欧盟签证信息系统中个人信息应用及保护
来源:用户上传
作者:
周 涵 钟达葆 赵国峰
摘 要: 对个人信息保护极为全面和严格的欧盟,在签证信息系统中对个人信息的应用及保护同样做出了详细的规定。通过研究欧盟签证信息系统中个人信息应用和保护,分析整理系统中关于个人信息应用及保护的内容、特点,对于完善我国出入境边防检查中个人信息应用和保护制度具有重要意义。
关键词: 签证信息系统 个人信息应用保护
为便利外部边界检查和签证签发,打击滥用签证的行为以及预防犯罪,根据欧洲议会和欧盟理事会第767/2008号条例,欧盟建立了签证信息系统,并在条例中对签证信息系统的个人信息应用和保护作了详细的规定。当前,随着我国出入境人员数量不断增加,指纹、虹膜等生物特征识别技术也被应用到边检领域,梅沙系统等出入境信息系统中存储的出入境旅客个人信息的数据量越来越庞大。研究欧盟签证信息系统中的个人信息应用及保护,完善我国出入境个人信息应用及保护制度,确保个人信息得到有效保护和合法利用。
一、欧盟签证信息系统中个人信息应用及保护的相关规定
在处理与短期停留签证申请有关的数据和决定中,欧盟签证信息系统既保存所有申根签证申请信息,又保存任一申根国家领事馆对签证申请所作出的决定信息。系统内保存的信息主要用于签证申请、庇护申请的审查,外部边界穿越点、跨成员国的检查等。欧洲议会和欧盟理事会第2004/512/EC号条例决定建立签证信息系统,作为成员国之间交换签证数据的系统。欧洲议会和欧盟理事会第767/2008号条例(简称条例)规定了签证信息系统的目的、功能和责任,并规定了成员国之间交换签证数据的条件和程序,以便检查签证申请和相关决定。《关于个人信息保护及个人信息自由传输的条例》(简称GDPR)作为欧盟关于个人信息保护的一般性法律,关于个人信息应用和保护的立法理念自然体现在关于签证信息系统的各种法律当中。2019年6月通过的欧洲议会和欧盟理事会第2019/881号条例《关于欧洲网络与信息安全局信息和通信技术的网络安全,并废除(EC)第526/2013号条例》(简称《网络安全法案》)正式施行,详细规定了欧盟机构在网络安全工作中所采取的保护措施、基础设施建设以及相互之间的合作问题。这一法案标志着欧盟在网络安全治理方面进入一个新的阶段。欧盟对签证信息系统中个人信息的保护主要从两方面着手:一是约束信息处理主体在个人信息的收集和使用等环节的公权力,形成对其行为的制约和监督机制;二是从维护信息收集对象权利的角度,建立了一套完整的权利保障体系,如保障知情权、删除权、救济权等。
(一)对信息处理主体的规定
对信息处理主体的规定主要体现在信息收集、信息使用、信息保存和信息监管四个方面。
GDPR第7条规定,对个人信息的处理和利用必须获得信息收集对象的同意。条例第29条保证签证信息系统内数据收集手段的合法性。信息使用具体包括信息处理及信息传递。在信息处理这一方面,条例第6条对拥有信息处理权利的主体进行了明确规定,进入系统进行信息的修改、删除的权利专属于获得正式授权的签证机关工作人员。关于信息的传递,第31条规定,存储的信息需满足特定条件才能传递给第三国或者国际组织,在传递信息时应保障请求国际保护的人和难民的权利,特别是在不退回方面的权利。第23条对信息在系统中的存储期限进行了规定。每一个申请文件在不影响第24条、第25条所述的删除权和第34条的保存要求的情况下,在系统中最多保存五年,期限届满后,系统会自动删除。根据建立系统的目的以及相关法律规定,只有在个案需要时,从签证信息系统中检索到的数据才可以保存在国家档案中,并且保存时间不得超过该个案所需的时间。条例第36条、第39条对信息监管进行了规定,具体包括:滥用信息的行为应受到刑事或行政惩罚;国家监督机关至少每四年按照有关国际标准对国家系统内的信息处理业务进行一次审计。条例第40条明确了欧洲数据保护主管的责任。
(二)对信息收集对象的保障
