第二節(jié)　主要國際組織立法概況

網(wǎng)絡(luò)時代，個人信息的跨國流通在技術(shù)上非常簡單并且便于實現(xiàn)，這使得個人信息保護(hù)問題不再局限于一國之內(nèi)。于是國際組織紛紛針對自己區(qū)域的特點進(jìn)行保護(hù)個人信息的立法活動。1980年OECD指針是最有代表性的保護(hù)個人信息的國際立法。隨后，在社會逐步信息化過程中，由濫用個人信息帶來的個人權(quán)利侵害現(xiàn)象越來越普遍，程度也越來越嚴(yán)重。民眾和人權(quán)組織的抗議和吶喊，促使歐洲議會、歐盟、亞太經(jīng)合組織等國際組織紛紛制定個人信息保護(hù)公約為規(guī)范個人信息行為設(shè)立操作指南。1990年，聯(lián)合國也出臺了個人信息保護(hù)指南。這些國際文件將個人信息保護(hù)立法迅速推向了全球，直接影響甚至制約著有關(guān)個人信息保護(hù)的國家立法。

各國往往由于經(jīng)濟(jì)和政治利益、民主和法律制度、宗教信仰等因素的差異，其制定的個人信息保護(hù)就會各有特色，換個角度思考就是各不相同，尤其是在保護(hù)水平和跨國流通兩個問題上難免參差不齊，即便保護(hù)水平趨于一致，但各不相同的國內(nèi)法面對跨國問題則表現(xiàn)出一定程度上的混亂和不適應(yīng)，于是以保護(hù)個人信息為目標(biāo)的國際合作與國際援助公約和指南誕生了。在網(wǎng)絡(luò)空間，個人信息的跨國傳遞十分普遍，個人信息的保護(hù)問題也就不再局限于一國。更為重要的是，國際組織以國內(nèi)法無法完成的方面為關(guān)注焦點，一般國際組織是從以下兩個角度入手?jǐn)M定國際公約的:一是對信息主體的權(quán)利進(jìn)行確認(rèn)和給予跨國保護(hù)；二是促進(jìn)個人信息的跨國流通，倡導(dǎo)信息自由。

一、經(jīng)濟(jì)合作與開發(fā)組織:一個全球性標(biāo)準(zhǔn)的形成

經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Cooperation and Development，OECD）理事會于1980年9月23日通過了《關(guān)于隱私保護(hù)與個人資料跨國流通的指針的建議》，在OECD建議中，OECD指針作為附件同時得到通過。OECD理事會制定指針的法律依據(jù)是OECD1960年12月14日簽訂的公約第1（c）條、第3（a）條和第5（b）條關(guān)于個人基本權(quán)利和自由的規(guī)定。理事會注意到盡管各國的法律與政策千差萬別，但在保護(hù)隱私和個人自由等基本權(quán)利方面，存在著共同利益和主張；尤其是個人信息的自動化處理促進(jìn)了個人信息的跨國流通，而個人信息的跨國流通需要和諧統(tǒng)一的規(guī)則。因此，OECD決定推動內(nèi)國立法朝以下方向發(fā)展:關(guān)注隱私保護(hù)和促進(jìn)個人信息的合法利用。在“建議”中被具體規(guī)定為:①會員國在本國立法時應(yīng)考慮關(guān)于本建議附件中規(guī)定的保護(hù)隱私和個人自由的指針原則（附件是建議的一部分）；②會員國努力消除、避免產(chǎn)生以隱私保護(hù)為名的不公正的阻礙個人資料跨國流通的障礙。以上兩個方面的利益平衡是OECD指針提倡的個人信息保護(hù)原則的基本目的。OECD指針區(qū)分國內(nèi)和國際兩大領(lǐng)域，將個人信息保護(hù)原則分成兩大部分——國內(nèi)適用的原則和國際間適用的原則。這些原則是指針明確規(guī)定的會員國立法的最低標(biāo)準(zhǔn)。OECD指針第一部分第6條規(guī)定:“指針應(yīng)被視為最低標(biāo)準(zhǔn)，應(yīng)以保護(hù)隱私和個人自由的附加措施作為補(bǔ)充?！?/p>

