下载掌阅APP,畅读海量书库
立即打开
德国
对个人信息保护的立法由来已久。早在20世纪60年代就开始推广和普及计算机技术,公民对政府使用计算机实现自动化、大规模处理数据的行为产生怀疑,也催生了世界上首部专门针对个人信息保护的立法,即1970年联邦德国《黑森州数据保护法》。联邦德国国会也积极推动联邦数据保护立法进程,并于1971年提出《联邦数据保护法草案》,最终在1977年通过,成为《联邦数据保护法》(
BDSG
),并于同年1月27日正式生效。该法对个人信息的收集和使用行为贯彻严格的同意原则,其规范的对象覆盖了公共机关和私营机构;收集和使用个人信息时应当获得个人的同意,否则,一律不得收集和使用他人的个人信息,奉行“原则上禁止,例外许可”的基本原则。
1977—2017年,《联邦数据保护法》一直依据欧盟及德国颁布的与数据保护相关的法律、指令进行小范围的修订,截至2017年,该法已经修订了12次。
但该法对数据收集中的通知权、删除权等权利和同意的规定,属于一般人格权在个人信息保护法律中的具体化。
1983年,德国联邦宪法法院审理“人口普查案”,
首次提出并确立了“信息自决权”的概念,从此,个人信息自决理论被作为德国确立个人信息受法律保护的思想源头。在这一理论的推动下,德国国会开始对个人信息保护的修法进程,将《联邦数据保护法》立法目的由20世纪70年代侧重于“个人数据处理时的保护和防止数据滥用,从而保障当事人的数据相关权益”,过渡到20世纪80年代后期的“保障个人的一般人格权,但在一定程度上倡导数据合法流通”,
多次修订旨在保护公民的人格权,防止公民的个人数据在处理过程中受到侵害。其适用范围涵盖个人数据处理的全过程,调整联邦公共机关、州政府的公共机关和私人机构对个人数据的处理行为。
在个人信息自决权基本理论的指引下,《联邦数据保护法》最初通过赋予个人对个人信息的一系列权利(例如知情权、修改权、披露权、删除权、使用权等)强化个人对个人信息的控制权能。该法确定了德国数据保护领域公私二元制的立法模式,规范的核心问题在于如何防范政府滥用个人数据,而非倡导对个人数据的合理使用,整体呈现较为严格的管制倾向。
随着信息经济的蓬勃发展,个人信息的利用价值不断显现,这一个人全面控制个人信息的立法模式越来越无法适应现实需求,随后《联邦数据保护法》进行数次修订多是增加例外规定,例如在广告领域的个人信息使用问题、征信领域个人信息的使用问题等作出了修订。
最新修改的《联邦数据保护法》关于“数据收集、处理和使用的许可”的内容主要集中规定在第4条。 [11] 从该条看,对个人数据处理的合法性基础并非仅以数据主体同意为主,还可以由法律明文规定,并且法律的范围不限于数据保护法。此外,个人数据主体作为数据提供者,应积极参与数据的收集过程,但在特殊情况下,数据收集者还可直接收集其个人数据,其范围限定为法律的强制规定、履行行政职责或商业目的需要,以及依据比例原则可从他处收集数据且不以损害数据主体合法利益为前提。
数据控制者从数据主体处收集个人数据应当履行告知义务,以保障数据主体作出的同意充分有效。为此, BDSG 第4条第(3)款规定了数据控制者应当告知数据主体的事项,具体包括:①数据控制者的身份;②数据收集、处理或者使用的目的;③数据接收者的种类(只要数据主体无法根据个案情况预计哪些数据将传输到此类接收者)。如果从数据主体处收集个人数据是依据法律条文的规定,则数据主体有义务必须提供此类信息,或者提供这些信息是其获得法律利益的前提条件。数据主体应当被告知的事项还包括:①提供信息是数据主体自愿,还是法律强制;②法律的具体规定;③拒绝提供个人信息的后果。
对于同意需要满足的基本要求规定在《联邦数据保护法》第4a条。首先,该条第(1)款规定同意是基于数据主体自由决定而作出的,如果不满足自由要件的同意是无效的。其次,同意的形式要件不受限于书面形式,如果情况特殊采取其他形式作出的同意也具有合理性,可以认定为有效的同意;第(2)款以科学研究领域为例说明,如果采用书面形式会使特定研究目的受到严重侵害的,属于“情况特殊”所涵盖的范围,在这种情况下可以采用其他方式作出同意,同时应该将应当告知的信息、特定研究目的、将受到侵害的原因,以书面形式记录下来。并且,如果数据主体的同意是与其他书面声明一起提供给数据控制者的,二者在外观上应当满足可以明确区分。第3条还规定了特殊种类的个人数据的收集、处理或者使用规则。
