葛彩慧|个人信息处理原则的历史考察与比较研究
华东政法大学法律学院硕士研究生
要目
一、背景引入二、个人信息保护原则的发展演变与比较分析三、总结——规则设计的殊途同归原则条款所涵盖的信息处理关系主体权责以及对信息流通中各阶段行为的规制 要求等内容,使其对整个个人信息保护法体系发挥着宏观层面提挈作用。1973年有域外法以保障信息主体权益为基本导向,围绕信息处理的“公平性”和“公开性”要求所建立的公平信息实践原则体系成了此后个人信息处理原则设计的框架基础。随后,信息流通速度的加快和跨区域组织的推动使得公平信息实践原则在全球范围内进一步传播,并在此基础上逐渐形成了以合法正当、目的限制以及主体参与原则等为代表的一系列被广泛接受的立法价值理念,统一的机制构建已成为目前世界个人信息保护立法中信息处理原则的发展趋势。
一、背景引入
随着人类进入信息化时代,从日常生活乃至社会治理,大数据通过对数据的规模化收集、存储和利用,以达到最大限度地提升效率、改善社会治理方式和实现经济利益最大化的目的。在这一过程中,公民作为独立个体,其个人信息因具有可识别性而与身份、隐私息息相关,对于个人信息的保护关乎公民人格利益与尊严的保障;保护个人信息不受非法侵害是在大数据时代信息泄露与非法利用现象日益严重这一背景下对立法提出的重要挑战。自1970年以来,各国纷纷制定个人信息(数据)保护法规,个人信息保护立法逐渐成为20年代末至今新信息技术快速发展过程中的一项重要议题。其中,个人信息的处理原则条款的设置为涉及隐私和信息保护的国家法律提供了基本政策指引,同时又关 涉到个人信息的受保护范围、程度和处理条件等内容,我国在制定个人信息保护法时亦将其置于起到提挈作用的“总则”一章,由此可见其在个人信息保护问题上的宏观指导意义。
据澳大利亚学者Graham Greenleaf统计,截至2021年1月,世界上共有145个国家和地区制定了个人信息保护法规。从这些法规的制定和颁布时间来看,个人信息保护的立法工作启动于20世纪70年代,德国黑森州于1970年制定了首部数据保护法令,随后美国、奥地利、荷兰、澳大利亚等9个国家也在这段时间内出台了个人信息保护法律。总体而言,这一时期的信息保护立法仍处于初级阶段,虽然对于个人信息的保护在范围、条件等规定的设置上不够清晰,有待于随信息技术的发展做进一步扩充与完善,但其中某些信息处理原则的确立,如“信息公平实践”原则,对后续立法产生了重要影响。
随后在20世纪80年代到20世纪90年代,更多的国家开始重视个人信息保护并相继出台了相应法规。据统计,这一时期共有35部信息保护相关的法规颁布,值得一提的是,除了部分国家和地区以外,一些主要的国际组织也开始制定区域性的个人信息保护法,如亚太经合组织与欧洲议会和欧洲理事会分别于1980年和1995年先后颁布的相关规范文件均从信息主体权益保护和信息处理与流通等角度对个人信息处理行为作出了规制。这一阶段的信息保护法所确立的信息处理原则进一步在信息公平实践原则基础上构建的基本框架,并直接推动了世界范围内信息处理原则条款制定的统一化。
21世纪,计算机技术的飞速发展为个人信息保护提出了前所未有的严峻挑战,世界主要国家为应对这种挑战纷纷制定或修订个人信息保护法,以适应个人信息保护需求。截止到2021年1月,共有87部个人信息保护法实施。这一时期立法的特点是数量多、发展快和趋同性,某些特定的处理原则被接纳成为共识,成为各国普遍接受的立法价值理念,其中最具代表性的是由欧盟制定的统一数据保护条例,其所采取的合法正当、目的限制以及完整性和保密性等个人信息处理原则对各国信息保护立法具有重要的总结归纳和借鉴意义。同时,其他立法也在此前构建起的完整框架基础上,形成合法正当、最小必要以及主体参与等共同要素,并以此指引本国个人信息保护法的实施。
基于上述统计,下文将分别从纵向和横向两个维度出发,分别以个人信息处理原则的历史演进,以及当下在世界范围内普遍接受的个人信息处理原则比较分析为切入点,展开进一步的研究。
二、个人信息保护原则的发展演变与比较分析
