欧盟95指令赋予个人资料本人三项基本权利:1本人查询的权利。第12条第1款规定,(1)明确了解与其有关的资料的处理,至少包括处理的目的,有关资料的类别,资料的收受者或其类别。(2)取得有关档案个人资料及资料来源的信息,应以本人明示的方式为之。2更正删除或封锁个人资料。第12条第2款规定,当事人有关资料的处理,不合本规章规定的,特别是资料不完整或不准确的,应给予适当更正、删除或封锁。3反对的权利。第14条规定,本人对其下列个人资料的处理,可以反对:(1)资料的处理依据第7条第5款,由于公共机构要保存有关本人的资料,而本人有正当理由的,可以反对处理特定资料。(2)资料处理者为直接行销处理的资料,或为直接行销目的而初次传送给第三人的,应当通知本人,本人可以反对以此为目的的利用与传送。
(二)美国
美国隐私权法对于资料权内容规定了以下几点:1联邦政府各机关所具有的通讯簿或名册,除为公务使用外,禁止外流;2资料被收集人发现资料不正确时,可以要求更正之;3联邦政府于向个人收集调查个人资料之时,必须先向被收集调查的主体告知此项政策的合法性,并且须告知资料的用途;4联邦政府所收集到的资料,应力求正确,从新及完整。
(三)我国台湾
我国台湾“资料法”第4条规定:本人就其个人资料依本法规定行使之下列权利,不得预先抛弃或以特约限制之:1查询及请求阅览。2请求制给复制本。3请求补充或更正。4请求停止计算机处理及利用。5请求删除。第6条规定:个人资料之收集或利用,应尊重本人之权益,依诚实及信用方法为之,不得超越特定目的之必要范围。
我们认为,资料权应当包含以下内容:资料决定权、资料保密权、资料查询权、资料更正权、资料封锁权、资料删除权以及资料报酬请求权。
二、资料决定权
资料决定权,简称决定权,是指本人得以直接控制与支配其个人资料,并决定其个人资料是否被处理以及以何种方式、目的、范围被处理的权利。
决定权集中反映了资料权的人格权属性——绝对性与支配性,在各项权利内容中居于核心地位。决定权是本人就其个人资料拥有的首要的权利,也是基础权利,本人对个人资料的决定权派生其他权利。决定权在一些国家与组织的立法中有如下体现:1全美NII参加者制定的隐私权保护的权利赋予原则。
根据该原则,个人应该通过掌握知晓自己资料的手段,在个人资料被使用或不能保障充分的资料内容公正时对个人资料的更正手段,为保持传送中及处理中的机密性和安全性而采用的暗号化的技术控制手段,适当的时候保持隐名等手段来努力保护个人的隐私。2OECD指针建立的个人资料跨国流通的基本原则:限制收集原则、限制利用原则与个人参加原则。根据限制收集原则,对资料的收集必须经本人同意并以合法与公正手段于适当场所为之;根据限制利用原则,除本人之同意外,不得作目的范围以外之利用。个人参加原则:个人有权利向资料处理主体确认是否保有自己的资料,并可要求删除、改正自己之资料。3欧盟95指令第6条规定,在资料保管上须遵循资料的本人所允许的形式;第14条规定,基于公共理由所得保有之个人资料,本人有正当理由时得以反对处理其特定资料。
我国台湾学者许文义认为,“请求答复查询权”是个人资料保护法中本人权利的首要内容,为诸权利之开端。这是因为,资料保护之实施与执行,系以机关对本人为资料保护上的答复与查询为前提;此外,“请求答复查询权”系由宪法规定所导出并承认一般人格权的结果,是为一个确保资料保护特别重要之前提条件,同时亦有保护与监督权之特征。我们认为,不应将“请求答复查询权”定性为本人权利的首要权利。首先,从权利性质上讲,资料权属于支配权,具有排他性与对世性;而本人请求查询与答复的权利是请求权,不能体现资料权的支配性。其次,从权利之间的关系上看,请求查询与答复权是本人对资料决定权的表现和派生。本人之所以有权利向资料处理主体查询并请求其答复,是基于他对自己资料的决定权。再次,从保护本人权益的角度看,将请求查询与答复的权利定位于本人的首要权利,就是将对本人合法利益的保护定位于请求权基础上,而请求权的行使方式是要求对方为或不为一定行为,否则权利利益不能实现。这就将本人的权益的实现建立在他人意志与行为的基础上,显然不利于保护本人的权利。最后,从权利内涵上看,“请求查询答复权”
包含在本人决定权之内。总之,无论从权利性质、权利之间相互关系还是从保护本人合法权益角度出发,决定权都是本人的首要权利。
个人资料决定权的内容主要有:
