近年來(lái),隨著歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡(jiǎn)稱GDPR)的正式實(shí)施,隱私保護(hù)和數(shù)據(jù)合規(guī)引起全球廣泛關(guān)注。今年兩會(huì)人大代表呼吁加快個(gè)人信息保護(hù)的立法進(jìn)程,又把個(gè)人信息保護(hù)議題再度炒熱。基于國(guó)內(nèi)外環(huán)境的思考,筆者認(rèn)為,隱私保護(hù)和數(shù)據(jù)合規(guī)將成為法律行業(yè)的藍(lán)海市場(chǎng)。目前,市面上隱私保護(hù)和數(shù)據(jù)合規(guī)的文章不少,但大多追隨熱點(diǎn),分散式、片段式文章較多,系統(tǒng)性、全局性文章很少。基于此種思考進(jìn)路,筆者打算在今后一段時(shí)間,通過(guò)系統(tǒng)梳理各個(gè)國(guó)家或地區(qū)的隱私保護(hù)和數(shù)據(jù)合規(guī)情況,陸續(xù)推出各個(gè)國(guó)家或地區(qū)個(gè)人信息保護(hù)情況的文章,旨在為對(duì)隱私保護(hù)和數(shù)據(jù)合規(guī)有需求的個(gè)人或企業(yè)提供幫助。
基本原則是指導(dǎo)各個(gè)國(guó)家或地區(qū)制定個(gè)人信息保護(hù)法的綱領(lǐng)性資源,它的作用貫穿個(gè)人信息保護(hù)法的始末。因此,筆者認(rèn)為,在系統(tǒng)梳理各個(gè)國(guó)家或地區(qū)隱私保護(hù)和數(shù)據(jù)合規(guī)情況之前,有必要先對(duì)個(gè)人信息保護(hù)基本原則進(jìn)行系統(tǒng)梳理,在了解個(gè)人信息保護(hù)基本原則的基礎(chǔ)上,才能對(duì)各國(guó)或地區(qū)的個(gè)人信息保護(hù)有更深刻的理解。接下來(lái),本文將重點(diǎn)梳理國(guó)內(nèi)外個(gè)人信息保護(hù)基本原則的演變歷程,歸納個(gè)人信息保護(hù)的基本原則及其內(nèi)涵,并分析國(guó)內(nèi)個(gè)人信息保護(hù)基本原則的實(shí)踐情況。
一、個(gè)人信息保護(hù)基本原則的演變歷程
(一)個(gè)人信息保護(hù)基本原則的提出:20世紀(jì)70年代
在20世紀(jì)70年代,計(jì)算機(jī)技術(shù)的快速發(fā)展大大促進(jìn)了信息的傳播和交流,然而,信息的傳播和交流同時(shí)也帶來(lái)了信息的泄露和隱私的曝光。在發(fā)達(dá)國(guó)家,尤其在特別注重保護(hù)個(gè)人隱私的美國(guó)和歐洲,個(gè)人信息和隱私保護(hù)引起了民眾的廣泛關(guān)注。為了應(yīng)對(duì)信息泄露的問(wèn)題,美國(guó)和歐洲一些國(guó)家分別采取了對(duì)應(yīng)的舉措。例如,美國(guó)在20世紀(jì)70年代,分別下發(fā)了《公平信用報(bào)告法》、“‘修’(HEW)報(bào)告”、《聯(lián)邦隱私法案》以及“隱私保護(hù)研究委員會(huì)研究報(bào)告”等;
[①]英國(guó)的隱私委員會(huì)則發(fā)布了“關(guān)于個(gè)人數(shù)據(jù)自動(dòng)處理的安全建議”。這些早期的法案和研究報(bào)告較為系統(tǒng)地歸納和總結(jié)了個(gè)人信息保護(hù)的許多核心原則,這些原則對(duì)后來(lái)的個(gè)人信息保護(hù)立法產(chǎn)生了深遠(yuǎn)的影響。
在這些核心原則中,筆者從美國(guó)的相關(guān)法案和研究報(bào)告總結(jié)歸納出美國(guó)對(duì)個(gè)人信息保護(hù)的三個(gè)基本原則:公開(kāi)透明原則、知情權(quán)原則、安全原則。
[②]具體內(nèi)容如下表所示:
美國(guó)個(gè)人信息保護(hù)基本原則
| 基本原則 |
具體內(nèi)容 |
| 公開(kāi)透明原則 |
不允許存在秘密的個(gè)人數(shù)據(jù)系統(tǒng) |
| 知情權(quán) |
個(gè)人應(yīng)該有渠道了解到系統(tǒng)中保存了本人的哪些信息以及信息如何被使用;有渠道防止為某個(gè)目的采集的個(gè)人信息在未經(jīng)本人同意下用于另一目的;有渠道發(fā)現(xiàn)和糾正錯(cuò)誤的個(gè)人信息 |
| 安全原則 |
機(jī)構(gòu)要確保數(shù)據(jù)的使用目的可靠、并采取措施防止數(shù)據(jù)的不當(dāng)使用 |
相較于同時(shí)期美國(guó)的基本原則,英國(guó)隱私委員會(huì)發(fā)布的基本原則顯得更加全面和細(xì)致:除了有與美國(guó)類似的基本原則如個(gè)人權(quán)利原則、安全原則外,還有美國(guó)所未規(guī)定的基本原則,例如同意原則、目的性原則、技術(shù)保護(hù)原則等。
