法学论文
个人信息保护是一项独立的法律制度
作者:丁嫣 律师 时间:2021年01月18日
民事立法出现种种矛盾与纠结,不但关涉立法,也会对未来的法律适用产生重大影响,必须妥善解决。之所以会出现各种矛盾和纠结,是因为人格权(隐私权)保护与个人信息保护是根本不同的两项制度。人格权是一项传统的民事权利,个人信息权则是完全独立的一项新型公法权利,是随着计算机大规模采用才出现的新事物。以传统民事权利话语体系界定个人信息权利,将个人信息保护纳入私法人格权范畴,与隐私权并列在一节中,必然会出现逻辑矛盾与实践冲突。 20世纪60年代末70年代初,由于计算机和信息系统的采用,欧洲与美国最早关注到个人信息使用与滥用问题,认识到需要确保某些记录的保密性和安全性,限制对某些记录的访问或被用于初始用途之外的用途,以保护个人信息不被滥用。在此基础上,各国逐步形成“公平信息实践”,并出台了针对个人信息自动处理的第一批法律,用以落实公平信息实践原则。1970年,德国黑森州制定全世界首部《数据保护法》。1973年,瑞典制定首部全国性《数据保护法》。美国于1970年制定《公平信用报告法》《银行保密法》,1974年制定适用于联邦政府机构的《隐私权法》。由于不同国家法律文化的差别,个人数据保护制度产生之初,往往与传统的隐私保护制度相互交织,两个概念也相互混用,容易产生不同的认识。 1980年,由发达国家组成的经合组织通过《隐私保护和个人数据跨境流动指南》,确定了8项原则:(1)收集限制原则。个人数据的收集应该受到限制,任何此类数据的获得都应该通过合法和公正的方法,在适当的情况下,要经过数据主体的默示或同意。(2)数据质量原则。个人数据应该与它们将要被使用的目的和该目的所必要的程度相关,个人数据应该精确、完整和被保持为最新状态。(3)列明目的原则。收集个人数据的目的应该在数据收集之前列明,之后的使用应限于实现这些目的或者那些与之并非不相容的目的,这些情况应当在其目的变更时列明。(4)使用限制原则。除非经过数据主体的同意或者经过法律授权,不应该在列明的目的之外披露或公开使用个人数据。(5)安全保护原则。个人数据应该受到合理的安全保护,以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露等问题。(6)公开原则。应该制定关于个人数据发展和实践的一般公开政策,确立便利的措施,以确定个人数据的存在和性质、它们使用的主要目的,以及数据控制者的身份和通常住所。(7)个人参与原则。个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据;如果其要求被拒绝,他有权获知理由并可以提出挑战;如果挑战成功,他可以要求删除、纠正、补充完整或修改这些数据。(8)责任原则。数据控制者有责任遵守赋予上述原则以效力的措施。该隐私指南于2013年经过修改,仍然维持同时使用隐私与个人数据两个概念的习惯做法。 1981年,欧洲理事会制定《有关个人数据自动化处理的个人保护协定》,推动了发达国家的立法进程。1990年12月14日,联合国大会以45/95号联大决议的形式通过《计算机处理个人数据系统规制指南》,建议成员国在立法中采纳指南提出的10项隐私保护原则。在这两个国际法律文件中,隐私与个人数据保护两个概念依然同时并用。 欧盟一直是个人数据保护的领先者。欧盟1995年制定《保护个人有关个人数据处理及该种数据自由流动的指令》时,仍然同时使用数据与隐私保护两个概念,两者的关系尚不十分明确。但是,欧盟2000年制定《欧盟基本权利宪章》时,就已经在第7条和第8条分别规定尊重私人和家庭生活(传统意义上的隐私权)以及保护个人数据,个人数据保护开始被作为一项独立的权利对待。2007年欧盟各国首脑签署《里斯本条约》,要求尽快制定欧盟个人数据保护规则,就完全采用了个人数据概念,不再提及隐私概念。经过20多年的探索,到2016年制定《保护自然人有关个人数据处理及该种数据自由流动的条例》(以下简称《一般数据保护条例》)时,通篇只有数据保护的概念,不再使用隐私保护的概念,数据保护完全成为一个独立的领域,不同于传统的隐私权保护。可见,从其最初产生开始,个人信息保护就与传统的隐私保护面临截然不同的任务。随着信息化的普及,个人信息保护已经迅速成为一项独立的法律制度,全世界已有100多个国家制定专门的个人信息保护法律,确立了独立运行的制度。
(本文源自网络,如有侵权,请联系删除)
(本文源自网络,如有侵权,请联系删除)
