近年来,随着欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的正式实施,隐私保护和数据合规引起全球广泛关注。今年两会人大代表呼吁加快个人信息保护的立法进程,又把个人信息保护议题再度炒热。基于国内外环境的思考,笔者认为,隐私保护和数据合规将成为法律行业的蓝海市场。目前,市面上隐私保护和数据合规的文章不少,但大多追随热点,分散式、片段式文章较多,系统性、全局性文章很少。基于此种思考进路,笔者打算在今后一段时间,通过系统梳理各个国家或地区的隐私保护和数据合规情况,陆续推出各个国家或地区个人信息保护情况的文章,旨在为对隐私保护和数据合规有需求的个人或企业提供帮助。
基本原则是指导各个国家或地区制定个人信息保护法的纲领性资源,它的作用贯穿个人信息保护法的始末。因此,笔者认为,在系统梳理各个国家或地区隐私保护和数据合规情况之前,有必要先对个人信息保护基本原则进行系统梳理,在了解个人信息保护基本原则的基础上,才能对各国或地区的个人信息保护有更深刻的理解。接下来,本文将重点梳理国内外个人信息保护基本原则的演变历程,归纳个人信息保护的基本原则及其内涵,并分析国内个人信息保护基本原则的实践情况。
一、个人信息保护基本原则的演变历程
(一)个人信息保护基本原则的提出:20世纪70年代
在20世纪70年代,计算机技术的快速发展大大促进了信息的传播和交流,然而,信息的传播和交流同时也带来了信息的泄露和隐私的曝光。在发达国家,尤其在特别注重保护个人隐私的美国和欧洲,个人信息和隐私保护引起了民众的广泛关注。为了应对信息泄露的问题,美国和欧洲一些国家分别采取了对应的举措。例如,美国在20世纪70年代,分别下发了《公平信用报告法》、“‘修’(HEW)报告”、《联邦隐私法案》以及“隐私保护研究委员会研究报告”等;
[①]英国的隐私委员会则发布了“关于个人数据自动处理的安全建议”。这些早期的法案和研究报告较为系统地归纳和总结了个人信息保护的许多核心原则,这些原则对后来的个人信息保护立法产生了深远的影响。
在这些核心原则中,笔者从美国的相关法案和研究报告总结归纳出美国对个人信息保护的三个基本原则:公开透明原则、知情权原则、安全原则。
[②]具体内容如下表所示:
美国个人信息保护基本原则
| 基本原则 |
具体内容 |
| 公开透明原则 |
不允许存在秘密的个人数据系统 |
| 知情权 |
个人应该有渠道了解到系统中保存了本人的哪些信息以及信息如何被使用;有渠道防止为某个目的采集的个人信息在未经本人同意下用于另一目的;有渠道发现和纠正错误的个人信息 |
| 安全原则 |
机构要确保数据的使用目的可靠、并采取措施防止数据的不当使用 |
相较于同时期美国的基本原则,英国隐私委员会发布的基本原则显得更加全面和细致:除了有与美国类似的基本原则如个人权利原则、安全原则外,还有美国所未规定的基本原则,例如同意原则、目的性原则、技术保护原则等。
[③]具体内容详见下表:
英国个人信息保护基本原则
| 基本原则 |
具体内容 |
| 目的性原则 |
信息的访问和使用必须与信息采集的目的一致,未经授权不可改变信息的使用目的 |
| 同意原则 |
信息的采集和使用以及信息的使用目的的改变必须得到授权 |
| 最小必要原则 |
为某个目的所采集信息的种类和数量应当是达到该目的所最小必要的 |
| 技术保护原则 |
在为不需要识别个人身份的某些应用场景建立计算机系统时,应在系统设计和实现时就将身份信息和其他信息加以隔离 |
| 个人权利原则 |
应当采取具体措施确保个人享有关于本人信息的知情权、访问权、纠错权和及时更新信息的权利 |
| 安全原则 |
系统使用者应预先说明系统应当达到的安全防护水平,采取适当措施避免信息被误用或滥用,并应当建立检测系统、及时发现违反安全要求的问题 |
| 保存期限原则 |
