网络空间的个人数据及其法律保护
作者:汤擎
[摘要]个人数据是为数据主体所有的个人信息。在信息时代,个人数据因存在巨大的商业价值而面临着被滥用的危险。互联网为个人数据的采集、加工、传播提供了新的手段,同时,又为保护网络空间的个人数据的安全提出了新的挑战。为了在最大限度地利用个人数据和最有效保护数据主体合法权益之间找到最佳的平衡点,必须在明确个人数据的法律特征和与个人数据相关的法律关系的前提下,通过法律手段规范数据主体和其他使用人之间的权利义务关系。
〔关键词〕个人数据;互联网;数据主体;法律保护
众所周知,物质、能量、信息是人类社会赖以生存和发展的三大资源。在当今信息社会中,人类除仍需要物质和能量外,信息资源无疑是社会发展的决定因素,“信息就是财富”的观念已经普遍被人们接受。然而,却很少有人认识到个人数据在网络时代的价值和作用,更少有人注意到每个自然人作为个人数据的所有者所应享有的权利。社会发展到今天,互联网的广泛普及与飞速发展,使得大量的个人数据通过互联网实现了全球性的采集、加工、传播、利用,互联网在进一步满足人类需要的同时,又为个人数据的保护问题提出了新的挑战。笔者的观点是,个人数据进入网络空间后,在其原有的商业价值被扩张的同时,被滥用的危险亦同时增大。个人数据一旦进入网络空间,可以被数据使用者加工利用的次数几乎是无限的,而在缺乏法律规制的条件下,个人数据被加工利用的次数与个人数据所有者权利被侵害的概率呈正比。在现代社会,个人数据的所有者并非不能与别人分享个人数据,而是必须在明确自己的权利与数据使用人的义务的前提下,象处理个人现实财产那样,独立自主地处置个人数据。
一.个人数据的概念及法律特征
对于个人数据的概念,各个国家法律的表述是不同的。英国在1984年制定的《数据保护法》对个人隐私权的规定相对全面、完整,较有代表性。英国《数据保护法》规定:“个人数据是由有关一个活着的人的信息组成的数据,对于这个人,可以通过该信息(或者通过数据用户拥有的该信息的其他信息)识别出来,该信息包括对有关该个人的评价,但不包括对个人数据用户表示的意图。”1995年7月26日在布鲁塞尔部长级会议上通过的通过的《欧洲联盟数据保护规章》对个人数据下的定义是:“有关一个被识别或可识别的自然人(数据主体)的任何信息;可以识别的自然人是指一个可以被证明,即可以直接或间接地,特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。” 笔者赞同以上文献对个人数据的界定,并认为从法律视角可见个人数据具有如下特征:
(一)个人数据的所有权为该数据的生成者所拥有
在当代,个人财产所有权已经为公众所熟知;但是,至今仍有相当一部分人并不清楚每个人都拥有自己的个人数据的所有权,对自己的个人数据均享有控制权。根据所有权的权能,只要不与法律和公共利益相抵触,所有权人均享有对个人数据的占有、使用、收益、处分权。以上道理似乎不言自明,然而,在现实中屡屡出现的情况却是,经常有把个人数据的所有者与提供者混为一谈。在通常情况下,个人数据的所有者就是个人数据的提供者,这时两者没有区分的必要。然而在某些情况下,个人数据的所有者与提供者可能出现分离的情况,即数据的所有者与提供者是不同的主体。比如甲和乙是好朋友,为了某种目的,乙把自己所知的甲的个人数据提供给了第三人(数据采集者)。这时,无论乙的行为是否经过甲的合法授权,都不能称乙为其所提供的数据所有者,而该数据的所有权人始终也只能是甲。个人数据的所有者是该数据的生成体个人,无论他人对主体个人数据的获取方式与知悉程度如何,都不能改变个人数据的所有权归属。而无权处分人一旦对该主体个人数据实施处分或授权处分人对该信息处分不当,则都应承担相应的侵权或违约责任。
