澳大利亚《隐私权法》述评及其启示

刘晓丹

摘要澳大利亚1988年《隐私权法》是关于个人信息保护的一项法律，规定了隐私权保护原则对个人信息的收集、使用、持有和披露进行规定，专门设立隐私权保护专员办公室接受个人的投诉并对其进行解决等等，对我国的相关立法有一定的借鉴意义。

关键词《隐私权法》隐私权 保护专员 办公室 个人信息

正如1969年泽尔曼科文教授在《隐私的人》中所说：“如果一个人没有了隐私，他就没有了尊严。有人在监看和偷听的恐惧威胁着个人的自由，像监狱的栏杆。”隐私是人类尊严的基础，是个人自治要求的一部分，是民主国家所尊重的自由的一部分。1980年经济合作暨发展组织（OECD）通过的《个人信息跨国流动和隐私权保护指令纲领》（Guidelines governing the Protection of Priv-acy and Transporter Flows ofPersonal Data）中指出，个人资料保护的八个原则，即：限制采集原则、资料内容正确原则、目的明确化原则、限制利用原则、安全保护原则、公开原则、个人参加原则、责任原则，供各国遵守。

一、澳大利亚《隐私权法》概述

澳大利亚隐私权的相关立法体现在联邦、省和地区的法案中。1988年制定的澳大利亚《隐私权法》（the Privacy Act 1988）是关于个人信息保护的一项法律，该隐私权法最大的特色即为制定隐私权保护原则，该原则是对于有关个人信息的操作管理设定概括性的标准，它的调整范围：个人信息的收集（例如，填写表格）；个人信息的使用和透露；个人信息的准确性：个人信息持有的安全性；个人取阅个人信息的权利等等。《隐私权法》同时也调整其他具体事项，如个人税务档案号码的使用；信用报告机构和信用提供机构个人信用信息的使用。《隐私权法》的规范范围甚广，包含税务、医疗、信用资料等范畴，其就隐私权问题处理模式也相当完整，各类别信息的处理方式均深受信息隐私权的限制。《隐私权法》中规定的原则不是规范性的原则，也就是说该法并没有规定组织机构在每种情形下应该做什么。相反，该法提供了如何操作个人信息的原则，每个组织或机构需要根据各自情况遵守这些原则。如果组织或机构违反了隐私原则，隐私权专员办公室可以进行调查，如果个人也可以向办公室投诉组织或机构。

《隐私权法》于2001年12月前应用于联邦和澳大利亚首都特区（Australian Capital Territory，简称A.C.T）政府公共机构和征信组织，而后扩大应用于其他私营组织。2000年澳大利亚隐私法修正案（私营机构）修改了1988年隐私法，规范了部分私营机构和组织。2000年12月由议会通过，2001年12月21起生效（部分条款2002年12月21日生效）。联邦《隐私权法》不适用于州和地区政府机构（除了澳大利亚首都特区），一些州和地区的议会制订了适用于各自政府机构和部门的隐私权法，其中有些同样适用于私营组织。

二、澳大利亚隐私权保护机构

澳大利亚政府设置隐私保护专员办公室（Office of the Priv-acyCommissioner），依1988年《隐私权法》而成立，它是一个独立的行政单位。其设立主要目的是为了提升澳大利亚隐私权文化，保护个人隐私与信息自由流通，促进政府与企业的有效运作。其对于可能侵犯个人隐私权的申诉事件拥有调查权，对政府机关和组织团体提供隐私权问题和准则议题的实务咨询，并对各本法机关所设置的个人信息记录进行调查，确定此记录是否确实遵照信息隐私权原则妥善维持。该办公室下设三个主要部门：协调与监督部、政策部、团体和公共事务部。协调与监督部门主要调查公众针对隐私权遭到侵犯的投诉；政策部负责审阅立法提案和回复公众询问、为涉及隐私权保护问题的计划项目提供建议、研究与个人隐私权有影响的技术和社会发展；团体和公共事务部为其他两个部门提供支持，负责与媒体、议会和教育部门的协调联络，举办活动。2010年月12月1日，隐私权保护专员办公室内合并到澳大利亚信息专员办公室（theOfficeoftheAustralianInformationCommissioner（0AIC））。而2011年10月19日始，澳大利亚信息专员办公室成为司法部总检察长与信息法律政策司联络部门。

