“足够保护”标准对全球个人信息保护制度影响.docVIP

“足够保护”标准对全球个人信息保护制度的影响 　　[摘 要] 欧盟《数据保护指令》(以下简称指令)第25条有关欧盟成员国公民个人信息向非成员国境内传输的要求，对欧盟与其他国家之间的商务贸易、尤其是电子商务贸易构成了潜在的障碍和威胁。为了消除这种障碍和威胁，包括美国在内的许多国家不得不通过各种方式以达到其“足够保护”的标准。凭借其强大的市场竞争力，欧盟《指令》所确定的“足够保护”标准对其他国家的个人信息保护制度产生了重大影响，从而导致个人信息保护制度在立法模式、保护原则和标准等方面出现高度的趋同性。 　　[关键词] “足够保护”标准；个人信息保护；影响 　　[中图分类号] F114.41 [文献标识码] A [文章编号] 1006-5024(2007)04-0132-03 　　[作者简介] 向玉兰，佛山科学技术学院法律系讲师，法学硕士，研究方向为经济法。(广东 佛山 528000) 　　 　　随着网络信息技术的发展和经济全球化进程的加快，个人信息不断被人误用或滥用，个人信息隐私面临前所未有的威胁。为了保护个人信息隐私，保障个人信息安全，不少国际组织和国家先后建立了个人信息保护制度。需要特别指出的是，在20多年的发展历程中，现有的个人信息保护制度越来越表现出高度的趋同性。本文试图从欧盟《指令》的域外适用对其他国家和地区立法产生的影响，说明保护标准的趋同性对中国个人信息保护立法的借鉴作用，并提议建立国际个人信息保护体系。 　　 　　一、OECD《隐私指南》和EU《数据保护指令》 　　 　　(一)OECD《隐私指南》。1980年9月23日通过的《关于保护个人隐私和个人信息跨境流通指南》即OECD《隐私指南》是第一部比较全面地保护个人信息的多边立法，适用于公共部门和私营部门的个人信息保护，保护因处理方法、信息特征或使用环境等原因而受到伤害的个人信息。《指南》要求各成员国采取适当的国内立法，鼓励和支持自律模式，采取合理措施帮助个人行使其权利，若信息控制者违反隐私政策，要保证能够启动救济和执行机制，提供充分的司法救济措施，确保个人信息主体不受歧视。 　　《隐私指南》第二部分第7-14条规定了个人信息境内流通的八大原??，同时确立了“自由流通和合法限制”的个人信息跨国流通原则。《隐私指南》虽然为各成员国提供了个人信息保护的一般原则和最低保护标准，但具体政策措施则由各成员国根据其各自不同的政治、经济和文化背景以及各国的国家利益和主权权利等确定。OECD《隐私指南》的颁布与实施引起了国际社会对个人信息隐私保护问题的普遍关注，推动了各国、各地区的个人信息隐私保护立法。 　　(二)EU《数据保护指令》。欧盟1995年通过、1998年生效的《关于个人数据处理与数据自由流通的保护指令》即《数据保护指令》承袭了OECD《隐私指南》中所确定的基本原则和标准，适用于任何个人信息(本文用“信息代替”《指令》中的“数据”data以统一全文的术语)处理，不受部门和使用环境的限制(公共安全和公共政策除外)。《指令》对信息控制者采取事前干预措施，并允许个人对其本人的个人信息行使事后控制权。信息控制者在处理信息之前必须履行一定义务，如将其身份或其代理人的身份和收集信息的目的告知信息主体；只能为特定目的收集和使用信息。但有些义务受一定例外情况的限制，如《指令》要求信息控制者在信息主体明确表示同意的情况下才能处理个人信息，但在下列情况下，即使没有取得明确的同意，信息控制者也可以处理个人信息：(1)为了履行信息主体为当事人的合同需要；(2)为履行法律义务需要；(3)为保护信息主体的主要利益需要；(4)为了公共利益、或为了行使官方权力而必须对其披露的信息；(5)为了信息控制者或第三方的合法利益所需，除非该合法权益藐视了信息主体的基本权利和信息自由。很明显，《指令》第7条给信息控制者提供了许多灵活的操作，在大多数情况下，他们可依赖这些法律除外条款排除自己在未征得信息主体同意的情况下而处理信息的责任，因此，他们在收集非敏感性个人信息时尽量避免征得信息主体的同意。然而，《指令》特别要求，在个人信息因为直销目的而首次向第三者披露之前，必须告知信息主体，该主体有权反对披露或使用其个人信息。而且，对关乎信息主体重要利益的敏感信息，一般是禁止利用或处理的，或只能在用户通过查看表示其同意或通过定入选择表示其同意的情况下才能对其信息进行处理。敏感信息包括有关种族、民族、政见、宗教信仰或哲学信仰、工会会员资格、健康和性生活等方面的信息。 　　根据《指令》第16-17条赋予个人的事后控制权，个人对其自己的信息拥有永久的访问权，有权获得有关自己的信息副本并更正错误信息；有权了解其信息控制者的身份及其使用信息的方法，并有权阻止信息控制者将其收集到的个人信息用于非特定或非法目的。