国产精品久久久久影院色老大,TVXXX一区二区三区高潮片,国产精品久久一区二区三区影音先锋,久久日本三级香港三级,国产成人精品久久一区,国内精品一区二区三区香蕉,日韩精品一区二区三区在线观看,一区二区三区精品道,日本爽快片18禁片免费久久,一本一道久久综合狠狠老

近年來，隨著歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）的正式實施，隱私保護(hù)和數(shù)據(jù)合規(guī)引起全球廣泛關(guān)注。今年兩會人大代表呼吁加快個人信息保護(hù)的立法進(jìn)程，又把個人信息保護(hù)議題再度炒熱?；趪鴥?nèi)外環(huán)境的思考，筆者認(rèn)為，隱私保護(hù)和數(shù)據(jù)合規(guī)將成為法律行業(yè)的藍(lán)海市場。目前，市面上隱私保護(hù)和數(shù)據(jù)合規(guī)的文章不少，但大多追隨熱點，分散式、片段式文章較多，系統(tǒng)性、全局性文章很少?；诖朔N思考進(jìn)路，筆者打算在今后一段時間，通過系統(tǒng)梳理各個國家或地區(qū)的隱私保護(hù)和數(shù)據(jù)合規(guī)情況，陸續(xù)推出各個國家或地區(qū)個人信息保護(hù)情況的文章，旨在為對隱私保護(hù)和數(shù)據(jù)合規(guī)有需求的個人或企業(yè)提供幫助。

基本原則是指導(dǎo)各個國家或地區(qū)制定個人信息保護(hù)法的綱領(lǐng)性資源，它的作用貫穿個人信息保護(hù)法的始末。因此，筆者認(rèn)為，在系統(tǒng)梳理各個國家或地區(qū)隱私保護(hù)和數(shù)據(jù)合規(guī)情況之前，有必要先對個人信息保護(hù)基本原則進(jìn)行系統(tǒng)梳理，在了解個人信息保護(hù)基本原則的基礎(chǔ)上，才能對各國或地區(qū)的個人信息保護(hù)有更深刻的理解。接下來，本文將重點梳理國內(nèi)外個人信息保護(hù)基本原則的演變歷程，歸納個人信息保護(hù)的基本原則及其內(nèi)涵，并分析國內(nèi)個人信息保護(hù)基本原則的實踐情況。

一、個人信息保護(hù)基本原則的演變歷程

（一）個人信息保護(hù)基本原則的提出：20世紀(jì)70年代

在20世紀(jì)70年代，計算機技術(shù)的快速發(fā)展大大促進(jìn)了信息的傳播和交流，然而，信息的傳播和交流同時也帶來了信息的泄露和隱私的曝光。在發(fā)達(dá)國家，尤其在特別注重保護(hù)個人隱私的美國和歐洲，個人信息和隱私保護(hù)引起了民眾的廣泛關(guān)注。為了應(yīng)對信息泄露的問題，美國和歐洲一些國家分別采取了對應(yīng)的舉措。例如，美國在20世紀(jì)70年代，分別下發(fā)了《公平信用報告法》、“‘修’（HEW）報告”、《聯(lián)邦隱私法案》以及“隱私保護(hù)研究委員會研究報告”等；[①]英國的隱私委員會則發(fā)布了“關(guān)于個人數(shù)據(jù)自動處理的安全建議”。這些早期的法案和研究報告較為系統(tǒng)地歸納和總結(jié)了個人信息保護(hù)的許多核心原則，這些原則對后來的個人信息保護(hù)立法產(chǎn)生了深遠(yuǎn)的影響。

在這些核心原則中，筆者從美國的相關(guān)法案和研究報告總結(jié)歸納出美國對個人信息保護(hù)的三個基本原則：公開透明原則、知情權(quán)原則、安全原則。[②]具體內(nèi)容如下表所示：

美國個人信息保護(hù)基本原則

基本原則	具體內(nèi)容
公開透明原則	不允許存在秘密的個人數(shù)據(jù)系統(tǒng)
知情權(quán)	個人應(yīng)該有渠道了解到系統(tǒng)中保存了本人的哪些信息以及信息如何被使用；有渠道防止為某個目的采集的個人信息在未經(jīng)本人同意下用于另一目的；有渠道發(fā)現(xiàn)和糾正錯誤的個人信息
安全原則	機構(gòu)要確保數(shù)據(jù)的使用目的可靠、并采取措施防止數(shù)據(jù)的不當(dāng)使用

