民事登记的定义是,根据每个国家的法律规定,对人口动态事件的发生和特征进行连续、永久、强制和普遍的记录。[1] 民事登记信息为个人提供了合法身份证明,有助于使个人能够行使广泛的权利,并为获得社会福利、教育、卫生和法律保护等基本服务提供便利。《英国1953年登记服务法》(Registration Service Act 1953)给予了民事登记官向指定的公共机构或其他民事登记官披露与他们职能有关的信息的权力。《2017年英国数字经济法》第 5部分“数字政府”赋予政府跨组织共享个人数据的权力,以支持更高效便捷的数字公共服务。为响应《2017年英国数字经济法》,使民事登记信息得到合理有效的共享以提高政府公共服务水平,英国政府出台了《民事登记官行为准则》以供实践参考。”数字经济法促进法”已经正式列入十四届全国人大常委会立法规划,本文试图概述该《准则》内容以期对我国《数字经济促进法》的立法工作提供比较法的参考。
1
简介
《民事登记官行为准则》(Data Sharing Code of Practice: code of practice for civil registration officials disclosing information under section 19AA of the Registration Service Act 1953)解释了民事登记官在与其他民事登记官和特定公共机构共享登记信息时,应如何使用《1953年登记服务法》(Registration Service Act 1953)中所载的自由裁量权。此外,《准则》还为民事登记官在考虑披露登记信息的申请时需要遵循的申请程序、决策程序和管理程序提供指导。民事登记官包括总登记官、出生、死亡和婚姻登记监督官(superintendent registrar)、出生和死亡登记官、婚姻登记官以及《2004年民事伴侣关系法》(Civil Partnership Act 2004)第28条定义的登记机关。
在效力层面,因苏格兰和北爱尔兰的民事登记权已下放,《准则》仅涉及英格兰和威尔士的民事登记。根据《英国1953年登记服务法》第19AA条,所有被指定负责披露信息的民事登记官都必须遵守本《准则》。同时,本守则应与信息专员办公室不断更新的《数据共享行为准则》 (Information Commissioner’s data sharing code of practice)一并阅读。除此之外本《准则》还应与民事登记官在共享信息时已经遵循的程序指南一并阅读。这将确保在正确的层面上界定、控制和管理共享信息的责任。
在本《准则》中,“数据共享”的含义与信息专员办公室发布的《数据共享行为准则》中的含义相同:即从一个或多个组织向一个或多个第三方组织披露数据,或在一个组织的不同部门之间共享数据。《数据共享行为准则》指出,数据共享可以采取不同的形式。在根据这些数据共享权力进行共享之前,需要签订数据共享协议,概述数据接收方的责任,以及在出现任何问题时需要采取的任何必要行动。在某些情况下,数据共享协议中也会包含一些条件,包括与接收方如何使用数据有关的安排。本《准则》详细规定了可采取的行动,以解决民事登记官与数据接收者之间的非法数据披露或其他披露所涉及的任何问题。公共机构需要确信自己遵守了数据保护法律。
遵循本《准则》将获得四点好处:(1)确保行为符合现行政策和指南。通过遵守指南,民事登记官可以确信,他们共享信息的方式是一致、公平、适度和透明的。(2)确保行为符合法律规定。《准则》就应遵循的程序提供了指导,以帮助确保民事登记官在共享信息时遵守相关法律。(3)确保行为符合安全规定。《准则》规定了民事登记官应如何保存和控制信息。这包括为保护信息而应采取的保障措施的细节,以及为防止在没有法律依据的情况下按照数据保护法的要求共享信息而采取的措施。此外,它还包括与数据保留和销毁有关的政策,以及确保数据保留时间不超过必要时间的规定。(4)提高数据共享能力和合规意识。《准则》强调了在数据管理方面不断更新和接受适当培训的重要性,并强调了在考虑允许获取信息时必须遵循的标准。
2
信息公开的原则
民事登记官在共享民事登记信息时应遵循5项原则,详情请见下表:
