劉曉丹

摘要澳大利亞1988年《隱私權法》是關于個人信息保護的一項法律，規(guī)定了隱私權保護原則對個人信息的收集、使用、持有和披露進行規(guī)定，專門設立隱私權保護專員辦公室接受個人的投訴并對其進行解決等等，對我國的相關立法有一定的借鑒意義。

關鍵詞《隱私權法》隱私權 保護專員 辦公室 個人信息

正如1969年澤爾曼科文教授在《隱私的人》中所說：“如果一個人沒有了隱私，他就沒有了尊嚴。有人在監(jiān)看和偷聽的恐懼威脅著個人的自由，像監(jiān)獄的欄桿?！彪[私是人類尊嚴的基礎，是個人自治要求的一部分，是民主國家所尊重的自由的一部分。1980年經(jīng)濟合作暨發(fā)展組織（OECD）通過的《個人信息跨國流動和隱私權保護指令綱領》（Guidelines governing the Protection of Priv-acy and Transporter Flows ofPersonal Data）中指出，個人資料保護的八個原則，即：限制采集原則、資料內(nèi)容正確原則、目的明確化原則、限制利用原則、安全保護原則、公開原則、個人參加原則、責任原則，供各國遵守。

一、澳大利亞《隱私權法》概述

澳大利亞隱私權的相關立法體現(xiàn)在聯(lián)邦、省和地區(qū)的法案中。1988年制定的澳大利亞《隱私權法》（the Privacy Act 1988）是關于個人信息保護的一項法律，該隱私權法最大的特色即為制定隱私權保護原則，該原則是對于有關個人信息的操作管理設定概括性的標準，它的調(diào)整范圍：個人信息的收集（例如，填寫表格）；個人信息的使用和透露；個人信息的準確性：個人信息持有的安全性；個人取閱個人信息的權利等等。《隱私權法》同時也調(diào)整其他具體事項，如個人稅務檔案號碼的使用；信用報告機構和信用提供機構個人信用信息的使用?！峨[私權法》的規(guī)范范圍甚廣，包含稅務、醫(yī)療、信用資料等范疇，其就隱私權問題處理模式也相當完整，各類別信息的處理方式均深受信息隱私權的限制?！峨[私權法》中規(guī)定的原則不是規(guī)范性的原則，也就是說該法并沒有規(guī)定組織機構在每種情形下應該做什么。相反，該法提供了如何操作個人信息的原則，每個組織或機構需要根據(jù)各自情況遵守這些原則。如果組織或機構違反了隱私原則，隱私權專員辦公室可以進行調(diào)查，如果個人也可以向辦公室投訴組織或機構。

《隱私權法》于2001年12月前應用于聯(lián)邦和澳大利亞首都特區(qū)（Australian Capital Territory，簡稱A.C.T）政府公共機構和征信組織，而后擴大應用于其他私營組織。2000年澳大利亞隱私法修正案（私營機構）修改了1988年隱私法，規(guī)范了部分私營機構和組織。2000年12月由議會通過，2001年12月21起生效（部分條款2002年12月21日生效）。聯(lián)邦《隱私權法》不適用于州和地區(qū)政府機構（除了澳大利亞首都特區(qū)），一些州和地區(qū)的議會制訂了適用于各自政府機構和部門的隱私權法，其中有些同樣適用于私營組織。

