督的團(tuán)體,傳統(tǒng)的消費(fèi)者利益保護(hù)團(tuán)體、工會(huì)等有時(shí)也會(huì)涉足個(gè)人信息保護(hù)領(lǐng)域,但后者一般只是起到輔助、補(bǔ)充的作用。在社會(huì)管理創(chuàng)新思想引導(dǎo)下,社會(huì)團(tuán)體介入個(gè)人信息保護(hù)領(lǐng)域,往往能發(fā)揮著比政府直接介入該領(lǐng)域更有成效的作用。社會(huì)團(tuán)體作為一種公益性組織,是維護(hù)個(gè)人信息權(quán)利,監(jiān)督企業(yè)、行業(yè)等對(duì)個(gè)人信息的收集、處理、傳輸與利用行為的重要社會(huì)力量。比如,位于紐約的個(gè)人信息隱私保護(hù)的民間團(tuán)體“隱私國際”③針對(duì)谷歌的隱私保護(hù)狀況,曾提出批評(píng),認(rèn)為沒有一家互聯(lián)網(wǎng)企業(yè)的隱私政策像谷歌那樣“對(duì)用戶隱私有如此大的威脅”,谷歌對(duì)此做出了積極回應(yīng),并努力改進(jìn)在線隱私政策④。
在個(gè)人信息保護(hù)社會(huì)團(tuán)體的監(jiān)督方面,日本《個(gè)人情報(bào)保護(hù)法》采取了認(rèn)可、支持與引導(dǎo)的國家政策,該法第4章第2節(jié)“由民間團(tuán)體推動(dòng)的個(gè)人信息保護(hù)”對(duì)民間團(tuán)體在個(gè)人信息保護(hù)中涉及的事項(xiàng)進(jìn)行了全面規(guī)定。其中,第37條、第38條規(guī)定了成立個(gè)人信息保護(hù)團(tuán)體須向主管大臣申請(qǐng),并要有符合法定條件的成員;第39條規(guī)定了認(rèn)定個(gè)人信息保護(hù)團(tuán)體的標(biāo)準(zhǔn);第40條規(guī)定了個(gè)人信息保護(hù)團(tuán)體申報(bào)廢止的程序;第41條、第42條規(guī)定了個(gè)人信息保護(hù)團(tuán)體的業(yè)務(wù)范圍、處理爭議的程序;第43條規(guī)定個(gè)人信息保護(hù)團(tuán)體須依該法制定個(gè)人信息保護(hù)指導(dǎo)方針;第44條、第45條對(duì)個(gè)人信息保護(hù)團(tuán)體名稱的使用進(jìn)行了限制,禁止目的外使用,禁止未經(jīng)認(rèn)定的團(tuán)體使用;第46至49條對(duì)主管大臣監(jiān)督個(gè)人信息保護(hù)團(tuán)體業(yè)務(wù)等事項(xiàng)進(jìn)行了規(guī)定。
中國臺(tái)灣地區(qū)于2008年成立了社團(tuán)法人臺(tái)灣個(gè)人資料(信息)保護(hù)協(xié)會(huì)⑤,其宗旨是以保護(hù)個(gè)人信息免于不當(dāng)搜集(收集)、處理及利用過程所產(chǎn)生的風(fēng)險(xiǎn),并促進(jìn)個(gè)人信息的合理利用。其任務(wù)包括:接受個(gè)人或團(tuán)體相關(guān)信息遭受國家或私人的不當(dāng)搜集(收集)、使用、交換的案件申訴;監(jiān)督并督促政府個(gè)人信息保護(hù)主管機(jī)關(guān)的政策推動(dòng)與法令執(zhí)行;向社會(huì)大眾推廣隱私權(quán)及個(gè)人信息保護(hù)的觀念;刊行會(huì)志、會(huì)報(bào)及相關(guān)的各類書籍;與國內(nèi)外相關(guān)團(tuán)體暨學(xué)術(shù)研究機(jī)構(gòu)舉辦交流活動(dòng)及學(xué)術(shù)聯(lián)系;推動(dòng)個(gè)人信息保護(hù)專門教學(xué)與研究機(jī)構(gòu)的設(shè)立;其他促進(jìn)個(gè)人信息保護(hù)發(fā)展的相關(guān)活動(dòng)。
(二)個(gè)人信息保護(hù)中的媒體輿論監(jiān)督
