书城法律个人资料保护法原理及其跨国流通法律问题研究
9400000000045

第45章 侵害个人资料的法律责任(2)

1国家机关侵害个人资料行为与非国家机关侵害个人资料行为依据侵权行为主体的不同,可以将侵害个人资料行为分为国家机关侵害个人资料行为与非国家机关侵害个人资料行为。德国资料法和台湾“资料法”将其作为法定的区分方式明确地规定于法律之中。美国关于个人资料保护的成文法大多就行政机关的职权予以规制以避免公权对私权的侵犯,而商业目的收集利用个人资料的主体行为以自律为指导思想,避免制定严格的法律对电子商务发展产生过多的阻碍。但是《儿童网上隐私权保护法案》是个例外,该法案立法目的主要是加强对上网儿童个人资料的保护,从另一个方面表明上网儿童个人资料被侵害的严重程度。因此,从理论与实践上讲,美国也是采用了此种分类。行为人是国家机关还是非国家机关,决定了其收集处理利用个人资料有不同的目的、条件和方法,因此,他们所为侵害个人资料行为的种类、表现、责任的确定、构成要件、归责原则、免责事由、对个人资料本人的救济方式和赔偿数额等问题都会有显着的差别。某些特殊个人资料如刑事、户籍、税收等类型档案中所包括的个人资料就大量为国家机关掌控,国家机关对于这些个人资料往往负有保密、不予公开的义务。因此,不当公开与泄露上述个人资料成为国家机关侵权的一个重要方面。对于非国家机关而言,由于没有持有这些资料的权力,对于这些资料的侵权行为的具体情况及法律适用也将与国家机关侵权不同。各国对于国家机关保有个人资料的商业利用一般持禁止的态度,即禁止以个人资料的交易来牟利,如美国隐私权法(l)(n)“邮寄名单”规定:行政机关不得出售和出租个人的姓名及地址记录,除非经过法律的特别授权。而对于非国家机关在法律允许范围内的个人资料商业利用是一种普遍存在的现象,无论是非国家机关还是个人资料本人都有利可图。

2侵害敏感个人资料行为与侵害琐细个人资料行为

依据被侵害的个人资料是否涉及个人隐私,可以将侵害个人资料行为分为侵害敏感个人资料行为与侵害琐细个人资料行为。典型立法例是欧盟95指令的相关规定。该指令第二章“对个人资料的合法性的一般规定”(第三节)“处理的特殊标准”第8条“特殊资料处理”:1各成员国应禁止处理显示种族和民族起源、政治观点、宗教或哲学信仰和工会资格的资料,并禁止对有关健康和性生活有关的资料进行处理。欧盟各成员国根据该指令也纷纷制定和修改本国的个人资料保护立法。其中,荷兰关于敏感个人资料规定于其1998年12月14日《个人资料保护法》第二章“个人资料合法处理的条件”(第二节)“特殊个人资料处理”第16条:禁止处理涉及该人宗教、人生观、种族、政治信仰、健康、性生活及贸易联盟身份的个人资料。法国1978年1月6日的《法国计算机与自由法》第31条规定:敏感资料不论直接与否都足以表现个人所属人种和种族来源、宗教信仰和哲学信念、政治观点、所参加工会等个人资料。鉴于其中不含有欧盟1995年10月24日指令第8条中所规定的“个人健康和性生活”的个人资料,法国在修法过程中会相应把这些个人资料也纳入第31条的规定中。敏感资料以外的具有识别性的资料为琐细个人资料,在《法国计算机与自由法》中被称为个人记名资料,即不论以何种形式,也不论处理程序是由自然人还是由法人进行的,可以直接或间接地使人认证信息所指的自然人身份的资料,又分为直接个人记名资料(即姓名、出生日期及出生地)和间接个人记名资料(包括电话号码、照片、录音、遗传龋型、社会保险号码或信用卡号即能够间接地帮助辨认个体的资料)。欧盟1995年10月24日指令第一章“一般规定”第2条“定义”中规定:个人资料指任何与已经确认的或可以确认的自然人(个人资料本人)有关的信息;可以确认的自然人是指直接或间接地参考他的识别号码或他所特有的身体、生理、精神、经济、文化和社会识别等众多因素中的一个或几个可以对其进行确认的人。荷兰《个人资料保护法》第一章“总则”第1条规定:个人资料指涉及个人的已被识别或可被识别的任何资料。我国台湾“资料法”第一章“总则”第3条规定:个人资料指自然人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业健康、病历、财务情况、社会活动及其他足资识别该个人之资料。美国隐私权法中称为“记录”,指行政机关所保有的关于个人的资料、资料集合或资料分类,包括但不限于该个人的教育程度、财产状况、医疗记录、刑事记录或职业履历,以及姓名或用以识别该个人的数字、符号或其他属于个人的特别标志,如指纹、声纹或照片。从上述各国和地区的相关规定可知,个人资料保护立法所保护的是具有识别性的资料,本人在其个人资料上所享有的排他性的支配权体现了现代社会信息的价值及自然人的信息自决权。

