摘 要:随着全社会信息化水平的提高,人们对个人信息保护的关注度也越来越高,香港特别行政区的个人资料(又称私隐)保护制度自建立以来不断发展,而大陆地区专门立法及制度迟迟未建立,实践中出现了大量个人信息泄露的案例,因此,本文从介绍香港《个人资料(私隐)条例》出发,总结香港个人信息保护制度的经验及教训,以促进大陆地区个人信息保护制度的建立。
关键词:个人信息;个人资料;香港特别行政区
中图分类号:D923 文献标识码:A 文章编号:2095-4379-(2019)26-0214-02
作者简介:黄阿婧(1995-),女,汉族,河南周口人,法学硕士,暨南大学法学院,宪法学与行政法学专业,研究方向:宪法学与行政法学。
个人信息保护是现下人们关注的热点问题,人们享受着现代生活带来的便利,同时也面临着个人信息泄露的风险。香港《个人资料(私隐)条例》颁布于1995年,并于2012年进行修改,该条例是亚洲地区最早的个人信息专门立法,同时香港也是最早设立专门机构保护个人资料的地区,近年来,香港在保护个人信息方面不断发展,处于世界领先地位,因此学习香港个人信息保护制度,于大陆而言,有着重要意义。
(一)香港《个人资料(私隐)条例》的概况
《个人资料(私隐)条例》(以下简称《私隐条例》)制定于1995年8月,并于1996年12月20日起正式实施,是一部专门保护个人信息的法律,同时条例规定成立香港个人资料私隐专员公署负责监察执行。
《私隐条例》包含十章共71条,主要章节包括执行,私隐专员的工作要求,资料使用者使用资料的程序性规定,查阅更正个人资料的方式要求,核对及转移个人资料等的程序,私隐专员公署的视察、投诉及调查工作程序,豁免,涉及侵犯私隐的相关罪行及补偿,杂项条文共七十一条。条例包含六个附表,分别是数据保护原则,私隐专员的财务事宜等程序性要求及文件格式。
(二)个人资料(私隐)条例的适用范围
首先,公共机构与个人的行为都是《私隐条例》的适用主体。
条例中的“资料(data)”指在任何文件中的任何陈述(包括各种意见),并且包括用于区分个人身份的个人身分标识符,例如学号和工号等标识符,都被视为资料的一部分,但名称不是个人身份标识符。“文件(document)”包括书面文件,也包括其他能够重现的录像等。文件必须具备可复制性,即必须可重现,因此口述、记忆和监控录像都不是文件的范畴,不适用《私隐条例》。“个人资料(personal data)”指与确认在世的个人身份有关的,可以以切实可行的方式查阅和处理的任何资料。首先“在世的个人”即排除死者和法人享有个人资料的可能性。其次,“切实可行”意味着应以实用可行的方式获取和处理资料,《私隐条例》排除不可能和需要大量技术投入的资料。
(三)《個人资料(私隐)条例》的原则
条例确定的资料保障原则包括:(1)收集个人资料的目的及方式:收集个人资料必须与资料使用者的工作或行为有直接相关的目的,或者是必需的且适度的收集。收集资料时要满足法律规定的程序,必须以合法、公平的方式收集,收集前收集者必须要告知当事人资料用于何处,当事人享有的权利以及资料使用者的地址和联系方式。资料收集者还应当告知当事人提供资料是否是义务以及不提供的后果。(2)个人资料的准确性及保留期间,资料使用者若怀疑资料的准确性,就应当及时删除或者放弃该资料的使用,且使用期间不得超过合理期限。此处《私隐条例》只是一个原则性规定,具体的使用期间多久是合理由使用者决定。(3)个人资料的使用,《私隐条例》明确规定资料使用者不得将个人资料用于收集时告知当事人目的以外的其他任何用途,除非经过资料当事人的明示同意。除此之外,条例还为无民事行为能力人的资料收集及使用的程序做了明确规定。(4)个人资料的保护,这主要强调使用者对收集的个人资料有保护义务。(5)资料当事人享有的权利。资料当事人享有查阅权和修正权。即资料当事人能够在合理的时间内、不用支付超乎适度的费用、以合理方式、查阅存在形式清楚易名的个人资料,当发现其个人资料错误,有权要求使用者更改其。保障资料的原则对收集使用个人资料提出了详细的程序性要求,任何人不得违反。
