俄罗斯个人资料保护制度探析
2014-04-10凃咏松
摘 要:《个人资料法》在俄罗斯具有个人资料保护之基准法的地位。相较于此前的《俄罗斯联邦宪法》、俄罗斯联邦参加的涉及隐私保护之国际条约以及俄罗斯国内其他立法,该法对个人资料保护更显体系化和具体化。该法确立了个人资料处理的原则与一般情形,并对相关基本概念作出了界定。其所确定的对建立个人资料之公开获取途径、赋予个人资料主体对自己个人资料处理之决定权、区分特种个人资料与生物个人资料并分别相应予以不同保护等制度乃为其亮点,值得我国借鉴。
关键词:个人资料;隐私;个人资料处理;个人资料保护
作者简介:凃咏松,男,法学博士,西南政法大学俄罗斯法研究中心副主任,民商法学院副教授,从事民法学研究。
中图分类号:D913 文献标识码:A 文章编号:1000-7504(2014)01-0014-09
俄罗斯个人资料保护制度,主要依据俄罗斯联邦宪法、俄罗斯联邦参加的国际条约,并由2006年7月通过的《个人资料法》和其他规定个人资料处理的情形与特殊性的联邦法律予以确立的。
《个人资料法》在俄罗斯具有个人资料保护之基准法的地位,即国家机关可以在自己的权限范围内就具体的个人资料处理问题发布规范性法律文件,但不得包含限制个人资料主体权利的条款,且应当正式公布(但包含联邦法律限制获取的信息的情形除外,该法第4条第1~2款)。除了更加关注公民的权利和自由以外,该法还具有过渡时期制宪性立法的另一个特征,即俄罗斯联邦参与的国际条约具有优先性,在该类国际条约有不同于该法之规定时,适用国际条约的规则。[1](P163)
一、俄罗斯个人资料保护的立法变迁
《个人资料法》出台之前,俄罗斯在立法中一直尝试着对个人资料的保护,无论是其宪法还是加入的国际条约,以及专门制定的《信息、信息技术和信息保护法》均对此领域有所涉及。通过上述立法活动,俄罗斯构建了个人资料的保护法律制度,但是事实证明这还远远不够,《个人资料法》的出台实际上是俄罗斯前期立法成果的归纳和总结。
(一)《俄罗斯联邦宪法》对个人资料的保护
1. 《俄罗斯联邦宪法》的具体规定
依照1993年12月通过的《俄罗斯联邦宪法》(以下简称“俄宪”)的规定,人人享有私生活不可侵犯、个人和家庭秘密、自己的名誉和好名声保护权(第23条1第1款),书信、电话交谈、通邮、电报和其他通讯秘密权(第23条第2款)。不允许未经同意而汇集、保管、使用和传播个人的私生活信息(第24条2第1款)。干预私生活、限制电话交谈和通讯只有依据俄罗斯联邦法律或者法院的判决才可进行。住宅不可侵犯在俄宪第25条3中受到保障。在俄宪第29条中包含了对言论自由和信息交换自由(以任何合法方式寻找、取得、移转、生产和传播信息的权利)的保障,以及对书刊检查的禁止。按照俄宪第15条第1部分,上述条件具有最高效力和直接作用。根据俄宪第55条第3款,“人和公民的权利与自由由联邦法律在为保护宪政制度的基础、道德、他人的健康、权利和合法利益、保障国家防务和国家安全的目的所必要的限度内予以限制”。
2. 对俄罗斯联邦主体-共和国的宪法的影响
在21个俄罗斯联邦主体-共和国的宪法中有16个完全(或略加修改)复制了俄宪第23、24和25条。在印古什共和国和巴什科尔多斯坦共和国的宪法中对这些保障有些不同的表述。在巴什科尔多斯坦共和国的宪法中还增加了关于只有依据法院判决才允许进行搜查的内容。在撒哈(雅库梯)共和国宪法中有关于住宅不受侵犯的保障,但没有提到私生活不可侵犯。在卡列利亚和卡尔梅克宪法中则连这些权利保障都没有。
3. 立法评价
《俄罗斯联邦宪法》对个人资料的保障主要体现为以下特点:(1)为专门部门法的制度奠定了宪法基础。虽然该宪法只是较为笼统而抽象地规定了对个人的私生活信息等与个人资料密切相关客体的权利保障问题,但为进一步制定专门的个人资料保护法奠定了基础。(2)对俄罗斯联邦主体-共和国的立法也产生了示范效应。俄罗斯的政体决定了俄罗斯联邦主体-共和国一定程度上具备独立的立法权。《俄罗斯联邦宪法》对个人的私生活信息保护的宣示性规定影响了大多数俄罗斯联邦主体-共和国的宪法,这为在俄罗斯全境实现对公民个人资料的保护创造了条件。但是,仅凭《俄罗斯联邦宪法》之规定尚不能真正实现对个人资料的有效保护,原因在于:其一,规定过于抽象,缺乏可操作性。当然,这本身也是宪法作为母法的特点,其法律规范的抽象性决定了尚需具体的部门法方能有效调整现实生活,实现立法的目的。因此,需要制定专门的个人资料保护法这一部门法来与之配套。其二,公民个人资料保护的界定尚显模糊。该宪法并未明确提出公民个人资料保护的概念,而是将其纳入个人的私生活信息这一概念之中,故需要制定专门的个人资料保护法对其作出清晰的界定。
