2019-10-12 来源:安全付 作者:Memory
1.欧盟的经验
1995年6月25日,欧盟通过《保护个人享有的与处理个人数据有关的权利以及个人数据自由流动的指令》。该指令旨在力图防止个人数据被滥用并寻求厘定出一套全面详尽的规则,包括仅能为特定、明确和合法之目的收集个人数据,并且仅能持有具有相关性、准确性和实时性之数据义务。指令要求所有的数据处理均须具备正当的法律依据,并且,正如欧盟委员会在通过该指令的声明中所指出的,该指令为“数据主体赋予了一系列重要权利,包括:有权获取数据,有权知道数据源自何处(如果这样的信息可知的话,有权要求纠正不正确的数据,有权对不法处理数据者诉诸法律,有权在某些情况下收回其允许使用数据的许可等”。该指令在其施行条款中声明,隐私权是自然人的一项基本权利和自由。不仅涵盖自动化方式的个人数据处理,而且也涵盖可处理个人数据的其他形式一只 要它构成了或者要意图构成某个文档系统的一部分。
指令将个人数据本身定义为是与某个自然人或者与某个能够确定其身份的人有关的数据,其身份之确定可以是通过身份号码,也可以是参照某些特性因素,比如:身体的、心理的、精神的、经济的、文化的或者社会的特征。对个人数据的处理仅在:数据主体明确而不含混地予以同意,即该人 “在被充分告知后自愿地”表明“他同意对他的个人数据进行处理的意愿”;为履行数据主体是其中一方当事人的合同或是应数据主体之请求而订立的合同所必要;为了保护数据主体的重大利益;负责数据处理之人为了履行某一法律义务;或者为了公共利益而完成某项任务所必要的前提下方可为之,有各种例外规定者则不在此限。数据主体可以以“与其特殊情势有关的重大和合法的理由”对处理与他有关的数据提出反对。其对个人数据所下的定义是:“有关一个被识别或可识别的自然人(数据主体的任何信息: 可以识别的自然人是指一个可以被证明,即可以直接或间接的,特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”该指令原则上要求成员国必须确保个人数据其处理是公正而合法的;其收集是为了特定、明确和合法之目的,并且进一步的处理方式没有违背上述目的;其具有准确性、相关性、并且没有超出与数据收集或进一步处理有关的目的;其具有准确性,并且如有必要时保持时新性;其保存形式能够使得在数据收集或进一步处理之目的所必要的时限范围内对数据主体进行识别验证。
另外,数据主体对其个人数据的处理可以提出反对的权利并不限于要有“重大和合法的理由”。对于直接以市场营销为目的进行数据处理的,他也有权提出反对。应在数据第一次被披露给第三人的时候向该数据主体免费进行告知,以使他得以对直接以市场营销为目的进行的数据处理提出反对。
指令原则上赋予数据主体不受那些会对其产生某种法律后果或者会对其有显著影响的数据处理结果制约的权利,如果这些结果是“基于评估他的某些个人状况,比如工作表现、信用程度、可靠程度、行为举止等为目的”而单纯以“自动化的数据处理”为基础得到的。不过,指令中也有许多例外认可此类数据处理结果的效力,如果这是依据合同,如果“有适当的措施来保障数据主体的合法利益,比如允许他可以提出抗辩主张的安排;如果有法律授权,而且该法律也规定有保障数据主体合法利益的措施”的话。
2.美国与英国的经验
进入电子商务时代后,美国政府为了促进电子商务的发展,以确保在未来的全球竞争中继续居于领先位置,响应人们的呼声,颁布了一些法令: 1998 年6月美国联邦贸易委员会(FTO)发布了一个报告,声称web站点未能充分保护消费者的隐私;此后不久,美国商务部就提出了保护人们私人上网信息的指导原则。1997 年7月克林顿总统发表《全球电子商务框架》,在这篇对开展电子商务有着重要指导意义的文件中,克林顿总统对保护个人隐私权问题做了透彻的分析。在美国商务部关于保护人们私人上网信息的指导文件中规定:当;web站点收集用户信息和使用这些信息时,应当公布有关指导原则;应给予来访者有选择地确定怎样使用信息;在未经患者同意的情况下,患者的医疗信息不得透露给他人;当隐私政策受到侵权时,有侵害行为者应当承担责任。
