主要国际组织立法概况

第二节　主要国际组织立法概况

网络时代，个人信息的跨国流通在技术上非常简单并且便于实现，这使得个人信息保护问题不再局限于一国之内。于是国际组织纷纷针对自己区域的特点进行保护个人信息的立法活动。1980年OECD指针是最有代表性的保护个人信息的国际立法。随后，在社会逐步信息化过程中，由滥用个人信息带来的个人权利侵害现象越来越普遍，程度也越来越严重。民众和人权组织的抗议和呐喊，促使欧洲议会、欧盟、亚太经合组织等国际组织纷纷制定个人信息保护公约为规范个人信息行为设立操作指南。1990年，联合国也出台了个人信息保护指南。这些国际文件将个人信息保护立法迅速推向了全球，直接影响甚至制约着有关个人信息保护的国家立法。

各国往往由于经济和政治利益、民主和法律制度、宗教信仰等因素的差异，其制定的个人信息保护就会各有特色，换个角度思考就是各不相同，尤其是在保护水平和跨国流通两个问题上难免参差不齐，即便保护水平趋于一致，但各不相同的国内法面对跨国问题则表现出一定程度上的混乱和不适应，于是以保护个人信息为目标的国际合作与国际援助公约和指南诞生了。在网络空间，个人信息的跨国传递十分普遍，个人信息的保护问题也就不再局限于一国。更为重要的是，国际组织以国内法无法完成的方面为关注焦点，一般国际组织是从以下两个角度入手拟定国际公约的:一是对信息主体的权利进行确认和给予跨国保护；二是促进个人信息的跨国流通，倡导信息自由。

一、经济合作与开发组织:一个全球性标准的形成

经济合作与发展组织（Organization for Economic Cooperation and Development，OECD）理事会于1980年9月23日通过了《关于隐私保护与个人资料跨国流通的指针的建议》，在OECD建议中，OECD指针作为附件同时得到通过。OECD理事会制定指针的法律依据是OECD1960年12月14日签订的公约第1（c）条、第3（a）条和第5（b）条关于个人基本权利和自由的规定。理事会注意到尽管各国的法律与政策千差万别，但在保护隐私和个人自由等基本权利方面，存在着共同利益和主张；尤其是个人信息的自动化处理促进了个人信息的跨国流通，而个人信息的跨国流通需要和谐统一的规则。因此，OECD决定推动内国立法朝以下方向发展:关注隐私保护和促进个人信息的合法利用。在“建议”中被具体规定为:①会员国在本国立法时应考虑关于本建议附件中规定的保护隐私和个人自由的指针原则（附件是建议的一部分）；②会员国努力消除、避免产生以隐私保护为名的不公正的阻碍个人资料跨国流通的障碍。以上两个方面的利益平衡是OECD指针提倡的个人信息保护原则的基本目的。OECD指针区分国内和国际两大领域，将个人信息保护原则分成两大部分——国内适用的原则和国际间适用的原则。这些原则是指针明确规定的会员国立法的最低标准。OECD指针第一部分第6条规定:“指针应被视为最低标准，应以保护隐私和个人自由的附加措施作为补充。”

OECD指针一经产生即引起了国际社会的高度关注。是至今最有影响力的国际立法文件，其使用的基础概念是个人资料（personal data）和隐私（privacy）。该指针共分五章二十二条，分别为第一章:总则、特定用语的定义与适用范围。第二章国内适用的基本原则，规定了个人信息保护的八大原则（OECD指导原则）；第三章国际间适用之基本原则——自由流通与法律限制，规定成员国应采取一切适当的措施确保个人信息国际流通的自由，以及对自由流通进行限制的条件；第四章国内实施，规定为确保前二章原则在各国内的实施，成员国应该通过制定国内法、建立机构等方式来保护关于个人信息的隐私和个人自由；第五章国际合作，规定国际互相合作。指针采用“原则”的形式保护个人信息，不仅影响了其后诸多国际组织的立法文件，而且也奠定了国内立法的原则体系的基础。

OECD指导原则是对后世立法影响最大的原则体系，这些原则包括限制收集原则（Collection Limitation Principle）、资料完整正确原则（DataQuality Principle）、特定目的原则（Purpose Specification Principle）、保密与限制利用原则（Use Limitation Principle）、安全原则（Security Safeguards Principle）、公开原则（Openness Principle）、个人参与原则（Individual Participation Principle）、管理责任原则（Accountability Principle）。另外，OECD指针第3部分第15—18条确立了关于个人信息跨国流通原则——自由流通和合法的限制的原则（关于指导原则详见本书第八章第一节）。