 
相較于同時期美國的基本原則，英國隱私委員會發(fā)布的基本原則顯得更加全面和細(xì)致：除了有與美國類似的基本原則如個人權(quán)利原則、安全原則外，還有美國所未規(guī)定的基本原則，例如同意原則、目的性原則、技術(shù)保護(hù)原則等。[③]具體內(nèi)容詳見下表：

英國個人信息保護(hù)基本原則

基本原則	具體內(nèi)容
目的性原則	信息的訪問和使用必須與信息采集的目的一致，未經(jīng)授權(quán)不可改變信息的使用目的
同意原則	信息的采集和使用以及信息的使用目的的改變必須得到授權(quán)
最小必要原則	為某個目的所采集信息的種類和數(shù)量應(yīng)當(dāng)是達(dá)到該目的所最小必要的
技術(shù)保護(hù)原則	在為不需要識別個人身份的某些應(yīng)用場景建立計算機系統(tǒng)時，應(yīng)在系統(tǒng)設(shè)計和實現(xiàn)時就將身份信息和其他信息加以隔離
個人權(quán)利原則	應(yīng)當(dāng)采取具體措施確保個人享有關(guān)于本人信息的知情權(quán)、訪問權(quán)、糾錯權(quán)和及時更新信息的權(quán)利
安全原則	系統(tǒng)使用者應(yīng)預(yù)先說明系統(tǒng)應(yīng)當(dāng)達(dá)到的安全防護(hù)水平，采取適當(dāng)措施避免信息被誤用或濫用，并應(yīng)當(dāng)建立檢測系統(tǒng)、及時發(fā)現(xiàn)違反安全要求的問題
保存期限原則	預(yù)先確定信息可以保存的最長期限、超出此期限的信息不再繼續(xù)保持
數(shù)據(jù)質(zhì)量原則	應(yīng)當(dāng)確保數(shù)據(jù)準(zhǔn)確并提供糾正錯誤和信息更新的機制
客觀性原則	在信息中涉及價值判斷應(yīng)當(dāng)格外謹(jǐn)慎

從上表可以看出，歐美國家早在20世紀(jì)70年代就開始設(shè)置個人信息保護(hù)的基本原則，雙方的側(cè)重點都更偏向于規(guī)定個人信息保護(hù)的公開透明，數(shù)據(jù)控制者要確保收集數(shù)據(jù)的安全，并賦予數(shù)據(jù)主體一定的個人權(quán)利。其中，美國基本原則的規(guī)定較為粗糙：例如沒有在數(shù)據(jù)采集環(huán)節(jié)作出任何的限制規(guī)定，數(shù)據(jù)的采集也不需要數(shù)據(jù)主體的同意，對數(shù)據(jù)的質(zhì)量也沒有任何的要求。相較之下，英國這一時期對于個人信息保護(hù)基本原則的規(guī)定較為細(xì)致。

（二）個人信息保護(hù)基本原則的發(fā)展：20世紀(jì)80年代至90年代

隨著科技水平的不斷發(fā)展，歐美的個人信息保護(hù)基本原則也得到了新的發(fā)展。在20世紀(jì)80－90年代，美國在70年代提出的原則的基礎(chǔ)上，提出了個人信息公平實踐的八大原則；歐盟在1995年頒布《歐盟指令》，提出了新的七大原則；與此同時，經(jīng)濟(jì)合作與發(fā)展組織（簡稱經(jīng)合組織，Organization for Economic Co-operation and Development，OECD）在1980年頒布《經(jīng)合組織指南》，提出了個人數(shù)據(jù)保護(hù)的八大原則。

美國所謂的個人信息公平實踐八大原則，主要指公開性原則、個人訪問原則、個人參與原則、采集限制原則、使用限制原則、信息管理原則和責(zé)任擔(dān)當(dāng)原則。[④]個人信息公平實踐八大原則的提出彌補了70年代末美國法案及研究報告未對數(shù)據(jù)控制者作出限制規(guī)定的漏洞，同時細(xì)化了很多具體的內(nèi)容。美國的個人信息公平實踐八大原則詳見下表：

