资料保护机构与个人资料的法律保护

第六节　资料保护机构与个人资料的法律保护

即使经适当调整，隐私侵权能够摆脱困境，资料处理所牵涉的隐私保护问题远远超出了侵权所针对的特定侵害行为。从本质上讲，侵权法关注特定的加害行为和损害事实。资料处理所关涉的隐私问题并不源自任何特定行为，而应归因于数字化信息流转造成的机制性的权力失衡状态。⁽²⁸⁶⁾

——索罗伍(Daniel J．Solove)

一、资料保护机构——个人资料的卫兵

至今，个人资料的法律保护已走过了近半个世纪的历程。自1970年德国黑森州的资料法建立了以资料保护专员为中心的法律实施机制，尤其是随着欧盟《资料保护指令》于1998年生效，国家资料保护机构已经成为个人资料法律保护体制的重要组成部分，它也成了个人资料的卫兵。资料保护机构是依法设立的、独立监督资料保护法实施的国家公权力机构。⁽²⁸⁷⁾虽然名称各异，⁽²⁸⁸⁾它却承担了与资料保护相关的类似职责。作为资料保护的信息中心，它负责宣传和推广资料保护，并向国家机关报告资料保护法的执行情况;作为资料处理活动的管理者，它负责对资料处理进行管理和登记;作为资料保护的智囊团，它对资料保护法规和行为守则的起草、制定和具体实施提出意见和建议;作为资料处理争议的公断者，它受理、调解和解决个人提起的与资料处理相关的申诉;作为资料保护法的执行机关，它有权对公共机关和私人机构实施的资料处理活动进行审计和调查，并对违法行为提出警告、建议或进行处罚和制裁。换言之，资料保护机构扮演着资料保护的宣传员、教育者、咨询人员、政策建议者、审计人员、调查人员、法律监督和执行者以及谈判者和外交家等多重角色。

是否应设立资料保护机构、设立什么样的资料保护机构等问题反映了各国在资料保护问题个人性与社会性上的权衡与倾向，也体现了其资料保护理念和模式的根本差异。以私人为视角的传统隐私权理论、个人资料财产化理论都未能把握资料隐私兼具私人性和社会的特征，力量和利益平衡论将资料保护法视为平衡个人与资料使用人和社会在资料控制和资料处理过程参与上力量和利益冲突的工具，它为资料保护机构奠定了法理基础。

资料保护机构伴随着科技与资料保护理念和模式的革新不断演进。如今，在重重考验下，资料保护机构必须从个人资料的卫兵转变成资料处理活动的宏观调控者，在自上而下与自下而上的资料保护模式相互融合中发挥其领航作用。对正在制定资料保护法的中国而言，考察资料保护机构的历史和现状，探讨其法理基础，考察其性质、地位、设立和运作，界定其职责和权限，认清其发展前景，尤为重要。

二、资料保护法与资料保护机构的历史和现状

西欧是资料保护的发源地和创新中心，它不仅拉开了资料保护专门和全面立法的序幕，还开创并构建起以资料保护机构为主导的资料保护执行模式。随着欧盟《资料保护指令》的通过和生效，资料保护机构已经成为欧盟个人资料保护模式的特色制度和支柱。美国是隐私权和信息隐私权的萌发地，它较早地考察了应否设立资料保护机构的问题。1974年《隐私法》成为美国与欧洲资料保护模式的分水岭:该法不仅标志着美国背离了对公共和私人领域中的资料处理活动一并以联邦法加以规制的全面立法模式，也标志着它放弃了以公权力为中心的资料保护执行机制，并逐步构建起以资料使用人自律和行业自治为主导的市场调节模式。除国内法外，欧洲理事会、经济合作与发展组织、欧盟、联合国和亚太经合组织等也以区域、国际立法的形式呼吁或要求设立资料保护机构。

(一)欧洲诸国早期的资料保护法与资料保护机构

西欧诸国，尤其是德国、瑞典、英国和法国，不仅率先拉开了资料保护立法的序幕，还开创了通过资料保护机构保护个人资料的先河。它们关于资料保护机构的立法和实践对后来的《资料保护指令》及其他国家和地区的资料保护都产生了深远的影响。

1970年9月30日，德国的黑森州制定了世界上首部专门性的资料保护法。⁽²⁸⁹⁾该法仅规制州政府机关实施的个人资料自动化处理活动，其内容虽然简洁，却建立了以资料保护专员为中心的法律执行体制。⁽²⁹⁰⁾专员由州议会产生，负责考察个人资料数据化造成的政府机构之间的权力变化及其对个人隐私造成的侵害，监督州数据库的运作，受理个人对资料处理提起的控诉，对控诉发表意见并将其移交给适格的机构。⁽²⁹¹⁾黑森州法回答了如何执行资料保护法这一难题，并构建起相对完备的资料保护专员制度。⁽²⁹²⁾应否设立联邦资料保护机构也成为德国制定联邦法过程中的焦点问题。1973年，德国联邦政府向议会提交了联邦资料保护法草案。与黑森州法相比，草案内容详尽、标准严格，但它在执行上却软弱无力。经过议会两年多的讨论，西米提斯(Spiros Smitis)等人所倡导的联邦资料保护机构也赢得广泛的赞同。⁽²⁹³⁾伴随着不同利益方的激烈争吵，德国议会于1977年通过了《德国联邦资料保护法》，要求设立联邦资料保护机构，由其监督联邦机关的资料处理活动。⁽²⁹⁴⁾

世界上首部全国性的资料保护法，即1973年的《瑞典资料法》，⁽²⁹⁵⁾要求设立资料调查委员会，并规定了资料处理的登记和审批制度，由委员会对资料处理活动进行登记和审批。⁽²⁹⁶⁾作为资料保护立法的有益尝试，《瑞典资料法》对早期西欧诸国资料保护的发展产生了重大的直接影响，⁽²⁹⁷⁾其确立的资料处理登记和审批制度对后来国内和国际资料保护立法也不无借鉴价值。