始于20世纪60年代的第五次信息技术革命以电子计算机的普及应用及计算机与现代通信技术的有机结合为标志。为了解决资源共享问题,由单一计算机发展而来的计算机联网技术实现了数据通信与数据共享,自动化信息处理技术的发展也提高了信息行为效率,个人数据作为一种非以典型形式存在的信息开始显露出其价值所在,部分国家由此开始着手制定个人信息保护相关法律规范。
20世纪70年代被称为个人信息保护立法的“黄金十年”,这一时期最有代表性的立法是由美国于1973年出台的《记录、计算机和公民权利》(又称“HEW报告”)这一报告由卫生、教育和福利部为了对计算机时代的记录保存实践进行研究成立的“个人数据自动化系统咨询委员会”制定,其所确定的个人信息保护的公平信息实践原则(Fair Information Practices,简称“FIPs规则”),不仅为美国之后包括1974年隐私法中的个人信息处理原则确立了框架,也影响着之后其他国家信息处理原则的确定——无论是此后经济合作与开发组织制定的《隐私保护和个人数据跨境流通指南》还是欧盟的《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC/号指令》和《一般数据通用条例》均在此基础上继受了并发展了这一原则。
委员会将“公平的信息实践”解释为信息处理行为“遵守特定的保障要求”,并且“这将禁止一切违反要求的不正当的信息实践,对不正当的信息实践实施民事和刑事处罚,或提供禁令以防止违反任何保障要求的行为;最后,将允许无论是个人还是集体诉讼,都可以要求实际支付违约金和惩罚性赔偿”。HEW报告中确立的公平信息实践原则包含如下要求:
这一原则体现了个人信息收集的公开性要求,它要求收集个人信息必须是为信息主体所知悉的,主体必须意识到自己的个人信息正在被相关个人或机构所收集,不得未经告知擅自进行收集处理。
这一原则体现了对信息主体查询权利的保障,即在信息被收集后,信息主体应当有明确的途径可以对自己被收集的信息内容、范围和处理、使用方式进行查询,这样既保障了个人信息权利,又构成了对信息收集者的监督,可以避免个人信息被不正当地收集利用。
这一规定是对信息收集利用目的进行限制的体现,它要求信息收集者在获取个人信息后,必须严格按照收集目的作进一步处理或使用,不得作超出收集目的范围以外的处理、使用,一旦超出,则必须再次就该超出目的获得信息主体的同意。这实际上赋予了信息主体保护自己的信息不受超出收集目的以外目的的处理、使用的权利,同时也是主体知情同意原则的体现。
这一原则赋予了信息主体更正和修改被收集的个人信息的权利,当信息收集者或处理者持有的个人信息不正确或有待更新时,信息主体必须有明确的途径可以对这些错误或待更新的信息进行更正修改,以保护自己的权益。
委员会认为,公平信息实践原则代表了个人应享有的最低限度的权利,并建议建立一个中央联邦机构,负责管理所有自动化个人数据系统,该机构负责注册或许可对此类系统的运行,并建立特定的保护措施作为注册或许可的条件。通常,建议的代理机构将成为公共和私人数据库的监督者。
HEW报告提出了早期的信息处理原则,这些规定从总体上为个人信息收集、处理或使用组织设定了应有义务,包括确保个人信息不作超出收集时确定的范围的使用;保证信息准确和及时更新;采取必要措施防止滥用数据,造成主体权益损害等。其中既涉及对信息主体查询、更正权利的保障,又有对个人信息控制者的强制性要求。然而,某些条文仍然不够完善,如没有按照实际情况为个人信息收集的同意原则创设例外情形、没有涉及对个人信息的匿名化处理、 对信息采集范围未做必要性限缩等。此外,信息公平实践原则在实际运行过程中,法规或信息控制者级别可以相差很大,具体取决于地区、信息控制者、数据类型以及其他因素。例如,问责制可以通过许多不同的机制来实现,包括刑事或民事处罚、各种形式的自治法规、行业法规和隐私政策等。同样,为信息主体提供对自己的访问权限记录可能有不同的例外情况,具体取决于记录是否为雇佣、教育、信用或执法记录等内容,这也进一步导致了原则在适用中的模糊性和不确定性。
