第二节 欧洲资料保护立法的发展历程
欧盟《资料保护指令》未超越成员国法确立的资料保护框架,它根据成员国已有立法中的重要因素设定了一套较高水平的资料保护体制,以便成员国尽可能地接受其规定。(48)
——西米提斯(Spiros Simitis)
谈个人资料的法律保护,不可不谈欧洲资料保护的立法史。20世纪70年代,德国、瑞典和法国等欧洲发达国家率先拉开了资料保护立法的序幕。鉴于资料的流动性与资料保护问题的跨国性,为减少成员国法之间的冲突,指引国内立法,欧洲理事会和经济合作与发展组织先后规定了资料保护的基本原则和规则。认识到已有国际立法的不足,欧共体也加入资料保护统一立法的行列,并于1995年通过了《资料保护指令》。该指令不仅在很大程度上融合了成员国已有的资料保护法,构建起独具特色的资料保护体制,还使欧盟在资料保护与跨境资料流动上以同一个声音说话,在资料保护与跨境资料流动上占据主导地位,并继续高举领先的大旗。一句话,欧洲的资料保护立法经历了以个别国家为先导,到国际和国内立法并行,再至国际立法融合国内法,在欧盟层面构建统一的资料保护体制的发展过程。
一、资料保护问题的产生与欧洲诸国的早期立法
在欧洲,瑞典是资料保护立法的先驱,德国是资料保护的一面旗帜,英国是实用主义路线的代表,法国则是从自由、人格和人权的角度审视资料保护的奠基国。它们早期的资料保护立法和传统对后来的国内和国际立法均产生了广泛而深刻的影响。
(一)瑞典——资料保护立法的先驱
1.1973年《瑞典资料法》的制定
德国的黑森州制定了世界上首部专门性的资料隐私法,(49)但第一部全国性的资料保护法则诞生在瑞典,该国议会于1973年通过了《瑞典资料法》。(50)在当时的瑞典,计算机技术较之他国更为广泛的运用,社会运作对自动化资料处理较高程度的依赖,开放的政治体制,加之资料保护倡导者们前瞻性与事先应对威胁的战略眼光,促使瑞典率先揭开了资料隐私全面立法的序幕。
面对社会问题,瑞典一贯奉行前瞻性和预防性而非事后应对和补救性的决策方式。(51)瑞典资料调查委员会(Data Inspection Board)的执行官弗里斯(Jan Freese)曾指出:“我不太确定我们是否可以放任社会的计算机化自由发展。在我看来,解决问题才是根本,而且我更倾向于在问题发生之前就采取行动。回顾历史,你可能会发现,我们当前才初尝信息爆炸或革命史无前例的影响力。当然,该发展可能带来有利的影响,但危险也绝不容忽视。我们已经面对了一些危险,将来仍有更多的威胁在等待着我们。”(52)
作为一个人口小国,瑞典更早且更广泛地对公民进行计算机化的登记和管理,人口仅800万的瑞典成为最先实现计算机化管理的国家。(53)早在1963年,瑞典中央统计局(Statistiska Centralbyran)就开始计划和着手利用计算机技术创建有关人口登记、车辆登记、土地记录、治安档案、社会服务与就业等个人信息的国家数据库。1968年,包含650万纳税人信息的中央数据库已经建成。瑞典政府开始对全国公民进行登记,并计划为国民创建个人身份编号。大规模的信息收集与资料的数据化和集中化使人们对政府监控和社会控制忧心忡忡。1972年,瑞典议会被迫决定暂时终止身份编号计划,待通过资料保护法后再决定是否继续进行。(54)
开放性的政治管理体制也是瑞典最早制定资料保护法的一个重要原因。早在1766年,瑞典就制定了《出版自由法》,该法不仅保护出版自由,还允许公众查阅政府文件。1937年的《保密法》规定了政务信息公开的例外情形,如限制披露关涉个人医疗、社会福利和经济利益的记录。自20世纪60年代,随着个人信息记录的数据化,信息公开与信息保密之间的冲突日益加剧。尤其是,瑞典最高行政法院于1971年将记录信息的磁盘认定为政府文档,可供公众查阅。二者之间的冲突促使瑞典成立了皇家公开与保密问题委员会(Royal Commission on Publicity and Secrecy),由其负责起草资料保护法。(55)起初,委员会主要关注政府信息公开的限度问题,但随着1970年的人口普查,自动化资料处理所招致的更广泛的隐私保护问题成为委员会的工作重点。委员会认为自动化资料处理技术对个人隐私构成了新的威胁。与传统的信息保存相比,它带来了根本性的变化。(56)计算机使得大量保存资料与快速传递信息成为现实,已有的瑞典法并不足以应对计算机对个人隐私造成的威胁,修改保密法亦不能解决有关问题。委员会于1972年发表了《计算机与隐私报告》,建议针对自动化资料处理活动进行专门立法。一年后,瑞典议会通过了《资料法》,该法于次年生效。
2.《瑞典资料法》的特点与影响
公开与保密问题委员会认为,不宜限定隐私的内涵和外延,而应采取开放和灵活的方法,因为与个人状况相关的任何信息都可能关涉隐私问题。(57)这一理念使得瑞典资料法在结构、内容和执行方式上都独具特点:它一并规制公共领域和私人行业中的自动化资料处理活动,并要求设立资料调查委员会负责监督资料法的实施。尤其是,该法确立了自动化处理个人资料的登记和审批制度,由资料调查委员会负责创立资料处理公共登记,供大众查阅,并对资料处理进行审批。(58)
作为资料保护立法的有益尝试,《瑞典资料法》对早期西欧诸国资料保护的发展产生了重大的直接影响,(59)其确立的资料处理登记和审批制度对后来国内和国际资料隐私立法也不无借鉴价值。(60)如洪笛斯(Frits W.Hondius)所言,“瑞典的资料法仍因其简洁性和前瞻性而闻名于世。若其他国家的立法在某些问题上更显成熟,我们不得不承认,离开瑞典开拓性的尝试,所有这些都无从谈起”。(61)同时,瑞典也率先修正其资料法,逐步限定资料处理登记和审批的范围。在瑞典的带动下,北欧的丹麦、挪威和芬兰也先后制定了资料保护法。(62)
(二)德国——资料保护的一面旗帜
德国早期的资料保护立法经历了一个从州至联邦,由公共领域至私人行业,由全面立法至部门立法的全面发展过程。如上所述,1970年9月30日,德国的黑森州率先制定了世界上首部专门性的资料保护法,(63)7年后,德国《联邦资料保护法》出台。相较于瑞典,资料保护问题在德国得到了更为全面和深入的讨论,德国的资料保护理论、立法和实践也因此更具影响力,它成为资料隐私保护的一面旗帜。
1.德国各州的早期立法
由于采取了联邦政治体制,尤其是二战后,西德主要由各州和地方政府负责具体执行联邦和各州立法,实施公共管理事务。(64)20世纪70年代初,德国各州已经建立起有关公民各方面公共事务信息的数据库,并将其用于州内事务的日常管理,尤其是地区和城市规划。(65)在当时,最早引起人们关注的是,计算机和个人资料自动化处理技术的广泛应用对地方政府与州之间以及州立法机构与政府之间的权力平衡造成的影响,而非州政府对公民管制能力的增强以及由此可能对公民权利造成的侵害。地方政府和州立法机关担心个人资料自动化处理技术过度增强了州政府对公民的管制能力。同时,大众也越来越担心州政府大量收集的与其私人生活相关的各种信息可能被滥用,并损害其正当权益。(66)
