第三节 非敏感个人资料的处理依据
应合理且合法地处理个人资料。(79)
——欧盟《资料保护指令》
欲保护个人资料,应先明确资料处理的法律依据,而处理个人资料的法律依据又同资料处理涉及的利益关系及资料保护法的宗旨息息相关。一旦为他人收集,个人资料即脱离资料当事人的控制,并可能经历处理和转移等信息流转过程。该过程不仅涉及资料当事人,还与资料控制者、处理者、资料接收者、第三人甚至整个社会密切相关。资料处理不仅要尊重个人的自由、权利和利益,同时也要保护资料控制者和第三人的正当权益及社会的公共利益。资料保护法应平衡资料当事人与资料控制者和社会之间在资料和资料处理上的利害关系,确保资料处理依法进行,不侵害个人的资料权利,同时兼顾他人和社会对资料和资料处理的正当需求。
总体而言,处理个人资料的法律依据包括三个层面,它们也反映了资料处理牵涉的当事方及其利益和需求。首先,作为一般原则,资料处理应确保资料当事人的利益,在收集和使用资料时应获得资料当事人的同意,或资料处理为保护资料当事人的利益所必需。其次,为保护资料控制者和第三人在资料和资料处理上的正当权益,控制者为履行法律义务或实现自身的正当利益,可在必要时依法处理资料。最后,为保障公共利益,即使未经资料当事人同意,也可以处理个人资料。
一、资料处理的法律依据与欧盟法
(一)资料保护指令
合理且合法地处理个人资料是欧盟《资料保护指令》有关资料处理的首要和最基本的原则。资料处理不仅要依法进行,而且对资料当事人、控制者、接收者等其他当事方与社会而言,资料处理应具有公正性。(80)据此,指令对处理非敏感资料规定了如下法律依据:(1)资料当事人已明确表示同意;(2)资料处理为履行资料当事人作为一方的合同,或应当事人的要求执行订立合同的先行措施所必需;(81)(3)处理为控制者履行其法律义务所必需;(4)处理为保护资料当事人的重大利益所必需;(82)(5)处理为控制者或被告知资料的第三人执行具有公共利益的任务,或者行使职权所必需;(6)处理为实现控制者或被告知资料的第三人的正当利益所必需,除非资料当事人的基本权利和自由等利益优于上述利益。(83)
根据资料处理涉及的当事方和相关利益,上述五种法律依据可分为三大类:(1)从资料当事人的角度看,在知情的前提下,由资料当事人明确同意处理其资料是处理个人资料的一般依据和原则。此外,若资料处理为订立和履行资料当事人作为一方的合同所必需,或为保护资料当事人的重大利益所必需,也可依法处理其个人资料。(2)从资料控制者、资料接收者与他人的角度看,为确保控制者履行其法律义务,或实现控制者和接收者的正当利益,即使未经资料当事人同意,也可以在必要情形下处理其资料。(3)从整个社会的角度看,为保护公共利益,资料控制者和接收人为执行具有公共利益的职责也可以处理资料。
(二)成员国法
对资料处理的法律依据,欧盟成员国的资料保护法均按照指令作出了明确的规定,但它们在结构和内容上仍存在一定的差异。从结构上看,多数国家采纳了指令的形式,单独规定资料处理的合法依据,而有些国家则将其作为资料处理合理且合法原则的补充。例如,比利时、丹麦、芬兰、卢森堡、荷兰、瑞典和英国等国法均明确规定了资料处理的合法依据。但芬兰和英国法将上述依据规定为一项资料保护原则。有些国家只将资料当事人的同意作为首要依据,其他依据均属例外,如希腊、法国、葡萄牙、西班牙和意大利等。
在资料处理法律依据的逻辑结构上,奥地利和德国法值得一提。奥地利法首先规定了依法实施处理、资料当事人同意及保护资料当事人的重大利益,然后将指令中的其他依据归纳为资料处理为保护控制者或第三人的优先性的正当利益所必需。根据德国法,只有符合法律规定或资料当事人表示同意的情况下,才能收集、处理和使用个人资料。它要求首先考虑直接向资料当事人收集资料,未经当事人参与收集资料属例外情形,并明确了资料当事人表示同意的形式和程序。然后,根据资料控制者的公私性质,结合资料处理的特点和具体情况,该法对公共机关和私人机构实施的资料处理规定了不同的依据。对公共机关实施的资料处理,按照资料处理各阶段的特点,该法规定了收集、保存、使用、修改与转移资料的法律依据。例如,公共机关为执行职责可收集个人资料,若法律作出明确规定或资料当事人已表示同意,公共机关可为了收集资料外的其他目的保存、修改或使用个人资料。此外,该法还规定了向公共机关和私人机构转移个人资料的法律依据。对私人机构实施的资料处理,德国法根据资料处理的目的将其分为两类,即为了自身的目的而收集、处理和使用个人资料与业务过程中为转移的目的而收集和保存个人资料,并按照其各自的特点规定了不同的法律依据。