英国于1984年通过了首部《数据保护法》(
Data Protection Act
)。有学者评价该法“在制定过程中刻下了实用和功利主义的烙印,其具体内容更明显地体现出英国在资料保护上的实用主义策略”。
之后,欧盟于1995年制定《个人数据保护指令》,英国也随之修改了《数据保护法》的内容,并颁布了1998年版的《数据保护法》,20年中发挥了重要的作用。但是,随着技术和社会的不断演进变化,一方面物联网、社交媒体等制造了海量的数据;另一方面对数据进行收集、存储、分析成本的降低以及数据挖掘能力的增强,也使得数据为技术创新不断提供重要的原材料。
这些变化和机遇深刻影响并改变着人类生产生活和社会服务的方方面面,但同时也带来数据安全的风险和威胁。
2017年3月1日,英国政府发布《英国数字战略》,全面部署数字经济的重要战略计划,力图推进数字转型,最大限度地释放数据对本国经济的红利,同时建立公众的信任。同年8月7日,英国数字、文化、媒体和体育部(Department for Digital, Culture, Media and Sport)发表《新的数据保护法:计划的改革声明》,
指出英国即将通过一部全新的数据保护立法,以实现政府对个人数据的保护。数字经济发展的驱动要素是数据,而政府需要着重解决的问题是给予个人对其个人数据的充分保护。因此,一部数字经济时代的数据保护法案呼之欲出;
同时,还指出,英国全新的《数据保护法》应当全面配合欧盟《统一数据保护条例》(
GDPR
)、《数据保护法执法指令》(
Data Protection Law Enforcement Directive
)、欧洲委员会《个人数据处理中的个人保护公约》(
Convention for the Protection of Individuals with Regard to the Processing of Personal Data
)三份国际文件。英国最新的《数据保护法》必须符合上述文件的规范要求,以确保英国与欧盟各成员国之间数据流动的安全。这部《数据保护法》于2018年正式生效,是欧盟第一部个人信息保护的国内立法。
根据英国最新的《数据保护法》,同意规则变得更为严格,数据主体的权利也规定得更加清晰,执法力度进一步加强。对于同意制度的确立与发展,《数据保护法》一直紧跟个人数据保护与应用实践,与1998年版《数据保护法》相比,在最初确立个人信息处理应经主体同意的原则基础之上,2017年修订时增加了同意生效的具体条件:①同意必须符合“明确且易于撤回”的标准;②《数据保护法》规定数据控制者可以披露第三人信息的条件之一是“第三方主体同意其个人信息被披露”,而第三方是否具有表示同意的能力和第三方是否明确拒绝同意也是该法在适用时应当考量的重要因素。《数据保护法》明确排除了“选择退出”(opt-out)或预先选定的“勾选框”的模式不是有效的同意。此外,在为13岁以下的儿童提供收集、处理个人信息的服务时,必须事先征得其监护人的同意。除此之外,《数据保护法》还对同意的撤回条件作出了全新规定。
对同意的定义,英国新《数据保护法》沿用了 GDPR 的规范内容,即个人信息主体需要基于主体的真实个人意愿做出有效的同意,个人信息主体需要在自由、明确、知情的前提下,清楚地通过陈述或积极行为表示对其个人数据进行处理的同意, [12] 并且在第一部分“导引”中规定,个人数据处理的合法性基础需与 GDPR 保持一致;此外,还通过第8条对其中的“公共利益”及“数据处理者的法定义务”作了进一步的补充和说明。
GDPR
并未对执法机构包括数据共享及传输等方面的数据处理作出规定,而英国新《数据保全法》则将欧盟《数据保护法执法指令》的内容进行了转化,在其第三部分为执法部门的数据处理提供了通用规则。
(1)执法机构对个人数据处理应当遵循六项基本原则:合法、公正原则;目的明确、特定及正当原则;充分、相关及非过度原则;准确、及时与更新原则;保存不超过必要限度原则;处理安全原则。其中,首要原则便是合法、公正原则(lawful and fair),是一般个人数据处理的合法性基础。个人数据处理只有基于法律并且符合下列情形之一才被认为是合法的:①得到数据主体的同意;②相关执法当局履行职责之必需。 [13] 在满足合法条件的基础上,一般个人数据被执法机构处理的情形仅有两种:个人主体同意和执法当局的职务行为。