而在以判例法为主要形式的英国侵权行为法中,对个人隐私权的保护采取了一种比较保守的态度,侵害隐私的案例经常被纳入其他侵权行为的范畴,比如侵害名誉的范畴等。不过,近年来英国在隐私权保护方面的立法实践亦有所进展。1984 年,英国沿袭《欧洲数据保护公约》的内容制定了《数据保护法》(Data Protection AcD)。该法延续至今,适用于电子商务领域。
3.加拿大的经验
在加拿大,除魁北克省外,还没有和电子商务有关的针对隐私权问题的综合法律,但是,在许多和特定行业相关的联邦法律中规定了在特定情况下要保护隐私权。如加拿大《银行法》1961.C.46要求银行采取相关措施来限制个人秘密信息的使用。1994 年,联邦政府建立了信息高速公路咨询委员会(IHAC)。IHAC 的使命是检查互联网应用的各个方面,它曾建议保护个人信息,而且联邦政府也已经同意提交与个人领域隐私权相关的法律。即将制定的新隐私法可能会采用加拿大标准协会出版的《个人信息示范法》。《个人信息示范法》的目的是为个人信息管理提供一系列原则,为了保护个人信息提出对信息保护的最低要求,并且增加公众关于如何保护个人信息的认识。该文件提出10条原则。
指定负责人:为了对所控制下的个人信息数据负责,组织应指派专人负责保证组织的行为能符合以下原则; .
鉴定收集目的:在信息被收集前及收集之时,组织应对收集信息的目的加以鉴定;获得个人同意:收集、使用与透露个人信息的前提是告知该人并取得其同意;限制收集:应将信息的收集范围限制在由组织鉴定过的目的范围内,应通过公正与法律的手段来收集;限制使用、透露与保存:个人信息除了为其被收集的目的服务外,不应被随意使用或透露(除非经个人同意或出于法律需要,在达到所限定的目的之前,个人信息可以被长时间保存;准确性:个人信息应准确、完全,并能得到不断修正,从而满足使用者对数据准确性的要求,达到应用目的;保密性:应采用对信息敏感性较为合适的安全措施对个人信息加以保护;开放性:组织在个人数据管理方面采取的政策,以及组织将采取的管理措施方面的信息应让个人知晓;个人的相关权利:根据个人的要求,在个人知道关于本人的信息的存在、使用与透露的情况下,个人应该可以知道本人信息的具体内容;也允许个人对信息的准确性与完整性提出质疑,如果所提要求适当,可以对本人信息加以修改;监督以上原则的贯彻情况:当怀疑组织是否符合以上原则时,个人可以向第一点所提到的负责人提出质疑。
4.德国的经验
1997年,德国颁布了两项几乎平行的法律:《联邦政府信息与通信服务法》和《州内媒体服务法》,其中--部分规定了电子支付中的隐私权保护问题。
在电子现金的传递过程中,个人数据的存储是不可避免的,所以就会出现数据保护问题。在德国,有些系统已经开始尝试使用匿名机制,但是问题要得到彻底解决,显然还需要专门的《银行隐私法》。 目前则只能采用已有法律,如《银行机密法》。当然,传统的数据保护法所作的约束仍然有效。二者一定要结合起来应用,原因有两个:首先,因为《银行 机密法》只在受保护的数据被网络银行传递给第三方时才起作用,而对银行内部存储和使用数据问题不作限制;其次,数据一般是经过收款人的许可后被存储的,收款人本人不一定会遵守银行的保密机制。为了实现个人数据的存储与使用的最小化,将这两种法律结合应用是目前的最佳抉择。