(二)俄罗斯联邦参与的涉及隐私保护之国际条约
1. 在国际层面上,俄罗斯参加了以下涉及保护隐私的国际条约:
(1)1948年《世界人权宣言》。其中第12条对隐私的保护作出明确规定:“任何人不得被任意干预个人和家庭生活,不得被肆意侵扰其住宅之不可侵犯性、通讯秘密。”
(2)1966年《公民权利与政治权利国际公约》(第17条)。
(3)1950年《欧洲人权与基本自由保护条约》。该条约第8条规定:“人人享有个人和家庭生活受尊重、住宅和通讯秘密不可侵犯的权利。”根据该条第2款之规定,国家对隐私的干预只有在法律规定的情况下“为了国家安全、社会秩序或国家经济的利益,为了保持秩序和预防犯罪,为了预防无秩序或者犯罪,保护健康或保护道德或保护他人的权利与自由”才有可能。
(4)1995年5月26日独联体成员国在明斯克签署的《人的权利与基本自由条约》(自1998年8月11日起在俄罗斯联邦生效)。
(5)2000年6月22日八国首脑通过的《全球信息社会Окинавская宪章》。在宪章中,在基本观点和原则中提到发展有效的保护包括在处理个人资料时的隐私机制的必要性,发展加密技术和其他手段保障操作安全和可信度。
(6)2001年俄罗斯签署了1981年《在自动化处理个人资料时保护自然人欧盟公约》,2005年该公约得到俄罗斯联邦议会批准。
2. 立法评价
虽然国际条约优先适用于内国法,也构成俄罗斯的法律渊源。但是,如果国际条约要转化为对在其国内范围内的个人资料保护尚须通过内国法的制定来“接地气”。况且,俄罗斯最为重视的欧盟委员会所制定的一些条约因种种原因对俄罗斯并无约束力。例如:欧盟95/46/EC(1995年)和97/66/EC(1997年)保护信息隐私的指令对俄罗斯没有约束力。2001年秋,欧盟委员会通过了遥控犯罪条约,条约包括了批评者视之为有侵犯隐私之虞的条款。俄罗斯的代表虽参加了起草,但是条约没有生效,俄罗斯没有签署也没有批准准用该国际协议。因此,俄罗斯有必要通过制定一部专门个人资料保护法以便融入欧盟体系。
(三)俄罗斯国内其他立法对个人资料的保护
在俄罗斯立法中,个人资料概念的形成以及对于个人资料保护的重视,是从20世纪90年代中期开始的。[2]
1. 《信息、信息化和信息保护法》对个人资料保护的专门规制
在《个人资料法》颁布之前,在个人资料保护方面,最为重要的法律就是1995年框架性联邦法律《信息、信息化和信息保护法》1。该法确立了信息调整的基本理念。依照该法,国家信息资源是公开的和一般可获得的信息。法律归于限制获得类型的文件化信息(属于国家秘密和机密的信息)为例外。个人资料属于保密信息的范畴(第11条第1款)。在该法中个人资料被定义为“关于可以识别其身份的公民生活的事实、事件和情形的信息”(第2条)。在该法律中特别提到:“非经同意不得收集、保管、利用和传播自然人的私生活信息,以及侵犯个人秘密、家庭秘密、书信、电话交谈、通邮、电报和其他通讯秘密的信息,依据法院判决的除外”(第11条)。该法为实现《俄罗斯联邦宪法》的相关规定以及国际法的规范奠定了基础,但并没有建立一个保护机制。根据该法,个人资料清单及其保护制度应当由联邦法律(个人资料法)规定。
2006年7月27日该法律被修改为《信息、信息技术和信息保护法》2,个人资料的概念被删除,但隐私不可侵犯和未经他人同意不得收集、保管、使用和传播隐私信息被归入对信息、信息技术和信息保护领域中关系的法律调整的原则(第3条第7款)。
1997年3月6日,在关于批准保密性信息清单的第188号俄罗斯联邦总统令3中,个人资料也被纳入这个清单。有学者对此提出异议,其理由为:第一,远非所有的个人资料都是保密的。许多人物百科全书、个人职业指南、地址簿等,就是依照主体的同意而公开的个人资料。第二,个人资料可以而且在目前也的确是用各种限制接近的制度来予以保护的。如在国家秘密制度中保护了可以接近国家秘密的人的个人资料,在商业秘密制度中保护了在生产中使用的技术秘密作者们的个人资料,在职业秘密制度中保护了被提供服务的使用者的典型个人信息(医生秘密、公证秘密、律师秘密、银行秘密、收养秘密等),在个人秘密制度中保护了有关个人特性、爱好、习惯、兴趣的信息,在家庭秘密制度中保护了家庭成员包括亲属之间的相互关系的信息。因此,个人资料只是直接与个人相关的信息,而非这些信息的保密制度。[3]