OECD指针没有法律约束力，对OECD的成员国不生效，仅仅具有提供参考的作用和价值。但是它还是产生了巨大的影响，尤其是在欧盟以外的国家而言更是如此，如对日本、澳大利亚等国家的立法。并且，OECD指导原则对商业机构的个人信息保护产生了很好的示范作用，被北美的很多公司和贸易团体正式认可，纳入自己的行业自律规范之中，比如其于1996年被加拿大标准社团确立的个人信息保护的道德模式所采纳。更为重要的是，事实上，OECD指导原则已经成为制定个人信息保护文件的国际标准。

二、欧洲议会:有法律效力的保护

欧洲议会（the Council of Europe）成立于1949年5月5日，目前有成员国四十多个，总部设在法国斯特拉斯堡。其设立宗旨是保护和加强多元民主及人权，寻求解决社会重大问题的办法，促进实现欧洲文化的同一性。欧洲议会部长委员会于1981年制定了《有关个人资料自动化处理保护个人公约》（Convention For The protection of IndividualsWith Regard to Automatic Processing of personal Data，以下简称“欧洲议会公约”），其使用的基础概念是个人资料（personal data）和基本人权和自由（human rights and fundamental freedoms）。该公约分为七章二十七条，并于1999年进行了修改。该公约具有国际法上的约束力，签约国负有就其国内法采取必要之措施，以履行公约上规定之法律义务。该公约于1999年进行了修订，共分为七章二十七条，其最大的特色之一是将法人资料和个人资料一并纳入保护范围。根据欧洲议会公约第3条的规定，公约适用于在公私领域的自动化处理个人信息，和手工处理的可以进行检索的档案中的个人信息。

欧洲议会公约第二章题名为“资料保护的基本原则”，是关于个人信息保护原则的规定（简称欧洲议会基本原则）。这些原则包括:成员国责任原则、资料品质原则、资料的特定种类原则、资料安全原则、资料主体的额外保护原则、例外和限制原则、制裁和救济原则、扩大保护原则。除此之外，欧洲议会公约也规定了个人信息的跨国传输原则。

与OECD指针不同的是，该公约具有国际法上的约束力，成员负有采取必要措施，以履行公约要求的义务。并且，从欧洲的角度来看，虽然该公约晚于OECD指针出现，但意义却更加重大。该公约的生效，直接推动了欧洲国家个人信息保护立法的进程，有更多的国家按照公约的精神和宗旨制定了个人信息保护法。并且，值得注意的是，公约对欧盟指令的最终内容产生了重大影响。

三、欧盟:激进的人权主义

欧盟1995年通过了《关于个人资料处理及自由流通个人保护指令》（Directive 95/46/ECof the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data，简称《欧盟指令》），其使用的基础概念是“个人资料”（personal data），以基本人权为价值目标，这些受到指令细心呵护的价值，包括“基本权利”和“自由”以及“隐私”（fundamental rights and freedoms，notably the right to privacy）。欧盟指令于1998年10月26日正式生效。根据欧盟指令的规定，商业机构在收集个人资料之前，必须取得资料主体的明示同意。而且资料主体可以随时要求更正、删除个人资料。值得注意的是，欧盟指令对个人权利的保护要比美国更为全面，贯彻到了任何一个个人资料的使用环节。除了对于个人资料的取得及使用的保护之外，还包括了有关跨国流通的问题。根据欧盟指令，个人资料不可以被传送到一个不能达到适当保护标准的非欧盟的国家。指令规定了个人资料在欧洲共同体内的自由流动的最低条件。指令绪言（3）明确了指令的目的:根据《条约》（《欧洲共同体成立条约》，笔者注）第7 a条，为保证货物、人员、服务和资金在国内市场自由流动，该市场的建立和运行不仅要求个人资料可以在成员国之间自由流动，还要求个人的基本权利得到保护。指令第1条对这个目的再次予以确认，第1条规定:

（1）根据本《指令》，各成员国应该保护个人资料处理中的自然人的基本权利和自由，特别是他们的隐私权；

（2）各成员国不应限制或禁止出于与第1款所提供的保护有关的原因，在成员国之间的个人资料的自由流动。

指令的基本目标在于保障自然人的基本权利与自由，建立最低个人权利（尤其是隐私）的保护标准，调和国际社会关于个人资料立法保护标准的分歧；以及促进资料在15个成员国之间的自由流动。指令的适用范围非常广阔，从适用主体看其适用于所有自然人、法人，只要他们实施个人资料处理行为。并适用于所有机关包括公务机关和非公务机关。从个人资料角度看，指令全部或部分适用于通过自动方法对个人资料进行的处理，以及通过非自动方法对构成编档系统或打算构成编档系统的个人资料的处理。对敏感性个人资料采取了以禁止处理为原则，以特殊情况下的处理为例外的方针。并明确赋予资料主体拒绝其个人资料以自动化方式进行处理的权利。