(2)对于敏感个人数据 [14] 处理仅限于以下两种法定情形:一是数据主体明确同意(explicit consent),并基于执行法律之目的处理数据,且在数据处理过程中,数据控制者应持有合法的政策文件;二是数据处理是基于执行法律目的之必需,且满足附录8中规定的任一条件,并且在数据处理过程中,数据控制者应持有合法的政策文件。 [15]
GDPR 和《数据保护法执法指令》并没有对基于国家安全目的处理个人数据的问题作出规定,为确保国家情报部门能够及时应对在个人数据处理中出现的国家安全威胁,新《数据保护法》以修订后的《个人数据处理中的个人保护公约》以及1998年版的《数据保护法》为基础,在第四部分专门规定了情报工作的数据处理规则,其中,第三章规定了数据主体的五项权利:知情权、获取权、拒绝权、更正权和删除权。
数据主体针对数据控制者的数据处理行为,既有权作出同意的决定,也有权反对和拒绝。因此,《数据保护法》规定,数据主体可以基于该数据处理会导致干预其利益或权利等特定理由,有权在任何时间通知数据控制者不得处理与其相关的个人数据或者不能以特定目的或以特定方式处理其个人数据。 [16]
新《数据保护法》第四部分第三章规定了数据主体的五项权利,其中的获取权(right to access)是指个人有权从数据控制者处获知其个人数据是否被处理的权利。如果其个人数据正在被处理,则数据主体有权获知处理的法律基础和目的、个人数据的类别及接受者、个人数据的存储期限、更正和删除权,以及向专员申诉权等信息。 [17]
同时,针对披露第三人数据的情况需符合的条件作出规定:在数据控制者披露与第三人有关且能识别到该个人的数据时,应当满足的条件之一是取得该主体对披露个人数据的同意。 [18] 在考察是否符合同意有效性条件时,有四项因素:①第三人是否负有保密义务;②数据控制者获取同意的方式;③第三人是否有能力做出同意;④第三人是否拒绝同意。 [19]
GDPR 第8条第1款规定,对于向儿童直接提供信息服务的提供商,如果儿童年龄不满16周岁,个人数据的处理行为只有在获取了该儿童监护人的同意时才是合法的。成员国出于特定目的可以在法律上规定更加低的年龄界限,但是不得低于13周岁。换言之,对于在信息服务领域涉及未成年人对其自身个人数据处理能够同意的最低年龄限制, GDPR 允许其成员国在13—16周岁内自主选择。
依据 GDPR 上述规定,英国新《数据保护法》第9条规定对个人数据处理能够表示同意的最低年龄是13周岁,并且指出,这里提供的“信息社会服务”(information society services)并不包括预防性或咨询性服务(preventive or counseling services)。因此,向不满13周岁的未成年人提供信息社会服务,必须取得其监护人的同意。
英国政府将保护未成年人的网络安全置于其首要任务之一。“互联网安全战略”
(Internet Safety Strategy)已经开始实施,其主要目标就是向未成年人和青年人提供更加安全的网络环境。新《数据保护法》是对这一战略在法律层面的贯彻实施。
2012年1月25日,欧盟委员会首次发布数据保护框架修订建议。2014年3月12日,欧盟议会采纳了多项建议案的文本内容,形成欧盟议会稿。2015年12月15日,欧盟议会、欧盟理事会和欧盟委员会通过磋商达成协议,同月17日签署了数据保护条例文本。2016年4月14日,欧盟议会正式批准了《统一数据保护条例》,使其成为在欧盟具有法律效力的立法文件;最终,于2018年5月25日正式生效。这项新的立法采用“条例”(regulation)形式,效力强于“指令”,其直接适用于成员国而不再需要国内法转化,效力优先于国内法。
正式生效的 GDPR 是在《个人数据保护指令》基本内容上进行修改和完善,综合现有的各类数据保护和流通规则形成数据处理规则,继续强化个人信息保护权利形成数据主体权利,完善数据控制者和处理者的义务以确保数据安全,极力促进“数字单一市场”战略建设。 GDPR 解决了因《个人数据保护指令》不具有直接法律效力而致各成员国在制定国内法时出现的立法和执法难题,统一各成员国的个人数据保护程度至相同水平,促进个人数据在欧盟成员国内自由流通,为消费者和企业在欧洲范围内获得在线商品和服务提供了便利条件,最大限度地发挥了欧洲数字经济增长潜力。 GDPR 取代《个人数据保护指令》规范欧盟范围内的数据保护和流通,但同意原则仍属于重要的核心原则。 [20] 欧盟的立法模式代表了当今世界国家和地区多数立法模式现状,即欧洲国家现行的个人信息保护机制均建立在信息主体同意的基础之上,并有不断加强同意规则重要性的发展趋势。这一做法延续了欧洲一贯以保护人权价值为核心理念的精神。