对个人资料的侵害会导致具有无可回复性的个人资料所凝结的本人资料权的丧失。而敏感性个人资料所体现的本人资料权的一般人格利益与传统的隐私权等具体人格权有交叉之处。可以说对本人敏感个人资料(如宗教、政治信仰、性生活)的侵害,不仅使本人一般人格利益损失,具体人格利益也相应地受损。但是无论如何,在信息社会中,各种信息的价值具有一致性,因此,用同样立法目的、指导思想的法律给予个人资料的统一保护,既有可能,又有必要。但是为了不致使敏感个人资料上所属的一般人格利益、具体人格利益受到个人资料保护立法的不公平待遇,法律有必要对敏感资料上的特殊利益予以特别关注和保护。个人资料保护立法对于敏感个人资料的特别保护,体现在欧盟及其成员国纷纷以“禁止处理”为原则,以“特殊情况下允许处理”为例外,这与对琐细个人资料以“合法收集、处理、利用”为原则,以“特殊情况下,个人资料收集、利用义务主体免除法定义务、法律责任”为例外,形成了鲜明的对比。美国政治倾向和立法指导思想无不体现对公众知情权的充分鼓励和保护。因此,美国为数众多的对某一领域隐私权保护的立法中,没有像欧盟及其成员国个人资料保护立法中明确而又具体的关于敏感个人资料的规定。这些单行法大多通过规制行政机关和公权力机构的行为,将本人个人资料权利纳入隐私权保护体系。相反,对于商业目的处理个人资料的行为则倾向以自律规则的方式予以保护。因此,美国法律对于个人资料保护的着眼点是涉及个人资料的政府机关的记录限制公开,并无禁止政府机关对所谓敏感资料在一定范围内保有、一定程度上处理的规定。有一点要指出,荷兰《个人资料保护法》第16条“本条禁止条款同样适用于涉及犯罪记录、违法行为和可能引起社会反对的行为的个人资料处理”,此条中涉及的“犯罪记录”、“违法行为”和“可能引起社会反对的行为”等个人资料,是否也属于敏感个人资料不无疑问。就我国现有法律、法规来看,中国证监会发布的《网上证券委托暂行管理办法》第三章“技术规范”第17条规定,“在互联网上传输的过程中,必须对网上委托的客户信息、交易指令及其他敏感信息进行可靠的加密”,可见现有法律、法规已关注到特殊领域内的本人敏感资料,并给予了一定程度的保护。我国在制定个人资料保护法时是采用欧盟式的敏感、琐细个人资料的分类,还是采用美国式的处理方式,如果采用敏感、琐细个人资料的分类,哪些资料应纳入敏感个人资料保护的范围,这些问题的解决是由我国所处国内、国际的历史条件,经济、政治、文化等多种因素合力作用下的结果。欧盟的做法为具有特殊性的敏感个人资料提供了更充分更周到的系统保护,就其国际影响而言,大有成为范本并影响各国立法之势。

3特别法上侵害个人资料行为与一般侵害个人资料行为

依据被侵害个人资料是否具有保护的特殊性,可以将侵害个人资料行为分为特别法上侵害个人资料行为与一般侵害个人资料行为。保护的特殊性主要表现在大量的单行法律、法规对本领域内个人资料的特别保护。特殊领域侵害个人资料行为和其他特殊侵害个人资料行为共同构成了特别法上侵害个人资料行为。我国台湾个人资料保护相关“立法”中特别保护的特殊领域个人资料包括纳税资料、福利资料、医疗资料、刑事资料、人事资料、户籍资料。

纳税资料是否纳入个人资料保护及怎样保护,世界各国持不同的态度。挪威、瑞典、瑞士对纳税资料不予保护,基于如下认识:如果允许纳税义务人自行决定纳税数额,就无法实现合法公平的征税。具体表现在:挪威及瑞典地方政府每年公布纳税义务人的收入及财产资料;瑞士允许私人向税收机构索取纳税义务人的收入及纳税资料,但需缴纳一定规费;还有国家原则上不公开纳税资料,例外公开,如当纳税人偷漏税时公开其姓名。公开的主要理由是:公众有知情权,舆论有制裁的力量,衡量公共利益与偷漏税人对纳税资料所享有的一般人格利益,前者优于后者,因此,予以适当公开,并无不妥——这就是确定国家机关公开个人资料行为的非法性的重要方法——衡量比较法的具体体现。而美国则对税收资料本人权利予以高度重视与保护:1991年1月美国国内税收机构通过了一个隐私权计划报告书,1992年国内税收机构立法委员会提议设立一个办事处以监督隐私权战略发展及执行情况,1993年1月成立了美国联邦政府第一个个人资料保护机关——国内税收机构隐私权保护局,该局创建了两项重要保护政策——1994年5月的《关于隐私权保护原则的宣言》、1994年10月的《关于纳税人隐私权的政策声明》,它们为个人资料保护的发展趋势和程序勾勒出一个框架,令公众清楚认识到纳税人本人资料权受到了国内税收机构的高度重视与切实保护。因此对于是否构成侵害本人纳税资料权的行为,应从本国的实际情况出发。