20世纪80年代末,人类开始由工业社会转入信息社会,各国纷纷投入大量资金用于信息技术研究,与此相对应的是个人信息保护立法工作步伐的加快。这一时期,在世界具有较大影响力的两大组织——经济合作与开发组织和欧盟分别于1980年和1995年出台了《隐私保护和个人数据跨境流通指南》和《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC/号指令》,在现有立法的基础上顺应信息跨境流通新潮流,对个人信息处理作出了更明确和详细的规定。
《OECD指南》在第二部分7-14条中对个人信息处理原则作出了规定,具体条文内容如下:
(1)收集限制原则:个人数据的收集应受限制,必须以合法和正当的方式获取数据,并经主体知晓或同意。(2)数据质量原则:这一原则实际上同时涵盖了两方面的要求,一是目的限定,即获取的个人数据应当与利用目的有关,并进行限于该目的处理;二是数据准确性,要求个人数据应当准确、完整并适时保持更新。(3)目的特定化原则:个人数据的收集目的应当在收集时确定,随后对其的使用应当被限制在实现该目的所必要的范围内,或用于其他与实现该目的不冲突和每次更改时确定的目的。(4)使用限制原则:该原则再一次地强调了个人数据不得被超出前款规定目的地进行使用,但同时又规定了两项例外情形,即已获得数据主体同意或存在法律授权的情形。(5)安全保 护原则:即数据控制者应当采取合理措施确保个人数据安全,防止丢失、损毁、泄露或未经授权的访问和使用等情形发生。(6)公开原则:要求数据控制者公开处理相关的一般政策,同时还需提供现实可行的手段使数据主体得以确定其数据处理情况以及数据控制者的身份等信息。(7)个人参与原则:确认数据主体有从数据控制者或其他人处获得控制者是否持有其相关数据的确认函的权利,并能够在合理时间内,以合理费用和方式、可辨识的形式被告知与其有关的数据信息。同时,还赋予了数据主体删除和更正等权能。(8)责任原则:数据控制者应当就其是否有效地遵守了上述原则承担责任。
《OECD指南》虽然没有使用信息公平实践原则(FIPs)这一术语,但通过条文比较可以看出,《OECD指南》在针对信息主体权利保障的同时,也分配了信息控制者的职责,实际上仍是在以FIPs为核心的基础上,对其进行了适当扩展,例如,从其中的“确保数据可靠性”要求中抽取出“数据质量原则”,并强调控制者应当主动履行更新职责;另外,考虑到个人信息的社会属性,在FIPs原有的知情同意原则的基础上增设“经法律授权”这一合法性基础,避免形成信息主体对其信息具的绝对控制权。此后,OECD又于2013年对其进行修订,增加了部分原则的具体实施要求,以期达到提高条文可操作性的目的。
在《95/46/EC指令》第二章第一节“与数据质量相关的原则”中,规定了个人信息处理原则:
(1)成员国应保证个人数据必须:(a)正当、合法处理;(b)为特定、明确和合法的目的而收集,并不得以与目的不符的方式作进一步处理。如果成员国可以提供适当的保障,那么可出于历史、统计或科学目的对数据作进一步处理;(c)进一步处理的目的相较于收集的目的而言,是适当、相关且不过度的;(d)准确,并在必要时保持最新;采取一切合理方式,确保那些相较于收集或进一步处理目的而言不准确、不完整的数据能够被删除或更正;(e)在以允许识别数据主体的形式保存时,存储期限不得超过出于收集目的或进一步处理目的所必需的时间;基于历史、统计或科学目的长期使用个人数据时,应采取充分的保护措施;(2)数据控制者应确保上述条款被遵守。《95/46/EC指令》的出台,进一步促进了FIPs原则在欧洲范围内的传播,虽然在内容上有些许变异,如补充了主体在信息收集和使用时的自主权利、对信息控制者保证数据质量作出了要求。值得注意的是,欧洲大陆虽然认为个人信息保护植根于基本权利保护,与人格保护密切有关,但同样承认这种保护不应当是漫无边际、不受限制的,因此增加了“为历史、统计或科学”等目的可对信息做超出收集目的的进一步处理和存储的例外规定等,但仍然延续了FIPs原则的基本内涵。此外,《95/46/EC指令》限制将个人信息传输到没有“足够的保护水平”的国家,这也在一定程度上鼓励了其他一些国家信息保护法律的完善。
