作者:吕艳滨
个人信息保护是指为了有效保护个人的合法权益,而对识别出或者可以识别出特定个人所有信息的收集、利用、传播等进行规范的法律制度,是对隐私权进行保障的重要方面。近些年来,在世界范围内,确立和完善个人信息保护机制已经形成一股潮流,本文将对日本个人信息保护制度的确立与完善过程作简要梳理。
一、日本隐私权保障机制概况
在过去相当长的时期内,日本许多成文法已经规定保障个人私事不被任意公开。但是,隐私权并没有被明确规定法律中,对隐私权的保障主要是通过一系列司法判决实现的。
私法上确认隐私权法律地位的标志性案件,是 1964 年东京地方法院审理的“盛宴之后案件” [1] 。法院首次明确认可隐私权为一种人格权,是“无正当理由不受公开的私生活权利”。之后,日本最高法院在 1969 年“京都府学联案件” [2] 中指出:警察无正当理由拍摄个人容貌等行为,违反了宪法第 13 条 [3] 。从该案开始,依据日本宪法第 13 条等所推演出的隐私权正式得到了确认。
在“盛宴之后案件”及其后的一系列案件中,法院主要将隐私权定位为一种消极、被动的权利。而在 1986 年“在日韩国人拒绝摁手印案件” [4] 的判决中,东京高等法院在一定程度上认定,隐私权乃是对个人信息加以控制的权利。在“在日台湾人身份调查表订正请求诉讼”案件 [5] 中,东京地方法院进一步指出:当事人为了避免遭受不利益和损害,可以要求持有其个人信息的当事人删除或者订正与事实不符的部分。在此过程中,日本的隐私权也逐步由传统上消极被动的概念向积极主动的概念转变。
隐私权的特点决定了侵害隐私权而给受害人造成的损害往往是无可挽回的。对此,东京高等法院在“电影《厄洛斯 + 虐杀》案件” [6] 中曾指出:虽然原则上现行法律允许以损害赔偿和恢复原状对人格性利益进行救济,但是,人格利益受到侵害的当事人,有权要求侵权人排除正在发生的侵权行为,或者预防将要发生的侵害 , 为此,要在个案中衡量受害人因未被采取排除妨碍乃至预防措施所遭受的利益损失样态和程度,以及加害人因相关措施而受到限制所遭受的利益损失,在此基础上确定该种请求权是否存在。这意味着,通过必要的事前管制确保隐私权不受侵害,是必要且可行的。
事实上,无论是从全面防止隐私权受到侵害的角度而言,还是从现代意义的隐私权概念出发,对收集、利用、保存、传播他人个人信息的行为进行规范,对于更全面地保护隐私权都是十分必要的。正因如此,许多国家和地区都先后确立了“个人信息保护制度”,规范对个人信息的处理行为。在日本,在实定法和司法判决确认了隐私权的法律地位后,随着信息化的不断发展以及世界范围内个人信息保护立法的推进,其个人信息保护制度也逐步得以确立和完善。
二、 2003 年 5 月前日本的个人信息保护机制
对日本的个人信息保护制度,可以以 2003 年 5 月份为分界点来加以考察,在此之前,日本个人信息保护的体系,主要由针对国家行政机关的立法、地方自治团体的立法、个别专门性法律中的相关规定以及行业自律机制构成。
日本政府构筑个人信息保护制度的努力,最早开始于 20 世纪 70 年代中期。特别是之后,受经济合作与发展组织( OECD )《隐私保护与个人数据国际流动指令》( Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, O.E.C.D. Doc. C 58 final )的影响,该国最终于 1988 年制定了《行政机关所持有的电子计算机处理的个人信息保护法》,规范国家行政机关利用计算机处理个人信息的行为 [7] 。
而日本地方自治团体个人信息保护法制的确立要普遍早得多。其中,最早的地方立法是 1973 年 6 月日本德岛市制定的《电子计算机处理的个人信息保护条例》。截至 1999 年 4 月,日本 72.3% 的地方自治团体,确立了包括条例、规则或者规程等手段在内的个人信息保护制度,其中的 46.1% 制定了条例。 [8]
除此之外,各种专门性法律法规也对保护个人信息或者隐私权做了规定。比如,《职业安定法》、《住民基本台帐法》、《户籍法》、《邮政法》、《电信事业法》、《残疾人福利法》、《电子商务法》、《消费者保护法》等。
非公共部门的个人信息保护,主要通过行政指导和行业自律方式解决。比如,财团法人日本情报处理开发协会( JIPDEC )曾于 1988 年制定了《民间部门个人信息保护指南》,通商产业省于 1997 年制定了《民间部门计算机处理之个人信息保护指南》。日本情报处理开发协会还创设了“隐私标识”( Privacy Mark )制度,向采取恰当措施保护个人信息的非公共部门颁发隐私标识,用以督促其通过自身努力改善其个人信息保护状况 [9] 。之后,日本还将隐私标识纳入日本工业标准的管理体系,制定了《个人信息保护应遵守之规则( JIS Q 15001 )》 [10] ,将其作为取得隐私标识的必要条件。
