书城法律个人资料保护法原理及其跨国流通法律问题研究
22486300000034

第34章 个人资料的收集与传输(7)

第五,教育消费者自我保护。通过宣传教育示范,在消费者中树立个人资料保护的观念,推广救济的基本方法。这对于我们这样一个长期忽视个人权益的国家适应网络潮流具有特别重要的现实意义。主要包括:(1)切记网络并不安全,谨慎控制个人资料。要了解网站的隐私权政策,不要轻易相信网上诱因(如盲目参加抽奖或是积累积分换奖)而透露个人资料,特别是要求登记信用卡号、银行账号、通讯地址等易于识别个人的资料。尽量访问资料权保护比较完善的站点,不轻易泄露个人资料,下线前将到访的网络信息(“电子脚印”

electronicfootprint)删除清理干净。(2)了解有关个人资料保护的法律、法规,提供的个人资料有可能跨国流通时要注意资料流入国对个人资料的保护规定。(3)运用先进的信息技术建立个人资料的防护屏障。关注可能对个人资料权造成威胁的新技术、新软件以及有助于保护个人资料的技术方法,使用加密、设置密码、匿名等手段。

二、医疗机构

医疗机构在提供医疗服务的过程中,收集了大量关于生理、疾病、生育等个人资料。我国台湾地区对该领域个人资料保护的法律规范有“医疗法”及其施行细则、“医师法”、“助产士法”、“护理人员法”、后天免疫缺乏症候群(即“艾滋病”AIDS)防治条例及其施行细则、“精神卫生法”、人工生殖技术伦理指导纲领、“优生保健法”等。其为提升医疗功能、安定医疗秩序而确立的尊重原则、有益原则和正义原则,也表明立法者保障医疗消费者“秘匿性利益”、“正确性利益”和“知的利益”等个人资料权益的基本立场。我国有关法律、法规对医疗消费者的个人资料处理少有具体、操作规定,仅一句概括、宣言式的“为患者保密”是不能适应现实所需的。在缺乏个人资料保护基本法的情况下,更难以保护个人在医疗领域里的人格权益。我国应尽快进行该基本法及医疗行业实施细则的研究和制定工作,以改变医疗、法律、法规在这一领域的空白局面。以下讨论医疗机构就人工受精技术收集个人资料及人工受精子女人格权益保护的特殊问题。

人工受精技术给生殖能力有缺陷的男性带来了福音,但是我们也不得不面对人工受精子女日后寻找其生理父亲而引发的一系列人伦及法律问题。这里以瑞典为例,简述有关法规对收集掌握人工受精子女特殊个人资料及其保护的规定,以供我国借鉴。

《瑞典受精法》(SwedishInseminationAct)早在1985年3月1日生效施行,并配合同日施行的《瑞典亲子法》(SwedishParentalCode-Foraldrabalken)修正条款,共同规范人工受精行为和由此引发的法律确认亲子关系问题。两法在保护人工受精出生者个人资料权的主要内容是:1有关精子捐献者的姓名及人别资料,实施人工受精技术的医疗机构应详实登录,并保存于一个特别档案中至少70年。2该档案资料原则上纯为人工受精子女的人身利益而备置,任何因捐献人的精子、经人工受精而出生的子女均有权查阅该相关资料,但必须等到他(她)本人身心已臻相当成熟时方能行使。并且该项揭露的权利,只能由该子女本人行使,法律上的父母纵有监护人身份,也不得代行此权利。3出于维护人伦与既定家庭秩序的公益考量,档案掌握机构不得将捐献者的人别资料向除该人工受精子女以外的任何人公开。捐献者对于接受其精子的妇人及其子女没有知悉其姓名及相关资料的权利;该子女的父母亦不得调阅捐献者的有关资料。4有关捐献者的人别资料仅向该人工受精子女披露的例外:一是在确认人工受精子女出生的纠纷中,捐献者的基因特质作为亲子鉴定的必要依据而由法院向资料掌握机构提出、取得的;二是为该人工受精子女某些遗传性疾病的诊治,资料掌握机构向诊治单位透露捐献者的相关生理资料的。5为防止确定人工受精子女生父的混乱,特别规定不得将数捐献人的精子混合,亦不得在一段时间内,对同一妇女,分别注射数个捐献人的精子,以致无法辨别受孕的精子属谁。

三、金融机构

为方便讨论,这里的“金融”机构采广义的解释,即包括从事狭义的金融业务(银行业务)、证券及期货交易业务、信托业务、保险业务、票据业务、担保业务等相关融资服务的各种组织。而货币政策(包括中央银行制度和外汇管理制度等)及金融监管等国家管理调控的金融业务不在非国家机关主题之内,故不涉及。这里仅就商业银行和证券机构展开讨论。

