德国开放政府数据中的个人隐私保护研究*

陈 美

（湖北工业大学经济与管理学院 武汉 430068）

1 引言

近年来，随着信息技术的快速发展，人类生活发生着革命性的变化，尤其因特网的快捷便利，使人与人之间的联系与数据搜集变得更为简捷。因此，公民的姓名、住址、电话、各类证件号码等基本数据被广泛搜集，甚至连财务状况、医疗病历、犯罪前科等数据也被搜集存档，个人数据的隐私面临极大威胁。当前，政府开放数据成为国际趋势，备受各国政府重视并付诸实践。在这一国际趋势之下，我国地方政府机关也纷纷推行相关的开放数据规划。对政府而言，要真正实现这些数据对于社会的价值，重点不应是强化封闭式管理，而是应尽可能地推动数据的开放共享[1]。然而，政府开放数据在提高经济和社会效益的同时，也给个人和团体的隐私保护带来极大风险和挑战。就德国而言，德国已经取得了一些积极创新。例如，开放知识基金会德国分会等德国非营利组织一致积极促进数据的再利用和创新[2]。2017年5月，在万维网基金会发布的《开放数据晴雨表：全球报告》（第三版）中，德国在全世界综合排名第十四[3]。选择德国作为个人隐私保护案例研究，原因在于：一方面，从国内研究情况来看，目前有学者对英国、美国等开放政府数据中个人隐私保护进行了研究，但未对德国进行系统分析；另一方面，相对于美国、英国等开放数据先驱国家而言，德国个人隐私保护还存在一定问题，因而可以为我国个人隐私保护提供反面经验。为此，文章对德国个人隐私保护进行系统调研，以期为我国个人隐私保护提供参考。

2 德国个人隐私保护的相关法律法规

2.1 《联邦数据保护法》

德国个人数据保护始于1970年德国黑森邦（Hessen）针对数据保护问题制定单一的联邦州法，成为世界上第一部将个人数据保护明文规定的法律[4]。1977年，德国联邦议会通过《联邦数据保护法》（Bundesdaten schutzgesetz）[5]，并于1979年生效。通过这部法律的主要目的在于保障个人不因他人使用其个人数据而侵害其权利。这部法律包括对搜集、整理、使用个人数据的规范。规定在储存、传递、修改和删除个人数据时，禁止对这些数据加以滥用；除非存在法律其他规定或获得当事人同意，否则禁止个人数据的处理与利用；除非对数据库的功能有所妨害，否则个人可以请求获取数据库中关于本人的数据；个人有权查询、更正本人的有关数据；个人有权清除有关自己的某些数据。《联邦数据保护法》采取双方保护的方式，兼顾个人保护与数据开放。该项法律和德国一些地方政府数据保护法及警察法中均有数据储存、变更与利用的规定，如何得到运用则是该法律保护的核心。该法的主要内容如下：

2.1.1 总体架构

《联邦数据保护法》包括五个部分：第一章为总则（§1-11）；第二章为公共部门（§12-26）；第三章为非公共部门（§27-28a）；第四章为特别规定（§39-42）；第五章为最后条款（§43,44）；第六章为过渡性条款（§45,46）。该法第1条第1款规定，《联邦数据保护法》的目的在于保护个人的隐私权不会因通过数据处理而受侵犯。

2.1.2 数据保护范围

依据OECD发布的《保护隐私权及个人数据跨境流通指南》（Guideline on the Protection of Privacy and Transborder Flows of Personal Data）所给出的定义，所谓个人数据指的是，有关特定自然人或可得特定的自然人的任何信息。《联邦数据保护法》有关个人数据的定义与OECD指南的定义大同小异。《联邦数据保护法》有关特殊或敏感数据的范围，包括种族或人种、政治观点、宗教或哲学信仰、工会成员、健康或性生活等，此类型数据必须特别受到保护。若要搜集此类数据，必须是法律所允许或者因重要公共利益的需要，而且必须得到当事人同意。