1995 年 10 月 24 日 ,欧洲议会以及理事会颁布了《保护个人信息处理所涉及个人信息保障该信息自由流动的 95/46/EC 指令》( Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data ,以下简称“欧盟指令”)。受其影响,日本“高度信息通信社会推进本部”于 1998 年发布了“面向高度信息通信社会的基本方针” [11] ,指出要对依法规制非公共部门的个人信息处理行为进行研究。 1999 年 11 月,“个人信息保护检讨部会”还发表了“我国个人信息保护系统的存在方式(中期报告)” [12] ,使制定包括非公共部门在内的个人信息保护法制的活动得以具体化。经过不断努力,日本终于在 2003 年 5 月通过了现行《个人信息保护法》。
三、日本现行的个人信息保护制度
日本现行的个人信息保护法律制度包括:《个人信息保护法》、《行政机关所持有之个人信息保护法》、《独立行政法人等所持有之个人信息保护法》、《信息公开与个人信息保护审查会设置法》以及《完善实施〈行政机关所持有之个人信息保护法〉等法的法律》等五部核心性法律。其中,《个人信息保护法》针对公共部门和非公共部门保护个人信息作出了规定,《行政机关所持有之个人信息保护法》和《独立行政法人等所持有之个人信息保护法》则适用于公共部门和行使行政职权的特殊法人,而对于非公共部门,则仍主张应尽可能针对其具体情况制定个别法或者加强其自律。
从适用对象上看,《个人信息保护法》不仅适用于国家政府机关、地方自治团体,还适用于非公共部门。因此,现行的个人信息保护制度从形式上接近欧盟的立法模式。但是,实质上,日本社会各界一贯认为,应针对各种非公共部门利用个人信息的形式与程度,制定较灵活的措施。个人信息保护体系首先应当确立适用于公共部门和非公共部门的基本原则,再就需要特别保护的领域制定个别法,同时鼓励非公共部门进行自律 [13] ,这也就是现行法的规定。因此,从总体上讲,日本的立法模式是美国模式和欧洲模式的折衷,既注意到本国行业自律机制的有限性,依法实施规制的必要性,又没有一味迎合欧洲对个人信息实施严格保护的要求,而试图在保护个人权益与保障信息自由流动之间寻找平衡。
同任何一项基本人权一样,隐私权并非是一种绝对性的权利。就个人信息处理者的义务而言,虽然应当遵守收集限制、目的明确、使用限制和个人参与等原则,但在某些情况下,个人信息处理者可以有所保留。比如,为了保护个人生命、身体或者财产,或者为了提高公共卫生,或者推进儿童的健康成长,在很难得到本人同意时,非政府部门可以不经本人事先同意而处理其个人信息(《个人信息保护法》第 16 条)。相应地,个人信息所有者所享有的各项权利也会因保护其他重大利益的需要而受到限制。
现行法制的一大特色,是针对非公共部门的个人信息处理行为设置了多层次的救济系统,尤其重视导入各种替代性的纠纷解决机制。首先,《个人信息保护法》要求非公共部门的个人信息处理者确立相应体制,保障恰当且及时地处理与其个人信息处理行为有关的投诉。其次,特定民间团体经过主管大臣认定后,可以处理个人信息本人提出的投诉。另外,该法还要求地方自治团体必须协助对涉及个人信息处理的投诉进行处理,或者采取其他必要措施(如通过消费者中心解决相关纠纷)。国家也应采取必要措施,恰当且及时地处理该种投诉。此外,考虑到上述替代性纠纷解决方式的局限,该法还要求主管大臣向个人信息处理者收取报告、实施指导、发布命令、对违反命令者实施处罚,以监督其个人信息处理行为。
在制定个人信息保护法的过程中,如果像欧洲那样,设立对任何领域都拥有管理权限的个人信息保护机关,则有可能大幅限制非公共部门本应自由的活动,极不符合日本的国情,与其行政改革和放松管制的潮流相悖,故应构建富有成效的事后救济体系;至于适用于所有领域的登记制度,则会限制各种非公共部门从事经济活动,增加其经营成本与行政管理成本 [14] 。因此,日本最终采取的办法是,对于行政机关的个人信息处理,由该机关事前向总务大臣通报相关事项;对于独立行政法人、非公共部门的个人信息处理,则没有通报制度,分别由总务大臣要求独立行政法人,由主管非公共部门的内阁大臣视情况要求该部门,提交实施个人信息保护法的报告。同时,凡与个人信息处理有关的行政复议案件,复议机关必须咨询专门设立的“信息公开与个人信息保护审查会”的意见。而对于非公共部门,主管大臣可以针对其违法或者不当的个人信息处理行为发出劝告或者命令。
