公共事务管理中个人数据保护的法律研究/沈冕成(7)
三、对策和参考意见
在分析研究了公共事务管理机构对个人数据的收集、使用等情况中的问题之后,我们试图提供一些解决问题的建议以供参考。
基于目前的国情,要建立一部独立的《个人数据保护法》似乎条件还不成熟,但就公共事务管理领域来说,个人数据的保护应当纳入地方法规和部门规章来填补这一领域的个人数据保护的空白。我们觉得要这样做的话,以下几点是应当贯彻的:
1、个人数据首先要确立对个人数据不得任意收集的原则。如《个资法》中规定非公务机关非特有目的的不得进行个人资料的收集和处理;如有特有目的要向事业主管机关申请登记,核准后发给执照,而申请登记核准后还须公告登载并供查阅。对于大规模的个人数据的收集只能是由法定的公共事务管理机构,如公安机关等,按法定的程序来收集。或者仅限于公安机关,而通过立法规定政府部门之间的关于个人数据的共享程序来使有需要的部门获得相关的个人数据。而这种在公共事务管理机构之间的使用范围的扩大也不得随意,法律应当规定何种情况可以扩大,何种情况不可;按照对个人数据的分类,哪些个人数据可以共享,哪些不可以共享;并对访问权限进行设置。总之,这种获得个人数据的行为,不论是收集还是从他处实现共享,都必须是法律授权的,也就是要有法律依据。
2、为切实保护个人隐私权,在个人数据的收集环节中就应当得以体现并作出相应的保证。明确收集个人数据的使用目的,并且明确告知哪些个人数据是必须要提供的,而哪些是可以选择提供也可以选择不提供的。个人不仅是个人数据产出的最初来源,也是其正确性最后的核查者,所以个人当然地对其个人数据拥有主动积极的控制支配权。当个人将其数据提供给收集机关时,这种主动积极的控制支配权即发生分化和弱化。所以,应当通过制度的方式来弥补这种分化和弱化,而个人也应当成为收集机关对该个人数据使用范围的参与决定者。当个人将其数据提供给收集机关时,当可以视为个人对收集机关所告知的目的的使用的同意,但其他目的的使用则视为不同意。我们认为在此阶段即可通过格式化的行政合同或其它协议来决定个人数据的使用范围并设立救济方式。而收集机关在没有同当事人协商并获得其同意之前,不得将当事人为某特定目的所提供的个人数据运用在另一个目的上。
3、法律应当对所保护的个人数据的客体包括公共事务管理机关可以收集的个人数据的范围加以细数。如中国台湾的《个资法》中规定:保护客体即是个人资料,所谓“个人资料”是指“自然人的姓名、出生年月日、身份证号码、特征、指纹、婚姻、家庭、教育、职业及其他足以识别该个人的资料”,亦即可以凭借该资料辨识谁是资料本人的资料。
总共9页
[1] [2] [3] [4] [5] [6] 7
[8] [9] 上一页 下一页