预先确定信息可以保存的最长期限、超出此期限的信息不再继续保持 |
| 数据质量原则 |
应当确保数据准确并提供纠正错误和信息更新的机制 |
| 客观性原则 |
在信息中涉及价值判断应当格外谨慎 |
从上表可以看出,欧美国家早在20世纪70年代就开始设置个人信息保护的基本原则,双方的侧重点都更偏向于规定个人信息保护的公开透明,数据控制者要确保收集数据的安全,并赋予数据主体一定的个人权利。其中,美国基本原则的规定较为粗糙:例如没有在数据采集环节作出任何的限制规定,数据的采集也不需要数据主体的同意,对数据的质量也没有任何的要求。相较之下,英国这一时期对于个人信息保护基本原则的规定较为细致。
(二)个人信息保护基本原则的发展:20世纪80年代至90年代
随着科技水平的不断发展,欧美的个人信息保护基本原则也得到了新的发展。在20世纪80-90年代,美国在70年代提出的原则的基础上,提出了个人信息公平实践的八大原则;欧盟在1995年颁布《欧盟指令》,提出了新的七大原则;与此同时,经济合作与发展组织(简称经合组织,Organization for Economic Co-operation and Development,OECD)在1980年颁布《经合组织指南》,提出了个人数据保护的八大原则。
美国所谓的个人信息公平实践八大原则,主要指公开性原则、个人访问原则、个人参与原则、采集限制原则、使用限制原则、信息管理原则和责任担当原则。
[④]个人信息公平实践八大原则的提出弥补了70年代末美国法案及研究报告未对数据控制者作出限制规定的漏洞,同时细化了很多具体的内容。美国的个人信息公平实践八大原则详见下表:
美国的个人信息公平实践八大原则
| 基本原则 |
具体内容 |
| 公开性原则 |
不允许存在秘密的个人数据系统,并且应当公开各机构个人数据的管理政策、操作实践及系统 |
| 个人访问原则 |
个人应当有权利查看和复印个人数据保存机构保存的可识别本人身份的个人信息 |
| 个人参与原则 |
个人应当有权利修改和增补数据保存机构保存的关于本人的信息 |
| 采集限制原则 |
任何一个机构可以采集的个人信息的种类及采集方式要有所限制 |
| 使用限制原则 |
任何数据保存机构对个人数据的内部使用应当有所限制 |
| 披露限制原则 |
个人数据保存机构对外披露个人数据应当有所限制 |
| 信息管理原则 |
任何个人数据保存机构都应当制定合理、适当的信息管理政策和操作实践、以确保个人信息采集、存储、使用及对外提供的必要性和合法性,同时确保信息的准确性和及时性 |
| 责任担当原则 |
数据保存机构必须对个人数据的保存的政策、操作实践及系统负责 |
同时期的《欧盟指令》七大原则很大程度上也吸收了前期的经验,例如它在英国基本原则的基础上,增加了告知和事前检查原则、司法救济原则等新的原则。同时,针对每个原则都有具体细化规定,例如个人权利原则,具体列举了个人有访问权、修改权、删除权和反对权;在公平和合法原则上,要求数据要准确、及时,收集的目的要明确,收集的手段要最小必要等。
[⑤]《欧盟指令》的七大原则详见下表:
《欧盟指令》的七大原则
| 基本原则 |
具体内容 |
| 公平和合法原则 |
目的明确、数据的采集和处理目的最小必要、数据准确且更新及时;在五种特定清晰下才可以处理个人信息;原则上禁止采集个人敏感信息 |
| 公开透明原则 |
具体罗列须向数据主体告知的信息:数据控制者身份、采集或处理信息的目的;其他必要信息 |
| 个人权利原则 |
访问权、修改权、删除权、冻结权和反对权 |
| 数据保密和安全原则 |
数据控制者须采取适当的技术和制度措施保护个人数据,之后才可由选择数据处理商处理数据;数据控制者和数据处理商必须签订合同,合同须以书面形式加以明确 |
| 告知和事前检查原则 |
数据控制者在对数据进行处理前,除特殊情况外,必须告知监管部门;监管当局收到通知后,必须在数据处理开始前对其进行检查,同时进行数据登记 |