OECD指針一經(jīng)產(chǎn)生即引起了國際社會的高度關(guān)注。是至今最有影響力的國際立法文件，其使用的基礎(chǔ)概念是個人資料（personal data）和隱私（privacy）。該指針共分五章二十二條，分別為第一章:總則、特定用語的定義與適用范圍。第二章國內(nèi)適用的基本原則，規(guī)定了個人信息保護(hù)的八大原則（OECD指導(dǎo)原則）；第三章國際間適用之基本原則——自由流通與法律限制，規(guī)定成員國應(yīng)采取一切適當(dāng)?shù)拇胧┐_保個人信息國際流通的自由，以及對自由流通進(jìn)行限制的條件；第四章國內(nèi)實施，規(guī)定為確保前二章原則在各國內(nèi)的實施，成員國應(yīng)該通過制定國內(nèi)法、建立機(jī)構(gòu)等方式來保護(hù)關(guān)于個人信息的隱私和個人自由；第五章國際合作，規(guī)定國際互相合作。指針采用“原則”的形式保護(hù)個人信息，不僅影響了其后諸多國際組織的立法文件，而且也奠定了國內(nèi)立法的原則體系的基礎(chǔ)。

OECD指導(dǎo)原則是對后世立法影響最大的原則體系，這些原則包括限制收集原則（Collection Limitation Principle）、資料完整正確原則（DataQuality Principle）、特定目的原則（Purpose Specification Principle）、保密與限制利用原則（Use Limitation Principle）、安全原則（Security Safeguards Principle）、公開原則（Openness Principle）、個人參與原則（Individual Participation Principle）、管理責(zé)任原則（Accountability Principle）。另外，OECD指針第3部分第15—18條確立了關(guān)于個人信息跨國流通原則——自由流通和合法的限制的原則（關(guān)于指導(dǎo)原則詳見本書第八章第一節(jié)）。

OECD指針沒有法律約束力，對OECD的成員國不生效，僅僅具有提供參考的作用和價值。但是它還是產(chǎn)生了巨大的影響，尤其是在歐盟以外的國家而言更是如此，如對日本、澳大利亞等國家的立法。并且，OECD指導(dǎo)原則對商業(yè)機(jī)構(gòu)的個人信息保護(hù)產(chǎn)生了很好的示范作用，被北美的很多公司和貿(mào)易團(tuán)體正式認(rèn)可，納入自己的行業(yè)自律規(guī)范之中，比如其于1996年被加拿大標(biāo)準(zhǔn)社團(tuán)確立的個人信息保護(hù)的道德模式所采納。更為重要的是，事實上，OECD指導(dǎo)原則已經(jīng)成為制定個人信息保護(hù)文件的國際標(biāo)準(zhǔn)。

二、歐洲議會:有法律效力的保護(hù)

歐洲議會（the Council of Europe）成立于1949年5月5日，目前有成員國四十多個，總部設(shè)在法國斯特拉斯堡。其設(shè)立宗旨是保護(hù)和加強(qiáng)多元民主及人權(quán)，尋求解決社會重大問題的辦法，促進(jìn)實現(xiàn)歐洲文化的同一性。歐洲議會部長委員會于1981年制定了《有關(guān)個人資料自動化處理保護(hù)個人公約》（Convention For The protection of IndividualsWith Regard to Automatic Processing of personal Data，以下簡稱“歐洲議會公約”），其使用的基礎(chǔ)概念是個人資料（personal data）和基本人權(quán)和自由（human rights and fundamental freedoms）。該公約分為七章二十七條，并于1999年進(jìn)行了修改。該公約具有國際法上的約束力，簽約國負(fù)有就其國內(nèi)法采取必要之措施，以履行公約上規(guī)定之法律義務(wù)。該公約于1999年進(jìn)行了修訂，共分為七章二十七條，其最大的特色之一是將法人資料和個人資料一并納入保護(hù)范圍。根據(jù)歐洲議會公約第3條的規(guī)定，公約適用于在公私領(lǐng)域的自動化處理個人信息，和手工處理的可以進(jìn)行檢索的檔案中的個人信息。

