3 全面规范公私部门的体系选择
台湾个资法对个人资料收集和处理的规范主要限于两类对象:公务机关和非公务机关。旧个资法中定义公务机关 “指依法行使公权力的中央或地方机关”(第3 条), 新个资法在公务机关定义中增列了行政法人(第 2 条),至此,公务机关的范围几乎涵盖了所有公权力机关。 台湾新个资法除在总则部分规定了公务机关收集处理个人信息的诸多责任, 包括公开供公众查阅的资讯事项、专人保管个人资料、适当收集、利用限制、保有个人资料档案之公告与簿册备至、 保持正确性与最新性、安全性之确保外,还专章(第二章)规定了“执行法定职务必要范围内” 为基础的公务机关收集处理个人信息的权力, 这种权力的行使可以不以告知为前提,而从国家安全、公共利益、他人权益保护以及学术研究等方面赋予了公务机关特定目的外利用个人资料的权力。
对于非公务机关,个资法采用的是列举的方式。旧个资法第 3 条把非公务机关的范围限定为征信、医院、学校、电信、金融、保险、证券、及大众传播业八大类事业及其他经法务部会同中央目的事业主管机关指定之事业、团体或个人。 信息社会的发展,使得收集处理个人信息的行为成为常态, 新个资法突破了对非公务机关范围的限定,扩大规定为:“非公务机关,指前款以外之自然人、法人或其他团体。 ”(第 2 条)在普遍适用规定的基础上, 对不适用的范围作了例外规定 (第 51条),包括两种,一是有关自然人为单纯个人或家庭活动而收集、处理或利用个人资料,因系属私生活目的所为,与其职业或业务无关,为避免造成民众日常生活之不便,故排除适用。二是规定与公开场所或公开活动中所收集、 处理或利用之未与其他个人资料结合之影音资料,不适用本法之规定(例如户外旅游的合照、公开研讨会的合照或录音)。 通过修改,新个资法所适用的非公务机关取消了行业界别限制, 范围扩大到除公务机关以外的所有自然人、法人或社会团体,使得个资法具有了普遍适用性。与公务机关单独规范相结合,台湾个资法在普遍适用的基础上, 进行了以公权力行使为界分的两类规范对象的架构。
与两类规范对象的设计相对应, 公务机关对个人资料的收集处理权限采取了法定加例外限制的方式,并规定了公务机关处理个人资料的一系列责任; 而对非公务机关由原来的依申请备案赋权收集个人资料改为依法规定收集处理个人资料并接受监督管理。 具体规定中央目的事业主管机关或直辖市、县(市)政府,为执行资料档案安全维护、业务终止资料处理方法、国际传输限制或其他例行性业务检查等, 而认为有必要或有违反本法规定之虞时, 得派员携带执行职务证明文件进入检查,并得命相关人员为必要之说明、配合措施或提供相关证明资料, 并规定了监督检查的程序与处分权(参见新个资法第三章)。 这种规定体现了个人资料处理中限制公权力以及依靠权力进行保护的思路。
由于对非公务机关的监管采用的是分散方式, 由此可能产生主管机关间认定标准宽严不一的窘境。[10]在信息社会, 公权力已经成为个人信息消费的大户,分别规范公务机关与非公务机关个人资料收集、利用,是非常有必要的,但是集中在一部法律中一体规范公务机关与非公务机关, 能否把规范公权力与公权力监督的关系协调好,却是值得讨论和关注的。自从台湾新个资法把两类规范对象都做了最大范围的扩大后,这样的矛盾会进一步在实践中呈现。 随着政府信息收集利用范围的不断扩大, 如果能够单独立法规范政府个人信息收集处理行为, 并融入统一的行政程序立法中,效果可能会更好。
4 程序性展开的行为规则设定
确立了规范对象后, 台湾个资法从个人资料收集利用程序上对资料利用主体进行了行为规则设定,具体遵循“个人资料收集程序的开启”、“个人资料收集”、“个人资料处理”以及“个人资料利用”四个阶段设定行为规则。为了更好进行行为规则设定,台湾新个资法第2 条对于收集、处理、利用进行了界定:“收集”指以任何方式取得个人资料;“处理” 指为建立或利用个人资料档案所为资料之记录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送之行为;“利用”指将收集之个人资料为处理之外之使用。通过定义,可以看出, 台湾个资法程序性展开的行为规则几乎涉及到所有与个人资料相关的行为样态。
