个人信息保护中的自律与监督

2016-11-05 15:56高志明
关键词:个人信息保护自律监督

高志明

[摘 要]对个人信息利益、个人信息流转的调整可分为国家层面与社会层面,国家层面包括个人信息相关立法,专门、专业的行政管理机构的监管,通过法的适用对侵害个人信息权利的行为追究法律责任;社会层面包括通过市场机制调节的个人信息契约行为,组织内部建立个人信息保护专员制度,相关行业制定行业自律规范,个人信息保护协会等社会组织、媒体舆论、社会公众的监督等。个人信息保护中的行业自律机制是一种基于市场机制、基于市民社会内部的自觉自发、自下而上的机制,具有专业性、经济性、相对灵活性等优点。行政部门对个人信息流转的监管体现在对个人信息处理的事前审查与事后救济两方面,包括预先通知与预先审查制度、登记备案与许可制度、申诉与救济制度等。

[关键词]个人信息保护;自律;监督

[中图分类号]D93/97 [文献标识码]A [文章编号]1671-8372(2016)03-0083-12

一、个人信息保护中的多元机制

学者吴嘉生认为,在信息社会中,我们期盼在信息科技基础上,建立完整的三个规范层次:自律规范(伦理道德规范)、社会规范(介于道德与国家法律之间的规范)与法律规范;虽然这个三层次架构在不同国家、文化与社会环境中,会有不同的具体表现,但这种架构是不会改变的[1]156-157。实际上,从法理的角度来看,社会调整根据其作用于人们行为的方式与人们服从原因的不同,可分为内在调整(自律)与外在调整(他律)。内在调整使人们认识到从事某种行为是否正当,使外在的行为规则内化为自觉从事正当行为的一种习惯,是人的社会化过程的体现;外在调整则是通过外部规范的压力,使人们遵守一定社会规范的过程[2]45。在个人信息法中规定一定的自律机制与监督机制,实现内在调整与外在调整的有机结合,对促进个人信息保护具有积极意义。对此,各国家或地区的相关立法多有体现。

对个人信息利益、个人信息流转的调整可分为国家层面上的调整与社会层面上的调整,二者综合构成一种多元机制。在国家层面上,通过立法活动制定出统一的规范个人信息利益的法律,通过专门的行政管理机构对个人信息流转进行监管,通过法的适用对侵害个人信息权利的行为追究法律责任、施以法律制裁。在社会层面上,相关主体之间形成个人信息法律关系,个人信息交易等契约行为依市场机制进行调节,相关行业制定适用全行业的自律规范,个人信息保护协会等社会组织对个人信息流转行为进行社会监督等。

图1 个人信息保护的多元机制

多元机制能够较为有效地防止个人信息保护中的法律失效、政府失灵、市场失灵等问题。在统一的个人信息法中,企业自律、行业自律机制,行政监管制度,以及社会监督机制,通常都体现为相应的原则性、引导性规范。国家层面对个人信息的立法规范与司法救济,已经多有论述,本文探讨个人信息保护中的企业自律、行业自律、行政监管及社会监督问题。

二、个人信息保护中的自律

自律即社会个体的自我约束、自我控制,使自我行为符合一定的道德规范。自律是与自由相伴的一个概念,法律保障人们的自由,但同时也需要伦理道德等规范约束人们的行为,这是一种内在的自我约束,旨在避免过分扩展甚至滥用个人权利自由而侵害他人的正当权益。

信息社会必须正视高科技带来的副作用,因为信息科技的不当利用对社会造成的伤害,有时还超过该科技所带来的便利;伦理道德是行为的指导准则,信息社会须构建相应的伦理道德,以规范人们的行为[3]3-12。

在个人信息保护问题上,自律指由相关公司企业或产业实体联合制定该行业的行为规范或行为指引,在行业内部遵循的保护个人信息权利的机制[4]443。个人信息保护的自律规范通常是一套关于个人信息保护的完整的行为规范或道德准则,分为技术规范与社会规范两类,前者指直接以技术标准作为规范,后者指人们在个人信息收集、处理、传输与利用等过程中形成的维系正常有序的个人信息法律关系所要求的规范[5]185。

个人信息保护中的自律包括企业自律与行业自律。

(一)个人信息保护中的企业自律

个人信息保护中的企业自律,是指相关企业在收集、处理、传输与利用个人信息过程中的自我约束。其中最主要的是设立企业内部的个人信息保护专员制度,该制度由德国首创,1977年德国数据保护法律就明确规定了这一制度。欧盟《个人数据保护与流通指令》采纳了德国的做法,允许个人信息控制者依法任命个人信息保护专员,独立负责确保个人信息保护法在控制者内部的适用,对控制者实施的个人信息处理行为进行登记,并确保个人信息处理不对个人信息本人的权利和自由造成不利影响①。德国、荷兰、瑞典和卢森堡等国的个人信息法都规定了企业内部设立个人信息保护专员的制度。具有一定专业知识与经验者才有资格成为个人信息保护专员,企业内部的个人信息保护专员须以书面形式任命,其职责主要是负责监督个人信息保护法律规范在企业的实施,监督企业内部的个人信息处理行为,避免企业侵害个人信息本人的权利。

由于企业内部个人信息保护专员是由具有专业知识和经验者担任,他们处在个人信息流转诸环节的监督“前线”,能够直接了解信息控制者实施的个人信息处理行为的具体情况,可以因地制宜地提出更可行的指导、意见和建议,因而能够卓有成效地监督企业的个人信息处理行为[6]265。这是该制度的优势所在。而该制度的缺点主要是这种个人信息保护的内部监督机制掣肘于相关企业内部的高层管理者及管理部门,可能存在失灵或虚设等问题。

