本人应知悉的事项应如何规定,我们认为应以能保证本人的权利为准。一般来说应该包括以下事项:收集人名称、法定代表人、联系方式、主要营业地;信息将用于何种目的、用途、潜在的信息接收者,包括但不限于可能参与信息交易的第三方;收集个人资料的性质;如收集方法并非易见,收集方法;告之个人信息的提供是自愿的,或是必要的,及不提供所要求的个人信息的后果;采用何种措施保证信息的秘密性、完整性和质量。
(四)删除、修改、补充权。即本人对个人资料不正确、不完整的部分要求删除、更正、补充的权利。
英国资料法规定如果法庭经资料本人的申请,同意属于申请人的个人资料是错误的,法庭可以命令资料控制者修改、封锁、删除或销毁这些资料和任何其他的属于该控制者控制的、包含了被法庭认为是建立在错误观点上的资料(第14条)。德国资料法还规定了封锁。所谓封锁是指为限制继续处理或利用,而对已存储之个人资料附加符号。只要法律规定保存期间或合同排除任何删除或者有理由认为删除将损害资料本人的合法利益或删除是不可能或要用和特定存储的类型不成比例的努力才可能,则个人资料应被封锁,而不是删除。机关确认在特定情况下,如果不封锁,资料本人的合法利益将被损害且机关也不再需要该资料来执行职责,则个人资料应被封锁(第20条)。封锁是德国法里规定的比较有特色的处理方式,不同于删除、销毁,也不是修改。
对资料进行删除、更正、补充等,必须先证明或确认个人资料存在不正确、不完整的情况,这种情况又应该由谁来证明或确认呢?我国台湾“电脑处理个人资料保护法实施细则”将这种证明责任赋予本人,其中第25条规定当事人向公务机关请求更正或补充其个人资料时,应提出足以证明之证据。而以上英国法也是由本人提出申请,法庭确认是否资料错误,举证责任也在本人一方。
(五)请求救济权。即资料本人的权利被他人侵害并造成损失时,有权请求救济。
各国均对本人获得司法救济予以规定。另外在建立了个人资料保护监督机构的国家,本人在权利被侵害时,也可向监督机构请求救济。
六、收集者的义务登记是指由资料使用者就特定内容向资料登记机构登记。登记的目的是为了记录那些拥有个人资料组织和个人以及他们收集、利用这种个人资料的目的,它还记录个人资料的来源,以及透露给第三者和是否可以转移到国外,并让公众可以查阅。
1998年英国资料法第17条规定,资料控制者没有在资料保护委员处登记,不得处理个人资料。登记的事项包括:他的名字、住址;他已经指定了为了法案的目的的代理,该代理的名字和住址;正在被或将被以资料控制者的名义处理的资料和不同资料本人所属的种类的描述;资料被处理或将被处理的目的;任何接收人或资料控制者将要或可能揭露这些信息的接收者的描述;在欧洲经济区以外,资料控制者直接或间接传输或将要或可能传输资料的国家的名字或描述;为了遵守第7项资料保护原则(即应采取适当的安全措施防止非法接触、更改、泄露或毁坏个人资料,和个人资料的意外遗失或销毁)所采取的措施的概述(第16、18条)。在接到资料控制者发出的通知后,委员应该考虑任何与通知有关的处理是否评估处理(assessableprocessing),如果是,该评估处理是否符合本法案的规定。委员应该在接到通知后28天内告诉资料控制者,该资料处理是否符合法案规定(第22条)。资料控制者违反通知义务即违法(第21条)。由此可见,向有关机构进行登记是进行个人资料处理许可的先决条件。除了可能使用豁免的情况以外,不经登记就拥有个人数据是违法行为。我国台湾“资料法”也规定非公务机关进行个人资料收集、电脑处理或国际传输及利用应该经目的主管机关登记并发给执照(第18条)。征信业及以收集或电脑处理个人资料为主要业务之团体或个人,应经目的事业主管机关许可并经登记及发给执照(第19条)。即在以上两国或地区登记不仅是资料收集者、使用者的义务,还是进行资料处理的前提条件,不经过登记不得为资料的收集处理。
而欧盟等立法则对此作出了不同的规定。根据欧盟95指令第18条规定,在进行全部或部分自动化处理操作或为了单一或几个相关目的而进行的整套操作之前,必须通知监督机关。我国香港私隐条例规定资料使用者须向私隐保护专员呈交一份资料使用者申报表,该申报表须载有由该申报表就该资料使用者规定须有的定明资讯(第14条)。专员须根据该申报表备寸及维持一份呈交该等申报表的资料使用者的登记册。登记册应就呈交申报表的资料使用者,载有在该申报表中提供并且是专员认为合适的资讯的详情(第15条)。登记册可供任何人免费查阅(第16条)。即在欧盟与香港,仅需通知或向专员申报即可。