对于社会福利资料是否应纳入个人资料的保护,也存在着两种相反观点。

美国1971年的Wymanv.James一案所体现出的支持的观点是:家庭访问制度的目的,并不是单纯为了援助而调查,因此,可能存在社会福利政策的滥用而侵害个人资料,同时,拒绝家庭访问的结果是停止发放社会福利保障金,访问行为的性质属于行政职权中的进入检查权,因此,原则上行使该权力要有必要进入令状,紧急情况的存在方能构成例外;而相反的观点认为:传统意义上的家庭访问,虽具有搜索的性质,但其目的在于确保儿童的福利和公款的公正支出。上述两方观点都是站在了现存制度上的对于制度运作本身的解释,说服力都令人怀疑。协调福利行政与个人资料本人利益间的矛盾,不能只将着眼点放在防止滥用这一点上,福利行政的最根本目的在于保障人的生存权,在现实给付社会福利保障金前,申请、调查、决定、通知、实施这一连串的手续虽然是必不可少的,但此一系列过程中的申请人的人格尊严应该受到恰当的对待,即给予其人格尊严的保护,具体措施就是规范适当的调查方式方法、明确的调查事项范围、齐备的手续等方面,只有这样才能确保福利行政不被滥用而侵害个人资料本人利益,才能更好体现与贯彻福利行政的初衷。

医疗资料纳入个人资料保护的做法一般为各国普遍采用,有的国家还将其纳入敏感资料范畴给予特别保护。医疗资料中有两点问题颇值得关注:其一,人工受精技术中精子捐赠者资料是否应予保护,怎样保护?其二,艾滋病病毒携带者病历是否应予保护,怎样保护?瑞典是最早就人工受精技术引发的法律问题专门立法的国家,相关立法主要有《瑞典受精法》、《瑞典亲子法》、《瑞典隐秘法》。根据相关规定捐赠者的姓名等个人资料,只有经人工受精而出生的子女有查看的权利,该子女法律上的父母、监护人无权代其行使这一权利——即保存捐赠人个人资料完全是为了子女的知情权,只有子女才有“捐赠人身份揭露权”,捐赠者对于受捐赠的妇女及其人工受精出生的子女的个人资料无查阅权。艾滋病病毒携带者病历是否应予保护的疑问产生于艾滋病本身的特点——恶性传染性、难以治愈性及需要高额治疗费用以维持患病者的生命,因此在他人不知情的情况下,大大增加了传染的可能性,对社会大众的健康造成了直接的严重威胁,成为社会不稳定因素,为人与人的正常交往带来了一定的负面影响。像艾滋病这样的恶性疾病,首先就使患病者自身受到巨大的肉体折磨、心理压力和精神创伤,“所有痛苦自己背”,没有任何限制地公开病患者的病历无疑是在其脆弱心灵本已无法治愈的伤口上再撒上一把盐,“剥净了被羞辱者身上最后一块遮羞布”——这是正常人绝对无法真正体会到的。因此,法律有责任在公共利益与病患个人资料利益间再一次作出衡量与选择。我国台湾“行政院卫生署”曾以匿名的方式公布HIV病毒携带者的基本资料,以促进社会公众充分意识到艾滋病离我们并不遥远,以提醒社会公众注意自身的防治工作。1980年我国台湾又公布了“后天免疫缺乏症候群防治条例”,该条例第6条规定:“各级卫生主管机关、医疗机构及医事人员,对于感染人类免疫缺乏病毒者之姓名及病历有关资料,不得无故泄露。”权衡他人生命健康和病患的个人资料权益,前者更应受到保障,因此,我国台湾理论界不反对将HIV感染者情况告知其配偶等利害关系人,同时此种情况下的“告知”并非“无故”,主张基于特定原因的“告知”合理、合法。我国台湾持“有限揭露的原则”来平衡病患者与公众双方的利益,值得借鉴。基于对隐私权保护的传统,多年以来美国许多州坚持了医师向州卫生机关呈报新发现艾滋病病例的制度,该制度并未涉及公开病历的问题。但目前有迹象表明“不公开病历”已经有所松动。

如加利福尼亚州的立法规定在自愿前提下允许进行接触追踪,同时如果卫生官员有协助调查、防治或监督病情的必要时,也可以与其他公共卫生机关或医学研究人员共同使用艾滋病病毒携带者名单。此外,澳大利亚与英国也在“利益衡量”的前提下,选择了优先保障社会大众健康,修改或制定了相关立法。如澳大利亚昆士兰州修改《健康法》允许政府官员将资料给予任何有合法利益拥有此项资料的政府机关或官员。再如,英国《健康法则》规定了医院对怀疑有艾滋病的人员有实施强制留置、检验的权力。