为限制计算机的不当使用，英国杨格(Kenneth Younger)隐私工作组提出了利用计算机处理个人信息的十项原则，将其视为正当信息处理行为守则的基础，并呼吁计算机使用者自觉遵守。1975年，积极的英国工党政府发表的《计算机与隐私白皮书》，⁽²⁹⁸⁾建议设立永久性的法定机构监督公共和私人领域中计算机的运用，确保其适当地考虑个人隐私，对个人资料提供必要的保护。⁽²⁹⁹⁾林道普(Norman Lindop)资料保护工作组在1978年的报告中建议英国制定全面、专门的资料保护法，设立独立的资料保护机构监督法律的实施。报告倡导创立资料处理登记制度，由资料保护机构对政府机关和私人机构运用计算机等技术自动处理个人资料的活动进行强制登记。1982年，英国内政部公布了《资料保护:政府的立法建议白皮书》，建议成立独立于政府的资料登记机构，对运用计算机处理个人资料的活动进行登记和监督。⁽³⁰⁰⁾最终，1984年的《英国资料保护法》在资料保护原则的执行上，采纳了林道普报告的建议，对资料处理活动进行强制登记，但也规定了广泛的例外情形。⁽³⁰¹⁾

1978年，法国制定了《信息、档案与自由法》，⁽³⁰²⁾设立了具有广泛职权的国家信息与自由委员会(CNIL)，由其负责对资料处理进行登记、审批，监督资料处理活动。

(二)美国的信息隐私法及其执行机制

美国1974年《隐私法》的制定过程始终围绕着两个焦点问题:是否需要对政府机关和私人行业中的资料处理一并立法?是否需要设立联邦隐私委员会由其监督隐私法的实施?最终，美国对两个问题与欧盟作出了不同回答，这导致二者在资料保护立法和执行体制上开始分道扬镳，并渐行渐远，《隐私法》也成为欧美资料隐私保护模式出现裂痕的分水岭。对私人行业中的资料处理，美国采取了分散立法模式。在执行体制上，对公共领域，美国未设立联邦资料保护委员会监督隐私法的实施，而采取了以联邦机关自律为主，以个人自力行使与通过法院执行资料权利为辅的资料隐私保护模式。对私人行业，美国构建起以资料使用人自律和行业自治为主导的市场调节模式，反对和限制政府干预个人信息处理活动。

早在20世纪60年代末，美国参议院的宪法权利委员会(Senate Judiciary Committee's Subcommitee on Constitutional Rights)就曾建议设立隐私保护机构，由其监督联邦机关收集、使用和散播个人信息的活动。1970～1974年，经深入调查联邦机关记录个人资料及创建和使用数据库的情况，委员会发表了《联邦资料库与宪法权利报告》。鉴于大量的政府数据库已经存在，报告呼吁由法律全面规制政府资料库的目的、内容和使用，政府采取全面、准确的报告制度，保障个人隐私。⁽³⁰³⁾在参议员艾文(Sam Ervin)的倡导下，越来越多的人支持设立独立的机构监督联邦机关资料库的运作。⁽³⁰⁴⁾1974年5月1日，艾文等向参议院提交了《关于设立联邦隐私委员会的法案》。⁽³⁰⁵⁾该法案不仅适用范围广泛、内容全面，而且它在执行体制上也别具特色。它要求设立联邦隐私委员会(Federal Privacy Commission)，由其负责监督联邦机关、州和地方政府以及私人组织的资料处理活动。委员会由5人组成。为保证委员会的独立性，法案要求其成员应经参议院推荐，并由总统任命。三个以上的成员不得属于同一政党。成员的任期为三年，且连任不得超过两届。成员在任职期间不得担任其他公职。在职责上，委员会除了应负责执行法案第二部分有关个人信息处理的规定外，还应向总统和国会做年度报告，汇报美国现有的资料处理系统及其运作情况。为确保隐私委员会能够独立、有效地履行职责，草案赋予其广泛的权力:调查权，对资料处理系统进行调查，并要求公私资料系统的持有人提供与系统相关的文件;制裁权，一旦断定存在违法行为，委员会有权命令有关组织停止违法行为;举行公开听证权:对主张不适用本法案规定的请求举行公开听证，并向国会提交建议。可以说，从委员会的组成、成员的任命以及委员会的职责和权限等方面，法案为美国设立隐私保护机构，由其负责执行隐私法作出了全面、细致的规定。

然而，这一建议却遭到了各方面的反对。例如，1973年的《记录、计算机与公民权利报告》指出，由公共性的保障机构监督个人资料自动化系统具有很多优点，但是它以事后救济为基本理念，而且只有在法律确定了相应的权利和程序后，它才能得以有效运作。此外，该方法在美国也不能得到较好的理解、接受和支持。有人认为在美国的法律、政治和行政管理传统下，它存在严重的缺陷。使用个人资料自动化系统的组织和机构的数量和种类繁多。系统自身在目的、复杂性、适用范围和管理环境等方面也大不相同。它们的有害影响也同这些特征一样存在差异。我们怀疑是否有必要设立一个具有如此广泛职权和普遍影响力的联邦机构，由其管理所有自动化的个人资料系统，我们更怀疑公众当前对该做法的支持。此外，管理和登记制度不仅在运作上极其复杂，而且成本也过高，还可能对运用计算机技术记录个人信息造成不必要的障碍。因此，隐私保护不要求设立一个全新的机制，而且，限制电子资料处理技术的运用也应以适当地保障资料记录中的个人隐私为限。以协调资料处理中各当事方与社会整体之间的利益冲突为主旨，委员会主张以正当信息行为守则为依据，确立以资料使用机构自律为中心、以法院对不当信息行为进行制裁为辅助的隐私保障机制。⁽³⁰⁶⁾

在参议院对艾文法案讨论过程中，有关联邦隐私委员会的规定成为争论的焦点。政府机构的代表认为，应主要靠各机关的自律保护个人信息隐私，设立隐私委员会只会增加政府的成本，而且复杂的行政管理机制也不能解决相关的问题。例如，管理与预算办公室的主任艾什(Roy Ash)指出，设立独立的机构对法律的执行非但没有必要，而且毫无帮助，还可能破坏现有的责任分配。他建议委员会删除关于设立隐私委员会的全部条款，改由各机构自律。⁽³⁰⁷⁾由于联邦行政机关的强烈反对，1974年11月，参议院通过的草案缩减了隐私委员会的管理职权，使其成为一个调查和建议性的机构。例如，对自动化个人资料系统，委员会仍具有调查、监督、举行听证、发布公报、制定行为守则等权力，但它无权要求联邦机关停止或终止某个人资料库。⁽³⁰⁸⁾