| 司法救济、法律责任和惩罚原则 |
如果数据主体的相关权利遭到破坏,数据主体可以请求司法救济。 |
| 例外原则 |
涉及国防安全;公共安全;犯罪获得预防;成员国或欧盟重要的经济和金融利益,可以不遵守个人数据保护原则中关于处理合法性、公开性以及数据主体对数据的访问权要求 |
除了美国和欧盟均有发展个人信息保护新的原则,并对原本的原则内容做了新的规定外,经合组织(OECD)在1980年颁布的《经合组织指南》直接规定了个人数据保护的八大原则,该原则很明显吸收借鉴了欧盟和美国相应的原则规定,因此具体的原则内容大同小异,万变不离其宗,例如都规定了采集限制性原则、数据质量原则、安全性原则、公开性原则等。
[⑥]经合组织个人数据保护的八大原则详见下表:
经合组织个人数据保护八大原则
| 基本原则 |
具体内容 |
| 采集限制性原则 |
应当限制个人数据采集,任何个人数据的采集必须通过合法正当的手段,但凡可能,应该得到数据主体的许可 |
| 数据质量原则 |
个人数据与其使用目的应当相关并在某种程度上为这些目的所必须;数据应当是准确、完整和及时的 |
| 目的说明原则 |
采集数据前应说明采集数据的目的,使用应限于采集数据的目的范围内;如果使用不同,则需要提出说明。 |
| 限制使用原则 |
不得主动或被动披露个人数据或将个人数据用于与目的说明原则不兼容的其他目的,除非得到授权 |
| 安全性原则 |
应采取合理的安全措施对个人数据加以保护。 |
| 公开性原则 |
个人数据的开发、实践和政策应当公开。 |
| 个人参与原则 |
个人有访问权、参与权、异议权、修改删除权 |
| 责任担当原则 |
数据控制者要落实具体措施的实施 |
从上述三表可以看出,无论是欧盟、美国还是经合组织(OECD),它们规定的原则由于相互借鉴、相互吸收,内容开始趋同,都在采集环节、使用环节、加工环节都做了限制规定,都要求数据要公开透明,数据主体享有个人信息权利等。
(三)个人信息保护基本原则的深入发展:21世纪初
21世纪开始,随着科学技术的迅猛发展,物联网、人工智能、云计算等新兴技术的出现和发展带动了个人信息的爆发性交流和传播,数据逐渐成为互联网公司的核心竞争力。因此20世纪80年代至90年代关于个人信息保护基本原则的内涵已经无法满足现代社会的需要,基本原则又经历了一次更为深入的发展。2010年经合组织(OECD)对1980年的《经合组织指南》进行了新一轮的修订,在规范文件中引入了“国家隐私战略”“隐私管理计划”“公众教育”和“数据泄露通知”等加强个人数据保护的新举措;
[⑦]2016年欧盟对《欧盟指令》进行了修改,通过了新的《欧盟条例》,具体细化了“本人同意”的内涵,同时对数据采集实行“最小必要原则”做进一步的明确,并增加个人对数据的“可携带”,强化了“删除权”和“反对权”的内容。
[⑧]
新的《经合组织指南》和《欧盟条例》实际上并没有大幅删除之前的规范文件规定,只是在前期的文件中增加和强化了个人信息保护的内容。可以看出,20世纪80-90年代的个人信息保护基本原则是对20世纪70年代的吸收和补充,21世纪初个人信息保护基本原则则是对20世纪80-90年代的强化,个人信息保护基本原则的演变历程是不断增加修正的过程,它一直在规范调整的道路上正确前行,并没有出现大幅推翻重建的时候。
二、我国个人信息保护基本原则的理论建构
相较于欧美国家对于个人信息保护基本原则的发展,我国个人信息保护基本原则的理论建构实际上经历了2000年-2010年的萌芽阶段与2010年至今的发展阶段。
(一)个人信息保护基本原则的萌芽:2000年-2010年
2000年-2010年是我国个人信息保护基本原则的萌芽阶段,在这个时间段,我国开始意识到个人信息保护基本原则的重要性,并委托个人信息保护领域的专家周汉华教授着手制定《个人信息保护法》(专家意见稿)。当时虽还有类似齐爱民教授等人自发制定《个人信息保护法》民间版草案的行为,