美國的個人信息公平實踐八大原則

基本原則	具體內(nèi)容
公開性原則	不允許存在秘密的個人數(shù)據(jù)系統(tǒng)，并且應(yīng)當(dāng)公開各機構(gòu)個人數(shù)據(jù)的管理政策、操作實踐及系統(tǒng)
個人訪問原則	個人應(yīng)當(dāng)有權(quán)利查看和復(fù)印個人數(shù)據(jù)保存機構(gòu)保存的可識別本人身份的個人信息
個人參與原則	個人應(yīng)當(dāng)有權(quán)利修改和增補數(shù)據(jù)保存機構(gòu)保存的關(guān)于本人的信息
采集限制原則	任何一個機構(gòu)可以采集的個人信息的種類及采集方式要有所限制
使用限制原則	任何數(shù)據(jù)保存機構(gòu)對個人數(shù)據(jù)的內(nèi)部使用應(yīng)當(dāng)有所限制
披露限制原則	個人數(shù)據(jù)保存機構(gòu)對外披露個人數(shù)據(jù)應(yīng)當(dāng)有所限制
信息管理原則	任何個人數(shù)據(jù)保存機構(gòu)都應(yīng)當(dāng)制定合理、適當(dāng)?shù)男畔⒐芾碚吆筒僮鲗嵺`、以確保個人信息采集、存儲、使用及對外提供的必要性和合法性，同時確保信息的準(zhǔn)確性和及時性
責(zé)任擔(dān)當(dāng)原則	數(shù)據(jù)保存機構(gòu)必須對個人數(shù)據(jù)的保存的政策、操作實踐及系統(tǒng)負(fù)責(zé)

同時期的《歐盟指令》七大原則很大程度上也吸收了前期的經(jīng)驗，例如它在英國基本原則的基礎(chǔ)上，增加了告知和事前檢查原則、司法救濟(jì)原則等新的原則。同時，針對每個原則都有具體細(xì)化規(guī)定，例如個人權(quán)利原則，具體列舉了個人有訪問權(quán)、修改權(quán)、刪除權(quán)和反對權(quán)；在公平和合法原則上，要求數(shù)據(jù)要準(zhǔn)確、及時，收集的目的要明確，收集的手段要最小必要等。[⑤]《歐盟指令》的七大原則詳見下表：
 
《歐盟指令》的七大原則

基本原則	具體內(nèi)容
公平和合法原則	目的明確、數(shù)據(jù)的采集和處理目的最小必要、數(shù)據(jù)準(zhǔn)確且更新及時；在五種特定清晰下才可以處理個人信息；原則上禁止采集個人敏感信息
公開透明原則	具體羅列須向數(shù)據(jù)主體告知的信息：數(shù)據(jù)控制者身份、采集或處理信息的目的；其他必要信息
個人權(quán)利原則	訪問權(quán)、修改權(quán)、刪除權(quán)、凍結(jié)權(quán)和反對權(quán)
數(shù)據(jù)保密和安全原則	數(shù)據(jù)控制者須采取適當(dāng)?shù)募夹g(shù)和制度措施保護(hù)個人數(shù)據(jù)，之后才可由選擇數(shù)據(jù)處理商處理數(shù)據(jù)；數(shù)據(jù)控制者和數(shù)據(jù)處理商必須簽訂合同，合同須以書面形式加以明確
告知和事前檢查原則	數(shù)據(jù)控制者在對數(shù)據(jù)進(jìn)行處理前，除特殊情況外，必須告知監(jiān)管部門；監(jiān)管當(dāng)局收到通知后，必須在數(shù)據(jù)處理開始前對其進(jìn)行檢查，同時進(jìn)行數(shù)據(jù)登記
司法救濟(jì)、法律責(zé)任和懲罰原則	如果數(shù)據(jù)主體的相關(guān)權(quán)利遭到破壞，數(shù)據(jù)主體可以請求司法救濟(jì)。
例外原則	涉及國防安全；公共安全；犯罪獲得預(yù)防；成員國或歐盟重要的經(jīng)濟(jì)和金融利益，可以不遵守個人數(shù)據(jù)保護(hù)原則中關(guān)于處理合法性、公開性以及數(shù)據(jù)主體對數(shù)據(jù)的訪問權(quán)要求

