近年來,隨著歐盟《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)的正式實施,隱私保護和數據合規引起全球廣泛關注。今年兩會人大代表呼吁加快個人信息保護的立法進程,又把個人信息保護議題再度炒熱。基于國內外環境的思考,筆者認為,隱私保護和數據合規將成為法律行業的藍海市場。目前,市面上隱私保護和數據合規的文章不少,但大多追隨熱點,分散式、片段式文章較多,系統性、全局性文章很少。基于此種思考進路,筆者打算在今后一段時間,通過系統梳理各個國家或地區的隱私保護和數據合規情況,陸續推出各個國家或地區個人信息保護情況的文章,旨在為對隱私保護和數據合規有需求的個人或企業提供幫助。
基本原則是指導各個國家或地區制定個人信息保護法的綱領性資源,它的作用貫穿個人信息保護法的始末。因此,筆者認為,在系統梳理各個國家或地區隱私保護和數據合規情況之前,有必要先對個人信息保護基本原則進行系統梳理,在了解個人信息保護基本原則的基礎上,才能對各國或地區的個人信息保護有更深刻的理解。接下來,本文將重點梳理國內外個人信息保護基本原則的演變歷程,歸納個人信息保護的基本原則及其內涵,并分析國內個人信息保護基本原則的實踐情況。
一、個人信息保護基本原則的演變歷程
(一)個人信息保護基本原則的提出:20世紀70年代
在20世紀70年代,計算機技術的快速發展大大促進了信息的傳播和交流,然而,信息的傳播和交流同時也帶來了信息的泄露和隱私的曝光。在發達國家,尤其在特別注重保護個人隱私的美國和歐洲,個人信息和隱私保護引起了民眾的廣泛關注。為了應對信息泄露的問題,美國和歐洲一些國家分別采取了對應的舉措。例如,美國在20世紀70年代,分別下發了《公平信用報告法》、“‘修’(HEW)報告”、《聯邦隱私法案》以及“隱私保護研究委員會研究報告”等;
[①]英國的隱私委員會則發布了“關于個人數據自動處理的安全建議”。這些早期的法案和研究報告較為系統地歸納和總結了個人信息保護的許多核心原則,這些原則對后來的個人信息保護立法產生了深遠的影響。
在這些核心原則中,筆者從美國的相關法案和研究報告總結歸納出美國對個人信息保護的三個基本原則:公開透明原則、知情權原則、安全原則。
[②]具體內容如下表所示:
美國個人信息保護基本原則
| 基本原則 |
具體內容 |
| 公開透明原則 |
不允許存在秘密的個人數據系統 |
| 知情權 |
個人應該有渠道了解到系統中保存了本人的哪些信息以及信息如何被使用;有渠道防止為某個目的采集的個人信息在未經本人同意下用于另一目的;有渠道發現和糾正錯誤的個人信息 |
| 安全原則 |
機構要確保數據的使用目的可靠、并采取措施防止數據的不當使用 |
相較于同時期美國的基本原則,英國隱私委員會發布的基本原則顯得更加全面和細致:除了有與美國類似的基本原則如個人權利原則、安全原則外,還有美國所未規定的基本原則,例如同意原則、目的性原則、技術保護原則等。
[③]具體內容詳見下表:
英國個人信息保護基本原則
| 基本原則 |
具體內容 |
| 目的性原則 |
信息的訪問和使用必須與信息采集的目的一致,未經授權不可改變信息的使用目的 |
| 同意原則 |
信息的采集和使用以及信息的使用目的的改變必須得到授權 |
| 最小必要原則 |
為某個目的所采集信息的種類和數量應當是達到該目的所最小必要的 |
| 技術保護原則 |
在為不需要識別個人身份的某些應用場景建立計算機系統時,應在系統設計和實現時就將身份信息和其他信息加以隔離 |
| 個人權利原則 |
應當采取具體措施確保個人享有關于本人信息的知情權、訪問權、糾錯權和及時更新信息的權利 |
| 安全原則 |
系統使用者應預先說明系統應當達到的安全防護水平,采取適當措施避免信息被誤用或濫用,并應當建立檢測系統、及時發現違反安全要求的問題 |
| 保存期限原則 |
預先確定信息可以保存的最長期限、超出此期限的信息不再繼續保持 |