[⑨]但其他学者的《个人信息保护法》由于未有政府的信用背书,没有足够的权威性。本文在萌芽阶段主要援引的是周汉华教授于2005年发布的《个人信息保护法》(专家意见稿)。
周汉华教授的《个人信息保护法》(专家意见稿)吸收了欧美国家的个人信息保护基本原则的内容,同时也根据中国具体国情做了相应调整。例如,《个人信息保护法》(专家意见稿)参考国际做法,规定了权利保护原则、信息质量原则、信息安全原则等。但同时,《个人信息保护法》(专家意见稿)也有立足于本土实践、具有中国特色的基本原则,例如利益平衡原则、职业义务原则等。
[⑩]《个人信息保护法》(专家意见稿)七大原则的内容详见下表:
《个人信息保护法》(专家意见稿)七大原则
| 基本原则 |
具体内容 |
| 合法原则 |
对个人信息的处理符合本法规定 |
| 权利保护原则 |
信息主体有权要求信息控制者公开本人信息,有更正权和停止其适用权 |
| 利益平衡原则 |
个人信息的保护不得妨碍他人的权利和自由,不得损害国家利益和社会公共利益 |
| 信息质量原则 |
保证个人信息仅用于与收集目的相关的领域,保证个人信息的准确性、完整性和及时性 |
| 信息安全原则 |
数据控制者应采取必要保护措施,防止个人信息的泄露、丢失或者其他安全事故 |
| 职业义务原则 |
数据控制者负有保守秘密的职业义务 |
| 救济原则 |
违反法律,信息主体有权提起复议、诉讼,要求赔偿的权利 |
(二)个人信息保护基本原则的发展:2010年至今
如果说2000年-2010年个人信息保护基本原则还属于专家论证的萌芽阶段,那么2010年至今,我国法律已经开始正式规定原则的具体内容了,因此笔者将这一阶段称为:个人信息保护基本原则的发展阶段。这一阶段的法律规定主要有2012年全国人大常委会出台的《关于加强网络信息保护的决定》、2013年修订的《消费者权益保护法》和2016年出台的《网络安全法》。
2012年全国人大常委会出台的《关于加强网络信息保护的决定》虽然只有12条,但是基本上规定了个人信息保护基本原则的主要内容,例如在采集、使用过程中应当遵循合法、正当、必要的原则;收集信息时应当得到收集者的同意;数据控制者应当遵循保密原则、信息安全原则,不得泄露、篡改、毁损,不得出售或者非法向他人提供个人信息,要采取技术措施和其他必要措施,确保信息安全等;同时还规定了个人权利原则,公民发现有个人信息泄露等问题时,都有权利向有关主管部门举报、控告等。
2013年《消费者权益保护法》第14条明确规定消费者“享有个人信息依法得到保护的权利”,同时在第29条具体规定了消费者个人信息的保护内容。《消费者权益保护法》对个人信息保护基本原则的规定实际上参考并借鉴了《决定》的内容,因此规定的事项大致相同。例如《消费者权益保护法》第29条规定收集、使用消费者信息时,应当遵循合法、正当、必要的原则;收集信息时应当得到消费者的同意;信息的收集要公开透明;经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施等。
与《消费者权益保护法》仅设置分散式条款规定个人信息保护基本原则不同的是,2016年《网络安全法》设置了“网络信息安全”的专门章节规范个人信息保护。在这一章节中,《网络安全法》同样规定了诸多个人信息保护基本原则,例如保密原则、个人权利原则、信息安全原则等,仔细观察会发现,《网络安全法》规定的内容基本上也是沿袭了《关于加强网络信息保护的决定》、《消费者权益保护法》的内容,除了《网络安全法》正式明确了最少必要规定外,并未有更大的变化。
