其他法律中个人信息保护规定概览

(一)《印度共和国宪法》中的规定

宪法是一个国家的根本大法,规定着关乎国计民生和国家命脉的重要事项,明确了公民的基本权利和义务。对个人信息的保护从根本上来说,是对公民隐私权这一基本权利的保护。1950年出台的《印度共和国宪法》第21条规定:“除法律规定外,任何人不得被剥夺生命或人身自由。”这条规定虽然没有明确体现“隐私权”字样,但依旧被视为是个人在印度享有隐私权的依据。因为在学理意义上说,隐私权属于人身权的一种,保障生命和人身自由本身就包括保护个人隐私这一子集。但许多印度法学的专家和学者认为,这种解释略显牵强,该法条的规定过于笼统。

除第21条外,第19条第1款第(1)项规定了“宪法保障公民的言论自由和表达自由”。有学者认为按照该条所体现出的精神,似乎可以把“言论自由”也当作是一种“个人隐私”,保障言论自由也可以被解读成是把保障个人隐私作为公民的基本权利。如果这样理解,与其他现有的基本权利一样,该权利的行使要受到第19条第1款第(2)项规定的合理限制。何为合理限制?印度法院认为基本权利只有在极特殊的情况下,出于令人信服的原因才能受到限制,例如“不得侵害国家安全和公共利益”。

上述第19条和第21条是《印度共和国宪法》的所有条款中与“个人隐私权”联系最为紧密的两条,但被认为“过于牵强和笼统”“不够明确”。为此,宪法审查委员会的成员曾多次提出,应该在宪法中引入专门针对隐私权的相关规定,以体现本国法律对个人隐私权保护的重视,但却一直没有成功。2015年,该问题被印度宪法审查委员会上报到印度最高法院委员会进行审议,希望印度最高法院能够为“个人隐私权是否是宪法保障的一项基本权利”这一质疑作出回答。

2017年8月,印度最高法院做出了一项判决,判决中声明“隐私权是一项基本人权,内在于生命和自由,受到宪法的保护”。印度最高法院的最新裁决推翻了此前分别在1958年和1961年做出的裁决——当时的两项裁决认为隐私权不受印度宪法的保护。大法官认为,生命和个人自由是不可剥夺的权利,隐私权来自宪法保障的生命和个人自由,隐私的元素发源于基本权利所认可和保障的自由和尊严的其他方面,隐私是人类尊严的核心。^[6]印度最高法院这一判决也表明了司法领域的态度:虽然宪法没有明文规定隐私权,但隐私权可以作为基本人权的一种获得保护。

其实参照印度参与的国际公约,个人隐私权早已被载入包括《公民权利和政治权利公约》(1996年)(International Covenant on Civil and Political Rights)在内的众多国际人权公约中。《公民权利和政治权利公约》(1996年)第17条规定:“任何人的私生活、家庭、住宅和通信等不得受到任意或非法的干涉。任何人不得以非法目的攻击他人的荣誉和名誉。”“《公民权利和政治权利公约》的缔约国有义务采取立法措施和其他措施,禁止公民实施这种干涉和攻击,并保护公民的隐私权利。”此外,印度也是《世界人权宣言》(1948年)(The Universal Declaration of Human Rights)的缔约国,该宣言第12条规定:“任何人的私生活、家庭、住宅和通信不得被任意干涉,他的荣誉和名誉不得被加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”^[7]

同样作为发展中国家,中国早在1982年就已将“个人隐私权”写入了宪法中。《中华人民共和国宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”第39条规定:“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”^[8]

可见,《印度共和国宪法》的相关条款无法表明印度政府对保护个人信息和隐私的坚决性,印度若要将个人信息保护明确规定在宪法中,还有很长的一段路要走。

(二)《印度合同法》中的规定

由于印度的《信息技术法》等法案具有可执行性差、规定不够全面等局限性,印度法律关于个人信息和隐私的保护力度整体较低。对于侵害个人信息和隐私权的情形,如果不能依据上述法律得到处理,也可以依据《印度合同法》中的相关规定得到补救。根据该法规定,双方当事人可以针对个人隐私保护另行签订“隐私保护协议”,或是在签订其他主合同时单独签订针对隐私保护的从合同,或是把隐私条款纳入主合同的条款之中。签订合同的双方可以是“公民与公民”“公司与客户”“供应商与销售商”“合作伙伴”等任何关系,只要一方具有需要另一方保密的敏感或隐私信息。在该合同中,除了可以约定需要保密的隐私条款外,还可以约定仲裁条款,以便于解决任何可能发生的纠纷和争议。如果任何一方违反合同约定或不履行其所承担的义务,例如违反一般合同义务构成一般违约、违反数据保护义务构成根本违约等情况出现,另一方都可以依据《印度合同法》要求违约方赔偿损失。

近些年,财产的境外转移成为一种普遍现象。不少希望将财产转移海外的外国公民和企业都将目光投向印度,印度也因此成为非常受欢迎的“离岸目的地”和“避风港”。在这种财产转移的过程中,少不了“隐私保护协议”的签订。例如,当一家美国公司与一家印度公司签订财产转移合同时,为了遵守相关法律规定,双方必须要在合同中加入个人数据和隐私的保护条款。双方可以在合同中约定在何种条件下印度公司可以披露这些信息,以及印度公司应该采取怎样的必要措施,合理适当地保护美国公司提供给印度公司的信息的机密性、完整性和可用性。在此例子中,美国公司隐私信息的收集、处理、使用、存储等过程均可能是在印度境外完成的。但即便如此,印度公司也有义务基于合同约定,保护美国公司的隐私信息。(www.xing528.com)