二、澳大利亞隱私權保護機構

澳大利亞政府設置隱私保護專員辦公室（Office of the Priv-acyCommissioner），依1988年《隱私權法》而成立，它是一個獨立的行政單位。其設立主要目的是為了提升澳大利亞隱私權文化，保護個人隱私與信息自由流通，促進政府與企業(yè)的有效運作。其對于可能侵犯個人隱私權的申訴事件擁有調(diào)查權，對政府機關和組織團體提供隱私權問題和準則議題的實務咨詢，并對各本法機關所設置的個人信息記錄進行調(diào)查，確定此記錄是否確實遵照信息隱私權原則妥善維持。該辦公室下設三個主要部門：協(xié)調(diào)與監(jiān)督部、政策部、團體和公共事務部。協(xié)調(diào)與監(jiān)督部門主要調(diào)查公眾針對隱私權遭到侵犯的投訴；政策部負責審閱立法提案和回復公眾詢問、為涉及隱私權保護問題的計劃項目提供建議、研究與個人隱私權有影響的技術和社會發(fā)展；團體和公共事務部為其他兩個部門提供支持，負責與媒體、議會和教育部門的協(xié)調(diào)聯(lián)絡，舉辦活動。2010年月12月1日，隱私權保護專員辦公室內(nèi)合并到澳大利亞信息專員辦公室（theOfficeoftheAustralianInformationCommissioner（0AIC））。而2011年10月19日始，澳大利亞信息專員辦公室成為司法部總檢察長與信息法律政策司聯(lián)絡部門。

三、澳大利亞《隱私權法》確定的“個人信息”概念

個人信息是識別個人或可能識別個人的信息，如：名字和地址。個人信息同時也包括醫(yī)療記錄、銀行賬戶明細、照片、視頻、喜好、觀點、工作地點以及可辨認出個人的信息。個人姓名不一定是個人信息，在很多情況下，生日和郵政編碼可以識別出個人。確切來說，《隱私權法》中個人信息的定義：“關于個人的信息或觀點（包括組成數(shù)據(jù)庫一部分的信息和觀點），不論是否屬實，是否形成記錄材料，一旦它可以清晰的合理的確定出個人的識別，即是個人信息。個人信息中的某些類型對于個人隱私尤為重要，例如：種族或民族血統(tǒng)；政治觀點、哲學或宗教信仰、宗教從屬關系；性取向或?qū)嵺`；犯罪記錄；或是否屬于任何政治、職業(yè)或行業(yè)協(xié)會或工會會員；個人健康和醫(yī)療信息，在《隱私權法》中這種信息被歸類為“敏感信息”。該法個別規(guī)定敏感信息的管理需要特別注意。

四、澳大利亞《隱私權法》主要內(nèi)容

（一）調(diào)整的主體

1988年《隱私權法》賦予個人投訴權。如果投訴方認為聯(lián)邦政府機構或澳大利亞首都特區(qū)政府機構，或私營機構（如商人或醫(yī)師）對投訴方的個人信息（包括個人健康信息）處理不當，可依法投訴。年收入超過300萬澳元的任何組織（包括企業(yè)組織、非法人協(xié)會、信托公司、合伙企業(yè)和個人）都必須遵守《隱私權法》和隱私權原則。營業(yè)收入不足300萬澳元的組織在下列情況下也必須遵守《隱私權法》：如果買賣或以其它方式交易個人信息，即使未從中獲得經(jīng)濟利益；或如果提供健康服務并持有（非雇員的）健康信息。作為聯(lián)邦政府承包服務提供商的小型企業(yè)經(jīng)營者也必須在履行合同時遵守《隱私權法》。受《隱私權法》監(jiān)管的私營機構必須公開其隱私政策，發(fā)布正式文件（例如在網(wǎng)站上），明確表述其個人信息管理政策。隱私權保護專員辦公室免費為個人處理侵犯隱私的投訴，投訴方不必委托律師代為投訴。如果投訴方聘請律師，將自付律師費。投訴方可以隨時撤銷投訴。

1.私營機構

《隱私權法》中的國家隱私原則（National Privacy Principles，簡稱NPPs）限制私營行業(yè)機構收集、使用、保存和披露個人信息的方式。同時，國家隱私原則還賦予個人取閱和更正個人信息的權利。國家隱私原則覆蓋私營行業(yè)機構的大部分大型及少部分小型企業(yè)，以及所有的私人醫(yī)療服務提供者。其覆蓋層面還延伸到私人學校、慈善機構、直銷服務、體育俱樂部和健身會、醫(yī)師、藥店、私人醫(yī)院、零售商、銀行和保險公司等。《隱私權法》不適用于媒體、政黨和雇員記錄資料。