纵观上述三份法律文件的内容可以发现,我国对于个人信息保护基本原则的规定已经落实到具体的成文法内容当中,并且法律位阶并不低;同时,我国关于个人信息保护基本原则的大致内容基本上能和国际对轨,参考借鉴了国际上个人信息保护基本原则的核心内容;三份法律文件在各自的规范领域分别规定了个人信息保护基本原则的内容,内容之间并无大的出入,个人信息保护基本原则固定为大致几大原则。
三、我国个人信息保护基本原则的实践情况
我国已经在理论建构层面规定了个人信息保护的几大原则,那么个人信息保护基本原则在实践中的运用情况如何呢?笔者经过研究发现,由于原则本身过于抽象,它缺少精准治理和稳定的功能,导致我国个人信息保护基本原则的实践情况不尽如人意。笔者将我国的个人信息保护基本原则大致归纳为信息安全原则、个人权利原则、公开透明原则、限制处理原则和信息质量原则等五大原则。实务中发现该五大原则均有被突破的风险。
(一)信息安全原则
在信息安全原则下,数据控制者本应采取必要保护措施,防止个人信息的泄露、丢失或者其他安全事故。然而实务中发现,有些数据控制者所采取的安全措施不足以保障用户信息安全,以致用户信息很容易被泄露、窃取。例如2016年央视“315晚会”曝光公共免费无线网络(WIFI)突破手机防御系统,收集手机信息的问题;
[11]同时部分信息控制者的互联网运营平台缺乏完善的内控制度和操作流程保障,导致内部工作人员对用户信息监守自盗或造成用户信息的遗失。例如2012年央视“315晚会”曝光招商银行、工商银行工作人员利用职务之便泄露银行卡号和征信报告;
[12]此外,互联网企业的系统和网页漏洞广泛存在容易导致个人信息的泄露。例如国内铁路客运订票网站12306就曾爆出大量用户数据泄露的事件,还有知名酒店网站因存在技术漏洞,导致房客大量信息流失的事件。
[13]
(二)个人权利原则
在个人权利原则下,数据主体本应拥有访问权、知情权、纠错权和删除权等广泛的个人信息权利。然而目前,中国的数据用户并未能享有广泛的个人信息权利。例如,有些互联网企业拒绝让用户查询网站收集到的用户个人信息或者只提供部分信息,即使打电话向客服查询,也难以查询到相关的个人信息。同时,有些网站的个人信息无法更正,也未提供申诉渠道,甚至未设置用户的退出机制,即使用户注销到该网站或者APP的个人信息,用户在网站或者APP上留下的痕迹和数据,如社交网站上的照片、状态、聊天记录等也无法删除。
(三)公开透明原则
在公开透明原则下,个人信息的收集、使用、加工和开发,数据控制者身份、采集或处理信息的目的及其他的必要信息本应公开透明,然而我国的个人信息仍处于不公开不透明的状态。例如,有些互联网企业故意将隐私政策放置在网站不起眼的位置,或者故意用繁琐冗长且字体细小的隐私政策,让用户失去阅读的兴趣和能力,并且在隐私权条款中夹杂对用户个人信息保护不利的条款,难以让用户发现;同时,有些互联网企业利用cookies(小型文本文件)技术在用户不知情的情况下收集个人信息。2013年央视“315晚会”就曝光易传媒等多家网络广告公司利用浏览器第三方cookies跟踪用户;
[14]还有些互联网企业在用户不知情的情况下利用用户已经安装的应用程序收集用户的信息,例如2014年央视“315晚会”就曝光鼎开等公司向智能手机植入恶意程序等问题。
[15]
(四)限制处理原则
在限制处理原则下,数据控制者本应在数据的采集、使用和加工等环节都应受到一定的限制,例如收集的信息要合法、正当、必要,信息的访问和使用必须与信息采集的目的一致,未经授权不可改变信息的使用目的。然而实践中发现,大量的数据控制者对个人信息的采集超出了服务目的所需范围。越权收集、无权收集个人信息的现象严重;同时,数据控制者常将收集的个人信息用于提供服务之外的其他目的、如用于广告营销、与第三方分享甚至出卖个人信息。2012年央视“315晚会”就曝光了上海罗维邓白氏公司从各个渠道非法获取个人信息,再低价专卖的情况;
[16]此外,数据控制者还经常将不同来源的用户信息加以处理以形成新的个人信息,为公司谋利。
(五)信息质量原则