2.1.3 数据保护原则

总体来看，有关数据的保护应遵循以下三点原则：第一，数据最少化，即数据处理系统的选择及设计应与个人数据搜集、处理及利用的目标一致，而且尽可能涉及更少的个人数据（§3a）；第二，必要性，即搜集的数据必须有用；第三，符合特定目的，即数据的搜集必须有特定的目的和需求，而且就所需要的范围来搜集。除了以上基本原则之外，在技术和组织层面的措施有八个指导原则（§9附录）：第一，避免未授权人员获得存取个人数据处理系统的权限（访问控制）；第二，避免数据处理系统未经授权使用（访问控制）；第三，确保授权的用户使用数据处理系统时，仅可存取其被授权存取的数据；个人数据在被处理、利用及记录完成的过程中，未经授权不得读取、复制、修改或删除（访问控制）；第四，确保个人数据在电子移转或传输或记录到数据储存媒体的过程中，未经授权不得读取、复制、修改或删除，而且必须能确认及检查利用数据传输设备传输的个人数据将被传送到哪个单位（揭露控制）；第五，确保事后可检查和确认由谁在数据处理系统中进行个人数据的输入、修改及删除（输入控制）；第六，确保代替他人处理个人数据时，必须严格遵守该数据管理单位的规范（作业控制）；第七，确保个人数据受到保护，以防止遭到意外破坏或遗失（可用性控制）；第八，确保因不同目的搜集的个人数据能够得到分开处理。

2.2 《基本法》

德国对隐私最基本的保障起源于20世纪。《基本法》第2（1）条规定，在不侵害他人权利且不违背宪法秩序或道德法则的范围内，每个人均有自由发展其人格的权利[6]。虽然《基本法》条文中没有明确指出隐私二字，但法规中确实保障了隐私的内涵。《基本法》第10条对邮件、书信和电话通讯秘密的保护进行规定：书信秘密、邮件秘密和电话通讯秘密不可侵害；限制仅仅只能以法律为依据。如果相应的限制旨在保护自由民主的基本秩序或联邦或一邦的存在或安全，那么法律应当规定不将这一限制通知相关人员，而且规定由民意代表机构来选择机关及辅助机关进行事后审查，而非采取法院途径[6]。此外，《基本法》第13条规定住所不受侵犯，但并没有提及普遍意义上的隐私权。

2.3 《信息自由法》

在信息自由方面，德国有几个重要原则：第一是公开性原则，即政府各部门有责任将其档案及处理过程公开；第二是行政透明化，即民众有权知道政府的决策及行动是如何形成的。基于上述原则，德国在2005年9月5日通过《信息自由法》，并于2013年8月7日得到更新[7]。该法包括15个部分：基础原则、保护特殊公共利益、保护官方决策过程、保护个人数据、保护知识产权和商业秘密或商业秘密、申请和程序、涉及第三方的程序、拒绝申请、法律补救、费用、发布信息的义务、联邦信息自由专员、修订其他规定、报告和评估、生效。该法第1条第1款规定，每位国民有权要求存取政府的官方信息，而此与隐私政策所发生冲突的解决方式为：存取个人数据只有在申请者的利益大于第三者合法的利益或经第三者同意的情况下才可以获取个人数据，而《联邦数据保护法》所定义的特殊或敏感数据只有在第三者同意下才可移转。

2.4 《民法》和《刑法》

德国《民法》适用的对象不限于自然人，还包括法人在内。《民法》规定，一旦出现违反保障隐私情形时，受害者可以请求解除侵害并要求损害赔偿，而且法院一般制定的赔偿金额在五百到五万元马克之间[8]。《刑法》有关隐私保障的规定只限于诽谤案件，《民法》则保障了个人一般隐私权，包括姓名和肖像在内。