与此同时，1974年8月，毛海德(Moorhead)等议员向众议院提交了《1974年隐私法案》，法案不要求设立专门机构监督隐私法的实施。⁽³⁰⁹⁾在法案的评议过程中，众议院认为设立此类机构成本过高，管理方式过于机械化，总统也反对设立该机构，而且美国法院已经给公民提供了救济。⁽³¹⁰⁾众议院最终通过的隐私法案不要求通过外部机构监督隐私法的实施。⁽³¹¹⁾

美国参众两院经协商与妥协，在折中两法案的基础上，最终通过的《隐私法》放弃设立联邦隐私委员会，仅成立隐私保护研究委员会(Privacy Protection Study Commission)，由其负责调查和研究政府、区域和私人组织持有的资料库、自动化资料处理程序和信息系统，以决定保护个人信息的标准和程序，并在资料处理与信息隐私保护上向总统和国会提出建议。⁽³¹²⁾美国总统管理与预算办公室负责为联邦机关执行隐私法制定指导原则或规章，为联邦机关执行原则和规章提供协助和监督。⁽³¹³⁾在现实中，由于其自身性质、功能等方面的限制，管理与预算办公室也未能积极有效地行使其法定职责，很少对联邦机关遵守隐私法的规定提出建议，在监督联邦机关的资料处理行为上也采取了消极立场。⁽³¹⁴⁾人们逐渐认识到隐私法自身及其执行体制的不足，并建议成立隐私委员会。直到当今，很多美国学者仍在呼吁美国借鉴欧盟的资料保护经验，对公私领域中的资料处理统一立法，并设立国家资料保护机构监督信息隐私法的实施。⁽³¹⁵⁾然而，利益集团的阻挠使得上述建议在目前很难被提上议会的日程。

相对于政府的强制干预，私人行业一直更倾向于市场调节和行业自治，《隐私法》通过后，尤其是随着美国信息经济与电子商务的迅速崛起，为保持其信息产业和电子商务的世界领先地位，美国政府也开始关注与电子商务相关的个人信息隐私保护，但这种以经济发展为导向的功利主义策略使得美国更注重市场的调节作用，强调行业自治的主导地位，尽量限制政府干预。为执行国家信息高速公路计划(National Information Infrastructure)，美国联邦政府于1993年设立了信息高速公路工作组(Information Infrastructure Task

U．S．，House of Representatives，Who Cares about Privacy?Oversight of the Privacy Act of 1974 by the Office of Management and Budget and by the Congress，Report by the Committee on Government Operations，House of Representatives，98^thCong．，1^stsess．，1983．Force)。1995年，工作组公布了报告，为个人、私人行业和政府等相关当事方提供了一系列不具有法律效力的正当信息行为原则，将市场和行业自治确立为调节个人同资料使用者之间信息流转关系的最好手段。⁽³¹⁶⁾同年，美国电信与信息管理局(National Telecommunications and Information Administration)对通信行业中的隐私保护也公布了白皮书，强调减少政府对市场的强制干预，由市场调节个人信息的使用。⁽³¹⁷⁾1997年，克林顿政府公布了《全球电子商务框架》，⁽³¹⁸⁾提出了促进电子商务发展的五项原则。⁽³¹⁹⁾其中，“以私人行业为主导原则”意味着市场是调节电子商务运作的根本手段。政府应鼓励行业自治，并仅应在必要情形下协助私人行业组织发展相应的机制促进互联网更有效的运作。减少对电子商务的不当限制原则要求政府尽量不干预电子商务市场的运作，不施加不必要的管制。根据第三项原则，政府在必要情形下为电子商务提供简明的法律环境，应以自下而上的交易模式为基础，而不得以自上而下的管制为主导。

对网上隐私，作为保护消费者权益的国家机关，美国联邦贸易委员会(Federal Trade Commission)曾长期坚持鼓励和促进网络市场的自律与行业自治，并将其作为保护消费者网上隐私的首要执行手段。⁽³²⁰⁾然而，认识行业自治并未切实保护消费者的网上隐私，委员会不仅反思行业自治制度自身的缺陷和不足，还建议通过立法和专门机构保护网上隐私。⁽³²¹⁾美国私人行业，尤其是个人信息处理与网上贸易企业对委员会提出的立法与通过专门机构监督法律实施的建议纷纷表示反对。网上隐私一时也成为美国国会炙手可热的议题，但企业自律与行业自治的地位仍牢不可撼，美国并未设立专门机构监督网上个人信息处理行为。

因此，美国不存在统一的联邦个人信息隐私法，也未设立国家性的资料保护机构，联邦贸易委员会(Federal Trade Commission)以禁止不正当和欺诈性的商业行为侵害消费者的权益为依据，保护特定私人行业中的个人信息隐私。此外，美国健康与公众服务部(Department of Health and Human Services)与联邦银行监理机关(Federal Banking Agencies)也在一定程度上负责保护健康和金融等领域的个人信息隐私。

(三)国际性资料保护法与资料保护机构的现状

国际性的资料保护立法也将设立资料保护机构作为资料保护执行体制的重要组成部分。例如，根据经济合作与发展组织的《资料保护指导原则》，为执行资料保护原则，各国可设立专门机构。⁽³²²⁾联合国大会通过的《资料保护指导规则》建议各国设立专门机关，由其独立、公正地执行资料保护规则。⁽³²³⁾为融合与统一成员国的执行体制，欧盟《资料保护指令》明确要求成员国设立专门的资料保护机构，赋予该机构独立的地位和广泛的职权，并由其负责资料保护法的实施。⁽³²⁴⁾为使《资料保护公约》与《资料保护指令》的规定保持一致，欧洲理事会于2001年通过补充协定要求缔约方设立一个或多个机构专门负责资料保护法的实施。⁽³²⁵⁾亚太经合组织2005年通过的《隐私框架》鼓励成员国通过立法、行政和行业自治等途径保护个人的信息隐私。⁽³²⁶⁾