| 數據質量原則 |
應當確保數據準確并提供糾正錯誤和信息更新的機制 |
| 客觀性原則 |
在信息中涉及價值判斷應當格外謹慎 |
從上表可以看出,歐美國家早在20世紀70年代就開始設置個人信息保護的基本原則,雙方的側重點都更偏向于規定個人信息保護的公開透明,數據控制者要確保收集數據的安全,并賦予數據主體一定的個人權利。其中,美國基本原則的規定較為粗糙:例如沒有在數據采集環節作出任何的限制規定,數據的采集也不需要數據主體的同意,對數據的質量也沒有任何的要求。相較之下,英國這一時期對于個人信息保護基本原則的規定較為細致。
(二)個人信息保護基本原則的發展:20世紀80年代至90年代
隨著科技水平的不斷發展,歐美的個人信息保護基本原則也得到了新的發展。在20世紀80-90年代,美國在70年代提出的原則的基礎上,提出了個人信息公平實踐的八大原則;歐盟在1995年頒布《歐盟指令》,提出了新的七大原則;與此同時,經濟合作與發展組織(簡稱經合組織,Organization for Economic Co-operation and Development,OECD)在1980年頒布《經合組織指南》,提出了個人數據保護的八大原則。
美國所謂的個人信息公平實踐八大原則,主要指公開性原則、個人訪問原則、個人參與原則、采集限制原則、使用限制原則、信息管理原則和責任擔當原則。
[④]個人信息公平實踐八大原則的提出彌補了70年代末美國法案及研究報告未對數據控制者作出限制規定的漏洞,同時細化了很多具體的內容。美國的個人信息公平實踐八大原則詳見下表:
美國的個人信息公平實踐八大原則
| 基本原則 |
具體內容 |
| 公開性原則 |
不允許存在秘密的個人數據系統,并且應當公開各機構個人數據的管理政策、操作實踐及系統 |
| 個人訪問原則 |
個人應當有權利查看和復印個人數據保存機構保存的可識別本人身份的個人信息 |
| 個人參與原則 |
個人應當有權利修改和增補數據保存機構保存的關于本人的信息 |
| 采集限制原則 |
任何一個機構可以采集的個人信息的種類及采集方式要有所限制 |
| 使用限制原則 |
任何數據保存機構對個人數據的內部使用應當有所限制 |
| 披露限制原則 |
個人數據保存機構對外披露個人數據應當有所限制 |
| 信息管理原則 |
任何個人數據保存機構都應當制定合理、適當的信息管理政策和操作實踐、以確保個人信息采集、存儲、使用及對外提供的必要性和合法性,同時確保信息的準確性和及時性 |
| 責任擔當原則 |
數據保存機構必須對個人數據的保存的政策、操作實踐及系統負責 |
同時期的《歐盟指令》七大原則很大程度上也吸收了前期的經驗,例如它在英國基本原則的基礎上,增加了告知和事前檢查原則、司法救濟原則等新的原則。同時,針對每個原則都有具體細化規定,例如個人權利原則,具體列舉了個人有訪問權、修改權、刪除權和反對權;在公平和合法原則上,要求數據要準確、及時,收集的目的要明確,收集的手段要最小必要等。
[⑤]《歐盟指令》的七大原則詳見下表:
《歐盟指令》的七大原則
| 基本原則 |
具體內容 |
| 公平和合法原則 |
目的明確、數據的采集和處理目的最小必要、數據準確且更新及時;在五種特定清晰下才可以處理個人信息;原則上禁止采集個人敏感信息 |
| 公開透明原則 |
具體羅列須向數據主體告知的信息:數據控制者身份、采集或處理信息的目的;其他必要信息 |
| 個人權利原則 |
訪問權、修改權、刪除權、凍結權和反對權 |
| 數據保密和安全原則 |
數據控制者須采取適當的技術和制度措施保護個人數據,之后才可由選擇數據處理商處理數據;數據控制者和數據處理商必須簽訂合同,合同須以書面形式加以明確 |
| 告知和事前檢查原則 |
數據控制者在對數據進行處理前,除特殊情況外,必須告知監管部門;監管當局收到通知后,必須在數據處理開始前對其進行檢查,同時進行數據登記 |