媒體輿論監(jiān)督是通過紙質(zhì)報(bào)刊、廣播電視、網(wǎng)絡(luò)新媒體等信息平臺(tái)對(duì)個(gè)人信息保護(hù)中的違法、不當(dāng)行為的監(jiān)督、批評(píng)與指正。尤其是網(wǎng)絡(luò)新媒體,已經(jīng)成為一種強(qiáng)大的監(jiān)督平臺(tái),日益成為及時(shí)高效地對(duì)侵害個(gè)人信息權(quán)利的行為進(jìn)行輿論監(jiān)督的重要媒介。媒體輿論的監(jiān)督包括新聞報(bào)道、編讀往來、舉報(bào)平臺(tái)、專家評(píng)論等多種方式。比如,針對(duì)大學(xué)生求職中存在的個(gè)人信息泄露問題,媒體進(jìn)行了報(bào)道,指出大學(xué)生在求職期間,把自己的電子郵箱和手機(jī)號(hào)等個(gè)人信息公布在網(wǎng)上,結(jié)果遭到人才服務(wù)機(jī)構(gòu)的非法、不當(dāng)收集,使求職者即使在找到工作后,仍然會(huì)遭到不定期的垃圾廣告郵件、手機(jī)群發(fā)短信的騷擾[17]。
媒體輿論往往對(duì)侵害個(gè)人信息權(quán)利者造成強(qiáng)大的心理壓力,有時(shí)發(fā)揮著比法律手段更有效的作用,促進(jìn)侵害個(gè)人信息權(quán)利者及時(shí)對(duì)其行為進(jìn)行改正或采取補(bǔ)救措施。比如,以Web方式登錄谷歌郵箱后網(wǎng)頁出現(xiàn)的有針對(duì)性投放的廣告信息,被認(rèn)為與對(duì)個(gè)人郵件內(nèi)的文字、文檔內(nèi)容進(jìn)行分析的結(jié)果有關(guān),涉嫌侵害個(gè)人信息,對(duì)此谷歌進(jìn)行了說明,指出谷歌只會(huì)通過掃描谷歌郵箱中的消息來展示相關(guān)性廣告,而不會(huì)掃描用戶存儲(chǔ)在谷歌文檔中的內(nèi)容①;與此同時(shí),谷歌也在不斷地積極改進(jìn)個(gè)人信息保護(hù)機(jī)制,特別是2012年3月實(shí)行了對(duì)保護(hù)個(gè)人信息隱私更有利的新的隱私權(quán)政策。
當(dāng)然,媒體輿論監(jiān)督必須在遵守媒體倫理、職業(yè)道德,遵守媒體法律的框架下進(jìn)行,避免利用媒體輿論造成對(duì)有關(guān)主體正當(dāng)權(quán)利的侵害。比如,在涉及個(gè)人隱私的新聞報(bào)道中要進(jìn)行匿名處理,不能直接披露被報(bào)道對(duì)象真實(shí)的姓名、明確的身份等個(gè)人信息。在涉及司法的新聞報(bào)道領(lǐng)域,英國、加拿大的法官有權(quán)禁止發(fā)表可能導(dǎo)致“司法程序受到嚴(yán)重阻礙或損害重大風(fēng)險(xiǎn)”的信息,從嫌疑人被捕或被起訴到被判決,新聞工作者可以旁聽審判,但限制其報(bào)道的內(nèi)容;在另一些國家,民法和刑法均有條款對(duì)可報(bào)道或不可報(bào)道的信息類別予以規(guī)定,一般限制內(nèi)容涉及犯罪受害者的姓名、離婚案或兒童監(jiān)護(hù)案中的家庭詳情,或者被告過去犯罪記錄等;而在瑞典等一些沒有此類規(guī)定的國家,新聞工作者的職業(yè)操守要求,除“有公共利益上的明顯需要”,否則不得將被告身份公開②。
(三)個(gè)人信息保護(hù)中的社會(huì)公眾監(jiān)督
社會(huì)公眾是最廣泛的社會(huì)監(jiān)督主體,社會(huì)公眾的監(jiān)督是無處不在的廣泛監(jiān)督力量。社會(huì)公眾對(duì)侵害個(gè)人信息權(quán)利行為的監(jiān)督方式很多,包括網(wǎng)上文字披露、批評(píng),直接投訴或申訴,提起公益訴訟等。比如,2005年底,以“搜人”為服務(wù)內(nèi)容的網(wǎng)站—優(yōu)庫網(wǎng)(ucloo.com)推出,在其網(wǎng)站上可以搜索到海量個(gè)人信息,并有償提供個(gè)人信息內(nèi)容服務(wù),由于其服務(wù)涉嫌大量泄露個(gè)人信息,遭到社會(huì)公眾的猛烈抨擊而在壓力下被迫進(jìn)行了整改③。而個(gè)人博客、網(wǎng)絡(luò)社區(qū)、微博等網(wǎng)絡(luò)應(yīng)用,也已然成為公眾進(jìn)行社會(huì)監(jiān)督包括對(duì)侵害個(gè)人信息權(quán)利行為進(jìn)行監(jiān)督的重要平臺(tái)。
