英国数据法与媒体适用
随着计算机技术、网络技术的发展,数据成为人们的一项新的人身权和财产权的客体。在大数据时代,隐私和数据已成为全世界关注的焦点之一。英国早早认识到数据保护的重要性,同时鉴于没有关于隐私保护的成文立法,借助数据保护法来保护信息时代的隐私也成为英国人制定标准数据保护法的动因之一。《数据保护法》的立法宗旨、框架、原则和具体规定显示其宗旨是划定数据主体的权利范围、规范数据的搜集、处理、安全保障问题。数据对传媒的正常运转来说是必不可少的。技术的发展、传播平台的创新,使得传媒对内容的争夺更加激烈,甚至为了获得内容而“不择手段”[30]。因此,《数据保护法》的制定和实施,给传媒行为和内容的规范都带来了新的问题。具体来说,这些问题如下:
(1)媒体搜集信息的界限在哪里?讨论这一问题时涉及两个层面的问题:一个层面是哪些信息可以搜集,哪些信息不可以搜集,另一个层面则是搜集信息时可以运用的方法和技术手段有哪些。
(2)什么样的信息使用权对媒体的运作来说是有帮助的?
(3)媒体组织对自己的信息有多少控制权?它们是否会遇到被迫披露信息的情况?
本节探讨英国《数据保护法》对媒体行为和内容监管的影响,主要涉及媒体在采访和运营中获得他人数据、在报道中使用他人敏感数据(隐私)的问题。
英国作为欧盟前成员国,其关于个人数据法的制定和实施与欧盟立法紧密相关。
一、欧盟和英国数据保护立法
(一)欧盟数据保护立法
1974年,前身为欧洲经济合作组织的经济合作发展组织(Organization for Economic Cooperation and Development,OECD)成立了关于跨境个人信息传输和隐私权保护的专家组织,研究有关个人信息跨境传输中的数据保护问题。1980年9月23日,OECD理事会颁布了《保护个人数据信息跨境传送及隐私权指导纲领》(the Guideline on the Protection of Privacy and Transborder Flows of Personal Date),简称为《OECD隐私保护指导纲领》。这一文件对个人信息保护做了原则性规定,提出的个人数据“国内使用的八大基本原则”及“国际间自由流通和合法限制原则”,建构了个人信息保护及数据跨境流动的指导框架,对世界各国的数据保护立法和实践产生了深远的影响。但是这一文件本身对于成员国并没有法律约束力。
1981年1月28日,欧洲理事会各成员国在法国斯特拉斯堡签署了欧洲系列条约第108号《有关个人数据自动化处理之个人保护条约》(简称《COE公约》)以及第181号《〈有关个人数据自动化处理之个人保护公约〉附加议定书》。该公约及其附加议定书是全球首个关于数据保护的且具有法律约束力的公约,这是欧盟层面首次制定具有法律约束力的个人数据保护方面的公约。考虑到自动化处理的个人数据跨国流动日益增多,公约旨在保护个人基本权利和自由,尊重个人隐私,促进信息的自由流动,确保各缔约国领域内每个人无论其国籍或住所,其基本权利和自由受到尊重和保护,特别是个人数据被自动化处理时,隐私权得到充分尊重。鉴于《COE公约》签订后未取得预期效果,欧洲委员会在1990年向欧洲理事会提交了一份《关于保护共同体个人信息及信息安全的指令草案》,该指令草案正式开启了欧洲信息保护法律制度一体化的进程。1995年10月24日,欧盟通过《关于个人数据处理保护与自由流动指令》(Directive 95/46/EC of the European Parliament and of the Council,简称《95指令》),为欧盟成员国国内立法保护个人数据设立最低标准,规定关于个人数据保护的一般性原则,数据主体的权利,数据控制者、处理者的义务,还概要性地规定了法律责任,对跨境数据传输进行制度管理。由于《95指令》有许多开放式条款,须经成员国转化为国内法,因此各成员国在立法和执法的过程中存在较大解释空间,给个人数据保护带来了分歧。为建立统一的欧盟数据市场,加强个人数据保护及促进数据流动,2012年1月25日,欧洲议会公布了《通用数据保护条例》(General Data Protection Regulation,GDPR)的草案。2016年4月14日由欧洲议会投票通过《通用数据保护条例》和《数据保护法实施指令》(Data Protection Law Enforcement Directive,DPLED)。关于数据保护的规定从“指令”上升为“条例”,这意味着《通用数据保护条例》——生效即成为成员国国内法的一部分,可被直接使用。