| 司法救濟、法律責任和懲罰原則 |
如果數據主體的相關權利遭到破壞,數據主體可以請求司法救濟。 |
| 例外原則 |
涉及國防安全;公共安全;犯罪獲得預防;成員國或歐盟重要的經濟和金融利益,可以不遵守個人數據保護原則中關于處理合法性、公開性以及數據主體對數據的訪問權要求 |
除了美國和歐盟均有發展個人信息保護新的原則,并對原本的原則內容做了新的規定外,經合組織(OECD)在1980年頒布的《經合組織指南》直接規定了個人數據保護的八大原則,該原則很明顯吸收借鑒了歐盟和美國相應的原則規定,因此具體的原則內容大同小異,萬變不離其宗,例如都規定了采集限制性原則、數據質量原則、安全性原則、公開性原則等。
[⑥]經合組織個人數據保護的八大原則詳見下表:
經合組織個人數據保護八大原則
| 基本原則 |
具體內容 |
| 采集限制性原則 |
應當限制個人數據采集,任何個人數據的采集必須通過合法正當的手段,但凡可能,應該得到數據主體的許可 |
| 數據質量原則 |
個人數據與其使用目的應當相關并在某種程度上為這些目的所必須;數據應當是準確、完整和及時的 |
| 目的說明原則 |
采集數據前應說明采集數據的目的,使用應限于采集數據的目的范圍內;如果使用不同,則需要提出說明。 |
| 限制使用原則 |
不得主動或被動披露個人數據或將個人數據用于與目的說明原則不兼容的其他目的,除非得到授權 |
| 安全性原則 |
應采取合理的安全措施對個人數據加以保護。 |
| 公開性原則 |
個人數據的開發、實踐和政策應當公開。 |
| 個人參與原則 |
個人有訪問權、參與權、異議權、修改刪除權 |
| 責任擔當原則 |
數據控制者要落實具體措施的實施 |
從上述三表可以看出,無論是歐盟、美國還是經合組織(OECD),它們規定的原則由于相互借鑒、相互吸收,內容開始趨同,都在采集環節、使用環節、加工環節都做了限制規定,都要求數據要公開透明,數據主體享有個人信息權利等。
(三)個人信息保護基本原則的深入發展:21世紀初
21世紀開始,隨著科學技術的迅猛發展,物聯網、人工智能、云計算等新興技術的出現和發展帶動了個人信息的爆發性交流和傳播,數據逐漸成為互聯網公司的核心競爭力。因此20世紀80年代至90年代關于個人信息保護基本原則的內涵已經無法滿足現代社會的需要,基本原則又經歷了一次更為深入的發展。2010年經合組織(OECD)對1980年的《經合組織指南》進行了新一輪的修訂,在規范文件中引入了“國家隱私戰略”“隱私管理計劃”“公眾教育”和“數據泄露通知”等加強個人數據保護的新舉措;
[⑦]2016年歐盟對《歐盟指令》進行了修改,通過了新的《歐盟條例》,具體細化了“本人同意”的內涵,同時對數據采集實行“最小必要原則”做進一步的明確,并增加個人對數據的“可攜帶”,強化了“刪除權”和“反對權”的內容。
[⑧]
新的《經合組織指南》和《歐盟條例》實際上并沒有大幅刪除之前的規范文件規定,只是在前期的文件中增加和強化了個人信息保護的內容。可以看出,20世紀80-90年代的個人信息保護基本原則是對20世紀70年代的吸收和補充,21世紀初個人信息保護基本原則則是對20世紀80-90年代的強化,個人信息保護基本原則的演變歷程是不斷增加修正的過程,它一直在規范調整的道路上正確前行,并沒有出現大幅推翻重建的時候。
二、我國個人信息保護基本原則的理論建構
相較于歐美國家對于個人信息保護基本原則的發展,我國個人信息保護基本原則的理論建構實際上經歷了2000年-2010年的萌芽階段與2010年至今的發展階段。
(一)個人信息保護基本原則的萌芽:2000年-2010年
2000年-2010年是我國個人信息保護基本原則的萌芽階段,在這個時間段,我國開始意識到個人信息保護基本原則的重要性,并委托個人信息保護領域的專家周漢華教授著手制定《個人信息保護法》(專家意見稿)。當時雖還有類似齊愛民教授等人自發制定《個人信息保護法》民間版草案的行為,