在适用范围方面，指令既适用于政府机关也适用于商业机构和私人。但公共安全、国防、国家安全以及与国家刑法执行有关的活动中的个人资料处理不适用；同时，纯粹私人的或家庭目的的个人资料处理也不适用。

指令确立了资料处理者对个人资料的义务和责任，以及要求保持对个人资料处理的透明性。并特别提出对敏感个人资料给予特别保护。该指令的最大特色之一是关于资料主体权利的制度构建。根据欧盟指令的规定，资料主体享有以下权利:①访问权。根据指令第12条的规定，资料主体可以不受每隔一段合理时间的约束，无须过度的延迟及费用开支，就可以获知是否对自己个人资料进行处理的确认。在资料处理不符合指南的规定时，要求适当地更改、删除。②拒绝权。根据指令第14条的规定，资料主体有权拒绝对其相关的个人资料进行处理，或者拒绝将自己的个人资料用于直营等。③自主决策权。根据指令第15条的规定，如果对于一个人的决定（比如他的工作表现、信用度、可靠性、行为等作出评价），仅以自动化处理的个人资料为基础，如果这个决定将会对资料主体产生法律影响或对他造成重大影响，各成员国应赋予该主体不服从此决定的权利。④获得救济的权利。根据指令第23条的规定，由于非法处理和任何违反根据该指令所采取的国家行为而遭受损害时，资料主体有权要求赔偿。

欧盟指令采用了最为综合和复杂的手段保护个人资料，它的一般宗旨和原则对后来的个人资料保护立法产生了巨大的影响。

四、亚太经济合作组织:美国影响下的保护策略

为促进亚太地区的电子商务的发展，亚太经济合作组织（简称亚太经合组织，英文为Asia-Pacific Economic Cooperation，简称APEC）第17届年度部长会议就《APEC隐私保护框架（APECPrivacy Framework）》达成协议，^[12]2004年10月29日正式签署《APEC隐私保护框》（简称APEC隐私框架）。这个框架深受美国法律制度和文化的影响，从文件名称中的“隐私”也可以看出这一点。框架使用的基础概念是“个人信息（personal information）”和“信息隐私（Information Privacy）”。1991年11月，我国以主权国家身份（我国台湾地区和香港地区以地区经济名义）加入APEC。《APEC隐私保护架构》的制定在于通过保障个人信息权利保护和促进信息流通两个目标的实现而促进电子商务的发展。APEC认为，每个人对自己的个人信息都有“合理的隐私期待利益（the interests of the individual to legitimate expectations of privacy）”，个人信息保护法的立足点是防止个人信息的“滥用（misuse）”。在此宗旨指导下，《APEC隐私保护框架》的核心第三章关于“APEC隐私保护原则”规定了个人信息保护的九大原则（简称APEC原则）。第一，预防损害原则（Preventing Harm）。该原则规定，经济体应采取适当措施预防个人信息处理过程中“损害（harm）”的发生。同时建立损害救济机制，损害一旦发生，能立即得到适当的救济。第二，告知原则（Notice）。该原则要求个人信息的处理者应当告知信息主体关于个人信息的一系列处理政策。与个人信息相关的开发、实践、政策等的开放性的总体政策应该公开，且应有可行的办法来记录个人数据采集的存在和性质，它们使用的主要目的，以及个人信息采集或掌握者的身份和常住地等。第三，收集限制原则（Collection Limitation）。所谓收集限制是指对于个人信息的采集应受限制，这些限制主要表现在两个方面，其一是收集范围应当与收集目的相一致，其二是这些信息应该通过合法的和公平的手段获得。在适当的时候，应该告知信息被采集者或争得他们的同意。第四，利用原则（Uses of Personal Information）。该原则要求，利用个人信息应与个人信息的收集目的相一致或者相关；且在一般情形下，个人信息不应被泄漏。第五，选择原则（Choice）。该原则指在情况允许的前提下，个人信息处理者应向信息主体提供可供选择的个人信息收集、利用和披露机制。第六，个人信息完整性原则（Integrity of Personal Information）。个人信息完整性原则是指个人信息应保持准确、完整和时新。第七，安全管理原则（Security Safeguards）。该原则是指个人信息应受到合理的安全保障，以防数据丢失，被非法进入、破坏、使用、修改和泄漏等风险。第八，查阅和更正原则（Access Correction）。在一般情形下，个人信息处理者应保障信息主体查阅自己的个人信息，并且可以更正、补充和修改、删除错误的个人信息。第九，责任原则（Accountability）。该原则中个人信息处理者有责任采取有关措施以保证以上各项原则得以实施，尤其是在将个人信息传输给第三人时（无论国内还是国外），个人信息处理者应取得个人同意或竭力采取和框架所要求一致的保护措施以确保个人信息安全。