[③]具體內(nèi)容詳見(jiàn)下表:
英國(guó)個(gè)人信息保護(hù)基本原則
| 基本原則 |
具體內(nèi)容 |
| 目的性原則 |
信息的訪問(wèn)和使用必須與信息采集的目的一致,未經(jīng)授權(quán)不可改變信息的使用目的 |
| 同意原則 |
信息的采集和使用以及信息的使用目的的改變必須得到授權(quán) |
| 最小必要原則 |
為某個(gè)目的所采集信息的種類和數(shù)量應(yīng)當(dāng)是達(dá)到該目的所最小必要的 |
| 技術(shù)保護(hù)原則 |
在為不需要識(shí)別個(gè)人身份的某些應(yīng)用場(chǎng)景建立計(jì)算機(jī)系統(tǒng)時(shí),應(yīng)在系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)時(shí)就將身份信息和其他信息加以隔離 |
| 個(gè)人權(quán)利原則 |
應(yīng)當(dāng)采取具體措施確保個(gè)人享有關(guān)于本人信息的知情權(quán)、訪問(wèn)權(quán)、糾錯(cuò)權(quán)和及時(shí)更新信息的權(quán)利 |
| 安全原則 |
系統(tǒng)使用者應(yīng)預(yù)先說(shuō)明系統(tǒng)應(yīng)當(dāng)達(dá)到的安全防護(hù)水平,采取適當(dāng)措施避免信息被誤用或?yàn)E用,并應(yīng)當(dāng)建立檢測(cè)系統(tǒng)、及時(shí)發(fā)現(xiàn)違反安全要求的問(wèn)題 |
| 保存期限原則 |
預(yù)先確定信息可以保存的最長(zhǎng)期限、超出此期限的信息不再繼續(xù)保持 |
| 數(shù)據(jù)質(zhì)量原則 |
應(yīng)當(dāng)確保數(shù)據(jù)準(zhǔn)確并提供糾正錯(cuò)誤和信息更新的機(jī)制 |
| 客觀性原則 |
在信息中涉及價(jià)值判斷應(yīng)當(dāng)格外謹(jǐn)慎 |
從上表可以看出,歐美國(guó)家早在20世紀(jì)70年代就開(kāi)始設(shè)置個(gè)人信息保護(hù)的基本原則,雙方的側(cè)重點(diǎn)都更偏向于規(guī)定個(gè)人信息保護(hù)的公開(kāi)透明,數(shù)據(jù)控制者要確保收集數(shù)據(jù)的安全,并賦予數(shù)據(jù)主體一定的個(gè)人權(quán)利。其中,美國(guó)基本原則的規(guī)定較為粗糙:例如沒(méi)有在數(shù)據(jù)采集環(huán)節(jié)作出任何的限制規(guī)定,數(shù)據(jù)的采集也不需要數(shù)據(jù)主體的同意,對(duì)數(shù)據(jù)的質(zhì)量也沒(méi)有任何的要求。相較之下,英國(guó)這一時(shí)期對(duì)于個(gè)人信息保護(hù)基本原則的規(guī)定較為細(xì)致。
(二)個(gè)人信息保護(hù)基本原則的發(fā)展:20世紀(jì)80年代至90年代
隨著科技水平的不斷發(fā)展,歐美的個(gè)人信息保護(hù)基本原則也得到了新的發(fā)展。在20世紀(jì)80-90年代,美國(guó)在70年代提出的原則的基礎(chǔ)上,提出了個(gè)人信息公平實(shí)踐的八大原則;歐盟在1995年頒布《歐盟指令》,提出了新的七大原則;與此同時(shí),經(jīng)濟(jì)合作與發(fā)展組織(簡(jiǎn)稱經(jīng)合組織,Organization for Economic Co-operation and Development,OECD)在1980年頒布《經(jīng)合組織指南》,提出了個(gè)人數(shù)據(jù)保護(hù)的八大原則。
美國(guó)所謂的個(gè)人信息公平實(shí)踐八大原則,主要指公開(kāi)性原則、個(gè)人訪問(wèn)原則、個(gè)人參與原則、采集限制原則、使用限制原則、信息管理原則和責(zé)任擔(dān)當(dāng)原則。
[④]個(gè)人信息公平實(shí)踐八大原則的提出彌補(bǔ)了70年代末美國(guó)法案及研究報(bào)告未對(duì)數(shù)據(jù)控制者作出限制規(guī)定的漏洞,同時(shí)細(xì)化了很多具體的內(nèi)容。美國(guó)的個(gè)人信息公平實(shí)踐八大原則詳見(jiàn)下表:
美國(guó)的個(gè)人信息公平實(shí)踐八大原則
| 基本原則 |
具體內(nèi)容 |
| 公開(kāi)性原則 |
不允許存在秘密的個(gè)人數(shù)據(jù)系統(tǒng),并且應(yīng)當(dāng)公開(kāi)各機(jī)構(gòu)個(gè)人數(shù)據(jù)的管理政策、操作實(shí)踐及系統(tǒng) |
| 個(gè)人訪問(wèn)原則 |