1970年的《黑森州资料法》仅适用于州政府机关的个人资料自动化处理活动,其内容虽然简洁,却建立了切实可行的执行体制。(67)该法以保护个人资料的保密性为原则,以披露个人信息为例外,即在符合法律规定或个人表示同意时,方可在必要情形下处理个人资料。它为个人确立了广泛的权利,如查阅资料、修改资料以及对违法资料处理主张赔偿和救济的权利等。该法最具特色之处就是确立了以资料保护专员为核心的执行体制。专员由州议会产生并对其负责,它考察个人资料数据化可能带来的政府机构间的权力变化及其对个人隐私造成的侵害,监督州数据库的运作,受理个人控诉,发表意见并将其转移至适格的机构。(68)
黑森州法对后来的资料隐私立法和实践具有不可忽视的指引作用。如洪笛斯所言,黑森州法对其他国家考虑制定本国的资料保护法具有重大价值。(69)“资料保护”(Datenschutzgesetz)一词为德国各州、联邦及其他欧洲国家采纳。(70)该法还明确了资料保护法的基本内容:资料处理原则、个人的资料权利、资料处理者的义务以及法律的执行制度。它对下列问题的答复也成为随后各国立法必须面对的问题,而对这些问题的不同回答也造成早期国内立法之间的主要差异:(71)①资料保护法是否适用于非自动化的资料处理;②是否需要一并规制公共领域和私人行业中的资料处理活动;③如何确保资料处理活动依法实施。(72)
2.1977年《联邦资料保护法》
政治、科技、社会和文化等因素促使德国较早地制定了联邦资料保护法。首先,自20世纪60年代起,联邦德国政府就运用计算机技术收集和自动化处理个人信息,创建有关公民各种信息的资料库。这不仅引起了大众对自动化资料处理的恐惧,更促使议会考虑制定统一的联邦法,规制公共和私人领域中的自动化资料处理活动,保障个人人格权,尤其是人格的自由健全发展。1968年,德国设立了专门的办公室,负责运用硬件和软件等信息技术加速联邦、州和地方政府数据库的联网和共享。联邦司法部着手创建全国性的个人犯罪记录数据库,(73)内政部也计划为全国公民创建12位的个人身份编号,并于1970年提出了人口登记法案;(74)其次,纳粹独裁统治使人们更加渴望民主和自由,对政府利用自动化资料处理技术可能实施的个人监控与社会控制充满恐惧;再次,保护个人隐私,保障个人人格,尤其是人格的自由健全发展与个人自决权等基本理念逐步贯彻到具体立法和实践中,为德国宪法、民法和判例所确立,并得到不断完善;最后,鉴于黑森等多数州已经制定了资料保护法,为协调和统一各州立法,也需要制定联邦资料保护法。
1969年,德国议会就要求对资料处理尽快制定联邦法。议会工作组对有关问题展开了激烈的争论,并于1970年提出了“经自动化处理的个人资料的不当使用与个人隐私保护初步计划”,经进一步讨论,该计划成为联邦资料保护法的首个草案稿。(75)1972年,议会对草案进行了首次公开讨论,私人行业和政府机关的代表对草案的细节,甚至资料保护立法的必要性提出了质疑。1973年,联邦政府首次向议会提交了资料保护法草案。该草案遭到其他代表的严重批判,争论的焦点集中于法律的执行机制。与黑森州资料法相比,草案内容细致、标准严格,但在执行上却软弱无力。随后的两年,议会又对该草案进行了广泛的讨论,最终人们不再质疑资料保护的基本价值,转而关注立法细节,尤其是草案关于私人行业中资料处理的规定。同时,西米提斯等要求设立联邦资料保护机构的主张也得到更广泛的赞同。(76)最终,伴随着不同利益方的激烈争吵,德国议会于1977年2月通过了《联邦资料保护法》,该法于次年生效。(77)对其制定过程,西米提斯曾感叹:“在联邦德国历史上,几乎没有一部法律的制定过程[像资料保护法般]如此复杂。”(78)
正如其制定过程起伏跌宕,自从通过那刻起,争议和质疑就一直同《德国联邦资料保护法》形影不离。但是,直到13年后,该法才得以修正。随着联邦资料保护法的生效,德国的资料保护就形成了联邦和州两级立法和执行体制。联邦资料保护法规制联邦公共机关、执行联邦法的州公共机关以及私人机构收集、使用和转移个人资料。州资料保护法适用于州公共机关、地方机关和机构等处理个人资料的行为。联邦资料保护机构仅监督联邦机关的资料处理行为,州和私人机构的资料行为则由州指定的机构负责监督。
3.人口普查案——由隐私至个人信息自决权
1982年3月,德国议会通过了《联邦人口普查法》。(79)以该法为据,联邦政府开始全面收集有关全国人口和社会结构的统计资料,并在德国掀起了轩然大波。宪法法院作出临时判决,决定暂时中止人口普查。法院认为,当代计算机技术能够收集和保存无限的与个人有关的信息,并可在瞬间对其进行查阅。这些信息足以创建个人人格档案,而受影响的个人对其却无法进行控制,因此将给个人行为造成精神压力。这可能将人们变成统计调查的客体,而不是独立存在的个人。宪法的根本价值在于维护人的尊严,个人资料是对个人生活事实的记载,是对自然人人格的勾画,是个人尊严的一部分。信息技术的发展对个人人格和自治构成了严重的威胁。个人不确定谁对其有所了解,他人了解其哪些信息,什么时候将披露这些信息以及什么情形促使披露这些信息,允许这种社会结构存在的法律同信息自决权并不相符。个人对自己的信息所具有的权利不是绝对的、无限制的,他只是在社会中发展的独立人格。个人信息自决权要求创建一个完备的资料保护法律体制,不同的角色各尽其责:立法机构负责制定资料保护规则,联邦和州的资料保护机构发挥监督作用,协助公众了解资料处理行为,司法机关审理有关资料处理的诉讼。
个人信息自决权理论革新了以传统隐私为法理基础的资料保护理念,要求凸显资料保护的社会价值,从构建信息社会的高度看待资料隐私问题,由原来以个人为中心保护私人权利向以国家公权力为主导的资料保护体制转变。这一变革不仅促使德国各州纷纷修正资料保护法,也深深影响了欧洲和世界其他国家和地区的资料隐私保护。在资料隐私权的理论和实践上,德国继续高举领先的大旗。
(三)英国——实用主义路线的代表
与德国类似,英国资料保护法的出台也并非一帆风顺。资料保护问题自20世纪60年代起就为人们所关注,但众多因素致使英国直到1984年才制定了首部资料保护法。其中,英国政府的保守政策与实用主义路线是阻碍资料保护立法进程的主要原因,它也对英国的资料保护政策产生了深远的影响。
1.资料隐私问题的产生与早期的隐私法案
自20世纪60年代,英国政府和企业开始运用计算机大量收集个人信息,创建个人数据库。英国1971年的人口普查,统计大量与私人事务相关的信息,遭到民众和社会各界的普遍反对,人们也开始反思隐私保护的不足。(80)为加强对驾员和车辆登记信息的管理,英国主管部门自1973年起开始利用计算机技术汇总地方记录,并创建了国家数据库。(81)人们对此深表担忧,因为,资料可能被滥用或不当披露,公私机构可能根据数据化的记录作出对个人具有重大影响的决定,或监控私人生活。