截止到2019年6月20日,以“个人信息”为关键词搜索全文,在北大法宝网检索,检索到23部现行有效的法律,13部行政法规,965部部门规章提到个人信息。这些法律法规中有不少只是简单提到保护个人信息,笔者通过分析相关条文得出以下结论:
我国在诸多法律中都有涉及个人信息保护,譬如《中华人民共和国刑法》《中华人民共和国电子商务法》《中华人民共和国民法总则》等,但大都是原则性规定,缺乏程序性规定,专门保护个人信息的法律尚未出台,因此缺少个人信息保护制度的基础,但是在实践中,侵犯公民个人信息的案例屡见不鲜,相关法律适用程度不高,如侵犯公民个人信息罪的定罪量刑标准较难统一,“情节严重”在实践中容易产生分歧,民事侵权损害中精神损害赔偿不易确定等。
自信息化水平大幅度提高以来,学者们一直都在致力于个人信息专门立法的研究,先后有两部学者建议稿,但由于立法相关程序及环境的影响,虽然个人信息专门立法提起于2003年,但至今个人信息保护法仍未出台。值得一提的是,2018年《十三届全国人大常委会立法规划》中将个人信息保护法列为第一类项目,即条件比较成熟、任期内拟提请审议的法律草案,这也意味着,久久呼唤的个人信息保护专门立法即将到来,我国大陆地区将进一步加大对个人信息保护力度。
(一)大陆可借鉴的经验
香港《私隐条例》是亚洲地区最早的个人信息专门立法,同时香港也是最早设立专门机构保护个人资料的地区,近年来,香港在保护个人信息方面不断发展,处于世界领先地位,香港所取得的成功原因一方面是通过其《私隐条例》。《私隐条例》适用的对象、适用的范围以及程序性和原则性规定都比大陆地区全面。由于条例作为适用在香港地区的法律,适用范围广,约束力强,且由于是专门立法专业性强,条例的原则、适用范围等自成一体,法规能够很好地完成它的设立初衷,推动个人信息保护的整体发展,具备完整性,也能够更好地把握侵犯个人信息这一问题的本质,解决实际问题。这也是专门保护制度相对于分散规定在多部法律的优点。另一方面,私隐专员负责监督执行《私隐条例》,是一支专门的执法力量。《私隐条例》自实施以来已有二十余年,通过解决事件中的问题,私隐专员及私隐专员公署对条例有了更深的认识,条例的原则性规定,通过实践的发展已形成了特有的细则。因此大陆地区需要从以上两方面吸取香港的经验。
(二)大陆应汲取的教训
香港的个人资料保护制度也并非完美,我们在学习其经验之时还需认识到其不足之处,取其精华去其糟粕。最大的问题在于,由于其专业性,专门独立的私隐专员公署确实有利于个人信息的保护,但与其他权力机构所求类似,追求权力的扩张是所有權力机关的通病。若私隐专员公署达成它所追求的处罚权及刑事调查权,很有可能侵犯公民的其他权利,侵犯人权,最后可能难以实现保障公民信息的初衷。而对于大陆地区而言,情况更是如此,当前我国行政机关的权力本身就过于庞大,近年来一直在控制行政权力,以实现政府职能转变,因此我国大陆地区设立专门机构时要注意这一点或者不设立新机构,避免赋权过多,行政队伍冗杂。
[ 注释 ]
①香港《个人资料(私隐)条例》法条来源于香港法律资讯中心.http: // www. hklii. org/ chi/[EB/OL].
[ 参 考 文 献 ]
[1]齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009.
[2]齐爱民.中国信息立法研究[M].武汉:武汉大学出版社,2009.
[3]华劼.移动互联网时代个人信息隐私保护——对《香港个人资料(私隐)条例》的解读及启示[J].重庆邮电大学学报(社会科学版),2017,29(05):40-47.
[4]冉家祺.论香港个人资料(私隐)保护制度[D].西南政法大学,2014.