除了设立个人信息保护专员外,一般网络企业特别是大型网络企业都重视个人信息收集、处理、传输与利用中的自律,并做出了相应的在线个人信息隐私保护承诺或声明。比如,新浪网规定了较为细致的个人信息隐私政策:第一,明确了站点收集的个人信息范围,包括用户的姓名、地址和电话号码,用户有权随时决定不接受来自新浪网的任何信息;第二,采取适当的步骤保护用户的个人信息隐私,每当用户提供敏感信息时,新浪网将采取合理的步骤保护该敏感信息,采取合理的安全手段保护已存储的个人信息,除非根据法律或政府的强制性规定,在未得到用户的许可前,不把用户的任何个人信息提供给无关的第三方;第三,规定了管理涉及隐私的个人信息的五项原则,包括明确询问、说明用途、选择拒绝、特殊披露、投诉举报等;第四,说明了cookies的用途;第五,公布了更新提供给新浪网的个人信息的渠道①。搜狐、网易等大型门户网站均有类似的个人信息隐私保护声明,包括在收集、处理、传输与利用个人信息时均遵循用户同意、知情、选择等原则。特别值得一提的是,谷歌于2011年10月20日修改了隐私权政策(2012年3月1日生效),详细地规定了收集哪些个人信息,收集的原因、方式,对收集的个人信息的使用方式,为用户提供接受与拒绝收集的选择,访问和更新个人信息的方式等②。

(二)个人信息保护中的行业自律

在个人信息保护领域,单纯依靠行政、司法等公权力,可能会存在成本过高、政府失灵、法律失灵等问题;而纯粹采取自由交易的市场模式,个人在保护其个人信息权利时可能耗费很高的代价,也存在市场失灵的情况,导致个人无法以私力救济方式保护其个人信息。行业自律规范往往为大多数企业所公认,在特定行业领域内具有广泛的权威性并能够得到自觉遵守,通过行业自律机制能够较好地解决特定行业对个人信息特殊保护的问题[7]83-84。

1.行业自律的典型—美国

从各国家或地区现有的个人信息救济制度来看,行业自律机制均受到普遍重视。特别是美国尤其强调行业自律在个人信息保护中的主导地位。自律观念在美国整个社会受到推崇,在一定程度上,与其说自律机制在美国很发达,不如说自律在美国更是一种文化传统或社会习惯。美国的立宪者相信人民的善行与自律,因而美国宪法主要规定了限制政府公权力和保障人民私权利的条款,只阐明了人民的权利,而并未提及人民的责任与义务[5]184-185。美国对个人信息保护的有限立法主要集中在公共领域,而诸多私人领域则采取各种行业自律机制。

1996年12月,美国政府发布了《全球电子商务政策框架》白皮书,阐明了保护个人信息隐私的重要性及相关内容,指出保护个人信息隐私对商务活动的重要意义,并提出消费者的个人信息隐私受到侵害应当得到补偿。但美国政府对个人信息隐私采取的是行业自律为主导的模式。1997年7月1日,美国政府发布了《全球电子商务架构报告》,指出政府应避免对电子商务活动予以过多法律限制,而应采取市场主导的原则。这表明了美国政府对信息时代个人信息隐私保护所采取的基本立场。

个人信息隐私保护的行业自律主要有四种类型:

其一,技术性选择保护(technical protection)。采取一定标准的个人信息隐私保护软件,给用户提供是否同意收集其个人信息的选择,将选择权交给用户自己。最著名的技术性选择保护个人信息软件是“个人隐私偏好平台”(Personal Privacy Preference Platform, “P3P”),用户可以将其个人隐私偏好设定在该软件的选项中,从而形成用户与网络服务商在个人信息收集问题上的一个电子协议。

其二,在线隐私(认证)标识计划(online privacy seal program)。由网络隐私认证机构对申请的从业者进行审查,对同意遵守机构制定的个人信息隐私保护规则的网站,授权挂出特定的在线隐私认证标识。在线隐私认证是跨行业的,其代表有TRUSTe③和BBBonline④等。

其三,建设性行业指引(suggestive industry guidelines)。由从事网络业务的行业联盟制定适用于行业内部的网上个人信息隐私保护的建设性指引,要求行业联盟的成员发布与执行,而具体的个人信息隐私保护办法由从业者自行制定。建设性行业指引不跨行业,其代表是“在线隐私联盟”(Online Privacy Alliance)⑤指引。

其四,行业自律规范(industry self-regulations)。相关行业的联盟或协会提出适用于本行业的自律规范,试图通过同行业彼此良性竞争发挥自律规范的拘束作用,以取代统一的个人信息隐私规范可能无法顾及的专业上特别需求的缺陷,其代表是美国直销协会配合联邦贸易委员会提出的行业自律规范[8]185-186。