歐洲議會公約第二章題名為“資料保護(hù)的基本原則”，是關(guān)于個人信息保護(hù)原則的規(guī)定（簡稱歐洲議會基本原則）。這些原則包括:成員國責(zé)任原則、資料品質(zhì)原則、資料的特定種類原則、資料安全原則、資料主體的額外保護(hù)原則、例外和限制原則、制裁和救濟(jì)原則、擴(kuò)大保護(hù)原則。除此之外，歐洲議會公約也規(guī)定了個人信息的跨國傳輸原則。

與OECD指針不同的是，該公約具有國際法上的約束力，成員負(fù)有采取必要措施，以履行公約要求的義務(wù)。并且，從歐洲的角度來看，雖然該公約晚于OECD指針出現(xiàn)，但意義卻更加重大。該公約的生效，直接推動了歐洲國家個人信息保護(hù)立法的進(jìn)程，有更多的國家按照公約的精神和宗旨制定了個人信息保護(hù)法。并且，值得注意的是，公約對歐盟指令的最終內(nèi)容產(chǎn)生了重大影響。

三、歐盟:激進(jìn)的人權(quán)主義

歐盟1995年通過了《關(guān)于個人資料處理及自由流通個人保護(hù)指令》（Directive 95/46/ECof the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data，簡稱《歐盟指令》），其使用的基礎(chǔ)概念是“個人資料”（personal data），以基本人權(quán)為價值目標(biāo)，這些受到指令細(xì)心呵護(hù)的價值，包括“基本權(quán)利”和“自由”以及“隱私”（fundamental rights and freedoms，notably the right to privacy）。歐盟指令于1998年10月26日正式生效。根據(jù)歐盟指令的規(guī)定，商業(yè)機(jī)構(gòu)在收集個人資料之前，必須取得資料主體的明示同意。而且資料主體可以隨時要求更正、刪除個人資料。值得注意的是，歐盟指令對個人權(quán)利的保護(hù)要比美國更為全面，貫徹到了任何一個個人資料的使用環(huán)節(jié)。除了對于個人資料的取得及使用的保護(hù)之外，還包括了有關(guān)跨國流通的問題。根據(jù)歐盟指令，個人資料不可以被傳送到一個不能達(dá)到適當(dāng)保護(hù)標(biāo)準(zhǔn)的非歐盟的國家。指令規(guī)定了個人資料在歐洲共同體內(nèi)的自由流動的最低條件。指令緒言（3）明確了指令的目的:根據(jù)《條約》（《歐洲共同體成立條約》，筆者注）第7 a條，為保證貨物、人員、服務(wù)和資金在國內(nèi)市場自由流動，該市場的建立和運行不僅要求個人資料可以在成員國之間自由流動，還要求個人的基本權(quán)利得到保護(hù)。指令第1條對這個目的再次予以確認(rèn)，第1條規(guī)定:

（1）根據(jù)本《指令》，各成員國應(yīng)該保護(hù)個人資料處理中的自然人的基本權(quán)利和自由，特別是他們的隱私權(quán)；

（2）各成員國不應(yīng)限制或禁止出于與第1款所提供的保護(hù)有關(guān)的原因，在成員國之間的個人資料的自由流動。

指令的基本目標(biāo)在于保障自然人的基本權(quán)利與自由，建立最低個人權(quán)利（尤其是隱私）的保護(hù)標(biāo)準(zhǔn)，調(diào)和國際社會關(guān)于個人資料立法保護(hù)標(biāo)準(zhǔn)的分歧；以及促進(jìn)資料在15個成員國之間的自由流動。指令的適用范圍非常廣闊，從適用主體看其適用于所有自然人、法人，只要他們實施個人資料處理行為。并適用于所有機(jī)關(guān)包括公務(wù)機(jī)關(guān)和非公務(wù)機(jī)關(guān)。從個人資料角度看，指令全部或部分適用于通過自動方法對個人資料進(jìn)行的處理，以及通過非自動方法對構(gòu)成編檔系統(tǒng)或打算構(gòu)成編檔系統(tǒng)的個人資料的處理。對敏感性個人資料采取了以禁止處理為原則，以特殊情況下的處理為例外的方針。并明確賦予資料主體拒絕其個人資料以自動化方式進(jìn)行處理的權(quán)利。