第38条保障了信息收集对象对与其相关信息在系统中传递过程的知情权。同时,责任国应当向收集对象提供有关负责信息处理的工作人员的身份和联系方式,以及信息接收者的类别,有关机构在系统内处理信息的目的,保留,访问,更正信息的权利。这些规定意味着欧盟不仅确立了收集对象的知情权,还在法律层面提出了保障知情权的一系列措施。在明确信息收集对象知情权的同时,第38条把公民的更正权和删除权以法条的形式规定了下来。任何人都有权要求更正与其相关的错误信息,以及删除被非法保存的信息。更正和删除应当由负有责任的成员国根据法律、规定和程序进行。在信息收集对象提出更正或删除的要求时,负责的成员国应当在一个月的期间内检查信息的准确性及处理信息的合法性,同时向申请人解释不予更正或者删除的原因。第41、第42条分别规定了国家检察机关的监督责任和欧洲数据保护主管的监督责任,同时第43条对国家监管部门与欧洲数据保护主管部门之间的合作进行了详细的规定,以便更好地保障信息收集对象的权利。
二、信息应用和保护的优势及启示
(一)优势分析
1人权保障理念突出。人权保障是被国际社会广泛接受的重要理念,而个人信息权益的保护是人权保障的重要内容。在欧盟签证信息系统中个人信息应用及保护的过程中,也充分体现了人权保障这一理念。具体体现在:一方面,制约了信息处理主体的权力使用,包括征得个人同意、采取执法监督、落实责任赔偿等措施;另一方面,赋予了信息收集对象三大基本权利,包括知情权、更正删除权和救济权。通过对公权力进行制约,对私权利进行保障,从而达到保障人权的目的。
2规范内容具体广泛。一是一般性立法和专门性立法相结合。《关于个人信息处理保护及个人信息自由传输的条例》这一法律文件规定了个人信息保护的內容,对各领域的个人信息保护起到规制作用,签证信息系统对个人信息的应用与保护自然也应遵守这部法律文件。除此之外,针对签证信息系统而有针对性地出台的法律文件,对签证信息系统中个人信息的应用和保护做出了更具体、更具针对性的规定。一般性立法与专门性立法相结合,规制内容全面。二是立法内容广泛。签证信息系统中个人信息应用及保护,涉及信息处理的各个方面,不但规定了信息处理主体的信息收集、使用、保存和监管,还明确了信息处理对象的知情权、更正删除权和救济权,形成了较为完整的制度框架。 3预防与救济并重。在欧盟签证信息系统个人信息的应用及保护的过程中,预防措施占了重要的一部分。预防的理念贯穿法律规范的始终,在信息收集方面就明确地规定了信息收集的合法性、合目的性,以及信息收集对象拥有的知情权等内容,旨在从信息处理的第一步就开始进行预防。此外,在信息使用、信息保存及信息监管方面,从各项措施规定中也都能体现出预防的理念,强调预防有助于从根本上杜绝侵权行为的发生。此外,对于侵权行为,相关制度也规定了具体的救济措施,包括起诉、赔偿等内容。预防与救济并重,全方面保障了个人信息的安全。
(二)启示
1明确个人信息应用及保护的基本原则。基本原则贯穿于个人信息应用及保护的整个过程。个人信息的应用及保护,也应当明确以下几项基本原则,为我们制定具体的规则提供有效的指引。一是权利保障原则。尊重和保障人权是被国际社会广泛接受的重要理念,我国也相当重视,早在2004年就将“人权”概念引入宪法,明确规定“国家尊重和保障人权”。个人信息权属于个人的基本权利,在运用和保护过程中,应当时刻将尊重和保障人权的理念放在重要位置,明确信息主体的知情权、更正权、删除权和救济权等权利。二是合法原则。边防检查机关对个人信息的收集、处理与保存应当符合相关法律、法规的规定,同时遵循合理、合法原则,不得违法收集和处理公民个人信息。三是知情同意原则。边检机关对出入境人员进行信息收集,应当告知信息主体收集的内容和目的,未经信息主体的知情同意,不得收集、处理和使用。四是限制使用原则。要明确边防检查机关在处理出入境个人信息中的职权,在合理范围内收集信息、保存信息、使用信息的权利,不得超越法律、法规规定的职权。
