关于电子档案中个人资料的法律保护
内容摘要:我国档案工作已经进入电子档案时代,电子档案中的个人权利问题成为一个十分敏感的法律问题。电子档案所涉及的个人就其个人资料享有公开权、请求告知权、保持个人资料正确完整的权利、阅览及制给复制本权、删除权、报酬请求权、损害赔偿请求权等基本权利。
关键词:电子文件 个人资料 个人资料权利
随着计算机的广泛应用和办公自动化的实现,电子文件大量产生。电子文件是以代码形式记录于磁带、磁盘、光盘等载体,依赖计算机系统存取并可在通信网络上传输的文件[1].电子文件的诞生标志着档案开始发展到一个新的阶段——电子档案阶段。信息技术融入档案工作,使得档案管理更加高效、迅捷、低成本化,加上档案电子化和网络化后,最大限度的利用了档案资料,产生了巨大效益。然而,电子档案和许多新生的信息技术产物一样,从出生时起就面临着许多法律上的尴尬,如电子档案的法律地位问题[2]、原始性问题[3]、保密性问题[4]等等。随着国际社会对个人资料的保护,电子档案所涉及的个人的权利问题成为一个十分敏感的法律问题,这个问题在我国的档案管理中更是突出。
一、电子档案与个人资料
电子档案是传统纸面档案的电子化与网络化产物,与纸质档案有相同的本质,都是文件存在的一种方式。但是,电子档案与纸质档案也有明显的特点[5]:首先,电子档案中信息与载体可以分离(信息数据化、载体虚拟化);其次,可复制性强,复制件和原件不易区分;第三,信息的稳定性较弱,比如说修改相对容易,并不留痕迹,信息容易丢失等。电子档案的这些特点使得电子档案中的个人资料容易处理,也容易遭受侵害。电子档案中记载的公民的基本特征和情况的资料,构成个人资料。所谓个人资料,也称个人数据(personal data)是指自然人的姓名、性别、年龄、民族、籍贯、住址、学历、职业、婚姻、家庭、健康、病历、特征等单独或与其他信息共同形成的,足以识别该个人的资料。这种资料以一定的媒介作为载体,在计算机和计算机网络环境下,通常以网络、光纤、硬盘和其它硬件设施为载体,采用丰富的表达方式,如符号、声音、动画、电影、录像等等。
个人资料有如下特征:
1、个人资料的主体限于自然人,而不包括法人。自然人是基于出生而取得民事主体资格的人。自然人是个人资料的信息源,个人资料负载了自然人的人格利益,个人资料应得到法律保护,这是当代保护自然人一般人格权的必然选择。民事主体的外延十分广泛,除自然人外,还包括法人和非法人组织。法人和其他非法人组织虽然拥有它们在经营活动中形成的各种资料,但这些资料并不构成本文所研究、讨论的个人资料。即纯粹关于法人及其它非法人组织的资料不是个人资料。当然在法人及其它非法人组织营业活动中收集的关于其客户、员工的资料中,有一部分或全部可能会构成个人资料。
2、个人资料是可以单独或与其他信息结合共同识别特定自然人的资料。在纸张、证件、文件、硬盘、网络服务器等媒体上储存的个人信息是很丰富的,它们涉及个人的方方面面,包括姓名、性别、爱好、兴趣、社会保险号码、身份证号码、个人习惯、肖像、漫画、奖励、职业、收入、学历、婚姻状况、病历等等。其中,有些能直接指向某人,有些则不能直接指向而必须与其它资料一起才能用于识别某人。能直接指向的,笔者称之为直接个人资料,如肖像、姓名、身份证号码、社会保险号码,即为此类。与其它信息结合才能指向的,称之为间接个人资料,如性别、爱好、兴趣、习惯、职业、收入、学历等等,无法仅通过它们之一就能判断出这是何人的资料。由此可见,间接个人资料并不是严格意义上的个人资料,它只是一种可能意义上的个人资料。需要指出的是,不论是直接或是间接个人资料,它们的要件在于足资识别某人。
3、个人资料并不必然为个人资料本人[6]所知。如个人上网时被网络服务提供商非法收集的个人资料,医生掌握的绝症患者未知的个人现实疾病情况的资料,父母知道的而子女不知道的关于子女出生地、出生日期的资料等等。个人资料的这一重要特征,不论在理论和实践中都有重要意义: a、个人资料不仅指个人知道的资料,其还包括本人不知而足以识别自己的资料; b、个人资料保护法保护的不仅是本人知道的个人资料,而且也保护本人不知道的关于本人的资料,这就提供了在本人不知情的情况下,对个人资料的保护。