2.5 《电子政府法》

德国政府在2010年起草《电子政府法》的基本原则，2011年完成草案并于2013年开始正式实施，该法主要内容共4项。第一，新个人身份证，即提供具电子身份认证功能的新身份证，作为网络身份辨识与确认使用，从而为电子政府服务提供基础。第二，发展De-Mail，旨在促使民众、政府机关及企业可通过网络交换具有法律效力的电子文件，而且信件上具有当事人的电子签章，使得从发件人到收件者的过程中保证不被窜改或遭人仿冒。De-Mail是德国电信推出的一项电子邮件服务，旨在为公民、公共部门、企业之间的电子文档交换提供一种加密的、受保护的、可验证的方式。虽然公共部门的决策者已经看到了De-Mail和电子身份识别卡在公共管理中的巨大潜力，但是目前缺少全面介绍De-Mail和新身份识别卡网上功能使用的信息。第三，无法更换的电子扫描文件，目的是将纸本文件电子化，而且再加上签章等特殊处理后，就在法律上具有效力。第四，开放数据，即提供可自由取得的政府数据，并鼓励民间使用[9]。

3 德国有关个人隐私的保护机构及职位

组织准备是政策具体执行的保障，组织功能的发挥情况会决定着政策的落实程度[10]。在机构设置上，德国设有国会议员组成的秘密通讯小组委员会（G-10 Gremium），负责同意联邦政府提名的“秘密通讯委员会”（G-10 Kommission）人选，以监督情报机关依法限制人民秘密通讯自由的措施，而且这两个组织都是国会的一部分。德国最主要的隐私保护机构是联邦隐私保护和信息自由委员会。德国对于数据保护制度的推行及执行，有其特殊的组织架构与权责。在德国，联邦数据保护委员会（Bundesdatenschutzbeauftragter）中有联邦数据保护和信息自由专员。德国每个联邦州都有一个数据保护官员。德国的第一位数据保护官员是1971年由黑森州任命的Willi Birkelbach[11]。在公共部门，主要的负责机构为数据保护官机构，而且在层次上分别为欧盟数据保护官机构、德国联邦数据保护官机构及德国各联邦州数据保护官机构三个层级。这种政府层级的架构方式，在各国并不多见。

在职务设置上，无论是政府部门或民间组织，只要通过自动化方式处理个人数据，就必须设立数据保护专员（Datenschutzbeauftragter）。依《联邦数据保护法》第4f条第3款，数据保护专员直属政府部门或民间组织主要负责人，他们应自由地运用他们的专业知识来进行数据保护，而且不接受任何人的指挥。甚至公司或政府部门的主管人员都不能够告诉他应该怎么做，而是必须凭借他本身的专业知识判断该如何处理，不受任何影响或干扰。此外，他不能因履行其职责而受到惩罚。从权利的角度来看，数据保护专员没有决定权，而只有建议权。数据保护专员主要的任务：①检查与个人数据相关的程序、政策、系统及合约是否符合《联邦数据保护法》的各项规定；②建立数据保护的相关对策及各种规范；③参与数据保护相关的程序、项目计划与决策，提供其专业意见；④向上级领导和同事提供有关数据保护信息，并撰写管理报告，让领导了解其在数据保护专员职位的工作；⑤提高同事对数据保护的基本认知；⑥向管理层、部门及利益相关者提供有关数据保护的建议。

从职位分析上来看，数据保护专员这个职位基本没有特殊的要求。政府部门可从外部寻找人员来从事这个工作，也可以直接从内部官员中挑选，而且一般通常是通过网络方式公开征求。数据保护专员必须了解《联邦数据保护法》的内容，并不断在此领域进行培训，如参加相关的课程或研讨会等。由于数据保护专员属于兼职工作，该职位会占用其一部分的工作时间，因而其本职的工作量会相对减少，如数据保护工作若占60%的工作时间，那么其本职的工作分配就会减少到原工作量的40%。由于整体的工作时间及工作量并没有增加，即便担任数据保护专员这个工作，但所领薪酬不变。