三、澳大利亚《隐私权法》確定的“个人信息”概念

个人信息是识别个人或可能识别个人的信息，如：名字和地址。个人信息同时也包括医疗记录、银行账户明细、照片、视频、喜好、观点、工作地点以及可辨认出个人的信息。个人姓名不一定是个人信息，在很多情况下，生日和邮政编码可以识别出个人。确切来说，《隐私权法》中个人信息的定义：“关于个人的信息或观点（包括组成数据库一部分的信息和观点），不论是否属实，是否形成记录材料，一旦它可以清晰的合理的确定出个人的识别，即是个人信息。个人信息中的某些类型对于个人隐私尤为重要，例如：种族或民族血统；政治观点、哲学或宗教信仰、宗教从属关系；性取向或实践；犯罪记录；或是否属于任何政治、职业或行业协会或工会会员；个人健康和医疗信息，在《隐私权法》中这种信息被归类为“敏感信息”。该法个别规定敏感信息的管理需要特别注意。

四、澳大利亚《隐私权法》主要内容

（一）调整的主体

1988年《隐私权法》赋予个人投诉权。如果投诉方认为联邦政府机构或澳大利亚首都特区政府机构，或私营机构（如商人或医师）对投诉方的个人信息（包括个人健康信息）处理不当，可依法投诉。年收入超过300万澳元的任何组织（包括企业组织、非法人协会、信托公司、合伙企业和个人）都必须遵守《隐私权法》和隐私权原则。营业收入不足300万澳元的组织在下列情况下也必须遵守《隐私权法》：如果买卖或以其它方式交易个人信息，即使未从中获得经济利益；或如果提供健康服务并持有（非雇员的）健康信息。作为联邦政府承包服务提供商的小型企业经营者也必须在履行合同时遵守《隐私权法》。受《隐私权法》监管的私营机构必须公开其隐私政策，发布正式文件（例如在网站上），明确表述其个人信息管理政策。隐私权保护专员办公室免费为个人处理侵犯隐私的投诉，投诉方不必委托律师代为投诉。如果投诉方聘请律师，将自付律师费。投诉方可以随时撤销投诉。

1.私营机构

《隐私权法》中的国家隐私原则（National Privacy Principles，简称NPPs）限制私营行业机构收集、使用、保存和披露个人信息的方式。同时，国家隐私原则还赋予个人取阅和更正个人信息的权利。国家隐私原则覆盖私营行业机构的大部分大型及少部分小型企业，以及所有的私人医疗服务提供者。其覆盖层面还延伸到私人学校、慈善机构、直销服务、体育俱乐部和健身会、医师、药店、私人医院、零售商、银行和保险公司等。《隐私权法》不适用于媒体、政党和雇员记录资料。

2.信用提供机构与信用报告机构

信用提供机构如：银行，可以向名为“信用报告机构”中央资料库组织报告有关人士的信用申请或坏账。《隐私权法》规定信用提供机构可以报告何种资料，以及信用报告机构可以向哪方提供该资料。例如，在下列情况下，信用提供机构可能在信用档案中只列出过期未付数额（或拖欠款项）：拖欠付款60天；信用提供机构已经采取行动追偿全部或部分未付数额，包括向最后报称的地址发出书面通知；信用提供机构已经通知，它可能会将个人资料提交给信用报告机构。如果个人认为某个信用提供机构向信用报告机构提供了不准确的资料，或某个信用提供机构或信用报告机构违反了消费者信用报告的规定，可以向隐私权保护专员办公室投诉。

3.联邦政府机构与澳大利亚首都特区政府机构

只有联邦政府机构和澳大利亚首都特区政府机构才受《隐私权法》的隐私原则的约束。除澳大利亚首都特区的政府机构之外，各州和地方政府机构均不受此约束。信息隐私原则不适用于情报机构。联邦政府机构是指由联邦政府设立，行使一项或多项政府职能，或从事政府活动的机构。例如，移民、多元文化及土著事务部，以及澳大利亚税务局均属联邦政府机构。澳大利亚首都特区政府机构是由澳大利亚首都特区政府设立，行使一项或多项政府职能，或从事政府活动的机构。例如，澳大利亚首都特区教育厅和澳大利亚首都特区城市服务厅均属澳大利亚首都特区的政府机构。公立小学、公立中学、公立医院、大多数大学和地方市议会均为各州政府机构，不属于隐私权保护专员办公室的管理权限范围（澳大利亚首都特区除外）。

