查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《东方法学》
德国个人信息立法的历史分析及最新发展
【英文标题】 A Historical Analysis of German Personal Data Legislation and Its Latest Developments
【作者】 李欣倩【作者单位】 中国社会科学院研究生院
【分类】 民商法学
【中文关键词】 个人信息;信息自决;信息安全;个人信息立法
【期刊年份】 2016年【期号】 6
【页码】 116
【摘要】

随着大数据时代的到来,个人信息已经突破传统人格权的范畴,成为具有商业价值可供流通的标的。目前,我国个人信息大范围泄漏事件时有发生,黑色产业链已经形成。面对如此严峻的形势,立法方面仍然进展缓慢,现存立法的碎片状况加剧了信息保护实施的不确定性。作为大陆法系的典型国家,德国《联邦信息保护法》已经走过了40年的历程,先后经历过3次大规模改革。在其发展过程中,计算机技术的进步和联邦宪法法院的判决呈现出良性互动,成为推动德国个人信息保护发展的重要力量。以3次立法改革为视角,研究德国个人信息立法的发展历程,以期为我国个人信息保护立法提供域外经验。

【全文】法宝引证码CLI.A.1220082    
  
  近年来,随着互联网技术的快速发展,信息逐渐打破地域的限制在全球范围内实现集中。2012年,《纽约时报》惊呼“大数据”时代已经降临,信息将成为未来商业、经济及其他领域决策的重要工具。这是一场生活、工作与思维的大变革,不仅改变着人们的行为模式,也给传统法学理论,特别是隐私权理论带来了极大的冲击。在大数据时代中,个人信息逐步脱离人格权客体的范畴,成为具有商业价值可供流通的标的。信息经由专业的分析系统处理后,能够客观地展示用户习惯和使用偏好。网络服务提供商则根据分析结果提供个性化推荐服务,不仅提高了用户的使用体验,更形成了极大的商业价值。在经济利益驱动下,个人信息非法交易的黑色产业链逐步形成。据中国互联网协会发布的《中国网民权益保护调查报告(2015)》统计,仅2015年,网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约805亿元。
  面对日益严重的信息侵害,我国立法却迟迟没有作出回应。早在2003年,国务院信息办就委托中国社科院法学所承担相关课题及起草专家意见稿。课题组于2005年完成了《个人信息保护法(专家意见稿)》,并于2008年提交到国务院。之后有关《个人信息保护法》的立法进程一直处于搁置状态。近年来,我国个人信息保护立法在体系上呈分散式发展。涉及个人信息保护方面的法律有将近40部,此外还有30部法规和大量的部门规章以及地方性立法。[1]分散式立法模式导致信息保护实施中存在极大的不确定性,既缺乏对个人信息范围的界定,也缺乏可操作的标准。反观德国个人信息保护的立法发展,从第一部《联邦信息保护法》至今已经走过了40年的历程。这期间,计算机技术的发展和联邦宪法法院的判决呈现出良性互动,成为推动德国个人信息保护发展的重要力量。40年来,《联邦信息保护法》经历了3次大范围修改,形成了以联邦立法为核心、特别领域专门法为主体的个人信息保护体系。笔者以德国个人信息保护的立法进程为对象,以其产生、形成和最新发展成果为脉络开展研究,以期为我国个人信息立法提供域外经验。
  一、产生:从隐私权到个人信息保护
  个人信息保护的兴起与计算机技术的迅猛发展息息相关。在Cookie, Robots协议等技术大规模使用之前,个人信息一直作为隐私权的范畴,并没有引起德国学术界的过多重视。第二次世界大战之前,德国法学界仍然拒绝将名誉权和隐私权列入《德国民法典》第823条第1款的保护范围,损害名誉和个人隐私不产生赔偿义务。[2]在1953年公布的《欧洲人权公约》中,“个人信息”作为“尊重私人生活和家庭生活”,体现在其第8条第1款中。[3]但是,20世纪70年代以后,随着信息技术的发展,个人信息的收集和获取呈现出爆发式增长,传统的“私人生活”领域受到极大挑战。个人信息在隐私权的范畴下,缺乏对抗公、私主体信息滥用行为的有效权能。
