歐盟簽證信息系統中個人信息應用及保護

周 涵 鐘達葆 趙國峰

摘 要： 對個人信息保護極為全面和嚴格的歐盟，在簽證信息系統中對個人信息的應用及保護同樣做出了詳細的規定。通過研究歐盟簽證信息系統中個人信息應用和保護，分析整理系統中關于個人信息應用及保護的內容、特點，對于完善我國出入境邊防檢查中個人信息應用和保護制度具有重要意義。

關鍵詞： 簽證信息系統 個人信息應用保護

為便利外部邊界檢查和簽證簽發，打擊濫用簽證的行為以及預防犯罪，根據歐洲議會和歐盟理事會第767/2008號條例，歐盟建立了簽證信息系統，并在條例中對簽證信息系統的個人信息應用和保護作了詳細的規定。當前，隨著我國出入境人員數量不斷增加，指紋、虹膜等生物特征識別技術也被應用到邊檢領域，梅沙系統等出入境信息系統中存儲的出入境旅客個人信息的數據量越來越龐大。研究歐盟簽證信息系統中的個人信息應用及保護，完善我國出入境個人信息應用及保護制度，確保個人信息得到有效保護和合法利用。

一、歐盟簽證信息系統中個人信息應用及保護的相關規定

在處理與短期停留簽證申請有關的數據和決定中，歐盟簽證信息系統既保存所有申根簽證申請信息，又保存任一申根國家領事館對簽證申請所作出的決定信息。系統內保存的信息主要用于簽證申請、庇護申請的審查，外部邊界穿越點、跨成員國的檢查等。歐洲議會和歐盟理事會第2004/512/EC號條例決定建立簽證信息系統，作為成員國之間交換簽證數據的系統。歐洲議會和歐盟理事會第767/2008號條例（簡稱條例）規定了簽證信息系統的目的、功能和責任，并規定了成員國之間交換簽證數據的條件和程序，以便檢查簽證申請和相關決定。《關于個人信息保護及個人信息自由傳輸的條例》（簡稱GDPR）作為歐盟關于個人信息保護的一般性法律，關于個人信息應用和保護的立法理念自然體現在關于簽證信息系統的各種法律當中。2019年6月通過的歐洲議會和歐盟理事會第2019/881號條例《關于歐洲網絡與信息安全局信息和通信技術的網絡安全，并廢除（EC）第526/2013號條例》（簡稱《網絡安全法案》）正式施行，詳細規定了歐盟機構在網絡安全工作中所采取的保護措施、基礎設施建設以及相互之間的合作問題。這一法案標志著歐盟在網絡安全治理方面進入一個新的階段。歐盟對簽證信息系統中個人信息的保護主要從兩方面著手：一是約束信息處理主體在個人信息的收集和使用等環節的公權力，形成對其行為的制約和監督機制;二是從維護信息收集對象權利的角度，建立了一套完整的權利保障體系，如保障知情權、刪除權、救濟權等。

（一）對信息處理主體的規定

對信息處理主體的規定主要體現在信息收集、信息使用、信息保存和信息監管四個方面。

GDPR第7條規定，對個人信息的處理和利用必須獲得信息收集對象的同意。條例第29條保證簽證信息系統內數據收集手段的合法性。信息使用具體包括信息處理及信息傳遞。在信息處理這一方面，條例第6條對擁有信息處理權利的主體進行了明確規定，進入系統進行信息的修改、刪除的權利專屬于獲得正式授權的簽證機關工作人員。關于信息的傳遞，第31條規定，存儲的信息需滿足特定條件才能傳遞給第三國或者國際組織，在傳遞信息時應保障請求國際保護的人和難民的權利，特別是在不退回方面的權利。第23條對信息在系統中的存儲期限進行了規定。每一個申請文件在不影響第24條、第25條所述的刪除權和第34條的保存要求的情況下，在系統中最多保存五年，期限屆滿后，系統會自動刪除。根據建立系統的目的以及相關法律規定，只有在個案需要時，從簽證信息系統中檢索到的數據才可以保存在國家檔案中，并且保存時間不得超過該個案所需的時間。條例第36條、第39條對信息監管進行了規定，具體包括：濫用信息的行為應受到刑事或行政懲罰;國家監督機關至少每四年按照有關國際標準對國家系統內的信息處理業務進行一次審計。條例第40條明確了歐洲數據保護主管的責任。