個(gè)人應(yīng)當(dāng)有權(quán)利查看和復(fù)印個(gè)人數(shù)據(jù)保存機(jī)構(gòu)保存的可識(shí)別本人身份的個(gè)人信息 |
| 個(gè)人參與原則 |
個(gè)人應(yīng)當(dāng)有權(quán)利修改和增補(bǔ)數(shù)據(jù)保存機(jī)構(gòu)保存的關(guān)于本人的信息 |
| 采集限制原則 |
任何一個(gè)機(jī)構(gòu)可以采集的個(gè)人信息的種類及采集方式要有所限制 |
| 使用限制原則 |
任何數(shù)據(jù)保存機(jī)構(gòu)對(duì)個(gè)人數(shù)據(jù)的內(nèi)部使用應(yīng)當(dāng)有所限制 |
| 披露限制原則 |
個(gè)人數(shù)據(jù)保存機(jī)構(gòu)對(duì)外披露個(gè)人數(shù)據(jù)應(yīng)當(dāng)有所限制 |
| 信息管理原則 |
任何個(gè)人數(shù)據(jù)保存機(jī)構(gòu)都應(yīng)當(dāng)制定合理、適當(dāng)?shù)男畔⒐芾碚吆筒僮鲗?shí)踐、以確保個(gè)人信息采集、存儲(chǔ)、使用及對(duì)外提供的必要性和合法性,同時(shí)確保信息的準(zhǔn)確性和及時(shí)性 |
| 責(zé)任擔(dān)當(dāng)原則 |
數(shù)據(jù)保存機(jī)構(gòu)必須對(duì)個(gè)人數(shù)據(jù)的保存的政策、操作實(shí)踐及系統(tǒng)負(fù)責(zé) |
同時(shí)期的《歐盟指令》七大原則很大程度上也吸收了前期的經(jīng)驗(yàn),例如它在英國(guó)基本原則的基礎(chǔ)上,增加了告知和事前檢查原則、司法救濟(jì)原則等新的原則。同時(shí),針對(duì)每個(gè)原則都有具體細(xì)化規(guī)定,例如個(gè)人權(quán)利原則,具體列舉了個(gè)人有訪問(wèn)權(quán)、修改權(quán)、刪除權(quán)和反對(duì)權(quán);在公平和合法原則上,要求數(shù)據(jù)要準(zhǔn)確、及時(shí),收集的目的要明確,收集的手段要最小必要等。
[⑤]《歐盟指令》的七大原則詳見(jiàn)下表:
《歐盟指令》的七大原則
| 基本原則 |
具體內(nèi)容 |
| 公平和合法原則 |
目的明確、數(shù)據(jù)的采集和處理目的最小必要、數(shù)據(jù)準(zhǔn)確且更新及時(shí);在五種特定清晰下才可以處理個(gè)人信息;原則上禁止采集個(gè)人敏感信息 |
| 公開(kāi)透明原則 |
具體羅列須向數(shù)據(jù)主體告知的信息:數(shù)據(jù)控制者身份、采集或處理信息的目的;其他必要信息 |
| 個(gè)人權(quán)利原則 |
訪問(wèn)權(quán)、修改權(quán)、刪除權(quán)、凍結(jié)權(quán)和反對(duì)權(quán) |
| 數(shù)據(jù)保密和安全原則 |
數(shù)據(jù)控制者須采取適當(dāng)?shù)募夹g(shù)和制度措施保護(hù)個(gè)人數(shù)據(jù),之后才可由選擇數(shù)據(jù)處理商處理數(shù)據(jù);數(shù)據(jù)控制者和數(shù)據(jù)處理商必須簽訂合同,合同須以書面形式加以明確 |
| 告知和事前檢查原則 |
數(shù)據(jù)控制者在對(duì)數(shù)據(jù)進(jìn)行處理前,除特殊情況外,必須告知監(jiān)管部門;監(jiān)管當(dāng)局收到通知后,必須在數(shù)據(jù)處理開(kāi)始前對(duì)其進(jìn)行檢查,同時(shí)進(jìn)行數(shù)據(jù)登記 |
| 司法救濟(jì)、法律責(zé)任和懲罰原則 |
如果數(shù)據(jù)主體的相關(guān)權(quán)利遭到破壞,數(shù)據(jù)主體可以請(qǐng)求司法救濟(jì)。 |
| 例外原則 |
涉及國(guó)防安全;公共安全;犯罪獲得預(yù)防;成員國(guó)或歐盟重要的經(jīng)濟(jì)和金融利益,可以不遵守個(gè)人數(shù)據(jù)保護(hù)原則中關(guān)于處理合法性、公開(kāi)性以及數(shù)據(jù)主體對(duì)數(shù)據(jù)的訪問(wèn)權(quán)要求 |
除了美國(guó)和歐盟均有發(fā)展個(gè)人信息保護(hù)新的原則,并對(duì)原本的原則內(nèi)容做了新的規(guī)定外,經(jīng)合組織(OECD)在1980年頒布的《經(jīng)合組織指南》直接規(guī)定了個(gè)人數(shù)據(jù)保護(hù)的八大原則,該原則很明顯吸收借鑒了歐盟和美國(guó)相應(yīng)的原則規(guī)定,因此具體的原則內(nèi)容大同小異,萬(wàn)變不離其宗,例如都規(guī)定了采集限制性原則、數(shù)據(jù)質(zhì)量原則、安全性原則、公開(kāi)性原則等。