除上述结构性差异外,国内法的具体规定也不尽一致。下文将着重讨论如下几种资料处理的法律依据:资料当事人的同意、为了公共利益处理资料及资料当事人同控制者和第三人间的利益权衡。
二、资料当事人明确表示同意
(一)同意的地位
根据《资料保护指令》,欧盟成员国均将资料当事人明确表示同意作为资料处理的法律依据之一,但它们在该依据的地位、具体规定、解释和要求上仍存在一些细微的差异。从地位上看,如上所述,法国、希腊、意大利、葡萄牙、西班牙和瑞典等国法均将其视为处理资料的首要原则。(84)德国法将当事人同意与依法实施资料处理作为首要原则,其他合法依据均应据其作限制性的解释和适用。(85)多数国家则仅将资料当事人表示同意作为法律依据之一。
资料当事人同意的地位对其他法律依据的解释和适用至关重要,它也是资料当事人行使信息自决权的重要一环。从资料处理过程来看,收集是使用和转移资料的前提。不论是否直接向资料当事人收集资料,如果能事先告知资料当事人有关的信息,如谁为了什么目的将收集哪些资料以及将如何使用资料,资料当事人可据之决定是否提供资料,或是否允许为了特定的目的以特定的方式使用资料。这样,从资料收集一刻起,资料当事人就积极地介入和参与到信息流转过程中。将资料当事人明确同意确立为资料处理的首要依据,必然能够增强个人对信息流转过程的参与,使其更有效地行使个人信息自决权。
(二)同意的实质与形式要求
1.同意的实质要求
作为一种意思表示,同意是具有意思表示能力的自然人,在知情的前提下,依法自由作出的明确、特定的意思表示,它表明个人同意处理其资料。指令对“资料当事人的同意”作出了明确的界定:“资料当事人在知情的前提下作出的任何自由、特定的意思表示,该意思表明当事人同意处理与其相关的个人资料。”(86)奥地利、比利时、丹麦、芬兰、德国、希腊、荷兰、葡萄牙和瑞典等国法也作了类似的界定。(87)
有效的同意至少需要满足如下几个条件:(1)从主体上看,资料当事人需要具有意思表示能力;(2)从前提上看,资料当事人需要了解有关的信息;(3)从作出表示的方式上看,资料当事人应自愿、自由地表示同意,且未受到威胁和限制;(4)从表示的内容看,同意应明确、特定,表明资料当事人同意处理其个人资料。
作为一种民事行为能力,意思表示一般由民法加以规定。无民事行为能力和限制行为能力者应由其监护人或代理人代为表示。例如,根据《爱尔兰资料保护法》,由于生理、心理或年龄等因素,资料当事人若无法评价同意的性质和效果,应由其父母、监护人、祖父母或兄弟姐妹等代为表示同意,且该同意不得为法律所禁止。(88)荷兰法也明确规定,若资料当事人属年龄未满16周岁的未成年人,或者受法律限制或监护,应由其法律代表人代为作出是否同意处理其资料的意思表示。(89)根据法国法,若死亡人于死前未以书面形式明确反对,可处理与其相关的信息,包括死亡证书上包含的信息。经证实其身份,死亡人的继承人,当知悉的事实使其相信资料控制者未更新死亡人的个人资料时,可以要求资料控制者考虑死亡这一事实,并更新资料。(90)因此,处理死者的资料无须获取其继承人的同意,但死者在死前可反对处理其资料,而且继承人也有权要求更新死者的资料。