1本人有权对个人资料直接控制与支配。(1)本人对个人资料得以直接控制与支配而保持不被他人非法收集与利用;(2)本人得以以适当的技术(如用加密的方式封锁计算机信息)保护资料的内容隐秘与完整。本人有权利保护自己个人资料的真实性与完整性,当资料的真实性与完整性受到损害时,本人得以对资料进行更正与补充。所谓“更正”,是指对错误或过时的资料内容加以修正或替换;所谓“补充”,是指补足遗漏部分的资料内容,回复资料的完整性;除此之外,在资料过时或错误的条件下有权消除与封锁个人资料。
2本人有权决定个人资料是否被收集与利用或进行更新。对于本人以何种方式表示其决定,依我国台湾“资料法”第7条、第8条、第10条及第23条规定,除有“法律”明定的例外情形之外,公务机关、非公务机关进行个人资料的收集、处理及利用之前,必须征得本人的书面同意。我们认为这条内容可以借鉴。允许个人资料为他人所收集与利用,实为本人对自身人格与精神利益的处分行为,故此行为的作出不得不谨慎。因此,应当规定本人必须以书面的形式同意或不同意资料被控制与利用;除此之外,采用书面形式易于本人与个人资料处理主体在诉讼过程中举证。当个人资料以计算机方式被进行处理时,本人决定是否提供资料可以用“optin”方式进行。此前,部分人认为可以用“optout”决定是否同意,我们认为不妥。“optout”所指的是“拒绝的选择权”,意指个人资料本人若未明示地拒绝,则视同已答应对资料的控制与利用行为。反之,“optin”指的是“同意的选择权”,本人若未明示地同意,则视同拒绝对资料的控制与利用。本人是否同意资料被收集与利用,应以书面的明示方式表示,而单纯的沉默并不构成明示的同意。因此,我们主张“optin”的方式。
3本人有权决定资料在什么领域及基于什么目的、何种方式被处理。(1)本人有权以自己独立的意思决定哪种资料可供收集与利用,哪种资料不能被收集和利用。在个人资料的利用尤其是商业利用中,这种选择决定的权利往往被非法剥夺。例如,在商业网站中,商家往往利用Cookies等跟踪技术手段收集与利用消费者的个人资料,这样,对于消费者而言,其在网站中的一举一动都赤裸裸地暴露于监视记录下。虽然商业网站可能会在其隐私权政策中说明其已装置程序,消费者可将Cookies关掉,但当消费者关掉后再度上网时,许多网站都有“显示不全”的小窗口,从而消费者失去了交易机会。这样,消费者在正常行使决定权时,反而遭受到网站“惩罚”的命运。(2)本人有权决定个人资料基于何种目的被收集与利用。为了保证本人得以行使此项权利,资料的处理主体应当事前将收集目的及使用于何处等事项在合理日期内告知本人。此外,根据“目的明确化原则”,个人资料之收集目的,至迟于收集时必须明确化,且于其后资料之利用,除非经本人同意,不得与已达成的目的相冲突,不能用于其他目的。(3)本人有权决定以何种方式利用该资料。例如,本人可在资料的传输与使用中以匿名的方式隐藏自己的真名。经本人同意的个人资料的收集与利用,从性质上讲是合同。本人基于个人资料收集与利用合同,得以向个人资料处理主体人请求支付报酬。此前,我国学者汤擎将本人向资料处理主体请求支付报酬的权利归纳为享益权,并将它作为本人权利内容之一,我们对此不敢苟同。如前所述,资料权属于人格权的下位概念,具有人格权固有的非财产性,因此,将具有直接财产性特征的“享益权”纳入资料权,显然与人格权属性相违背。然而,规定本人有权请求支付报酬,确实有利于实现本人对个人资料的利用目的,特别是对具有商业价值的个人资料的利用。因此,我们认为我国在将来立法时应规定本人得以向商业性质的个人资料处理主体请求支付报酬。
三、资料保密权
(一)资料保密权的概念
资料保密权,简称保密权,是指本人得以请求资料处理主体保持资料隐秘性的权利。对个人资料保密的方式有二:一为他律,指用行业规则与法律、法规约束资料处理主体的行为;一为自律。由于整个个人资料保护法都旨在通过他律方式维护资料权,故此处仅探讨自律的问题。
(二)自律必要性及立法基础
自律(selfregulation)是相对于他律而言的,是指个人资料的控制、处理与利用者主动采取保密措施,防止资料被泄露。
在通讯网络整合的构架下现代社会的个人资料利用与传输将在开放式的公共网络中进行。由于公共网络的开放特性使然,若不采取任何防范措施,资料很容易遭到他人截取。为解决这一问题,现今世界仍以他律为主。作为外部(如政策、法律)的规制手段,他律在解决个人资料内容被截取和泄露问题上显得作用有限,因为法律与法规的规制只是以消极的手段间接地约束资料处理主体的行为,而自律更能有效地保护本人的合法权益。此外,从资料处理主体角度(尤其是商事主体)上讲,自律行为为消费者提供了安全的购物环境,使其他潜在的顾客更加愿意上网购物,这也间接地增加了商事主体利益。总之,自律不论在保护本人权益方面还是增加资料处理主体利益方面都具有他律不能具备的作用。