资料隐私问题的较早出现与人们的普遍关注导致多个隐私法议案自20世纪60年代末至70年代被提交至英国议会,但它们都以流产告终。(82)里昂(Alex Lyon)于1967年向众议院提交了《隐私权法案》,但就连其本人也不得不遗憾地指出:“我提交该议案,并不期望它能通过立法程序,而只是为了开启将隐私法纳入我们法律体系的奋斗历程,通过隐私法有效地保护我们决定自己私人生活的自由。”(83)1969年,贝克尔(Kenneth Baker)向众议院提交了《资料监控法案》,主张规制日益泛滥的自动化资料系统。该议案也以失败告终,但其有关个人资料库的登记与制定资料处理行为守则的提议对后来的立法不无借鉴价值。(84)此外,沃顿(Brian Walden)于同年提起了《隐私权法案》。他强调:“独处权可能听起来似乎并非令人兴奋的自由,但它正是英国人最为关心的一项权利。”科技的迅速发展对个人隐私构成了各种威胁,但加害行为的形式并不重要,行为自身构成侵权才是关键。为此,他主张通过全新的立法确立健全的隐私侵权制度,为个人设立一般性的隐私权,界定其内涵和外延,并允许个人对重大和不合理的侵权行为提起诉讼。(85)由于确立了广泛的隐私侵权诉因,该法案遭到私人行业、特别是政府的强力抵制。为了缓解舆论压力,当时的工党政府决定成立专门工作组,研究隐私保护问题。(86)英国的资料隐私立法由此进入了理论研究和实证调研阶段。
2.资料隐私的理论研究与实证调研
(1)杨格与隐私工作组报告
1970年,英国成立了以杨格(Kenneth Younger)为首的跨政府部门工作组,着重研究私人、组织和公司等对隐私的侵害,并对英国是否需要通过立法保护个人权益与商业和行业利益提出建议。对调研的范围,委员会认为政府机关和其他公共机构的活动对隐私权同样构成了严重的威胁,而且对公共领域和私人行业进行严格的区分并不现实。(87)但是,政府仅允许工作组考察某些公有企业的资料处理活动,并计划成立内部工作组对政府的个人信息系统进行调研。
1972年,杨格工作组向国会提交了研究报告。报告不仅考察了传统的个人和家庭隐私,还着重研究了计算机等技术对个人信息和隐私带来的风险。与沃顿不同,工作组不主张确立一般性的隐私权,建议仅针对侵害隐私的具体行为进行立法。针对计算机对隐私的影响,工作组指出:“调研表明,在所有的隐私侵权行为中,不当使用计算机侵害隐私最不需要明确的立法……在英国,计算机影响个人隐私目前仅是一种担忧和恐惧,并不存在确凿的事实和证据。”同时,工作组也意识到,在美国已备受关注的计算机侵害个人隐私的问题对欧洲而言也难免会变成现实。计算机目前未构成直接侵害,但在不远的将来很可能侵害个人隐私。(88)为限制计算机的不当使用,工作组提出了利用计算机处理个人信息的十项原则,(89)这些原则为英国随后的报告和立法所采纳,对其他国家和国际立法也产生了积极的指引作用。其中不少原则在当今仍具有生命力,如目的特定原则、有限收集原则、资料查阅原则、资料准确和更新原则、有限保存原则及安保原则等。(90)例如,英国1974年的《消费者信用保护法》(Consumer Credit Act)就规定个人有权查阅和更正其个人信用报告。(91)当然,受当时计算机发展水平的限制,信息传输还并非普遍现象,信息处理原则也主要针对个人信息的安全和查阅,而非信息的披露和散播。(92)此外,工作组认为,这些原则构成了正当信息处理行为守则的基础,并建议计算机使用者自觉遵守。考虑到科技和问题的多变性,工作组建议政府成立临时工作组,继续考察计算机对个人造成的影响。
(2)计算机与隐私白皮书
3年后,积极的英国工党政府发表了《计算机与隐私白皮书》(93)与《计算机:隐私保障报告》。(94)通过考察公共领域的个人信息使用情况,两份政府文件集中讨论了计算机技术与个人隐私保护问题,采用了资料保护的概念,并考察了制定资料保护法的可行性及相关事项。与杨格工作组的报告类似,白皮书指出:“经调查,当前过分担忧公共领域不当使用计算机并无事实依据。政府资料库的运作严格遵守有关的行政法规和程序,这为避免上述担忧变成现实提供了重要的保障。”(95)同时,计算机带来的风险日益明显,公众也越来越担心其正当权益可能受到损害。利用计算机技术处理个人信息者,不论其具有多少责任,都不得再单独决定其系统是否为个人隐私提供了适当的保障。白皮书建议通过立法确定资料处理的原则和标准,同时设立永久性的法定机构监督公共和私人领域中的计算机运用,确保其适当地考虑个人隐私,对个人资料提供必要的保护。这些建议得到了广泛的赞同,但也遭到不少反对和质疑。英国政府决定再次设立隐私工作组,考察有关的问题,为立法做必要的准备。(96)杨格的不幸逝世使得英国政府不得不于1976年成立了以林道普(Norman Lindop)为首的资料保护工作组。
(3)林道普与资料保护工作组报告
林道普工作组的主要任务是在资料保护上向政府提出建议,以杨格工作组的成果为基础,考察如何促进公共领域和私人行业中的计算机应用兼顾个人隐私,并探索提供该保障的各种长效机制。1978年,工作组向政府提交了报告。(97)基于英国的个人资料自动化处理情况,借鉴欧洲各国和欧洲理事会的立法经验,工作组建议英国制定全面、专门的资料保护法,一并规制公私领域中的资料处理活动,设立独立的资料保护机构监督法律的实施。以杨格工作组的隐私报告为基础,工作组重新梳理了资料处理原则,从保护资料当事人的权益、资料使用者的正当利益与社会的整体利益三个方面确立了较为全面的资料保护原则。(98)其中,资料当事人的知情权、目的特定原则,资料准确、完整、相关和及时原则与合理且合法地使用个人资料原则等直接构成了英国随后制定的资料保护法的核心内容。(99)
报告还建议创立资料处理登记制度,对政府机关和私人机构运用计算机等技术自动处理个人资料的活动进行强制登记。资料保护机构应基于行业的具体特点,根据资料保护原则,对特定行业制定资料处理行为守则,行为守则具有法律约束力。该建议为荷兰的资料保护法采纳,并得到不断完善,为荷兰确立以行为守则为核心的资料保护体制奠定了基础。(100)虽然行为守则未被赋予强制效力,后来的英国立法与欧盟《资料保护指令》也确认了行为守则在资料保护体制中的地位和作用。(101)
3.1984年《资料保护法》
林道普工作组充满真知灼见的报告并未直接转化为一部令人期待已久的资料保护法。英国政府对资料保护采取的实用主义路线使得该法的制定过程一波三折,最后迫于国内外的压力,英国首部资料保护法于1984年才千呼万唤始出来。
林道普报告公布后,当时的工党政府认为应首先征求计算机使用者与受建议影响者的意见,并对250多家机构展开了调查。此后,保守党政府认为林道普资料保护工作组是前任激进的工党政府的产物,对其建议深表质疑。与此同时,按捺不住的英国公民自由组织与工党分别于1980年和1981年呼吁尽快启动资料保护立法程序。(102)这并未引起占据议会绝对多数的保守党的关注,但政府不得不考虑计算机行业的意见。早在1974年,瑞典资料调查委员会就曾以英国不具有资料保护法为由禁止向英国转移个人资料。欧洲理事会于1981年通过的《资料保护公约》将该依据合法化。(103)为促进本国信息产业的发展,英国于1982年成立了信息技术部,并组建了信息技术咨询委员会。基于本国经济利益的考虑,迫于内外压力,保守的英国政府启动了立法程序。
1981年,英国内政部提出将对个人信息的自动化处理进行立法,并主张设立由内政部主管的资料库登记,但林道普关于制定行为守则与设立资料保护机构的建议并未得以采纳。1982年,内政部公布了《资料保护:政府的立法建议白皮书》,建议成立独立于政府的资料登记机构,对运用计算机处理个人资料的活动进行登记和监督。同时,参照《资料保护公约》的规定,白皮书要求资料使用者遵守有关的资料保护原则。(104)同年,以白皮书为基础的《资料保护法案》被提交至国会。该草案几经讨论和修改,但却随着1983年的英国大选而流产。1983年,英国政府再次提出议案,最终,该议案在一片争议和质疑声中成为英国历史上的首部资料保护法,即1984年《英国资料保护法》。(105)