2. 其他立法对个人资料的附带性保护
“个人资料”的概念也出现在《俄罗斯联邦税法典》中,包括姓、名、父称、出生日期、性别、住所地地址、护照和其他证明纳税人人格的文件的数据、国籍(第1部分第84条)。
个人资料保护规范在《俄罗斯联邦民事状况文件法》4(第12条第1款)中也存在,个人资料被定义为“民事状况文件登记机关工作人员由于进行民事状况文件国家登记而获悉的信息”(第12条第1款)。从2002年2月1日起劳动立法中纳入了保护雇员个人资料的规范。
《俄罗斯联邦劳动法典》1第14章也规定对个人资料的保护,包括限制收集资料的内容和范围,规定了对在使用和移转其个人资料时雇员的权利的保障,规定了获取、复制和修改自己数据的权利等。
3. 立法评价
笔者认为,上述部门法对于个人资料的保护主要体现在以下方面:(1)均尝试对个人资料进行概念界定。要实现对公民个人资料的保护的前提是对个人资料的范围作出明确的界定。因此,上述法律均在自己的专门调整领域范围内对个人资料的概念作出了界定。(2)将个人资料的保护上升到法律层面,为个人资料保护法的制定和实施创造了前期基础。但是,上述立法本身也存在明显的局限性:(1)对个人资料概念的界定缺乏统一性。例如《俄罗斯联邦税法典》主要是出于税收管理的角度对个人资料作出了界定,而《俄罗斯联邦劳动法典》则主要强调对雇员个人资料的保护。(2)对个人资料保护与对个人隐私保护等相关领域界限模糊。例如虽然《信息、信息化和信息保护法》对个人资料保护涉及较为深入,但是从其条文表述看,将个人资料归于保密信息之范畴,与个人隐私等均未作出明确区分,正因如此该法律被修改为《信息、信息技术和信息保护法》,直接将个人资料的概念删除。删除的原因在于立法者决定在《个人资料法》中对其作出专门的界定和调整。
综上所述,个人资料的保护尽管在俄罗斯法律制度中有所涉及,但是显得过于分散混乱,缺乏体系化甚至有的规定还自相矛盾,因此《个人资料法》的制定和颁布也是顺势而为。
二、《个人资料法》的立法基础
(一)加入欧共体的需要
俄罗斯一直致力于使自己真正融入欧洲共同体。尽管俄罗斯加入欧盟并没有义务使自己的国内立法与欧盟委员会的指令一致,但是,俄罗斯只有在接受了游戏规则,也就是欧盟所形成的价值体系后才能成为欧盟的真正成员。欧盟成员国基本上都建立了调整与个人资料的收集、保管、自动化处理和使用相关的国内立法,而且该立法往往是独立的,与隐私权保护的一般法律平行的立法。此外,还建立了如个人资料保护专员制度等的监督机构。该制度在欧盟国家二十多年的实践证明了其有效性。因此,俄罗斯国内立法必须为此作出改变和适应。
(二)国内普遍建立的个人资料库的现实需要
目前俄罗斯权力机关和组织中已经建立了自动化的个人资料库。个人作为一直处在与其他的个人、组织、权力机关的关系中的社会因素,在很多情况下不得不自主决定,可以提供哪些个人资料,在有些关系中还不得不被迫提供国家所需要的个人资料,以换取国家提供的权利保护或者所提供的服务。新技术的发展一方面实质性地简化了个人资料的收集、处理、保管和移转,而另一方面也产生巨大的非法流转个人资料,侵犯个人权利的危险。为适应该社会现实,故有必要专门立法予以规制。
(三)国家管理的需要
1998年4月,国家杜马议员团曾经向国家杜马提出了一部联邦法律即《个人信息法》的草案,但是在两年半期间该法草案没有被提交国家杜马讨论。其原因在于当时俄罗斯联邦政府和国会选举人团体的构成经常变动,该法因此难以被大多数人接受。而且该草案涉及建立独立的个人资料主体权利保护监督机关的规定是一个难以解决的法律现实问题。鉴于《俄罗斯联邦宪法》没有规定这样的机关,而要将其纳入俄罗斯联邦人权专员的权限,则需要修改相应的俄罗斯联邦宪法性法律方能做到。在此背景下,另一个国家杜马议员团在2000年10月向国家杜马提出了新的《个人信息法》草案。该草案与前者的根本性区别在于:它没有规定建立独立的个人资料权利保护专员制度,而是由俄罗斯联邦政府赋予联邦行政机关相应的管理职能。但是,该草案既没有规定对主管行政机关运作的国家预算拨款的来源,也没有明确到底应当授权哪个行政机关负责,也没有规定被授权的个人资料主体权利保护机关应具备之独立性,由于几乎所有的机关都可以收集和处理个人资料,因此,按照该草案的规定则可能产生被授权的机关本身既是监督主体又是监督对象的尴尬情形。正因如此,上述两个草案没有进入到一读程序就被立法动议权主体主动撤回。但尚未解决的问题并未因此丧失其现实意义。随着社会上大量出现的出售由行政机关收集且包含个人信息的资料库的现象,社会秩序日益混乱,国家需要运用公权力对此予以干预,但又限于缺乏法律上的支持,因此基于国家管理的需要也成为《个人资料法》的立法基础之一。