2.行业自律在其他国家的发展

日本的个人信息保护体制以立法规范为主导,制定了《个人情报保护法》,但对一定领域内的个人信息保护也采取了行业自律机制。日本政府认为,公务部门与非公务部门收集、利用个人信息的目的、方法不同,侵害个人信息隐私的样态也不同,如果对所有领域的个人信息隐私保护都采用刚性的法律,则在有效防止公务部门侵害个人信息权利的同时,却也大幅度地限制了非公务部门的自由经济行为,这违背了日本行政改革与放松管制的潮流。同时,不同行业对个人信息收集、利用的情况也存在不同,对所有行业适用统一的法律规范客观上也是不可能的。因而,日本政府首先确立了公务部门与非公务部门个人信息保护的一般规范,再就金融等特殊行业制定特殊法,还针对非公务部门的特点采取灵活的机制,鼓励非公务部门进行自律[9]335。1998年,日本信息处理开发协会创设了“隐私标识”(Privacy Mark)认证①机制,向采取适当的个人信息保护措施的非公务部门颁发隐私标识,以督促其积极改善个人信息保护状况,同时便于消费者判断该部门的个人信息保护处于何种水平。后来,日本还将隐私认证标识纳入日本工业标准管理体系,以《关于个人情报保护应遵守规则的要求事项》②作为通过隐私标识认证的要件。在日本,隐私标识认证机制所确立的标准至少等同于甚至略高于法律规范的要求,因而,凡是取得隐私标识认证的非公务部门就可以被认为达到了个人信息保护法律规范要求的保护水平[10]236。

其他很多国家对个人信息保护的行业自律一般也持肯定的态度,有些国家或有些国家的某些领域对个人信息保护的行业自律进行了一定的尝试,在不同程度上采取了行业自律的做法。比如,加拿大标准协会于1996年制定了《保护个人信息标准守则》,对相关行业在处理个人信息中的行为加以规范。瑞典信息技术行业于1997年制定了瑞典《信息技术企业组织商业行为规则》,其中涉及个人信息的保护问题。荷兰消费者协会、产业与雇工联盟于1998年制定了《个人隐私行为守则》。韩国通信信息部要求从2005年10月起,任何通信服务组织和其他服务提供者都应当制定专门的内部管理办法,以保护其在服务过程中对个人信息的保护,而设在信息通信部下的信息通信产业协会,则对那些在个人信息安全方面达到一定标准的网站授予“个人信息保护优秀网站认证标识”。

在中国,个人信息保护的行业自律也同样受到重视。台湾微软2010年9月9日成立“微软个资保护中心”,这是台湾地区针对个人信息保护议题设立的专职机构,主要针对大中型企业客户对个人信息保护的咨询,包括诊断与风险评估,以及建立符合信息安全的IT环境③。大连市软件行业协会于2007年开始主导实施个人信息保护评价④制度,被评价单位必须已经有个人信息保护体系的实践并已经取得一定效果,才获资格向大连市个人信息保护工作委员会申请个人信息保护体系评价;评价的程序包括资格审查、现场审核、公示、审批等[11]313-314。

中国大陆学者在各自的“个人信息保护法”(建议稿)中,都写入了有关行业自律的规范。其中,齐爱民教授2005年的个人信息保护法“学者建议稿”第29条专门就“自律规范”的效力进行了拟定:“非国家机关依据本法制定的自律性规范,达到本法要求标准的,具有与本法同等的效力。”[12]5这是一种“认可”的“立法”方式,等于认可了“自律规范”的法律效力。当然,究竟“自律规范”的效力能否与法律规范等量齐观,进一步说,自律规范究竟达到何种标准才能与法律规范效力等同,笔者认为,这是一个值得商榷的问题,起码还要涉及个人信息主管部门的审查、批准等机制。

周汉华教授在2006年的个人信息保护法“专家建议稿”中用一节两个条文对“行业自律机制”进行了拟定。其中,第53条拟定了“行业自律组织”:“国家鼓励其他个人信息处理者在资源的基础上成立行业自律组织,并创造条件,逐步向行业自律组织转移政府职能。行业自律组织的设立条件和要求,由国务院信息资源主管部门具体规定。行业自律组织成立后,应在政府信息资源主管部门进行登记,接受政府信息资源主管部门的指导和监督。”[13]19第54条则拟定了“行业自律组织的职能”,包括制定本行业的行为准则,推广本行业的执业可信度认证标志,协调本行业与政府信息资源主管部门的关系,接受信息主体的投诉,对信息主体与成员之间的争议进行协调、处理,处理行业自律组织成员之间的关系等职能[13]19。这里的可取之处是对行业自律组织进行了全面的规范,但对行业自律规范以及行业自律与法律规范的关系缺少规定,同时此处的相关条文似乎略显繁琐。

3.行业自律的优势与不足

行业自律是一种基于市场机制、基于市民社会内部的自觉自发、自下而上的机制,具有专业性、经济性、相对灵活性等优势。专业性,指的是行业自律往往由相关行业的协会或联盟针对该行业的个人信息保护问题,专门制定相应的规范、标准或指引,能够密切结合该行业的特点与专业性问题,这是一般的立法所难以做到的。经济性,指的是行业自律节省了国家立法、行政、司法等公共资源,同时由于行业自律是行业自我监督,自治性较强,程序相对简单,效率较高,执行成本较低。相对灵活性,指的是行业自律能够针对相关行业的发展变化进行动态调整,能够较为迅速地回应信息社会不断出现的新情况、新问题,能够针对行业内部的具体问题灵活适用,而不像个人信息法律规范那样具有较强的原则性和刚硬性;但要注意的是,行业自律的灵活性只是相对于法律规范而言的,行业自律是行业内部的监督机制,也必然具有一定的原则性与强制性,否则就不成其为行业规范了。

对于自律规范及自律规范机构的优势,英国学者曾论述道:第一,由于较之于独立的公务机构,自律规范机构在相关领域一般能够掌握更高程度的实务专长和技术知识以及具有更大的创新的可能性,因此,制定和解释标准的信息成本相对较低;第二,基于相同理由,监督和执行成本也相应减少,而在互动很可能产生彼此信任的条件下,从业者与管理者打交道的成本也得以减少;第三,较之于公共规范制度,在自律规范机构的程序以及规则较为不正式的范围内,修改标准的成本(包括导致延迟的因素)降低了;第四,这种制度的管理成本通常是在其规范的行业或活动内部承担,而独立的公务机构的管理成本通常由纳税人承担[14]309-310。