该法在制定过程中刻下了实用和功利主义的烙印,其具体内容更明显地体现出英国在资料保护上的实用主义策略。与杨格和林道普工作组的报告及《资料保护公约》不同,该资料保护法并未提及隐私保护。在资料保护原则的执行上,它采纳了林道普报告的建议,对资料处理行为进行强制登记,但也规定了广泛的例外情形。由此,只有须登记的资料处理才应遵守该法规定的八项资料保护原则,(106)对现实中大量未登记的资料处理,资料保护原则并不具有强制约束力。(107)
(四)法国等其他欧洲国家的早期立法
与瑞典和德国等欧洲发达国家类似,法国也较早地面临自动化资料处理对私人生活和自由造成的侵扰。20世纪70年代初,法国内政部通过全国性的身份编号与“行政管理和个人档案自动化系统”(108)等方式秘密合并已有的个人资料库。1973年,法国政府开始创建“儿童医疗自动化管理系统”,收集儿童自出生直到就学期间的个人信息,记录儿童的健康问题,确定问题儿童。随着这些政府项目的曝光,法国民众也越来越担心个人资料自动化处理系统可能导致政府过多地干预私人生活,影响个人自由。
1978年,法国制定了资料保护法,即《信息、档案与自由法》。(109)以保护个人的自由和基本权利为主旨,该法确立了资料隐私以保护人权和自由为导向的法理基础。“信息技术应为每位公民服务。信息技术的发展应在国际合作前提下进行,并不得侵害人格、人权、私人生活以及个人和公共自由。”从资料隐私的个人和社会价值入手,强调资料保护问题的国际性,它为欧共体从人权的高度介入资料保护不无指引作用。(110)从具体内容上看,该法同时适用于公私领域中的资料处理活动,要求设立具有广泛职权的国家信息与自由委员会对资料处理进行登记、审批,监督资料处理活动。此外,它还要求不得完全基于自动化的资料处理作出对个人具有重大影响的决定,将自动化资料处理在对个人的决策中的作用限定在必要范围内,减少决策程序的机械性,这一规定也为欧盟《资料保护指令》所采纳。(111)
在法国的影响下,卢森堡于1979年制定了资料保护法。参照英国法,爱尔兰于1988年制定了资料保护法。(112)比利时、西班牙、葡萄牙和瑞士等国也在20世纪90年代通过了资料保护法。意大利、希腊以及东欧各国采取了观望主义策略,但随着欧盟《资料保护指令》的通过与欧盟东扩,它们也纷纷制定了资料保护法。(113)
二、早期的欧洲资料保护统一立法活动
(一)国际协作的开端
有关资料隐私权保护的跨国协作可追溯到国际法学家委员会(WorldJurist Association)。(114)1967年,该非官方组织聚集多国法学家在斯德哥尔摩探讨隐私保护问题。会议强调,隐私权对人类的福祉至关重要,应将其确立为人类的一项基本权利,各国应通过立法或其他方式,采取适当的措施切实保护个人在不同方面的隐私权。(115)此外,作为北欧各国政府和议会代表的议事平台,丹麦、冰岛、挪威、瑞典和芬兰等国设立的北欧理事会(Nordic Council)也自20世纪60年代起开始关注资料保护问题,并于1971年建议各国政府采取统一的资料保护措施。(116)在国际层面上,为纪念《世界人权宣言》通过20周年,(117)联合国于1968年在德黑兰召开国际人权大会,讨论科技飞速发展背景下的人权保护问题。随后,联合国大会通过了第2450号决议。(118)决议指出:“最近的科学发现与技术革新为经济、社会和文化发展提供了契机,但它们同时也危及个人的权利和自由,需要我们不断地关注。”(119)电子产品的运用可能影响个人权益,需要对其在民主社会中的应用加以必要的限制,充分尊重个人隐私,保护国家主权和完整。(120)
另外,自20世纪70年代起,一些政府和非政府性的国际组织也开始关注其所涉及的法律、人权、电信、计算机和经济等领域中的隐私保护问题,并积极地介入个人资料保护。(121)其中,真正从整体上推进资料隐私区域和国际立法融合的要属欧洲理事会及经济合作与发展组织。
(二)欧洲理事会与资料保护公约
1.早期活动与资料保护决议
作为欧洲大陆的小联合国,1949年设立于德法边境的欧洲理事会(Council of Europe)以促进欧洲各国的人权、民主和法治为己任,(122)它也因此成为较早涉足资料保护的区域组织之一。早在1968年,欧洲理事会的协商会议(Consultative Assembly)(123)就通过决议,建议部长委员会(Committee of Ministers)研究当代科技对人权构成的威胁,考察《欧洲人权公约》能否应对科技带来的挑战。就此,部长委员会成立了资料处理专家组。专家组在其于1970年向委员会提交的报告中指出,当时的民事和刑事立法足以限制监听或摄像等电子设备带来的威胁。但是,利用计算机技术处理个人信息对人权保护提出了新的难题,并需要新的解决方法。(124)同时,专家组认为《欧洲人权公约》并不足以应对计算机技术的冲击:首先,公约仅适用于个人同国家机关间的关系,而不规制个人与私人机构间的关系;其次,受公约保护的两项与信息相关的基本权利(尊重个人的私人和家庭生活、保护信息自由)可能相互冲突,且公约也未对二者进行权衡;最后,个人信息处理造成的影响远远超出公约中隐私的内涵和外延。(125)
根据专家组的建议,部长委员会暂时放弃了对人权公约进行补充立法的想法,而将工作重点转向起草资料保护规则。如洪笛斯所言,专家组倾向于尽早协调成员国的资料保护立法,避免它们之间产生不必要的冲突。欧洲需要一套通用规则,这不仅因为它涉及人权保护问题,还由于计算机技术自身具有国际特性。(126)专家组先后考察了私人行业和公共领域中的自动化资料库对个人隐私和其他权益造成的影响。以此为依据,部长委员会于1973年和1974年公布了两项决议:《私人行业中的电子资料库与个人隐私保护》与《公共领域中的电子资料库与个人隐私保护》。(127)决议指出,为避免私人行业和政府利用电子资料库非法收集和处理个人资料,各国应通过立法保护个人权益。(128)同时,为避免成员国立法间可能出现的差异,决议规定了资料保护的实体内容,明确了资料保护原则,建议成员国将其纳入本国的立法之中,但它们并未规定资料保护的执行方式。(129)受当时科技发展水平的限制,决议采用了“资料库”这一概念,其最初对公私领域分别立法的理念也为后来的立法和实践所抛弃。但是,在多数国家还未立法之前,两项决议就规定了资料保护的实体内容,(130)这无疑对国内立法提供了指引,也有助于事先避免国内法间的冲突。如洪笛斯所言,理事会的决议是在各国开展立法之前就谋求法律统一的鲜有代表。(131)
2.资料保护公约的制定