3
与其他立法的协同运作
民事登记官在进行信息共享时应保障其行为与数据保护法及《1998年人权法》相契合。
1. 遵守数据保护立法
数据保护立法将控制者定义为决定处理个人数据的目的和方式的人。除非信息由登记员掌握,则出生、死亡和婚姻信息的控制者是登记监督官。民事伴侣关系信息的控制者是登记机关。经登记监督官认证后的信息的控制者是总登记官。除登记数据外,登记官也可能是其他个人信息(如证书申请数据)的控制者或联合控制者。作为数据控制者,民事登记官必须保存其数据处理活动的记录。此外,民事登记官有责任确保《通用数据保护条例》(General Data Protection Regulation)第5条中的6 项原则适用于其负责的所有个人数据。这6项原则包括公平性和透明性原则、目的限制原则、数据最小化原则、精度原则、储存限制原则、完整性和机密性原则。有关这6项原则的更多详细信息,请阅读信息专员办公室的各项数据保护指南。除此之外,民事登记官还必须了解《2018年数据保护法》中的要求和义务。
2. 遵守《1998年人权法》
民事登记官必须确保数据共享符合 《1998 年人权法》及《欧洲人权公约》(European Convention on Human Rights)的规定。《欧洲人权公约》第 8 条赋予每个人私人和家庭生活、住宅和通信受到尊重的权利。虽然根据数据保护立法,共享与已故个人有关的信息不被视为个人数据,但还应根据 《1998 年人权法》考虑共享信息是否会侵犯已故个人亲属的私人生活权。根据信息专员办公室的指南,如果信息共享的方式符合数据保护法的规定,那么共享信息也很可能符合 《1998 年人权法》的规定。尽管如此,被提名负责共享信息的个人或组织必须确保披露信息符合《欧洲人权公约》第 8 条的规定,如有任何顾虑,应寻求法律顾问的建议。
4
如何行使权力
1. 进行信息共享的条件
共享信息的目的可以包括但不限于:(1)促进地方当局的规划。即向地方当局提供民事登记信息,使其能够有效地提供公共服务。例如,可以向地方当局披露发生在某一地区但与邻近地区居民有关的出生信息,使他们能够更准确地规划医疗保健、学校规划和其他地方服务的提供。(2)保护儿童。即向地方当局和 NHS 机构披露信息,使其能够保护本地区的儿童。例如,向地方当局披露出生数据,以协助社会服务部门从儿童的利益出发,有针对性地与儿童父母中的一方接触。(3)消除获取政府服务的障碍。例如,以电子方式向公共机构披露出生数据,使公民不再依赖提供纸质证明来获取公共服务。(4)打击住房租赁欺诈。例如,向地方议会披露死亡数据,使他们能够检查社会住房的列名租户目前是否健在,从而防止其他人在无权居住的情况下欺诈性地居住在该房产中。(5)打击蓝色徽章(Blue Badge)[2] 欺诈行为。即披露登记信息以防止蓝色徽章所属者死亡后继续使用该徽章冒名享受公共优待福利。这些权力允许登记官员与地方当局共享死亡数据,以帮助减少欺诈行为。(6)打击同居欺诈。即向公共当局披露婚姻数据,以防止因婚姻状况而无权享受服务的个人获得服务。例如,如果该人申请的福利或服务只支付给单身或单亲的个人。(7)改进统计。即向公共机构披露民事登记信息,以帮助他们建立统计资料,改进公共服务的提供。8)回收医疗设备。即向地方当局或NHS机构披露其辖区内发生的死亡信息,以帮助他们在个人死亡后回收不需要的医疗设备。(9)清理名单。对于所有公共机构来说,拥有最新的记录都是非常重要的,以清理名单为目的使用民事登记信息有助于确保记录保持最新状态。清理名单允许删除不再相关的记录或将其标记为不常用记录。比如,从系统中删除与已故个人有关的记录。
2. 禁止披露信息的情况