（二）對信息收集對象的保障

第38條保障了信息收集對象對與其相關信息在系統中傳遞過程的知情權。同時，責任國應當向收集對象提供有關負責信息處理的工作人員的身份和聯系方式，以及信息接收者的類別，有關機構在系統內處理信息的目的，保留，訪問，更正信息的權利。這些規定意味著歐盟不僅確立了收集對象的知情權，還在法律層面提出了保障知情權的一系列措施。在明確信息收集對象知情權的同時，第38條把公民的更正權和刪除權以法條的形式規定了下來。任何人都有權要求更正與其相關的錯誤信息，以及刪除被非法保存的信息。更正和刪除應當由負有責任的成員國根據法律、規定和程序進行。在信息收集對象提出更正或刪除的要求時，負責的成員國應當在一個月的期間內檢查信息的準確性及處理信息的合法性，同時向申請人解釋不予更正或者刪除的原因。第41、第42條分別規定了國家檢察機關的監督責任和歐洲數據保護主管的監督責任，同時第43條對國家監管部門與歐洲數據保護主管部門之間的合作進行了詳細的規定，以便更好地保障信息收集對象的權利。

二、信息應用和保護的優勢及啟示

（一）優勢分析

1人權保障理念突出。人權保障是被國際社會廣泛接受的重要理念，而個人信息權益的保護是人權保障的重要內容。在歐盟簽證信息系統中個人信息應用及保護的過程中，也充分體現了人權保障這一理念。具體體現在：一方面，制約了信息處理主體的權力使用，包括征得個人同意、采取執法監督、落實責任賠償等措施;另一方面，賦予了信息收集對象三大基本權利，包括知情權、更正刪除權和救濟權。通過對公權力進行制約，對私權利進行保障，從而達到保障人權的目的。

2規范內容具體廣泛。一是一般性立法和專門性立法相結合。《關于個人信息處理保護及個人信息自由傳輸的條例》這一法律文件規定了個人信息保護的內容，對各領域的個人信息保護起到規制作用，簽證信息系統對個人信息的應用與保護自然也應遵守這部法律文件。除此之外，針對簽證信息系統而有針對性地出臺的法律文件，對簽證信息系統中個人信息的應用和保護做出了更具體、更具針對性的規定。一般性立法與專門性立法相結合，規制內容全面。二是立法內容廣泛。簽證信息系統中個人信息應用及保護，涉及信息處理的各個方面，不但規定了信息處理主體的信息收集、使用、保存和監管，還明確了信息處理對象的知情權、更正刪除權和救濟權，形成了較為完整的制度框架。

3預防與救濟并重。在歐盟簽證信息系統個人信息的應用及保護的過程中，預防措施占了重要的一部分。預防的理念貫穿法律規范的始終，在信息收集方面就明確地規定了信息收集的合法性、合目的性，以及信息收集對象擁有的知情權等內容，旨在從信息處理的第一步就開始進行預防。此外，在信息使用、信息保存及信息監管方面，從各項措施規定中也都能體現出預防的理念，強調預防有助于從根本上杜絕侵權行為的發生。此外，對于侵權行為，相關制度也規定了具體的救濟措施，包括起訴、賠償等內容。預防與救濟并重，全方面保障了個人信息的安全。

（二）啟示

1明確個人信息應用及保護的基本原則。基本原則貫穿于個人信息應用及保護的整個過程。個人信息的應用及保護，也應當明確以下幾項基本原則，為我們制定具體的規則提供有效的指引。一是權利保障原則。尊重和保障人權是被國際社會廣泛接受的重要理念，我國也相當重視，早在2004年就將“人權”概念引入憲法，明確規定“國家尊重和保障人權”。個人信息權屬于個人的基本權利，在運用和保護過程中，應當時刻將尊重和保障人權的理念放在重要位置，明確信息主體的知情權、更正權、刪除權和救濟權等權利。二是合法原則。邊防檢查機關對個人信息的收集、處理與保存應當符合相關法律、法規的規定，同時遵循合理、合法原則，不得違法收集和處理公民個人信息。三是知情同意原則。邊檢機關對出入境人員進行信息收集，應當告知信息主體收集的內容和目的，未經信息主體的知情同意，不得收集、處理和使用。四是限制使用原則。要明確邊防檢查機關在處理出入境個人信息中的職權，在合理范圍內收集信息、保存信息、使用信息的權利，不得超越法律、法規規定的職權。