资料当事人作出同意的意思表示以了解资料处理的具体情况为前提。多数欧盟成员国法仅规定资料当事人需要了解资料处理的情况,或收到有关资料处理的信息,而未明确具体的信息。根据德国法,资料当事人应被告知收集、处理或使用资料的目的,若具体情形需要或经其要求,应告知资料当事人不同意处理其资料的后果。(91)根据希腊法,向资料当事人提供的信息至少应包括:资料处理的目的、处理的资料或其类别、资料的接收者或其类别以及资料控制者的名称和地址。(92)实际上,资料当事人要自由自愿地作出意思表示,首先必须了解有关资料处理的基本信息,如谁为了什么目的收集哪些资料,资料当事人是否必须提供资料,不提供资料的后果以及控制者将如何使用这些资料等。
资料当事人的意思表示必须完全出于自愿,且应自由地表示同意。对此,成员国法与指令的规定完全一致。实际上,这正是欧盟委员会认为在雇佣关系中,雇主处理雇员的资料不得仅以雇员同意为依据的原因,因为雇员往往无法自由地表达其意思。此外,为保护消费者的利益,以消费者表示同意为依据收集和使用其资料必须确保消费者意思表示的自愿、自由和真实性。例如,消费者为了入住宾馆,宾馆提供的协议中多包含消费者同意处理其资料的条款。为了能够享受宾馆的服务,消费者不得不表示同意。
意思表示的内容必须明确,且表明同意处理与其相关的全部或某些信息。资料当事人可以同意处理部分资料,为了某特定目的使用资料,同意使用而不同意披露资料,同意在一国境内使用资料而反对向境外转移资料。此外,资料当事人表示同意意味着相关当事方之间存在积极的沟通。资料控制者不得以个人未对通信作出答复推定资料当事人已经同意,例如因消费者未回应,商家便寄送宣传材料。(93)
2.同意的形式要求
个人以明示和默示的方式表示同意具有很大的区别。明示同意意味着只要资料当事人不以明确的方式表示同意,控制者不可推断资料当事人的意思。相反,若仅要求默示同意,只要资料当事人未明确反对处理其资料,即可收集和使用资料。要求控制者对其处理的所有资料均获得资料当事人的明示同意并不现实,对控制者而言成本过高,且往往也不具可行性。
关于同意的有效形式,各国的规定和做法大不相同。对非敏感资料,指令只要求资料当事人明确表示同意,不论采取明示或默示的方式,而对敏感资料,指令要求资料当事人的明示同意。(94)芬兰、荷兰及葡萄牙法与指令的规定完全一致,(95)其他国家的规定不尽相同。例如,法国、德国、瑞典和英国法对前者仅要求资料当事人表示同意,而后者则要求明示的同意。(96)比利时和西班牙法对前者要求明确的同意,后者要求书面形式的明示同意。(97)丹麦和意大利法的规定较为严格,对非敏感资料,两国均要求资料当事人的明示同意,对敏感资料,丹麦要求明示同意,而意大利则要求书面形式的明示同意。(98)
此外,对是否需要以书面形式表示同意,多数国家的资料保护法未作出明确规定。少数国家虽然原则上要求资料当事人以书面形式明确同意处理其资料,但若具体的情形允许采用其他形式,则无需采取书面形式。例如,根据德国法,在科研领域中,若以书面形式获得资料当事人的同意将严重影响科研的目的,则无须获得当事人的书面同意,但应以书面形式记录资料处理的目的、不表示同意的后果以及要求书面同意将严重损害科研目的的原因。(99)此外,虽然丹麦和意大利法要求明示同意,但并未强调个人须以书面形式作出意思表示。
(三)同意的撤销
根据丹麦与荷兰法,对资料处理表示同意后,资料当事人还有权撤销同意。(100)奥地利、希腊、西班牙和瑞典法除规定资料当事人有权在任何时候撤销同意外,还强调撤销不具有溯及力,而且一经撤销,之后的处理不得再涉及资料当事人的资料。(101)资料当事人对同意的撤销权与对处理的反对权密切相关。若资料控制者以资料当事人已经表示同意为依据开始处理其个人资料,资料当事人撤销同意是行使反对权的一种方式。因此,在以资料当事人同意为依据处理个人资料的情形下,资料当事人可通过撤销同意反对控制者继续处理资料。在控制者根据其他依据处理个人资料的情形下,资料当事人也有权根据正当的理由反对资料处理。(102)
三、资料处理为保护公共利益所必需