《APEC隐私保护框架》第四章“执行”要求，各经济体应采取包括立法、行政、产业自律或是以上的综合方式来促使APEC隐私保护框架中所提出的各项权利得以确保和行使。^[13]因此，制定个人信息保护法是我国作为APEC成员的一项国际义务。

五、联合国:无牙老虎

个人信息可以借由网络技术而轻松实现跨国流通。全世界有五百家以上银行通过“swift系统”传递交易，同时也在传递着客户的交易信息，发生于各国银行之间的交易信息传递达每天数十万笔以上。早在1968年，联合国世界人权宣言发布二十周年的“国际人权会议”，就首次提出了“资料保护（data protection）”的概念。这一年因此被誉为“资料年”。随后，国内个人信息保护立法纷纷涌起。为调和不同国家关于个人信息保护国内法的立法差异，加强国际合作与国际援助，许多国际组织做出了不懈努力。1990年12月4日联合国大会通过了《关于自动资料档案中个人资料的指南》（Guidlines Concerning Computerized Personal Data Files，以下简称《联合国指南》），其使用的基础概念是“个人资料（personal data）”。《联合国指南》分为两大部分，第一部分规定了各成员国进行个人资料保护国内立法的最低保护标准。这个标准包括个人资料保护的基本原则、监督与处罚、跨国流通、适用范围等诸多方面。第二部分为联合国指南对政府间国际组织所保有的个人资料的具体规定。

（一）五大基本原则

联合国指南确定了各国立法所应确保实行的最低之基本原则。这些原则有:合法合理原则、准确性原则、特定目的原则、本人参与原则、不得歧视原则、安全原则等六项基本原则。①合理合法原则（Principle of Lawfulness and Fairness）。该原则是指收集、处理个人资料须合理、合法，对个人资料的利用应尊重联合国宪章的目的和原则。②准确原则（Principle of Accuracy）。该原则是指资料处理者负有保证个人资料准确、适当、完整和时新的义务。③目的特定原则（Principle of the Purpose-Specification）。该原则是指收集个人资料的目的应明确合法，对该个人资料的利用只能根据该目的进行，未经资料主体同意，不得对个人资料进行目的外利用；并且个人资料的保存期间不得超过实现该目的所需要的时间。④当事人控制原则（Principle of Interested-Peron Access）。该原则是指资料主体（不论国籍与住所地）有权知悉其个人资料是否被收集和处理，有权对非法的、不必要的或不准确的个人资料进行改正和删除。⑤无歧视原则（Principle of Non-Discrimination）。该原则是指对民族、种族、肤色、性生活、宗教等可能引起歧视的个人资料，不得进行自动化处理。⑥安全原则。指信息必须保证安全，不被盗为他用。

（二）跨国流通的有关规定

为调和不同国家对个人资料跨国流通宽严不一的冲突，联合国指南第9条规定，当两个或两个以上国家的立法对个人资料提供了彼此相当的保护措施时，个人资料应在国家之间自由流通，同时还应注意不能仅仅以隐私保护的理由阻碍正常的个人资料跨国流通。

（三）监督与处罚

联合国指南第8条规定，各成员国应设定一个统一的、常设的监督机关，负责对上述原则的执行情况进行监督，并提供相应的制裁、救济措施。

（四）对政府间国际组织所保有的个人资料的适用问题

联合国指南第二部分规定，指南原则上适用于政府间国际组织所保有的个人资料。

联合国指导原则出台的目的在于鼓励那些没有建立个人资料保护司法体制的国家尽快采取行动，以法律手段保护个人资料；统一各国国内立法之间的不协调，促进个人资料的国际保护。另外的目的在于鼓励政府间和非政府间国际组织以负责的态度对待个人资料处理。联合国指导原则在处理权利保护与资料自由流通两个基本价值的矛盾方面，注重保持二者的平衡。在加强个人权利保障的同时，指南要求各国不得以保护隐私权为名，限制个人资料的跨国流通。值得称道的是，联合国指南首次规定了政府间国际组织保有的个人资料的法律适用问题。但是，联合国指南仅是一种纲领性的文件，并无强制效力，其作用也因此有所折扣。