在適用范圍方面，指令既適用于政府機(jī)關(guān)也適用于商業(yè)機(jī)構(gòu)和私人。但公共安全、國防、國家安全以及與國家刑法執(zhí)行有關(guān)的活動中的個人資料處理不適用；同時，純粹私人的或家庭目的的個人資料處理也不適用。

指令確立了資料處理者對個人資料的義務(wù)和責(zé)任，以及要求保持對個人資料處理的透明性。并特別提出對敏感個人資料給予特別保護(hù)。該指令的最大特色之一是關(guān)于資料主體權(quán)利的制度構(gòu)建。根據(jù)歐盟指令的規(guī)定，資料主體享有以下權(quán)利:①訪問權(quán)。根據(jù)指令第12條的規(guī)定，資料主體可以不受每隔一段合理時間的約束，無須過度的延遲及費用開支，就可以獲知是否對自己個人資料進(jìn)行處理的確認(rèn)。在資料處理不符合指南的規(guī)定時，要求適當(dāng)?shù)馗?、刪除。②拒絕權(quán)。根據(jù)指令第14條的規(guī)定，資料主體有權(quán)拒絕對其相關(guān)的個人資料進(jìn)行處理，或者拒絕將自己的個人資料用于直營等。③自主決策權(quán)。根據(jù)指令第15條的規(guī)定，如果對于一個人的決定（比如他的工作表現(xiàn)、信用度、可靠性、行為等作出評價），僅以自動化處理的個人資料為基礎(chǔ)，如果這個決定將會對資料主體產(chǎn)生法律影響或?qū)λ斐芍卮笥绊?，各成員國應(yīng)賦予該主體不服從此決定的權(quán)利。④獲得救濟(jì)的權(quán)利。根據(jù)指令第23條的規(guī)定，由于非法處理和任何違反根據(jù)該指令所采取的國家行為而遭受損害時，資料主體有權(quán)要求賠償。