4、个人资料是关于特定或得特定自然人属人或属事之资料。属人的个人资料反映的是个人资料本人的自然属性和自然关系,它主要包括本人的生物信息。属事的个人资料反映的是本人的社会属性和社会关系,它反映出资料本人在社会中所处的地位和扮演的角色。所谓“特定”是指“若某一个别资料得自于某人,而且只有该某人始可能产生此种结果者,该某人即为特定之人。至于以何种方式来辨识关系人和呈现其间之关系,则非所问。”所谓“得特定”是指“当某特定人虽然无法单独以资料来确认,但藉由其他相关资讯之综合研判,仍可得出系某特定人时,此时既可谓该资料系”得特定“为某当事人所有。例如,从大学考试所公布之成绩统计表中,可以相当简单地查知参加某一学科考试之唯一考生。”[7]
二、电子档案中个人资料引发的法律问题
(一)问题的提出
在现代社会中,对个人资料的计算机处理和网络传输经常引发各种问题,概括起来有如下几种:
1、大量的个人资料在不知不觉中被收集、处理、传播、利用,加上计算机资料比对,使个人资料本人成为无任何隐私可言的“透明人”,让人们普遍感到不安;
2、非法收集、处理、保存和利用个人资料,使个人资料不能与人格保持同一性并带来其他人格利益的损害等问题;
3、随着信息技术和网络的发展,个人资料经由计算机和网络被非法或不当收集、处理、利用的可能性大大增强,人们的人格利益以外的合法权益受到个人资料泄漏的影响而处于极大的危险之中。这些问题使个人资料保护获得越来越多的支持,引起各主要发达国家的关注。
就电子档案而言,国内目前出现的一些情况和现象急需法律来调整和规范。例如,未经档案所涉及的个人的同意以营利为目的向各有关组织出售其档案记录,档案管理机关未对电子档案采取足够的安全措施致使个人资料泄露,档案管理机关不允许档案所涉及的个人查阅档案中的个人资料,通过网络可以查知电子档案中的个人资料等等。
(二)保护的法律基础
个人资料保护的法律基础究竟为何,是个值得研究的问题。国内学者的著述和论文多认为,保护个人资料就是为了保护个人资料本人的隐私,个人资料本人享有的各种权利渊源于个人对其隐私信息的支配。笔者认为,这种观点,值得商榷。举一个例子,就能否定这种认识。交友网站上公开给网民阅览的个人资料不构成隐私,没有承载隐私利益,这时有人非法修改、删除这些资料,如果援用隐私权的规定,个人资料本人将得不到任何救济。
既然不是隐私权,个人资料的民法基础究竟为何?笔者认为,个人资料的法律基础在于保护个人资料所承载的民事主体精神性人格利益。个人资料不但是个人自然属性、生物属性的表现形式,而且是个人的社会属性和各种社会关系的表现形式,其上承载了个人资料本人的各种精神性人格利益,侵犯个人资料必然造成本人的某种精神利益的损害,甚至带来精神痛苦。为此,个人资料本人可以如姓名权人支配其姓名、肖像权人支配其肖像那样,依法支配和控制其个人资料,保护其精神性人格利益,任何人不得非法干涉,否则构成侵权。
个人的精神性人格利益是难以列举穷尽的,它的具体内容只能在个案中予以确定。对自然人精神性人格利益的保护,多采取保护精神性人格利益载体的方法来实现。对姓名权、肖像权的保护就属于这种情况。因此,我们只能说个人资料承载了精神性人格利益,而不能抽象的确定究竟承载了那些精神性人格利益。应注意的是,个人资料保护的精神性人格利益也包括隐私利益,当某种个人资料构成隐私信息时,这种个人资料获得隐私权和个人资料保护法的同时调整,发生竞合。
那么,个人资料承载的利益可否是财产利益呢?笔者认为个人资料保护的核心意义在于精神性人格利益,而不是财产利益。有学者认为“个人资料是一种具有潜在价值的信息,个人对该资料享有无可争议的所有权。”并认为“……所有权人均享有对个人资料的占有、使用、收益、处分权。”[8]这种认识显然不妥。个人资料是个人人格的外化,它本身体现的是人格利益而非财产利益,它不具有直接的财产内容。而且所有权的客体必须是独立物和特定物,个人资料也无法满足这一要求。把本人对个人资料的权利理解为所有权,会导致逻辑上的混乱。
个人资料体现的主要是人格利益而非财产利益,并不是说个人资料毫无价值。相反,同其它人格权客体一样,个人资料可以间接表现出它的财产价值。[9]如名人的个人资料可以被利用于电影,名人可以从中获得收益;个人资料被侵权后,本人可以要求精神损害赔偿等等。正是个人资料的这种财产价值,使得个人资料被广泛的非法收集、处理、保存和利用,使得个人资料保护问题更显紧迫。