4 德国个人隐私保护的的评价

4.1 强调个人自我决定权

1983年，德国联邦宪法法院在人口普查法判决中以人性尊严与人格自由发展的保障为基础，承认宪法层次的“信息自我决定权”（Rechtauf Informationelle Selbstbestimgung），即个人基本上有权自行决定是否将其个人数据交付与提供利用。这项权利实质上属于隐私领域，其内涵就是数据隐私权：个人对自身数据的控制与决定的权利；个人有权决定传递自身数据的时机、对象与方法，同时有权决定所欲传递数据的范围以及用途。与法规中的消极规范有关不可侵害隐私权的条文相比，信息自我决定权使得个人能积极维护个人隐私权。维护个人隐私的原因在于，通过隐私权保障来维护个人自主性和个人身份认同，达到维护个人基本尊严的目的。因此，联邦宪法法院于1984年判决确认“信息自我决定权”为宪法保障的基本人权，也有部分联邦州议会将其明文列入联邦州宪法当中。从人格的角度来看，信息自我决定权强调，在自动化数据处理的现代化条件下，人格的自由发展取决于个人有权对抗就其个人数据的无限制搜集、存储使用和传递。这一基本权利的依据为德国《基本法》的一般人格权。其实，早在19世纪末期，德国就讨论了人格权（Right of Personality），这也是继美国学术圈提出隐私权后，在美国以外的地方第一次讨论与隐私相关的概念。因此，如果从广义上将隐私权纳入人格权讨论，那么德国则是最早将隐私纳入法规中进行讨论的国家。

4.2 多层次法律体系

德国属于欧陆大陆法系。欧陆在其独特的历史发展下，形成与美国截然不同的法律概念与法律制度。欧洲法律都来自共同的始祖——罗马法。经历了近千年的继受取得过程（通过某种法律行为从原所有者那里取得对某项财产的所有权）后，欧洲国家的法律已牢牢与罗马法的传统结合在一起，具有如重视成文法法源、在法律体系方面有相同的分类、法律基本概念相似等共同特征。例如，1949年成立的欧洲理事会（Council of Europe,COE）于1981年便发布《关于个人数据自动化处理保护个人公约》[12]，这是世界上最早的一份专门关于个人数据保护的公约，也为隐私权开拓了划时代的里程碑，而且该公约具有约束性效力，因而影响很大；另一方面，因为欧洲理事会在人权方面保障的传统在世界上备受推崇，因而对个人数据保护具有推动作用[13]。随后，欧洲区域最重要的个人数据保护法律文件则是由欧盟于1995年所制定的《个人数据处理及自由流通保护指令》[14]，其承接上述《关于个人数据自动化处理保护个人公约》的精神，对于个人数据保护在法律规范内开展与基本原则上，有着较强影响力。《关于个人数据自动化处理保护个人公约》与《个人数据处理及自由流通保护指令》虽然在立法目的、法律文本等方面有不同之处，但对德国影响也极深远，尤其是其所确立的立法原则更是影响巨大。

从德国有关数据保护的法律层次来看，最高层次是德国的宪法，即德国《基本法》。但是，《基本法》没有明确指出隐私，而是在《基本法》第2（1）条中基本权利来保障人格权。在德国统一后研究《基本法》时，曾一度提议修改《基本法》以纳入数据保护权，但并未成功。换言之，在划分隐私范围方面，德国是通过将人格权的概念加以扩张解释为隐私权。德国法律文化中重视参与途径和社会契约说，德国人民和政府之间存在一种信任关系，使得人民运用基本权利进行公共辩论，并通过政府立法来实践公共辩论的共识。正因如此，德国并没有出现以“隐私”为名的法律，而出现信息自我决定权的概念以及制定《联邦数据保护法》来处理政府与人民掌握信息的问题。

在没有隐私保护的专门法律的情况下，德国通过《基本法》《民法》《刑法》以及其他若干个别立法来进行保障。在《基本法》下碰到执行层面问题时，通常依各种不同的法令，如《民法》等个人数据保护规定来执行。如果没有相关规定，那么则查询《联邦数据保护法》是否有类似的条文可应用，否则就回到《基本法》来解释。在德国政府的相关规定方面，通常由各政府部门颁布，作为较高层次的管理规范，并制定其本身的执行条例；在下面较低层次，如分支机构等比较接近公民的机构则制定自身的执行办法。因此，政府各个部门均按照自己的工作需要，制定数据保护的措施。