  1970年,历史上第一部关于信息保护的专门立法在德国黑森州诞生。第二次世界大战后德国在政治体制上更加依赖地方团体自治。作为基本政治制度,地方团体负责执行地方性法规、本州和联邦的法律。但是随着计算机技术的发展,信息开始在州乃至联邦范围内大规模、统一地采集、处理和使用。地方团体自治也因此受到威胁。1969年黑森州颁布法案,规定地方团体和州行政机关不再使用相同的信息处理中心。这一规定虽然一定程度上保护了地方自治,但也割裂了立法机关和执法机关的信息共享。与此同时,关于个人信息的保密问题也逐渐在社会上受到重视,民众对政府滥用个人信息的质疑日渐高涨。作为应对,各州政府纷纷开始将保密条款加入行政法规之中。在双重压力下,黑森州率先通过了《信息保护法》,明确行政机关的个人信息保密义务,重新划分地方团体和州行政机关在信息使用中的权限和地位。因此,这部法案在一定程度上是对1969年立法的延续。[4]该法案共计17章,主要侧重于建立第三方信息监管机构和信息保护委员制度,并未就个人信息保护给出更多有益的措施。因此,有学者批评其用词不当。[5]
  虽然历史上第一部有关信息保护的法案产生于德国黑森州,但第一部国家立法则产生于瑞士。[6]黑森州颁布《信息保护法》之后的第二年,德国各联邦州也陆续开启信息保护的立法进程。1971年,联邦政府在雷根斯堡大学组建专家小组,就未来联邦信息保护法的基本框架提供专家意见。虽然草案很快得以完成,但由于极大地限制了私法主体在信息取得和使用上的权利而深受诟病,最终被搁置。后来,德国联邦政府开始整合各州人口信息,建立国家人口信息信息库。作为该项目的法律依据,《联邦信息保护法(草案)》才重新提请审议,并最终于1976年11月通过,1978年1月开始生效。《联邦信息保护法》共有47个条文,在各州信息保护法已有规定的基础上,确立了“任何形式的个人信息处理必须经信息主体同意或有法律上的许可,方得为之的基本原则。”[7]这部立法采纳了公私二元制立法模式,注重防范政府滥用个人信息而不是合理使用个人信息,因此它只赋予信息主体少量的权利。[8]
  二、形成:内外因素作用下的现代化进程
  1977年《联邦信息保护法》对信息处理持消极态度,过度的管制引发了德国社会的广泛批评。[9]进入80年代以来,个人电脑逐渐在德国普及,信息技术的发展和盛行被视为德国社会发展的特征之一。于是,修改《联邦信息保护法》的呼声日益高涨。但是,议会先后审议了10个草案都未获批准。[10]1982年3月,德国联邦议会全票表决通过了《联邦人口普查法》。该法案规定次年起(1983年),在联邦范围内实施包括住址、职业、教育经历等个人信息的全面登记。《人口普查法》颁布后,民众针对国家强制收集个人信息的行为产生了强烈的质疑。后来,100多位公民以违反《基本法》为由,将该法案诉至联邦宪法法院。法院审理后认为,该法案第2条中第1至7项以及第3条至第5条违反《基本法》关于“人格的自由发展”的要求,判决违宪部分无效,其余部分修改后实施。这就是德国隐私权发展史上最为著名的“人口普查案”。[11]判决指出,在信息社会中,不可避免地存在个人信息的收集、处理和使用,任何人都有可能成为信息侵害的对象,因此,个人应享有“信息自决权”以对抗信息侵害。[12]所谓“信息自决”是指信息主体有权决定其私人生活是否公开、公开到何种程度以及公开的时间和方式。宪法法院认为,信息社会中,个人如果无法评估其信息公开的程度,势必会影响其社会生活中的行为。特别是当其不愿为公众所知的信息有被公开的可能时,则对其自由发展之人格构成威胁。因此,结合《基本法》第1条第1款“人性尊严不受侵犯”和第2条第1款“人格发展之自由”,宪法法院将“信息自决”确认为一般人格权项下的基本权利。但是,判决同时也指出,信息自决在涉及公共利益和法律特殊规定的情况下应受到限制。这里所称的法律不仅应依据宪法制定,也要符合明确性和适度原则。人口普查案件之后,北威州、萨尔州和梅前州等联邦州先后将信息自决权写入州宪法中,逐渐在联邦范围承认其基本权利的地位。不接我们电话 也不给拒接原因
  1.《联邦信息保护法》的第一次修改
  人口普查案是德国信息保护立法发展的里程碑,标志着信息保护基本理念的转变。在此之前,立法的主要目的是防止公权力机关滥用个人信息,归根结底对信息的收集、处理和使用持消极态度。此案之后,德国开始对《联邦信息保护法》进行第一次修改,于1990年12月完成。修改后的法案着眼于合理使用个人信息,“免受因个人信息传播而引起的人格权侵害”。[13]同时,该法案将国家安全机构对个人信息的收集和处理纳入信息保护法的范畴,明确了公法主体无过错赔偿以及就非财产性损失提供财政补偿的适用条件。[14]在结构上,该法案继承了公私二元制立法模式,但整体缩小了公私领域间信息保护标准的差异。在以往的立法经验中,信息保护法能否囊括私法主体,一直是极具争议的问题。1977年的《联邦信息保护法》采取了公私分立的模式,但鲜有关注私法主体。而根据“基本权第三人间接效力理论”,作为基本权利的信息自决权可以间接适用于私法领域,为个人信息保护领域的公私分立模式提供了宪法基础。因此,这次修订的意义并不限于个别法律制度或条款,更多的是信息保护宏观理论和观念的更新。