(四)公民权利保护的需要
空前大规模侵犯公民权利的社会现实不仅挑战了俄罗斯内部人权保护问题,也使俄罗斯在国际上受到巨大的压力。这促使俄罗斯领导层作出了批准《在自动化处理个人资料时保护自然人公约》的政治决定。根据该公约的规定,国家在批准时应当建立同等的实现该国际文件的原则的国内立法。2005年11月25日,国家杜马决定批准公约。为履行该公约的承诺,实现对公民权利的有效保护,在该次国会例会上一读通过了俄罗斯联邦政府起草的联邦法律《个人资料法》草案,随后经过立法程序,俄罗斯于2006年7月底公布了《个人资料法》,为个人资料的保护,维护公民权利提供了法律保障。
三、《个人资料法》内容上的创新
(一)确定俄罗斯联邦居民个人登记系统应由其他联邦单行法专门规制
《个人资料法》法律草案第24条中规定建立俄罗斯联邦居民国家登记。按照国家杜马安全委员会的意见,这种全球性的个人资料库的建立原则和程序应当由联邦单行法规定。俄罗斯联邦政府计划起草类似法律,以“提高居民社会保护水平并加强其居民姓名住址”并进行“统一的公民个人社会保险登记”1。草案所规定的建立国家居民登记的目的是极为宽泛的——“为保障包含在信息系统中的个人资料不矛盾”。草案之所以要将此内容纳入其中,原因在于俄罗斯政府早有建立俄罗斯联邦个人登记系统的基本构想。2005年6月9日,俄罗斯联邦政府第748号令批准了这一构想。根据该构想,俄罗斯联邦居民个人登记系统是一个基于现代信息技术、依照俄罗斯联邦立法在保障公民宪法权利并向居民提供服务的国家权力机关、地方自治机关、国家和自治市组织之间相互交换关于俄罗斯联邦公民、暂时停留和暂时居住或永久居住在俄罗斯联邦的外国公民或无国籍人(以下简称公民)的个人资料的系统。但该规定审议时却受到广泛质疑。反对者认为,根据所批准的公约规定的个人资料自动化处理原则,其中就有一项原则是为特定的和合法的目的而收集资料,并禁止以其他方式为与该目的不相容的目的而使用这些资料(公约第5条b款)。在欧洲国家的国内立法中,该原则被体现为直接禁止为不同目的而收集的资料库合并。因此,对于涉及公民基本权利的个人信息应当单独规定,以体现与其他资料库的区别。而 “在统一的信息空间范围内的一体化自动登记系统”将会产生侵犯自然人的包括隐私权在内的基本权利和自由之虞,这就违背了公约的文义与精神。基于上述原因,俄罗斯联邦总统签署的对该法律草案的意见中认为,建立俄罗斯联邦居民个人登记系统“明显需要通过联邦单行法《俄罗斯联邦居民个人登记法》”2。最终2006年7月底公布的《个人资料法》第13条第4款规定“为了保障由于处理在国家或自治市个人资料信息系统中的个人资料时个人资料主体权利的实现,可以建立居民国家登记簿,其法律地位和工作程序由联邦法律规定”。这无疑成为《个人资料法》的一项重要创新。
(二)对基础性概念作出了明确界定
在该法出台前,对于什么是个人资料、个人资料的处理、传播个人资料以及个人资料信息系统等基础性概念的界定其他法律鲜有涉及,或者即使涉及也显片面。而《个人资料法》对其作出了较为全面而深刻的归纳。
1. 明确界定了个人资料和对其保护具有重要意义之相关概念
该法将个人资料定义为:“任何属于特定的或者可以依据此类信息而确定的自然人(个人资料主体)的信息,包括姓、名、父称、出生年、月、日、住址、家庭状况、社会状况、财产状况、教育程度、职业、收入及其他信息。任何组织并(或)实施个人资料处理,以及确定个人资料处理之目的与内容的国家机关、自治市机关、法人或者自然人,均为处理人。”该定义较之先前的法律规定,更为全面而具体,为实现个人资料的有效保护确立了前提。该法将“个人资料的处理”界定为:“包括收集、体系化、积累、保存、更正(更新、修改)、使用、传播(包括转递)、匿名化、封存、销毁个人资料在内的与个人资料有关的行为(作业)。”