在信息质量原则下,数据控制者本应保证个人信息仅用于与收集目的相关的领域,保证个人信息的准确性、完整性和及时性。然而在实务中发现,由于技术的不完善或者数据控制者不愿投入精力维护个人信息的准确、完整和及时,数据主体的部分信息并不准确、完整,影响了数据主体个人权利的行使,甚至影响个人名誉。例如,在郑州市中原区人民法院(2014)中民一初字第799号民事判决中,原告刘某在办理银行贷款业务时发现自己的征信信息出现了不良贷款的记录,该不良记录最终导致了银行终止为其办理业务。原告后来才得知个人信息被银行误载的缘故导致征信报告失实,然而木已成舟,该不完整、准确的个人信息最终仍影响了其贷款业务。
四、个人信息保护基本原则小结
从上述国际上个人信息保护基本原则的演变历程,以及我国个人信息保护的理论建构可以看出,个人信息保护应采用哪些原则已经形成了国际社会的普遍共识。归纳欧盟、美国和中国的基本原则会发现,大致的个人信息保护基本原则主要有以下几类:首先,在个人信息的采集和使用环节,要求采集、使用的目的要特定、明确、合法正当,取得的方式应遵循最小必要原则,同时取得个人信息要经过信息主体的同意,加工、使用的信息如果不符合采集时的目的时,还应另外取得信息主体的同意。其次,在整体环节上,即无论是采集环节、使用环节还是加工环节,都应该确保个人信息的公开、透明;再次,针对信息本身,要求信息要完整、及时和准确,要采取适当的技术和制定,以确保个人信息不会泄露;再次,应赋予信息主体相应的个人权利,例如访问权、修改权、删除权、可携带权、异议权等;最后,如果个人信息确实存在泄露情况,应设置完善的救济措施,例如申诉、诉讼、赔偿等机制。
除了个人信息保护的基本原则具有国际上的共识外,从上述论述还能看出,个人信息保护基本原则的内涵随着技术的发展而不断被赋予新的内涵,强化或者细化原则的具体内容,例如国际上个人信息保护基本原则历经了提出、发展和深入发展的历程,我国个人信息保护基本原则经历了萌芽和发展;同时也可以看出,欧美等国家的个人信息保护的基本原则的内涵在纵深发展,对基本原则的认识在不断深入,而我国对基本原则的认识还较不成熟;同时基本原则为个人信息保护的整体架构提供了理论指引,它们的作用贯穿信息保护法的始末,但由于原则的规范密度较为粗糙,仍需要运用规则做更为精细地规范和治理。
[①] [美]托克音顿著,冯建妹等译.美国隐私法:学说,判例与立法[M].北京:中国民主法制出版社,2004.
[②] [美]托克音顿著,冯建妹等译.美国隐私法:学说,判例与立法[M].北京:中国民主法制出版社,2004.
[③] 个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.
[④] 个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.
[⑤] 明俊译.个人数据保护:欧盟指令及成员国法律、经合组织指导方针[M].北京:法律出版社,2006.
[⑥] 明俊译.个人数据保护:欧盟指令及成员国法律、经合组织指导方针[M].北京:法律出版社,2006.
[⑦] 个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.
[⑧] 京东法律研究院.欧盟数据宪章:《一般数据保护条例》GDPR评述及实务指引[M].北京:法律出版社,2018.
[⑨] 齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学, 2005,(6):2-5.
[⑩] 周汉华. 中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
[13] 个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.