当然,任何制度或机制都不可能十全十美,行业自律亦不例外。行业自律的不足包括:规范性不足、执行力有限、合法性隐忧等。规范性不足,指的是很多个人信息保护的行业自律往往只是一种行业标准、认证或指引,缺乏法律规范那样的具体明确的规范性。执行力有限,指的是由于行业自律并没有强有力的执行机构,行业内部的企业组织往往只是出于自觉遵守,但如果出现不自觉遵守的情况,相关的制裁措施也很难奏效。合法性隐忧,指的是有些行业自律规范出于维护行业、企业自身利益的考量,其内容往往有利于维护本行业及其内部的企业组织的利益,这可能与统一的个人信息法律潜在一定冲突,可能对保护个人信息权利存在不利。

对于行业自律的不足,中国台湾地区的熊爱卿博士曾指出:其实向来经验与实证数据已经显示,行业自律只是个人信息保护的必要条件之一,并非充分条件;面对信息科技所呈现的不确定与安全威胁,加上多年自律机制实证结果显示,或许已经到了政府适当介入的时候了[7]99-100。

三、个人信息保护中的行政监管

(一)个人信息保护的行政监管机构及其职责

各国家或地区的个人信息行政监管机构(supervisory authority)与职责有所不同,具体情况如下:

1.欧盟指令框架

欧盟在1995年个人数据保护与流通指令框架下,设置了个人信息保护的监管机构、咨询机构和专家委员会。

监管机构。欧盟设有欧盟数据(信息)保护专员机构①,监督欧盟机构与组织的个人信息处理。根据欧盟《个人数据保护与流通指令》第28条,欧盟各成员国应当设置一个或多个公共机构,监督本指令的有关规定在其境内的适用,成员国的法律法规中如果涉及个人信息保护,相关部门都应当咨询该机构的意见,而且,该机构应当享有相应的调查权,以及依职权或者依有关当事人申请,有对相应的个人信息相关违法行为进行查处的权力、通过介入诉讼维护法律实施的权力等。根据该规定,欧盟成员国一般都设立了相应的个人数据(信息)监管机构。

咨询机构。根据欧盟《个人数据保护与流通指令》第29条,欧盟设立了“涉及个人数据(信息)处理时保护个人的工作组”,也被称为“第29条工作组”,具有咨询地位且独立行事。其成员由成员国数据(信息)监管机构或指定机构的代表等组成,每年召开数次会议。工作组的职能包括:检查依照欧盟指令制定的国内法在适用过程中产生的任何问题,促进这些措施的统一适用;就共同体和第三国的数据(信息)保护水平向欧盟委员会提出意见;就欧盟指令修改、涉及个人信息处理时保护自然人权利和自由的任何附加措施或特殊措施等向欧盟委员会提出建议;就共同体层面草拟的行为守则提出意见。

专门委员会。根据欧盟《个人数据保护与流通指令》第31条,设立由欧盟成员国政府代表组成、由欧盟委员会的代表任主席的专门委员会来协助欧盟委员会工作,也被称为“第31条委员会”。该委员会定期在布鲁塞尔开会,对需要成员国同意的事项作出决定。该委员会不仅像“第29条工作组”那样具有咨询作用,而且对法律文件的通过具有重要作用,关于个人信息保护的许多重要措施的通过需要其批准。欧盟《个人数据保护与流通指令》第31条于2003年9月29日进行了修改,是整个指令实施以来唯一进行了修改的条款,旨在授予欧盟委员会根据《欧共体条约》提及的程序行使法律文件规定的执行权。

2.欧洲国家的两种模式

欧盟成员国在欧盟《个人数据保护与流通指令》框架下,都建立了相应的个人数据(信息)行政管理机构,其中德国每个州还设置了数据(信息)保护机构。欧洲的数据(信息)保护机构在组织和作用上多有相似,但也存在差异,一些国家采取的是监察(ombudsman)模式,如芬兰、匈牙利和瑞典的个人信息监管机构;另一些国家采取的是管制(regulation)模式,如法国、波兰和西班牙的个人信息监管机构[15]15-16。监察模式的监管机构主要关注提出法律请求的特定个人的情况,如果认为存在违反信息保护法律的情况,会为个人寻求救济,如要求对有关的个人信息进行修正,可能的话还要求给予赔偿,但其自身并不广泛地介入信息控制者的实践活动;管制模式的监管机构关注法律的遵守,当收到投诉并判定违反信息保护规范的情况属实时,考虑的不仅是个人的情况,而且包括决定采取何种可能行动的一系列因素,其主要关注的是确保遵守法律而非为投诉的个人提供救济[15]16。欧洲国家专门的个人行政主管机构的详细情况见表1。

3.美国的发展

英美法系国家或地区大都设置了“隐私专员公署”之类的个人信息(隐私)保护专门管理机构,但美国是个例外,美国采取的是以行业自律为主导的个人信息保护体制,没有设置专门的个人信息(隐私)保护管理机构。据《华尔街日报》报道,2010年12月16日奥巴马政府表示,需要设立隐私保护公署(Privacy Policy Office),帮助制定互联网“隐私法”以保护美国公民的隐私权,并协调全球隐私保护问题②。