不仅如此,该法对与个人资料的有效保护密切关联的概念作出了明确界定。例如特别规定了传播个人资料、使用个人资料、封存个人资料、销毁个人资料、匿名化个人资料的含义。根据该法规定,所谓的传播个人资料,是指“旨在将个人资料转递给特定范围的人(个人资料转递)或旨在令不特定范围的人了解个人资料的行为,包括在大众信息传媒上公开个人资料,在电子信息通信网络中放置或者以任何其他方式提供对个人资料之获取的行为”;所谓的使用个人资料,是指“由处理人实施的,旨在作出决定或者实施其他的对个人资料主体产生法律效果或任何其他触及个人资料主体或者其他人的权利与自由的行为有关的个人资料行为(作业)”;所谓的封存个人资料,是指“暂时停止收集、体系化、积累、使用、传播个人资料,包括转递个人资料”;所谓的销毁个人资料,是指“以无法恢复个人资料信息系统中的个人资料之内容为结果的,或者以销毁个人资料之物质载体为结果的行为”;所谓的匿名化个人资料,是指“以无法确定个人资料之于具体的个人资料主体的归属为结果之行为”。上述规定,有利于规范明确个人资料的保护范围。
2. 明确界定个人资料信息系统以及与个人资料信息系统利用相关的法律概念
根据该法规定,个人资料信息系统,是指“体现为包含在数据库中的个人资料之总和,以及可以用于实施使用或不使用自动化设备处理个人资料的信息技术和信息设备”。除此以外,个人资料的保密义务、个人资料的跨境转递、公开个人资料等问题与个人资料信息系统的合理使用密切相关,因此该法对上述概念均作出了明确规定。具体表现为:将“个人资料的保密义务”界定为“处理人或其他取得个人资料的人所必须遵守的未经个人资料主体同意或非有其他合法依据存在不允许予以传播的要求”;将“个人资料的跨境转递”界定为“处理人跨越俄罗斯联邦国边境向外国国家权力机关、外国自然人或者法人转递个人资料”;将“公开个人资料”界定为“经个人资料主体同意向不特定范围的人提供获取机会的个人资料,或依照联邦法律不适用保密义务之要求的个人资料”。
(三)适用范围较为广泛但边界明确
《个人资料法》的适用范围,较为广泛,大体可以分为两类:一是由联邦国家权力机关、俄罗斯联邦主体的国家权力机关(以下简称“国家机关”)、地方自治机关、不列入地方自治机关的自治市机关(以下简称“自治市机关”)、法人、自然人使用自动化设备所实施的与个人资料处理有关的关系;二是由上述主体实施的虽然没有使用自动化设备,但符合与使用自动化设备所完成的行为(作业)之特征的个人资料处理有关的关系(第1条第1款)。该法以调整第一类关系为主,对第二类关系的情形和内容,则不甚明确,委诸联邦法律和其他规范性法律文件斟酌《个人资料法》的条款予以规定(第4条第3款)。
但是该法也明确规定了其效力所不适用之关系,共有五项(第1条第2款):第一,在不侵犯个人资料主体之权利时,自然人专为个人或者家庭需要而实施的个人资料处理;第二,依照俄罗斯联邦档案事务立法,组织保存、补充、清点和使用包含有个人资料的俄罗斯联邦档案基金的文件和其他档案文件;第三,依照俄罗斯联邦立法,处理由于自然人作为个体经营者活动而应当纳入国家统一的个人经营者登记簿的自然人信息;第四,依照规定程序,处理构成国家秘密的个人资料;第五,主管机关依照2008年12月22日第262号联邦法律《保障获取俄罗斯联邦法院活动信息法》提供俄罗斯联邦各级法院活动信息的行为。
(四)规定了个人资料处理机制
该法对个人资料处理作出了规定,主要体现为以下方面:
1. 确定了个人资料处理的原则
该法确定个人资料的处理应当依据下列原则进行:(1)个人资料处理之目的与方法应合法且善意;(2)个人资料处理之目的符合之前所确定的和在收集个人资料时所声明的目的,以及处理人的权限;(3)所处理个人资料之范围与特性、个人资料处理之方法,符合个人资料处理的目的;(4)个人资料准确,对处理目的而言为适当,不允许逾越在收集个人资料时所声明之目的处理个人资料;(5)不得将为不相容之目的而建立个人资料信息系统数据库合并。个人资料之保存,应当以可得确定个人资料主体之形式进行,且不得逾越其处理目的所要求之期限。在处理目的达成时或者在达成处理目的之必要性丧失时,个人资料应予销毁(第5条)。
2. 区分了个人资料的处理的不同情形
该法将个人资料的处理分为两种情形,而有针对性地作出调整规制。
(1)征得个人资料主体同意而进行的个人资料处理。在此情形下,该法尊重当事人的意愿,认为只要不损害国家利益以及公共利益便是有效处置。