[⑨]但其他學者的《個人信息保護法》由于未有政府的信用背書,沒有足夠的權威性。本文在萌芽階段主要援引的是周漢華教授于2005年發布的《個人信息保護法》(專家意見稿)。
周漢華教授的《個人信息保護法》(專家意見稿)吸收了歐美國家的個人信息保護基本原則的內容,同時也根據中國具體國情做了相應調整。例如,《個人信息保護法》(專家意見稿)參考國際做法,規定了權利保護原則、信息質量原則、信息安全原則等。但同時,《個人信息保護法》(專家意見稿)也有立足于本土實踐、具有中國特色的基本原則,例如利益平衡原則、職業義務原則等。
[⑩]《個人信息保護法》(專家意見稿)七大原則的內容詳見下表:
《個人信息保護法》(專家意見稿)七大原則
| 基本原則 |
具體內容 |
| 合法原則 |
對個人信息的處理符合本法規定 |
| 權利保護原則 |
信息主體有權要求信息控制者公開本人信息,有更正權和停止其適用權 |
| 利益平衡原則 |
個人信息的保護不得妨礙他人的權利和自由,不得損害國家利益和社會公共利益 |
| 信息質量原則 |
保證個人信息僅用于與收集目的相關的領域,保證個人信息的準確性、完整性和及時性 |
| 信息安全原則 |
數據控制者應采取必要保護措施,防止個人信息的泄露、丟失或者其他安全事故 |
| 職業義務原則 |
數據控制者負有保守秘密的職業義務 |
| 救濟原則 |
違反法律,信息主體有權提起復議、訴訟,要求賠償的權利 |
(二)個人信息保護基本原則的發展:2010年至今
如果說2000年-2010年個人信息保護基本原則還屬于專家論證的萌芽階段,那么2010年至今,我國法律已經開始正式規定原則的具體內容了,因此筆者將這一階段稱為:個人信息保護基本原則的發展階段。這一階段的法律規定主要有2012年全國人大常委會出臺的《關于加強網絡信息保護的決定》、2013年修訂的《消費者權益保護法》和2016年出臺的《網絡安全法》。
2012年全國人大常委會出臺的《關于加強網絡信息保護的決定》雖然只有12條,但是基本上規定了個人信息保護基本原則的主要內容,例如在采集、使用過程中應當遵循合法、正當、必要的原則;收集信息時應當得到收集者的同意;數據控制者應當遵循保密原則、信息安全原則,不得泄露、篡改、毀損,不得出售或者非法向他人提供個人信息,要采取技術措施和其他必要措施,確保信息安全等;同時還規定了個人權利原則,公民發現有個人信息泄露等問題時,都有權利向有關主管部門舉報、控告等。
2013年《消費者權益保護法》第14條明確規定消費者“享有個人信息依法得到保護的權利”,同時在第29條具體規定了消費者個人信息的保護內容。《消費者權益保護法》對個人信息保護基本原則的規定實際上參考并借鑒了《決定》的內容,因此規定的事項大致相同。例如《消費者權益保護法》第29條規定收集、使用消費者信息時,應當遵循合法、正當、必要的原則;收集信息時應當得到消費者的同意;信息的收集要公開透明;經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得泄露、出售或者非法向他人提供。經營者應當采取技術措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時,應當立即采取補救措施等。
與《消費者權益保護法》僅設置分散式條款規定個人信息保護基本原則不同的是,2016年《網絡安全法》設置了“網絡信息安全”的專門章節規范個人信息保護。在這一章節中,《網絡安全法》同樣規定了諸多個人信息保護基本原則,例如保密原則、個人權利原則、信息安全原則等,仔細觀察會發現,《網絡安全法》規定的內容基本上也是沿襲了《關于加強網絡信息保護的決定》、《消費者權益保護法》的內容,除了《網絡安全法》正式明確了最少必要規定外,并未有更大的變化。