除了美國和歐盟均有發(fā)展個人信息保護(hù)新的原則，并對原本的原則內(nèi)容做了新的規(guī)定外，經(jīng)合組織（OECD）在1980年頒布的《經(jīng)合組織指南》直接規(guī)定了個人數(shù)據(jù)保護(hù)的八大原則，該原則很明顯吸收借鑒了歐盟和美國相應(yīng)的原則規(guī)定，因此具體的原則內(nèi)容大同小異，萬變不離其宗，例如都規(guī)定了采集限制性原則、數(shù)據(jù)質(zhì)量原則、安全性原則、公開性原則等。[⑥]經(jīng)合組織個人數(shù)據(jù)保護(hù)的八大原則詳見下表：

經(jīng)合組織個人數(shù)據(jù)保護(hù)八大原則

基本原則	具體內(nèi)容
采集限制性原則	應(yīng)當(dāng)限制個人數(shù)據(jù)采集，任何個人數(shù)據(jù)的采集必須通過合法正當(dāng)?shù)氖侄危部赡?，?yīng)該得到數(shù)據(jù)主體的許可
數(shù)據(jù)質(zhì)量原則	個人數(shù)據(jù)與其使用目的應(yīng)當(dāng)相關(guān)并在某種程度上為這些目的所必須；數(shù)據(jù)應(yīng)當(dāng)是準(zhǔn)確、完整和及時的
目的說明原則	采集數(shù)據(jù)前應(yīng)說明采集數(shù)據(jù)的目的，使用應(yīng)限于采集數(shù)據(jù)的目的范圍內(nèi)；如果使用不同，則需要提出說明。
限制使用原則	不得主動或被動披露個人數(shù)據(jù)或?qū)€人數(shù)據(jù)用于與目的說明原則不兼容的其他目的，除非得到授權(quán)
安全性原則	應(yīng)采取合理的安全措施對個人數(shù)據(jù)加以保護(hù)。
公開性原則	個人數(shù)據(jù)的開發(fā)、實踐和政策應(yīng)當(dāng)公開。
個人參與原則	個人有訪問權(quán)、參與權(quán)、異議權(quán)、修改刪除權(quán)
責(zé)任擔(dān)當(dāng)原則	數(shù)據(jù)控制者要落實具體措施的實施

從上述三表可以看出，無論是歐盟、美國還是經(jīng)合組織（OECD），它們規(guī)定的原則由于相互借鑒、相互吸收，內(nèi)容開始趨同，都在采集環(huán)節(jié)、使用環(huán)節(jié)、加工環(huán)節(jié)都做了限制規(guī)定，都要求數(shù)據(jù)要公開透明，數(shù)據(jù)主體享有個人信息權(quán)利等。

（三）個人信息保護(hù)基本原則的深入發(fā)展：21世紀(jì)初

21世紀(jì)開始，隨著科學(xué)技術(shù)的迅猛發(fā)展，物聯(lián)網(wǎng)、人工智能、云計算等新興技術(shù)的出現(xiàn)和發(fā)展帶動了個人信息的爆發(fā)性交流和傳播，數(shù)據(jù)逐漸成為互聯(lián)網(wǎng)公司的核心競爭力。因此20世紀(jì)80年代至90年代關(guān)于個人信息保護(hù)基本原則的內(nèi)涵已經(jīng)無法滿足現(xiàn)代社會的需要，基本原則又經(jīng)歷了一次更為深入的發(fā)展。2010年經(jīng)合組織（OECD）對1980年的《經(jīng)合組織指南》進(jìn)行了新一輪的修訂，在規(guī)范文件中引入了“國家隱私戰(zhàn)略”“隱私管理計劃”“公眾教育”和“數(shù)據(jù)泄露通知”等加強個人數(shù)據(jù)保護(hù)的新舉措；[⑦]2016年歐盟對《歐盟指令》進(jìn)行了修改，通過了新的《歐盟條例》，具體細(xì)化了“本人同意”的內(nèi)涵，同時對數(shù)據(jù)采集實行“最小必要原則”做進(jìn)一步的明確，并增加個人對數(shù)據(jù)的“可攜帶”，強化了“刪除權(quán)”和“反對權(quán)”的內(nèi)容。[⑧]