从国内来看，如今，欧盟成员国按照指令的要求都设立了全国性的资料保护机构，由其负责公共和私人领域中的资料保护。欧盟之外，瑞士、挪威、加拿大、新西兰、我国的香港和澳门特区等也设立了资料保护机构。

三、资料保护机构的性质、地位、设立与运作

(一)资料保护机构的性质和地位

简言之，资料保护机构是依法设立的、独立地行使监督资料保护法实施职权的国家公权力机构。⁽³²⁷⁾为确保资料保护机构的独立性和公正性及其履行资料保护职责的能力，资料保护机构被赋予了相应的资源与广泛的法定职权。严格而言，它不属于消费者保护机构、行政机关、立法机构、司法机构或执行机关，但却具有上述机构和机关的职能和特性。具体而言，它负责向大众、公共机关和私人机构宣传和推广资料隐私保护的重要性，并向国家机关报告资料保护法的执行情况。它负责对资料处理进行管理和登记，并因此具有行政管理性。作为资料隐私保护的智囊团，它对资料隐私法律法规和行为守则的起草、制定和具体实施提出意见和建议。作为资料处理争议的公断者，它受理、调解和解决资料当事人提起的与资料处理相关的申诉。作为资料保护法的执行机关，它有权对公共机关和私人机构实施的资料处理进行审计和调查，并对违法行为提出警告、建议或进行处罚和制裁。资料保护机构的多重职责决定了其性质上的复杂性，使其成为具有行政、立法、司法和执行等多重性质的公共机构。西班牙的资料保护法对其性质作了比较全面的概述:资料保护机构依公法设立，具有法律人格与完全的公共性和私人性的法律能力，并独立于其他国家机关履行其法定职责。⁽³²⁸⁾

资料保护机构的地位主要是指其独立性。独立性是资料保护机构性质和职责的内在要求。它不仅应在形式上独立，更需在行动上完全自主，⁽³²⁹⁾在履行职责过程中免受外界不正当、不合理的干涉。虽然不存在确保资料保护机构独立性的统一模式，但下列事项与独立性密切相关:专员与机构成员的任命，专员和成员的任职条件与任职期间，人力、财力和物力等资源，以及不受外界干涉作出决定和提出建议等。⁽³³⁰⁾多数欧盟成员国法均强调资料保护机构应为独立性的机构，不得接受其他机关的指示，独立行使法定职权。⁽³³¹⁾

(二)资料保护机构的设立和运作

为保障资料保护机构的独立性，欧洲各国规定了严格的机构设立和成员选任程序。多数国家要求资料保护专员由议会产生，如比利时⁽³³²⁾、意大利⁽³³³⁾、瑞士⁽³³⁴⁾和葡萄牙⁽³³⁵⁾等;在某些国家，专员由司法部长选任，如丹麦⁽³³⁶⁾和荷兰⁽³³⁷⁾;有些国家要求由政府选任专员，如爱尔兰⁽³³⁸⁾、英国⁽³³⁹⁾和卢森堡⁽³⁴⁰⁾。在资料保护机构的人员要求上，为确保其独立性和广泛的代表性，各国的要求也不尽相同。如法国国家信息与自由委员会(CNIL)的成员由国家议会、经济与社会部(Conseil?conomique et Social)、国家法院(Conseil d'?tat)⁽³⁴¹⁾、最高法院(Cour de Cassation)和审计法院(Cour des Comptes)等选任。⁽³⁴²⁾葡萄牙国家资料保护委员会由议会、最高法院、最高检察院和政府各自选任的成员组成。⁽³⁴³⁾

为确保资料保护专员独立行事，不少国家要求资料保护专员不得担任其他职务或从事其他有报酬的工作。如法国国家信息与自由委员会的成员不得兼任政府公职，不得参与讨论或调查同一机构有关的事宜，若他在该机构中任职或具有直接或间接的利益。⁽³⁴⁴⁾荷兰资料保护委员会主席及其成员不得从事其他有报酬的工作，若该工作与其在委员会的工作不符，且未经司法部长批准。⁽³⁴⁵⁾德国的联邦资料保护与信息自由专员不得担任其他有报酬的职位，或于官方职责外从事任何有利益的活动或职业，不得隶属于营利性公司的管理和监督委员会或董事会，不得在联邦或州的政府和立法机关中任职，亦不得以牟利为目的，越权作出意见。⁽³⁴⁶⁾

为确保资料保护机构的独立性，资料保护法多规定资料保护机构应具有充分的资源，如办公场所、人员、财力和物力。但是，从实际运行来看，由于面临着资源紧缺的困境，多数国家的资料保护机构不足以独立完成纷繁复杂的法定职责，扮演好多重重要角色。⁽³⁴⁷⁾

仿效欧盟设立资料保护工作组，⁽³⁴⁸⁾有些国家还设立了资料保护咨询机构，协助资料保护机构开展资料隐私保护事务。如西班牙设立了咨询委员会，由其负责协助资料保护委员会的工作。咨询委员会的组成人员具有广泛的代表性，包括国会、政府、地方机关、学术机构、消费者和资料使用者的代表。⁽³⁴⁹⁾奥地利也设立了资料保护理事会来协助国家资料保护委员会的工作。

此外，德国和奥地利的资料保护机构值得一提。德国资料保护法包括联邦和州两级执行体制，而且公共和私人领域中资料处理的监督体制也有所不同。从联邦的角度看，德国联邦资料保护与信息自由专员根据《联邦资料保护法》负责监督联邦机关的资料处理。⁽³⁵⁰⁾虽然《联邦资料保护法》对私人行业中的资料处理作出了专门规定，但它们却由不同的机构负责实施。⁽³⁵¹⁾联邦资料保护与信息自由专员，经联邦政府建议，由议会选任，并由总统任命。专员具有联邦公法官员地位，应独立行使其职责，并接受联邦政府的法律监督。⁽³⁵²⁾从州的角度看，各州的资料保护机构负责监督州公共机关的资料处理。私人行业中资料处理的监督机关由各州决定。负责监督州公共机关资料处理的资料保护机构一般由其议会选任，但负责监督私人行业中资料保护的机构多为州政府的内务部或隶属于内务部。不过，几个州经过修改立法，由州资料保护机构一并监督公共和私人行业中的资料处理。⁽³⁵³⁾

