随着对个人信息和数据的保护与利用的不断重视,世界各国已制定诸多类型的法律,如较为知名的欧盟GDPR、美国HIPPA系列规则以及我国的个人信息保护法律和数据安全法律等。在诸多法律中,有的法律没有对战时状态的数据处理特别规定,有的则通过强调必要性大而化之,有的则通过“国际条约”“国防安全”恐怖主义”等进行特殊规范。而国内法律和国际法律如何在“本国、交战国、领土争端地”“直接受到影响的个人主体和未受影响的个人主体”等区别的适用上更是复杂。
1 红十字国际委员会制定规则的背景
鉴于武装冲突时期的社会特殊性和法益位阶变化,武装组织的行为主体如何归因以及法律如何适用成为学者所讨论的问题[1],在信息和隐私领域,学者们对国际人道法的具体适用意见不一,Geiß教授和Lahmann教授认为国家是武装冲突的当事方这一事实并不免除数据控制者和处理者拥有并处理公民的重要个人信息的责任[2]。Connell认为在国内法和国际人道法双重适用的现代司法实践中,国内的个人数据保护规则可以在和平时期和武装冲突期间均适用[3]。Asaf Lubin则直接探讨了国际人道法中隐私权和数据保护权在交战国的数据保护义务、大规模隐私监控限制等的规范基础和适用范围[4]。这些分析凸显了武装冲突时期的个人数据保护问题的特殊性,因此值得被讨论。
与和平时期的国际人权法不同,日内瓦公约是武装冲突时期的国际人道法的重要组成部分,是规范冲突状态下交战双方行为规则的国际法律文件,包括四个公约和三项附加议定书。根据日内瓦公约的规定,红十字国际委员会是一个公正、中立和独立的组织,其人道使命是保护武装冲突和其他暴力局势受害者的生命和尊严,并向其提供援助[5],我国于1952年承认日内瓦公约。在个人信息与数据方面,红十字国际委员会出于“在武装冲突紧急情况下,保护个人数据是保护人民生命和尊严的一个重要方面”的主旨,于2015年通过《个人数据保护规则》(以下简称“规则”),并于2019年修订最新版,全文共6章29条,纵览全文,与一般的个人信息保护法律比较而言,该规则给红十字国际委员会及相关数据控制者处理个人信息足够大的空间,充分体现着灵活多变性[6]。
2 战时个人数据保护规则内容
1.在基本原则方面,该规则同样强调个人数据处理的合法性、公正性、透明性、特定目的性、充分相关性和高质量性,但在具体诠释上有相当大的可活动空间,如除个人同意外,数据控制者也可以通过考虑数据主体或他人的重大利益或公众利益等对个人数据进行处理,同时特别声明了考虑“大多数受益者的脆弱性,以及人道主义工作性质”,红十字国际委员会可能超越个人同意这一首选原则。在特定目的方面,红十字委员会可以出于恢复家庭关系、保护平民、提供医疗援助、提供法医活动、消除武器污染、保证经济安全、保护水资源清洁、提供预防性和治疗性保健等目的对个人数据进行处理,但是,该规则指出如果处理数据主体的风险超过了进一步处理所能实现的利益,则不允许处理。在数据处理完成后,当有正当理由存档数据时,数据控制者可以不删除个人数据,这些理由包括“为了确保长期提供人道主义服务所必需”,“出于历史、统计或科学研究目的”等。
2.在数据主体的权利方面,个人有权得知红十字国际委员会是否为数据控制者以及是否有其他数据控制者、处理数据的目的、数据是否被共享、数据保留期的时间等基本信息,即便由于战场混乱等限制无法及时提供,红十字国际委员会也必须后续提供。该规则特别规定个人可以向红十字国际委员会查阅个人数据,但不是无条件的,如果存在“红十字坚持保密”“凌驾于数据主体的保护利益之上的他人权利和自由”等情况,则无法访问数据。在更正权方面,若无法核实数据主体的身份、更正请求涉及评估但又无法提供有力证据等情况,个人则无法向数据控制者请求数据更正。在删除权方面,红十字国际委员会也具有较强的对抗性,在“当担心数据主体因外部压力而要求删除,并且删除个人数据会损害该数据主体或他人的重大利益时”“符合公众利益时”“用于历史、统计和科学研究目的”“出于长期人道主义目的”等情况下,个人的数据删除权不适用。在数据保护权方面,个人可以向红十字国际委员会数据保护办公室或数据保护委员会声明其数据保护权利,如果投诉是合理的,数据控制者需采取措施,如果受暴力局势影响,采取措施的可能性较小,则可以开展其他适当的临时措施。
3.在数据控制者的义务方面,红十字国际委员会有责任确保按照数据保护政策规则处理数据,当与合作者共同处理数据时,必须非常明确地界定有关各方的责任,并在合同或其他具有法律约束力的形式中加以规定。当数据处理涉及影响数据主体的权利时,数据控制者负责在处理数据之前对影响进行评估,在紧急情况下,也可以在处理数据后评估。在与国家或地区的数据保护当局合作时,为了充分保护数据主体的个人数据,红十字国际委员会必须确保其官方特定地位得到认可,且合作方必须尊重红十字国际委员会的保密权利。当发生数据泄露时,除非“由于武装冲突的安全原因”、“对重大公共利益产生不利影响”、“接近数据主体可能会给其造成危险”,否则数据保护办公室应将数据泄露通知受影响的人员。在数据安全方面,数据控制者应根据安全级别、数据性质、开展任务的风险等因素以安全的方式处理个人数据,同时应对数据访问、物理安全、软件安全、网络安全和工作行为进行规范。