2.信用提供機構與信用報告機構

信用提供機構如：銀行，可以向名為“信用報告機構”中央資料庫組織報告有關人士的信用申請或壞賬?！峨[私權法》規(guī)定信用提供機構可以報告何種資料，以及信用報告機構可以向哪方提供該資料。例如，在下列情況下，信用提供機構可能在信用檔案中只列出過期未付數(shù)額（或拖欠款項）：拖欠付款60天；信用提供機構已經(jīng)采取行動追償全部或部分未付數(shù)額，包括向最后報稱的地址發(fā)出書面通知；信用提供機構已經(jīng)通知，它可能會將個人資料提交給信用報告機構。如果個人認為某個信用提供機構向信用報告機構提供了不準確的資料，或某個信用提供機構或信用報告機構違反了消費者信用報告的規(guī)定，可以向隱私權保護專員辦公室投訴。

3.聯(lián)邦政府機構與澳大利亞首都特區(qū)政府機構

只有聯(lián)邦政府機構和澳大利亞首都特區(qū)政府機構才受《隱私權法》的隱私原則的約束。除澳大利亞首都特區(qū)的政府機構之外，各州和地方政府機構均不受此約束。信息隱私原則不適用于情報機構。聯(lián)邦政府機構是指由聯(lián)邦政府設立，行使一項或多項政府職能，或從事政府活動的機構。例如，移民、多元文化及土著事務部，以及澳大利亞稅務局均屬聯(lián)邦政府機構。澳大利亞首都特區(qū)政府機構是由澳大利亞首都特區(qū)政府設立，行使一項或多項政府職能，或從事政府活動的機構。例如，澳大利亞首都特區(qū)教育廳和澳大利亞首都特區(qū)城市服務廳均屬澳大利亞首都特區(qū)的政府機構。公立小學、公立中學、公立醫(yī)院、大多數(shù)大學和地方市議會均為各州政府機構，不屬于隱私權保護專員辦公室的管理權限范圍（澳大利亞首都特區(qū)除外）。

（二）個人享有的權利

《隱私權法》規(guī)定了個人的隱私權，賦予了個人控制個人隱私的權利。該法規(guī)定個人具有如下權利：

1.個人信息被收集和如何被使用的知情權。

2.取閱個人記錄（包括健康信息）的請求權。

3.非需直銷材料的接收拒絕權。

4.個人錯誤信息的糾正權。

5.己知目的使用個人信息的確認權。

（三）豁免

根據(jù)《隱私權法》規(guī)定，在某些情況下，機構的一些行為可免受此法的約束，包括：

1.雇主對在職及離職雇員的檔案進行處理，且處理此類記錄與雇傭關系直接相關。

2.新聞媒體在報道過程中搜集并使用個人信息。

3.登記的澳大利亞政黨或民意代表所雇用之承包商搜集并使用個人信息。

4.個人非商業(yè)活動以及政府合同規(guī)定的活動有關的行為等等。

各州及領地均有相關法律約束各政府機構和承包商對于個人信息的搜集、使用和披露。身體狀況方面的信息在某些情況下也接受州及領地政府的監(jiān)管。機構可向隱私專員辦公室申請接受特定隱私準則的制約。如獲得批準，機構則須遵守該特定隱私準則，而非“國家隱私原則”。獲得批準的隱私準則包括《市場與社會研究隱私準則》（Market andSocialResearchPrivacyCode）和《生物識別研究所隱私準則》（Biometrics Institute Privacy Code）。

（四）個人投訴方式

1.直接向當事人投訴

一般而言，投訴方在向隱私權保護專員投訴之前，需要首先向有關組織或機構（被投訴方）提出書面投訴，嘗試自己直接解決投訴問題。如果投訴方不能用英語與被投訴方溝通，可不必。如果投訴方直接投訴，對被投訴方處理投訴的方式不滿意或者如果被投訴方不予回復，則可向隱私權保護專員辦公室投訴。