(二)个人数据是可被识别主体的个人信息
首先,个人数据是有关个人的信息,不论是活着的人还是死去的人;但不是指有关自然人的集合体的信息,也不包括有关公司、企业等法人或其他组织的信息。其次,个人数据应是足以对主体构成识别的信息。个人数据的内容可能包罗万象,个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、经历等都可以构成个人数据的内容,但这些内容必然构成对数据主体的识别,即通过这些信息所反映的内容再加上人们的一般判断,就可以将该主体从其他人中“认出来”。然而,仅凭单个的个人数据对主体加以识别是非常困难的,因此,数据采集者往往根据其需要对主体的个人数据进行多角度、多层次的采集。如果对个人数据进行分类,目前至少可以划分出不变数据、可变数据;显态数据、潜态数据;类别数据、个性数据;等等。在当今,有的数据采集(如采集某家族的血样)更是涉及到了主体的潜态数据(如血型、亲子关系、基因图谱等)。 可见,由多方位采集的个人数据对数据主体的识别功能越强,对个人隐私的保护要求也随之越高。
(三)个人数据构成个人隐私的重要内容
隐私权是公民依法享有拒绝、排斥任何未经法律批准的监视、窥探和防止个人私生活秘密、个人信息(个人数据)被披露的权利。而个人数据、个人私事、个人领域是隐私权的三种基本形式。隐私权是每个公民的法定权利,在任何一个民主的国度里,每个人都享有不受干扰地生活在社会中的自由,只要他没有违反法律的禁止性规定,本人又没有放弃隐私权,那么国家就有义务保障其个人数据、个人私事、个人领域的秘密不受侵害。隐私权既然是一种权利,主体就可以自主地处分自己的权利。因此,只要公民具备完全的民事行为能力,就有权自主决定自己的个人数据是否与别人分享以及与何人分享。然而,与此同时,一旦个人数据被别人非法占有、使用,公民就可依隐私权不受侵害的法律规定主张权利保护。在现有的科技水平下,基因是对个体具有最高识别能力的个人数据。“个人的基因图谱就是一个人生命的全部秘密,它可以被用于对人的品格、智力、健康水平尤其是某种潜在素质的解释,对个人基因图谱的不正当使用,会给他的升学、就业、保险和婚姻等方面带来歧视或不合理待遇,从而在个人生活的各重要场合向人类尊严发起挑战。因此,个人基因图谱的保密是至关重要的。”
(四)个人数据控制权丧失后具有不可恢复性
在信息时代,网络空间及计算机设备具有无可比拟的信息传播与加工能力,任何有价值的信息一旦与人分享就会给分享者带来利益,个人数据被数据使用者获取后的潜在价值更是不可估量。由于个人数据具有信息的一般属性,因此,个人数据一旦与人分享,对数据使用者而言,信息控制权的回复只能具有形式上的意义,在实质意义则失之不可再得。因此,个人数据控制权的丧失并不意味着主体对该数据的物质形态失去了控制,而是其对该数据价值形态失去了控制,这种权利的丧失具有明显的不可恢复性。也就是说,与一般的所有权人享有对所有物的返还请求权不同,个人数据一旦与人分享,该个人数据就难以被权利人收回。即便该个人数据在物质形态上得以返还,但该数据为数据使用人所产生的利益是无从追索的。可见,主体对个人数据所有权的麻痹将直接导致个人数据控制权不可逆转的逸失,而且这种权利丧失,还可能带来个人隐私暴露于全球网络空间的巨大隐性危险。对于数据所有者而言,如果将这种隐患与数据采集者用于馈赠(或曰利诱)主体的小恩小惠相比,无疑是丢了西瓜捡了芝麻。
(五)个人数据集合体的价值倍增于单一的个人数据