《通用数据保护条例》于2018年5月25日生效,被认为是“史上最严”的数据保护法案,对违反该法的行为的相关处罚最高可达2000万欧元或企业年收入4%的罚款。
(二)英国数据保护立法
1981年欧洲理事会制定《有关个人数据自动化处理之个人保护公约》之后,作为欧洲理事会的成员国,英国于1984年制定了《1984年数据保护法》,以此履行公约的要求。1995年欧盟通过《95指令》,要求各成员国必须按照该指令于1998年10月前调整修改本国法律,英国政府于1998年1月出台了新的数据保护清单,制定了《1998年数据保护法》。这一法律由于很多具体规定高于《95指令》,经常被称为“黄金标准”。《1998年数据保护法》颁布之后,在2010年、2017年经历了一定修改,主要是强化了数据信息专员的权力。2018年《通用数据保护条例》正式实施,在经历了英国与欧盟的努力之后,《2018年数据保护法》(Data Protection Act 2018,DPA)也于2018年5月25日开始生效。
欧盟的《通用数据保护条例》,被称为史上最严格的保护条例。这首先体现在关于数据主体权利更全面的规定,同时还有关于数据的搜集者、控制者、处理者相关义务的更严格的规定,以及对违反数据法行为的严厉制裁措施。2018年英国正处在脱欧进程中,但是尚未完成脱欧过程,依然要受欧盟的相关法律约束。作为具体实施《通用数据保护条例》的法律,《数据保护法》的框架、主旨、原则、数据主体权利、控制者和处理者的义务,权利限制或义务主体豁免等方面的规定与《通用数据保护条例》都是一致的。当然,由于《通用数据保护条例》为成员国国内立法留有自主的空间,因此《数据保护法》在个别方面做出了不同于《通用数据保护条例》的规定。
就英国国内法而言,《2018年数据保护法》相较于实施了20年的《1998年数据保护法》来说,有两点比较突出。
首先,进一步强化了对个人的保护,新法给予公民更多的个人信息控制权。一是在“知情-同意”制度方面,个人“同意”的条件更加严格,并增加了若干新的条件,例如要求同意必须是“明确且易于撤销的”,特别是当控制者处理个人敏感数据时,“同意”必须非常明确。在个人数据被获取方面,新法使个人更容易向数据控制者要求披露与其相关的数据,并且不得收费。新法规定了数据可携带权,允许用户在不同服务提供者之间转移自己的数据,例如,用户有权将自己在邮件或其他存储服务提供者中的数据转移。新法规定了被遗忘权,如个人有权要求擦除其个人数据,有权要求社交媒体平台删除其童年时期所发布的个人信息,在某些特定条件下,个人还可要求社交平台删除其曾发布的所有信息。
其次,增加信息专员办公室(Information Commissioner Office,ICO)的权力。英国个人数据监管机构信息专员办公室因此获得更多的权力来维护用户利益,包括调查权、民事处罚权、刑事追责权。另外,新法强化了对违法行为举报人的保护,并对最严重的违规行为进行高达1700万英镑或全球营业额4%的罚款。
二、数据保护法的核心内容与相关规定
(一)数据保护法的立法宗旨
《通用数据保护条例》开宗明义:本条例规定关于处理个人数据过程中对自然人进行保护的规则,以及个人数据自由流动的规则;本条例保护自然人的基本权利与自由,特别是自然人享有的保护个人数据的权利。[31]