新的《經(jīng)合組織指南》和《歐盟條例》實際上并沒有大幅刪除之前的規(guī)范文件規(guī)定，只是在前期的文件中增加和強化了個人信息保護(hù)的內(nèi)容?？梢钥闯?，20世紀(jì)80－90年代的個人信息保護(hù)基本原則是對20世紀(jì)70年代的吸收和補充，21世紀(jì)初個人信息保護(hù)基本原則則是對20世紀(jì)80－90年代的強化，個人信息保護(hù)基本原則的演變歷程是不斷增加修正的過程，它一直在規(guī)范調(diào)整的道路上正確前行，并沒有出現(xiàn)大幅推翻重建的時候。

二、我國個人信息保護(hù)基本原則的理論建構(gòu)

相較于歐美國家對于個人信息保護(hù)基本原則的發(fā)展，我國個人信息保護(hù)基本原則的理論建構(gòu)實際上經(jīng)歷了2000年-2010年的萌芽階段與2010年至今的發(fā)展階段。

（一）個人信息保護(hù)基本原則的萌芽：2000年-2010年

2000年-2010年是我國個人信息保護(hù)基本原則的萌芽階段，在這個時間段，我國開始意識到個人信息保護(hù)基本原則的重要性，并委托個人信息保護(hù)領(lǐng)域的專家周漢華教授著手制定《個人信息保護(hù)法》（專家意見稿）。當(dāng)時雖還有類似齊愛民教授等人自發(fā)制定《個人信息保護(hù)法》民間版草案的行為，[⑨]但其他學(xué)者的《個人信息保護(hù)法》由于未有政府的信用背書，沒有足夠的權(quán)威性。本文在萌芽階段主要援引的是周漢華教授于2005年發(fā)布的《個人信息保護(hù)法》（專家意見稿）。

周漢華教授的《個人信息保護(hù)法》（專家意見稿）吸收了歐美國家的個人信息保護(hù)基本原則的內(nèi)容，同時也根據(jù)中國具體國情做了相應(yīng)調(diào)整。例如，《個人信息保護(hù)法》（專家意見稿）參考國際做法，規(guī)定了權(quán)利保護(hù)原則、信息質(zhì)量原則、信息安全原則等。但同時，《個人信息保護(hù)法》（專家意見稿）也有立足于本土實踐、具有中國特色的基本原則，例如利益平衡原則、職業(yè)義務(wù)原則等。[⑩]《個人信息保護(hù)法》（專家意見稿）七大原則的內(nèi)容詳見下表：

《個人信息保護(hù)法》（專家意見稿）七大原則

基本原則	具體內(nèi)容
合法原則	對個人信息的處理符合本法規(guī)定
權(quán)利保護(hù)原則	信息主體有權(quán)要求信息控制者公開本人信息，有更正權(quán)和停止其適用權(quán)
利益平衡原則	個人信息的保護(hù)不得妨礙他人的權(quán)利和自由，不得損害國家利益和社會公共利益
信息質(zhì)量原則	保證個人信息僅用于與收集目的相關(guān)的領(lǐng)域，保證個人信息的準(zhǔn)確性、完整性和及時性
信息安全原則	數(shù)據(jù)控制者應(yīng)采取必要保護(hù)措施，防止個人信息的泄露、丟失或者其他安全事故
職業(yè)義務(wù)原則	數(shù)據(jù)控制者負(fù)有保守秘密的職業(yè)義務(wù)
救濟(jì)原則	違反法律，信息主體有權(quán)提起復(fù)議、訴訟，要求賠償?shù)臋?quán)利

 
（二）個人信息保護(hù)基本原則的發(fā)展：2010年至今

如果說2000年-2010年個人信息保護(hù)基本原則還屬于專家論證的萌芽階段，那么2010年至今，我國法律已經(jīng)開始正式規(guī)定原則的具體內(nèi)容了，因此筆者將這一階段稱為：個人信息保護(hù)基本原則的發(fā)展階段。這一階段的法律規(guī)定主要有2012年全國人大常委會出臺的《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》、2013年修訂的《消費者權(quán)益保護(hù)法》和2016年出臺的《網(wǎng)絡(luò)安全法》。