在市场经济条件下,个人数据采集者将成千上万的个人数据采集起来的目的并不是为了解个体,而是要把若干个具有某种共同特征的主体的个人数据按一定的方式组成数据库,通过该数据库所反映的某种群体的共性来满足其自身或其他数据库使用人的需要。而且,越是细致化的个人数据其被加工、开发的余地越大,增值的空间也越大。可见,对于个人数据采集者来说,获得个人数据不是目的,而是一种手段,是建立和扩展财源的一条途径。比如,某医院拥有在其院内出生的新生儿有关情况的数据库,如果该医院将此数据库提供给不同商家使用的话,在新生儿成长的不同阶段,新生儿的家长可能成为婴儿卫生用品、服装、玩具、文具等无限多种商品的推销对象。甚至可能终生难以摆脱各式各样商品经销商的追踪性纠缠。显然,收集该数据的原有目的是非商业性的,该数据库的原有功能是便于医院与新生儿家长的联系,单个家庭的住址与电话号码的意义并不太大,但是,只要其收集的个人数据数量大到一定程度,其经济价值就可能大到令人难以测算的程度。如果以聚沙成塔这个成语来比喻,个人数据仅是沙粒,数据库就是塔,塔的价值远大于单个沙粒的价值之和,这个道理是人所共知的。个人数据的特征还在于,其还可以几乎无止境地被重复加工使用、重复获取经济利益。也就是说,单个数据的汇聚是数据集合体价值倍增性的基础,而众多个人向数据收集者提供数据是数据库得以形成规模效应的前提。
二、网络空间中个人数据保护面临的新问题
(一)互联网为个人数据的收集、传播与加工提供了更为先进的手段
互联网的兴起与普及对人类传统的生活方式、工作方式和思维方式的冲击是全方位,同时它也迅速地改变着人类社会的面貌。数字化技术的运用与发展,使互联网成为全人类进行信息共享的主要工具,当然也成为了个人数据的收集、加工与传播的新手段。
从个人数据的收集角度来看,凡是互联网的用户(以下简称“用户”),都是潜在的个人数据收集对象。因为无论是ISP(因特网服务提供者)还是ICP(因特网内容提供者),都是以盈利为目的的商业机构,他们在为用户提供服务(特别是免费服务)的同时,必然不会放弃要求用户提供个人数据的权利。在互联网上的销售服务与传统意义上的商业经营方式不同,传统方式一般不要求消费者提供个人数据,即使要求消费者提供其个人数据,也是在商家销售商品或者提供服务之后。而对于互联网的用户则不然,如果该用户希望享受ISP或ICP提供的某种服务(如申请免费的E-mail信箱、订阅电子杂志等),都必须以提供其个人数据为前提。世界上没有白吃的午餐,互联网用户享受所谓的免费服务,必须以无偿提供个人数据作为对价,这在今天已成了不争的事实。也许有人会说,提供个人数据是互联网用户的权利,而不是一种义务,对于ISP或ICP期望用户提供个人数据的要求,用户完全有权拒绝,从这一意义上说,用户与ISP或ICP的地位是完全平等的。然而这种理论上的平等,只有在用户放弃对互联网上绝大多数信息和服务的使用权的条件下才能得以实现。而这对于每一个用户而言,几乎都是不现实的。毫无疑义,对于ISP和ICP而言,互联网就是他们追求商业利润最大化的全球市场,任何时候他们都不会甘心在市场上空手而归。那么,在互联网才刚刚起步的今天,掌握真实的个人数据的数量越多,商家预期获得的利润就越大,这才是隐藏在各种免费陷阱背后的真实动机。
如果说对于是否向ISP或ICP提供个人数据的问题上,用户还存在着事实上的选择权的话,那么cookies的使用则使用户的任何在线活动都处于跟踪和监视之下,不但是“窥你没商量”,而且是“一个也不能少”。在现实生活中,公民具有未经法定许可不受任何监视与控制的权利,而在网络空间公民却可能在不知晓的状态下受到监视。网络上的商家通过cookies的记录,再结合其他技术手段,对于用户个人的健康状况、教育程度、休闲嗜好等的分析不但轻而易举,而且准确率相当高。类似上述窥视、监视技术和数据分析技术的综合使用,一方面为商家收集个人数据提供了更为多样和有效的手段,同时也严重威胁着对互联网用户的个人隐私的保护。