[⑥]經(jīng)合組織個(gè)人數(shù)據(jù)保護(hù)的八大原則詳見(jiàn)下表:
經(jīng)合組織個(gè)人數(shù)據(jù)保護(hù)八大原則
| 基本原則 |
具體內(nèi)容 |
| 采集限制性原則 |
應(yīng)當(dāng)限制個(gè)人數(shù)據(jù)采集,任何個(gè)人數(shù)據(jù)的采集必須通過(guò)合法正當(dāng)?shù)氖侄危部赡埽瑧?yīng)該得到數(shù)據(jù)主體的許可 |
| 數(shù)據(jù)質(zhì)量原則 |
個(gè)人數(shù)據(jù)與其使用目的應(yīng)當(dāng)相關(guān)并在某種程度上為這些目的所必須;數(shù)據(jù)應(yīng)當(dāng)是準(zhǔn)確、完整和及時(shí)的 |
| 目的說(shuō)明原則 |
采集數(shù)據(jù)前應(yīng)說(shuō)明采集數(shù)據(jù)的目的,使用應(yīng)限于采集數(shù)據(jù)的目的范圍內(nèi);如果使用不同,則需要提出說(shuō)明。 |
| 限制使用原則 |
不得主動(dòng)或被動(dòng)披露個(gè)人數(shù)據(jù)或?qū)€(gè)人數(shù)據(jù)用于與目的說(shuō)明原則不兼容的其他目的,除非得到授權(quán) |
| 安全性原則 |
應(yīng)采取合理的安全措施對(duì)個(gè)人數(shù)據(jù)加以保護(hù)。 |
| 公開(kāi)性原則 |
個(gè)人數(shù)據(jù)的開(kāi)發(fā)、實(shí)踐和政策應(yīng)當(dāng)公開(kāi)。 |
| 個(gè)人參與原則 |
個(gè)人有訪問(wèn)權(quán)、參與權(quán)、異議權(quán)、修改刪除權(quán) |
| 責(zé)任擔(dān)當(dāng)原則 |
數(shù)據(jù)控制者要落實(shí)具體措施的實(shí)施 |
從上述三表可以看出,無(wú)論是歐盟、美國(guó)還是經(jīng)合組織(OECD),它們規(guī)定的原則由于相互借鑒、相互吸收,內(nèi)容開(kāi)始趨同,都在采集環(huán)節(jié)、使用環(huán)節(jié)、加工環(huán)節(jié)都做了限制規(guī)定,都要求數(shù)據(jù)要公開(kāi)透明,數(shù)據(jù)主體享有個(gè)人信息權(quán)利等。
(三)個(gè)人信息保護(hù)基本原則的深入發(fā)展:21世紀(jì)初
21世紀(jì)開(kāi)始,隨著科學(xué)技術(shù)的迅猛發(fā)展,物聯(lián)網(wǎng)、人工智能、云計(jì)算等新興技術(shù)的出現(xiàn)和發(fā)展帶動(dòng)了個(gè)人信息的爆發(fā)性交流和傳播,數(shù)據(jù)逐漸成為互聯(lián)網(wǎng)公司的核心競(jìng)爭(zhēng)力。因此20世紀(jì)80年代至90年代關(guān)于個(gè)人信息保護(hù)基本原則的內(nèi)涵已經(jīng)無(wú)法滿足現(xiàn)代社會(huì)的需要,基本原則又經(jīng)歷了一次更為深入的發(fā)展。2010年經(jīng)合組織(OECD)對(duì)1980年的《經(jīng)合組織指南》進(jìn)行了新一輪的修訂,在規(guī)范文件中引入了“國(guó)家隱私戰(zhàn)略”“隱私管理計(jì)劃”“公眾教育”和“數(shù)據(jù)泄露通知”等加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)的新舉措;
[⑦]2016年歐盟對(duì)《歐盟指令》進(jìn)行了修改,通過(guò)了新的《歐盟條例》,具體細(xì)化了“本人同意”的內(nèi)涵,同時(shí)對(duì)數(shù)據(jù)采集實(shí)行“最小必要原則”做進(jìn)一步的明確,并增加個(gè)人對(duì)數(shù)據(jù)的“可攜帶”,強(qiáng)化了“刪除權(quán)”和“反對(duì)權(quán)”的內(nèi)容。
[⑧]
新的《經(jīng)合組織指南》和《歐盟條例》實(shí)際上并沒(méi)有大幅刪除之前的規(guī)范文件規(guī)定,只是在前期的文件中增加和強(qiáng)化了個(gè)人信息保護(hù)的內(nèi)容。可以看出,20世紀(jì)80-90年代的個(gè)人信息保護(hù)基本原則是對(duì)20世紀(jì)70年代的吸收和補(bǔ)充,21世紀(jì)初個(gè)人信息保護(hù)基本原則則是對(duì)20世紀(jì)80-90年代的強(qiáng)化,個(gè)人信息保護(hù)基本原則的演變歷程是不斷增加修正的過(guò)程,它一直在規(guī)范調(diào)整的道路上正確前行,并沒(méi)有出現(xiàn)大幅推翻重建的時(shí)候。
二、我國(guó)個(gè)人信息保護(hù)基本原則的理論建構(gòu)