縱觀上述三份法律文件的內容可以發現,我國對于個人信息保護基本原則的規定已經落實到具體的成文法內容當中,并且法律位階并不低;同時,我國關于個人信息保護基本原則的大致內容基本上能和國際對軌,參考借鑒了國際上個人信息保護基本原則的核心內容;三份法律文件在各自的規范領域分別規定了個人信息保護基本原則的內容,內容之間并無大的出入,個人信息保護基本原則固定為大致幾大原則。
三、我國個人信息保護基本原則的實踐情況
我國已經在理論建構層面規定了個人信息保護的幾大原則,那么個人信息保護基本原則在實踐中的運用情況如何呢?筆者經過研究發現,由于原則本身過于抽象,它缺少精準治理和穩定的功能,導致我國個人信息保護基本原則的實踐情況不盡如人意。筆者將我國的個人信息保護基本原則大致歸納為信息安全原則、個人權利原則、公開透明原則、限制處理原則和信息質量原則等五大原則。實務中發現該五大原則均有被突破的風險。
(一)信息安全原則
在信息安全原則下,數據控制者本應采取必要保護措施,防止個人信息的泄露、丟失或者其他安全事故。然而實務中發現,有些數據控制者所采取的安全措施不足以保障用戶信息安全,以致用戶信息很容易被泄露、竊取。例如2016年央視“315晚會”曝光公共免費無線網絡(WIFI)突破手機防御系統,收集手機信息的問題;
[11]同時部分信息控制者的互聯網運營平臺缺乏完善的內控制度和操作流程保障,導致內部工作人員對用戶信息監守自盜或造成用戶信息的遺失。例如2012年央視“315晚會”曝光招商銀行、工商銀行工作人員利用職務之便泄露銀行卡號和征信報告;
[12]此外,互聯網企業的系統和網頁漏洞廣泛存在容易導致個人信息的泄露。例如國內鐵路客運訂票網站12306就曾爆出大量用戶數據泄露的事件,還有知名酒店網站因存在技術漏洞,導致房客大量信息流失的事件。
[13]
(二)個人權利原則
在個人權利原則下,數據主體本應擁有訪問權、知情權、糾錯權和刪除權等廣泛的個人信息權利。然而目前,中國的數據用戶并未能享有廣泛的個人信息權利。例如,有些互聯網企業拒絕讓用戶查詢網站收集到的用戶個人信息或者只提供部分信息,即使打電話向客服查詢,也難以查詢到相關的個人信息。同時,有些網站的個人信息無法更正,也未提供申訴渠道,甚至未設置用戶的退出機制,即使用戶注銷到該網站或者APP的個人信息,用戶在網站或者APP上留下的痕跡和數據,如社交網站上的照片、狀態、聊天記錄等也無法刪除。
(三)公開透明原則
在公開透明原則下,個人信息的收集、使用、加工和開發,數據控制者身份、采集或處理信息的目的及其他的必要信息本應公開透明,然而我國的個人信息仍處于不公開不透明的狀態。例如,有些互聯網企業故意將隱私政策放置在網站不起眼的位置,或者故意用繁瑣冗長且字體細小的隱私政策,讓用戶失去閱讀的興趣和能力,并且在隱私權條款中夾雜對用戶個人信息保護不利的條款,難以讓用戶發現;同時,有些互聯網企業利用cookies(小型文本文件)技術在用戶不知情的情況下收集個人信息。2013年央視“315晚會”就曝光易傳媒等多家網絡廣告公司利用瀏覽器第三方cookies跟蹤用戶;
[14]還有些互聯網企業在用戶不知情的情況下利用用戶已經安裝的應用程序收集用戶的信息,例如2014年央視“315晚會”就曝光鼎開等公司向智能手機植入惡意程序等問題。
[15]
(四)限制處理原則
在限制處理原則下,數據控制者本應在數據的采集、使用和加工等環節都應受到一定的限制,例如收集的信息要合法、正當、必要,信息的訪問和使用必須與信息采集的目的一致,未經授權不可改變信息的使用目的。然而實踐中發現,大量的數據控制者對個人信息的采集超出了服務目的所需范圍。越權收集、無權收集個人信息的現象嚴重;同時,數據控制者常將收集的個人信息用于提供服務之外的其他目的、如用于廣告營銷、與第三方分享甚至出賣個人信息。2012年央視“315晚會”就曝光了上海羅維鄧白氏公司從各個渠道非法獲取個人信息,再低價專賣的情況;
[16]此外,數據控制者還經常將不同來源的用戶信息加以處理以形成新的個人信息,為公司謀利。
