I. 个人数据保护概述
个人数据保护多年来一直是土耳其的争议性议题,主要原因在于欧盟入盟程序。尽管土耳其早在1981年即签署并因此成为《欧洲联盟第108号关于在个人数据自动化处理方面保护个人的公约》(第108号公约)的缔约方,但后续国内法规一直未予实施,因此第108号公约从未实际生效。
为解决这一问题,土耳其通过了一部关于个人数据保护的新法,即第6698号《个人数据保护法》,该法公布于2016年4月7日第29677号官方公报(以下简称“该法”),从而在国内有效实施了第108号公约。
该法被视为个人数据保护方面一项十分必要的改进,并对数据持有人、监督者和处理者规定了新的责任,要求其始终保持此类个人数据的私密性。然而,在界定何为个人数据方面,该法的定义在一定程度上较为模糊,而类似定义也可见于第108号公约。
这些模糊定义允许对个人数据的构成作出灵活解释,使不同类型的数据可以在无需修法的情况下被认定为个人数据。不过,这也可能导致对某些数据类型产生不确定性和混淆,例如生物识别数据。因此,为确定生物识别数据使用方面的规则,应首先考察个人数据的一般原则和定义。
II. 个人数据的定义及处理方式
该法第2条将个人数据定义为“与已识别或可识别自然人有关的一切信息”,而第6条规定:“与种族、族裔、政治观点、哲学信仰、宗教、教派或其他信仰、服装、协会、基金会或工会会员身份、健康、性生活、定罪和安全措施有关的个人数据,以及生物识别和遗传数据,均被视为特殊性质的个人数据”。
第2条还将个人数据处理定义为:“对个人数据实施的任何操作,例如收集、记录、存储、保存、变更、重新组织、披露、转让、接收、使其可被检索、分类或阻止其使用;无论该等操作是全部或部分通过自动化方式进行,还是在该过程属于任何数据登记系统组成部分的情况下通过非自动化方式进行”。
因此,即使是个人数据的收集、记录和/或存储,也将被视为数据处理,并因此须遵守该法规定的严格程序规则。因此,根据第5条,针对任何个人数据实施第2条所列任何行为,均须取得数据所有者的明确同意。当然,该规则存在若干例外。根据第5条,在下列情况下,个人数据可在未经数据所有者明确同意的情况下被处理:
a) 法律有明确规定,
b) 对于因身体原因无法表达同意或其同意不被视为具有法律效力的本人或任何其他人而言,为保护生命或身体完整性所必需,
c) 处理合同当事方的个人数据为合同订立或履行所必需,且该处理与该合同直接相关,
d) 控制者为履行其法律义务所必需,
e) 相关数据已由数据主体本人向公众公开,
f) 数据处理为设立、行使或保护任何权利所必需,
g) 在不侵害数据主体基本权利和自由的前提下,为控制者的合法利益所必需。
III. 数据控制者义务与数据所有者权利
- 数据控制者的义务
根据第10条,在数据收集和/或处理过程中,数据控制者或数据控制者授权的人员,必须就以下事项告知数据所有者:(a) 控制者及其所有代表的身份,(b) 数据处理目的,(c) 已处理数据可能被转让给何人以及出于何种目的转让,及 (d) 收集个人数据的方法和法律依据。
此外,数据控制者还必须采取一切必要的技术和行政措施,以防止对该等数据的任何非法访问和/或处理。如果数据由经授权的第三方进行操作/处理,则数据控制者应与该第三方共同承担采取这些预防措施并确保所收集数据安全的责任。
- 数据所有者的权利
除对数据控制者施加的义务外,数据所有者在该法下也享有相当数量的权利。根据第11条,数据所有者有权向数据控制者请求了解其个人数据是否正在被处理,或是否以其他方式被存储和收集;如是,则有权了解其个人数据被处理的目的和范围、可访问此类信息的第三方(如有)的相关信息;有权请求更正不完整或不准确的信息(如有);有权请求删除和/或销毁相关个人数据;并有权就因个人数据被非法处理而遭受的损害请求赔偿。
此处对数据所有者而言有两项重要权利:请求更正不完整或不准确信息的权利,以及就非法数据处理造成的损害请求赔偿的权利。这实际上赋予数据所有者删除和销毁其正在被处理或过去曾被处理的个人数据的权力,同时也赋予其在数据控制者违反法律义务时请求赔偿的权利。
IV. 生物识别数据的定义
直到最近,相关立法仍未对生物识别数据作出单独定义,也未对何为个人数据作出清晰而全面的定义。相反,个人数据被定义为“与已识别或可识别自然人有关的一切信息”。关于个人数据的唯一其他分类,是第6条规定的“特殊性质的个人数据”(如上所述)。
尽管该第6条几乎是第108号公约第6条的直接翻译,但二者之间存在一个关键差异。早在1981年第108号公约首次实施时,生物识别数据这一术语尚不存在,因此该术语未被纳入第108号公约原文,生物识别数据也未被归类为特殊性质的个人数据。然而,该法第6条确实指出,“生物识别和遗传数据”应被视为特殊性质的个人数据。
值得注意的一个有趣事实是,最高上诉法院关于生物识别数据的判例(发布于该法实施之前)。根据最高上诉法院确立的判例,“指纹以及DNA、头发、唾液和指甲样本等生物样本”应被视为个人数据。
此外,宪法法院通过援引第108号公约的相关条款,裁定“通过生物识别方法取得的数据”应被视为个人数据;然而,该等数据不能被视为“第108号公约第6条所述的政治观点、宗教信仰、健康、性生活或刑事定罪等极其敏感的个人数据”。因此,鉴于该法作出的新变化,应如何审视该法院判例尚不明确,不过预计最高上诉法院将根据新法修正该判例。
V. 生物识别数据处理
随着近期技术进步以及生物识别技术成本下降,对此类技术的需求和获取途径大幅增加。生物识别扫描仪越来越多地用于安全领域(尤其是在机密信息价值较高的科技公司,以及员工数量众多的大型公司和控股公司中),也用于身份识别目的(主要在医疗领域,如医院、诊所等)。
将生物识别数据用于安全和/或身份识别目的时,最重要的问题是取得数据所有者的明确同意。如果需要每一名数据所有者的同意,那么在一名或多名员工拒绝提供生物识别数据的情况下,公司如何使用需要生物识别数据的安全系统(例如通过指纹扫描仪进入的安全/保密房间)?公司是否可以要求员工使用生物识别扫描仪来记录其班次?医疗行业是否可以在提供医疗协助之前要求提供生物识别数据,以核实患者身份?