2012年全國人大常委會出臺的《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》雖然只有12條，但是基本上規(guī)定了個人信息保護(hù)基本原則的主要內(nèi)容，例如在采集、使用過程中應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則；收集信息時應(yīng)當(dāng)?shù)玫绞占叩耐?；?shù)據(jù)控制者應(yīng)當(dāng)遵循保密原則、信息安全原則，不得泄露、篡改、毀損，不得出售或者非法向他人提供個人信息，要采取技術(shù)措施和其他必要措施，確保信息安全等；同時還規(guī)定了個人權(quán)利原則，公民發(fā)現(xiàn)有個人信息泄露等問題時，都有權(quán)利向有關(guān)主管部門舉報、控告等。

2013年《消費者權(quán)益保護(hù)法》第14條明確規(guī)定消費者“享有個人信息依法得到保護(hù)的權(quán)利”，同時在第29條具體規(guī)定了消費者個人信息的保護(hù)內(nèi)容。《消費者權(quán)益保護(hù)法》對個人信息保護(hù)基本原則的規(guī)定實際上參考并借鑒了《決定》的內(nèi)容，因此規(guī)定的事項大致相同。例如《消費者權(quán)益保護(hù)法》第29條規(guī)定收集、使用消費者信息時，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則；收集信息時應(yīng)當(dāng)?shù)玫较M者的同意；信息的收集要公開透明；經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當(dāng)立即采取補救措施等。

與《消費者權(quán)益保護(hù)法》僅設(shè)置分散式條款規(guī)定個人信息保護(hù)基本原則不同的是，2016年《網(wǎng)絡(luò)安全法》設(shè)置了“網(wǎng)絡(luò)信息安全”的專門章節(jié)規(guī)范個人信息保護(hù)。在這一章節(jié)中，《網(wǎng)絡(luò)安全法》同樣規(guī)定了諸多個人信息保護(hù)基本原則，例如保密原則、個人權(quán)利原則、信息安全原則等，仔細(xì)觀察會發(fā)現(xiàn)，《網(wǎng)絡(luò)安全法》規(guī)定的內(nèi)容基本上也是沿襲了《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》、《消費者權(quán)益保護(hù)法》的內(nèi)容，除了《網(wǎng)絡(luò)安全法》正式明確了最少必要規(guī)定外，并未有更大的變化。

縱觀上述三份法律文件的內(nèi)容可以發(fā)現(xiàn)，我國對于個人信息保護(hù)基本原則的規(guī)定已經(jīng)落實到具體的成文法內(nèi)容當(dāng)中，并且法律位階并不低；同時，我國關(guān)于個人信息保護(hù)基本原則的大致內(nèi)容基本上能和國際對軌，參考借鑒了國際上個人信息保護(hù)基本原則的核心內(nèi)容；三份法律文件在各自的規(guī)范領(lǐng)域分別規(guī)定了個人信息保護(hù)基本原則的內(nèi)容，內(nèi)容之間并無大的出入，個人信息保護(hù)基本原則固定為大致幾大原則。

三、我國個人信息保護(hù)基本原則的實踐情況

我國已經(jīng)在理論建構(gòu)層面規(guī)定了個人信息保護(hù)的幾大原則，那么個人信息保護(hù)基本原則在實踐中的運用情況如何呢？筆者經(jīng)過研究發(fā)現(xiàn)，由于原則本身過于抽象，它缺少精準(zhǔn)治理和穩(wěn)定的功能，導(dǎo)致我國個人信息保護(hù)基本原則的實踐情況不盡如人意。筆者將我國的個人信息保護(hù)基本原則大致歸納為信息安全原則、個人權(quán)利原則、公開透明原則、限制處理原則和信息質(zhì)量原則等五大原則。實務(wù)中發(fā)現(xiàn)該五大原則均有被突破的風(fēng)險。