相較于歐美國(guó)家對(duì)于個(gè)人信息保護(hù)基本原則的發(fā)展,我國(guó)個(gè)人信息保護(hù)基本原則的理論建構(gòu)實(shí)際上經(jīng)歷了2000年-2010年的萌芽階段與2010年至今的發(fā)展階段。
(一)個(gè)人信息保護(hù)基本原則的萌芽:2000年-2010年
2000年-2010年是我國(guó)個(gè)人信息保護(hù)基本原則的萌芽階段,在這個(gè)時(shí)間段,我國(guó)開(kāi)始意識(shí)到個(gè)人信息保護(hù)基本原則的重要性,并委托個(gè)人信息保護(hù)領(lǐng)域的專家周漢華教授著手制定《個(gè)人信息保護(hù)法》(專家意見(jiàn)稿)。當(dāng)時(shí)雖還有類似齊愛(ài)民教授等人自發(fā)制定《個(gè)人信息保護(hù)法》民間版草案的行為,
[⑨]但其他學(xué)者的《個(gè)人信息保護(hù)法》由于未有政府的信用背書,沒(méi)有足夠的權(quán)威性。本文在萌芽階段主要援引的是周漢華教授于2005年發(fā)布的《個(gè)人信息保護(hù)法》(專家意見(jiàn)稿)。
周漢華教授的《個(gè)人信息保護(hù)法》(專家意見(jiàn)稿)吸收了歐美國(guó)家的個(gè)人信息保護(hù)基本原則的內(nèi)容,同時(shí)也根據(jù)中國(guó)具體國(guó)情做了相應(yīng)調(diào)整。例如,《個(gè)人信息保護(hù)法》(專家意見(jiàn)稿)參考國(guó)際做法,規(guī)定了權(quán)利保護(hù)原則、信息質(zhì)量原則、信息安全原則等。但同時(shí),《個(gè)人信息保護(hù)法》(專家意見(jiàn)稿)也有立足于本土實(shí)踐、具有中國(guó)特色的基本原則,例如利益平衡原則、職業(yè)義務(wù)原則等。
[⑩]《個(gè)人信息保護(hù)法》(專家意見(jiàn)稿)七大原則的內(nèi)容詳見(jiàn)下表:
《個(gè)人信息保護(hù)法》(專家意見(jiàn)稿)七大原則
| 基本原則 |
具體內(nèi)容 |
| 合法原則 |
對(duì)個(gè)人信息的處理符合本法規(guī)定 |
| 權(quán)利保護(hù)原則 |
信息主體有權(quán)要求信息控制者公開(kāi)本人信息,有更正權(quán)和停止其適用權(quán) |
| 利益平衡原則 |
個(gè)人信息的保護(hù)不得妨礙他人的權(quán)利和自由,不得損害國(guó)家利益和社會(huì)公共利益 |
| 信息質(zhì)量原則 |
保證個(gè)人信息僅用于與收集目的相關(guān)的領(lǐng)域,保證個(gè)人信息的準(zhǔn)確性、完整性和及時(shí)性 |
| 信息安全原則 |
數(shù)據(jù)控制者應(yīng)采取必要保護(hù)措施,防止個(gè)人信息的泄露、丟失或者其他安全事故 |
| 職業(yè)義務(wù)原則 |
數(shù)據(jù)控制者負(fù)有保守秘密的職業(yè)義務(wù) |
| 救濟(jì)原則 |
違反法律,信息主體有權(quán)提起復(fù)議、訴訟,要求賠償?shù)臋?quán)利 |
(二)個(gè)人信息保護(hù)基本原則的發(fā)展:2010年至今
如果說(shuō)2000年-2010年個(gè)人信息保護(hù)基本原則還屬于專家論證的萌芽階段,那么2010年至今,我國(guó)法律已經(jīng)開(kāi)始正式規(guī)定原則的具體內(nèi)容了,因此筆者將這一階段稱為:個(gè)人信息保護(hù)基本原則的發(fā)展階段。這一階段的法律規(guī)定主要有2012年全國(guó)人大常委會(huì)出臺(tái)的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、2013年修訂的《消費(fèi)者權(quán)益保護(hù)法》和2016年出臺(tái)的《網(wǎng)絡(luò)安全法》。
2012年全國(guó)人大常委會(huì)出臺(tái)的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》雖然只有12條,但是基本上規(guī)定了個(gè)人信息保護(hù)基本原則的主要內(nèi)容,例如在采集、使用過(guò)程中應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則;收集信息時(shí)應(yīng)當(dāng)?shù)玫绞占叩耐猓粩?shù)據(jù)控制者應(yīng)當(dāng)遵循保密原則、信息安全原則,不得泄露、篡改、毀損,不得出售或者非法向他人提供個(gè)人信息,要采取技術(shù)措施和其他必要措施,確保信息安全等;同時(shí)還規(guī)定了個(gè)人權(quán)利原則,公民發(fā)現(xiàn)有個(gè)人信息泄露等問(wèn)題時(shí),都有權(quán)利向有關(guān)主管部門舉報(bào)、控告等。