4.亚洲国家或地区的选择

亚洲国家或地区的情况不尽相同。日本在个人信息保护法立法过程中认为,如果设置欧洲那样对任何领域都拥有管理权限的个人信息保护行政机关,可能限制非公务部门本应进行的自由活动,这不合乎日本的国情,与行政改革和放宽管制的趋势相左,所以日本倾向于设置事后救济制度③。日本《个人情报保护法》中没有规定专门的个人信息保护执法机构,但第49条规定了“主管大臣”制度:内阁总理大臣在认为必要时,可以将特定的大臣指定为主管大臣。韩国设置了公务部门和非公务部门个人信息处理的不同机构,国务总理下属的个人信息保护审议委员会负责公务部门相关制度和政策的制定和完善,并对公务部门个人信息保护事项进行协调,行政自治部负责指导公务部门的个人信息保护;信息通信部负责对非公务部门的个人信息处理纠纷的救济,该部设立了个人信息纠纷调停委员会④。泰国设置了政府信息管理委员会,负责政府对个人信息的保护等事务⑤。

中国香港地区设置了个人资料(信息)私隐专员公署⑥,主要职责包括:监督个人信息私隐专员的行政及管理工作;制订行动方针及程序,以执行条例的规定;监察及监管各界遵守私隐条例的规定;行使核准及发出实务守则的权力,为遵守条例的规定提供实务性指引;加强各界对条例的认识和理解,以及促使各界遵守条例的规定;对认为可能影响个人信息私隐的建议中的任何法例(包括附属法例)加以审核,以及向建议制定有关法例的人士报告审核结果;视察机构的个人信息系统,包括政府部门及法定团体的系统;在接获信息当事人的投诉后,或是主动对涉嫌违反条例规定的情况做出调查;就可能对个人信息私隐有不利影响的个人信息处理方法及计算机科技进行研究,以及监察其发展情况;就互相关注并涉及个人信息私隐的事项,与香港以外任何地方担任类似信息保障职能的人士保持联络及互相合作。

中国澳门地区设有个人资料(信息)保护办公室⑦,主要职能包括:监察、协调对《个人资料保护法》的遵守和执行,接受个人信息处理的通知,并做出登记;审批许可申请和其他申请;订定保密制度,监察该等制度的实施;接受、调查及处理有关个人信息保护方面的查询、投诉或举报,对违反《个人资料保护法》的行政违法行为做出处罚;向公众宣传《个人资料保护法》,令市民提升保护私隐的意识;对个人信息保护领域进行理论研究,不断完善相关的制度和规定。

中国台湾地区尚未设立专门的个人信息保护行政管理机构。不过,前面述及的“微软个资保护中心”是台湾针对个人信息保护议题设立的专职机构(社会机构)。

对于中国大陆法域而言,设立专门的全国个人信息管理机构是必要的,其理由为:第一,设立专门的全国个人信息管理机构符合大多数国家个人信息管理的惯例;第二,设立专门的全国个人信息管理机构有利于统一领导全国个人信息保护工作;第三,设立专门的全国个人信息管理机构有利于与其他国家或地区协调个人信息保护与跨境流通等问题。其职能可以包括:第一,统筹全国个人信息保护管理与执法工作;第二,制定全国个人信息保护指导方针、政策、规划等;第三,领导各级个人信息管理部门与执法机构的工作;第四,监督全国日常的个人信息保护工作;第五,协调有关机构或组织的个人信息保护工作;第六,与国际沟通个人信息保护工作,加强个人信息保护的国际合作。

(二)个人信息保护的行政监管制度

行政主管部门对个人信息保护的监管体现在对个人信息收集、处理、传输与利用等行为的事前监督与事后监督两方面,而为了避免行政力量对市场行为的过度干预,一般情况下不宜设置事中监督制度。

1.预先通知与预先审查制度

预先通知制度,是指个人信息本人以外的有关主体,在对个人信息进行全部或部分处理操作前,须向行政监管部门预先通知有关情况并公开处理操作的制度。预先通知制度有利于监管部门对个人信息处理行为的事前监督,也有利于个人信息本人预先了解个人信息处理的情况[6]261。预先审查制度,是指个人信息的行政监管部门在收到处理个人信息的预先通知后,随即进行审查,从而决定是否允许其对个人信息进行处理或是否需要采取必要措施的制度。预先审查制度在一定程度上有利于预先防止个人信息处理者的非法和不当行为,有利于预先维护个人信息本人的正当权益[6]263。

从现有立法例来看,尚只有欧盟及其成员国个人信息法规定了个人信息处理的预先通知和预先审查制度。在欧盟,各成员国对通知制度存在不同的主张,有些成员国的个人信息法主张实施通知制度,有些成员国则主张尽量避免通知和预先审查的严格程序要求。欧盟《个人数据保护与流通指令》采取了折中的做法,原则上,各成员国个人信息法应当规定管理者或其代表在进行全部或部分自动处理操作前,必须通知个人信息行政监管机构。各成员国可以规定在例外情况下,简化或免除通知的义务,这些情况包括:个人信息处理侵害个人信息本人权利的风险较低,而且处理者提供了有关个人信息处理的具体信息;个人信息控制者任命了个人信息内部保护专员,由其监督个人信息处理的具体实施,以避免侵害个人信息本人的权利;个人信息处理的目的是为公众提供信息;个人信息处理属于合法的敏感个人信息的处理[6]258。