在奥地利，资料保护委员会(Datenschutzkommission)和资料保护理事会(Datenschutzrat)共同负责该国联邦资料保护法的实施。资料保护委员会负责监督国家最高行政机关，即国家总统、总理、政府成员的资料处理活动。资料保护委员会的六名成员均经联邦政府推荐，由总统任命。委员会的候选人分别由最高法院(Oberster Gerichtshof)、政府(Bundeslnder)、联邦劳动部(Bundeskammer für Arbeiter und Angestellte)与联邦经济部(Wirtschaftskammer?sterreich)推荐。联邦政府和州政府的成员不得担任资料保护委员会成员。资料保护委员会的成员应独立行使其职责，且不得受任何指示的约束。资料保护委员会办公室的官员仅应服从主席和执行成员的指示。资料保护理事会由联邦议会设立，负责对联邦和州政府提出有关资料保护的建议，包括审查对资料保护至关重要的问题，对联邦部委制定的与资料保护有关的法案提出意见，评定公共领域中资料控制者提出的涉及资料保护的项目，要求私人行业中的资料控制者从资料保护的角度提出意见或提请其注意。资料保护理事会由政党、联邦劳动部、联邦经济部、州、奥地利市和城镇组织及联邦议会的代表组成，代表应具有计算机技术和资料保护的专业知识和经验，且不得为联邦和州政府的成员。⁽³⁵⁴⁾

四、资料保护机构的职权与责任

设立独立的监督机构是个人资料保护至关重要的一环。⁽³⁵⁵⁾欧盟《资料保护指令》要求成员国赋予资料保护机构广泛的职权。对内，资料保护机构担负着信息提供、资料处理活动的管理、管制、准立法职能、准司法职能、调查和执行职能;对外，它还需同他国的对应机构进行信息互换并在跨境资料保护的执行上开展合作。因此，资料保护机构在资料保护上扮演着多重角色，如宣传员、教育者、咨询人员、政策建议者、审计人员、调查人员、法律监督和执行者以及谈判者和外交家等。其中，审计、调查、监督和执行等是资料保护机构最核心的职责。⁽³⁵⁶⁾

(一)提供信息

作为国内资料保护的信息中心，资料保护机构向资料处理涉及的当事方，如立法和行政机关、资料使用者、特定行业中的资料使用者以及资料当事人等提供相关信息。此外，它还公布年度活动报告。⁽³⁵⁷⁾资料保护机构对有关资料保护的法律法规以及与资料隐私有关的重要问题作出报告、研究、意见和建议，这对资料隐私的立法和实践具有重要的指导作用。即使未被立法机构、行政机关、司法机构或资料控制者采纳，这些意见至少可确保有关问题得以充分考虑和讨论。通报本国资料保护法执行状况及有关问题的年度报告也是重要的信息传递渠道。资料保护机构提出的意见与作出的报告虽然不具有法律约束力，但它们同机构的管理和执行活动密切相关。报告可以确定资料保护领域中的焦点问题，重点开展审计、调查和监督活动。资料保护机构有关资料保护法在特定领域中的解释和适用建议也对其监督活动具有重要的影响。在有些国家，该意见和建议构成资料保护机构执行活动的正式和有效的组成部分。此外，资料保护机构的年度报告一般都对其执行活动和资料处理的个案进行总结和评析，这在信息提供与监督和准司法职能之间架起了沟通的桥梁。⁽³⁵⁸⁾

(二)准司法权

受理资料当事人提起的有关资料处理的控诉是资料保护机构的一项重要职权。受理控诉后，根据案件的具体情形，资料保护机构决定是否有必要开展调查，对资料当事人同资料使用者之间的纠纷进行调解，并作出决定。根据《资料保护指令》，资料保护机构应处理个人因资料处理侵害其权利和自由而提起的控诉，尤其是对资料处理的合法性提出的异议，并将处理结果告知资料当事人。⁽³⁵⁹⁾多数欧盟成员国法作出了类似的规定，但在可控诉事项的范围、提起控诉的条件和具体解决方式上，它们仍存在一定的差异。

在受理案件所关涉事项的范围上，丹麦、法国、希腊、葡萄牙和西班牙等国法的规定比较宽泛，只要控诉与资料处理相关，资料保护机构均有权受理。⁽³⁶⁰⁾而根据奥地利和芬兰法，个人仅可将关涉查阅和修改资料等权利行使的事项提交资料保护机构处理。例如，根据芬兰法，若资料当事人在行使资料查阅权和修改权过程中遇到障碍，可将其提请资料保护专员的注意，并由委员会对有关事项作出决定。委员会可命令控制者执行资料当事人查阅资料的要求，或修改资料中不准确的信息。⁽³⁶¹⁾

对案件的受理和解决方式，意大利、奥地利⁽³⁶²⁾和比利时法的规定较为详尽。根据意大利法，资料当事人有权通过向法院提起诉讼或向资料保护机构控诉的方式执行其资料权利，但两种救济途径不可同时进行。若资料当事人向法院提起了诉讼，就不得就同一案件向资料保护机构提出申诉，反之亦然。该法还要求资料当事人在向资料保护机构提起申诉前，穷尽自力救济，即个人已经将申诉的事项向资料控制者或处理者反映，但未能达成一致。在案件处理过程中，若双方达成一致，资料保护机构无需作出决定，而若双方未达成一致，资料保护机构应依法作出决定。在必要情形下，资料保护机构还有权采取临时措施，封存资料或中止资料处理。对资料保护机构作出的决定，双方均有权向适格的法院提出异议，但这并不影响决定的执行。⁽³⁶³⁾根据比利时法，资料保护委员会应根据资料当事人的控诉对资料处理进行调查。委员会应首先对控诉进行审查，决定是否受理。对已受理的案件，委员会应尽量发挥其调解功能。若双方达成一致，且对个人隐私提供了法律规定的保障，委员会应以报告的形式说明双方对争议达成的结果。若双方未能达成一致，委员会应对案件的实体发表意见，包括对控制者提出必要的建议。针对案件的具体情况，委员会可作出决定、意见和建议，并将其发送至有关的当事方和司法部。⁽³⁶⁴⁾

