作为罗马文明重要的组成部分,罗马法向世人证明了古罗马的伟大,两千多年过去了,罗马法的精神仍世代流传。进入互联网时代,面对与日俱增的隐私侵犯和个人数据泄露的风险,意大利仍紧跟时代步伐,通过整合和修改原有法律,制定出一部体系完整的《个人数据保护法典》,再次树立了个人数据保护的立法典范。
明确个人数据保护权
意大利对个人数据保护源于早期的隐私权概念,并上升到了人权高度。意大利1947年宪法第二条规定,“共和国无论对个人还是对表现其个性的社团成员,均承认并保障其人权之不可侵犯,并要求履行政治经济和社会团结方面的不可违背的义务。”1975年,上诉法院首次承认对个人事务的“隐私权”是一项自主的权利。1996年,意大利以第675号法令通过了《数据保护法》,确立了个人数据保护权,并将其作为一项单独的权利。
进入二十世纪以来,为了落实欧盟数据保护规则改革,意大利也迅速做出立法调整。2003年,国会制定通过了《意大利个人数据保护法典》,将关于个人隐私保护和个人数据保护的规定都集中到该法典之中。随着情势的变更,该法典也在不断地修正完善。2012年5月28日,国会第69号法令再次对《个人数据保护法典》进行了修正,增加了对电子通信相关的消费者个人隐私保护规则适用的一般性规定。
总体来看,意大利个人数据保护法律体系由一般法和相关部门法组成。一般法即2003年通过的《意大利个人数据保护法典》,该法典旨在落实欧盟95/96数据保护指令,并取代了1996年通过的《数据保护法》。除法典之外,意大利没有数据保护的特别法,但是在一些特定的部门法中包含了与数据保护相关的内容和条款,包括但不限于:1941年第633号法令通过的《版权法》,该法令提供了版权保护规则;《劳工法》,该法中规定了若干对雇员数据保护的条款;2003年第70号法令通过的《电子商务法》,该法明确建立了电子商务领域使用的数据保护强制性规则;2005年第206号法令通过的《消费者法典》,该法典主要设定了涉及消费者数据保护的规则;2008年第81号法令,该法令对在车间作业的健康和安全相关数据问题做出了规定。
紧跟时代潮流的《个人数据保护法典》
如前所述,意大利《个人数据保护法典》于2003年通过并于2004年1月1日正式生效实施,该法典整合了自1996年以来所有涉及数据保护的法典、法令和规定。2012年修订后,该法令包含了三部分一百八十六节和两个附件。其中,第一部分为一般数据保护规定,设定了数据保护的基本规则,适用于所有主体;第二部分是对一些特定领域(如健康、通信、金融等)的附加规定;第三部分是关于处罚和救济的规则。
——适用范围广泛,赋予个人数据保护权
在适用范围上,根据法典第5节之规定,该法典适用于意大利境内或者意大利主权范围内所有主体(自然人和法人)所涉及的处理个人数据(包括境外数据)的活动。同时,该法典也适用于在欧盟境外但使用了意大利境内设备(例如电脑等)的主体所涉及的数据处理活动。对于前述主体,需要指定一名在意大利境内设立实体的代表,以表明其落实了意大利关于个人数据处理相关保护规则。
同时,法典赋予了个人享有的数据保护权,其第一条明确规定:任何人都享有与其相关的个人数据保护的权利。此外,法典第4节对个人数据的概念进行了定义,其指出:个人数据是指任何与自然人相关的可以直接识别(其身份)的信息,甚至是能通过个人身份证号码等其他相关信息间接识别(个人身份)的信息。
——明确界定数据处理活动
在数据保护领域,处理是一个非常重要的概念,因为《个人数据保护法典》规定的法律限制针对的就是“个人数据的处理”。在法典中,“处理”被定义为运用电子或自动方式而实施的有关数据的收集、记录、组织、持有、查询、加工、修正、筛选、恢复、对比、使用、交互、封阻、通信、传播、清除以及销毁的单个或一组操作。同时,法典也对数据“处理者”进行了界定,“处理者”是指处理个人数据的自然人、法人、公共行政部门、团体、协会或其他机构。
——严格的“通知-同意”规则
根据法典规定,在数据处理开始之前,数据处理者必须向数据拥有者发送专门通知,口头书面皆可。该通知内容需包括:数据处理的情况、目的和用途;提供数据是强制性的还是自愿性的;数据披露的对象;数据处理者的详细情况;数据当前以及未来可能的存储位置;数据是否转移到境外;以及法典中规定的数据主体所享有的权利。
当数据拥有者表示明确同意后,个人数据处理活动才算合法地进行。如果是涉及敏感数据,那么必须得到数据拥有者的书面同意才可。此外,根据法典第37节的规定,数据处理者在处理某些特定类型数据的时候必须通知意大利数据保护机构,这些数据包括基因和生物数据、地理定位数据以及行为广告数据等。
——设立专门的数据保护机构
意大利在1996年的立法中就设立了个人数据保护机构Garante,并在2003年《个人数据保护法典》中得到保留和加强。作为一个独立的管理机构,Garante设立之初的目的是保护与数据处理相关的基本权利和自由。从结构上来看, Garante是由四名成员组成的合议机构,其中包括一名主席,一名副主席和两名组成成员。
Garante的职责广泛,具体包括:监督执行个人隐私保护条款;处理公民提起的申诉和报告;终止或关闭对个人产生伤害的数据处理活动;检查警察和情报机关所进行的数据处理活动;提升公众隐私户数保护意识;对个人数据保护活动进行监督检查并处以行政处罚;在具体案件中对数据保护法典中提及的问题发表意见;以及提请国会和政府注意个人数据保护的监管措施等。
对我国个人数据保护的启示
进入大数据时代,如何加强个人数据保护也是我国面临的一个重要难题。当前,我国尚未制定一部专门的个人数据或个人信息保护法律,现有部分规定散见于《刑法》、《全国人大常委会关于加强网络信息保护的决定》、《消费者权益保护法》等相关法律中,尚未真正建立起完整的个人数据保护的立法体系,而且缺乏有力的执法手段和执法措施。结合意大利经验,在个人数据保护立法上建议我国加强以下两个方面工作:
一是加强顶层设计,整合现有相关法律法规,加快制定一部个人数据(或个人信息)保护法律。具体而言,充分吸收现有法律条文的规定,借鉴国外个人数据保护立法的有益经验,设计一套适合我国国情的个人数据保护规则。
二是明确界定个人数据保护职责,完善执法监督措施。考虑到目前数据保护立法主要由各个部门分别落实,设立单一数据保护机构的现实可能性较小,建议可考虑设立个人数据保护的统筹协调机构,同时明确授予各相关主管部门个人数据保护的监督管理职权,划清各行业部门间的管理界限。同时完善执法手段和执法工具,强化行政处罚等法律手段,采用公示公告等非正式措施,加大执法力度。