由于近期技术发展使此类系统可以以低得多的价格实施,上述问题均具有争议性。此外,相较于可能被破解的简单密码,生物识别扫描仪和安全系统可以说更加安全;相较于可能被复制的个人签名,其作为身份识别系统也更为安全。
遗憾的是,该法及后续法规并未对这些问题给出明确答案。因此,高等法院(主要是最高上诉法院、国务委员会和宪法法院)根据比例原则,针对不同情况逐案作出了不同裁判。
- 医疗行业用于患者身份识别目的的生物识别数据
根据第5510号《社会保障和一般健康保险法》第67条,土耳其公立医院可要求患者提供生物识别数据,作为核实患者身份的手段(该条规定,为享受医疗服务,患者须通过生物识别方式,或通过身份证、驾驶执照、结婚证或护照证明其身份)。
据此,一些公立医院开始使用生物识别检查来核实申请患者的身份,这引发了一些争议,因为该做法被认为侵犯隐私权。
最终,在2014年,国务委员会向宪法法院提起上诉,请求撤销第67条中的相关规定,主张其违反宪法第2条、第13条和第20条。宪法法院驳回了该申请,并裁定公立医院可以要求提供生物识别数据以核实患者身份,且这并不违反宪法所规定的隐私权。
法院在该裁判中给出的理由是,由于通过生物识别方式进行身份核验更能防止未经授权的使用,因为此类数据无法伪造,因此其在打击公共机构腐败方面更为有效。
换言之,法院裁定,防止医疗保健系统被滥用具有至关重要的意义;与对隐私权的侵犯相比,该规定并不违反比例原则。因此,法院裁定,该规定并未违反宪法,因为被保护的权利(医疗保健系统的完整性)与被限制的权利(隐私权)之间存在比例性。
- 用于员工班次控制的生物识别数据
这是另一个问题,尤其涉及拥有大量员工的大型公司和控股公司。这些公司使用不同系统来控制和记录员工工作时间,例如签名表或刷卡系统。不过,还可以使用另一种系统,即指纹扫描系统,员工通过扫描指纹打卡记录到达和离开时间。
土耳其一家公立医院开始使用此类班次控制应用,通过指纹扫描仪跟踪员工班次时间。随后,有人针对这一强制指纹扫描应用提起诉讼,最终由国务委员会作出裁判。
国务委员会在该裁判中认为,个人指纹应被视为其私人生活不可分割的一部分,因此根据宪法第20条受隐私权保护。此外,法院认为,还存在其他同样有效的员工班次跟踪方式;即使在公共部门,与侵犯隐私权相比,此类跟踪应用可获得的利益也微不足道。因此,国务委员会裁定,此类应用违反宪法,即使在公共部门,也不得强迫员工使用指纹扫描系统进行班次跟踪。
- 用于安全/保密房间的生物识别数据
商业领域的另一项趋势,尤其是在科技公司中,是设置安全房间以安全存放机密信息。在双方之间交换高度机密和保密信息的情况下,外国公司尤其会要求其土耳其交易对方设置此类安全房间。过去,这些安全房间通常由使用简单密码的系统保护;而目前,公司要求安全房间只能通过生物识别数据进入,例如指纹、视网膜扫描或面部识别(因为其被认为比密码更安全)。
然而,通过生物识别数据进入安全房间再次引出了同意问题。由于公司需要一名或多名员工能够进入这些安全房间,为了妥善实施安全房间,公司需要取得这些员工的生物识别数据。尽管目前尚无关于该问题的具体高等法院裁判,但国务委员会关于将生物识别数据用于员工班次控制的决定(如上所述)应可作为良好依据。
将该决定适用于本案,可以清楚看出,与对隐私权的侵犯相比,在私人公司实施安全房间可获得的利益将是微不足道的。因此,公司不得为实施安全房间而要求员工提供生物识别数据,也不得因员工拒绝提供此类数据而解除劳动合同。不过,仍可从同意提供数据的员工处取得该等数据(尽管此类同意应谨慎措辞,以避免违反该法的任何规定)。
VI. 结论
土耳其有关个人数据保护的法规仍相当新,因此目前尚无已确立的法院判例。现有法院裁判通常作出于该法实施之前,尽管其中一些裁判确实援引了第108号公约,但我们仍需再等待数年,方能由高等法院确立专门针对该法本身及其次级法规的判例。因此,公司拥有完整的个人数据保护文本(告知文本和同意表格)极为重要,以避免未来可能因法院判例而被施加的任何责任。
如需了解有关该事项的更多信息和协助,请随时通过此处联系我们。
本译文仅供参考,可能与原文存在差异。