(三)调查与执行权

对资料处理开展事先的审计与事后的实地调查，对违法行为根据具体情形采取相应的执行措施是资料保护机构最核心的权力。根据《资料保护指令》，它主要包括三个方面的内容:调查权、制裁权与介入司法程序权。⁽³⁶⁵⁾

1．调查权

作为监督资料保护法实施的国家公权力机关，资料保护机构有权在本国主权范围内对资料处理开展实地调查，确保其合法、合理性。⁽³⁶⁶⁾具体而言，资料保护机构有权主动或应资料当事人的控诉，对某控制者或某个行业中的资料控制者实施的资料处理开展调查，并为此有权进入实施资料处理的场所，查阅资料处理的设备和程序，要求控制者提供必要的信息。从启动方式上看，调查活动可分为资料保护机构主动开展或应资料当事人的控诉开展两类。从开展的时间上看，调查活动可分为事先的审计和事后的调查两种。从实施的对象上看，调查活动包括对特定的控制者实施的特定资料处理进行调查与对某个行业中的多个控制者实施的某类资料处理进行普遍核查。

对资料保护机构实地调查权的范围、条件和具体要求，各国的做法不尽相同。例如，根据奥地利法，应资料当事人的控诉，资料保护委员会若怀疑存在违法行为，可对该资料处理展开调查，要求资料控制者或处理者作出必要的澄清和说明，查阅资料处理系统和有关文件。对须经预先审批的资料处理，即使不存在违法行为的怀疑，仍可对其进行调查。资料保护委员会于通知资料控制者后，方可进入实施资料处理操作的场所，检查运行资料处理的设备，运行需要检验的资料处理操作，并可在绝对必要的情况下拷贝有关信息。⁽³⁶⁷⁾根据丹麦法，资料保护机构可主动依职权或根据资料当事人提起的控诉，审查资料处理活动。⁽³⁶⁸⁾为此，委员会有权要求资料控制者提供有关的信息，包括决定一事项是否属于资料保护法范畴的信息。对代表公共领域中的控制者实施的资料处理，委员会的成员和员工可在任何时候经适当证明其身份后，直接进入处理个人资料的场所。但对代表私人行业中的资料处理，只有处理须经资料保护委员会审批的信息时，委员会才有权开展上述调查。⁽³⁶⁹⁾根据法国法，国家信息与自由委员会的成员和职员可进入与资料处理相关的场所开展调查，但应将该情况向辖区的检察官通报。若场所的负责人反对调查，访问该场所应在法官的授权和监督下进行，法官可一同访问，并可随时停止或中止调查。⁽³⁷⁰⁾根据意大利法，若调查涉及私人的家庭或住所，应首先获得资料控制者或处理者的同意，或经适格的法院批准。⁽³⁷¹⁾根据荷兰法，资料保护委员会可依职权或应资料当事人的控诉对资料处理开展调查，将结果告知有关当事方，并听取其意见。若结果与法律的实施相关，应将其向有关的部长通报。⁽³⁷²⁾为开展上述调查，资料保护委员会有权进入任何居所，而无须经居住者同意。⁽³⁷³⁾

2．制裁权

对可能或已经违法的资料处理操作，资料保护机构有权介入，并采取相应的制裁措施。根据《资料保护指令》，资料保护机构具有介入权，于处理操作开始前发表意见，并确保该意见的适当公开，命令控制者封存、删除或销毁资料，临时或终局性地禁止实施某项资料处理，对资料控制者进行提醒和警告，或将事项提交国家议会或其他政治机构。⁽³⁷⁴⁾总体而言，针对违法资料处理行为，资料保护机构有权采取下列措施:(1)在资料处理开始前或处理过程中，提出意见和建议;(2)在必要情形下，命令控制者采取临时保全措施，如封存、删除或销毁资料，临时或确定地禁止某项资料处理;(3)若不予执行，对资料控制者进行提醒或警告;(4)对严重的违法情形进行处罚。

多数欧盟成员国的资料保护机构均具有介入和制裁权力，尤其是命令封存、删除或销毁资料以及临时或永久禁止违法资料处理。例如，根据丹麦法，资料保护机构有权命令私人资料控制者终止某项非法资料处理，修改、删除或封存处理中的某些个人资料。若资料保护机构认为某种资料处理程序对个人的资料隐私构成了相当大的风险，有权禁止其使用该程序。资料保护机构还有权命令控制者采取某技术或组织性的安全措施确保资料处理依法实施。此外，在特定情形下，资料保护机构还可以对资料处理者作出上述禁止和强制禁令。⁽³⁷⁵⁾在芬兰，根据资料保护专员的要求，资料保护委员会有权:①禁止违反资料保护法实施的资料处理;②命令控制者对违法行为或过失采取必要的补救措施;③违法或过失行为严重损害了资料当事人的隐私权时，命令中止有关的资料处理操作。⁽³⁷⁶⁾在一些成员国，资料保护机构可采取的临时保全措施比较有限。例如，德国和瑞典的资料保护机构无权命令控制者删除或销毁资料。⁽³⁷⁷⁾

