意大利政府系統性獲取個人數據的法律

文/郭楊

意大利是歐洲南部地區國家，該國在系統性獲取個人數據方面有較為完整的法律體系，既充分尊重個人數據隱私的保護，又授予司法機構和執法機構對個人數據寬泛的處理權，還通過法律強制性要求某些行業匯報個人數據。

一、保護個人數據隱私的法律

（一）憲法

意大利現行的憲法是1947年通過的，由于當時計算機和電子數據庫尚未出現，因此該憲法中沒有設立直接對個人數據隱私進行保護的條款。然而，憲法第2、3、13條（涉及個人自由和尊嚴），第14條（家庭不可侵犯）和第15條（涉及通信自由和秘密）都與個人隱私保護有關，它們一并構成了個人隱私保護的憲法基礎。此外，憲法第11條和第117條也為歐盟法律規制（如歐洲《基本權利憲章》）對意大利本國法律系統產生影響奠定了基礎。因此，意大利憲法間接地對個人數據隱私保護進行了規定。

（二）專門法律

在1996年以前，意大利沒有關于個人數據隱私保護的專門法律，僅僅通過一些零散的法律條文對個人數據隱私保護進行規制。1996年，意大利通過了旨在規制個人數據處理的法案，以執行歐盟《個人數據保護指令》（95/46/EC），2003年，該法案被《數據保護法》取代。

《數據保護法》適用于規制個人和公共機構對個人數據的處理，被認為是一部關于個人數據的專門法律。《數據保護法》第18條第2段規定，公共機構只能“為了履行機構的任務”而處理個人數據。第20條規定，在處理敏感數據和司法數據時，只有在“法律授權指定可處理的數據類別和可執行的操作類別，并符合實際公共利益”的條件下才能實施。第22條第3段規定，公共機構只有在非用不可的情況下才可以處理敏感數據和司法數據，此外還應采取特別的技術措施以提高數據處理的安全性。第18條規定，公共機構必須遵守該法制定的規則、要求和限制，這也意味著個人數據得以處理的前提必須是“相關、充分并且不能超出所搜集和處理的目的和范圍”，信息系統和軟件也應盡量減少使用個人數據和識別數據”。

二、司法機構和執法機構對個人數據的處理

（一）對個人數據進行處理的原則

《數據保護法》第46至第49條對司法機構處理個人數據進行了規制：個人數據應當合法、公正地處理；個人數據應當基于具體的、明確的、合法的目的搜集和記錄；個人數據應當用于與所述目的相一致的處理操作中；個人數據應準確，并在必要時保持更新；個人數據應相關、完整，且不超出搜集目的或隨后的處理范圍；個人數據應以允許識別數據主體的方式儲存。由于法院數據庫能夠對個人的權利和自由產生深遠影響，因此上述這些規定對于司法領域尤其重要。當司法機構對其他公共機構的數據、資料和記錄進行訪問時，司法機構可以利用司法部長與其他公共機構的標準協定來獲取數據。

為了執法和維護公共安全，《數據保護法》也規制了執法機構對個人數據的處理。第53條規定，該法若干條款不適用于執法機構為了維護公共秩序和保衛公共安全的目的而對個人數據進行的處理，也不適用于執法機構為了預防、偵查和打擊犯罪而對個人數據進行的處理。為獲得第53條所規定的豁免，對個人數據的處理必須滿足以下三個條件：由警察或同等的公共機構執行；為了維護公共秩序與保衛公共安全，或為了預防、偵查或打擊犯罪而執行；根據其他法律的明確規定而執行。

意大利情報機構，如國內信息與安全局（AISI）和國外信息與安全局（AISE）在執行情報行動時也要受法律的約束。《數據保護法》第3條和第11條對數據最小化、必要性、合法性、公平性、使用限制、精確性等進行了規定；第15條對損害賠償責任進行了規定；第31條和第33條對安全保障措施進行了規定。

（二）通信監聽

意大利的有關法律將通信監聽稱作“談話、通信監聽”，其主要包括兩類，一是以《意大利刑事訴訟法》第266條至第271條為依據的司法監聽，此類監聽的結果可作為法庭證據使用；二是以《意大利刑事訴訟法細則》第226條為依據的情報預警監聽，此類監聽的目的是通過采集有利于搜查的情報，防止團伙性犯罪的發生，但監聽的結果不能作為法庭證據使用。

《刑事訴訟法》規制了對個人通信，如電話、談話和電子通信的司法監聽。第266條第1項規定了對包括手機、固話、傳真等在內的電話、談話的監聽。第266條第2項規定了對包括短信、Skype通話、IP電話等在內的電子通信的監聽。在意大利，對電話、談話和電子通信實施監聽已成為重要的調查手段，近年來得到了大量使用。據意大利司法部長披露，2011年，對個人通信的司法監聽總數為135533次。其中，電話監聽為121072次，談話監聽為11888次，電子通信監聽為2573次。由于司法監聽是最具侵入性的手段之一，它們會嚴重侵犯憲法15條所保護的通信自由和秘密，以及憲法第14條保護的家庭不可侵犯性，因此只有在符合《刑事訴訟法》第266條至第271條的條件下，個人通信才能被監聽。司法監聽必須由司法機構授權，且只針對嚴重犯罪行為。