对资料保密权的立法例较典型的有:(1)根据OECD指针确立的安全保护原则,对资料应采合理之安全保护措施。(2)日本1988年制定的《关于行政机关拥有的经电子计算机处理的个人情报保护法》第5条规定:个人情报输入电子计算机,从操作、准备到磁带的保管等各个阶段,各行政机关应当预先采取确保不发生个人情报泄露、丢失、破损、删改等安全措施,以保证个人情报的内容与事实本身一致。
(三)资料保密权行使的具体问题
1本人得以行使此项权利的时间:本人向资料处理主体请求以自律方式保密的时间应当从资料开始收集时起算。有的地区立法规定,资料处理主体负有自律义务的时间从保有或开始处理个人资料开始,如我国台湾“资料法”第17条规定:“公务机关保有个人资料文件者,应指定专人依相关法令办理安全维护事项,防止个人资料被窃取,篡改、毁损或泄露。”这显然不当限制了本人行使保密权的时间范围。因为个人资料一开始收集,就有可能被截取和泄露,这段时间若资料处理主体不负自律义务,就会使本人的权益失去保障。因此,我国立法应规定个人资料一经开始收集,本人即得以享有请求资料处理主体以自律方式保密的权利。在用计算机控制、处理与利用个人资料的情形下,本人在收集个人资料、输入计算机、操作准备到磁盘保管各个阶段都得以请求个人资料处理者采取确保不发生个人资料泄露、丢失、破损与删改等的安全措施以维护个人资料的隐秘性。
2资料处理主体自律的方式:(1)为确保本人的身份不被泄露,资料处理主体应当尽快将本人的姓名、住址等与资料的具体内容分离、销毁。此方式在为统计目的而收集、处理个人资料的情形中尤为常见。因为进行资料统计应当遵守隐名原则。(2)采用特定的隐私保密技术。如:主体导向的隐私保障技术,如交往的主体不以本人真实身份,而以一项识别作其代表;客体导向的隐私保障技术,如用号码作为本人活动的方式与对象;建立防火墙,利用加密技术及进入个人资料必须使用密码;将保密的方法传送给本人,与本人共同维护资料的秘密性。
四、资料查询权
(一)资料查询权的概念
资料查询权,简称查询权,又称信息公开请求权,是指本人得以查询资料处理主体及其对其个人资料处理的情况的权利。有学者称之为请求答复查询权(或称请求告知权)。我们之所以采用“查询”权而摈弃“请求告知”权是因为查询权较之“请求告知”权更能体现资料权的积极性与支配性。
本人要实现对资料的控制与支配,必须首先了解哪些个人资料被收集、处理与利用的情况,特别是在此过程中资料是否被保持完整、正确与适时。由此,本人的查询权被称为“资料保护之大宪章”、“关键性之权利”。关于查询权有以下规定:1我国台湾“资料法”第12条规定:“公务机关应依当事人之请求,就其保有之个人资料档案,答复查询,提供阅览或制给复制本。”2美国前总统克林顿1993年在国家信息基础建设NII行动纲领中提出:资料收集者必须对本人提出正确及相关的下列信息:(1)收集目的;(2)使用于何处;(3)保持资料机密、完整及品质的方法;(4)提供或不提供资料的后果;(5)任何更正、有效的权利。3丹麦资料法第11条第1项规定,信息调查机关取得关于住所、姓名等一般资料以外者,于存储后,至少四周内必须通知被记录者。
(二)本人行使查询权的主要事项
1被控制、处理与利用的个人资料的名称、类别及范围
个人资料的名称例如:杂志类出版事业资料维护管理档案、卫生管理系统档案、律师管理系统档案。
个人资料的类别是指个人资料所涉及的本人的不同领域,如职业、相貌、家庭情况、学历、专业、就业情况、财政情况及身体状况等。
个人资料的范围,包括时间范围及内容范围。时间范围指被收集、利用的资料的时间跨度,如从1998~2002年的个人身体健康状况资料,时间范围就是1998~2002年;个人资料的内容范围是指个人资料涉及的个人情况的领域及界限。较之个人资料的类别,范围的划分更加细致,而且较具有弹性,它可能跨越类别,也有可能是某一类别具体部分。例如,土地管理局的土地登记簿包括的个人资料类别有姓名、住所、土地坐落地点、土地设立抵押情形等。
2资料处理主体的姓名、名称、身份及所在地
将此项内容作为本人查询的对象,旨在使本人明确资料的控制、处理与利用者,便于本人知晓行使权利及提起救济的相对人。