中國信息通信研究院互聯網法律研究中心 何波
作為羅馬文明重要的組成部分,羅馬法向世人證明了古羅馬的偉大,兩千多年過去了,羅馬法的精神仍世代流傳。進入互聯網時代,面對與日俱增的隱私侵犯和個人數據泄露的風險,意大利仍緊跟時代步伐,通過整合和修改原有法律,制定出一部體系完整的《個人數據保護法典》,再次樹立了個人數據保護的立法典范。
明確個人數據保護權
意大利對個人數據保護源于早期的隱私權概念,并上升到了人權高度。意大利1947年憲法第二條規定,“共和國無論對個人還是對表現其個性的社團成員,均承認并保障其人權之不可侵犯,并要求履行政治經濟和社會團結方面的不可違背的義務。”1975年,上訴法院首次承認對個人事務的“隱私權”是一項自主的權利。1996年,意大利以第675號法令通過了《數據保護法》,確立了個人數據保護權,并將其作為一項單獨的權利。
進入二十世紀以來,為了落實歐盟數據保護規則改革,意大利也迅速做出立法調整。2003年,國會制定通過了《意大利個人數據保護法典》,將關于個人隱私保護和個人數據保護的規定都集中到該法典之中。隨著情勢的變更,該法典也在不斷地修正完善。2012年5月28日,國會第69號法令再次對《個人數據保護法典》進行了修正,增加了對電子通信相關的消費者個人隱私保護規則適用的一般性規定。
總體來看,意大利個人數據保護法律體系由一般法和相關部門法組成。一般法即2003年通過的《意大利個人數據保護法典》,該法典旨在落實歐盟95/96數據保護指令,并取代了1996年通過的《數據保護法》。除法典之外,意大利沒有數據保護的特別法,但是在一些特定的部門法中包含了與數據保護相關的內容和條款,包括但不限于:1941年第633號法令通過的《版權法》,該法令提供了版權保護規則;《勞工法》,該法中規定了若干對雇員數據保護的條款;2003年第70號法令通過的《電子商務法》,該法明確建立了電子商務領域使用的數據保護強制性規則;2005年第206號法令通過的《消費者法典》,該法典主要設定了涉及消費者數據保護的規則;2008年第81號法令,該法令對在車間作業的健康和安全相關數據問題做出了規定。
緊跟時代潮流的《個人數據保護法典》
如前所述,意大利《個人數據保護法典》于2003年通過并于2004年1月1日正式生效實施,該法典整合了自1996年以來所有涉及數據保護的法典、法令和規定。2012年修訂后,該法令包含了三部分一百八十六節和兩個附件。其中,第一部分為一般數據保護規定,設定了數據保護的基本規則,適用于所有主體;第二部分是對一些特定領域(如健康、通信、金融等)的附加規定;第三部分是關于處罰和救濟的規則。
——適用范圍廣泛,賦予個人數據保護權
在適用范圍上,根據法典第5節之規定,該法典適用于意大利境內或者意大利主權范圍內所有主體(自然人和法人)所涉及的處理個人數據(包括境外數據)的活動。同時,該法典也適用于在歐盟境外但使用了意大利境內設備(例如電腦等)的主體所涉及的數據處理活動。對于前述主體,需要指定一名在意大利境內設立實體的代表,以表明其落實了意大利關于個人數據處理相關保護規則。
同時,法典賦予了個人享有的數據保護權,其第一條明確規定:任何人都享有與其相關的個人數據保護的權利。此外,法典第4節對個人數據的概念進行了定義,其指出:個人數據是指任何與自然人相關的可以直接識別(其身份)的信息,甚至是能通過個人身份證號碼等其他相關信息間接識別(個人身份)的信息。
——明確界定數據處理活動
在數據保護領域,處理是一個非常重要的概念,因為《個人數據保護法典》規定的法律限制針對的就是“個人數據的處理”。在法典中,“處理”被定義為運用電子或自動方式而實施的有關數據的收集、記錄、組織、持有、查詢、加工、修正、篩選、恢復、對比、使用、交互、封阻、通信、傳播、清除以及銷毀的單個或一組操作。同時,法典也對數據“處理者”進行了界定,“處理者”是指處理個人數據的自然人、法人、公共行政部門、團體、協會或其他機構。
——嚴格的“通知-同意”規則
根據法典規定,在數據處理開始之前,數據處理者必須向數據擁有者發送專門通知,口頭書面皆可。該通知內容需包括:數據處理的情況、目的和用途;提供數據是強制性的還是自愿性的;數據披露的對象;數據處理者的詳細情況;數據當前以及未來可能的存儲位置;數據是否轉移到境外;以及法典中規定的數據主體所享有的權利。
當數據擁有者表示明確同意后,個人數據處理活動才算合法地進行。如果是涉及敏感數據,那么必須得到數據擁有者的書面同意才可。此外,根據法典第37節的規定,數據處理者在處理某些特定類型數據的時候必須通知意大利數據保護機構,這些數據包括基因和生物數據、地理定位數據以及行為廣告數據等。
——設立專門的數據保護機構
意大利在1996年的立法中就設立了個人數據保護機構Garante,并在2003年《個人數據保護法典》中得到保留和加強。作為一個獨立的管理機構,Garante設立之初的目的是保護與數據處理相關的基本權利和自由。從結構上來看, Garante是由四名成員組成的合議機構,其中包括一名主席,一名副主席和兩名組成成員。
Garante的職責廣泛,具體包括:監督執行個人隱私保護條款;處理公民提起的申訴和報告;終止或關閉對個人產生傷害的數據處理活動;檢查警察和情報機關所進行的數據處理活動;提升公眾隱私戶數保護意識;對個人數據保護活動進行監督檢查并處以行政處罰;在具體案件中對數據保護法典中提及的問題發表意見;以及提請國會和政府注意個人數據保護的監管措施等。
對我國個人數據保護的啟示
進入大數據時代,如何加強個人數據保護也是我國面臨的一個重要難題。當前,我國尚未制定一部專門的個人數據或個人信息保護法律,現有部分規定散見于《刑法》、《全國人大常委會關于加強網絡信息保護的決定》、《消費者權益保護法》等相關法律中,尚未真正建立起完整的個人數據保護的立法體系,而且缺乏有力的執法手段和執法措施。結合意大利經驗,在個人數據保護立法上建議我國加強以下兩個方面工作:
一是加強頂層設計,整合現有相關法律法規,加快制定一部個人數據(或個人信息)保護法律。具體而言,充分吸收現有法律條文的規定,借鑒國外個人數據保護立法的有益經驗,設計一套適合我國國情的個人數據保護規則。
二是明確界定個人數據保護職責,完善執法監督措施。考慮到目前數據保護立法主要由各個部門分別落實,設立單一數據保護機構的現實可能性較小,建議可考慮設立個人數據保護的統籌協調機構,同時明確授予各相關主管部門個人數據保護的監督管理職權,劃清各行業部門間的管理界限。同時完善執法手段和執法工具,強化行政處罰等法律手段,采用公示公告等非正式措施,加大執法力度。
京公網安備 11010502049343號