以色列数据隐私

以色列属于隐私及数据保护立法较早的国家。《隐私保护法 1981(隐私法)》 是以色列最主要的隐私、数据保护及数据库相关法律。此外,自 1992 年起, 《人的尊严与自由基本法》就规定了隐私权在以色列具备准宪法权利。

《隐私法》之外,还有许多法规及法院判决予以补充。自 2006 年起,以色 列法律、信息和技术局 (ILITA) 便开始担当以色列数据保护机构,该机构颁布 了一系列详细指令。另外,某些特定领域的法律还为医疗、遗传、心理治疗、 金融及信用信息提供附加保护。熟悉欧盟数据保护法的人可能会发现,以色 列的数据保护法中某些核心原则与欧盟的极其相似,不过,以色列的法律也 有许多独特之处。

《隐私法》禁止任何人在未获得当事人同意的情况下侵犯其隐私,同时还规 定了侵犯隐私需负民事及刑事责任,并明确了一系列未预先获得同意而构成 侵犯隐私的行为。包含但不限于下列行为:违背法定或合同约定的保密义务; 为不正当用途泄露或使用个人信息;侵犯隐私权获取出版信息;发表个人性 生活、健康状态或个人行为相关的信息;以可能的骚扰方式骚扰、暗中监视 或跟踪某人。

《隐私法》定义的“人”仅限于自然人。当《隐私法》中关于隐私、数据保 护及数据库的规定条款不适用于公司或其它法律实体时,判例法对公司隐私 权作出了限制。《隐私法》对“数据库”的定义是:“以磁存储或光存储技 术实现的建立在计算机上的数据集合。”

按照《隐私法》的规定,个人数据仅能用于被批准的用途,且需注册数据库 中的数据仅能用于数据库注册表所列明的数据库建立之用途。“用途限制” 是以色列数据保护法的核心原则。依据法律内涵,在被允许用途之外使用数 据,需提供法律上的正当理由,或征得数据主体(特定个人数据涉及的某个人) 的同意。《隐私法》定义的“同意”指的是以口头方式或默许形式达成的知 情同意。 

以色列隐私法的其它关键原则包括以下:

通知义务:征集个人数据用于数据库存储时,需给予数据主体相关通知,列明:(i) 数据主体是否具备法律义务提供该信息,或数据传输是否是自愿行为;(ii) 数 据用途;(iii) 数据将会传输至何人,为了何种目的。

数据库注册:数据库所有者需在数据库具备下列特征时通过数据库登记机构 进行注册:

• 包含的数据涉及 1 万人以上;

• 包含敏感数据(目前指的是关乎个人性格、私事、健康状况、经济状况、 观念及信仰的详细信息);

• 包含非由自然人自身提供的、授权的或同意的数据;

• 属于公共机构;或

• 用于直邮服务。

数据库注册时需提出包含数据库和申请费及年费支付相关信息的申请。有一 项法案提议根除大部分数据库的数据库注册要求,并取代说明、内部存档及 通知的要求,该提议目前仍有待以色列议会 (Knesset) 的决定。

数据安全:数据库所有者、持有者及管理者均需对数据安全负责。除此之外, 特定情况下,还须指派可胜任的安全专员负责数据安全。

国际数据传输

如需从以色列向国外传输数据,仅当满足下列两个条件时才允许在以色列之 外传输数据库信息:(1) 存在支持传输的法律依据,和 (2) 数据接收者向数据 所有者作出书面担保:将会采取足够的预防措施以保护数据主体的隐私,且 不会进一步转发该数据。《隐私法》的规定列明了所有能支持这类数据出口 的法律依据。最常见的法律依据有:(i) 数据接收者为欧盟成员;(ii) 数据主体 同意传输;或 (iii) 数据接收者向位于以色列的数据库所有者担保:遵守数据存 储相关的所有法律,并采用适用以色列数据库的法律。最新引进的《隐私保护》 框架协议为从欧盟向美国传输数据提供了法律保护手段。按照预期,如果能 将数据传输至《隐私保护》认证的美国实体,那么这将为以色列数据出口提 供充分法律依据。然而,截至本指南撰写之日,ILITA 仍未对这一事宜发声。

关于向以色列传输数据,自 2011 年起,以色列就被欧委会认定为具备足够 的个人数据保护担保能力,也因此被欧盟列入欧洲数据出口“白名单”。这使得以色列被许多特定司法辖区认可,并允许其按照欧盟内部传输条件从欧 盟国家向国内传输数据,且无需额外的数据传输协议或其它程序要求。 

数据主体权利:除了某些例外情况,数据主体有权利检查和改正存储于数据 库中的个人信息。

雇员数据:以色列法律对雇员的个人数据保护标准更高,仅允许其用于必要 用途或合法用途。雇员个人数据的收集和使用必须满足比例性原则。法院会 对雇员是在何种背景下给出同意予以严密核查,因此,如果雇主在未获得同 意的情况下表明将会对雇员的雇佣条件作出不利更改,或雇员主观上认为这 种不利更改存在发生的可能性,以色列法院将会判定这种同意为非自愿行为, 也是无效的。

雇主仅能在有限的情况下对雇员的邮件或其它高科技设备的使用予以监测。

此前在 2011 年,以色列最高劳工法院在一项判决中对雇员的电脑、邮件、 手机等其它工作场所高科技设备的使用监测作出了如下严格要求,包括:合 法商业目的、比例性要求、全面的雇员披露要求、明确的雇员同意,以及严 令禁止在未获得雇员同意(视情况而定)或法院指令的情况下获访问私人邮件。

由于违法处罚力度低于欧盟《一般数据保护条例》的规定,以色列议会正在 审查是否通过一项新的法律草案,以授予登记机构附加的调查、监管和执法 权力,包括处以远超现行《隐私法》规定数额的罚款。

以往,ILITA 的执法重心都放在非法数据使用、数据安全漏洞或超出用途限制 的数据使用上。相对而言,在《隐私法》施行早期,大多数以色列商业实体 对当地的隐私及数据保护要求并不了解,现如今,这方面的认知有了显著提升, 并且大部分成熟的企业会尽更大��力去遵守相关法规。