计算机的使用使得人类能够大量地存储信息和高速地处理信息,互联网的应用使得信息的采集、传输即时化,信息在全球范围内共享成为可能。通过互联网将已收集的个人数据进行加工和传播,必将大大加快对个人数据的处理速度并显著提高个人数据的使用效率,从而可能带来更多的商业利润。
(二)进入网络空间的个人数据的商业价值更为可观
如前文所述,个人数据集合体的价值具有倍增性。一般而言,个人数据数据的收集者总是把其收集的数据按一定的方式存储在某一数据库中,再根据其对数据使用目的的不同,对数据采取不同的加工方式。对于数据收集者而言,为了某种特定的商业目的,他们收集数据的对象不是任意的,而往往是先明确目标数据主体(商业上亦称“目标客户群”,一般是指某一层次具有某种共同特征的人)作为其收集对象。目前,利用互联网进行这类目标群体的找寻工作无疑是数据收集者的最佳选择。这是因为,对于大多数ICP而言,它都有自己的目标用户群,也就是说,它往往是为某一特定群体提供服务的(如女性网站、残疾人网站等),这样,对于数据收集者而言,这样的网站收集的个人数据已经过滤掉了许多无关信息,从而更符合其特定要求,商业价值也更为可观。
(三)处于网络空间的个人数据更容易处于失控状态
如果说,在目前情况下互联网用户在选择是否提供个人数据之时就处于极其被动的地位的话,其在用户提供了个人数据以后,更处于十分不利的境地。无休无止的等待填写的表格已经使上网冲浪的乐趣大打折扣,而对于诸如网站为何要收集用户的数据、如何处理所提供的数据这类用户最关心的问题,大多数网站都避而不答。有人将这些热衷于收集用户个人数据的网站称为“信息银行家”,言下之意是说这类网站象银行家吸引存款一样以各种免费的服务诱惑用户提供个人信息。然而,和真正的银行家相比,“信息银行家”可谓是无本万利。因为他们的这种经营行为,既无需得到国家有关机关的认可或授权,又不需要任何资产作为经营资本,更不需要对其所收集的信息支付任何报酬,还可以将其所掌握的数据无数次地卖给无限多个买主。由于目前大多数的ISP和ICP都广泛采取了删除选择权(Opt-out)政策,即数据收集者假定提供者同意他们有权处理资料,除非得到提供者明确的不同意的通知。 加之有关双方权利义务的规定完完全全是由数据收集者为保障己方利益而制定的格式合同,用户只要选择了“同意”,就等于对个人数据完全失去了控制。在类似的一次性交易中,数据主体本应享受的对数据的知情权、控制权等合法权利即便没有被无情地剥夺,也几乎成了海市蜃楼。
众所周知,互联网的最重要作用就是实现全球信息资源共享。那么,每一进入国际互联网的个人数据都有可能被任何互联网用户知悉、篡改、删除、复制、盗用。除了数据收集者的不合理使用容易使数据主体对其个人数据难以掌控之外,数据收集者由于疏于对其所掌握的个人数据的管理,也会使数据因人为损毁、逸失或黑客攻击而处于失控状态。
(四)个人数据在网络空间失控对主体的潜在威胁更为严重
在网络空间,数据主体一旦对自己的个人数据失去控制,有可能获知其个人数据的人就是全球范围内的不特定多数。可以想像,对于存在于网络空间又处于数据主体掌控之外的个人数据,就有可能在数据主体完全不知情的情况下成为商家暴敛的对象,黑客觊觎的目标,甚至被别有用心的人作为要挟的筹码。美国的一家名为网站Docusearch.com的网站就因其向他人提供包括其用户的电话号码、社会保障号码在内的个人数据,从而导致其用户惨遭谋杀而被被害人的父母告上法庭。 无独有偶,上海市普陀区人民法院也于日前受理了一起因在互联网上公布他人个人数据引发的自诉案件。