2013年《消費(fèi)者權(quán)益保護(hù)法》第14條明確規(guī)定消費(fèi)者“享有個(gè)人信息依法得到保護(hù)的權(quán)利”,同時(shí)在第29條具體規(guī)定了消費(fèi)者個(gè)人信息的保護(hù)內(nèi)容。《消費(fèi)者權(quán)益保護(hù)法》對(duì)個(gè)人信息保護(hù)基本原則的規(guī)定實(shí)際上參考并借鑒了《決定》的內(nèi)容,因此規(guī)定的事項(xiàng)大致相同。例如《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定收集、使用消費(fèi)者信息時(shí),應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則;收集信息時(shí)應(yīng)當(dāng)?shù)玫较M(fèi)者的同意;信息的收集要公開(kāi)透明;經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密,不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施等。
與《消費(fèi)者權(quán)益保護(hù)法》僅設(shè)置分散式條款規(guī)定個(gè)人信息保護(hù)基本原則不同的是,2016年《網(wǎng)絡(luò)安全法》設(shè)置了“網(wǎng)絡(luò)信息安全”的專門章節(jié)規(guī)范個(gè)人信息保護(hù)。在這一章節(jié)中,《網(wǎng)絡(luò)安全法》同樣規(guī)定了諸多個(gè)人信息保護(hù)基本原則,例如保密原則、個(gè)人權(quán)利原則、信息安全原則等,仔細(xì)觀察會(huì)發(fā)現(xiàn),《網(wǎng)絡(luò)安全法》規(guī)定的內(nèi)容基本上也是沿襲了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《消費(fèi)者權(quán)益保護(hù)法》的內(nèi)容,除了《網(wǎng)絡(luò)安全法》正式明確了最少必要規(guī)定外,并未有更大的變化。
縱觀上述三份法律文件的內(nèi)容可以發(fā)現(xiàn),我國(guó)對(duì)于個(gè)人信息保護(hù)基本原則的規(guī)定已經(jīng)落實(shí)到具體的成文法內(nèi)容當(dāng)中,并且法律位階并不低;同時(shí),我國(guó)關(guān)于個(gè)人信息保護(hù)基本原則的大致內(nèi)容基本上能和國(guó)際對(duì)軌,參考借鑒了國(guó)際上個(gè)人信息保護(hù)基本原則的核心內(nèi)容;三份法律文件在各自的規(guī)范領(lǐng)域分別規(guī)定了個(gè)人信息保護(hù)基本原則的內(nèi)容,內(nèi)容之間并無(wú)大的出入,個(gè)人信息保護(hù)基本原則固定為大致幾大原則。
三、我國(guó)個(gè)人信息保護(hù)基本原則的實(shí)踐情況
我國(guó)已經(jīng)在理論建構(gòu)層面規(guī)定了個(gè)人信息保護(hù)的幾大原則,那么個(gè)人信息保護(hù)基本原則在實(shí)踐中的運(yùn)用情況如何呢?筆者經(jīng)過(guò)研究發(fā)現(xiàn),由于原則本身過(guò)于抽象,它缺少精準(zhǔn)治理和穩(wěn)定的功能,導(dǎo)致我國(guó)個(gè)人信息保護(hù)基本原則的實(shí)踐情況不盡如人意。筆者將我國(guó)的個(gè)人信息保護(hù)基本原則大致歸納為信息安全原則、個(gè)人權(quán)利原則、公開(kāi)透明原則、限制處理原則和信息質(zhì)量原則等五大原則。實(shí)務(wù)中發(fā)現(xiàn)該五大原則均有被突破的風(fēng)險(xiǎn)。
(一)信息安全原則
在信息安全原則下,數(shù)據(jù)控制者本應(yīng)采取必要保護(hù)措施,防止個(gè)人信息的泄露、丟失或者其他安全事故。然而實(shí)務(wù)中發(fā)現(xiàn),有些數(shù)據(jù)控制者所采取的安全措施不足以保障用戶信息安全,以致用戶信息很容易被泄露、竊取。例如2016年央視“315晚會(huì)”曝光公共免費(fèi)無(wú)線網(wǎng)絡(luò)(WIFI)突破手機(jī)防御系統(tǒng),收集手機(jī)信息的問(wèn)題;
[11]同時(shí)部分信息控制者的互聯(lián)網(wǎng)運(yùn)營(yíng)平臺(tái)缺乏完善的內(nèi)控制度和操作流程保障,導(dǎo)致內(nèi)部工作人員對(duì)用戶信息監(jiān)守自盜或造成用戶信息的遺失。例如2012年央視“315晚會(huì)”曝光招商銀行、工商銀行工作人員利用職務(wù)之便泄露銀行卡號(hào)和征信報(bào)告;