在此前提下,英国《数据保护法》规定,一个自然人有权利知道政府部门和其他组织掌握哪些有关自己的信息。这表现为个人的数据权利,具体有如下方面:被告知自己的信息正在被如何利用的权利和获取自己数据的权利;纠正不正确数据的权利(have incorrect data updated);擦除数据的权利,阻止或限制处理自己数据的权利;携带数据的权利,也就是允许从不同的服务商那里得到和再利用自己数据的权利;反对在特定情形下处理自己数据的权利。对于一个组织利用自己个人数据的情况,数据主体还有免受自动化决策(automated decision-making processes)、以数据画像方式处理数据的权利。[32]
《通用数据保护条例》和《2018年数据保护法》进一步提出关于个人数据处理的原则,也就是个人数据的控制者、处理者应该承担的义务与责任。《通用数据保护条例》和《2018年数据保护法》突出强调和规定了如下内容:数据保护原则(公平、合法、透明使用原则)目的具体明确、清楚;适当、相关与只限于必要使用;准确、必要时及时更新;不超过必要时间保存;确保以适度安全的方式处理数据,包括避免数据受到非法处理或未经授权处理,如获取、丢失、毁灭、损坏;对最敏感的信息给予最强的法律保护,这些信息包括种族、人种背景、政治观点、宗教信仰、工会成员身份、基因、用于身份认证的生物识别特征、性生活或性取向。
(二)数据保护、表达自由和信息自由流动的平衡
数据保护法承担保护数据的使命,同时,也要注意对个人数据的保护不能损害和妨碍公民的其他基本权利和自由,不能以牺牲产业发展为代价。因此,数据保护法要注意“不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止”[33]。为了避免相关的数据处理原则和义务规定造成对表达自由和知情权的妨害和限制,数据保护法对专业媒体的采访、调查或报道活动也有专门的规定。《通用数据保护条例》第85条做出如下规定:“(1)成员国应当制定法律调和本条例保护的个人数据保护权、表达自由权与信息权,包括调和为了新闻目的和学术、艺术或文学表达目的而进行的(数据)处理。(2)对于为了新闻目的和学术、艺术或文学表达目的而进行的处理,如果对符合本条例制定的个人数据保护权、表达自由权与信息权来说有必要,成员国应当对第2章(原则)、第3章(数据主体的权利)、第4章(控制者和处理者)、第5章(个人数据转移到第三国或国际组织)、第6章(独立监管机构)、第7章(合作与一致性)和第9章(特定数据处理的情形)的规定进行豁免或减轻责任。(3)每个成员国都应当将其按照第2段所制定的法律条款告知欧盟委员会,而且应当将所有后续的修正性法律或影响它们的法律修订及时告知欧盟委员会。”[34]
数据保护法应该协调规范言论自由和信息自由的关系,包括对保护新闻的、学术的、艺术的或者文学的言论自由和保护个人数据权利的平衡。仅为新闻目的进行的个人数据处理,或者仅为学术、艺术或文学目的进行的处理应该受到相应的责任豁免;若为协调个人数据保护权利及言论和信息自由,正如《欧盟基本权利宪章》第11条所述,尤其是在视听、新闻、出版、图书领域进行的个人数据处理,在一般原则、个人数据权利、控制者和处理者、个人数据向第三国或国际组织传输、独立监管机构、合作和一致性以及具体数据处理等方面,成员国应采取合法措施落实必要的豁免与减损规定。豁免与减损规定在成员国之间有所不同,应适用各成员国法律。为实现民主国家的言论自由权,有必要将自由做宽泛的诠释,如新闻。[35]
就英国而言,英国政府主管机构在向议会提交数据保护法案时指出:为了保护人们的隐私,同时允许和鼓励数字技术的创新,人们必须平衡网络中的自由和责任。《数据保护法》做到了这一点:它不仅为人们在个人信息使用上提供了更多的控制,还将收集个人信息的目的限制在公共利益豁免的情形。在英国,人们比其他大多数地方的民众拥有更强的保护,监管安排通常也被认为是黄金标准。尽管可以确信数据在英国得到了很好的保护,但同时其也需要作出一些改变,(因为)技术和社会都发生了变化。[36]