该案的被告人因为追求一女青年遭到拒绝,为了败坏该女青年的名声,将女青年的姓名、住址、电话在网络上公布,致使毫不知情的女孩不断接到骚扰电话,严重地影响了她的正常生活,遂诉至法院,请求法院依法追究被告人的刑事责任,并判决其赔偿经济损失10万元。 这两起案件给我们的启迪是深刻的,网络空间的个人数据保护对数据主体来说具有十分主要的意义。目前,对于大多数互联网的用户来说,随意参与一个在线调查,无意敲入一个个人电子邮件地址,实在是稀松平常的事。目前,多数人认为,后果也无非是不久后你的信箱中充满商业广告等电子垃圾邮件,这也似乎不足以对个人的正常生活造成太大的影响。然而,随意提供个人数据带来的潜在危险却远不限于此,网络诽谤、网络诈骗等对数据主体人身权、财产权造成侵害的行为将随时可能发生,而且,这种侵害还会从网上蔓延到网下,数据主体很难预料由于其在互联网上轻易提供个人数据而会给未来生活带来多大的麻烦。侵害者和侵害发生时间的不确定性,都使个人数据失控一经发生便即刻产生不可消除的永久性威胁。更令人烦恼的是,侵害一旦发生,被害人往往无法知晓侵害来自何方,难以实施有效的自我保护和司法救济。
二.必须明确与个人数据相关的法律关系
在现代社会中,财富的增长不仅依赖于物质资源的获取,有价值的信息往往能够使既定的物质财富进一步扩大。因此,信息产业已经被称为朝阳产业,各领域对个人数据的争夺战更是趋近于白热化,其中商家利用互联网收集个人数据的现象显得尤为突出。不可否认的是,在信息时代,个人数据有着不可估量的商业价值,对个人数据的合理使用无疑有助于商业的发展和社会的进步,因此,对个人数据的收集、加工有可能发展为一种独立的、专门的行业,为社会有偿地提供更为专业、准确的有关个人数据的信息服务。随着网络技术的进一步普及和发展,互联网必将成为收集个人数据的最主要工具和个人数据贮存、传输的最主要载体。利用互联网的交互性、动态性,使数据用户在全球范围内即时对其所需的个人数据加以利用也将在不远的将来变成现实。然而真理哪怕向前走出一小步也会变成谬误,即便是为了社会上大多数人的利益而使用的个人数据,如果对某个数据主体的隐私权构成侵犯的话,数据使用者同样应该承担相应的法律责任。
个人数据作为的一种信息,自然具有其他信息所具有的一般特征,但因对其的使用往往涉及个人隐私等敏感问题,在对个人数据进行采集、处理、利用的各个环节上,都必须明确与个人数据相关的法律关系,以在最大限度地利用个人数据和最有效保护数据主体合法权益之间找到最佳的平衡点。
依笔者之见,在与个人数据相关的法律关系中,存在着以下四个主体:A个人数据的所有者;B所有者以外的个人数据提供者;C个人数据的采集者(他们通常也是数据库的所有者);D个人数据库的使用者。他们之间的关系应当是建立在保护个人数据所有权和个人隐私权的基础上形成的权利义务关系。如前文所述,个人数据所有权具有特殊性,即个人数据一旦被他人知悉,权利人对个人数据的物质形态依然可控,而对该数据被使用的情况则可能完全失控。因此,只有牢牢把握个人数据的控制权,才能真正确立这以下权利义务关系。
其一,A与B的关系是有限授权与有限使用的关系。即A不但将个人数据的部分内容与B分享,而且授予了B可以在一定条件下将该个人数据提供给第三人使用的权利。然而,对于B来说,这种权利无论是来自于A事先的授予还是事后的追认,对这种权利的行使必须限定在A的授权范围之内。如果B以非正当的途径取得该权利(如采用欺诈、胁迫手段),或者不顾A所授予的权限对该权利滥施处分,都必须承担相应的法律责任。