2.投訴方可以委托一位精通英語的代理人代為投訴

隱私權保護專員無法調(diào)查有關個人隱私的全部投訴。投訴必須涉及隱私問題及一個受《隱私權法1988））約束的聯(lián)邦或首都特區(qū)政府機構，或私營機構。在決定是否調(diào)查投訴之前，隱私權保護專員需要與被投訴方聯(lián)絡以掌握更多資料。

3.投訴不予受理范圍

隱私權保護專員對個人如下投訴不予調(diào)查：（1）個人得知有關侵犯隱私事宜超過12個月后向隱私保護專員辦公室投訴；（2）隱私權保護專員認為投訴最好依據(jù)其他法例進行處理而非依據(jù)《隱私權法》進行處理；（3）隱私權保護專員認為被投訴人已經(jīng)適當處理了投訴；（4）被投訴人明顯沒有違反《隱私權法》。如果決定不予調(diào)查，隱私權保護專員會出具書面解釋。

（五）投訴程序

1.調(diào)查

隱私權保護專員將聯(lián)系投訴人或投訴代理人了解案件情況。依據(jù)《隱私權法》，在必要情況下，隱私權保護專員可以要求投訴人或被投訴人提供證明文件，或者聯(lián)系證人。一旦掌握了所需全部資料，隱私權保護專員將以書面形式與被投訴方聯(lián)系，開展如下工作：（1）通知其己被投訴；（2）通知其投訴的事宜，交付投訴表復印件：（3）向被投訴方解釋其行為可能侵犯了投訴方的隱私權；（4）要求被投訴方在21天內(nèi)做出書面答復。

除非投訴方事先聲明隱私權保護專員不得向被投訴方提供投訴方呈上的文件和資料等證據(jù)，否則，投訴方和被投訴方均可看到雙方提供的所有文件和資料。除了投訴涉及的當事方，隱私權保護專員不會與其他方交流材料。隱私權保護專員收到被投訴方的書面答復后將電話或書面通知投訴方，并就被投訴方所作的答復征求投訴方的意見。在調(diào)查過程的幾個階段，隱私權保護專員要求投訴方提供更多的資料或澄清所發(fā)生的事情。如果沒有足夠的證據(jù)支持投訴方的投訴，隱私專員委員將決定終止調(diào)查并終結案件，并書面通知解釋原因，同時告知投訴方對裁決不滿所享有的上訴權利。如果投訴方具有充分的證據(jù)支持投訴，隱私權保護專員將對案件進行調(diào)解。

2.調(diào)解

調(diào)解的意義在于使案件雙方進行和解，使投訴的問題得到公平解決。調(diào)解的程序：隱私權保護專員通過多種方式對案件進行協(xié)調(diào)，以電話或者郵件方式詢問被投訴人是否同意投訴人的解決方案。隱私權保護專員也可以安排調(diào)解會議，雙方當面調(diào)解。幾乎所有的投訴都是以調(diào)解的方式解決。

3.解決方式

投訴方提出投訴時應該考慮需要被投訴方以何種方式解決投訴案件：（1）賠禮道歉或者就案件作出解釋；（2）改進行為，避免類似事情再次發(fā)生；（3）賠償；（4）3種方式兼有。如果投訴方希望獲得經(jīng)濟賠償，在索賠要求中必須證明其在隱私權侵犯中遭受了經(jīng)濟損失。隱私權保護專員將聽取被投訴人就索賠問題作出答復。如果投訴方希望被投訴方改進其行為，隱私權保護專員將提出某些建議以減少類似事情再次發(fā)生。如果投訴方和被投訴方和解，在被投訴方支付賠償金或改進其行為之前要求投訴方簽署“免責證書”，一旦投訴方簽署將無法就隱私權受到侵犯提出進一步索償。在此情況下，隱私權保護專員將以被投訴方已經(jīng)適當處理了投訴而終結案件。如果投訴方和被投訴方無法達成一致意見，隱私權保護專員將進行下一步處理。