从与政府信息公开的关系上看,日本也在《信息公开与个人信息保护审查会设置法》中将原来《信息公开法》 [15] 中设置的“信息公开审查会”,整合为“信息公开与个人信息保护审查会”,就政府信息公开和个人信息保护的相关事项为复议机关提供咨询意见。
由于不同的行业和领域对个人信息的利用情况各不相同,对所有行业适用统一的规制措施是有困难的。对许多特定的行业和领域研究做出特别规定,与有关的国际规则并不冲突,也是世界其他国家普遍采用的做法。为此,日本在其《个人信息保护法》中也规定了适用上的例外,即广播机关、报社、通信社以及其他报道机关,从事著述活动的当事人,大学以及其他以学术研究为目的的机关、团体或者所属的个人,宗教团体,政治团体等为各自目的处理个人信息的则不用适用该法,但应当自行采取适当措施对个人信息采取安全管理。有观点认为,该规定对于特定行业的活动会产生一定的负面影响。
四、小结
总的来说,日本个人信息保护制度及隐私权保障的发展,经历了一个过程,与其本身法治发展有密切的关系,是其信息化发展进程中信息化法制建设的重要组成部分,世界范围内个人信息保护法制的发展对其也产生了重大的影响。在相关法制的确立和完善过程中,日本非常注重借鉴国外经验,但又不忽视本国实际情况,尤其是一直将平衡保护个人合法权益与促进信息自由流动之间的关系,作为其主要的指导思想。
2003 年出台的几部法律为日本个人信息保护确立的基本法律框架,但尚不足以完全胜任个人信息保护的需要。许多领域因其特殊性而需要制定专门法律,许多领域也需要更为严格的保护机制。为此,需要在信用信息、医疗信息、电信等专门领域,通过制定专门性法律,扩充其个人信息保护法制。另外,由于许多地方已制定有关条例,新法律体系确立后,各地方自治团体也需要尽快依照新法修改其相应的规定。
【注 释】
[1] 关于该案的案情及评述,可参见「別冊ジュリスト 憲法判例百選Ⅰ[第三版]」,第 130 页。
[2] 关于该案的案情及评述,可参见「別冊ジュリスト 憲法判例百選Ⅰ[第三版]」,第 40 页。
[3] 日本宪法第 13 条规定:所有国民作为个人应受尊重;国民对于生命、自由以及追求幸福的权利只要不违反公共利益就应当在立法和其他国家政治活动中受到最大的尊重。
[4] 关于该案的案情及评述,可参见「別冊ジュリスト 憲法判例百選Ⅰ[第三版]」,第 18 页。
[5] 参见“東京地裁昭和 59 年( 1984 年) 10 月 30 日 判決”。
[6] 关于该案的案情及评述,可参见「別冊ジュリスト 憲法判例百選Ⅰ[第三版]」,第 132 页。
[7] 日本实行地方自治,该法仅适用于国家行政机关,地方行政机关则通过后述的地方条例加以规范。
[8] 参见 [ 日 ] 新史保生:『プライバシーの権利の生成と展開』(株式会社成文堂 2000 年 12 月)第 349-350 页。
[9] 关于隐私标识,可参见如下网址: http:privacymark.jp/ ( 2005 年 9 月 2 日 21 时 25 分最后登录)。
[10] 关于「個人情報保護に関するコンプライアンス ? プログラムの要求事項( JIS Q 15001 )」的制定过程,可参见 http:www.meti.go.jp/press/olddate/information/v90323b1.html ( 2005 年 9 月 3 日 21 时 27 分最后登录);关于「個人情報保護に関するコンプライアンス ? プログラムの要求事項( JIS Q 15001 )」,可参见 http:privacymark.jp/ref/jisq15001.pdf ( 2005 年 9 月 3 日 13 时 29 分最后登录)。
[11] 原文「高度情報通信社会推進に向けた基本方針」参见 http:www.soumu.go.jp/kokusai/pdf/siryou04.pdf ( 2005 年 5 月 30 日 21 时 59 分最后登录)。
[12] 原文「我が国における個人情報保護システムの在り方について(中期報告)」刊载于 [ 日 ] 『法律時報』第 72 卷第 10 号;其电子版本则请参见 http:www.kantei.go.jp/jp/it/privacy/991119tyukan.html ( 2005 年 9 月 2 日 22 时 13 分最后登录)。
[13] 参见前引「我が国における個人情報保護システムの在り方について(中期報告)」。
[14] 参见前引「我が国における個人情報保護システムの在り方について(中期報告)」。
[15] 该法的中译文,请参见周汉华主编:《外国政府信息公开制度比较》,中国法制出版社 2003 年 8 月第一版,第 122-136 页。