其二,A与C系授权许可关系。一般而言,个人数据的提供者是由A(个人数据所有者)与B(所有者以外的个人数据提供者)共同组成。然而,针对C(个人数据采集者)来说,无需区分该个人数据的提供者是A或是B,只要其采集个人数据的手段合法,即可认为个人数据所有权人A让渡了其部分所有权,C与A之间即产生授权许可关系。在这对关系中,A只要C经正当途径获取个人数据,就必然要求C在其许可的限度内使用其所提供的个人数据,而C在履行了为保障A的合法权益的义务之后,就享有在A的许可范围内对不涉及个人权利的数据抽象(如从大量数据中抽象出隐蔽在数据背后的规律、趋势、特征等)的使用权。
其三,C与D的有偿服务关系。即C将数据库中的数据加工后作为信息服务产品提供给D,而D应该对C所提供的信息服务支付报酬,他们之间的权利义务可依双方意愿确立。此外,D虽然与A未发生过任何事实上的联系,在使用包含A的个人数据的信息服务时,也应当履行尊重A的隐私权的义务。
由此可见,个人数据所有者享有对个人数据无可争议的所有权,而其相对人只能享有受限制的使用权,这是与个人数据相关的法律关系的核心内容。这也体现出个人数据所有权同样具有“对物的某一种权利,如果他人不能证明其合法享有之,则此种权利归属于物的所有权人” 这一所有权本质属性。
三.保护网络空间个人数据的法律对策
从宏观上说,社会的发展必然导致客观上对所需个人数据的质和量的要求不断提高。事实上,社会对个人数据的需求量越大,对所收集的个人数据涉及的内容越广泛、准确程度越高,数据收集者和使用者对所涉数据主体个人隐私的保护责任就愈加重大。目前,上海已经开始构建个人信用联合征信体系,将分散在各商业银行和其他社会有关方面的个人信用信息集中起来进行加工、储存,形成个人信用信息数据库,为商业银行了解个人信用状况提供服务。 该体系从实质上说就是一个以个人的经济信用为内容的庞大的动态数据库,从其所涉的数据主体而言,可能囊括了一个城市所有的成年人;从其所涉的数据内容而言,则是具有相当的敏感程度的个人经济信用状况。可见,该数据库的建立对于金融机构而言可谓是利益与风险并存。一方面,该体系的建立将对金融机构防范金融风险、提高商业银行贷款效率起到举足轻重的作用;另一方面,由于该体系必须通过局域网实现全市银行营业网点的互联,因此,一旦有黑客非法侵入,其后果都是不堪设想的。
矛与盾总是在相互较量中不断完善各自的功能。当个人数据借助互联网这个新兴工具而不断凸显其自身价值和作用之时,当个人数据的采集和利用借助互联网这片充满希望的土壤而蓬勃发展之时,数据主体对于保护其合法权益的呼声也会越来越高。互联网发展到今天,广大用户已经不满足于利用互联网获取信息、共享资源,电子商务、电子银行、有偿使用的电子数据库等有可能成为互联网未来的发展方向。然而,用户对个人隐私可能暴露于网络空间的担心正成为时下蓬勃兴起的电子商务的最大障碍。根据一个名为Forrester的研究公司对其在美国和加拿大境内的10万名用户中的1万人进行的随机调查,近67%的购物者由于认为在网上提供个人资料不安全而不想进行网上购物。 针对网络的发展对个人数据的安全带来的巨大威胁,各国已就加强网络中的个人数据的保护达成共识,但所采取的具体保护措施各不相同。总体来说,表现为以美国为代表的行业自律为主和以欧盟为代表的加强立法为主的两种趋势。依笔者之见,加强对网络空间个人数据的保护,既有赖于国家通过立法来保障数据主体的合法权益,又离不开ISP和ICP更为有效的自我管理和自我约束,更不能忽略数据主体对个人数据实施自我保护的重要作用。同时,网络技术的进一步发展也必将为网络空间的个人数据建立起更为安全的门户和屏障。而在诸多环节中,加强国家立法无疑是保护网络空间的个人数据安全的核心。根据我国的实际情况,笔者对此有如下建议:
(一)尽快制定保护包括个人数据在内的个人隐私的专门法律
我国在司法中虽然已经承认了隐私权,但在法律中却无明文规定。在司法实践中对于侵犯隐私权的个案往往以侵害名誉权来处理,法律对隐私权的保护难免有隔靴搔痒之感。随着公民法律意识的提高,对保护个人隐私要求的增强,国家完全有必要制定一部类似《个人隐私保护法》的专门法律以加强对公民个人隐私保护,规范各种涉及个人数据的采集和加工的行为。由于个人数据是构成个人隐私的重要内容,而数据主体有对其自身数据具有完全的所有权,因此,法律应明确规定数据主体的以下权利:
1.控制权。即数据所有者有权决定将个人数据提供给何人使用,及提供哪些内容,并有权决定对方对其所提供数据的使用权限。
2.享益权。即数据所有者有权要求数据采集者对其提供的有商业或新闻价值个人数据支付报酬。
3.知情权。即数据所有者有权以其可以理解的方式获知其所提供的个人数据的被使用的目的及情况。
4.修改权。即数据所有者有权要求数据采集者对其所提供数据中不正确、已过时的部分进行修改。
5.完整权。即数据所有者有权要求数据采集者保证其所提供的信息准确、完整和免受危害(如感染病毒、恶意篡改等)。
6.请求司法救济权。即当数据所有者的合法权利受到侵害并造成损失时,数据所有者有权请求司法救济。
(二)加强对网络空间数据库的法律规制
对于已经进入网络空间的个人数据,必然不可能孤立存在,而是隶属于某个或者多个数据库。网络空间可能存在着各种内容各异的数据库,这些数据库在为信息的存储和传播带来方便的同时,也引发了包括保护知识产权、隐私权等尖锐的法律问题。对此,国家通过立法来明确与数据库有关的各种法律关系,以规范数据提供者、数据库所有者、数据库使用者之间的关系,已经成为一种趋势。对于涉及个人数据的数据库,立法必须明确的问题有:
1.个人数据采集者的义务
一般而言,对于个人数据的采集者来说,他们“追求的目的不在于数据库的制作本身,而是着眼于数据库的商业使用,实质上是数据库内容的使用。如果不能实现这一目的,数据库的制作行为也就失去了动力,这最终会导致数据库产业的萎缩。” 因此,对作为从事一门新兴行业的数据库制作者而言,在追求商业利润的同时,必须全面履行己方的义务,保障个人数据所有者的合法权益,才能实现这一新兴产业的蓬勃发展。为此,在个人数据的采集阶段,数据采集者(数据库的制作者)必须明确其必须承担的以下义务:
(二)合法获得的义务。即个人数据采集者所必须依合法、正当的途径获得个人数据,必须经有关权利人的明确授权。不得在权利人不知情的情况下采集其个人数据,更不得以欺诈、胁迫等手段获得个人数据。采集无民事行为能力人与限制民事行为能力人的有关个人数据,必须经过其监护人的同意。
(1)为特定的正当目的服务的义务。数据采集者只能为了特定的合法目的而享有该部分数据库的使用权,而该特定目的必须在个人数据被采集以前告知数据所有者。未经该权利人同意,不能为了其他目的使用该个人数据。
(2)告知的义务。在个人数据被采集之前,数据采集者有义务告知数据所有者对个人数据的采集目的、使用方法、贮存手段、保密措施、违约责任等内容。在《香港个人数据(隐私)法令》中更是明确规定,数据采集者必须在数据采集之前,而不是在数据使用之前告知数据主体其数据的使用目的。 此外,在个人数据库的使用过程中,数据采集者有义务告知数据所有者的个人数据的使用状况。而且,以上的告知必须以数据所有者可以理解的方式进行。
(3)合理使用的义务。数据库制作者无论是对个人数据的采集、整理、加工,还是将数据库授权给第三方使用,都必须遵守与数据所有者事先约定的义务,严格在数据所有者授权的范围内使用个人数据。