2建立完善個人信息應用及保護的相關立法。隨著移民管理事業的不斷發展，指紋、人臉識別、虹膜等人體生物識別信息將會廣泛應用到工作當中。目前，我國關于出入境個人信息應用及保護的相關法條的規定，一是過于原則化，對于什么行為是侵害合法權益的、應當給予怎樣的處分等都沒有明確規定;二是不夠全面，涉及出入境個人信息應用及保護的其他問題，比如后續的監督、救濟等方面，均未在法條中體現。有關出入境個人信息保護的力度有待加強，法律的缺位將會導致權力缺乏監督和制約，進而損害到公民的合法權益。在出入境檢查的過程中，收集、使用出入境個人信息的過程都必須嚴格由法律進行規定，出入境人員的個人信息應當受到法律的全面保護。對出入境個人信息的收集和使用進行規制，要明確“統一立法，分類保護”的思路，針對我國當前信息保護的現狀，推動個人信息保護法的制定，為各類信息的保護提供統一的標準和科學的行為規范同時，針對各個部門和行業的信息收集與使用的特點，進行分類保護與管理。在出入境信息的保護方面，我國可以針對特定的信息系統出臺具體的專門性立法。針對出入境邊防檢查中應用的梅沙系統，可以制定相關政策對該系統的使用進行規范。一方面，明確主管部門，賦予其對收集到的旅客出入境信息進行存儲、應用的權限，同時對使用過程進行規制。另一方面，提升個人信息的防護能力，針對邊防檢查中的各類信息系統，規范采集、保存、使用、流轉等各個環節，防止信息出現泄露、濫用等情況，同時明確出入境個人的基本權利、規定侵權的法律后果及救濟措施，在使用個人信息的同時，確保這些出入境個人信息得到完整保護。

3建立完善個人信息應用及保護的監督及救濟機制。邊防檢查機關通過各種數據平臺掌握了大量的出入境人員相關信息，如果監督不當，邊防檢查機關侵權的可能性就會大大提高;如果沒有完善的救濟機制，對公民個人信息的保護就不能真正落到實處。這在本質上凸顯了公權力的行使與私權利的保護的內在矛盾。規范信息處理與數據保護監督及救濟機制，是個人信息保護的核心所在。要完善個人信息應用及保護的監督及救濟機制，首先，要建立一個專門的監督機構，具有獨立的監督以及審查職能，確保其在行使職權時不受到其他相關部門的約束和限制，以便更好地對邊防檢查中的個人信息的相關行為進行監督和制約。一方面監督出入境邊防檢查機關是否合法處理個人信息，另一方面，在公民個人信息權利受到侵害時，能夠接受投訴和問詢，并提供及時的救濟。其次，要完善監督機制。一是要明確上下級、同級間的監督關系，防止侵權行為的發生。二是要規定具體的救濟程序，確保在侵權行為發生后有高效的救濟途徑。最后，要嚴格落實責任追究機制。明確侵害個人信息行為的處罰方式，同時構建完善責任追究的行政及司法機制，及時處理侵權事件的責任人及責任單位，切實維護好出入境人員的權利。

參考文獻：

[1] 劉欣邊檢機關采集旅客生物信息的安全問題[J].遼寧警察學院學報，2017（3）.

[2]張燕跨大西洋合作中歐美對出入境旅客信息的收集與應用[J].武警學院學報，2015（3）.

[3]齊愛民論個人信息保護法的統一立法模式[J].重慶工商大學學報，2009（4）.

[4]齊愛民中華人民共和國個人信息保護法學者建議稿[J].河北法學，2019（1）.

[5]王亞寧歐盟邊防管理研究[D].北京：外交學院，2017

[6]郝魯怡歐盟國際移民法律制度研究[D].上海：華東政法大學，2009

[7]Clive Leviev-Sawye Bolstering Europe's borders： a stronger Frontex and a new visa information system as the EU seeks to improve control[J].The Sofia Echo，2011（41）

[8]EU visa information system backed by Parliament[N]. Biometric Technology Today，2007

〔周涵（通訊作者）、鐘達葆、趙國峰，中國人民警察大學〕