4.隱私權保護專員的裁定

如果被投訴方提出了合理的處理辦法，但是投訴方拒絕接受，隱私權保護專員仍可能以被投訴方已經(jīng)適當處理了該投訴案件而終結案件，即使投訴方并不認可。被投訴方未提出合理的解決辦法，隱私權保護專員可以作出正式裁定，命令被投訴方如何解決投訴案件，這被稱作是裁定，它可以是命令被投訴方賠禮道歉、支付賠償金或改進其行為。

5.上訴聯(lián)邦法院與聯(lián)邦治安法院

如果隱私權保護專員終結了投訴方的案件，而投訴方對裁定不服，可以向聯(lián)邦法院或聯(lián)邦治安法院提出上訴。如果被投訴方不遵從隱私權保護專員的裁定命令，投訴方或隱私權保護專員均可將您的投訴提交給聯(lián)邦法院或聯(lián)邦治安法院，以強制執(zhí)行裁定。

（六）國家隱私原則

《隱私權法》包括10項“國家隱私原則”，規(guī)范私營組織收集、使用和公開個人信息。議會制訂“國家隱私原則”具有一定靈活性，立法授權聯(lián)邦隱私專員制訂涉及解釋“國家隱私原則”的指導原則。專員對“國家隱私原則”不明確之處的解釋對于立法規(guī)定的個人隱私保護至關重要。聯(lián)邦隱私權保護專員有權利調(diào)查和解決個人對不遵守“國家隱私原則”的組織的爭議，作出正式裁決。但是，該法沒有賦予申訴者對專員裁決的上訴權，卻賦予了被投訴者的上訴權。如果專員解釋被組織或機構違反的“國家隱私原則”和法律，組織可以拒絕遵守，直到專員或投訴者尋求聯(lián)邦法院或聯(lián)邦行政法院命令組織遵守。法院必須重新了解案件，實際上組織具有了上訴權。如果專員沒有基于隱私保護來解釋法律，以及投訴者對專員適用的法律具有疑問，申訴者不能上訴。（不要求專員是律師）

“國家隱私原則”，就機構須如何處理個人信息制定了總體原則。這些原則涵蓋個人信息的整個生命周期，包括：收集、儲存、使用、披露有關個人的任何信息：

1.收集個人信息

適用《隱私權法》的組織機構應注意下列事項：（1）匿名交易，在合法可行的情況下，個人在與機構進行交易時必須可選擇不提供其身份信息；（2）必要性、合法性、公平性、非侵犯性，只有當職能或活動所必需時，機構方可收集個人信息，且必須以合法公正的形式收集，不應造成不合理的侵犯；（3）在向個人收集信息時或之前，機構必須采取合理步驟，確保該人了解具體信息，包括機構將如何收集、持有、使用和披露這些信息。如果無法在收集時或之前通知個人，必須在收集后盡快通知；（4）在收集有關個人的任何敏感信息之前，必須事先獲得實際同意（特定情況除外）：（5）在合理可行的情況下，機構必須直接向相關個人收集個人信息。

2.儲存?zhèn)€人信息

適用《隱私權法》的組織機構應注意下列事項：（1）組織機構在收集個人信息后須履行的安全性義務，并規(guī)定了個人訪問權；（2）組織機構必須采取合理步驟，以保護信息不被濫用和遺失，避免未經(jīng)授權的訪問、修改或披露；（3）當不再需要將這些信息用于合法使用或披露目的時，機構必須采取合理步驟銷毀或永久刪除身份；（4）如果機構持有個人信息，通常必須允許該個人根據(jù)要求訪問其個人信息，但存在許多例外情況：（5）如果個人確定其個人信息不正確、不完整或不是最新信息，機構必須采取合理步驟修改這些信息：（6）組織機構必須為拒絕訪問或修改個人信息說明合理理由。