在一些情况下,由于信息的性质或信息的使用目的,披露民事登记信息是不合适的。禁止信息披露的情况包括但不限于以下几种:(1)有法定限制。如果有法定限制阻止披露信息,则不允许披露信息。(2)披露信息不相称。如果披露过多信息或特别敏感的数据与数据的预期目的不相称,则不允许披露这些信息。例如,当披露信息的目的是试图确定一个人的详细情况时,披露与大量个人有关的数据是不合适的。(3)如果数据可能被用于非相关的职能。如果接收者似乎主要打算将信息用于其官方职能以外的事务,即使其官方职能也需要这些数据,也不允许披露信息。(4)当对数据安全有顾虑时。如果登记官对接收者为保护数据而采取的安全措施不满意,则不允许披露信息。登记官还需要了解与接收方安全维护数据的能力有关的任何先前问题或违规行为,在问题得到完全解决之前,不得再次披露信息。(5)如果信息可能会在提供信息的职能范围之外与更广泛的组织共享。登记官需要确保任何披露或获取信息的行为不会超出披露信息所依据的数据共享协议的范围。(6)如果信息可用于创建身份数据集,则除本《准则》所述的有限例外情况外,不允许为创建任何身份数据集而披露信息。(7)如果接收者不是列明的公共机构,则不得向任何公共机构或其他接收者披露法律不允许的信息。民事登记官必须始终确保申请信息的接收者列在这些规定中,并被允许接收信息。
3. 民事登记官如何行使权力
所有民事登记官都要了解自己的作用和责任。责任因民事登记官的角色而异。只有被提名的登记官才有权根据这些权力披露民事登记信息。在这样做时,他们应完全确信所有信息申请都与履行接收者的一项或多项职能直接相关。如果要求提供大量信息,除非总登记官先前已授权披露此类信息,并发布了允许今后披露信息的指导意见,则民事登记官应先通知总登记官并获得披露信息的书面同意。这一保障措施将确保整个民事登记部门信息共享的一致性。除此之外,民事登记官在行使共享权时应遵循以下标准:1)信息共享必须致力于使接收者能够履行其一项或多项职能。(2)信息的披露需要符合《准则》中关于民事登记信息披露的原则。(3)作为控制者,参与有关安排需适当和合理,例如共享信息不应存在任何明显的利益冲突。(4)在参与数据共享协议时能够满足数据保护立法的要求。(5)民事登记官应当有资源和技术能力来发布信息或提供对数据匹配请求的回复。(6)提供的信息应当是充分的,且就要求提供信息的目的而言并不超出必要的程度。应根据接收方的具体要求,只提供最低限度的必要信息。(7)民事登记官还应遵守并及时更新总登记官发布的任何指导意见(以及任何地方当局的地方登记服务政策),以确保在共享信息时采用一致的标准和方法。民事登记官在行使共享权应遵循以下流程:
5
公平与透明
1. 合法处理
合法处理是指民事登记官披露信息的目的只能是使接收者能够行使其一项或多项职能。此外,为了使披露信息合法,信息的披露不得受另一项明确的法律限制,而且披露信息必须符合数据保护法。
2. 公平处理
在使用数据共享权时,登记官必须确保数据共享做法公平透明。只有在民事登记官确信所有程序都是公平和透明的情况下,才可披露信息。此外,控制者必须能够证明他们遵守了数据保护法中的“合法、公平和透明”原则。因此,民事登记官和公共机构在披露和接收信息时应有公平透明的程序。例如,遵循信息专员办公室发布的《隐私声明、透明度和控制行为准则》( privacy notices, transparency and control code of practice)进行隐私声明。
在共享任何信息之前,民事登记官也应确信公共机构的程序对所披露的信息类型是令人满意的,并应与接收者讨论他们的安排。在考虑是否共享信息时,民事登记官还应考虑通过数据共享协议对信息的未来使用、继续披露和保留施加哪些条件。任何条件都需要在披露信息之前明确规定。接收注册信息的公共机构应确保相关个人了解其信息是如何被使用的。然而,在某些情况下,告知个人其信息已被共享可能是不切实际的。此时,民事登记官和公共当局需要遵守数据保护法的要求,以确保信息被公平、合法地共享。以审计为目的的信息共享也有必要完成共享信息的标准化记录,详细说明当时的情况、共享了哪些信息并解释披露的原因。
3. 数据保护豁免
数据保护立法包括多项豁免条例允许披露信息。民事登记官应考虑数据保护立法中规定的豁免情况。如果豁免情况适用且必须有据可依才能披露信息,则应联系指定的负责信息共享的总登记局或地方当局人员寻求建议。
4. 数据共享协议
信息专员办公室的《数据共享行为准则》(Data Sharing Code of Practice)指出,签订数据共享协议并定期审查是一种保障公平处理的良好做法,特别是在大规模或定期共享信息的情况下。因此,民事登记官在根据这些权力披露信息时,应遵循程序指南制定所需的数据共享协议。