（二）个人享有的权利

《隐私权法》规定了个人的隐私权，赋予了个人控制个人隐私的权利。该法规定个人具有如下权利：

1.个人信息被收集和如何被使用的知情权。

2.取阅个人记录（包括健康信息）的请求权。

3.非需直销材料的接收拒绝权。

4.个人错误信息的纠正权。

5.己知目的使用个人信息的确认权。

（三）豁免

根据《隐私权法》规定，在某些情况下，机构的一些行为可免受此法的约束，包括：

1.雇主对在职及离职雇员的档案进行处理，且处理此类记录与雇佣关系直接相关。

2.新闻媒體在报道过程中搜集并使用个人信息。

3.登记的澳大利亚政党或民意代表所雇用之承包商搜集并使用个人信息。

4.个人非商业活动以及政府合同规定的活动有关的行为等等。

各州及领地均有相关法律约束各政府机构和承包商对于个人信息的搜集、使用和披露。身体状况方面的信息在某些情况下也接受州及领地政府的监管。机构可向隐私专员办公室申请接受特定隐私准则的制约。如获得批准，机构则须遵守该特定隐私准则，而非“国家隐私原则”。获得批准的隐私准则包括《市场与社会研究隐私准则》（Market andSocialResearchPrivacyCode）和《生物识别研究所隐私准则》（Biometrics Institute Privacy Code）。

（四）个人投诉方式

1.直接向当事人投诉

一般而言，投诉方在向隐私权保护专员投诉之前，需要首先向有关组织或机构（被投诉方）提出书面投诉，尝试自己直接解决投诉问题。如果投诉方不能用英语与被投诉方沟通，可不必。如果投诉方直接投诉，对被投诉方处理投诉的方式不满意或者如果被投诉方不予回复，则可向隐私权保护专员办公室投诉。

2.投诉方可以委托一位精通英语的代理人代为投诉

隐私权保护专员无法调查有关个人隐私的全部投诉。投诉必须涉及隐私问题及一个受《隐私权法1988））约束的联邦或首都特区政府机构，或私营机构。在决定是否调查投诉之前，隐私权保护专员需要与被投诉方联络以掌握更多资料。

3.投诉不予受理范围

隐私权保护专员对个人如下投诉不予调查：（1）个人得知有关侵犯隐私事宜超过12个月后向隐私保护专员办公室投诉；（2）隐私权保护专员认为投诉最好依据其他法例进行处理而非依据《隐私权法》进行处理；（3）隐私权保护专员认为被投诉人已经适当处理了投诉；（4）被投诉人明显没有违反《隐私权法》。如果决定不予调查，隐私权保护专员会出具书面解释。

（五）投诉程序

1.调查

隐私权保护专员将联系投诉人或投诉代理人了解案件情况。依据《隐私权法》，在必要情况下，隐私权保护专员可以要求投诉人或被投诉人提供证明文件，或者联系证人。一旦掌握了所需全部资料，隐私权保护专员将以书面形式与被投诉方联系，开展如下工作：（1）通知其己被投诉；（2）通知其投诉的事宜，交付投诉表复印件：（3）向被投诉方解释其行为可能侵犯了投诉方的隐私权；（4）要求被投诉方在21天内做出书面答复。

除非投诉方事先声明隐私权保护专员不得向被投诉方提供投诉方呈上的文件和资料等证据，否则，投诉方和被投诉方均可看到双方提供的所有文件和资料。除了投诉涉及的当事方，隐私权保护专员不会与其他方交流材料。隐私权保护专员收到被投诉方的书面答复后将电话或书面通知投诉方，并就被投诉方所作的答复征求投诉方的意见。在调查过程的几个阶段，隐私权保护专员要求投诉方提供更多的资料或澄清所发生的事情。如果没有足够的证据支持投诉方的投诉，隐私专员委员将决定终止调查并终结案件，并书面通知解释原因，同时告知投诉方对裁决不满所享有的上诉权利。如果投诉方具有充分的证据支持投诉，隐私权保护专员将对案件进行调解。