除了《刑事訴訟法》之外，《刑事訴訟法細則》第226條還規定了一種特殊的監聽方式——情報預警監聽。與司法監聽手段相同，情報預警監聽的對象是以電子產品為媒介進行的通信及談話，情報預警監聽可采用病毒植入監聽手段，但情報預警監聽所獲得的全部資料均不得用于刑事訴訟。《刑事訴訟法細則》對情報預警監聽的申請與審批、適用的犯罪類別等進行了詳細規定。

（三）數據存留

《數據保護法》第132條規定，出于偵查和打擊犯罪的目的，可以保存電話流量數據。截至目前，該條款先后經歷過兩次修訂，第一次依據2001年《網絡犯罪公約》（Cyber-crime Convention）進行修訂，第二次依據歐盟《數據存留指令》（2006/ 24/EC）進行修訂。在數據存留時間的確定上，修訂前的第132條根據犯罪嚴重程度和特定調查目的來確定存留時間，而修訂后的第132條則確定了統一的存留時間，即通信運營商必須將流量數據存留24個月，將電子通信流量數據存留24個月，將未接通電話的有關數據存留30天。在24個月內，檢察官可以向通信運營商發布命令，要求其提供數據。

（四）凍結命令

凍結命令是犯罪調查的一個重要措施，它無需得到司法授權，主要被警察用于獲取互聯網服務提供商的流量數據。根據《數據保護法》第132條第4款的規定，內政部長或警察有權要求互聯網服務提供商將流量數據存留不超過90天，以便實施《刑事訴訟法實施規則》第226條所規定的審前調查行動。如果有合法的理由，90天的期限還可以延長至180天。第132條第4款還規定，任何收到凍結命令的互聯網服務提供商，不得延誤對數據的存留，并負有保密義務。此外，根據第4款所采取的措施應向檢察官書面告知，檢察官如果認為滿足先決條件，則應予以書面批準，如果不同意，則停止措施的執行。

三、要求強制性匯報個人數據的法律

景區附近執勤的羅馬警察

（一）要求匯報個人金融信息的法律

為打擊日益猖獗的偷稅與漏稅行為，意大利稅務登記部門近年來加強了對金融領域個人數據的系統性獲取。2011年，時任總理蒙蒂頒布的“拯救意大利”法令規定，金融從業人員有義務向稅務登記部門匯報其所擁有賬戶的活動情況及其他相關信息，以便后者實施稅收控制。第605/1973號總統令規定，通過郵政往來賬戶進行的1500歐元以內的交易無需匯報。此外，意大利稅務局局長可以就必須上報的信息類型和數量發布具體規定。第201/2011號法規定，國家社會安全協會應向意大利稅務局和意大利金融警衛隊告知所有福利受益者的信息。這些信息將與個人納稅申報表相匹配，以防止偷稅漏稅。第78/2010號法規定，當個人使用信用卡或電子貨幣購買3600歐元以上物品時，金融從業人員必須向意大利稅務局進行匯報。

（二）要求匯報可疑金融交易信息的法律

第231/2007號法律規定，金融從業人員、非金融企業和其他職業人員（如會計師、公證員、律師等）有義務向意大利銀行設立的金融情報部門匯報可疑交易情況。該部門負責對可疑交易進行分析，以及對任何可能與洗錢或恐怖分子融資有關的其他事實進行調查。分析與調查的結果必須向司法機構和警察機構轉交，以便做進一步調查。

（三）要求匯報旅館房客信息的法律

與其他許多西方國家不同的是，意大利長期以來一直有向警察自動匯報旅館房客身份信息的習慣。這種做法的依據最早可追溯至1931年法西斯獨裁政權實施的有關規定。直到今天，旅館經營者等責任主體將房客（意大利人和外國人）信息進行登記并及時匯報警方的做法還在持續。2013年1月，意大利內政部長頒布了一項新的法令，要求旅館經營者應在24小時內向警方報告其房客的個人信息。這些數據可以通過電子方式傳送，并將被記錄在內政部建立的中央數據庫中，可以保存五年。司法機構和警察機構只有基于維護公共秩序和保衛公共安全，或預防、偵查和打擊犯罪的目的才可訪問這些數據。

（四）要求匯報手機用戶信息的法律

《電子通信法》（Electronic Communications Code）第55條第7款規定，電信公司需要識別所有手機用戶的身份信息，并以電子方式將姓名列表傳送至內政部。司法機構可以基于司法目的訪問這些數據。

（五）要求匯報機動車事故信息的法律

《個人保險法》（Private Insurance Code）第135條建立了一個關于機動車事故信息的數據庫，其目的是加強預防和打擊機動車強制保險欺詐行為。根據此條規定，保險公司還應將涉及保單持有人的事故數據告知個人保險監管機構。這些數據應當由司法機構等獲取，以預防和打擊欺詐行為。■