欧盟各成员国的个人信息法坚持了欧盟《个人数据保护与流通指令》的预先通知原则,但对例外情况的规定有所不同。其中,荷兰、瑞典、德国、法国等成员国的个人信息法规定,个人信息处理者通过任命内部的个人信息保护专员监督个人信息处理行为,可以不向个人信息保护机构通知。对于是否应当通知的个人信息处理的类别等具体情形,奥地利《联邦个人数据保护法》规定,只有涉及公开性和间接性的个人信息处理行为不用通知①;而葡萄牙、比利时、丹麦的个人信息法则规定处理员工的薪酬、员工管理等信息可以适用简化通知程序或免除通知义务。

预先通知的内容至少包括:管理者及其代表(如果有)的姓名和地址;操作的目的;个人信息本人及信息的类别,或与其相关信息类别的描述;可能向其公开信息的接收者或接收者的类别;拟议中向第三国进行的信息转让;为保障处理的安全性而采取的措施的适度性做基本的评估②。

关于预先审查制度,欧盟《个人数据保护与流通指令》要求各成员国应当确定对个人信息本人的权利和自由带来特定风险的处理操作,并应当在操作开始前检查这些操作过程是否受到了检验;监管部门应当在收到由于产生怀疑而必须向监管部门进行咨询的管理者或个人信息保护官员的通知后进行预先检查;各成员国也可以在国会所采取的措施或以这些立法措施为基础而采取的措施的准备过程中进行检查,以确定操作的性质并制定适当的保护方法③。

欧盟各成员国个人信息法都规定了预先审查制度,只是具体规定存在一定的不同。比如,葡萄牙规定国家数据(信息)保护委员会进行预先审查的是:处理敏感个人信息;处理涉及非法活动、犯罪和行政违法行为指控,以及适用刑法、安全措施、罚金与其他刑事决定的个人信息;处理涉及个人信用和破产的信息;对个人信息进行互联;在收集个人信息目的外使用个人信息①。而法国规定国家信息与自由委员会预先审查的是:处理敏感个人信息;医疗人员和生物学家为了预防医学、医疗诊断、护理或治疗管理的目的,自动化处理基因信息;处理涉及犯罪、判决或安全措施的个人信息;如果法律无明确规定,自动化信息处理因其性质、重要性或目的可能剥夺个人的权利、服务或合同利益;对一个或多个涉及不同公共利益的信息库进行互联;个人信息处理涉及自然人的身份编号;自动化信息处理涉及个人社会问题的信息;自动化信息处理包含确定个人身份所必须的生物信息②。从欧盟《个人数据保护与流通指令》和欧盟成员国的立法可见,预先审查制度既包括形式审查,也包括实质审查。

2.登记备案与许可制度

个人信息处理的登记备案与许可制度目前主要是研究者的一种探讨。比如,周汉华教授写道:“其他个人信息处理者开始进行个人信息收集之前,须向政府信息资源管理主管部门进行登记。以个人信息处理为主要业务或通过个人信息处理营利的公民、法人或其他组织,在开始进行个人信息收集之前,须经政府信息资源主管部门行政许可。”③关于登记制度的创设,杨丽华认为:首先,明确规定监督执行机构专门负责登记;其次,明确规定信息处理者收集个人信息前必须进行登记以及符合登记的形式要件;最后,明确规定对不履行登记手续的信息处理者,监督执行机构有采取行政措施的权力[16]38。

个人信息处理的许可制度,实际上是审查批准个人信息处理者的个人信息处理资格的一种批准制度,其规则与行政许可法的相应规则基本相同。关于行政许可制度的建立,杨丽华认为:个人信息处理许可制度要求其他个人信息处理者在进行个人信息收集之前,需向监督执行机构申请,监督执行机构针对其申请,分别进行形式审查和实质审查,判定其是否具有从事该个人信息收集的资格,决定其是否可以实施这种行为;并非所有信息处理者都要申请许可,个人信息行政许可制度应当只限于以信息处理为业务或者牟利的信息处理者;若信息处理者未经行政许可,擅自处理个人信息的,监督执行机构可以采取行政措施[16]38。

关于个人信息处理登记与许可申请应当载明的事项,周汉华教授认为应当包括:自然人的姓名、身份证号、住址、法人或其他组织的名称、住所、法定代表人或主要负责人的姓名;个人信息文件的名称;个人信息的使用目的;个人信息的主要内容;个人信息的收集方法;个人信息的保存期限;个人信息文件的主要使用者;个人信息文件的公开方式与地点;个人信息文件的安全保护措施;个人信息文件安全保护主要负责人姓名、身份证号、住址及简历;国务院信息资源主管部门要求的其他事项④。

3.申诉与救济制度

申诉制度,是指个人信息本人因其个人信息权利遭受公务部门主体或公务部门以外主体的侵害,而向个人信息行政管理机构投诉的制度。个人信息行政管理机构根据个人信息本人的申诉,依法律、依职权对侵害个人信息权利的行为进行查处,此即个人信息遭受侵害的行政救济制度。行政申诉制度与救济制度的规则与行政法的相应规则基本一致,个人信息法一般只针对个人信息保护的特殊之处,制定相应的规范。

对于公务部门处理个人信息的行为而言,这是出于履行法定职责,进行行政管理的需要,构成行政法律关系;因而,个人信息本人的权利受到公务部门侵害的,除了采取个人信息法规定的司法救济方式外,还可以通过行政复议、行政诉讼获得行政救济[16]36。依中国大陆法域现行法律,个人信息本人在要求公开、修改个人信息遭到公务部门拒绝的,可以就这一具体行政行为申请行政复议或提起行政诉讼;如果个人信息本人要求公开、修改个人信息,公务部门不予答复,个人信息本人可以依行政不作为申请行政复议或提起行政诉讼;而且个人信息本人对救济的途径有选择权[16]37。日本于2005年施行的《信息公开及个人信息保护审查会设置法》规定,凡是与个人信息处理有关的行政复议案件,复议机关必须咨询专门设立的“信息公开与个人信息保护审查委员会”的意见,该机构的委员具有较高的专业水平和独立地位,复议机关一般比较尊重其提出的意见①。韩国行政自治部负责公务部门的个人信息保护,相关的争议通过一般的行政复议或行政诉讼方式解决。