个人资料的整个处理过程不仅牵涉到资料当事人自身的自由、权利和利益,还与资料控制者和第三人的正当利益甚至整个社会的公共利益密切相关。为此,资料当事人对资料处理表示同意固然是处理个人资料的首要依据,但绝非唯一标准。对非敏感个人资料,若资料处理所产生的公共利益或对资料控制者或第三人带来的正当利益优先于资料当事人的利益,那么处理其个人资料也具有合法性。指令将其确立为处理个人资料的两大法律依据:前者是“资料当事人同意”之外,公共机关处理个人资料的主要法律依据,而后者则是私人机构处理个人资料的重要依据。
根据指令,不论资料控制者或第三人是否为公共机关,只要是为了公共利益而执行任务或行使自身的法定职权,均可在必要情形下处理个人资料。对此,比利时、希腊、葡萄牙和瑞典法与指令的规定完全一致。(103)此外,指令允许成员国决定上述执行具有公共利益任务或行使职权的控制者应为公共机关、公法法人或私法机构。(104)少数成员国法限定了控制者的范围,如荷兰和西班牙法要求,只有资料处理为公共机关行使法定职责所必需的情况下,才得处理个人资料。(105)根据奥地利法,若资料处理为公共领域中的资料控制者行使法定职责的一个基本需要,或公共领域的控制者为履行其向其他公共机关提供协助的义务,可处理个人资料。(106)英国和爱尔兰法对此作出了解释性规定。(107)根据英国法,若资料处理为下列情形所必需,可处理有关的个人资料:(1)司法,(2)行使法定职责,(3)行使女王、部长或政府的任何职责,(4)为了公共利益,行使其他公共性的职责。(108)实际上,不论是否由公共机关行使职责,只要为了公共利益,都应该可以在必要情形下依法收集和使用个人资料。
四、资料当事人同控制者和第三人之间的利益权衡
(一)资料保护指令
个人资料在个人同公私机构的交往中产生,它与资料控制者、接收者等他人的正当利益密切相关。换言之,资料隐私权并非一项绝对的私人权利。为保障他人的正当权益,同时不损害个人的资料隐私,权衡二者间的关系也是处理个人资料的法律依据之一。根据欧盟《资料保护指令》,若资料处理为实现控制者或被告知资料的第三人的正当利益所必需,且资料当事人的基本权利和自由等利益不优于上述正当利益,可处理个人资料。(109)
具体而言,该依据包括三个要求:(1)处理为实现控制者或接收者的利益所必需;(2)控制者或接收者的利益须合法且正当;(3)资料当事人的权利和自由等利益不优先于上述利益。例如,公司为了合理地监控员工的行为,可监督员工的来往邮件、电话及在办公场所安置摄像头等。这种情形下,作为资料的收集和使用者,公司具有正当的利益,即合理的监控员工在工作场所的活动,提高公司的运营效益,而且监督员工的邮件、电话与设置摄像头等方式也可能是实现上述目的必要方式。但是,它应以不侵害员工的自由和隐私为限,公司应事先将有关情形告知员工,不得随意查阅员工的私人邮件,也不得非法使用和披露员工的资料。
(二)成员国法
在利益权衡这一资料处理的法律依据上,欧盟成员国法大致可分为两类:一类与指令的规定完全或基本一致,另一类规定了更加严格的适用标准。奥地利、比利时、丹麦、荷兰、葡萄牙和瑞典等国法与指令的规定完全一致。(110)法国、爱尔兰和英国法与指令的规定稍有不同,它们要求资料控制者或接收者追求的正当利益不得与资料当事人的基本权利和自由不符,或不得对其产生影响。(111)但在实际适用上,它们与指令并无根本区别。例如,英国信息专员认为应对资料控制者的正当利益做宽泛的解释,并建议只要资料当事人的权利和自由等基本利益不优于控制者的正当利益,即可处理个人资料。(112)芬兰、希腊、意大利和西班牙等国法关于利益权衡的规定更为严格。例如,根据希腊法,资料处理应为控制者和接收者追求的正当利益绝对必需,且该利益应明显优于资料当事人的权利和利益,并不得侵害其基本自由。(113)西班牙法将该依据仅适用于公开性的资料,并要求资料处理为实现控制者或接收者的正当利益所必需,且不得损害资料当事人的基本权利和自由。(114)根据意大利法和芬兰法,利益权衡标准仅可适用于国家资料保护机构批准的情形。(115)
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。