上述台湾个资法规范的公务机关与非公务机关两类对象遵循了统一的程序阶段, 只是在每个程序阶段各自遵循不同的行为规则。 在 “个人资料收集程序开启”阶段,新个资法主要规定了开启的理由,除了特种个人资料以不得收集为原则外(第 6 条),两类主体都应遵循特定目的并符合法定条件收集个人资料原则,公务机关与非公务机关遵循不同的法定条件, 除当事人同意条件外,公务机关主要遵循法定职务条件,非公务机关主要遵循契约及公共利益有关条件 (第 15 条、19 条);“收集” 阶段又分为向当事人直接收集与自当事人以外间接收集两种形式, 新个资法第 8 条就直接收集做了为特定事项告知的规定, 第 9 条针对间接收集增加了向当事人告知个人资料来源的规定, 两条规定中同时涉及了免于告知的例外情形;“利用” 与 “处理”阶段,主要规定了公务机关“应于执行法定职务必要范围内为之”(第 16 条),非公务机关“应于收集之特定目的必要范围内为之”(第 20 条), 并分别规定了特定目的外利用的法定情形。 公务机关特定目的外利用个人资料仅限于法律明文规定、 维护国家安全或增进公共利益、保护当事人和他人权益、学术研究必要、经当事人书面同意等七种情况(第 16 条);非公务机关特定目的外利用个人资料除缺少国家安全这一规定外,与公务机关的限定范围一致,另规定“非公务机关依前项规定利用个人资料行销者, 当事人表示拒绝接受行销时,应即停止利用其个人资料行销”(第 20 条)。具体的差别体现在, 公务机关的目的外利用个人资料更强调国家安全等公共利益, 而非公务机关目的外利用个人资料更重视个人自主决定。 与程序性行为规则设定相对应,两类主体均应履行告知、答复查询、提供阅览或制给复制本、保有之个人资料档案正确、保护个人资料安全(第 9、10、11、12 条)等义务。
通过程序性行为规则设定, 台湾个资法为公务机关和非公务机关收集利用个人资料行为设定了重重关卡,意在对个人资料提供全面保护。虽然立法从程序规则设定上对两类主体的行为进行了尽量合并的规定,但是还是存在着内容重叠、行为规则交叉的现象,容易导致对两类主体行为规则的混淆, 就两类主体各自的行为规则设定而言也过于复杂。 而过多的限制势必在现实中阻碍个人信息的自由流通, 而这显然与大数据时代数据自由处理的发展趋势不符,另外,就对公务机关的规制而言,透明政府是大数据时代的发展趋势,政府掌握的个人资料如何与政府信息公开协调也需要进一步澄清。
5 完善的法律责任设计
为了对个人资料进行有效保护, 台湾个资法进行了完善细致的法律责任设定。与旧个资法相比,新个资法适应信息社会个人信息泄露经常性、 大量性以及损害后果严重性的特点,提高了损害赔偿的数额、加大了刑罚量刑额度,并增加了团体诉讼的规定,主要通过第四章损害赔偿及团体诉讼规定了民事赔偿责任承担,通过第五章罚则规定了刑事责任和行政责任承担。 具体内容上, 沿袭分别规范政府公务机关和非公务机关行为的体系, 对公务机关和非公务机关的法律责任作了不同的规定。
在损害赔偿部分, 规定了公务机关违反新个资法规定的赔偿责任承担,免责事由限于天灾、事变及其他不可抗力(第 28 条),并适用国家赔偿法之规定(第 31条); 非公务机关违反新个资法规定的赔偿责任承担,免责事由为无故意或过失者(第 29 条),并适用民法之规定(第 31 条)。 由此可见,台湾个资法的损害赔偿设定了公务机关依法归责和非公务机关依过错归责的不同归责原则。在具体的赔偿责任种类设定上,则采取了统一规定的方式,主要有财产损害的赔偿、非财产损害赔偿和名誉损害赔偿。 非财产损害赔偿是指精神损害赔偿, 与名誉损害赔偿一起, 是对人格尊严保护的落实。 在具体赔偿数额上,规定“如被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币五百元以上二万元以下计算。”对于同一原因事实造成多数当事人权利受侵害之事件, 规定了最高达二亿元的赔偿 (第 28 条), 赔偿额度不可谓不大。 而非公务机关证明其无故意或过失的规定(第 29条)是把举证责任归给了大公司、大商号,如果它们无法拿出证据证明自己没有故意或者过失泄露用户个人资料,就负有损害赔偿责任,从而更好解决了取证难的问题。
与旧个资法相比, 新个资法在损害赔偿部分的重大突破是规定了团体诉讼。 为鼓励民间公益团体能参与个人资料之保护,发挥民间团体力量,共同推动个人资料保护工作,并方便被害民众行使损害赔偿请求权,新个资法增订符合一定条件的财团法人或公益社团法人, 对于同一原因事实造成多数当事人二十人以上以书面授予诉讼实施权者,得以自己之名义,提起损害赔偿诉讼(第 34 条)。财团法人或公益社团法人依当事人联合授权发起的是公益诉讼,不得请求报酬(第 39 条)并应委托律师代理诉讼(第 40 条),为了鼓励这种公益诉讼,对于标的额超过新台币六十万元者,超过部分暂免征裁判费(第 34 条)。 根据《个人资料保护法施行细则》的解释,公益团体,“指依民法或其他法律设立并具备个人资料保护专业能力之公益社团法人、 财团法人及行政法人”(实施细则第 31 条)。由此可见,公益诉讼的主体范围是非常广泛的, 几乎包括了所有具备个人资料保护专业能力的社会团体, 但是, 行政法人的纳入, 尚存在行政监管与权益保护的角色协调问题。 当然,公益诉讼的规定,无疑有助于保护处于弱势地位的单个信息主体的权益, 这也适应了大数据时代信息批量化处理带来的多数人信息同时泄露的法律保护程序启动以及责任落实的需要。
