下载掌阅APP,畅读海量书库
立即打开
关于个人信息保护的规定最早可追溯至1950年的《欧洲人权宪章》( The European Convention of Human Rights, ECHR )。 ECHR 旨在保护个人人权和基本自由,其第8条规定,个人的私人生活和家庭生活应当受到保护。此后,依据 ECHR 成立了欧洲人权法院。欧洲人权法院未对 ECHR 第8条中的“私人生活”或者“隐私”给出明确定义,但是通过大量的判例不断丰富隐私的内涵。对此,有学者评价这一条款的内容“涵盖关于个人自主、个人隐私、个人身份、个人尊严、个人发展、个人身份识别以及一系列相近概念以保护个人人格”。 [3] 虽然这一条款指向的权利是隐私权,但是对于个人信息的保护与隐私保护具有相同的目的,因而可以基本人权的方式实现保护。 [4]
然而,随着电子计算机和信息通信技术的迅猛发展,特别是19世纪60年代对信息隐私和数据保护要求的提升,原有的
ECHR
第8条难以实现对所有类型个人信息的充分保护,且对个人信息的保护并未包含私人领域行为,因此欧洲委员会(The Council of Europe, CoE)又转向建立私人领域的个人信息保护规则,并在先前研究的基础之上于1973年提出《关于私人领域电子数据库中个人隐私保护的决议》,
紧接着又于第二年提出《关于公共领域电子数据库中个人隐私保护的决议》,
其中,《关于私人领域电子数据库中个人隐私保护的决议》第一次使用了“同意”的概念,将其作为授予使用个人信息的正当性基础原则。虽然其并未对“同意”作出明确定义,但是在保护个人信息的立法进程之初确立了“同意”这样一项规则,以确保个人能够充分表达对处理其个人信息的意愿。
之后,为在欧洲国家建立具有普遍法律约束力的个人信息保护制度,CoE又推动专家委员会起草了《关于个人数据自动化处理的个人保护公约》(简称《108公约》)。
据此,CoE能够规范所有成员国的数据处理活动,并消除各成员国之间法律规定及适用上的差异。然而《108公约》依然未将同意置于十分重要的地位,仅在第15条中规定了数据主体需要申请协助时的同意。
“公平信息实践准则”(The principles of Fair Information Practice)诞生于20世纪70年代初期。当时的美国政府试图通过计算机建立数据库进行收集和处理个人信息,由于个人需要依要求向政府提供与其有关的个人信息,而个人信息的泄露会产生侵害个人隐私的高度风险,因此个人信息处理与保护问题也随之产生。在这一背景下,美国医疗、教育与福利部于1972年成立了个人信息自动化系统咨询委员会(Advisory Committee on Automated Personal Data Systems),其目的是解决计算机和电子通信技术系统在个人信息的收集、存储和使用过程中可能产生的问题。
[5]
随后,该委员会于1973年发布了一份题为《记录、电脑与公民权利》的报告,这份报告中提出了“公平信息实践准则”,
[6]
具体内容包括:①不得建立对个人信息记录的私密存储系统;②个人在其被收集个人信息之前,有权利知晓收集的其个人信息记录的内容和使用目的、方式等;③必须确保未经个人信息主体同意而将其信息用于个人同意使用之外的目的,或者将其个人信息提供给他人,个人应当有权利禁止这一行为;④必须确保个人对与其个人信息记录错误或不相符的内容享有更正、修改的权利;⑤任何组织在使用个人信息时,必须保证收集、使用、存储、分析的可识别个人信息记录中的数据可靠,并且必须采取防止数据滥用相应的预防措施。美国“公平信息实践准则”首次确立同意规则,以上五项内容的提出不仅影响了美国的隐私权以及后续的信息隐私权的相关立法,而且对欧盟成员国家乃至世界其他国家和地区的个人信息保护立法产生了十分重大且深远的影响。这些国家和地区的法律以公平信息实践的五项原则作为基本原则和指导,
“公平信息实践原则”已成为全球重要的个人信息保护法律指南。
此后,美国联邦贸易委员会(Federal Trade Commission, FTC)提出五项核心原则以建构公平信息实践:①通知或注意(notice or awareness);②选择或同意(choice or consent);③访问或参与(access or participation);④完整性或安全性(integrity or security);⑤执行或救济(enforcement or redress)。
后来,这一原则为全球各组织发展个人信息保护原则提供了参考。