(五)信息質量原則
在信息質量原則下,數據控制者本應保證個人信息僅用于與收集目的相關的領域,保證個人信息的準確性、完整性和及時性。然而在實務中發現,由于技術的不完善或者數據控制者不愿投入精力維護個人信息的準確、完整和及時,數據主體的部分信息并不準確、完整,影響了數據主體個人權利的行使,甚至影響個人名譽。例如,在鄭州市中原區人民法院(2014)中民一初字第799號民事判決中,原告劉某在辦理銀行貸款業務時發現自己的征信信息出現了不良貸款的記錄,該不良記錄最終導致了銀行終止為其辦理業務。原告后來才得知個人信息被銀行誤載的緣故導致征信報告失實,然而木已成舟,該不完整、準確的個人信息最終仍影響了其貸款業務。
四、個人信息保護基本原則小結
從上述國際上個人信息保護基本原則的演變歷程,以及我國個人信息保護的理論建構可以看出,個人信息保護應采用哪些原則已經形成了國際社會的普遍共識。歸納歐盟、美國和中國的基本原則會發現,大致的個人信息保護基本原則主要有以下幾類:首先,在個人信息的采集和使用環節,要求采集、使用的目的要特定、明確、合法正當,取得的方式應遵循最小必要原則,同時取得個人信息要經過信息主體的同意,加工、使用的信息如果不符合采集時的目的時,還應另外取得信息主體的同意。其次,在整體環節上,即無論是采集環節、使用環節還是加工環節,都應該確保個人信息的公開、透明;再次,針對信息本身,要求信息要完整、及時和準確,要采取適當的技術和制定,以確保個人信息不會泄露;再次,應賦予信息主體相應的個人權利,例如訪問權、修改權、刪除權、可攜帶權、異議權等;最后,如果個人信息確實存在泄露情況,應設置完善的救濟措施,例如申訴、訴訟、賠償等機制。
除了個人信息保護的基本原則具有國際上的共識外,從上述論述還能看出,個人信息保護基本原則的內涵隨著技術的發展而不斷被賦予新的內涵,強化或者細化原則的具體內容,例如國際上個人信息保護基本原則歷經了提出、發展和深入發展的歷程,我國個人信息保護基本原則經歷了萌芽和發展;同時也可以看出,歐美等國家的個人信息保護的基本原則的內涵在縱深發展,對基本原則的認識在不斷深入,而我國對基本原則的認識還較不成熟;同時基本原則為個人信息保護的整體架構提供了理論指引,它們的作用貫穿信息保護法的始末,但由于原則的規范密度較為粗糙,仍需要運用規則做更為精細地規范和治理。
[①] [美]托克音頓著,馮建妹等譯.美國隱私法:學說,判例與立法[M].北京:中國民主法制出版社,2004.
[②] [美]托克音頓著,馮建妹等譯.美國隱私法:學說,判例與立法[M].北京:中國民主法制出版社,2004.
[③] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.
[④] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.
[⑤] 明俊譯.個人數據保護:歐盟指令及成員國法律、經合組織指導方針[M].北京:法律出版社,2006.
[⑥] 明俊譯.個人數據保護:歐盟指令及成員國法律、經合組織指導方針[M].北京:法律出版社,2006.
[⑦] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.
[⑧] 京東法律研究院.歐盟數據憲章:《一般數據保護條例》GDPR評述及實務指引[M].北京:法律出版社,2018.
[⑨] 齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學, 2005,(6):2-5.
[⑩] 周漢華. 中華人民共和國個人信息保護法(專家建議稿)及立法研究報告[M].北京:法律出版社,2006.
[13] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.