當(dāng)然,對(duì)于社會(huì)公眾監(jiān)督,也必須堅(jiān)持個(gè)人信息法的引導(dǎo),要防止出現(xiàn)不負(fù)責(zé)任甚至制造虛假信息的情況,在保障社會(huì)公眾監(jiān)督權(quán)利的同時(shí),應(yīng)當(dāng)保證社會(huì)公眾監(jiān)督的秩序,而不是造成一種無序、噪雜的狀態(tài)。值得一提的是,網(wǎng)上投訴平臺(tái)是一種既能方便社會(huì)公眾監(jiān)督,又能保證社會(huì)公眾監(jiān)督秩序的平臺(tái)。因而,開通相關(guān)的平臺(tái),并對(duì)投訴信息進(jìn)行及時(shí)處理,對(duì)涉及的問題進(jìn)行及時(shí)解決,對(duì)于發(fā)揮公眾監(jiān)督的作用具有重要意義。在這方面,歐洲很多國家均建立了公眾針對(duì)個(gè)人信息問題的網(wǎng)上投訴通道。比如,斯洛伐克信息保護(hù)專員機(jī)構(gòu)的官方網(wǎng)站上就開通了一個(gè)接受公眾投訴、反饋的在線提交平臺(tái),公眾可以提交關(guān)于個(gè)人信息監(jiān)管中的批評(píng)、建議和問題④。在中國,搜索引擎“百度”設(shè)立了包括網(wǎng)頁投訴中心、貼吧投訴中心、推廣投訴中心等的大型網(wǎng)上投訴平臺(tái)⑤,用戶對(duì)在百度發(fā)現(xiàn)的不良信息、侵權(quán)信息均可直接通過該平臺(tái)進(jìn)行投訴,百度投訴中心的工作人員承諾一般在24小時(shí)內(nèi)將投訴的處理結(jié)果反饋給投訴者。
[參考文獻(xiàn)]
吳嘉生.資訊倫理與法律[M].臺(tái)北:國立空中大學(xué),1997.
朱景文.法理學(xué)[M].北京:中國人民大學(xué)出版社,2008.
詹炳耀,任文瑗,郭秋田,張?jiān)C?資訊倫理與法律[M].臺(tái)北:臺(tái)北旗標(biāo)出版有限股份有限公司,2006.
蔣坡.國際信息政策法律比較[M].北京:法律出版社,2001.
齊愛民.拯救信息社會(huì)中的人格:個(gè)人信息保護(hù)法總論[M].北京:北京大學(xué)出版社,2009.
孔令杰.個(gè)人資料隱私的法律保護(hù)[M].武漢:武漢大學(xué)出版社,2009.
熊愛卿.網(wǎng)際網(wǎng)路個(gè)人資料保護(hù)研究[D].臺(tái)北:臺(tái)灣大學(xué)法律學(xué)研究所,2000.
洪海林.個(gè)人信息的民法保護(hù)研究[M].北京:法律出版社,2010.
王麗萍,步雷,等.信息時(shí)代隱私權(quán)保護(hù)研究[M].濟(jì)南:山東人民出版社,2008.
呂艷濱.信息法治政府治理新視角[M].北京:社會(huì)科學(xué)文獻(xiàn)出版社,2009.
郎慶斌,孫鵬.大連個(gè)人信息保護(hù)評(píng)價(jià)體系[M]//李林.中國法治發(fā)展報(bào)告.北京:社會(huì)科學(xué)文獻(xiàn)出版社,2010.
齊愛民.中華人民共和國個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿[J].河北法學(xué),2005(6):2-5.
周漢華.中華人民共和國個(gè)人信息保護(hù)法(專家建議稿)及立法研究報(bào)告[R].北京:法律出版社,2006.
戴恩·羅蘭德,伊莉莎白·麥克唐納.信息技術(shù)法[M].宋連斌,等,譯.2版.武漢:武漢大學(xué)出版社,2004.
庫勒.歐洲數(shù)據(jù)保護(hù)法:公司遵守與管制[M].曠野,楊會(huì)永,等,譯.2版.北京:法律出版社,2008.
楊麗華.行政法視野中的個(gè)人信息保護(hù)—從兩則案例引發(fā)的思考[D].蘭州:蘭州大學(xué),2009.
霍仟,來揚(yáng).大學(xué)生求職須謹(jǐn)防個(gè)人信息泄露[N].中國青年報(bào),2011-05-30(7).
[責(zé)任編輯 張桂霞]