4.3 隐私保护存在冲突

4.3.1 法律之间的冲突

一方面，欧盟法律与德国法律的冲突。无论是在德国或欧盟，数据保护均已上升为一种基本人权。《欧洲人权公约》第8指出：人人有权使他的私人和家庭生活、他的家庭和通信受到尊重[15]。然而，德国《基本法》对数据保护的规定较为模糊，保障也较为宽广，如其第2条第1款规定：在不侵犯他人的权利或违反宪法秩序或道德律的范围下，每个人应具有自由发展其人格的权利。另一方面，德国本国法律之间的冲突。根据《联邦数据保护法》（BDSG）第1条第5款，一家德国公司在德国收集、占有或使用个人数据时，适用该法。《联邦数据保护法》是最主要的立法，它规定任何形式的数据处理都必须以法律为依据或得到当事人的许可。然而，隐私保护也体现在《消费者法》《劳工法》和《互联网法》中，这些特殊法通常优先于《联邦数据保护法》，而且保护的标准在各州有所不同。

4.3.2 个人利益与公共利益之间的冲突

①隐私保护与打击犯罪之间的矛盾。对政府而言，数据保护或有与政府执政存在冲突，如有人认为保护罪犯数据是帮助罪犯。德国对于个人隐私的忧虑源自于人民对当局监控的恐惧，这是受到纳粹时代迫害以及两德统一之前德意志民主共和国（东德）国家安全部的影响。纳粹时代的秘密警察（盖世太保，Gestapo）以及东德国安部都通过秘密调查的方式搜集个人情报。在这一历史背景之下，统一后的德国不仅积极限制中央政府搜集个人数据的权力，而且对执法部门采用通讯监察方式办案也一直采取审慎的态度[16]。随着德国犯罪和恐怖主义的问题日渐猖獗，德国开始赋予警方更大的权力，以对抗犯罪行为。然而，立法者实行通讯监察技术所面临的两难是，如何在保障个人通讯隐私不受侵害的同时，又能让执法工作顺利进行。②隐私保护与执法效率之间的矛盾。1983年3月，德国发布《人口普查法》，该法律在1982年4月生效前，由于涉及调查公民职业、住所、工作等有关个人隐私，有公民即投诉《人口普查法》违宪。后来，联邦宪法法院判决，政府为了进行统计才调查全国数据，因而不能视为违宪，但该法律并没有规定搜集私人有关数据的存储与安全问题。因此，该判决认为，虽然该法律没有违宪，但立法者应当制定各项预防措施，防止所搜集的个人数据泄露。随后，政府也开始修正法律。从这个判决中发现，《人口普查法》中应当包括隐私权保护的规定，从而保障个人的人格权。然而，这也形成了个人隐私保护与国家执法效率提升之间的矛盾。

5 对我国的启示

5.1 构建完善的个人隐私保护法律体系

在欧盟，德国是拥有最严格的数据保护法的国家之一。1970年，世界上第一部数据保护法诞生于德国的黑森州。随后是1977年的《联邦数据保护法》，而且随着时代演进及人民对基本人权、个人数据自主权意识的提升及新型信息技术的产生，它历经多次修正，尤其是在2002年和2009年。德国在“参与途径”的传统影响下，隐私权涵盖的范围主要不是靠社会大众讨论后才决定，也不是经过几方相竞争的利益来进行平衡，而是由立法者基于合理原则而限制隐私权，希望朝着最重要的目标迈进。加上大陆法系的德国并不鼓励人们通过诉讼的方式解决争议，于是在法律上对隐私权的保障范围较为明确[17]。就我国而言，我国关于隐私和个人数据保护的规定分散于各个法律中，没有具体、详细及完整的法规，削弱了对个人数据保护的力度[18]。虽然很多法律可以找到个人隐私保护的条款，但大多是原则性规定，缺乏具体操作标准，使得隐私权保障范围模糊，难以执行。为此，可以考虑制定一部专门针对个人隐私保护的法律，该法律的内容应包括：个人隐私概念及范围；政府、企业、个人等在个人隐私保护上承担的职责和履行的义务；规范包括媒体、研究机构等能接触到个人隐私保护的主体；目前一些特殊的案例，如故意或过失的行政犯罪或故意犯罪等这些案年中牵扯涉到的个人稳私内容。除了将这部法律作为核心法律以外，应当修改和完善其他辅助性法律，进一步完善这些法律中有关个人隐私保护的内容，从而形成多层次的个人隐私保护法律体系。

