别具一格的英国个人信息立法保护
http://msn.finance.sina.com.cn 2012-05-01 14:02 来源: 法制日报编者按:个人信息的立法保护近来在国内引起广泛的关注。因此,本版将陆续推出系列文章,介绍海外各国的个人信息立法与实践,以资借鉴
英国个人信息保护的研究以及法制建设有着良好的传统,其个人信息保护的立法进程别具一格,以隐私立法保护起步,集大成者是一部统一的《数据保护法》。虽然与德国同为欧盟成员国家,共同接受欧盟数据保护指令的约束,但其个人信息保护法制又显然有别于德国的统一立法框架与内容
姚岳绒
个人信息保护对象与适用范围
英国《数据保护法》所保护的对象为可以被识别的与个人相关的数据。其一为自动化处理的数据以及为自动化处理而记录的数据;其二为人工记录的存档系统以及为了相关存档系统而记录的数据;另外,还包括通过公共途径可以获得的一些个人信息,如健康记录、教育记录等。无论是自动处理还是人工记录的个人数据,如果以某种方式影响个人隐私的信息就足以认定为个人数据,如影响了信息主体的个人或家庭的生活、商业或专业能力等方面。当然,受《数据保护法》保护的个人数据不可以任意地进行扩大解释。受保护的个人信息都须考虑与个人的关联性及可识别性,并且,考察一些数据是不是属于个人信息,得具体问题具体分析。
英国《数据保护法》适用对象既包括组织也包括个人,而且适用领域既包括公权力领域,也包括私权利领域,并且二者的适用不作区别。这一点上既不同于德国,也不同于美国。受法律约束的对象的具体认定采用了属地主义,一类是定居或设立于英国,并在此期间进行数据处理的。另外,虽然不设立于英国,但在英国设有开展业务的办事处、分支机构或代理机构,或者在英国定期进行经常性活动的;另一类是既不设立于英国,也没设立于其他欧洲经济区(EEA)国家,但是使用了位于英国的设备进行数据处理的。不过,如果使用位于英国的设备进行处理数据的目的只是想借由通过英国,实际只是以传输数据为目的,则不在法律约束的适用范围之内。
全面保护个人信息系基本准则
英国个人信息保护的基本准则体系由《数据保护法》正文第4条加上4个附录组成。附录1明确了个人数据保护的八项原则,并就每项原则进行详细的解释,附录2与3是对第一项原则的补充性解释,附录4则规定了第八项原则的豁免情况。
通过法律的不断完善,英国确立了全面的个人信息保护基本准则。第一,正当而合法的准则。这是英国个人信息保护的基础性原则,强调无论是政府还是其他社会组织以及个人收集、使用或处理个人数据都应有正当并且合法的目的与方法。第二,目的限制原则。这要求应基于一项或一项以上的特定和合法的目的获取个人数据,并且个人数据的处理就其目的而言是充分的、相关的,同时,不能超出必要的使用范围,并且,基于某种目的而处理的个人数据,不得在超出实现该目的所需的期间以外加以持有。第三,数据质量与安全原则。为确保个人数据本身的质量与安全,个人数据应当是准确的;如果有必要,应不断更新,采取适当的技术和组织性措施,防止未经授权或非法的处理个人数据的行为以及个人数据的意外损失或灭失。第四,保障数据主体权利原则。个人数据的处理须以保障数据主体依法所享有的权利为前提,如获取与其自身有关的个人数据的权利,阻止可能造成损害或痛苦的数据处理行为的权利,自动化决定执行的权利,请求赔偿的权利,纠正、贴标隔离、删除或销毁的权利等。
独特的信息专员制度
英国1984年《数据保护法》设立了数据保护登记官,用以监管该法的执行,确保个人数据的保护。1998年《数据保护法》将其更名为数据保护专员。其后,电子隐私与信息保护指南也将该规则的监督执行纳入数据保护专员的职权范围。2005年实施的《信息公开法》将信息公开的监管职责纳入数据保护专员的权责范围,同时将其更名为信息专员办事处。同年,信息专员办事处同时被赋予了管辖环境信息规则所涉及的相关职责。通过上述信息领域法制的建设,英国信息保护机构几经改名,直至拥有了四个具体领域的权限,负责监督四部法律的实施与执行。其中,前两个领域的职责重在信息收集、处理或使用过程中的个人信息保护,后两个领域的职责重在保护公民获取政府信息,即知情权的实现。
集信息保护与信息公开监督职能于一身的信息专员制度所追求的目标在于保障公民有权获取政府公共信息的同时,确保个人信息不受侵犯。为此,英国相关法律从法律属性、人事任命、经费预算以及内部组织架构等方面对专员制度进行了详细的布局,以确保其完全独立的法律地位。一方面,信息专员以女皇颁发专利特许证的方式任命;另一方面,又强调信息专员及其工作人员不得视为皇家的雇员或代理人。这既是确保信息专员办事处的法律地位与权威,同时又确保信息专员办事处不受行政的干涉,从而可以充分履行保护公民个人信息的职责。依英国信息保护专员框架的设定,其是为了实现行政目的而成立的从属于内阁的非政府部门公共机构。非政府部门的公共机构不同于一般的非政府组织,其强调的是机构属性上的非政府部门,但并没有否认其是由国家成立的属性。我们可以说,英国的信息保护专员办事处属于国家的准公共机关,是国家体制的组成部分,类似于我国经法律、法规授权后具有特定行政职权的机构。