第五章罚则规定了刑罚和行政处罚。就刑罚而言,个资法区别行为主体是否具有“意图营利”这一主观要件,课予程度不等之刑事责任。公务机关或非公务机关违法收集、处理或利用(包括目的内或目的外利用)个人资料、损害他人权益的,处两年以下有期徒刑、拘役或科处新台币 20 万元以下罚款。意图盈利犯前项之罪者,刑罚则提高到 5 年以下有期徒刑,得并科新台币壹百万元以下罚金(第 41 条)。以营利为目的的处罚不仅力度加大,并且与非营利刑罚不同,意图盈利侵犯个人资料犯罪不以告诉论处(第 45 条)。 另外,在刑罚处罚部分,还特别规定了“公务员假借职务上之权力、机会或方法,犯本章之罪者,加重其刑至二分之一”(第 44条)。
行政处罚主要是针对非公务机关做出的。 针对非公务机关的违法收集、处理、利用个人资料的行为,不履行告知、通知等义务,拒绝目的事业主管机关进入、检查或处分,情节轻微的,由目的事业主管机关进行行政处罚,非公务机关的代表人、管理人或其他有代表权人的失职行为也应该接受行政处罚。 行政处罚的方式是罚款,分为 2 万元以上 20 万元以下,以及 5 万元以上 50 万元以下两个档次(第 47、48、49 条),非公务机关代表人、管理人或其他有代表权人,除能证明已尽防止义务外,应并受同一额度罚款处罚(第 50 条)。
如上,台湾个资法对民事、行政、刑事责任作了全面细致的设定,严格标明了惩罚细则,其区分适用的对象, 考虑责任设定的执行性及个人信息主体权益的保护, 尤其是对非公务机关的行政罚则规定明确具体并与刑事责任相衔接, 有利于更好保护个人信息主体的权益。 但是,就罚则规定而言,台湾个资法针对非公务机关的规定更为全面,不仅有刑罚处罚还有行政处罚,体现了权力的强制性, 但是个资法对公务机关法律责任的规定却并不全面, 这不仅让人怀疑公权力的侵权行为是否被同等对待? 公权力仅接受刑罚处罚似乎有法外特权之嫌疑, 况且非公务机关的行政处罚是通过行政监管实现的, 行政机关在监管中既做运动员又做裁判员,如何能够发挥法律制裁的实质作用?当然这需要通过行政法治的其他制度建构来完善, 但不能不说这是台湾个资法公权力与私权利统一规范的体系设计带来的必然弊端。
6 结语
台湾地区个资法以人格权保护为最高指导原则(新旧个资法第一条以“避免人格权受侵害”为立法目的),其内容主要以个人资料权利为核心、以个人资料处理程序为载体、 对规范对象进行义务设定并最终落实到法律责任的承担上。自个资法通过以来,从台湾学者与民间团体的回应看, 保护个人资料的新个资法这张网虽然已经填补了旧个资法的部分漏洞, 但还远没有细密到可以将所有可能造成当事人权益侵害的行为类型一网打尽的地步。 目前“个资法”需要补充的地方还有很多。比如,面对网购中个人资料的保护就尚有不足。 大数据时代,数据处理是社会常态,数据透明与流通是社会运行的必要, 个资法严格的审查与责任设定是否会阻碍大数据时代数据信息的自由流通? 正如台湾学者熊爱卿所说,“法律重新拿回主导权,需要时间,但是科技已经走在前面,没法回头。”“知道法律怎样规定很重要,但这还不够,它也不是最重要的。 我们更应该看重如何去落实,从实质上保护隐私。 ”[1]
我们看到,台湾地区个人资料保护法的立法经历了一个发展过程,如今还在推进的路上,其已有的保护个人资料的立法努力和暴露出的问题都值得我们借鉴。其实,与其不断讨论如何制定个人信息保护法, 不如实际制定一部这样的法律, 让这样一部法律可以在实践中先运行起来,那么,所有实践中的问题都会在该部法律的运行中得以呈现。法律不能解决所有的问题,但是法律能够发现要解决的问题,并通过自身修正,努力解决现实的问题。通过研读台湾的个人资料法保护内容, 笔者期待我国大陆地区的个人信息保护法能够尽快出台。
参考文献:
[1]台湾《个人资料保护法》:给普通民众带来底气[EB/OL].2014-10-2.
[2]张新宝。从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015,3.
[3]林秀莲。《个人资料保护法》初探[J].万国法律,2011,(176)。