论个人数据保护制度的源流——域外立法的历史分析和启示

一、文章结构

二、文章要点

【本文旨在】梳理国际社会个人数据保护规则形成的历史背景和目的。

全球关于个人数据保护立法的数据:截至2018年,世界上约有58%的国家已经制定个人数据保护法或隐私法,约10%的国家正在制定过程中,约21%的国家没有相应的立法,约12%的国家没有相应资料。

【欧盟】

《108公约》→《95指令》→《GDPR》

1、《108公约》

背景:欧洲人意识到个人数据的滥用可能会出现“二战”中的对人权的侵害。为了避免利用个人数据进行人口隔离,保护少数群体的利益。因此于1981年制定《108公约》。

公约的宗旨:确保个人数据处理时人可以得到尊重,免受计算机的侵害。个人数据的处理需要数据主体的参与,不能完全由计算机自动处理。

该公约至今仍是唯一一部关于个人数据保护的公约。

2、《108公约》→《95指令》

相对于《108公约》,《95指令》建立了具有一定可操作性的个人数据保护规则和实施框架。《95指令》承继了《108公约》,赋予数据主体一些保障性权利,如知情权、访问权、更正权和拒绝权,但更多是通过规定数据控制者的安全保障义务和合规义务,要求成员国建立独立的数据保护机构,通过行政和司法双重保护来实现。

3、《GDPR》

GDPR隐藏着确立欧盟单一法律规范、一站式服务、依据不同风险设置不同规则、嵌入数据保护机制等设想。GDPR于2018年5月25日正式生效,成为在全欧盟境内可以直接适用的法律。

【《OECD指南》】

1、为什么会制定该指南?OECD关注的是经济效率与自由分享信息。数据在跨境流通中可能会遇到限制和阻碍。这与OECD所追求的数据自由流通不符,因此OECD积极地推动《OECD指南》颁布。

2、指南没有成为国际条约。成员国之间很难就隐私保护与数据跨境流通达成协议,因此最终该协议没有成为国际公约。

3、指南的积极作用:该指南确定了数据(隐私)保护的八项基本原则,这八项基本原则影响了整个世界的个人数据保护立法。该指南让数据控制者成为数据保护的义务主体。

【英国立法】

1984年《数据保护法》,最大的特色“数据保护登记官”制度,对持有个人数据的数据使用者登记,对个人数据使用行为进行监管。该法于1998年、2018年经2次修改。

【澳大利亚】

1988年制定《联邦隐私法》,只适用于公共部门;1990年修改,适用于信用报告行业;2000年修改,适用于私人领域;2012年修改(2014年生效),适用于政府机构和私人组织。

澳大利亚宪法中没有个人独处或其他隐私权,在普通法中也没有一般性防侵扰隐私权,隐私权在司法中备受争议。

【美国】

1、大体情况:国会制定专门法来规制特定政府部门、特定行业或特定类型的个人信息利用行为;商业领域个人信息或消费者个人信息的利用主要遵循《公平信息准则》,实行自律管理;个人信息的保护和救济主要是通过发达的侵权救济制度(司法救济)实现。

2、美国在一些特殊领域的有关隐私的制定法,主要是通用信息、电子通信、金融服务、健康卫生、儿童。

【我国】

我国从2012年开始移植个人信息保护制度,但是我国并没有完整地移植个人信息的所有合法性原则,只是从中选取“告知同意”原则作为合法性基础。从而造成理解上的偏差:非经同意使用个人信息就是侵权,而在其他立法中并不存在这样的对应关系。

从时代背景来看。我国移植的个人数据保护制度是产生于“小数据”时代,很大程度上已经不适宜我国所处的“大数据”时代(与“小数据”时代相比,显著的特征:数据通过移动智能终端手机并在不知情的情况下被自动处理;数据来源广泛,通过计算、分析形成特定主体的数据集;数据的使用目的无法事先确定)。换言之,我国在移植的个人数据保护制度时存在理解错误,并且被移植制度的先进性较差。


责任编辑:马小涵