歐盟指令采用了最為綜合和復(fù)雜的手段保護(hù)個人資料，它的一般宗旨和原則對后來的個人資料保護(hù)立法產(chǎn)生了巨大的影響。

四、亞太經(jīng)濟(jì)合作組織:美國影響下的保護(hù)策略

為促進(jìn)亞太地區(qū)的電子商務(wù)的發(fā)展，亞太經(jīng)濟(jì)合作組織（簡稱亞太經(jīng)合組織，英文為Asia-Pacific Economic Cooperation，簡稱APEC）第17屆年度部長會議就《APEC隱私保護(hù)框架（APECPrivacy Framework）》達(dá)成協(xié)議，^[12]2004年10月29日正式簽署《APEC隱私保護(hù)框》（簡稱APEC隱私框架）。這個框架深受美國法律制度和文化的影響，從文件名稱中的“隱私”也可以看出這一點?？蚣苁褂玫幕A(chǔ)概念是“個人信息（personal information）”和“信息隱私（Information Privacy）”。1991年11月，我國以主權(quán)國家身份（我國臺灣地區(qū)和香港地區(qū)以地區(qū)經(jīng)濟(jì)名義）加入APEC?！禔PEC隱私保護(hù)架構(gòu)》的制定在于通過保障個人信息權(quán)利保護(hù)和促進(jìn)信息流通兩個目標(biāo)的實現(xiàn)而促進(jìn)電子商務(wù)的發(fā)展。APEC認(rèn)為，每個人對自己的個人信息都有“合理的隱私期待利益（the interests of the individual to legitimate expectations of privacy）”，個人信息保護(hù)法的立足點是防止個人信息的“濫用（misuse）”。在此宗旨指導(dǎo)下，《APEC隱私保護(hù)框架》的核心第三章關(guān)于“APEC隱私保護(hù)原則”規(guī)定了個人信息保護(hù)的九大原則（簡稱APEC原則）。第一，預(yù)防損害原則（Preventing Harm）。該原則規(guī)定，經(jīng)濟(jì)體應(yīng)采取適當(dāng)措施預(yù)防個人信息處理過程中“損害（harm）”的發(fā)生。同時建立損害救濟(jì)機(jī)制，損害一旦發(fā)生，能立即得到適當(dāng)?shù)木葷?jì)。第二，告知原則（Notice）。該原則要求個人信息的處理者應(yīng)當(dāng)告知信息主體關(guān)于個人信息的一系列處理政策。與個人信息相關(guān)的開發(fā)、實踐、政策等的開放性的總體政策應(yīng)該公開，且應(yīng)有可行的辦法來記錄個人數(shù)據(jù)采集的存在和性質(zhì)，它們使用的主要目的，以及個人信息采集或掌握者的身份和常住地等。第三，收集限制原則（Collection Limitation）。所謂收集限制是指對于個人信息的采集應(yīng)受限制，這些限制主要表現(xiàn)在兩個方面，其一是收集范圍應(yīng)當(dāng)與收集目的相一致，其二是這些信息應(yīng)該通過合法的和公平的手段獲得。在適當(dāng)?shù)臅r候，應(yīng)該告知信息被采集者或爭得他們的同意。第四，利用原則（Uses of Personal Information）。該原則要求，利用個人信息應(yīng)與個人信息的收集目的相一致或者相關(guān)；且在一般情形下，個人信息不應(yīng)被泄漏。第五，選擇原則（Choice）。該原則指在情況允許的前提下，個人信息處理者應(yīng)向信息主體提供可供選擇的個人信息收集、利用和披露機(jī)制。第六，個人信息完整性原則（Integrity of Personal Information）。個人信息完整性原則是指個人信息應(yīng)保持準(zhǔn)確、完整和時新。第七，安全管理原則（Security Safeguards）。該原則是指個人信息應(yīng)受到合理的安全保障，以防數(shù)據(jù)丟失，被非法進(jìn)入、破壞、使用、修改和泄漏等風(fēng)險。第八，查閱和更正原則（Access Correction）。在一般情形下，個人信息處理者應(yīng)保障信息主體查閱自己的個人信息，并且可以更正、補(bǔ)充和修改、刪除錯誤的個人信息。第九，責(zé)任原則（Accountability）。該原則中個人信息處理者有責(zé)任采取有關(guān)措施以保證以上各項原則得以實施，尤其是在將個人信息傳輸給第三人時（無論國內(nèi)還是國外），個人信息處理者應(yīng)取得個人同意或竭力采取和框架所要求一致的保護(hù)措施以確保個人信息安全。

《APEC隱私保護(hù)框架》第四章“執(zhí)行”要求，各經(jīng)濟(jì)體應(yīng)采取包括立法、行政、產(chǎn)業(yè)自律或是以上的綜合方式來促使APEC隱私保護(hù)框架中所提出的各項權(quán)利得以確保和行使。^[13]因此，制定個人信息保護(hù)法是我國作為APEC成員的一項國際義務(wù)。

五、聯(lián)合國:無牙老虎

個人信息可以借由網(wǎng)絡(luò)技術(shù)而輕松實現(xiàn)跨國流通。全世界有五百家以上銀行通過“swift系統(tǒng)”傳遞交易，同時也在傳遞著客戶的交易信息，發(fā)生于各國銀行之間的交易信息傳遞達(dá)每天數(shù)十萬筆以上。早在1968年，聯(lián)合國世界人權(quán)宣言發(fā)布二十周年的“國際人權(quán)會議”，就首次提出了“資料保護(hù)（data protection）”的概念。這一年因此被譽(yù)為“資料年”。隨后，國內(nèi)個人信息保護(hù)立法紛紛涌起。為調(diào)和不同國家關(guān)于個人信息保護(hù)國內(nèi)法的立法差異，加強(qiáng)國際合作與國際援助，許多國際組織做出了不懈努力。1990年12月4日聯(lián)合國大會通過了《關(guān)于自動資料檔案中個人資料的指南》（Guidlines Concerning Computerized Personal Data Files，以下簡稱《聯(lián)合國指南》），其使用的基礎(chǔ)概念是“個人資料（personal data）”?！堵?lián)合國指南》分為兩大部分，第一部分規(guī)定了各成員國進(jìn)行個人資料保護(hù)國內(nèi)立法的最低保護(hù)標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)包括個人資料保護(hù)的基本原則、監(jiān)督與處罰、跨國流通、適用范圍等諸多方面。第二部分為聯(lián)合國指南對政府間國際組織所保有的個人資料的具體規(guī)定。