（一）信息安全原則

在信息安全原則下，數(shù)據(jù)控制者本應(yīng)采取必要保護(hù)措施，防止個人信息的泄露、丟失或者其他安全事故。然而實務(wù)中發(fā)現(xiàn)，有些數(shù)據(jù)控制者所采取的安全措施不足以保障用戶信息安全，以致用戶信息很容易被泄露、竊取。例如2016年央視“315晚會”曝光公共免費無線網(wǎng)絡(luò)（WIFI）突破手機防御系統(tǒng)，收集手機信息的問題；[11]同時部分信息控制者的互聯(lián)網(wǎng)運營平臺缺乏完善的內(nèi)控制度和操作流程保障，導(dǎo)致內(nèi)部工作人員對用戶信息監(jiān)守自盜或造成用戶信息的遺失。例如2012年央視“315晚會”曝光招商銀行、工商銀行工作人員利用職務(wù)之便泄露銀行卡號和征信報告；[12]此外，互聯(lián)網(wǎng)企業(yè)的系統(tǒng)和網(wǎng)頁漏洞廣泛存在容易導(dǎo)致個人信息的泄露。例如國內(nèi)鐵路客運訂票網(wǎng)站12306就曾爆出大量用戶數(shù)據(jù)泄露的事件，還有知名酒店網(wǎng)站因存在技術(shù)漏洞，導(dǎo)致房客大量信息流失的事件。[13]

（二）個人權(quán)利原則

在個人權(quán)利原則下，數(shù)據(jù)主體本應(yīng)擁有訪問權(quán)、知情權(quán)、糾錯權(quán)和刪除權(quán)等廣泛的個人信息權(quán)利。然而目前，中國的數(shù)據(jù)用戶并未能享有廣泛的個人信息權(quán)利。例如，有些互聯(lián)網(wǎng)企業(yè)拒絕讓用戶查詢網(wǎng)站收集到的用戶個人信息或者只提供部分信息，即使打電話向客服查詢，也難以查詢到相關(guān)的個人信息。同時，有些網(wǎng)站的個人信息無法更正，也未提供申訴渠道，甚至未設(shè)置用戶的退出機制，即使用戶注銷到該網(wǎng)站或者APP的個人信息，用戶在網(wǎng)站或者APP上留下的痕跡和數(shù)據(jù)，如社交網(wǎng)站上的照片、狀態(tài)、聊天記錄等也無法刪除。

（三）公開透明原則

在公開透明原則下，個人信息的收集、使用、加工和開發(fā)，數(shù)據(jù)控制者身份、采集或處理信息的目的及其他的必要信息本應(yīng)公開透明，然而我國的個人信息仍處于不公開不透明的狀態(tài)。例如，有些互聯(lián)網(wǎng)企業(yè)故意將隱私政策放置在網(wǎng)站不起眼的位置，或者故意用繁瑣冗長且字體細(xì)小的隱私政策，讓用戶失去閱讀的興趣和能力，并且在隱私權(quán)條款中夾雜對用戶個人信息保護(hù)不利的條款，難以讓用戶發(fā)現(xiàn)；同時，有些互聯(lián)網(wǎng)企業(yè)利用cookies（小型文本文件）技術(shù)在用戶不知情的情況下收集個人信息。2013年央視“315晚會”就曝光易傳媒等多家網(wǎng)絡(luò)廣告公司利用瀏覽器第三方cookies跟蹤用戶；[14]還有些互聯(lián)網(wǎng)企業(yè)在用戶不知情的情況下利用用戶已經(jīng)安裝的應(yīng)用程序收集用戶的信息，例如2014年央視“315晚會”就曝光鼎開等公司向智能手機植入惡意程序等問題。[15]

（四）限制處理原則

在限制處理原則下，數(shù)據(jù)控制者本應(yīng)在數(shù)據(jù)的采集、使用和加工等環(huán)節(jié)都應(yīng)受到一定的限制，例如收集的信息要合法、正當(dāng)、必要，信息的訪問和使用必須與信息采集的目的一致，未經(jīng)授權(quán)不可改變信息的使用目的。然而實踐中發(fā)現(xiàn)，大量的數(shù)據(jù)控制者對個人信息的采集超出了服務(wù)目的所需范圍。越權(quán)收集、無權(quán)收集個人信息的現(xiàn)象嚴(yán)重；同時，數(shù)據(jù)控制者常將收集的個人信息用于提供服務(wù)之外的其他目的、如用于廣告營銷、與第三方分享甚至出賣個人信息。2012年央視“315晚會”就曝光了上海羅維鄧白氏公司從各個渠道非法獲取個人信息，再低價專賣的情況；[16]此外，數(shù)據(jù)控制者還經(jīng)常將不同來源的用戶信息加以處理以形成新的個人信息，為公司謀利。