在实践中，即使发现严重的违法行为，如未对资料处理进行通报、审批和登记，资料保护机构一般首先对控制者发出提醒、建议或警告。除非控制者对此不予理睬，资料保护机构就不会采取强硬的制裁措施。对资料处理开展预先性的审计，由于成本过高，以及资料保护机构自身资源的短缺，多数国家并未将它作为一项重要的资料保护措施。对违法资料处理，只要不是特别紧急的情形，资料保护机构往往过于重视调解和调停等软方法的作用，而未给予行政制裁、罚款和提起刑事诉讼程序等强制措施充分的重视。资料保护机构的调解等软方法具有很大的主观性，自由裁量权过大。违法行为的处理结果往往成了资料保护机构同资料使用者间讨价还价的博弈。这与资料保护机构自身的公共性质，及其作为公权力机构代表国家保护全民的资料隐私的基本职责显然相背。当然，这不意味着资料保护机构不可同资料使用者就违法资料处理进行协调和沟通，但只要事实清楚、法律明确，就应当依法采取必要的强制措施，确保资料控制者依法实施资料处理。

此外，对资料保护机构而言，其制裁和执行权力是一种内在的强制性，资料保护机构在作出提醒、建议和警告过程中，可挥舞该隐形的大棒，增强其在协调和谈判中的地位和力量。另一方面，仅通过软方式达到理想的结果也并非毫无成本。往往，资料保护机构与资料控制者之间达成的结果对资料当事人而言并非理想的解决方案，也不能保护个人权利。资料保护机构与资料使用者之间通过协商等软方式处理有关问题也不能保证结果的公开。协商等软方式也可能使资料使用者将资料保护法误认为是一种软法而不具有强制执行力。针对资料当事人提起的控诉，资料保护机构采取的相应措施也具有上述特征。资料保护机构首先与资料使用者取得联系，以调解员的身份居间并提出解决问题的意见和建议，尽力促成双方以友好方式解决争议。若有关问题清晰明确应直接依法处理。对复杂的争议，资料保护机构可斡旋其中，尽量协调资料当事人与资料使用人的利益。

为督促资料使用者依法处理个人资料，不少国家的资料保护机构有权采取众多强制性的制裁措施。例如，法国国家信息与自由委员会可以对违法资料使用者提出警告，命令其在规定的期间内停止资料处理。若资料控制者不遵守命令，委员会可经正当程序对控制者施加经济处罚，作出停止处理操作的禁令，或撤销有关批准。在紧急情形下，若个人资料的处理或使用侵害个人的基本权利和自由，经双方申辩后，委员会可裁定中止处理，或封存已处理的个人资料。对严重侵害个人权利和自由的紧急情形，委员会可通过建议程序要求适格的管辖机关采取必要的制裁措施。⁽³⁷⁸⁾根据荷兰法，若控制者未遵守有关资料处理通报的规定，资料保护委员会可对其课以罚款。⁽³⁷⁹⁾

对违法资料处理提起刑事起诉是非常罕见的，一般仅用来应对严重的违法者，例如经屡次警告，公司仍非法运作个人资料库而不依法进行通报或由资料保护机构加以审批，或虽经资料保护机构警告，仍向境外非法转移个人资料，或故意买卖保密性的个人信息等。国家资料保护机构无权作出刑事处罚，它们只能将涉及刑事犯罪的行为提请检察机关注意，并介入刑事诉讼程序。⁽³⁸⁰⁾

3．介入司法程序权

根据《资料保护指令》，资料保护机构可将违法行为提请司法机关注意，并有权介入有关违反资料保护法的诉讼程序。⁽³⁸¹⁾对于资料保护机构介入司法程序的权限，欧盟各国的做法不尽一致。在有些国家，资料保护机构有权直接起诉违法行为，并对其进行处罚，而无需将案件提交法院，如西班牙和意大利。⁽³⁸²⁾多数国家的资料保护机构在调查资料处理过程中，若发现违法行为，应将其提请司法部门注意，并可在一定情形下介入到司法程序中。例如，根据奥地利法，若认定私人行业中的资料控制者严重侵害了个人的资料隐私，资料保护委员会应向法院起诉。同时，应资料当事人的请求，为保障众多资料当事人的合法权益，资料保护委员会可根据民事诉讼法的规定，作为第三人介入诉讼程序，并为资料当事人提供必要的协助。⁽³⁸³⁾对刑事犯罪和行政违法行为，资料保护委员会有权向适格的法院和行政机关起诉。⁽³⁸⁴⁾根据德国法，对与资料处理有关的犯罪行为，联邦资料保护与信息自由委员会与州的监督机关可提起诉讼。⁽³⁸⁵⁾根据法国法，国家信息与自由委员会应根据刑事诉讼法的规定向公诉人通告其在审查资料处理过程中发现的犯罪行为，并可在诉讼程序中对案件发表意见。⁽³⁸⁶⁾

虽然对多数资料处理的违法行为，资料保护机构可通过建议、警告、命令等软方式加以纠正，但有些行为一旦构成严重的行政违法或犯罪，且资料保护机构无权直接进行处罚，它就应提请司法部门的注意，并积极地介入司法程序，协助调查，发表意见或作证。对有关资料处理的民事诉讼，资料保护机构不应过多干预，而一旦资料处理涉及的受害者人数过多，它应积极地介入民事诉讼程序，给资料当事人提供必要的协助。

(四)跨境资料保护职责

如上所述，对内，资料保护机构具有广泛的职权。对外，作为国内资料保护的信息中心，资料保护机构在资料跨境保护中应扮演信息共享者和交流员的角色。作为有权对本国的资料处理开展审计和具体调查的机关，资料保护机构应在跨境资料处理的审计和调查上开展互助与合作。作为资料处理争议的解决者，资料保护机构应在解决有关跨境资料隐私的争议过程中对境外的资料当事人提供必要和适当的协助。在资料隐私跨境保护合作的具体内容上，各国的资料保护机构应以信息共享为前提，以调查和执行互助为核心，以协助境外的资料当事人为重点。在合作形式上，各国既可以开展双边合作，尤其是两国对特定领域中的个人信息使用和跨境转移商定互助性的合作机制，更应该通过区域或国际性的组织开展多边与国际合作。⁽³⁸⁷⁾