4.该规则使用专门一章特别规范了个人数据的传输。只有在“数据主体同意”、“考虑数据主体或他人的重大利益”、“考虑公众利益”、“履行合同”、“遵守法律义务”等的情况下,红十字国际委员会才能将数据转交给以外的机构,同时也应满足“数据保护影响评估”、“接收方仅限于特定目的处理和有限知悉范围”、“数据传输符合数据主体的合理期望”等要求,可以看到对于个人数据传输的基本原则也相对宽泛,不只限于数据主体同意。但只有在红十字国际委员会评估传输数据对个人或其家人的人身安全不造成有害影响后,才可以将数据提交给武装冲突当事方。对于大规模系统性的数据传输,或者数据特别敏感时,数据接收方和控制方之间需达成正式协议,对于不受协议约束的数据传输,接收方必须书面承诺仅出于特定目的处理个人数据且不会传输给第三方。
5.关于红十字国际委员会的职责方面,红十字国际委员会数据保护办公室和数据保护委员会是执行该规则的责任机构,数据主体在权利受到侵犯时,可以向数据保护办公室投诉,如果无法解决,数据保护办公室必须转交数据保护委员会解决。此外,数据保护办公室负责数据保护规则的实施情况、维护数据处理的记录、批准修改数据等,而数据保护委员会负责解释该规则,并就数据处理行为是否违反该规则作出决定。
3 武装冲突时期个人数据保护规则的影响与评价
在实际中,个人数据保护规则被红十字国际委员会常态适用。如在俄乌冲突中,红十字国际委员会在数据保护规则的框架下收集战俘和其他被拘禁者的信息,并将个人信息发送给原籍国,目前已向近8000个家庭提供了其亲人的信息,对于失联儿童,在征得家庭成员和儿童双方同意之后,红十字国际委员会和各国红十字会将会交换信息并促成团聚[7],而在网络攻击使受武装冲突影响的民众信息被泄露的情况下,也会根据该数据保护规则予以控制、告知、关停服务器等后续措施[8]。
保护个人信息和数据,特别在武装冲突和人道主义救助紧急情况下,是保护人们的人身权和财产权的重要组成部分,由于个人数据保护与利用是世界各国法律的热点问题,红十字国际委员会在职责领域内同样十分关注,正如规则介绍中所说“即使在最困难的情况下,也能始终站在国际人道行动的最前沿”。《个人数据保护规则》作为国际组织所制定的规则,是红十字国际委员会数据保护领域的最重要规范内容,适用于红十字国际委员会所发起的活动和行为,包括与之相关的工作人员和合作方,该规则在诸多方面具有较强的创新性。对于已有的个人信息保护法律少有区分战争时期与和平时期之间的区别,因此,武装冲突时期的个人数据处理这一议题也是一项十分具有时局性、开拓性和挑战性的课题。
[1]何志鹏,魏晓旭.武装冲突中国家责任的归因标准探究[J].社会科学战线,2021,(03):194-203.
[2]Geiß R., Lahmann H. Protection of data in armed conflict[J].International law studies,2022,(97):555-572.
[3]O"Connell M E. Data privacy rights: the same in war and peace[J]. The rights to privacy and data protection in times of armed conflict/ed. by R. Buchan and A. Lubin.-Tallinn, 2022: 12-29.
[4]Lubin A. The rights to privacy and data protection under international humanitarian law and human rights law[M]//Research Handbook on Human Rights and Humanitarian Law. Edward Elgar Publishing, 2022: 462-491.
[5]ICRC. Our mandate & mission[EB/OL].[2024-02-20].https://www.icrc.org/en/who-we-are.
[6]ICRC. ICRC Rules on Personal Data Protection[EB/OL].[2024-02-20].https://shop.icrc.org/icrc-rules-on-personal-data-protection.html.
[7]ICRC. Russia-Ukraine international armed conflict: Your questions answered about ICRC’s work[EB/OL].[2024-03-29][2024-03-30].https://www.icrc.org/document/false-information-about-icrc-ukraine.
[8]ICRC. Cyber security incident: How could it affect me?[EB/OL].[2022-06-24][2024-03-30].https://www.icrc.org/document/cyber-security-how-it-affect-me.
撰稿 | 李贤书,清华大学智能法治研究院实习生
编辑 | 王欣辰
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。