在与公共机构签订数据共享协议之前,民事登记官应与公共机构商定采取适当的组织、安全和技术措施:(1)防止将民事登记信息与其本身或其他政府信息相链接,以创建任何身份数据集或数据库(少数例外情况外)。(2)确保信息得到安全保存,并在用于提供信息的目的后予以删除。(3)防止信息意外丢失、毁坏或损坏。(4)确保只有真正有业务需要的人才能获取信息。公共机构需要确保自己遵守了数据保护法,并应就数据共享问题寻求法律意见。
数据共享协议应包括以下细节:(1)数据共享安排的目的。(2)数据共享各方各自的角色、责任和义务。(3)交换信息的法律依据。(4)信息的准确性:确保接收方了解登记信息仅在获取时准确,并将按此处理。(5)需要哪些确切信息的准确细节,以使他们能够履行所要求的职能。(6)限制共享某些类别的信息,如收养和性别认可信息。(7)对继续披露信息的限制。(8)信息处理责任,包括任何数据处理者或分包商的详细情况;数据处理条件,包括数据主体是否知晓其信息是如何被共享的。(9)交换过程和方法。(10)预期业务服务的标准和水平。(11)报告安排,包括任何数据丢失时的报告和处理安排。(12)终止安排。(13)问题、争议和解决程序。(14)有关数据安全、数据保留和数据删除的信息。(15)审查期。(16)行使个人权利(查阅、询问和投诉)的程序。(17)与共享信息有关的任何费用。(18)对不遵守协议或个别工作人员违规行为的制裁。
除此之外,数据共享协议还应包含对非法或不当处理信息的信息接收者的制裁细节。这些制裁措施包括但不限于:(1) 公共当局停止接收民事登记官提供的信息。(2)民事登记官向信息专员办公室报告接收者和事件,由其决定是否适用处罚。(3)如果民事登记官确定是否有任何失职行为,则采取必要的行动。(4)违反数据共享协议的公共机构需要重新提交申请以获取信息。(5)以前违反过数据共享协议的公共机构只有在民事登记官确信任何安全或其他问题都已得到解决,以减少今后再发生任何问题的风险的情况下,才能再次获准查阅信息。
总登记局和地方登记局都应保持各自数据共享协议的最新清单,以便审计。此外,控制者和处理者必须保存处理记录。这些记录应包含对数据主体类别和所处理的个人数据类别以及这些数据的接收者类别的描述。这些记录应按要求提供给信息专员办公室。
5. 信息共享登记册
根据这些权力达成的所有数据共享协议的信息都应提交给内阁办公室的政府数字服务部 (Government Digital Service,GDS),该部门将保存一份可供公众检索的信息共享登记册。该登记册将使政府和信息专员办公室能够了解根据这些规定进行了哪些数据共享,评估这些规定的价值,并在适当的时候进行审计,检查合规情况。民事登记官应提交政府数字服务部要求的所有的用于充实或维护登记册的信息。
6. 隐私影响评估
根据数据共享权力作出数据共享安排的民事登记官应遵循信息专员的《隐私影响评估实践准则》(Privacy Impact Assessments code of practice)。上述准则就如何及何时在数据共享过程中的关键时刻进行隐私影响评估,以及如何修改这些评估以反映关键变化(如范围或情况的变化)提供了指导。该规范还包括筛选问题,确定何时需要进行隐私影响评估,以及发布隐私影响评估报告的指南。民事登记官应确保在所有公布的报告中对敏感信息进行编辑,并应记录每个案例中的编辑情况及编辑原因。
6
管理
1. 申请程序
信息共享需要有一个正式的申请程序和决策审计跟踪,以确保民事登记官能在组织的正确层级上就数据共享做出明智的决策。每个申请程序应尽可能一致。申请过程中应注意的问题包括:(1)申请哪些信息?(2)为什么需要获取信息?(3)申请获取信息的具体目的和公共职能是什么?(4)披露的信息如何帮助接收者履行其职能?(5)披露信息是否有任何限制?(6)需要哪些确切的数据项?(7)信息接收者是否有法律义务向任何其他机构提供他们所掌握的个人数据?(8)建议以何种频率和数量共享信息?(9)为保障信息交换、处理和保存,已经/将要实施的安全规定的高级细节?(10)提案是否建议将信息转移到英国/欧洲经济区以外,或将信息存储在英国以外的服务器或云中?如果是,采取了哪些安全措施来确保数据安全?(11)是否建议了使用信息的时限,如果是,将如何删除信息?(12)是否有资金支付数据共享所产生的费用?(13)数据主体是否知道他们的信息正在被共享?(14)是否进行了隐私影响评估/隐私影响评估的结果如何?(15)数据共享对接收方或任何其他公共机构是否有任何其他好处(包括财务方面的好处)?(16)不共享信息的影响?例如公共财政或商业项目面临风险,政府提供服务的能力受到威胁、政府无法履行其职能,公民的产生影响。