(一)商业银行根据《中华人民共和国商业银行法》第2条的规定,商业银行是指依照本法和《中华人民共和国公司法》设立的吸收公众存款、发放贷款、办理结算等业务的企业法人,第3条规定了商业银行可经营的十三项具体业务。下面笔者拟以商业银行的储蓄业务和信用卡业务为例谈谈个人资料保护与金融畅通的平衡问题。

吸收公众存款是商业银行的主要业务,商业银行以此聚集巨额社会资金,满足社会化大生产的资本需求,促进市场经济的发展。自然人与法人、其他组织一样,同为商业银行的客户,有权获得平等、自愿、公平及诚信的任何金融服务,储蓄自不例外。在储蓄服务过程中,商业银行就有很多收集储户个人资料的机会。比如,按照银行储蓄业务惯例和国务院发布的《储蓄管理条例》第29、31条及中国人民银行《关于执行〈储蓄管理条例〉的若干规定》第34、35、37条的规定,公民按银行统一要求持本人居民身份证明(居民身份证、户口簿、军人证,外籍储户凭护照、居住证——下同)办理储蓄开户;储户支取未到期的定期储蓄存款,必须持存单和本人居民身份证明办理,代理支取的,代支取人还必须出具其居民身份证明,需要出具其他证明的特殊情况由储蓄机构业务主管部门自定;储户存单、存折遗失的挂失支付,须持本人居民身份证明,并提供姓名、存款时间、种类、金额、账号及地址等有关情况,向原储蓄机构书面申请办理。对储蓄查询的规制,主要集中在《储蓄管理条例》第32条第2款和中国人民银行《关于执行〈储蓄管理条例〉的若干规定》第39条,这些规定在一定程度上保障了储户的个人资信资料权益,并在触及国家安全和打击犯罪的情况下保障国家职能的优先履行。为保护储户的合法利益,规范银行业务行为,提高融资服务质量和维护金融秩序,有关法律、法规均明文规定了“存款自愿、取款自由、存款有息、为存款人保密”的原则,但其操作实效往往取决于各商业银行内部的业务准则规范,储户很少对银行的业务行为是否侵犯其个人资料权有疑问。

信用卡业务也是商业银行一项新兴而繁荣的业务,它是指商业银行通过特定的信用支付工具为个人或单位办理的转账结算、存取现金、消费信贷等业务。根据中国人民银行发布的《信用卡业务管理办法》第34条的规定:个人信用卡的申领应按规定填制申请表,连同有关资料一并送交发卡银行,对符合条件的,发卡银行为申领人开立信用卡账户并发给信用卡。另外,该办法第42、43、44、45条关于持卡消费和转账结算的规定、第50条关于存取现金及其代理的规定,都涉及个人资料的收集和运用。可见,信用卡业务与个人基本资料及资信资料紧密相连。建议研究高质量的行业操作规范(包括程序规程、技术安全、人员管理等各方面),制定个人资料保护法的银行业实施细则或特别法规,从保障客户权益的角度促进银行系统的规范化和秩序化。

(二)证券机构

这里以网上证券交易为典型予以说明。网上证券交易,是指投资者(这里讨论个人的情形,俗称股民)通过互联网,向其开户的证券公司下达证券交易指令、获取成交结果以及进行资金划拨、资料查询的一种证券交易方式。股民必须先与特定的证券公司办理网上证券委托手续,才能通过证券公司这一网上证券交易服务的提供者和主导者,与其他投资者从事买卖证券交易。根据中国证监会2000年4月14日发布的《网上证券委托暂行管理办法》的有关规定,证券公司对收集投资股民个人资料的处理义务有:1业务规范方面:(第6条)证券公司在为投资者办理网上委托相关手续时,应由投资者本人申请办理并要求投资者提供身份证明原件,并向投资者提供证实证券公司身份、资格的证明材料。禁止代理办理网上委托相关手续。(第7、9条)证券公司应按专门的工作程序处理业务,与客户本人专门签订的书面委托协议应妥善保存,不得向外泄露客户的个人资料,定期向进行网上交易的投资者提供书面对账单。