由于个人资料直接关涉个人的精神性人格利益,在社会各界的呼吁下,个人资料保护在发达国家很快得到了立法支持。美欧等发达国家先后出台各自的个人资料保护法和相关法律、法规,如德国1977年《联邦个人资料保护法》、英国1984年《自动化处理个人资料之利用与将其提供于公务规范法》、法国1978年《资料保护法》、日本1988年《有关行政机关电子计算机自动化处理个人资料保护法》;国际组织也制定了个人资料保护的相关规则,如经济合作与发展组织1980年《隐私权保护及个人资料跨国流通准则》、欧洲理事会1981年《个人资料自动化处理时个人保护公约》、联合国1990年《自动化资料档案中个人资料处理的有关准则》。不仅如此,我国台湾和香港地区也出台了相关立法。
三、个人资料保护的原则
个人资料保护得到立法的支持后,很快形成了一些原则:
1、限制收集原则。这一原则的内涵主要是,对个人资料的收集原则上应加以限制;资料的收集应有法律上的依据或当事人的同意。
2、资料完整正确原则。这一原则的内涵主要是,收集、处理、保存和利用的个人资料应是关于个人的某一方面的完整的信息,资料的内容反映资料本人当前的而不是过去的实际状况,资料不但是完整的而且是正确的。
3、目的明确原则。收集个人资料应基于特定目的,目的应当是合法的;利用个人资料原则上应与收集时的目的相一致;只有在为维护自身重要利益、社会公益或经资料本人同意的情况下,才可用于不同与收集时的目的。
4、利用限制原则。个人资料的利用除法律规定和经当事人同意外,不得为收集时目的以外的利用。
5、安全原则。收集、处理、保存和利用个人资料的主体应当尽谨慎小心之注意义务,采取各种可能的措施保证个人资料不被非法收集、处理、删除、更改、利用并免于其它潜在的危险。
6、本人参与原则。本原则是指个人资料本人对其个人资料得依法进行支配和控制的权利,与个人资料相关的其他主体负有不干预权利人实现其权利的义务。
7、公开原则。这一原则是指收集个人资料应当公开,不应秘密进行。收集方式、方法、程序、个人资料目录等内容应当公之于众。这里需要指出的是,公开的信息不应包括个人资料的内容,这里的公开主要是为了使个人资料本人知道何人于何时在何地以何种方式收集、处理、保存和利用其个人资料。
上述这些原则的主要任务在于保障资料本人对其个人资料依法进行支配和控制,从而保护资料本人的存在于个人资料上的人格利益。
四、电子档案中的个人权利与档案管理者的义务
法律主要是通过规定当事人之间的权利义务来调整各种社会关系的,个人资料保护法同样通过规定个人资料当事人之间的权利义务来调整他们之间的关系。
(一)本人所享有的权利
世界各国个人资料保护法均有当事人权利的明文规定,且各有不同。[10]在这里不能一一阐述,只能择其要者和普遍规定者并根据学理予以介绍。本人依个人资料保护法和个人资料保护理论可以享有如下主要权利:
1、公开权。除法律另有规定外,本人可以决定,何时何地向何人公开其个人资料。
2、请求告知权。查询权的基本内涵是本人可以要求档案管理者告知是否保存了他的个人资料、保存了他的何种个人资料、保存了多少他的个人资料、个人资料的收集方式等有关其个人资料的信息。
3、保持个人资料正确完整的权利。本人有权要求档案管理者就其保存的个人资料与本人的实际状况一致。在不一致时可以要求更改、删除错误的内容或补充不完整的内容,以确保档案管理者收集的关于本人的某方面的信息的真实性。
4、阅览及制给复制本权。本人可以依法查阅档案管理者保存的个人资料,并请求档案管理者制给复制本。
5、删除权。依学说的一般观点,资料收集、处理或利用后,原则上不应保存,除非法律有特别规定须要保存,始得保存。因而,在档案管理者没有法律规定和合同约定时,非法储存本人的资料、超过范围储存资料、逾期储存资料,本人均得要求予以删除。
6、报酬请求权。报酬请求权,简称报酬请求权,是指本人因其个人资料被收集、处理与利用而得以向资料处理主体请求支付对价的权利。未经本人同意档案管理者不得将其个人资料用于营利目的,档案管理者将个人资料应用于营利目的应支付报酬。对档案管理者非法将本人档案资料用于营利目的所得收入,本人可以以不当得利要求返还。[11]
7、损害赔偿请求权。档案管理者违反个人资料保护法致本人权益受损的,本人可以要求档案管理者承担损害赔偿责任,但档案管理者可以证明自己无过错的不在此限,即在归责原则上适用过错推定原则。