(三)《印度刑法典》中的规定

《印度刑法典》中没有专门针对个人隐私问题制定的条款,因此必须结合其他犯罪来推断侵害个人隐私行为的刑事责任。换言之,侵害个人隐私的具体行为和犯罪目的不同,所对应的罪名和刑罚也不同。例如,个人隐私数据被盗窃的,可以参照《印度刑法典》中关于“盗窃罪”的规定,将盗窃的客体设定为“个人隐私”,依法追究犯罪者盗窃罪的刑事责任;再如,《印度刑法典》第403条规定,对非法挪用或占有不属于自己的“动产”的行为属于犯罪。这里所说的“动产”指的是不附属于任何其他事物、不附着于土地等不动产的事物。“动产”采取广义的解释,可以理解为是财产、物品,也可以理解为是包含存储在有形媒介中的个人信息。如果公民的个人信息被他人非法“挪用或占有”,受害人就可以基于这一条款主张权利。如果触犯这一条款,犯罪者可能会面临最长三年的监禁或罚款,或者是监禁并处罚款的刑罚。

(四)《印度版权法》中的规定

1957年出台的《印度版权法》负责保护著作权人对文学、戏剧、音乐、艺术和电影等作品的知识产权,可见,想要得到《印度版权法》保护的前提是内容属于“作品”这一客体,并且通常要满足“新颖性”和“独创性”标准。“计算机数据库”这一概念,从字面上来理解似乎不属于具有新颖性和独创性的“作品”,但为了更好地保护计算机数据库不受侵犯和攻击,印度法院授予了计算机数据库以“文学作品”的地位,并承认了计算机数据库所拥有的知识产权。根据立法解释,计算机数据库中的海量数据是某个人或某个团队消耗巨大的时间、金钱、劳动力和技能开发出来的,对客户信息和客户名单的汇编,与著作权人通过努力创造出文学作品,并根据《印度版权法》对其文学作品享有知识产权别无二致。

对计算机数据库进行的任何侵权行为,拥有计算机数据库的公司都可以根据《印度版权法》,起诉侵权者并要求损害赔偿。侵权者不仅会面临着民事责任,还可能会面临刑事责任。例如,侵权者擅自复制计算机数据库内容,或者在未经合法授权的情况下复制和分发数据库。在这种情况下,根据《印度版权法》第63B条的规定,不仅侵权者要承担民事责任以及“六个月以上三年以下监禁,或最低50 000卢比最高200 000卢比罚款”的刑事责任,其他明知侵权者的行为还故意为其隐瞒的人,也要面临“200 000卢比以下罚款或3年以下监禁”的刑罚。

(五)《信用信息公司管理条例》中的规定

《信用信息公司管理条例》为保护印度公民和企业的信用和财务信息建立了严格的框架体系。该法案要求信息收集方必须按照法案中规定的隐私收集准则,对印度公民和企业的信用和财务信息进行收集。其中的“隐私收集准则”是由印度储备银行制定的,对规则的限定十分严格。根据《信用信息公司管理条例》,信息的收集方和维护方要对这些数据可能出现的任何泄露现象承担责任。

《信用信息公司管理条例》对信息的收集方和维护方的要求十分严格,采用的是“列举式”方法。只有如下实体才有资格被授权收集用户的信用信息:《保险法》(1938年)(Indian Insurance Act)中规定的,已经在印度保险监管和发展局(Insurance Regulatory and Development Authority of India,IRDAI)登记注册的保险公司;提供蜂窝数据服务、电话服务,并已经在印度电信管理局注册的公司;在印度证券交易委员会(Securities and Exchange Board of India,SEBI)注册的评级机构;在印度证券交易委员会注册的经纪人;在受到国家认可的商品交易所注册的交易会员;印度证券交易委员会、印度保险监管和发展局。^[9]

(六)《证书入境规则》(2013年)中的规定

2013年,印度《证书入境规则》正式生效。根据该规则,如果出现某些类型的“网络安全事件”,使得IT系统或数据遭遇了未经授权的访问和攻击,则系统和数据的服务提供商、中介机构、数据中心和企业实体会立刻发出通知要求印度计算机应急响应小组立即采取强制措施。《证书入境规则》将“网络安全事件”定义为任何与网络安全相关的、违反任何明示或默示安全策略的,导致未经授权的访问、拒绝或中断服务,未经授权地使用计算机资源处理或存储信息,未经授权更改数据或信息的行为。具体而言,可能会触犯《证书入境规则》中执行强制措施要求的“网络安全事件”有如下几种情况:有针对性地扫描、探测关键的网络和系统;未经授权访问IT系统和数据;修改网站或入侵网站;未经授权的更改,如插入恶意代码或链接到外部网站;恶意代码攻击,如传播病毒、蠕虫、木马和僵尸网络间谍软件;对诸如数据库、邮件DNS和路由器等网络设备的服务器进行盗窃,欺骗和网络钓鱼攻击;拒绝服务和分布式拒绝服务攻击;对关键基础设施、SCADA系统和无线网络的攻击;对诸如电子政务和电子商务等应用程序的攻击等。发生上述任何事件时,相关主体必须通知印度计算机应急响应小组,负责收集、分析和传播有关网络事件的信息,并对网络安全事件进行预测和警报,为处理网络安全事件提供应急措施,协调进行网络安全事件的应对和处理。公司对印度计算机应急响应小组的通知必须在合理的时间内提出,以便其尽快行动,弥补损失。