参与申请过程的各方都应了解以下要点:(1)所有各方必须明确信息共享的预期有形效益(包括财务效益)、谁将获得这些效益以及如何衡量这些效益。(2)信息共享的目的必须符合法律规定的目的,即向公共机构提供信息,使其能够履行一项或多项职能。同时,还需要考虑确定披露信息对于实现预期目标是必要的和相称的。(3)只应提供最低限度的信息,以使接收者能够履行其一项或多项职能。(4)信息共享必须在物理和/或技术上可行,并符合数据保护法和 《1998 年人权法》。(5)严格遵守安全规定,防止信息被滥用或丢失,包括采用安全方法传输信息。
2. 数据标准和数据准确性
总登记局和地方登记局以多种不同格式保存数据。在考虑共享信息时,重要的是尽一切努力确保信息在传输时或传输后不被以任何方式修改或变更。这将有助于确保个人不会因数据共享而受到不利影响。同样重要的是,在传输信息之前要检查信息的准确性。如果在信息传递后出现问题(如数据损坏),则需要制定程序,允许所有持有信息的机构更正不准确的信息。民事登记官应了解修改自己系统中的不准确信息所应遵循的正确程序,包括提醒数据保护官员和其他确定的小组,以确保其他系统中的数据得到更正。
3. 合规
负责在英格兰和威尔士提供地方注册服务的地方当局代表组成国家登记组(National Panel for Registration)。总登记官将与国家登记组合作制定相关指南和措施,确保民事登记官履行其职责。如果民事登记官没有遵守本《准则》,总登记官将与国家登记小组合作采取必要措施以确保民事登记官履行本《准则》的义务。如果发现数据保护问题(如数据泄露),信息专员办公室会尽早得到通知。总登记官也将考虑将违规情况通知数据当事人。[3] 任何与合规有关的一般问题应首先向总登记局提出。总登记官将每年对《准则》进行审查。审查《准则》时,将咨询国家登记小组,以确保任何修订都能支持地方登记服务的提供及其自身的数据共享安排符合《准则》。
7
小结
《民事登记官行为准则》详尽记录了英国民事登记官与公共机构共享登记信息的实践守则。数据保护和数据共享的具体做法会因各国的法律、文化和监管背景不同而存在差异。但民事信息共享具有一些普遍适用的一般原则。
[1] Amitabh Bipin Suthar and others, ‘Evaluation of Approaches to Strengthen Civil Registration and Vital Statistics Systems: A Systematic Review and Synthesis of Policies in 25 Countries’ (2019) 16 PLoS Medicine e1002929.

[2] 详情请见https://www.gov.uk/government/publications/blue-badge-can-i-get-one/can-i-get-a-blue-badge.
[3] 数据保护立法将要求控制者向信息专员办公室通报数据泄露情况,并在一定情况下有向数据当事人本身通报。这项义务的前提是违规行为的严重程度足以对数据主体的权利和自由造成风险。
撰稿 | 毕天琪,清华大学智能法治研究院实习生 
选题&指导 | 刘云
编辑 | 王欣辰
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至[email protected],申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。
继续阅读
阅读原文