个人信息保护涉及的法律问题包含两个方面:一方面,是通过合理设计法律规范保护个人信息上的各方主体利益及信息安全,这也是各国建立个人信息保护法律的初衷和根本目的;另一方面,由于个人信息需要在不同主体、不同领域甚至不同国家间跨境流动,对个人信息保护的立法不能阻止信息的自由流通。基于后一目的,经济合作与发展组织(Organization for Economic Co-operation and Development, OECD)提出《关于隐私保护和个人数据跨境流动的基本原则指南》(简称《指南》),随后成为各国个人信息保护立法的基本原则和核心内容。
作为当下国际上个人信息保护法基本原则的基础,OECD《指南》规范了成员国在隐私保护与促进信息流动中的基本原则,围绕个人信息收集、储存、处理、传播等行为作出全面系统的规范,其规定个人信息保护主要包括八项基本原则:收集限制原则(collection limitation principle)、数据质量原则(data quality principle)、目的特定原则(purpose specification principle)、使用限制原则(use limitation principle)、安全保障原则(security safeguards principle)、公开原则(openness principle)、个人参与原则(individual participation principle)、责任原则(accountability principle)。
其中在收集限制原则和使用限制原则中明确出现了“同意”的表述。收集限制原则(collection limitation principle)规定,个人信息的收集原则上应当受到限制,任何信息的获得都应该通过合法和公平的手段,必要时应当经过信息主体的知情或同意;
使用限制原则(use limitation principle)规定,个人信息不得被披露、被他人获取或用于其他目的,除非经过信息主体的同意或经过法律的授权。
在对“同意”概念的阐述上,OECD《指南》较《108公约》有更进一步的规定。在收集限制原则中,确立了信息处理者应满足信息主体的知情或同意要求。这里的“知情”指信息主体获取的关于其个人信息如何被处理的情况必须是充分的,而且无论是知情还是同意的适用须在“必要的情况下”。OECD《指南》通过确立同意规则实现了对个人信息收集的限制,更重要的是,建立了后续个人信息处理行为需依据法律规定或者个人同意方可进行的机制,进而加强了个人对于个人信息的控制。 [7]
欧盟《关于涉及个人数据处理的个人保护以及此类数据自由流通的指令(95/46/EC)》
(简称《个人数据保护指令》),在欧盟成员国制定和实施个人数据处理与流通方面提供了指导性规范。借助《个人数据保护指令》,欧盟成员国开启了制定个人数据保护单行法的潮流,并对整个世界产生了影响。
《个人数据保护指令》第2条对“同意”作出定义:“任何数据主体在知情的情形下自由作出的明确表明其同意处理与其有关的个人数据的意思表示。”
这一定义明确了同意的法律性质及部分生效要件。首先,同意是个人数据主体作出的一种意思表示,其生效应满足意思表示的生效要件。其次,同意作出的条件必须是知情的、自由的和明确的。这几项生效要件也构成此后欧盟《统一数据保护条例》的规范基础,具有重要意义。此外,《个人数据保护指令》第7条在规范数据处理的合法性标准时,也将“数据主体的明确同意”列为一项合法化事由,除了这一事由,当事人履行合同义务、当事人履行法定义务、保护数据主体的重大利益、涉及公共利益或第三方授权,以及数据控制者或第三方的合法利益都可以作为处理个人信息的合法性基础。这六项合法性基础也为《统一数据保护条例》沿袭。对于特殊类型的数据处理和向第三方传输个人数据,《个人数据保护指令》也作出了需要数据主体明确表示同意的规定。值得注意的是,欧盟《个人数据保护指令》不具有直接法律效力,成员国需要将其转换为国内法律才可以实施。
有学者将1973年美国“公平信息实践原则”、1980年OECD《关于隐私保护和个人数据跨界流通的指导原则》和1995年欧盟《个人数据保护指令》称为全球第一代个人信息保护法律框架。 [8] 总体来看,第一代个人信息保护法律框架以强调个人信息主体对个人信息享有自主决定权为主旨、 [9] 以充分实现对信息的“个人控制”为制度核心,重视“通知与同意”机制的运用,要求个人信息的收集、处理、流转都必须征得主体的明确同意。 [10] 而且同意仅为个人信息处理的合法性基础之一,并非唯一的合法性基础,明确这点,对于梳理之后各国及国际组织的立法发展脉络以及建立我国个人信息处理的同意规则具有重要意义。