个人信息遭受侵害者向个人信息管理机构提起申诉后,个人信息管理机构应当根据申诉的事项范围,决定是否受理。在欧盟,各成员国对应当受理的事项范围的规定存在不同,西班牙、葡萄牙、丹麦、法国等国家的立法规定,只要申诉的事项与个人信息处理有关,个人信息管理机构就有权受理。但芬兰、奥地利等国的立法则规定,个人信息本人申诉的事项只能是涉及查阅和修改个人信息等权利行使的事项。

个人信息管理部门在受理了个人信息本人的申诉后,将根据具体情况决定是否展开调查。而调查的对象是除个人信息本人外的其他相关个人信息控制者的个人信息处理行为。经过调查后,个人信息管理机构确定相关的个人信息控制者是否违法,决定是否采取行政强制措施,决定解决纠纷的具体方式。解决纠纷的方式包括行政调解、行政裁决、行政处罚等。比如,奥地利《联邦个人数据保护法》规定:在获知个人信息本人的请求并未涉及立法或司法行为所需的信息使用范围,数据(信息)保护委员会应当对个人信息所有人主张的,由数据应用程序的管理员对其享有的知情权造成的侵害做出裁决;当处理相关申诉时,如存在紧急情况,在涉及信息准确性的争议情况时,数据(信息)保护委员会可以完全或部分禁止对个人信息进一步的使用,命令管理员对该争议点做出标记②。

四、个人信息保护中的社会监督

社会监督是个人信息保护中国家机关、行业内部以外的第三种监督力量,也是最为广泛的监督力量,并日益成为一种强有力的监督力量,对个人信息保护有不可忽视的作用。个人信息保护的社会监督包括个人信息保护团体的监督,媒体舆论的监督以及社会公众的监督等。个人信息法对社会监督机制一般应当设置相应的指引性规范,以保证社会监督有序进行并发挥积极的作用。

(一)个人信息保护中的社会团体监督

个人信息保护团体主要是指专业、专门针对个人信息保护进行社会监督的团体,传统的消费者利益保护团体、工会等有时也会涉足个人信息保护领域,但后者一般只是起到辅助、补充的作用。在社会管理创新思想引导下,社会团体介入个人信息保护领域,往往能发挥着比政府直接介入该领域更有成效的作用。社会团体作为一种公益性组织,是维护个人信息权利,监督企业、行业等对个人信息的收集、处理、传输与利用行为的重要社会力量。比如,位于纽约的个人信息隐私保护的民间团体“隐私国际”③针对谷歌的隐私保护状况,曾提出批评,认为没有一家互联网企业的隐私政策像谷歌那样“对用户隐私有如此大的威胁”,谷歌对此做出了积极回应,并努力改进在线隐私政策④。

在个人信息保护社会团体的监督方面,日本《个人情报保护法》采取了认可、支持与引导的国家政策,该法第4章第2节“由民间团体推动的个人信息保护”对民间团体在个人信息保护中涉及的事项进行了全面规定。其中,第37条、第38条规定了成立个人信息保护团体须向主管大臣申请,并要有符合法定条件的成员;第39条规定了认定个人信息保护团体的标准;第40条规定了个人信息保护团体申报废止的程序;第41条、第42条规定了个人信息保护团体的业务范围、处理争议的程序;第43条规定个人信息保护团体须依该法制定个人信息保护指导方针;第44条、第45条对个人信息保护团体名称的使用进行了限制,禁止目的外使用,禁止未经认定的团体使用;第46至49条对主管大臣监督个人信息保护团体业务等事项进行了规定。

中国台湾地区于2008年成立了社团法人台湾个人资料(信息)保护协会⑤,其宗旨是以保护个人信息免于不当搜集(收集)、处理及利用过程所产生的风险,并促进个人信息的合理利用。其任务包括:接受个人或团体相关信息遭受国家或私人的不当搜集(收集)、使用、交换的案件申诉;监督并督促政府个人信息保护主管机关的政策推动与法令执行;向社会大众推广隐私权及个人信息保护的观念;刊行会志、会报及相关的各类书籍;与国内外相关团体暨学术研究机构举办交流活动及学术联系;推动个人信息保护专门教学与研究机构的设立;其他促进个人信息保护发展的相关活动。

(二)个人信息保护中的媒体舆论监督

媒体舆论监督是通过纸质报刊、广播电视、网络新媒体等信息平台对个人信息保护中的违法、不当行为的监督、批评与指正。尤其是网络新媒体,已经成为一种强大的监督平台,日益成为及时高效地对侵害个人信息权利的行为进行舆论监督的重要媒介。媒体舆论的监督包括新闻报道、编读往来、举报平台、专家评论等多种方式。比如,针对大学生求职中存在的个人信息泄露问题,媒体进行了报道,指出大学生在求职期间,把自己的电子邮箱和手机号等个人信息公布在网上,结果遭到人才服务机构的非法、不当收集,使求职者即使在找到工作后,仍然会遭到不定期的垃圾广告邮件、手机群发短信的骚扰[17]。