(2)无须征得个人资料主体同意而进行的个人资料处理,即依照法律的规定而进行的个人资料处理。其中又包括:第一,依据规定了个人资料处理的目的、取得个人资料的条件和其个人资料应当被处理的主体的范围,以及处理人的权限之联邦法律而进行的个人资料处理,包括为执行俄罗斯联邦关于реадмиссии的国际条约而必须进行的个人资料处理。第二,为执行个人资料主体作为一方当事人的契约而进行的个人资料处理。第三,为统计或其他学术目的在必须遵守将个人资料匿名化的条件下而进行的个人资料处理。第四,在无法取得个人资料主体的同意时,为保护个人资料主体的生命、健康或者其他重大生存利益而必须进行的个人资料处理。第五,邮政组织为递送邮件、电信业者为与电信服务使用人结算所提供的电信服务费用,以及为处理电信服务使用人的投诉而必须进行的个人资料处理。与此类似的还有依照俄罗斯联邦住宅法典管理区分所有建筑物的管理团体、住宅所有人协会、住宅合作社、住宅建设合作社或者其他专门合作社,或其他与之签订契约直接管理区分所有建筑物的人为与区分所有建筑物的业主、住宅大厦的所有权人、国有或自治市有住宅基金的承租人结算区分所有建筑物、住宅大厦之共用财产的维护和维修,以及公共服务费用而必须进行的个人资料处理。第六,为记者的职业活动或者为学术的、文学的或其他的创作活动在不侵犯个人资料主体的权利和自由的条件下而进行的个人资料处理。第七,对依照联邦法律应当公布的个人资料的处理,包括担任国家领导人、国家民事职务的人的个人资料,以及参选国家或自治市领导人的候选人的个人资料(第6条第1~2款)。
个人资料的处理人和可以接近个人资料的第三人应当对此类个人资料承担保密义务,但在个人资料匿名化和针对可公开获取的个人资料的情形除外(第7条)
四、俄罗斯个人资料保护制度的立法价值及其借鉴意义
虽然俄罗斯个人资料保护制度随着《个人资料法》的颁布实施已趋于完善,但是《个人资料法》上述创新是否适合我国立法的借鉴,笔者认为不能一概而论,因为我国国情与较之有巨大差异。因此,为充分挖掘其对我国未来立法的借鉴意义,故应结合我国社会法治环境来认识。
(一)个人资料保护制度的立法价值
1. 建立个人资料之公开获取途径
为了信息保障可以建立个人资料的公开获取途径(包括手册、地址簿)。经个人资料主体的书面同意方可将其姓、名、父称、出生年份及出生地、住址、用户号码、职业信息和其他由个人资料主体提供的个人资料纳入可公开获取的个人资料途径。但是,个人资料主体的信息可以在任何时候按照个人资料主体的要求或者按照法院或其他主管国家机关的要求从可公开获取的个人资料途径中删除(第8条)。
2. 赋予个人资料主体对自己个人资料处理之决定权
个人资料主体依照自己的意愿和为自己的利益作出提供自己个人资料的决定,并同意对自己个人资料的处理。对处理个人资料的同意可以由个人资料主体予以撤销。只有联邦法律为保护宪政制度的基础、道德、他人的健康、权利和合法利益、保障国家防务和国家安全之目的,才可以规定个人资料主体负有提供自己的个人资料的义务(第9条第1~2款)。
证明已经取得个人资料主体对处理其个人资料的同意的义务,以及在处理可公开获取的个人资料时证明所处理的个人资料为可公开获取的资料的义务,均由处理人承担。对为了处理包含在个人资料主体的书面同意中的个人资料而言,不需要额外同意(第9条第3、5款)。对该同意,一般而言并不要求书面形式。只有在联邦法律规定的情况下,个人资料的处理才必须经个人资料主体书面同意,如处理特种个人资料、生物个人资料,以及向不能保障个人资料主体之权利的国家进行个人资料的跨境转递等。该法还规定了两种必须提供书面同意的情形:一是在个人资料主体没有行为能力的情况下,处理其个人资料的同意由个人资料主体的法定代理人以书面形式提供;二是在个人资料主体死亡的情况下,处理其个人资料的同意由个人资料主体的继承人以书面形式提供,但个人资料主体在生前已经提供的除外(第9条第4、6、7款)。
个人资料主体对处理其个人资料的书面同意应当包括:(1)个人资料主体的姓、名、父称、住址、身份证明文件的编号、颁发日期和颁发机关等信息;(2)获得个人资料主体之同意的处理人的名称(姓、名、父称)和住址;(3)个人资料处理的目的;(4)个人资料主体同意处理的个人资料的清单;(5)同意实施的个人资料行为的清单,对处理人所使用的个人资料处理方式的一般描述;(6)同意的有效期间及其撤销方式;(7)个人资料主体的亲笔签名。以电子数字签名形式签署的电子文件或在联邦法律或其他依照联邦法律颁布的规范性法律文件规定的情况下,以其他类似于亲笔签署的同意文件被视为等同于个人资料主体在纸质载体上签署的书面同意(第9条第4款)。
3. 区分特种个人资料与生物个人资料