本人享有上述权利,是为了本人能以积极的行为支配其个人资料,同时在个人资料受侵犯时又可以得到法律的救济。从积极权利和消极权利两方面入手保护本人基于其个人资料而享有的人格利益。
(二)档案管理者负有的义务
档案管理者的义务是与本人的权利相对的,档案管理者作为本人档案的建立者和使用者,对本人档案中的个人资料负有如下几项重要义务:
1、告知义务。档案管理者应以适当的方式向个人资料本人告知其收集个人资料的方式、程序、范围、目的、使用期限等信息,方便本人知悉有关其个人资料档案的收集、处理、保存、利用状况。
2、保护本人电子档案资料同一性的义务。电子档案资料同一性是指收集、处理、保存和利用的个人资料与本人的实际情况相一致。建立电子档案时,应如实收集、处理、保存和利用本人的个人资料。不得收集不真实的资料,也不得断章取义地收集个人资料。处理后的资料要与收集时的资料相一致,处理后的资料与收集时的资料不一致的,要以收集时的资料进行校对。保存的资料要如实的反映本人信用的实际状况。利用过程中的信用资料也应与本人的实际状况相符。从这四个环节把握,才能保证本人信用资料的真实性、全面性,才不致于发生侵权。
3、维护本人电子档案库安全的义务。维护安全的义务,是为了防止本人档案信息被非法收集、处理、保存和利用。据此,档案管理者在人员、技术设施、管理制度上都应加强对本人电子档案库的保护。特别是那些将档案网络化的档案管理者,更应注意预防黑客和计算机病毒的攻击。
4、在本人行使查阅、复制、更改、删除等权利时提供必要条件和方便的义务,如提供网络的接入服务、告知档案密码、设置专人提供检索服务等。
5、未经本人同意不得将本人电子档案资料用于营利目的或其它目的。未经本人同意,将本人电子档案资料用于收集个人资料时的目的以外的用途,要承担相应的侵权责任,据此获利的,要承担不当得利返还责任。
6、承担侵权责任。
档案管理者承担上述义务主要是为了协助本人权利的实现,在利用本人电子档案的同时,对本人的个人资料提供最大限度的保护,以维护本人的合法权益。
要指出的是,以上介绍的权利和义务,在有个人资料保护的国家都得到普遍的承认,同时也适用于其它因个人资料保护而形成的其它关系。个人资料本人享有以上本人享有的权利、个人资料的其它当事人也负有以上档案管理者负有的各项义务。
为捍卫本人的精神性人格利益,档案管理者收集、处理、保存和利用本人个人资料急需相关立法的调整。虽然现在还没有个人资料的全国性立法,但可喜的是,我国地方性立法已开始保护特定领域的个人资料。[12]相信在不久的将来,我国将建立起个人资料的保护制度,对个人资料提供充分的保护。
--------------------------------------------------------------------------------
[1] 韩捷:《浅析电子文件与电子档案》,《黄河科技大学学报》,2003年第1期。
[2] 徐富荣:《论电子档案的法律凭据》,《档案学研究》,2002年第2期。
[3] 何玲:《电子档案原始性的认定》,《中国档案》,2001年第2期。
[4] 康燕玲:《浅析电子档案的安全保密及法律认可》,《河南社会科学》,2002年第4期。
[5] 韩捷:《浅析电子文件与电子档案》,《黄河科技大学学报》,2003年第1期。
[6] 个人资料本人是指以个人资料识别的特定的自然人。
[7]罗明通等著:《电脑法(下)》,[台]群彦图书股份有限公司,1994年版,第525页。
[8] 汤擎:《试论个人资料与相关的法律关系》,《法学论坛》,2000年第5期。
[9] 参见王泽鉴:《民法总则》,中国政法大学出版社,2001年7月第1版,第134页。
[10] 例如,美国1974年隐私权法第d、h条;德国联邦个人资料保护法第19条至21条,第33条至35条;瑞典修正咨询法第8、10条。
[11] 卲建东等译:《德国民法中的一般人格权制度》,梁慧星主编:《民商法论从》第23卷,第463页。
[12] 据了解上海市于2003年1月1日正式实施的《上海市消费者权益保护条例》提供了对消费者个人资料的保护。这是我国地方性立法第一次规定个人资料保护。
上一篇:关于完善中国行政许可听证制度
下一篇:试关于行政合同的救济制度