2技术规范方面:(第11、13条)有关网上投资者资金账户、股票账户、身份识别等数据的程序或系统不得托管在证券公司的合法营业场所之外,并须与未申请网上委托的投资者的所有资料进行技术隔离。(第14条)网上委托系统应有完善的系统安全、数据备份和故障恢复手段,在技术和管理上要确保客户交易数据的安全、完整与准确,客户交易指令数据至少应保存15年,允许使用能长期保存的、一次性写入的电子介质。(第17、18条)应对网上委托的客户信息、交易指令及其他敏感信息进行可靠的加密,能正确识别网上投资者的身份,防止仿冒客户身份扰乱交易秩序。3信息披露方面:(第22、23条)建立有效、完备的信息披露制度,及时、准确地向客户提供证券交易行情信息及其来源,并提示投资者对行情信息及证券信息等进行核实。

四、电信机构

根据《中华人民共和国电信条例》(以下简称《电信条例》)第2条第2款的规定,电信是指利用无线、有线的电磁系统或者光电系统,传送、发射或者接收语音、符号、文字、数据、图像及其他任何形式信息的活动。电信业务(telecommunicationsservice),是指电信营运商以收取费用为条件,向社会公众提供各种电信服务项目。我国《电信条例》第8条将电信业务划分为基础电信业务与增值电信业务,条例所附的《电信业务分类目录》又对这两大类电信业务有具体划分,并规定国务院信息产业主管部门根据实际情况可以对电信业务分类目录作出局部调整。值得注意的是,我国电信法律显然将网络在线服务商(onlineserviceprovider)的各种业务(包括因特网接入服务IAP、因特网联机服务ICP、因特网信息服务ISP以及电子公告牌系统服务BBS等)均纳入其规制范围,其目的是为了“符合全球电信网、广播电视网和计算机网‘三网合一’的发展趋势”。但也有因“电信”不同内涵理解而对此持不同意见的,如美国联邦通信委员会(FederalCommunicationsCommissions,简称FCC)就认定ISP不是电信营运商,无须交纳电信营运商所应当缴纳的普遍服务基金(universalservicefund)。另根据欧盟《电信行业数据保护指南》第2条“公共电信网络”和“电信服务”的定义,其规制范围不包括无线电和电视广播。鉴于目前各国理论和实务的分歧颇大,前文也已有网络商家的讨论,这里主要针对传统电信业务说明收集个人资料的问题,而不再涉及网络在线服务商的业务。我国目前电信法规规定仅着重于技术营运和国家管理的层面,对个人资料保护的条文少之又少,下面介绍欧盟《电信行业数据保护指南》的主要规定,以期对我国今后立法有所裨益。

欧盟《电信行业数据保护指南》第5条关于“通信的机密性”规定:成员国国家法规应该确保公共电信网络和公共电信服务所进行的通讯的机密性。特别应该禁止在没有获得用户同意的情况下,其他人对通信进行的收听、窃听、存储或其他形式的监听或监视(但为了保护国家安全、防御、公共安全,以及防范、调查、侦查和起诉刑事犯罪所必需的措施等法律许可的情况除外)。又根据《有关个人数据和在电信行业中保护隐私》对该指南的立法说明:“(第17条)为了建立呼叫而进行的处理的与用户有关的数据包含关于自然人私生活的信息,并涉及尊重他们的通信权利以及法人的合法权益;在某种程度上,这些数据只能在有限的时间内,根据服务规定的需要,用于记账或相互支付的目的进行存储;如果公共通信服务者出于自身通信市场的需要,想对数据进行进一步的处理,必须首先取得用户的同意,前提是提供者必须准确全面地告知用户有关他将进一步进行数据处理的类型。”“(第18条)明细账单的引进使用户可以对服务者收取的费用进行核实;同时,也可能危及公共通信服务的用户的隐私,所以,为了保护用户的隐私,各成员国必须鼓励发展电信服务的限制权,如采取允许匿名使用或完全属于私人使用公共通信服务的支付途径,比如呼叫卡和通过信用卡支付的方式;若非如此,此出于同一目的,各成员国可以要求从上述明细账单的被叫号码中删除某些数字。”指南于第6条“数据量和账单数据”、第7条“明细账单”和第8条“呼叫及连接线路识别的显示和限制”等诸条详细规定了电信行业收集掌握个人资料应遵守的规程。另外,指南第4条“安全”提供了公共电信服务者应采取的技术和组织措施以保障其服务安全性的一般标准,并规定了服务者预防特殊风险的费用分担和补救措施的通报义务;第11条“签约用户目录”规定了签约用户的查询权和删除权,特别是“有权指明不可以将他或她的个人数据用于直接营销目的”。总之,欧盟《电信行业数据保护指南》是对欧盟95指令所确立的各项原则在电信领域内个人资料保护的最低标准和操作细化,对于我国空白法规的填补有借鉴意义。