五、由个人资料的卫兵至资料保护的调控者

纵观资料保护机构的发展历程，科技与资料保护模式的革新与沿革一直引领着资料保护机构不断前行。20世纪70年代，计算机在政府领域的普及与资料库的大批量创设和运作导致西欧诸国与美国率先制定了资料保护法，规制政府机关的资料库的创设和运作。此时，资料保护机构仅致力于对资料库的创设进行登记，对资料库的运作进行监督。随着计算机等信息处理技术在私人行业的推广及个人电脑的普及，资料处理不再是政府的特权，企业纷纷大量收集、处理和使用个人资料。在这种情况下，欧洲将资料保护法的适用范围由政府机关的资料库转移至公私领域中的资料处理活动。资料保护机构的功能也随之不断强化，它们不仅要对资料处理活动进行登记、审批、审计、调查和处罚，还要协助个人行使其资料权利。如今，在互联网等技术的推动下，资料处理活动不但在范围上更广，形式更加隐蔽，且打破了地域的限制。不论一国的资料保护机构多么强大，对内它都无法全面有效地监督资料处理活动，对外它也难以监管跨境资料转移活动。

实际上，资料保护机构面临的挑战正是传统资料保护理念和资料保护模式面临的困境。这并不意味着我们应抛弃传统的资料保护理念和资料保护模式，置资料保护的社会性和社会价值于不顾，放弃以资料保护机构为中心的资料保护执行机制。相反，我们应改变单方面增强资料保护机构职权、增大对资料保护机构投入的思维，使它成为宏观调控资料处理活动之手，而非事无巨细必躬行的个人资料保护的宪兵。换言之，资料保护机构必须完成一个角色的转变:由个人资料的卫兵转变成资料保护的宏观调控者。资料保护机构宏观调控下的事先审计、内部资料保护专员和行业自治正是这种思路的最好例证。

相对于被动的事后调查，资料保护机构可通过对资料处理活动进行事先的审计避免问题的发生，提升资料使用人守法的积极性。根据某行业中资料处理的重要性、普遍性与资料的敏感性，尤其是公众对其提出的控诉水平，国家资料保护机构可有计划地对该行业中的资料处理进行事先审计。作为一个与环境问题具有类似溢外性的社会问题，资料隐私有待国家通过公权力从宏观的层面，事先为公民构建高水平的资料保护水平。因此，由资料保护机构对特定行业中资料使用者实施的资料处理进行审计，向其说明资料保护法在该领域具体适用中的问题，提醒其遵守有关的法律法规，并对违法行为进行必要的制裁，这些都有助于从宏观上保障个人的资料隐私，事先对高风险的资料处理进行审计，避免事后救济面临的困境。《资料保护指令》描绘了一个理想化的资料保护机构，它像一个便衣警察，有权对特定行业中资料控制者实施的资料处理进行事先审计，向控制者说明有关问题，建议其应采取的措施，并对违法行为进行必要的制裁。当然，在这一点上，成员国的做法不尽相同。例如，在荷兰，其资料保护委员会对特定行业中的资料控制者开展了极其严格的隐私保护审查。而在英国，未经资料控制者的同意，信息专员无权对其资料处理进行此类审查。⁽³⁸⁸⁾

资料使用人任命内部资料保护专员，并由专员监督其依法实施资料处理，这一做法源自德国。⁽³⁸⁹⁾现行的德国资料保护法从以下几个方面全面规定了内部资料保护专员制度:哪些资料使用人应设立专员，专员应具备的专业知识和独立性，专员的职责及其同国家资料保护机构的关系。⁽³⁹⁰⁾借鉴德国法，《资料保护指令》允许资料控制者依法任命个人资料保护专员，由其以独立方式确保资料保护法在控制者内部的适用，对控制者实施的资料处理进行登记，并确保资料处理不对资料当事人的权利和自由造成不利影响。⁽³⁹¹⁾此外，荷兰、瑞典和卢森堡法也作了类似的规定。虽然内部资料保护专员制度存在一定的不足之处，⁽³⁹²⁾在资料保护机构无法有效地自上而下执行资料法的情况下，它已经成为国家资料保护机构的有力助手，也成了监督资料保护法实施的重要途径。毕竟，专员具有丰富的知识和经验，处于资料处理活动的第一线，具有第一手的资料和信息，更了解资料控制者或行业组织实施的资料处理的具体情况，可因地制宜地提出更可行的指导、意见和建议。

行业自治并非美国信息隐私保护模式的特有制度，欧盟建立了资料保护机构宏观指导下的行业自治模式。欧盟《资料保护指令》不仅鼓励成员国发展以行为守则为主要形式的行业自治，还要求资料保护机构引导私人行业的代表机构起草资料处理行为守则，认定守则是否与资料保护法相符，征求资料当事人和资料使用人的意见，并加以推广。⁽³⁹³⁾荷兰资料保护法不仅明确了行为守则在资料保护体制中的地位和作用，⁽³⁹⁴⁾该国资料保护机构还根据贸易、服务、劳工、社会保障、健康和福利、治安、司法与政府等领域中资料处理的具体特点，制定了相应的行为守则。⁽³⁹⁵⁾

应该说，上述三种制度和方法实质上提升了资料保护机构在资料保护上的职权。与其高高在上，空喊资料保护的口号，资料保护机构倒不如深入民间，通过各种宏观调整手段，借助内部资料保护专员和行业自治机构等媒介，自下而上地提高资料保护的水平。

至今，我国还未制定资料保护法，也未设立专门的资料保护机构。在这方面，闭门造车注定是徒劳之举。借鉴欧洲和美国已有的立法和实践，基于我国的国情和需要制定一部全面、高效的资料保护法乃当务之急。为了充分调查我国的个人资料处理状况，为立法做准备，我国可先设立资料保护工作小组。鉴于资料保护问题的社会性、我国民众资料权利意识的薄弱、资料使用人守法意识的欠缺，加上人民万事求诸政府的心理，资料保护法应明确规定国家资料保护机构的设立和运作。我们不妨将其称为“中华人民共和国资料保护委员会”，它由全国人大产生，并对其负责。资料保护专员可由人大常委会提名，由国家主席任命。资料保护法还应赋予其广泛的职权，使它能够当好资料保护的调控者和卫兵，扮演好资料保护的宣传员、教育者、咨询人员、政策建议者、审计人员、调查人员、法律监督和执行者以及谈判者和外交家等角色。