2建立完善个人信息应用及保护的相关立法。随着移民管理事业的不断发展,指纹、人脸识别、虹膜等人体生物识别信息将会广泛应用到工作当中。目前,我国关于出入境个人信息应用及保护的相关法条的规定,一是过于原则化,对于什么行为是侵害合法权益的、应当给予怎样的处分等都没有明确规定;二是不够全面,涉及出入境个人信息应用及保护的其他问题,比如后续的监督、救济等方面,均未在法条中体现。有关出入境个人信息保护的力度有待加强,法律的缺位将会导致权力缺乏监督和制约,进而损害到公民的合法权益。在出入境检查的过程中,收集、使用出入境个人信息的过程都必须严格由法律进行规定,出入境人员的个人信息应当受到法律的全面保护。对出入境个人信息的收集和使用进行规制,要明确“统一立法,分类保护”的思路,针对我国当前信息保护的现状,推动个人信息保护法的制定,为各类信息的保护提供统一的标准和科学的行为规范同时,针对各个部门和行业的信息收集与使用的特点,进行分类保护与管理。在出入境信息的保护方面,我国可以针对特定的信息系统出台具体的专门性立法。针对出入境边防检查中应用的梅沙系统,可以制定相关政策对该系统的使用进行规范。一方面,明确主管部门,赋予其对收集到的旅客出入境信息进行存储、应用的权限,同时对使用过程进行规制。另一方面,提升个人信息的防护能力,针对边防检查中的各类信息系统,规范采集、保存、使用、流转等各个环节,防止信息出现泄露、滥用等情况,同时明确出入境个人的基本权利、规定侵权的法律后果及救济措施,在使用个人信息的同时,确保这些出入境个人信息得到完整保護。
3建立完善个人信息应用及保护的监督及救济机制。边防检查机关通过各种数据平台掌握了大量的出入境人员相关信息,如果监督不当,边防检查机关侵权的可能性就会大大提高;如果没有完善的救济机制,对公民个人信息的保护就不能真正落到实处。这在本质上凸显了公权力的行使与私权利的保护的内在矛盾。规范信息处理与数据保护监督及救济机制,是个人信息保护的核心所在。要完善个人信息应用及保护的监督及救济机制,首先,要建立一个专门的监督机构,具有独立的监督以及审查职能,确保其在行使职权时不受到其他相关部门的约束和限制,以便更好地对边防检查中的个人信息的相关行为进行监督和制约。一方面监督出入境边防检查机关是否合法处理个人信息,另一方面,在公民个人信息权利受到侵害时,能够接受投诉和问询,并提供及时的救济。其次,要完善监督机制。一是要明确上下级、同级间的监督关系,防止侵权行为的发生。二是要规定具体的救济程序,确保在侵权行为发生后有高效的救济途径。最后,要严格落实责任追究机制。明确侵害个人信息行为的处罚方式,同时构建完善责任追究的行政及司法机制,及时处理侵权事件的责任人及责任单位,切实维护好出入境人员的权利。
参考文献:
[1] 刘欣边检机关采集旅客生物信息的安全问题[J].辽宁警察学院学报,2017(3).
[2]张燕跨大西洋合作中欧美对出入境旅客信息的收集与应用[J].武警学院学报,2015(3).
[3]齐爱民论个人信息保护法的统一立法模式[J].重庆工商大学学报,2009(4).
[4]齐爱民中华人民共和国个人信息保护法学者建议稿[J].河北法学,2019(1).
[5]王亚宁欧盟边防管理研究[D].北京:外交学院,2017
[6]郝鲁怡欧盟国际移民法律制度研究[D].上海:华东政法大学,2009
[7]Clive Leviev-Sawye Bolstering Europe's borders: a stronger Frontex and a new visa information system as the EU seeks to improve control[J].The Sofia Echo,2011(41)
[8]EU visa information system backed by Parliament[N]. Biometric Technology Today,2007
〔周涵(通讯作者)、钟达葆、赵国峰,中国人民警察大学〕
转载注明来源:https://www.xzbu.com/2/view-15090705.htm