[12]此外,互聯(lián)網(wǎng)企業(yè)的系統(tǒng)和網(wǎng)頁(yè)漏洞廣泛存在容易導(dǎo)致個(gè)人信息的泄露。例如國(guó)內(nèi)鐵路客運(yùn)訂票網(wǎng)站12306就曾爆出大量用戶數(shù)據(jù)泄露的事件,還有知名酒店網(wǎng)站因存在技術(shù)漏洞,導(dǎo)致房客大量信息流失的事件。
[13]
(二)個(gè)人權(quán)利原則
在個(gè)人權(quán)利原則下,數(shù)據(jù)主體本應(yīng)擁有訪問(wèn)權(quán)、知情權(quán)、糾錯(cuò)權(quán)和刪除權(quán)等廣泛的個(gè)人信息權(quán)利。然而目前,中國(guó)的數(shù)據(jù)用戶并未能享有廣泛的個(gè)人信息權(quán)利。例如,有些互聯(lián)網(wǎng)企業(yè)拒絕讓用戶查詢網(wǎng)站收集到的用戶個(gè)人信息或者只提供部分信息,即使打電話向客服查詢,也難以查詢到相關(guān)的個(gè)人信息。同時(shí),有些網(wǎng)站的個(gè)人信息無(wú)法更正,也未提供申訴渠道,甚至未設(shè)置用戶的退出機(jī)制,即使用戶注銷到該網(wǎng)站或者APP的個(gè)人信息,用戶在網(wǎng)站或者APP上留下的痕跡和數(shù)據(jù),如社交網(wǎng)站上的照片、狀態(tài)、聊天記錄等也無(wú)法刪除。
(三)公開(kāi)透明原則
在公開(kāi)透明原則下,個(gè)人信息的收集、使用、加工和開(kāi)發(fā),數(shù)據(jù)控制者身份、采集或處理信息的目的及其他的必要信息本應(yīng)公開(kāi)透明,然而我國(guó)的個(gè)人信息仍處于不公開(kāi)不透明的狀態(tài)。例如,有些互聯(lián)網(wǎng)企業(yè)故意將隱私政策放置在網(wǎng)站不起眼的位置,或者故意用繁瑣冗長(zhǎng)且字體細(xì)小的隱私政策,讓用戶失去閱讀的興趣和能力,并且在隱私權(quán)條款中夾雜對(duì)用戶個(gè)人信息保護(hù)不利的條款,難以讓用戶發(fā)現(xiàn);同時(shí),有些互聯(lián)網(wǎng)企業(yè)利用cookies(小型文本文件)技術(shù)在用戶不知情的情況下收集個(gè)人信息。2013年央視“315晚會(huì)”就曝光易傳媒等多家網(wǎng)絡(luò)廣告公司利用瀏覽器第三方cookies跟蹤用戶;
[14]還有些互聯(lián)網(wǎng)企業(yè)在用戶不知情的情況下利用用戶已經(jīng)安裝的應(yīng)用程序收集用戶的信息,例如2014年央視“315晚會(huì)”就曝光鼎開(kāi)等公司向智能手機(jī)植入惡意程序等問(wèn)題。
[15]
(四)限制處理原則
在限制處理原則下,數(shù)據(jù)控制者本應(yīng)在數(shù)據(jù)的采集、使用和加工等環(huán)節(jié)都應(yīng)受到一定的限制,例如收集的信息要合法、正當(dāng)、必要,信息的訪問(wèn)和使用必須與信息采集的目的一致,未經(jīng)授權(quán)不可改變信息的使用目的。然而實(shí)踐中發(fā)現(xiàn),大量的數(shù)據(jù)控制者對(duì)個(gè)人信息的采集超出了服務(wù)目的所需范圍。越權(quán)收集、無(wú)權(quán)收集個(gè)人信息的現(xiàn)象嚴(yán)重;同時(shí),數(shù)據(jù)控制者常將收集的個(gè)人信息用于提供服務(wù)之外的其他目的、如用于廣告營(yíng)銷、與第三方分享甚至出賣個(gè)人信息。2012年央視“315晚會(huì)”就曝光了上海羅維鄧白氏公司從各個(gè)渠道非法獲取個(gè)人信息,再低價(jià)專賣的情況;
[16]此外,數(shù)據(jù)控制者還經(jīng)常將不同來(lái)源的用戶信息加以處理以形成新的個(gè)人信息,為公司謀利。
(五)信息質(zhì)量原則
在信息質(zhì)量原則下,數(shù)據(jù)控制者本應(yīng)保證個(gè)人信息僅用于與收集目的相關(guān)的領(lǐng)域,保證個(gè)人信息的準(zhǔn)確性、完整性和及時(shí)性。然而在實(shí)務(wù)中發(fā)現(xiàn),由于技術(shù)的不完善或者數(shù)據(jù)控制者不愿投入精力維護(hù)個(gè)人信息的準(zhǔn)確、完整和及時(shí),數(shù)據(jù)主體的部分信息并不準(zhǔn)確、完整,影響了數(shù)據(jù)主體個(gè)人權(quán)利的行使,甚至影響個(gè)人名譽(yù)。例如,在鄭州市中原區(qū)人民法院(2014)中民一初字第799號(hào)民事判決中,原告劉某在辦理銀行貸款業(yè)務(wù)時(shí)發(fā)現(xiàn)自己的征信信息出現(xiàn)了不良貸款的記錄,該不良記錄最終導(dǎo)致了銀行終止為其辦理業(yè)務(wù)。原告后來(lái)才得知個(gè)人信息被銀行誤載的緣故導(dǎo)致征信報(bào)告失實(shí),然而木已成舟,該不完整、準(zhǔn)確的個(gè)人信息最終仍影響了其貸款業(yè)務(wù)。
