隐私保护 应防患于未然——从艾诉芬兰案(I v. Finland)看个人数据保护的新发展案例事实原告艾(I)是芬兰一家公立医院的眼科护士。1987年,原告在其所服务的医院就诊,并被诊断为艾滋病病毒(HIV)感染者。此后,原告仍留在医院继续工作并持续就医。1992年初,原告怀疑同事知道了自己的病情,因为按照医院当时的规定,全体职员均可以自由查阅所有病人的记录。1992年夏,在原告向医师反映了其不安之后,医院对其数据存储系统进行了调整,仅授权医务人员查阅其所负责的患者的记录。1995年,原告因合同未能续约而离职。1996年11月,原告请求当地行政委员会(County Administrative Board)调查其病历记录是否遭到医院职员的不当查阅。行政委员会查明,该院的数据存储系统仅存储最后5次查询记录,但查询记录仅记载查询人的工作部门,而非其身份,且在档案归还后查询记录即被删除。1997年10月,行政委员会答复原告,因医院数据系统并未记录查询档案人员的身份,故无法确定其个人数据是否曾被不当查阅。1998年3月,医院再次调整数据系统,以保存查阅病历记录的相关记录。2000年,原告提起民事诉讼,控告当地卫生主管机关(负责管理患者的病历记录)未尽到保护患者隐私的义务,请求损害赔偿。地方法院及上诉法院均以原告无法证明其病历记录确实曾被不当查阅为由,驳回诉讼请求。原告向芬兰最高法院提请诉讼失败后,向欧洲人权法院提起诉讼,主张芬兰违反了《欧洲人权公约》(European Convention on Human Rights,ECHR)第8条之规定。
判决要旨欧洲人权法院(以下简称法院)指出,虽然《欧洲人权公约》(以下简称《公约》)第8条的主要目的在于保障个人私生活不受公务机关的不当干涉,但这绝非仅要求国家负担排除干涉的消极义务,亦要求国家负担有效保障私人生活的积极义务,包括采取措施以确保私人生活受到尊重。
法院指出,依据芬兰《宪法》的规定,个人私生活神圣不可侵犯,个人数据由国家制定法令进一步保护。1987年芬兰《个人数据档案法》(The Personal Data File Act)〔1998年修订为《个人数据法》(Personal Data Act)〕规定“数据管理者应于合理范围内确保个人数据不被非法处理、使用、销毁或修改”。法院同时注意到芬兰政府在立法草案说明中已经强调仅有法律规定并不足以保护个人数据,数据管理者应从实际行动上保护数据的安全,应就数据系统的现实防护作出安排。医院的数据系统“未限制患者个人数据的查阅”,以及“未保存查阅人员的记录”,已明显违反《个人数据档案法》的规定,原告“无须”另行证明因医院数据系统欠缺上述安全措施而导致其个人数据外泄。
法院进一步指出,《个人数据法》等法律单纯规定个人数据系统应有相关的安全措施,并赋予个人数据外泄的受害人损害赔偿请求权,这并不足以满足《公约》第8条规定的积极作为义务。芬兰政府应提供“实际、有效的‘事前’保障,以排除任何‘可能的’非法查阅个人数据情形”。
法院判决芬兰政府赔偿原告8000欧元的非财产损害,并负担相关诉讼费用。
案件评述就本案而言,笔者认为,法院判决至少有两项积极贡献:
第一,认定个人数据免侵扰为宪法意义上的一般人格权的内容,确认国家负有积极的保护义务。法院将个人数据免侵扰认定为宪法意义上的一般人格权的内容,不仅意味着对这项权利的任何侵蚀或限制都同样必须具备宪法认可的理由,还意味着国家既有义务保障该权利免受来自公权力的威胁,同样也有义务保护该权利不被其他民事主体滥用,对个人数据保护影响全面而深远。
第二,明确国家积极义务的内涵,即“提供实际、有效的‘事前’保障,以排除任何‘可能的’非法查阅个人数据情形”。传统的个人数据保护采取侵权责任的方式。侵权责任以责令责任人支付侵权赔偿金的方式威慑行为人,使之采取更谨慎的行动,从而达到预防事故的作用。但个人数据一旦不当披露,个人将遭致他人的品评、误解,甚至歧视,损失无法估量。因此,谈及隐私保护时,人们总是希望防患于未然,希望未雨绸缪。事实上,在保护个人数据安全方面,行政管理较民事救济更具优势。政府制订的行政管理法规,不仅规定事后制裁手段,而且多规定具体的安全措施和安全标准有利于被监管人执行,著名的美国《医疗保险携行和责任法》(Health Insurance Portability and Accountability Act,HIPAA)附属法例《可辨识身份的健康信息隐私保护标准规范(Standards for Privacy of Individually Identifiable Health Information)——俗称《HIPAA隐私规则》(HIPAA Privacy Rule)——即是如此。因此,法院确立“提供实际有效的‘事前’保障”义务,是对个人数据保护方式的深化。(李国炜 作者单位:浙江省宁波市卫生局)