  2.《联邦信息保护法》的第二次修改
  20世纪80年代以来,信息因其不受地理限制的特性逐渐在全球范围内受到关注。1980年9月和1981年1月,经济合作与发展组织(OECD)和欧盟委员会开始实施《关于保护隐私与个人信息跨国界流动的准则》[15]和《个人信息保护公约》(以下简称Convention 108),[16]以保护民众的权利和基本自由,特别针对自动处理个人信息提倡保护隐私权。[17]公约首次明确了个人信息的范畴,是指“被识别的或具有被识别性的,与个人关联的任何信息”。[18]这表明,欧盟在20世纪80年代初期已经完成了信息隐私从隐私权中分离的过程。信息保护的范围相较于隐私保护更为宽泛,因为信息保护不仅限于私密领域,也涉及其他的权利或者自由。两者相比,个人信息保护更偏重于信息的可识别性,但除此之外,即便侵犯私密领域的其他方面,也不在信息保护的范围之内。20世纪80年代后期,欧盟各成员国之间信息保护程度严重不平衡。如上文所述,德国和瑞士率先完成了本国信息保护立法;法国独辟蹊径,依靠“信息自由委员会”保障信息安全,[19]而意大利和希腊则迟迟未予立法。立法上的差异阻碍了欧洲各国之间的信息流通,从而限制欧洲内部统一市场的形成。历经四年磋商,1995年10月,欧盟最终签署了《个人信息保护指令》(95/46/EC)。[20]这条指令的主要目的是平衡各成员国的信息保护发展和基本理念,建立水平相当的信息保护体系,以促进实现内部市场的形成和利益各方的平衡发展。《指令》要求成员国保护自然人的基本权利和自由,特别针对个人信息处理,加强隐私权的保护。另一方面,它要求成员国之间不得禁止或限制信息自由流通。因此,《指令》不仅旨在保护个人信息,特别是电子通讯服务中的隐私权,也为电信服务提供者开展个人信息有关的业务提供了法律上的可能性。《指令》颁布后两年间,德国先后实施了《电信法》(TKG)和《电信服务信息保护法》,将《指令》中有关交易性匿名、假名、信息记录程序、点击流信息处理等规定转化为国内法,在通讯和互联网领域完善信息隐私保护。《指令》基本上延续了《信息流动准则》和《个人信息保护公约》所建立的基本原则,并详细规定了原则适用的条件和要求。同时,《指令》也为各成员国保留了大量的自由裁量权,被誉为欧洲信息保护通向基本权利的里程碑。[21]
  根据德国对政府间条约效力的法律规定,《指令》相关内容必须在未来3年内转化为国内法予以实施。《指令》为欧盟信息保护的发展奠定了基础,具有极为重要的意义,但是对于德国而言,却并未带来过多的惊喜。[22]《指令》中有关信息主体的知情权,信息处理中的合法及公平原则等,都与德国信息保护立法不谋而合。鉴于上述原因,在《指令》颁布的最初几年,德国政府并没有给予其足够的重视。本应于1998年完成国内法转化,实际上却一拖再拖。各联邦州也只有黑森州和勃兰登堡州于规定时间内完成了立法。90年代末正值互联网技术快速发展时期,新技术的出现为个人信息保护带来了新的挑战,这时联邦政府才认识到信息保护的重要性。1997年至1998年间,绿党和社民党分别提交了修改《信息保护法》的议案,其中不仅囊括了欧盟信息保护指令的核心规则,还特别就当时混乱的信息保护体系、严重落后于科技发展的立法进程提出改革方案。但是,联邦政府认为只有彻底地变革,才能开启信息保护的现代化进程。[23]于是,信息保护法修正案一拖再拖。2001年1月,欧盟提起对德诉讼,称其未能在规定时间内完成《指令》转化。德国政府迫于压力,只得在短时间内完成《联邦信息保护法》的第二次改革。
  2000年的《联邦信息保护法》进一步更新了信息保护理念。《法案》第3章第1条确立了信息经济原则,规定在设计和选择信息处理系统时,应通过技术手段或建立信息审计制度以减少信息采集样本,并且尽可能地使用匿名信息,以减少对人格权的侵害。第4章第1条将合法性原则的适用范围扩大至信息收集行为,详细规定了未经信息主体同意进行信息采集的条件。第6条增加了数据安全委员的新职能,在处理敏感个人信息时,其有权要求提前介入。另外,《法案》逐渐淡化监管色彩,突出意思自治原则在信息保护领域中的

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对此人家庭地位极低
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1220082      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多