在起草资料保护决议过程中,专家组于1972年就曾向欧洲理事会建议,一旦成员国根据决议制定了本国的资料保护法,就应当通过国际公约强化国内规则的适用。(132)专家组提出了两种解决方案:第一种方案以互惠原则为基础,即甲国应禁止在其境内处理居住在乙国的个人的资料,若该处理行为不符合乙国法的规定,反之亦然。以各国适用本国资料保护标准为原则,该方案除面临执行困难外,也不符合不论个人的国籍或住所位于何处都应受到同等保护的基本理念;第二种方案主张通过公约为欧洲各国确立共同的资料保护原则,这与欧洲理事会促进欧洲各国法律统一和法治的目标相符,也最终为其采纳。(133)
1976年,部长委员会要求资料处理专家组在欧洲法律合作委员会(134)(European Committee on Legal Co-operation)的协助下着手起草一部关于境内与跨境资料处理中的隐私保护公约。(135)当时,在欧洲理事会的成员国中,仅瑞典具有已生效的全国性资料保护法。有些专家认为制定公约为时过早,毕竟一个条约至少需要两个缔约方。随着科技的发展,尤其是资料处理的跨国特征日益明显,专家组也认识到通过公约加强资料保护对跨境资料流动至关重要。各国的资料保护水平不一定相同;即使具有类似的保护水平,跨境资料处理的管辖和法律适用也是个十分棘手的难题;另外,资料保护法的跨境执行有待各国间的通力协作。(136)这种未雨绸缪的做法也具有很多有利之处,尤其是起草公约的专家组成员同时也负责制定本国的资料保护法。(137)
经过两年半的努力,由欧洲多国代表组成的专家组(138)通过考察资料处理中的有关问题,结合各国的立法和有关情况,确定了公约的法理基础和具体细节,并于1979年提出了《与个人资料自动化处理有关的个人保护公约草案》。1980年,经工作组修改和定稿的草案为法律合作委员会批准,并由部长委员会第33届会议通过,决定于1981年供各国签署。1985年,公约的缔约方达到五个法定国家,开始生效。
3.资料保护公约的主要内容及其影响
欧洲理事会的《与个人资料自动化处理有关的个人保护公约》(139)包括三个方面的主要内容:关于资料处理的法律规则、跨境资料资料流动、缔约方间的互助和协作机制。首先,公约旨在确保在每一缔约方境内,不论其国籍或居所,保护每个人的基本权利和自由,特别是他们与个人资料自动化处理有关的隐私权。在信息自由流动原则的适当限制下,资料隐私权被确立为个人的一项基本权利。其次,参照欧洲理事会1973年和1974年的资料保护决议与各国立法,公约确定了资料保护的基本原则,并要求缔约方纳入本国立法中。但是,对于原则的执行方式,公约并未涉及,留由缔约方自行决定。这些共同的核心原则为资料当事人在自动化资料处理上的权利划定了保护底线,避免缔约方以资料保护为借口限制信息的跨境自由流动。再次,为协调信息自由流动与资料保护间的冲突,公约确立了资料跨境流动的基本法律规则。最后,公约从整体层面和具体事项上,规定了缔约方在资料保护上的互助与合作机制。作为首部具有法律效力的国际性资料保护立法,公约对欧洲和其他地区的立法以及后来的欧盟《资料保护指令》都产生了深远的影响。
4.欧洲理事会的后续活动
公约通过后,欧洲理事会并未停止统一资料隐私保护立法和执行机制的步伐。根据现实需要,它对公约进行了必要的修补,分别于1999年和2001年通过了《允许欧洲共同体加入公约的修正》及《有关资料保护机构与跨境资料流动的补充协定》。(140)随着各国掀起行业化和领域化的资料保护立法高潮,欧洲理事会对医疗、科研和统计、直接营销、社会安全和治安,雇佣和工作场所、支付,电讯服务、保险与互联网等具体行业和领域中的资料隐私保护提出了建议。(141)此外,欧洲理事会的资料保护工作组(Data ProtectionCommittees)还重点研究了资料保护中的热点问题,如个人生物资料、智能卡(Smart Card)、影像监控及跨境资料流动等,并公布了研究报告。(142)
(三)经济合作与发展组织与资料保护指导原则
1.资料保护指导原则的制定
由于计算机技术、个人信息处理与跨境流动同经济发展和国际贸易息息相关,以促进成员国经济合作与发展为主旨。成员国均是经济和科技发达国家的经济合作与发展组织(OECD),也较早地介入到资料隐私保护与信息经济发展的法律统一进程中。1968年,OECD的科学政策委员会成立了计算机应用工作组,调查计算机和通信等涉及的技术、经济和法律问题。(143)起初,资料保护和隐私并非工作组的研究和工作重点。(144)随着欧洲理事会资料保护决议的通过,它也逐渐将资料保护作为一个重点问题,并于1974年成立了资料库专门小组,考察计算机化的个人资料库牵涉的政策问题。1974年,专门小组召集成员国的专家代表讨论了资料保护问题,如个人身份标示符、信息公开、管理模式和跨境资料流动等。(145)工作小组认为,自20世纪60年代起,个人信息和其他信息已成为国内和国际交易中的重要商品。1977年,工作小组召集政府、私人行业、国际资料传送网络的使用者、资料处理服务商和跨国组织的代表,在维也纳召开了跨境资料流动与隐私保护研讨会。1978年,OECD决定设立临时性的跨境资料障碍与隐私保护专家组,由其负责制定有关资料跨境流动与个人资料和隐私保护的基本原则和规则,促进国内立法的融合。(146)经认真研究资料流动和资料保护的相关问题,尤其是敏感资料、非自动化资料处理,非自然人的资料保护、救济和制裁,法律执行体制与法律适用等问题,专家组于1979年提出了指导原则草案。(147)1980年9月23日,赶在欧洲理事会通过资料保护公约之前,OECD的理事会以建议的形式通过了《关于隐私保护与跨境个人资料流动的指导原则》。
2.资料保护指导原则的主要内容
指导原则的制定过程和内容都表明其更重视资料自动化处理与跨境流动所牵涉的国内和跨国经济因素。从立法动因上看,截至1980年底,OECD的多数成员国已经制定了隐私法或资料保护法,规制个人资料的不当收集、使用和披露。(148)与此同时,随着计算机和通信技术的发展,大量的信息能够轻易、廉价地跨越国境;而国内立法的差异可能限制个人资料的跨境自由流动,并因此严重影响银行、保险等经济行业的发展。尤其是,不少国家可能借保护隐私之名来实现其他国内目的,如保护国内就业、科技、经济行业、文化、语言和主权等。换言之,国内可能出现“资料保护主义”。(149)有鉴于此,OECD才认为有必要考虑制定指导原则融合成员国法,保障个人权利,并避免或减少由此造成的跨境资料流动障碍。从宗旨和目的上看,指导原则指出,个人资料跨境流动有助于经济和社会发展,国内隐私立法的差异可能阻碍资料流动。虽然国内法律和政策可能存在差异,成员国在协调个人隐私保护与信息自由流动两个基本价值上具有共同利益。资料自动化处理与跨境流动创建了新型的国家关系,并要求相应的规则和惯例。指导原则旨在促进信息在成员国间自由流动,避免资料保护对成员国的经济和社会发展造成不当障碍。(150)