5.2 设置个人隐私保护的机构和职务

设立专门的个人隐私保护机构是开放政府数据环境下有效实施个人隐私保护实践的重要环节[19]。德国在数据保护制度上设计数据保护专员的独立超然角色，其职责是确保组织遵守数据保护的相关法律法规。因此，从德国许多政府部门的组织架构图可以看出，位于该部门负责人下设一个直接隶属该部门负责人的相关职务，而且其定位及职责在《联邦数据保护法》中有明确定义，意味着赋予机关致力个人数据保护的责任与义务。因此，我国可以考虑在各级政府部门中设置政府CIO（政府首席信息官），其职能应该包括：负责统筹各个政府部门政府数据开放和个人隐私保护的政策和法律法规，监督个人隐私保护的相关法律法规的遵守情况；向社会推广个人隐私保护的相关知识；针对个人隐私保护进行研究和评估，并定期提交报告；开展个人隐私保护认证等。

5.3 提高个人隐私权利意识

西方政治理论和社会理论较为关注民主公民权，认为公民权涉及的是一些与个人在某一政治共同体中成员资格的特性有关的更加一般的问题，其中包括诸如公民的权利和责任，而不管他们的合法身份怎样[20]。从这一理论中可知，“自我意识”是正面的价值观。意识对行为具有指导作用，要想行为有高度，那么意识必须有高度。德国“信息自我决定权”的创设及判断标准强化了数据搜集、处理的《宪法》规范性保障，为德国国家权力（立法、司法、行政）机关衡量当事人利益提供了一个基准。为此，我国可以考虑在相关法律条文中明确规定有类似德国的“信息自我决定权”，让公民有权决定是否对个人信息进行利用。当然，法律条文更多是属于外部力量对个人隐私进行的保护，而隐私权保护的权利主体是个人。从这个角度来讲，公民应当具有一种基于公民利益而非自身利益的公民权，即公民应当具有隐私权意识，抛弃诸如隐私保护与否都无所谓、没有隐私不隐私之分等消极态度。相反，在进行网站注册的时候，仔细阅读网站隐私声明，评估其中所蕴含的风险；在提供个人信息时，尽可能不要暴露过于详细的个人资料；不要轻易将个人信息授权分享给第三方；定期清理电脑痕迹[21]。

5.4 平衡政府数据开放与个人隐私保护

德国一直存在个人数据或隐私侵权问题。虽然数据保护与打击犯罪活动、信息自由存在矛盾与冲突，也引起了广泛讨论，但德国仍然设计和落实了个人数据保护制度。例如，在防制犯罪方面，德国强调在隐私政策干预的严重性和提高打击犯罪适当度之间取得平衡。就我国而言，《政府信息公开条例》第14条规定，行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是，经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息，可以予以公开[22]。《促进大数据发展行动纲要》提出：在依法加强安全保障和隐私保护的前提下，稳步推动公共数据资源开放[23]。在大数据环境下，尽管这些条文保障了政府数据开放与个人隐私保护之间的利益平衡，但“个人隐私”的概念仍然高度抽象，使得政府开放数据标准不统一，从而产生过大的自由裁量权，进而导致开放数据与个人隐私保护之间的矛盾。因此，政府在开放数据过程中更应当注重可操作性，应当遵循最小侵害等原则，在决定开放涉及个人隐私的政府数据时，考虑如何限定数据开放的范围、内容和方式。

（来稿时间：2017年9月）