(4)保证数据完整的义务。数据库的制作者必须保证在任何阶段和一切环节上个人数据的准确完整,既不能随意篡改、删除个人数据,更有义务采取有效措施保障个人数据免受人为的危害。
(5)对敏感数据的特殊保护义务。数据库制作者在处理个人数据的时候可能会碰到一些特别敏感的数据,比如可能涉及个人宗教信仰、种族起源、犯罪记录等内容。对于此类数据的保护,除了要严格履行上述的义务以外,还有必要采取一些特殊的保护手段,以保障数据所有者的隐私处于秘密状态。如果数据库的制作者未采取有效措施对该部分数据实施保护的话,可能承担更严重的赔偿责任。
2、数据库所有者的义务
(1)保证个人数据来源合法的义务。不论在个人数据采集的阶段,还是在数据库向数据使用者提供数据的阶段,个人数据来源的正当合法始终是数据库所有者必须遵循的基本原则,同时也应该成为数据服务产业的职业道德。对于数据使用者来说,如果数据库所有者提供的数据是通过非正当的途径采集的,那么他们对该数据的使用则必然导致侵犯数据所有者的合法权益,使其卷入纠纷的旋涡。同时,对数据库的所有者来说,保证其所提供的服务内容在权属上的无瑕疵,也是其作为服务提供者的当然义务。
(2)保证使用者有权使用的义务。如前文所述,个人数据的所有者有权决定将自己的数据与谁分享,因此在数据库所有者在为使用者提供数据服务的时候,就不得不考虑到数据所有者的这项意志自由。也就是说,数据库所有者必须保证其所面对的数据使用者必须不在数据所有者所排斥的使用人范围内。否则,数据库所有者既构成违约,也侵害了数据所有者的合法权益。例如,保守由基因释读所形成的个人数据是基于基因提供者的基本权利与自由,对于仅提供给国内科研单位的基因而言,若未经许可转移给国外科研机构即属非法。
3、数据库使用者的义务
(1)保证数据所有者隐私权不受侵害的义务。对于数据库的使用者来说,在使用数据库的过程中不可避免地会接触到个人数据所有者的隐私。对此,数据库的使用者虽未与数据所有者约定有关保护数据所有者隐私的事宜,但保护数据所有者个人隐私不受侵害是数据库使用者无可争议的义务。数据库的使用者必须采取有力措施保证数据所有者的隐私始终处于秘密状态,对敏感数据更应该采取特别的保护措施。
(2)保证在合理的范围内使用数据库的义务。这种义务包括,只以某项特定的目的使用该数据库,保证个人数据的准确、完整,未经许可不得将数据库转让给他人使用等。
(二)必须重视对国民个人数据的国际保护
从根本上说,网络空间的个人数据保护是一个国际性的问题,再完善的国内立法也很难防范来自世界各地的数据使用者对本国国民隐私权的侵害。目前,各国虽已对保护网络空间的个人数据达成了共识,但还未就此形成一个全球认可的保护规则。日前,美国、欧盟签署的个人数据保护协议已经生效,这一被称为“安全港”的协议要求美国商家负责捍卫收集到的欧洲消费者的个人信息。当时的美国总统克林顿和欧盟官员称赞这一协议的签署将是推动经济增长的国际电子商务领域的里程碑般的事件。 可见,美欧等国已经不满足于通过国内立法来保护其国民的个人数据,在国际社会对有关网络空间的个人数据的保护问题尚未未制定统一的规则之前,通过国际条约来加强对本国国民个人数据的保护也不失为一项良策。对于中国而言,为了防止国内的信息资源的恶性流失,为了使我国国民的隐私权得到真正的保护,为了参与网络空间规则的制定,决定了国家必须在加强有关网络空间个人数据保护的国内立法的同时,承担起国民个人数据的国际保护的历史责任。这是互联网的发展向每一个对国民负责的政府提出的挑战,也是向其提供了大显身手的舞台。当前,各国在网络空间的实力角逐刚刚拉开序幕,我国作为具有优秀文化传统的发展中国家,理应抓住这一发展壮大自己的、提高综合竞争能力的历史机遇。
|