（一）五大基本原則

聯(lián)合國指南確定了各國立法所應(yīng)確保實行的最低之基本原則。這些原則有:合法合理原則、準(zhǔn)確性原則、特定目的原則、本人參與原則、不得歧視原則、安全原則等六項基本原則。①合理合法原則（Principle of Lawfulness and Fairness）。該原則是指收集、處理個人資料須合理、合法，對個人資料的利用應(yīng)尊重聯(lián)合國憲章的目的和原則。②準(zhǔn)確原則（Principle of Accuracy）。該原則是指資料處理者負(fù)有保證個人資料準(zhǔn)確、適當(dāng)、完整和時新的義務(wù)。③目的特定原則（Principle of the Purpose-Specification）。該原則是指收集個人資料的目的應(yīng)明確合法，對該個人資料的利用只能根據(jù)該目的進(jìn)行，未經(jīng)資料主體同意，不得對個人資料進(jìn)行目的外利用；并且個人資料的保存期間不得超過實現(xiàn)該目的所需要的時間。④當(dāng)事人控制原則（Principle of Interested-Peron Access）。該原則是指資料主體（不論國籍與住所地）有權(quán)知悉其個人資料是否被收集和處理，有權(quán)對非法的、不必要的或不準(zhǔn)確的個人資料進(jìn)行改正和刪除。⑤無歧視原則（Principle of Non-Discrimination）。該原則是指對民族、種族、膚色、性生活、宗教等可能引起歧視的個人資料，不得進(jìn)行自動化處理。⑥安全原則。指信息必須保證安全，不被盜為他用。

（二）跨國流通的有關(guān)規(guī)定

為調(diào)和不同國家對個人資料跨國流通寬嚴(yán)不一的沖突，聯(lián)合國指南第9條規(guī)定，當(dāng)兩個或兩個以上國家的立法對個人資料提供了彼此相當(dāng)?shù)谋Ｗo(hù)措施時，個人資料應(yīng)在國家之間自由流通，同時還應(yīng)注意不能僅僅以隱私保護(hù)的理由阻礙正常的個人資料跨國流通。

（三）監(jiān)督與處罰

聯(lián)合國指南第8條規(guī)定，各成員國應(yīng)設(shè)定一個統(tǒng)一的、常設(shè)的監(jiān)督機(jī)關(guān)，負(fù)責(zé)對上述原則的執(zhí)行情況進(jìn)行監(jiān)督，并提供相應(yīng)的制裁、救濟(jì)措施。

（四）對政府間國際組織所保有的個人資料的適用問題

聯(lián)合國指南第二部分規(guī)定，指南原則上適用于政府間國際組織所保有的個人資料。

聯(lián)合國指導(dǎo)原則出臺的目的在于鼓勵那些沒有建立個人資料保護(hù)司法體制的國家盡快采取行動，以法律手段保護(hù)個人資料；統(tǒng)一各國國內(nèi)立法之間的不協(xié)調(diào)，促進(jìn)個人資料的國際保護(hù)。另外的目的在于鼓勵政府間和非政府間國際組織以負(fù)責(zé)的態(tài)度對待個人資料處理。聯(lián)合國指導(dǎo)原則在處理權(quán)利保護(hù)與資料自由流通兩個基本價值的矛盾方面，注重保持二者的平衡。在加強(qiáng)個人權(quán)利保障的同時，指南要求各國不得以保護(hù)隱私權(quán)為名，限制個人資料的跨國流通。值得稱道的是，聯(lián)合國指南首次規(guī)定了政府間國際組織保有的個人資料的法律適用問題。但是，聯(lián)合國指南僅是一種綱領(lǐng)性的文件，并無強(qiáng)制效力，其作用也因此有所折扣。