在主管机关处登记有利于主管机关对资料的收集处理进行监控,从而有利于保护本人的权利。但同时主管机关还要对申请人的申请进行审查,势必增加主管机关的工作量。而且“从数据保护的观点而言,若能将规范对象、保护客体及准许进行收集之情形清楚规定,便足以保护个人之信息隐私。参考欧盟之立法,其对于行政机关之监督程序亦仅止于企业体须报备或通知主管机关而已”,所以欧盟、香港的立法更为可取。
七、监督机关
在欧盟95指令第28条中规定每个成员国都应该规定一个或多个机关以负责监督在其领土内根据该指示所采取的执行情况,并对该机关的权利和职责进行了规定。在德国、英国、荷兰、我国香港等国家和地区都设立了这样的监督机构。而美国由于采用分散式立法的形式,不可能有这样对资料保护进行监督的机构。
设立了监督机关的国家,对监督机关所赋予的职权,又表现出极大的不同。如法国法设置“资料处理与自由全国委员会”,该委员会监督本法规的执行,具有相当独立性。委员会得以决议方式,颁布行政法规,刊载于政府公报,掌有行政立法权。委员会为防止资料系统对个人隐私的侵害,得依职权或依申请采取有拘束力的有效措施。与上述法国法的强力机关不同,德国法的监督机关其一般的监督权限,仅为申述的处理。
我国在未来制定个人资料保护法时,应参考欧盟国家的做法,设立监督机构,其法律地位应该是独立的。其职责应包括:1对个人资料保护法的执行进行监督,制定个人资料保护法实施细则;2接受申诉,为资料本人提供救济;3对个人资料保护行业自律进行指导、监督。
八、跨国流通
欧洲议会公约第12条规定,一方不得为了独自的保护隐私的目的,禁止个人资料的跨国流通。除非在该方的法律对特殊种类的个人资料、自动化个人资料档案有特别保护的规定,或传递会违反该国的法律。相同的是,经济合作与开发组织在OECD指针中也作出了资料跨国传输自由化的规定(具体内容见(第一节)介绍)。然而,也有主张对资料跨国流通进行限制的,其理由主要有:
1隐私权的保障。隐私权的概念很难作确切的定义,但主要是指不足为外人道或不愿为外人道的事项的秘密、利益。应该肯定,这种对个人隐私保留神秘的期待利益,保护的对象并不以见诸档案或形诸文字为限,由于存储在电脑库或资料库的资料,可能未经事先同意或照会,即被无权取阅,造成对资料主体不利的后果。资料被输往外国处理,脱离国人之掌握,问题尤更严重,因此乃有应限制资料跨国流通的主张。
2文化侵略的抵御。文化、知识水准的差距,难免使发展中国家一方面惟已开发国家的马首是瞻;另一方面则对民族意识的丧失与价值观的飘摇忧心忡忡。为避免文化之萎缩或被侵蚀,乃有极力反对资料跨国流通自由化者。
3经济伤害的预防。开发中国家往往认为,资料跨国流通使得资料脱离本国之掌握,将来再需要使用该资料时,即需以高价买进,且买进之资料也可能是不完整的,而且资料往往与本国自然资料之分布或构成有关。为维护本国之经济利益,当然应予限制。
4资料主权的假设。有的国家认为,发展资料工业乃是国家必须要走的路,跨国资料流通使国内资料工业仰人鼻息,无法自主,等于丧失了本国之资料主权,故应予限制。
我们认为,过度限制资料跨国流通,在全球资料迅猛发展的今天是不现实的。资料的流通越来越频繁,国与国之间依赖性越来越大,而且多数国家赞成自由流通,过度限制,无异于孤立自己。另外,资料社会中提升文化水准最便捷、有效的方法,便是参考他国既有的资讯与经验,减少不必要摸索,资料跨国之流通,不仅不至于造成文化之萎缩,适足以促成本国文化之更新。虽然各国多赞成资料应予自由流通,但是各国对“自由”的定义却因立场相异而大有不同。对美国而言,资料自由流通的定义是资料得全无限制或限制极少地进行跨国流通。相反地,对多数开发中国家及欧盟国家而言,资料的自由流通,却是代表着流通国家间对等的、平衡的流通,即流通国家间,必须在资料保护上、限制流通种类上等,有相同的保护以及近似的规定,避免因规定的不同而造成两国在文化、经济利益上的不平衡。我们认为,从资料保护的角度考虑,如果接受国不能提供相当的保护水平,资料本人的权利在资料被流通后很难得到保障,所以毫无限制的自由流通也是不可取的。更何况欧盟要求只有当第三国确保能够提供充足的保护时,才能向第三国传输个人资料,故一味地追求无限制流通只能是一厢情愿。