由此我们可以看出,在欧盟制定了被誉为最为严格的数据保护法,而且这一法律要求各成员国一体执行的时候,这无疑对媒体机构如何采访、调查、报道,尤其是如何获取、使用、保存、修改、删除涉及的报道对象和相关社会成员的信息都产生了相应的影响。在对个人权利的保护被提升到前所未有的高度的时候,媒体则有可能面临着信息获取和自由表达方面的巨大法律风险。而一向极其重视表达自由和信息自由流动意义的欧洲社会也充分认识到这一问题,在《通用数据保护条例》的宗旨和具体规定方面做了相应的考虑。从根本上来说,这在各个国家既有的表达自由适度的环境下,不会带来媒体监管的寒蝉效应。
(三)具体规定和相关实践
《2018年数据保护法》第15条有对于权利主体的限制规定:数据控制者和处理者在处理个人信息的时候,出于公共利益的原因可以实施某些未经数据主体同意或其他违反《2018数据保护法》规定的义务的维护行为,这种情况下可以豁免其法律责任。该条第2款第e点规定:(本法)第5条规定了,在《通用数据保护条例》第85条第2款允许的情形下,基于表达自由的原因《通用数据保护条例》第2章、第3章、第4章、第5章规定的责任可被豁免和取消。
《2018年数据保护法》第16条第1款规定,根据本条,可以改变《通用数据保护条例》适用的权力由国务大臣负责制定的条例来实施。其中之一是为协调个人数据保护和表达自由、信息自由关系,具有豁免和减轻《通用数据保护条例》的某些章节规定的责任的权力。
《2018年数据保护法》继续设置信息专员。信息专员是独立的官员,其职责是基于公共利益来维护人们的信息权利、促进公共实体的公开性和保护个人的数据隐私。信息专员可以基于申诉进行调查,也可以主动进行调查。同时,信息专员作为执法者可以通知和教育数据控制者,以提高数据保护的标准;在媒体遵守数据保护法、收集和处理数据方面,还要负责制定、修订新闻业实务守则,负责处理新闻业不遵行守则行为。[37]
《2018年数据保护法》附表2第5部分,是在《通用数据保护条例》第85条第2款基础上基于表达自由和信息自由豁免的规定。该部分首先规定了“特殊目的”,包括新闻目的、学术目的、艺术目的、文学目的。这一部分规定在进一步确定一项出版物是否涉及公共利益的时候,控制者必须考虑表达自由和信息自由中的公共利益的特殊重要性,在确定相关出版物涉及公共利益是合情合理的时,控制者必须充分考虑与争议出版物有关的各种媒体实践的守则、指南等,如《2018年数据保护法》中列举的《BBC编辑指南》《广播电视守则》《报刊编辑守则》等。
应该说,加强对个人信息的保护,也对媒体行为的规范起到了强化的作用。2006年5月、12月,来自信息专员的两份报告将重点放在个人数据的非法买卖这一问题上。[38]依据2006年5月的报告,个人信息的提供者几乎都是工作在具有隐私性的调查行业部门的人,购买信息的人则包括新闻记者。在信息专员调查的一起重要案件中,信息被提供给305名来自不同报社的新闻记者。新闻记者获取信息的主要方法则是行贿和欺骗。2006年5月份的报告描述了关于技术的细节内容,包括从一名私人调查员那里获取的信息手册的部分摘录内容。[39]
同样,英国《数据保护法》的一些制度安排,对表达自由的保护也是有成效的。在提供媒体豁免和关于信息专员行使权力的规定方面,对媒体在获取信息和处理信息方面的特别规定,都使得媒体避免承担其他数据控制者和处理者要承担的严格的法律义务和责任。
《数据保护法》的制定和实施,对于缺少保护隐私的成文法的英国来说,为公众针对媒体报道侵犯自己隐私的情形提供了成文法的保护。公众可以基于媒体不当搜集或处理个人数据提起侵权诉讼。著名的莫斯利案中,原告不仅依据违反保密原则的诉因,而且还依据《数据保护法》的相关条款对涉案媒体提起诉讼。但是,鉴于《数据保护法》中基于公共利益目的、平衡表达自由和信息自由目的豁免和减轻责任的相关规定,试图通过《数据保护法》来追究媒体报道侵犯隐私权益的法律责任,往往难度较大。莫斯利案件最后的审理结果也说明了这一点。