指导原则的内容主要包括三方面:资料保护基本原则、跨境资料流动规则与资料保护原则的国内和跨境执行。资料保护原则是指导原则的核心内容,也是其用以协调国内资料隐私立法的基本手段。如专家组主席科比法官(Michael Kirby)认为,考虑到语言、法律传统、文化和社会价值的差异,各国可能在资料保护原则上存在严重分歧。然而,出人意料地,所有探讨该问题的国际性活动均表明,各国在基本原则上存在广泛共识。(151)实际上,基本原则具有一个简单而核心的理念:保护个人隐私和自由正是所谓的黄金法则。根据这一法则,个人不仅有权了解资料处理的情况,还可以介入资料处理过程,修改和更正不准确、不合理或不适当的信息。除此之外,还需要关于个人信息输入、处理和输出的基本原则,规制资料的收集、使用和安全。(152)基于上述观点,结合国际和国内立法,指导原则确立了8项资料保护原则:有限收集、资料质量、目的特定、有限使用、安全保障、公开透明、个人参与和尽责原则。对跨境资料流动,各国不得以保护资料为借口对其加以限制,这一原则构成了指导原则的核心法则。对资料保护原则在国内的适用和执行以及资料保护的跨境执行协作,指导原则仅确立了基本的法律框架。
与欧洲理事会的《资料保护公约》不同,《资料保护指导原则》并不具有强制约束力,经合组织的理事会仅建议成员国在制定本国资料保护法律和政策过程中参考指导原则的规定。然而,相对于欧洲理事会和欧盟而言,经合组织的成员国具有更广泛的地域代表性,包括了欧洲、美洲、澳洲和亚洲的多数发达国家。(153)指导原则不仅有助于融合欧洲各国的国内法,也可以协调欧洲同其他地区在资料隐私保护上的立法和实践。此外,作为富国俱乐部,OECD更注重资料处理和资料跨境流动的经济影响,为考察资料保护提供了独特的视角。
三、欧盟《资料保护指令》与欧洲各国资料保护法的统一
从欧共体演进为现在的欧盟,从欧共体的早期活动至《资料保护指令》的制定,欧盟在资料保护的理念上经历了以市场为重心到以人权保护为中心的根本转变,在资料保护的统一立法上也经历了一个漫长的过程。
(一)欧洲共同体的早期活动
欧洲理事会于1973年通过资料保护决议后,(154)欧共体议会成员布洛(Bro)就曾口头质询欧共体委员会在资料保护上立场和看法。(155)委员会指出,欧共体自身并不具有任何资料库,也无设立资料库的计划。对成员国境内不断设立的资料库,委员会承认应保护个人的正当权益,但该问题应主要由成员国自行解决。(156)委员会在其于1973年向欧共体理事会提交的《关于欧共体在资料处理上的政策》中明确了上述看法。(157)以促进欧洲计算机行业的发展为主旨,该文件指出,成员国的资料保护立法和政策差异将阻碍该行业的发展,因为,生产商可能要被迫遵循不同的法律规则,以跨境资料流动为基础的经济行业也将因此受到限制。尤其是,若各国的资料保护水平参差不齐,水平较低的国家可能成为资料保护的“避风港”,影响欧共体内的贸易和经济发展。所以,应协调各国在资料保护上的立场和做法,在欧共体层面上确立一致的标准和原则,而不应待问题恶化再于事后着手统一相互冲突的国内法。总之,欧共体委员会起初关注的重点为资料隐私涉及的贸易和经济发展问题,而非个人权利和自由。
1974年,欧共体理事会也开始关注资料保护。在回答欧洲议会成员库斯特(Couste)的提问中,理事会主席明确表示,资料保护的主要目的在于保护个人的私人生活,到底应在共同体还是国内层面解决该问题并非一个原则问题,而取决于二者的实际可操作性。(158)此外,通过Internationale Handelsgessellschaft与Norld案,欧洲法院认为欧共体法应给人权提供充分的保护,使其免受共同体机构造成的侵害。(159)欧共体议会要求拓展人权的保护范围,由共同体法保护人权,避免成员国的公私机构侵犯个人的基本权利和自由。这一理念对欧共体、尤其是欧洲议会在资料保护上的看法产生了重大影响。如洪笛斯所言,将人权视为欧共体层面的问题表明欧共体尤其是其议会正将资料保护作为保障个人基本自由的重要组成部分。(160)随后,欧共体议会的法律委员会作出两份报告——《库斯特报告》和《曼斯菲尔德报告》,二者均强调欧共体应介入资料保护问题,保障人权和隐私。(161)1975年,欧共体议会讨论了《曼斯菲尔德报告》。会上,欧共体委员会的成员布郎奈(Brunner)指出,个人隐私权不仅应由国内法,更需要通过共同体法加以保障。(162)委员会在于同年向理事会提交的《关于欧共体在资料处理上的政策》中再次表达了这一观点。(163)至此,欧共体认为资料保护不仅是一个经济问题,它也是人权保护所不可回避的问题。
在资料保护上的理念转变并未导致欧共体直接启动立法程序,它首先要求议会和委员会对资料保护问题开展广泛和深入的调研。1978年,欧共体议会设立了专门的工作组,公开讨论资料处理与个人权利保护问题。工作组在1979年提交的报告中,建议制定欧共体法保障共同体公民的基本权利和自由。(164)该建议也为欧共体议会于同年作出的决议采纳。(165)以起草一部可能的欧共体指令为目的,欧共体委员会开始向成员国广泛地收集信息,并设立了由成员国、欧洲议会、欧洲理事会及经合组织的代表组成的专家组,但专家组在立法上并未取得实质性的进展。(166)此后,欧共体委员会重经济而轻人权保护的职能及其在资料隐私上的固有理念使得《资料保护指令》的制定过程起伏跌宕。
1982年,欧共体议会通过决议要求欧共体成员国批准欧洲理事会通过的《资料保护公约》,在必要时欧共体也应加入该公约。若公约不能适当地保护个人隐私,欧共体应尽快制定资料保护指令。(167)虽然委员会知道公约绝无取代国内立法的意图,而且它仅提供了一套资料保护原则,委员会也明白公约除了保护个人隐私外更旨在保障信息的跨境自由流动,以促进欧洲经济一体化为重心的欧共体委员会仍然仅建议成员国签署或批准资料保护公约。
随着国内资料保护的发展,尤其是欧共体的性质和职能转变,欧共体委员会也逐渐改变了其自20世纪70年代以来在资料隐私上重经济、市场和信息自由流动的立场,认识到各国立法间的差异与《资料保护公约》的不足,并开始着手起草资料保护指令。如西米提斯所言,欧共体委员会的新态度反映了欧共体深层次的、历史性的结构变革——由一个单纯的经济同盟转变为一个政治同盟。(168)根据《马斯特里赫特条约》,构建统一的欧洲市场不再是成员国追求的唯一目标,取消国内边境、设立经济和金融同盟、承认共同的欧盟公民概念、实施统一的外交和安全政策、扩大成员国在司法与社会问题上的合作等都成为欧共体的目标。(169)此外,随着成员国签署和批准《资料保护公约》,(170)尤其是德国和法国等在资料隐私上的立法和实践,(171)欧共体委员会不得不重新界定资料隐私关涉人权保护的特性,并于1990年提出了《关于制定与个人资料处理有关的个人保护指令的建议》。(172)
(二)资料保护指令的制定
欧共体委员会的上述立场转变对指令的制定过程及其内容都产生了重大的影响。为保护个人的基本权利和自由,委员会不仅要实现一定程度的资料保护水平,更要确保一个较高的水平。(173)资料处理涉及的隐私保护不以国境或欧盟的边境为限,委员会必须考虑跨境资料流动与资料保护的国际性,构建跨境资料转移法律制度,确保跨境流动中的资料得到切实的保护。然而,各国立法间的差异、委员会自身的权限与政府以自我利益为中心的谈判策略,使委员会不得不屡次修改草案。自草案的提出至最终被欧洲议会和理事会通过用了近5年的时间。
1.成员国法间的差异与融合