在俄罗斯个人资料保护制度上,特种个人资料与生物个人资料是并列的概念。
特种个人资料包括种族、民族、政治观点、宗教观念或哲学观念、健康状况、性生活、犯罪前科等,原则上不允许予以处理。只有在法律明确规定的情况下,才能予以处理(第10条第1款)。此类情形包括八种:(1)个人资料主体书面同意处理自己的个人资料。(2)个人资料为可公开获取的个人资料。此种类型包括为执行俄罗斯联邦关于реадмиссии的国际条约而必须进行的个人资料处理和依照全俄居民重新登记法而进行的个人资料处理。(3)在无法取得个人资料主体的同意时,为保护其生命、健康或者其他重大生存利益或者为保护他人的生命、健康或者其他重大生存利益而必须对属于个人资料主体的健康状况的个人资料的处理。(4)为医学预防目的、为进行医疗诊断、提供医疗服务和医疗社会服务目的,由职业从事医疗活动并依法承担保守医生秘密义务的人而进行的个人资料处理。(5)社会团体或宗教组织为实现其设立文件规定的合法目的而对其成员(参加者)的个人资料的处理,但未经个人资料主体的书面同意不得传播该类个人资料。(6)为进行司法审判所必要的个人资料处理。(7)依照安全立法、侦查-搜查活动立法以及依照刑事执行立法进行的个人资料处理。(8)为强制社会保险目的依照具体类型的强制社会保险联邦法律进行的个人资料处理(第10条第2款)。对于有关犯罪前科的个人资料的处理,规定了尤其严格的保护,只能由国家机关或者自治市机关在法律赋予的权限范围内进行,其他人只能在联邦法律规定的情况下且按照联邦法律规定的方式才能进行对有关犯罪前科的个人资料处理(第10条第3款)。对此类特种个人资料的处理,在引起处理之原因消失时,应立即终止(第10条第4款)。
生物个人资料,是指“体现一个人的生物学特征并可据以确定其身份的信息”。生物个人资料只有在个人资料主体书面同意的情况下才可予以处理(第11条第1款)。法律规定的可以不需要个人资料主体的同意而进行的对生物个人资料的处理的情形,较之于特种个人资料大大减少了,而且仅仅局限于法律明确规定的情形,如为执行俄罗斯联邦关于реадмиссии的国际条约、为进行司法审判,以及安全立法、侦查-搜查活动立法、国家公务员立法、刑事执行立法、出入境立法规定的情形(第11条第2款)。可见,在俄罗斯法上,一个重要的特征就是将生物个人资料排除在特种个人资料之列,而且给予了更加严格的保护。
(二)对我国未来立法的借鉴意义
1. 开拓未来立法研究的比较法视野
我国目前尚未专门制定《个人资料法》,但是随着国家信息化管理进程的推进,我国也同样面临这个现实问题,我国学界对此也开始关注。但是,比较法研究的视角尚未涉及俄罗斯。有观点将世界个人资料保护的模式分为美国模式与德国模式。[4]但是,根据《俄罗斯个人资料法》的上述内容,笔者认为其相对于美国模式或者德国模式,具有自己的特点。虽然,我们不能认为它的规定较之美国模式或者德国模式更加科学,但是它毕竟为我们提供了另外一个视角,为我们未来立法拓宽了视野,有助于我国立法对世界先进立法经验的借鉴。
2. 应将专门的个人资料保护法与个人信息保护法相区分
我国目前没有专门的个人资料保护法,但是我国个人资料信息系统正在形成。虽然,我国学界对此有所关注,但主要还是主张通过制定《个人信息保护法》来与之应对。但是,个人资料与个人信息还是有所区别。正因如此,俄罗斯最初是在《信息、信息化和信息保护法》中实现对个人资料的保护,但是还是选择了制定专门的《个人资料法》加强对其专门性保护。
3. 个人资料保护法应与国际接轨
目前国际上除了俄罗斯以外,德国、英国、美国、瑞典均制定了自己的个人资料保护法。但不统一的国内法并不能为个人资料当事人提供充分保护,为加强网络环境下个人资料的国际保护,联合国于1990年通过了《关于自动资料档案中个人资料的指南》。[5]俄罗斯立法的基础也是为了与国际社会相融合,因此充分考虑了国际条约的相关规定。我国立法活动也应按照这种模式展开,实现与国际接轨。
参 考 文 献
[1] М.Н.马尔琴科:《国家与法的理论》,徐晓晴译,北京:中国政法大学出版社,2010.
[2] Ю.Г.Просвирнин. Защита персональных данных,?Вестник ВГУ.Серия Право?. №.2.2008.С.174.
[3] В.В.Дятленко, Е.К.Волчинская. Законодательство о защите персональных данных:проблемы и решения,?Информационное право?. №.1(4),2006.