（五）信息質(zhì)量原則

在信息質(zhì)量原則下，數(shù)據(jù)控制者本應(yīng)保證個人信息僅用于與收集目的相關(guān)的領(lǐng)域，保證個人信息的準(zhǔn)確性、完整性和及時性。然而在實務(wù)中發(fā)現(xiàn)，由于技術(shù)的不完善或者數(shù)據(jù)控制者不愿投入精力維護(hù)個人信息的準(zhǔn)確、完整和及時，數(shù)據(jù)主體的部分信息并不準(zhǔn)確、完整，影響了數(shù)據(jù)主體個人權(quán)利的行使，甚至影響個人名譽。例如，在鄭州市中原區(qū)人民法院（2014）中民一初字第799號民事判決中，原告劉某在辦理銀行貸款業(yè)務(wù)時發(fā)現(xiàn)自己的征信信息出現(xiàn)了不良貸款的記錄，該不良記錄最終導(dǎo)致了銀行終止為其辦理業(yè)務(wù)。原告后來才得知個人信息被銀行誤載的緣故導(dǎo)致征信報告失實，然而木已成舟，該不完整、準(zhǔn)確的個人信息最終仍影響了其貸款業(yè)務(wù)。

四、個人信息保護(hù)基本原則小結(jié)

從上述國際上個人信息保護(hù)基本原則的演變歷程，以及我國個人信息保護(hù)的理論建構(gòu)可以看出，個人信息保護(hù)應(yīng)采用哪些原則已經(jīng)形成了國際社會的普遍共識。歸納歐盟、美國和中國的基本原則會發(fā)現(xiàn)，大致的個人信息保護(hù)基本原則主要有以下幾類：首先，在個人信息的采集和使用環(huán)節(jié)，要求采集、使用的目的要特定、明確、合法正當(dāng)，取得的方式應(yīng)遵循最小必要原則，同時取得個人信息要經(jīng)過信息主體的同意，加工、使用的信息如果不符合采集時的目的時，還應(yīng)另外取得信息主體的同意。其次，在整體環(huán)節(jié)上，即無論是采集環(huán)節(jié)、使用環(huán)節(jié)還是加工環(huán)節(jié)，都應(yīng)該確保個人信息的公開、透明；再次，針對信息本身，要求信息要完整、及時和準(zhǔn)確，要采取適當(dāng)?shù)募夹g(shù)和制定，以確保個人信息不會泄露；再次，應(yīng)賦予信息主體相應(yīng)的個人權(quán)利，例如訪問權(quán)、修改權(quán)、刪除權(quán)、可攜帶權(quán)、異議權(quán)等；最后，如果個人信息確實存在泄露情況，應(yīng)設(shè)置完善的救濟(jì)措施，例如申訴、訴訟、賠償?shù)葯C制。

除了個人信息保護(hù)的基本原則具有國際上的共識外，從上述論述還能看出，個人信息保護(hù)基本原則的內(nèi)涵隨著技術(shù)的發(fā)展而不斷被賦予新的內(nèi)涵，強化或者細(xì)化原則的具體內(nèi)容，例如國際上個人信息保護(hù)基本原則歷經(jīng)了提出、發(fā)展和深入發(fā)展的歷程，我國個人信息保護(hù)基本原則經(jīng)歷了萌芽和發(fā)展；同時也可以看出，歐美等國家的個人信息保護(hù)的基本原則的內(nèi)涵在縱深發(fā)展，對基本原則的認(rèn)識在不斷深入，而我國對基本原則的認(rèn)識還較不成熟；同時基本原則為個人信息保護(hù)的整體架構(gòu)提供了理論指引，它們的作用貫穿信息保護(hù)法的始末，但由于原則的規(guī)范密度較為粗糙，仍需要運用規(guī)則做更為精細(xì)地規(guī)范和治理。