欧共体委员会在起草《资料保护指令》时,多数成员国已制定了资料保护法,(174)而且也确立了一套适应本国情况的资料保护法律执行机制。表面上看,这有助于制定《资料保护指令》,而实际上,国内法间的差异反而成为指令制定中的最大障碍。对成员国而言,它们并不期望创建一套在欧共体境内统一适用的法律原则和规则,而是要尽量保留本国的立法和做法。委员会的建议能否得到采纳不在于其自身是否具有合理性和独创性,而取决于成员国是否能从中找到本国法的影子。
指令草案的内容也表明委员会融合而非创新国内法的倾向。例如,草案的第5条规定了个人资料处理的合法依据。这对德国而言并不陌生,(175)而对英国和爱尔兰而言却属于全新的规定。草案要求制定资料处理行为守则,并将其作为实施资料保护法的辅助手段。(176)德国和法国并未采取该做法,而英国与荷兰法则不然。(177)资料处理通报制度是法国资料保护体制的核心,但在其他国家它并不具有主导地位。此外,比利时、法国、西班牙和葡萄牙都禁止处理敏感资料,(178)而德国则长期坚持,资料的敏感性不仅取决于资料自身的性质还与处理的具体情形密切相关。(179)
统一立法的障碍不仅来自国内法的差异,还与各国只想对方作出让步而不愿承担过多责任的谈判策略相关。欧共体部长理事会永无休止的争论表明,虽然指令已经采纳了某国资料保护法的内容,但该国仍希望将其认为比较重要的规定纳入其中。例如,指令草案与德国法的规定已经非常一致,但德国仍坚持要求将内部资料保护专员制度纳入指令中,作为资料保护机构的补充。(180)
此外,协调各国立法也绝非易事。国内法中的特殊规定和制度可能只有在该国特定法律体系中才具有发挥作用的空间。例如,资料处理通报制度将耗费国家的公共管理投入,但在法国资料保护体制中,通报是审批的前提,只有向资料保护机构通报资料处理,才可能对其进行审批。因此,指令要么构建一整套资料处理通报、登记和审批制度,要么就放弃法国法的特殊规定。
如西米提斯所言,最巧妙地融合国内法也无法实现成员国国内资料保护体制所能达到的保护水平。(181)指令资料保护体制的范围和内容完全以已有立法为基础,它不得不保留而非挑战或改变其法理依据或具体规定,指令最终也只能为了确立统一的资料保护法律框架而融合不同法律背景下的各种制度和规定。委员会越倾向于融合各国不同的做法,越难以实现较高的资料保护水平。一些国家,如英国、爱尔兰、西班牙和葡萄牙完全采纳了《资料保护公约》的规定。而其他国家,如瑞典、德国和法国,不仅在公约通过前就制定了本国法,构建起独具特色的法律执行体制,还以资料保护法为基础给特定领域和行业确立了各自的法律规则和执行机制。尤其是丹麦,它自始就反对制定统一的资料保护法,而主张根据特定行业和领域的具体特点分别加以立法。总之,成员国在资料隐私法理、具体规定、制度和执行体制上的差异使得欧共体委员会疲命于协调各国立场,在各国已有的立法和做法间周旋,这也难免影响委员会最初计划革新资料保护法、构建高水平的资料保护体制的基本目标。
2.欧共体委员会自身权责的限制
欧共体委员会自身的权限也对指令的内容,特别是其适用范围产生了重大的影响。委员会致力于扫清欧洲市场统一化中的障碍,而非规制政府行为,其活动可能涉及国家政策和决定,但仍以与市场相关的问题为主。因此,从职权范围上看,委员会应主要管理私人行业而非政府机关的资料处理行为。然而,现实中,严格区分公私领域中的资料处理非但不具可操作性,也无法切实保障个人隐私,因为,公私领域中的资料处理均可能损害个人的基本权利和自由,而且两者也往往相互交织。为此,1990年的指令草案附加了成员国政府代表通过的临时性决议,将指令适用于政府机关无权管辖的公共领域中的资料处理行为。(182)草案的序言要求对公共领域适用相同的规定,这遭到政府机关的强烈反对。它们以种种理由百般限制指令的适用范围。
此外,委员会一再主张应根据科技的发展,将声音和图像资料纳入指令的保护范围,这遭到不少国家的反对,因为,一旦指令为影像资料确立严格的保护标准,将严重影响它们利用摄像技术获取个人资料的活动,特别是警察机关的侦察活动。鉴于各国政府的反对,欧共体部长理事会不得不作出让步,放弃1990年草案适用于所有公共领域的建议,并在序言中强调国家和公共安全、国防、犯罪活动的预防、侦查和起诉等都不属于共同体法的管辖范围。各国的意见分歧再一次从适用范围上影响委员会确保较高资料保护水平的初衷。
3.成员国的谈判策略
成员国的谈判策略严重影响了指令的制定程序。成员国在《资料保护指令》谈判中的立场往往与资料保护外的其他重大利益相关联。借用希腊立场的180度大转弯,西米提斯阐述了该观点。(183)当希腊于1994年1月接替德国作为部长理事会轮值主席国时,指令的谈判正处于一个关键时刻。两年多的激烈争论只讨论了几个条款。很多人认为在希腊作为轮值主席国期间,委员会对资料处理制定统一立法的愿望几乎不可能实现。然而,出人意料的是,理事会不再关注指令中的细枝末节,而着重讨论指令的核心内容,并讨论了草案的全部条款。
任理事会轮值主席国初期,希腊政府以指令同希腊宪法的基本原则不符对指令一概加以否定。希腊宪法中关于隐私权不可侵犯的规定并无独特之处,荷兰、西班牙、葡萄牙的宪法不仅具有类似的规定,还将资料保护确立为一项基本原则。然而,上述各国均未以指令同本国宪法的基本原则不符为由反对指令。其实,希腊当时正将宗教信仰信息纳入公民的护照中,并允许税务机关查阅与信用卡有关的个人资料,而且未对其加以必要的限制。随着希腊与欧盟在其他事项上的政策冲突日益加剧,德国等其他成员国也对其表示了强烈的不满。虽然未制定新宪法或修改宪法,希腊迫于上述压力放弃了最初的反对立场。
4.争议的主要问题
成员国讨论了资料保护中的众多问题,但草案根据各国立法和做法确立的核心内容自始至终都未遭到剧烈的冲击:从资料保护原则,如目的特定原则和确保资料准确的责任,到资料控制者的责任和义务,如通报和提供信息责任,再至资料当事人的权利,如知情权、资料查阅权、更正权和反对处理其资料以及设立资料保护机构等都是融合各国立法的结果。而为了科研、统计和历史的目的处理资料、资料查阅权的限制、敏感资料的处理、资料保护机构的独立性与资料的跨境流动等则成为备受争议的热点问题。
最终,1995年2月20日,欧盟部长理事会在《资料保护指令》上达成共识。丹麦、希腊、爱尔兰与荷兰放弃了对指令草案的异议。就连自始抵制指令的英国也承认指令的草案采纳了其提出的众多反对意见,并决定不再反对指令的具体内容。1995年10月24日,欧盟议会及其部长理事会签署了《资料保护指令》,(184)指令于1998年生效,并要求成员国在3年内根据指令的规定制定或修改本国的资料保护法。
(三)资料保护指令与欧盟资料隐私法的统一
以协调、融合与统一成员国的资料保护法为主旨,《资料保护指令》在吸纳各国立法和实践的基础上为欧盟各国确立起一套全面的资料保护体制,给个人资料提供了较高的保护水平,为欧盟内部个人信息的自由流动扫清了障碍,使欧盟各国在资料保护上以同一个声音说话,并对美国和其他国家的资料保护产生了广泛而深远的影响。
1.成员国对资料保护指令的转化
与《资料保护公约》和《资料保护指导原则》不同,《资料保护指令》具有强制效力,(185)成员国须在指令生效后3年内将指令的内容转化为国内法。(186)作为各国立法和资料保护体制的中和,指令与成员国法自然存在不少差异和冲突。指令掀起了欧盟各国制定或修改资料隐私法的高潮。自指令通过之日起,尤其是它于1998年10月25日生效以来,指令制定过程中原有的15个成员国纷纷根据指令的要求修改了资料保护法或制定了新法,(187)指令制定后加入欧盟的中欧和东欧国家多不具有资料保护法,也根据指令的要求制定了本国法。(188)