GDPR 对同意原则进行了全面系统的规定,包括同意的含义、有效要件及形式,沿袭了《个人数据保护指令》的立法模式,运用多个具体条文列举了一般情况下数据处理应符合的合法性基础,既包括数据主体的同意,也包括其他合法性基础。
GDPR 明确了“同意”的定义,同意是指数据主体自由作出的(freely given)、具体的(specific)、知情的(informed)、明确的(unambiguous),通过声明或肯定性行为表示对其个人数据进行处理的同意。 [21] 这一定义确定了同意的四项基本生效要件:①自由要件;②具体要件;③知情要件,知情是作出有效同意的基础,因此满足知情要件是同意生效的内在要求;④具体要件,与《个人数据保护指令》相比, GDPR 增加了具体要件,即针对个人信息处理的同意必须针对特定处理目的作出,泛化的同意和概括式同意均不得生效。
GDPR 第7条规定数据主体有权在任何时候撤回其同意。该撤回不具有溯及力。在做出同意的意思表示之前,应将上述事项明确告知数据主体。撤回同意和做出同意应一样容易。 [22] 这无疑为个人信息主体提供了更加有力的保护,体现了欧盟个人信息保护立法着重保护个人信息主体权利的宗旨,同时,也反映了同意制度的发展趋势,从最初的未经同意一律不得收集个人信息过渡到现今的同意作为个人信息处理的合法性基础之一,可视为个人信息保护立法理念的巨大进步,也符合当下欧盟以及世界各国促进个人信息流通和利用的主要立法目的。
除对个人信息处理提供一般性保护外, GDPR 还对未成年人个人信息的处理给予了特别的关注。 GDPR 第8条规定,对年龄不小于16周岁的儿童的个人数据进行的处理行为仍适用第6条的合法性基础,即与一般个人数据处理的合法性基础一致。但对年龄不满16周岁的儿童,处理行为只有在获取了该儿童的监护人的同意时才是合法的。成员国出于特定目的可以在法律上规定更加低的年龄界限,但是不得低于13周岁。
美国向来崇尚自由主义,无论是法律领域还是社会生活领域都深刻体现了自由主义思想,这一思想理念被约翰·密尔详细描述为:“人类之所以有权可以个人地或者集体地对其中任何分子的行动自由进行干涉,唯一的目的只能是自我防御。”
在自由主义的价值观念指引下,美国的个人数据与隐私保护立法模式是将一切保护对象纳入广义上的隐私权的范围内,通过立法回应社会关切的金融、医疗、儿童、消费者等不同层面问题,之后把剩下的规制需求交给市场,并通过个案审查的方式加以保护。
这些立法解决的都是特定领域或行业的隐私或数据保护问题,当前美国并未在联邦层面形成统一的个人信息保护法律。美国企业更倾向于隐私自治,该自治大多数是通过“通知与选择”(notice and choice)的方式,以实现隐私的自治。此外,美国大部分企业都由美国贸易委员会(FTC)进行监管,贸易委员会有权对企业不公平或欺诈的行为进行调查与执行,包括违反隐私声明、未落实数据安全措施、不尊重消费者选择权等行为。
早在1974年美国《隐私法》( The US Privacy Act )制定前,美国业已通过最高法院的判例法对隐私权开启了宪法保护模式。“公平信息实践准则”对美国《隐私法》的颁布具有重大影响,《隐私法》确立了个人数据记录保护的一系列原则,其中,通过规范数据记录披露条件的方式进一步明确了同意的规定,即“任何机构不得通过任何通信方式向个人或者其他机构披露数据系统中的记录,除非依据与该数据有关的个人的书面申请(written request)或者获得该个人的事先书面同意(prior written consent)”。 [23] 同时,该条还规定了这一规则的例外事由:①为持有该数据的官员或者雇员履行职责的目的;②实行人口普查计划的目的;③为统计研究或报告记录的目的,已经获得数据处理者的事先书面保证,并且该数据无法单独识别到个人;④为历史或其他价值而保存到国家档案馆;⑤依法或者依书面申请,进行民法或刑法执法活动,且该数据处于政府机构或者国家控制中;⑥针对影响某人健康或者安全的重大情况,前提是该数据披露通知已经发送至该人的地址;⑦为政府履行职责的目的;⑧依据有管辖权的法院命令。 [24]