四、個(gè)人信息保護(hù)基本原則小結(jié)
從上述國(guó)際上個(gè)人信息保護(hù)基本原則的演變歷程,以及我國(guó)個(gè)人信息保護(hù)的理論建構(gòu)可以看出,個(gè)人信息保護(hù)應(yīng)采用哪些原則已經(jīng)形成了國(guó)際社會(huì)的普遍共識(shí)。歸納歐盟、美國(guó)和中國(guó)的基本原則會(huì)發(fā)現(xiàn),大致的個(gè)人信息保護(hù)基本原則主要有以下幾類:首先,在個(gè)人信息的采集和使用環(huán)節(jié),要求采集、使用的目的要特定、明確、合法正當(dāng),取得的方式應(yīng)遵循最小必要原則,同時(shí)取得個(gè)人信息要經(jīng)過(guò)信息主體的同意,加工、使用的信息如果不符合采集時(shí)的目的時(shí),還應(yīng)另外取得信息主體的同意。其次,在整體環(huán)節(jié)上,即無(wú)論是采集環(huán)節(jié)、使用環(huán)節(jié)還是加工環(huán)節(jié),都應(yīng)該確保個(gè)人信息的公開(kāi)、透明;再次,針對(duì)信息本身,要求信息要完整、及時(shí)和準(zhǔn)確,要采取適當(dāng)?shù)募夹g(shù)和制定,以確保個(gè)人信息不會(huì)泄露;再次,應(yīng)賦予信息主體相應(yīng)的個(gè)人權(quán)利,例如訪問(wèn)權(quán)、修改權(quán)、刪除權(quán)、可攜帶權(quán)、異議權(quán)等;最后,如果個(gè)人信息確實(shí)存在泄露情況,應(yīng)設(shè)置完善的救濟(jì)措施,例如申訴、訴訟、賠償?shù)葯C(jī)制。
除了個(gè)人信息保護(hù)的基本原則具有國(guó)際上的共識(shí)外,從上述論述還能看出,個(gè)人信息保護(hù)基本原則的內(nèi)涵隨著技術(shù)的發(fā)展而不斷被賦予新的內(nèi)涵,強(qiáng)化或者細(xì)化原則的具體內(nèi)容,例如國(guó)際上個(gè)人信息保護(hù)基本原則歷經(jīng)了提出、發(fā)展和深入發(fā)展的歷程,我國(guó)個(gè)人信息保護(hù)基本原則經(jīng)歷了萌芽和發(fā)展;同時(shí)也可以看出,歐美等國(guó)家的個(gè)人信息保護(hù)的基本原則的內(nèi)涵在縱深發(fā)展,對(duì)基本原則的認(rèn)識(shí)在不斷深入,而我國(guó)對(duì)基本原則的認(rèn)識(shí)還較不成熟;同時(shí)基本原則為個(gè)人信息保護(hù)的整體架構(gòu)提供了理論指引,它們的作用貫穿信息保護(hù)法的始末,但由于原則的規(guī)范密度較為粗糙,仍需要運(yùn)用規(guī)則做更為精細(xì)地規(guī)范和治理。
[①] [美]托克音頓著,馮建妹等譯.美國(guó)隱私法:學(xué)說(shuō),判例與立法[M].北京:中國(guó)民主法制出版社,2004.
[②] [美]托克音頓著,馮建妹等譯.美國(guó)隱私法:學(xué)說(shuō),判例與立法[M].北京:中國(guó)民主法制出版社,2004.
[③] 個(gè)人信息保護(hù)課題組.個(gè)人信息保護(hù)國(guó)際比較研究[M].北京:中國(guó)金融出版社,2017.
[④] 個(gè)人信息保護(hù)課題組.個(gè)人信息保護(hù)國(guó)際比較研究[M].北京:中國(guó)金融出版社,2017.
[⑤] 明俊譯.個(gè)人數(shù)據(jù)保護(hù):歐盟指令及成員國(guó)法律、經(jīng)合組織指導(dǎo)方針[M].北京:法律出版社,2006.
[⑥] 明俊譯.個(gè)人數(shù)據(jù)保護(hù):歐盟指令及成員國(guó)法律、經(jīng)合組織指導(dǎo)方針[M].北京:法律出版社,2006.
[⑦] 個(gè)人信息保護(hù)課題組.個(gè)人信息保護(hù)國(guó)際比較研究[M].北京:中國(guó)金融出版社,2017.
[⑧] 京東法律研究院.歐盟數(shù)據(jù)憲章:《一般數(shù)據(jù)保護(hù)條例》GDPR評(píng)述及實(shí)務(wù)指引[M].北京:法律出版社,2018.
[⑨] 齊愛(ài)民.中華人民共和國(guó)個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿[J].河北法學(xué), 2005,(6):2-5.
[⑩] 周漢華. 中華人民共和國(guó)個(gè)人信息保護(hù)法(專家建議稿)及立法研究報(bào)告[M].北京:法律出版社,2006.
[13] 個(gè)人信息保護(hù)課題組.個(gè)人信息保護(hù)國(guó)際比較研究[M].北京:中國(guó)金融出版社,2017.