媒体舆论往往对侵害个人信息权利者造成强大的心理压力,有时发挥着比法律手段更有效的作用,促进侵害个人信息权利者及时对其行为进行改正或采取补救措施。比如,以Web方式登录谷歌邮箱后网页出现的有针对性投放的广告信息,被认为与对个人邮件内的文字、文档内容进行分析的结果有关,涉嫌侵害个人信息,对此谷歌进行了说明,指出谷歌只会通过扫描谷歌邮箱中的消息来展示相关性广告,而不会扫描用户存储在谷歌文档中的内容①;与此同时,谷歌也在不断地积极改进个人信息保护机制,特别是2012年3月实行了对保护个人信息隐私更有利的新的隐私权政策。

当然,媒体舆论监督必须在遵守媒体伦理、职业道德,遵守媒体法律的框架下进行,避免利用媒体舆论造成对有关主体正当权利的侵害。比如,在涉及个人隐私的新闻报道中要进行匿名处理,不能直接披露被报道对象真实的姓名、明确的身份等个人信息。在涉及司法的新闻报道领域,英国、加拿大的法官有权禁止发表可能导致“司法程序受到严重阻碍或损害重大风险”的信息,从嫌疑人被捕或被起诉到被判决,新闻工作者可以旁听审判,但限制其报道的内容;在另一些国家,民法和刑法均有条款对可报道或不可报道的信息类别予以规定,一般限制内容涉及犯罪受害者的姓名、离婚案或儿童监护案中的家庭详情,或者被告过去犯罪记录等;而在瑞典等一些没有此类规定的国家,新闻工作者的职业操守要求,除“有公共利益上的明显需要”,否则不得将被告身份公开②。

(三)个人信息保护中的社会公众监督

社会公众是最广泛的社会监督主体,社会公众的监督是无处不在的广泛监督力量。社会公众对侵害个人信息权利行为的监督方式很多,包括网上文字披露、批评,直接投诉或申诉,提起公益诉讼等。比如,2005年底,以“搜人”为服务内容的网站—优库网(ucloo.com)推出,在其网站上可以搜索到海量个人信息,并有偿提供个人信息内容服务,由于其服务涉嫌大量泄露个人信息,遭到社会公众的猛烈抨击而在压力下被迫进行了整改③。而个人博客、网络社区、微博等网络应用,也已然成为公众进行社会监督包括对侵害个人信息权利行为进行监督的重要平台。

当然,对于社会公众监督,也必须坚持个人信息法的引导,要防止出现不负责任甚至制造虚假信息的情况,在保障社会公众监督权利的同时,应当保证社会公众监督的秩序,而不是造成一种无序、噪杂的状态。值得一提的是,网上投诉平台是一种既能方便社会公众监督,又能保证社会公众监督秩序的平台。因而,开通相关的平台,并对投诉信息进行及时处理,对涉及的问题进行及时解决,对于发挥公众监督的作用具有重要意义。在这方面,欧洲很多国家均建立了公众针对个人信息问题的网上投诉通道。比如,斯洛伐克信息保护专员机构的官方网站上就开通了一个接受公众投诉、反馈的在线提交平台,公众可以提交关于个人信息监管中的批评、建议和问题④。在中国,搜索引擎“百度”设立了包括网页投诉中心、贴吧投诉中心、推广投诉中心等的大型网上投诉平台⑤,用户对在百度发现的不良信息、侵权信息均可直接通过该平台进行投诉,百度投诉中心的工作人员承诺一般在24小时内将投诉的处理结果反馈给投诉者。

[参考文献]

吴嘉生.资讯伦理与法律[M].台北:国立空中大学,1997.

朱景文.法理学[M].北京:中国人民大学出版社,2008.

詹炳耀,任文瑗,郭秋田,张裕敏.资讯伦理与法律[M].台北:台北旗标出版有限股份有限公司,2006.

蒋坡.国际信息政策法律比较[M].北京:法律出版社,2001.

齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009.

孔令杰.个人资料隐私的法律保护[M].武汉:武汉大学出版社,2009.

熊爱卿.网际网路个人资料保护研究[D].台北:台湾大学法律学研究所,2000.

洪海林.个人信息的民法保护研究[M].北京:法律出版社,2010.

王丽萍,步雷,等.信息时代隐私权保护研究[M].济南:山东人民出版社,2008.

吕艳滨.信息法治政府治理新视角[M].北京:社会科学文献出版社,2009.

郎庆斌,孙鹏.大连个人信息保护评价体系[M]//李林.中国法治发展报告.北京:社会科学文献出版社,2010.

齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6):2-5.

周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[R].北京:法律出版社,2006.

戴恩·罗兰德,伊莉莎白·麦克唐纳.信息技术法[M].宋连斌,等,译.2版.武汉:武汉大学出版社,2004.

库勒.欧洲数据保护法:公司遵守与管制[M].旷野,杨会永,等,译.2版.北京:法律出版社,2008.

杨丽华.行政法视野中的个人信息保护—从两则案例引发的思考[D].兰州:兰州大学,2009.

霍仟,来扬.大学生求职须谨防个人信息泄露[N].中国青年报,2011-05-30(7).

[责任编辑 张桂霞]

猜你喜欢
个人信息保护自律监督
坚持自律 赢得的是整个人生
新语
自律的力量
什么是四个监督?
知耻自律
我国大数据时代个人信息保护研究综述
移动互联环境中个人信息保护的调查与分析—以大学生为例
大数据时代个人信息管理与保护
落实依法监督、科学监督、高效监督