[4] 齐爱民:《美德个人资料保护法之立法比较——兼论我国个人资料保护立法的价值取向和基本立场》,载《甘肃社会科学》2004年第3期.
[5] 侯巍:《联合国对个人资料保护的国际保护——论1990年联合国〈关于自动资料档案中个人资料的指南〉》,载《广西大学学报(哲学社会科学版)》2005年第4期.
[责任编辑 李宏弢]
Exploration into Russian Individual Information
Protection System
TU Yong-song
(School of Civil Law, Southwest University of Political Science and Law, Chongqing 401120, China)
Abstract: “Individual Information Law” has a basic status in protecting individual information in Russia. Compared with former “Russian Federation Constitution”, international treaty involving Russia dealing with protection of privacy, and other legislation of Russia, this law is more systematic and specific in protection of individual information. This law establishes the principle and general condition to deal with individual information and defines relevant basic concepts. It is characterized by its public way to obtain individual information, individual right to deal with ones own information, different way to distinguish and protect special individual information and biological individual information, which is inspiring.
Key words: individual information; privacy; dealing of individual information; individual information protection
1 《俄罗斯联邦宪法》第23条:“1.人人享有私生活不可侵犯、个人和家庭秘密、保护自己的名誉和好名声的权利。2.人人享有书信、电话交谈、通邮、电报和其他通讯秘密权。对此类权利的限制只有依据法院之判决才得许可。”
2 《俄罗斯联邦宪法》第24条:“1.非经同意不允许汇集、保管、使用和传播个人的私生活信息。2.国家机关和地方自治机关,其负责人有义务保障每个人了解直接涉及其权利和自由的文件和材料的权利,但法律另有规定的除外。”
3 《俄罗斯联邦宪法》第25条:“住宅不可侵犯。任何人非在联邦法律规定的情况下或依据法院判决无权违背居住在其中者的意愿而进入住宅。”
1 1995年2月20日第24-ФЗ号联邦法律。
2 СЗ РФ.2006.№31(ч.1).Ст.3448.
3 该令规定了一个封闭的属于机密资料的清单。缩小该需要保护的资料的范围可能被评价为违背宪法,所以它成为保护侵犯隐私的依据。
4 1997年11月15日第143号联邦法律。
1 2001年12月30日第197号联邦法律。
1 См:распоряжение Правительства РФ от 14.04.1999 г.№ 583-р.
2 См:Заключение на проект федерального закона №217352-4“о персональных данных” от 11 февраля 2006 г.исх.№ Пр-210.