2.欧盟《资料保护指令》的主要内容及其特点
(1)信息自由流动与资料隐私并重
指令的序言明确指出:资料处理系统的设计应以服务人类为宗旨,不论自然人的国籍和住所位于何处,资料处理应尊重他们的基本权利和自由,尤其是他们的隐私权,服务于经济、社会和贸易发展以及个人福利。同时,欧盟各国在经济和社会一体化过程中,尤其是在科研合作上,需要交换越来越多的个人资料。各国个人资料隐私保护水平和制度的差异严重阻碍了跨境信息流动。为确保欧洲市场的统一化,尤其是产品、个人、服务和资本的自由流动,个人资料不仅应能在成员国间自由流动,更需要保障个人在资料上的基本权利。
(2)资料隐私保护水平的底线与较高的资料隐私保护水平
指令为成员国确立了资料隐私保护的底线,要求成员国不得以保护资料隐私为借口限制跨境资料流动。同时,作为人权保护的重要组成部分,指令不仅要为资料隐私确立一个保护水平的底线,在融合各国立法过程中不降低各国已有的保护水平,更旨在为欧盟公民提供一个较高的资料保护水平。
(3)全面规制资料处理
公私领域中的资料处理均可能侵害个人的资料隐私,两者之间的界限越来越模糊,且两个领域在资料处理上的交融趋势日益明显。为全面保护资料隐私,指令一并适用于公私领域中的资料处理行为。资料自动化处理与非自动化处理的界限日趋模糊,指令也对二者一并加以规制。指令对个人资料的界定非常宽泛,与身份确定或可确定的自然人相关的任何信息都属于个人资料。在地域适用范围上,为避免成员国立法管辖间的积极和消极冲突,指令将资料控制者的设立地作为法律适用的基本标准,对设立于欧盟境内的控制者适用设立地所属国的法律。同时,为扩大指令的适用范围,对设立于欧盟境外但运用了位于欧盟境内资料处理设备的控制者,指令要求适用设备所在地法。
(4)严格的资料处理标准
首先,为确保资料处理操作依法进行,指令规定了资料保护的基本原则。(189)作为资料保护法的核心,这些原则贯穿资料隐私保护的始终与整个信息流转过程,由资料控制者的责任至资料当事人的权利,再到资料保护的执行体制。一方面,资料保护原则表现为对资料处理负责的个人、公共机关、企业、组织或机构的义务,譬如资料的质量、技术安全,向国家监督机关通报以及合法实施资料处理。另一方面,资料保护原则表现为个人对资料和资料处理所具有的权利,如对资料处理的知情权、对资料的查阅权、要求修改资料与反对特定资料处理的权利。其次,指令规定了处理非敏感资料的合法依据。(190)再次,指令确立了禁止处理敏感资料的基本原则,并限定了例外情形。最后,指令确立了以资料控制者为中心的责任体系,要求控制者在收集个人资料过程中向资料当事人提供信息,协助个人行使资料权利,向国家资料保护机构通报资料处理,为资料提供适当的安保措施等。
(5)广泛的个人资料权利
为确保个人能够了解资料处理的有关情况,积极参与到资料处理过程中,指令为资料当事人创设了广泛的权利,如对资料处理的知情权,对资料的查阅权,对不准确、不完整、不及时信息的修改、删除或封存权,对特定资料处理的反对权以及对他人完全以自动化资料处理为依据作出对其具有重大影响决定的反对权。此外,为确保资料当事人能够有效地行使资料权利,指令确立了以资料当事人自力救济、资料保护机构协助及其他争议解决模式为一体的救济机制。
(6)全面有效的资料保护执行机制
指令不仅为成员国确立了较高的资料保护水平,还规定了实现该水平的必要手段,要求成员国通过国内立法确立一套完整、高效的资料保护执行机制。首先,为确保资料处理的公开、公正,指令规定了资料通报、登记和审批制。其次,指令要求成员国设立国家资料保护机构,以其为中心构建资料保护法的实施机制,由其负责对资料处理进行审计、调查、警告、处罚或制裁。同时,参照德国法,指令要求资料控制者设立内部资料保护专员,配合资料保护机构开展监督工作。再次,为保障资料当事人的权利,增强资料保护法的强制性,指令要求成员国对违法资料处理规定民事、行政和刑事责任,并确立相应的行政和司法救济体制。最后,采纳荷兰等国的做法,指令鼓励各国和欧盟制定和推广资料处理行为守则,将资料使用人自律与行业自治作为公权力执行机制的补充。
(7)严格的跨境资料转移标准
为确保跨境资料转移不损害个人的资料隐私,指令确立了一套完备的法律体制。首先,作为一般原则,资料接收国应具备适当的资料保护水平,禁止向不具备适当资料保护水平的第三国转移欧盟公民的个人资料。其次,指令严格限定了例外情形,保护资料当事人和社会的公共利益。最后,若通过合同等方式为资料隐私提供了充分的保障,也可向不具备适当资料保护水平的第三国转移资料。
(8)指令的统一适用
为确保指令的统一适用,以欧盟委员会为中心,以资料保护工作组为智囊团,以资料保护机构间的互助与合作为重点,指令从欧盟和成员国两个层面确立了一套完备的资料保护跨境合作体制。
3.资料保护指令的适用情况
如上所述,欧盟委员会应于指令生效之日起3年后向理事会和欧洲议会报告指令的适用情况。然而,由于某些成员国迟迟未按期将指令转化为国内法,欧盟委员会直到2005年才提交报告。(191)报告指出,指令实现了欧洲统一化中的两大目标:个人信息的自由流动与个人基本权利和自由的保护。少数成员国,如奥地利、瑞典、芬兰和英国建议修改指令的某些规定,如法律适用、敏感资料、查阅权、通报制度和跨境资料转移制度等。委员会认为,指令的执行经验还不充分,很多修改建议旨在减轻资料控制者的负担并有损资料保护水平,而且很多问题可以通过解释指令或修改国内法加以解决,不宜在近期内修改指令。报告也指出,各国立法与指令仍存在很大的差异。这一方面可归因于成员国的立法,另一方面也与指令自身的规定有关。为促进指令的统一适用,提高资料保护水平,报告要求成员国全面执行指令的规定,对指令进行统一、合理且灵活的解释,切实执行资料保护原则。
4.资料保护指令的影响
作为欧盟资料保护立法统一化进程中的里程碑,《资料保护指令》奠定了欧盟在资料保护与跨境资料流动上的主导地位,使欧盟在资料保护革新之路上继续高举领先的大旗,并对世界其他国家和地区的资料保护产生了深远的影响。首先,指令将资料保护视为人权保护的重要组成部分,这一理念成为欧盟各国资料保护的理论基础,并直接影响资料保护法的适用范围、具体内容及其执行机制。其次,指令确立了一套全面的资料保护体制,不区分资料处理的发生领域,不区分资料处理所采取措施的性质,明确资料处理的合法依据,在资料处理的整个过程中,为资料控制者设定义务,为资料当事人创设权利,并以资料保护机构为中心监督资料保护法的实施。它树立起独具特色的资料保护模式,也对其他国家和地区具有重大的借鉴价值。再次,与其他资料保护统一立法不同,指令具有强制效力。最后,指令跨境资料转移规定了一致的标准,禁止向不具备适当保护水平的第三国转移资料。这对欧盟外国家和地区的资料保护立法和实践产生了重大的影响。(192)
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