在消费者领域,2015年2月27日,美国颁布了《消费者隐私权利法案(草案)》(简称《草案》)。旨在为商业领域建立个人隐私保护的标准,并且通过由不同利益相关者制定的强制性行为准则及时促进、灵活地实施该保护。在为个人数据提供保护的同时,《草案》也支持信息的自由流通,其基本原则的实施可以为个人提供持续有效的隐私保护,同时为技术和商业模式的发展提供充分的灵活性。 [25] 《草案》旨在增强消费者对个人数据的控制力,包括为消费者提供合理的方法以控制隐私风险;消费者可以撤回之前对于数据收集和使用的同意。此外,《草案》采取弱化消费者同意的重大革新,以数据收集和使用“场景一致”标准,而未强调消费者的同意。这一变化似乎可以认为,“场景一致”标准将取代同意标准,从而构建了大数据时代数据收集、利用数据的新秩序。另外,2018年美国加利福尼亚州议会通过了《加州消费者隐私法案》,赋予消费者“要求企业披露其所收集的消费者个人信息的类别和具体要素、信息的收集来源类别或出售信息的目的以及信息共享第三方的类别”的权利。
为对未成年人的个人信息提供有力保护,美国国会在1998年通过了《儿童在线隐私保护法》(
Children's Online Privacy Protection Act, COPPA
)。该法规范的是与13周岁以下儿童的个人信息有关的收集、使用行为,
一般的收集规则须经合法监护人做出可验证的同意后方可收集,
并且监护人做出的同意是可以撤销的。特殊情况下,无需监护人同意即可收集儿童个人信息,包括:①从儿童处收集的信息仅用于一次性直接回复来自儿童的特定请求,并不会用于再次联系该儿童,且网络运营者不会以可检索形式保存。②要求提供家长或儿童的姓名或个人信息,且仅用于取得家长同意或者发布通知;如果在合理时间内未取得家长同意,运营者不会以可检索形式保存前述信息。③从儿童处收集的个人信息仅用于不止一次地回应来自儿童的特定请求,且前述信息不会用于除前述请求范围之外对该儿童的再次联系。④儿童的名字和个人信息(仅限于保护儿童站点参与的安全而必须且合理的信息)。⑤网站或在线服务运营者对信息的收集、使用或散播为保护网站的安全性或完整性,采取预防措施避免责任,应司法程序要求或者在其他法律条文允许的范围内,向执法机构提供信息或者为公共安全相关调查提供信息。
日本第一部《个人信息保护法》诞生于2003年5月,并于2005年4月1日正式实施。随着互联网及大数据分析技术不断发展,该法于2015年进行大幅修订;随后,日本相继出台了一系列文件,包括实施规则、内阁令、指南等,为修订后的《个人信息保护法》的实施做了充分准备。2017年5月30日,新《个人信息保护法》( Personal Information Protection Act )在日本全面实施。修改后的个人信息保护规则更注重于推动本国信息产业的发展,通过对个人信息正当处理行为以及个人信息保护的具体措施进行规范,发挥个人信息在实现新兴信息产业发展、推动社会进步方面的作用。
在同意制度上,日本2017年新《个人信息保护法》与其他许多国家和地区的个人信息处理原则都不同、与其他个人信息保护法强调的事先同意原则不同,日本立法要求对于一般信息以限制滥用为基本原则,而不规定明确同意;但对于特殊类型的个人信息,例如与个人的种族、信仰、社会身份、病史、犯罪经历及其他方面的不当歧视、偏见和其他不利益,需要在处理上予以特别注意的记录等个人信息,新《个人信息保护法》规定必须事先取得个人信息主体的同意。该法第15条规定的是个人信息处理者需要遵守的目的特点原则;第16条是对处理个人信息应经个人同意的一般原则;第17条要求个人信息处理者不得以虚假或者其他不正当的手段获取个人信息;第18条提出在个人信息处理者收集个人信息后,应当立即通知本人该个人信息的利用目的。从同意的规范模式上看,新《个人信息保护法》实际上采用了类似“opt-out”
的选择退出机制,一定程度上为个人信息处理者收集、使用个人信息提供了便利。其规范是在原则上承认了合法收集、使用个人信息行为的正当性,这与本国“高度信息通信社会”的特点高度相符。