2.调解

调解的意义在于使案件双方进行和解，使投诉的问题得到公平解决。调解的程序：隐私权保护专员通过多种方式对案件进行协调，以电话或者邮件方式询问被投诉人是否同意投诉人的解决方案。隐私权保护专员也可以安排调解会议，双方当面调解。几乎所有的投诉都是以调解的方式解决。

3.解决方式

投诉方提出投诉时应该考虑需要被投诉方以何种方式解决投诉案件：（1）赔礼道歉或者就案件作出解释；（2）改进行为，避免类似事情再次发生；（3）赔偿；（4）3种方式兼有。如果投诉方希望获得经济赔偿，在索赔要求中必须证明其在隐私权侵犯中遭受了经济损失。隐私权保护专员将听取被投诉人就索赔问题作出答复。如果投诉方希望被投诉方改进其行为，隐私权保护专员将提出某些建议以减少类似事情再次发生。如果投诉方和被投诉方和解，在被投诉方支付赔偿金或改進其行为之前要求投诉方签署“免责证书”，一旦投诉方签署将无法就隐私权受到侵犯提出进一步索偿。在此情况下，隐私权保护专员将以被投诉方已经适当处理了投诉而终结案件。如果投诉方和被投诉方无法达成一致意见，隐私权保护专员将进行下一步处理。

4.隐私权保护专员的裁定

如果被投诉方提出了合理的处理办法，但是投诉方拒绝接受，隐私权保护专员仍可能以被投诉方已经适当处理了该投诉案件而终结案件，即使投诉方并不认可。被投诉方未提出合理的解决办法，隐私权保护专员可以作出正式裁定，命令被投诉方如何解决投诉案件，这被称作是裁定，它可以是命令被投诉方赔礼道歉、支付赔偿金或改进其行为。

5.上诉联邦法院与联邦治安法院

如果隐私权保护专员终结了投诉方的案件，而投诉方对裁定不服，可以向联邦法院或联邦治安法院提出上诉。如果被投诉方不遵从隐私权保护专员的裁定命令，投诉方或隐私权保护专员均可将您的投诉提交给联邦法院或联邦治安法院，以强制执行裁定。

（六）国家隐私原则

《隐私权法》包括10项“国家隐私原则”，规范私营组织收集、使用和公开个人信息。议会制订“国家隐私原则”具有一定灵活性，立法授权联邦隐私专员制订涉及解释“国家隐私原则”的指导原则。专员对“国家隐私原则”不明确之处的解释对于立法规定的个人隐私保护至关重要。联邦隐私权保护专员有权利调查和解决个人对不遵守“国家隐私原则”的组织的争议，作出正式裁决。但是，该法没有赋予申诉者对专员裁决的上诉权，却赋予了被投诉者的上诉权。如果专员解释被组织或机构违反的“国家隐私原则”和法律，组织可以拒绝遵守，直到专员或投诉者寻求联邦法院或联邦行政法院命令组织遵守。法院必须重新了解案件，实际上组织具有了上诉权。如果专员没有基于隐私保护来解释法律，以及投诉者对专员适用的法律具有疑问，申诉者不能上诉。（不要求专员是律师）

“国家隐私原则”，就机构须如何处理个人信息制定了总体原则。这些原则涵盖个人信息的整个生命周期，包括：收集、储存、使用、披露有关个人的任何信息：

1.收集个人信息

适用《隐私权法》的组织机构应注意下列事项：（1）匿名交易，在合法可行的情况下，个人在与机构进行交易时必须可选择不提供其身份信息；（2）必要性、合法性、公平性、非侵犯性，只有当职能或活动所必需时，机构方可收集个人信息，且必须以合法公正的形式收集，不应造成不合理的侵犯；（3）在向个人收集信息时或之前，机构必须采取合理步骤，确保该人了解具体信息，包括机构将如何收集、持有、使用和披露这些信息。如果无法在收集时或之前通知个人，必须在收集后尽快通知；（4）在收集有关个人的任何敏感信息之前，必须事先获得实际同意（特定情况除外）：（5）在合理可行的情况下，机构必须直接向相关个人收集个人信息。