3.使用和披露個人信息

適用《隱私權法》的組織機構不得就主要收集目的以外的其他目的使用或披露個人信息，但下列情況除外：（1）個人同意次要用途或披露；（2）所建議的次要目的與主要收集目有關（如果是敏感信息，必須直接有關），并且個人預期這些信息將被用于這些次要目的；（3）在有限的特定情況下，為直銷之次要目的而使用（但并非披露）非敏感信息；（4）與公共衛(wèi)生、安全、非法活動和健康信息有關的其它例外情況。

4.將個人信息轉移到海外

受到“國家隱私原則”約束的機構不得將個人信息轉移給其他外國人士（機構本身或該人除外），但下列情況除外：（1）該人同意這項轉移；（2）轉移是基于該個人的利益，且無法在可行情況下獲得同意，該人很可能會表示同意；（3）這項轉移是該人與機構之間為履行合同（或根據(jù)該人要求實施合同前措施）或在該機構與第三方之間為該人之利益而達成或履行合同所必需的；（4）或接受方遵守其原則與NPP實質(zhì)類似的法律或其它約束義務，或機構采取步驟，確保這些信息不會被接受方以與NPP相抵觸之形式加以處理。

五、對澳大利亞《隱私權法》的評價及啟示

1.澳大利亞《隱私權法》對個人信息采取隱私權的方法進行保護，認為個人信息是隱私的一種，但是筆者認為二者存在一定區(qū)別。個人信息與隱私在某種程度上存在著一定關聯(lián)，比如，二者都體現(xiàn)了私密性，都同時具有人格利益。但是隱私是指個人不愿向外透露的信息或者處于個人敏感不欲為他人所知信息；而個人信息則如澳大利亞《隱私權法》所述，個人信息是識別個人或可能識別個人的信息，因此，應該將二者做以區(qū)分。同時，未經(jīng)授權披露這兩種信息所應承擔的法律責任也并非相同。個人信息保護是一個政府管制的問題，是公法問題，而不是一個簡單的民事責任問題，僅靠傳統(tǒng)的私法保護力度不夠的。

2.澳大利亞《隱私權法》所規(guī)定的保護個人信息的原則，即明定包括限定采集個人信息必須為合法且必要，并且必須明確采集的直接相關目的（目的的明確化原則）、規(guī)范持有或控制個人信息者應確保持信息內(nèi)容準確、最新及完整（資料內(nèi)容正確原則）、持有或控制個人信息者不得將該信息交付與該信息無關的用途使用（限制利用原則），具體細化，詳細按照個人信息的“生命周期”進行規(guī)定，可以為他國立法所借鑒。

3.澳大利亞政府設置隱私保護專員辦公室專門負責公民個人信息的投訴，并且規(guī)定了相關的程序。個人信息正在受到侵害，受害人需要便宜、及時、有效的保護，通過停止侵害等能及時制止侵害行為，防止損害的擴大。隱私權保護專員辦公室無疑為個人信息的保護提供了一個強有力的機構支持。

4.澳大利亞《隱私權法》的約束主體不僅包括私營組織，而且包括聯(lián)邦政府機構與澳大利亞首都特區(qū)政府機構。在收集、使用、存儲、持有和披露個人信息方面，無論政府機關還是私營組織都有可能侵害到信息主體的相關權利，因此，為了更好的保護個人信息，相關的法律都應該涵蓋公法和私法兩個領域。

2017年6月1日開始施行的《中華人民共和國網(wǎng)絡安全法》、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對公民個人信息數(shù)據(jù)給予保護?！蹲罡呷嗣穹ㄔ骸⒆罡呷嗣駲z察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中對于“公民個人信息”進行了明確規(guī)定：“除了姓名、身份證號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況以外，行蹤軌跡等也被納入公民個人信息領域?！钡牵覈鴮τ趥€人信息的保護保護尚未制定專門的法律。不管以后采取哪種立法模式，澳大利亞《隱私權法》都給我們提供了很好的借鑒。