2.储存个人信息

适用《隐私权法》的组织机构应注意下列事项：（1）组织机构在收集个人信息后须履行的安全性义务，并规定了个人访问权；（2）组织机构必须采取合理步骤，以保护信息不被滥用和遗失，避免未经授权的访问、修改或披露；（3）当不再需要将这些信息用于合法使用或披露目的时，机构必须采取合理步骤销毁或永久删除身份；（4）如果机构持有个人信息，通常必须允许该个人根据要求访问其个人信息，但存在许多例外情况：（5）如果个人确定其个人信息不正确、不完整或不是最新信息，机构必须采取合理步骤修改这些信息：（6）组织机构必须为拒绝访问或修改个人信息说明合理理由。

3.使用和披露个人信息

适用《隐私权法》的组织机构不得就主要收集目的以外的其他目的使用或披露个人信息，但下列情况除外：（1）个人同意次要用途或披露；（2）所建议的次要目的与主要收集目有关（如果是敏感信息，必须直接有关），并且个人预期这些信息将被用于这些次要目的；（3）在有限的特定情况下，为直销之次要目的而使用（但并非披露）非敏感信息；（4）与公共卫生、安全、非法活动和健康信息有关的其它例外情况。

4.将个人信息转移到海外

受到“国家隐私原则”约束的机构不得将个人信息转移给其他外国人士（机构本身或该人除外），但下列情况除外：（1）该人同意这项转移；（2）转移是基于该个人的利益，且无法在可行情况下获得同意，该人很可能会表示同意；（3）这项转移是该人与机构之间为履行合同（或根据该人要求实施合同前措施）或在该机构与第三方之间为该人之利益而达成或履行合同所必需的；（4）或接受方遵守其原则与NPP实质类似的法律或其它约束义务，或机构采取步骤，确保这些信息不会被接受方以与NPP相抵触之形式加以处理。

五、对澳大利亚《隐私权法》的评价及启示

1.澳大利亚《隐私权法》对个人信息采取隐私权的方法进行保护，认为个人信息是隐私的一种，但是笔者认为二者存在一定区别。个人信息与隐私在某种程度上存在着一定关联，比如，二者都体现了私密性，都同时具有人格利益。但是隐私是指个人不愿向外透露的信息或者处于个人敏感不欲为他人所知信息；而个人信息则如澳大利亚《隐私权法》所述，个人信息是识别个人或可能识别个人的信息，因此，应该将二者做以区分。同时，未经授权披露这两种信息所应承担的法律责任也并非相同。个人信息保护是一个政府管制的问题，是公法问题，而不是一个简单的民事责任问题，仅靠传统的私法保护力度不够的。

2.澳大利亚《隐私权法》所规定的保护个人信息的原则，即明定包括限定采集个人信息必须为合法且必要，并且必须明确采集的直接相关目的（目的的明确化原则）、规范持有或控制个人信息者应确保持信息内容准确、最新及完整（资料内容正确原则）、持有或控制个人信息者不得将该信息交付与该信息无关的用途使用（限制利用原则），具体细化，详细按照个人信息的“生命周期”进行规定，可以为他国立法所借鉴。

3.澳大利亚政府设置隐私保护专员办公室专门负责公民个人信息的投诉，并且规定了相关的程序。个人信息正在受到侵害，受害人需要便宜、及时、有效的保护，通过停止侵害等能及时制止侵害行为，防止损害的扩大。隐私权保护专员办公室无疑为个人信息的保护提供了一个强有力的机构支持。

4.澳大利亚《隐私权法》的约束主体不仅包括私营组织，而且包括联邦政府机构与澳大利亚首都特区政府机构。在收集、使用、存储、持有和披露个人信息方面，无论政府机关还是私营组织都有可能侵害到信息主体的相关权利，因此，为了更好的保护个人信息，相关的法律都应该涵盖公法和私法两个领域。

2017年6月1日开始施行的《中华人民共和国网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对公民个人信息数据给予保护。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对于“公民个人信息”进行了明确规定：“除了姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况以外，行踪轨迹等也被纳入公民个人信息领域。”但是，我国对于个人信息的保护保护尚未制定专门的法律。不管以后采取哪种立法模式，澳大利亚《隐私权法》都给我们提供了很好的借鉴。