在信息跨境流通日益频繁的背景下,经合组织、欧洲理事会和欧盟都承认了国家隐私立法中存在差异可能会阻碍国家之间信息的自由流通,而“协调国民隐私标准是国际组织开展隐私活动的主要目的,保护个人隐私利益,统一的目标有助于提高商界对隐私的兴趣”。因此,确立相对统一并被国际社会广泛接受的立法价值理念,并制定和完善相应的个人信息处理原则就显得至关重要。
21世纪,信息技术在人类发展历史上占据了前所未有的重要地位,作为先进生产力的代表,其不仅深刻地影响着经济结构与经济效率,还逐渐成为支撑经济活动和社会生活的基石。面对信息经济背后的巨大市场潜力和个人信息权益亟须有力保护的迫切需求,世界主要国家纷纷制定信息保护法。欧盟于2016年施行的《统一数据保护条例》(以下简称“GDPR”)无疑是其中最具影响力和代表性的立法。GDPR在前述框架下对原有规则进行了归纳和整合,相对全面地总结出了七项重要的个人信息处理原则,而在与各个国家和地区的个人信息保护法进行的横向对比分析中,这些原则亦广泛地存在不同程度的体现。GDPR中的个人信息处理原则包括:
这一原则是对1995年《95/46/EC指令》A6(1)(a).项的扩展,在合法正当原则的基础上扩充了透明度要求。为了使个人信息的处理合法,处理者需要确定处理的具体理由,这些理由即为“处理的合法性基础”,而非仅将主体同意作为信息处理行为的唯一合法性基础。根据处理者的目的和其与信息的关系不同而共有六种选择,处理某些特别敏感类型的信息也有特定的附加条件。而正当原则意味着信息控制者只能以人们合理预期的方式处理个人信息,而不能以对个人信息产生不合理的不利影响的方式使用它们;不仅要考虑如何使用,更要考虑是否应该使用个人信息。透明原则从根本上与正当原则是息息相关的,透明处理要求处理者指从一开始就对他人保持开放和诚实,令其了解处理者的身份、使用方式和原因。
这项规定旨在确保信息控制者明确和公开其获取个人信息的目的与理由,以及其处理信息的做法符合主体的合理期望。根据这一原则的要求,信息控制者必须在其应保存的文件内指明处理个人信息的目的,以作为记录义务的一部分。如果其目的改变或将用于新目的,则必须保证新目的与原始目的兼容;除非取得了信息主体的同意或有明确的法律依据,此时才允许其出于公共利益的目的而进行进一步处理。
这一原则要求信息控制者仅出于特定目的收集实际需要的个人信息,并保证有足够的个人信息来实现这些目的;此外,信息控制者还必须对持有的信息进行定期审查并删除不需要的内容。根据GDPR规定,个人有权完善相较于使用目的而言不充足的不完整信息,同时也有要求信息控制者删除对实现其目的而言无必要数据的权利,是信息主体更正权与删除权的体现。
虽然GDPR并未对“准确”一词作出定义,但通常而言应当认定“在事实问题上不正确或具有误导性”的信息为“不准确”信息。这意味着信息控制者必须采取合理步骤以确保一切个人信息的准确性,保证个人信息的来源和状态清晰,并仔细考虑对信息准确性的任何挑战以及是否有必要定期更新信息。在获取个人信息后,控制者必须对个人信息的处理、使用、修改过程等作详细的历史记录,以保证其状态变化的可追溯性。
控制者保存个人信息,不得超过为实现其目的所需的必要时间。在保存过程中,控制者应该定期查看所保存的信息,并在不再需要时将其删除或做匿名化处理。GDPR并未规定信息控制者应将个人数据保留多长时间,因此控制者可以根据自己的处理目的来设定合理的时间。如果信息是以允许识别个人身份的形式保存的话,那么控制者必须说明以此种形式保存信息的合理理由,并在该理由不具备后及时对信息进行匿名化处理。同时GDPR也设定了例外情形,那就是如果控制者是出于公共利益的考虑,为科学、历史研究或统计目的保留个人信息,则时间可以适当延长。
作为GDPR的关键原则之一,安全原则指信息控制者通过“适当的技术和组织措施”安全地处理个人信息,在决定采取何种措施时,信息控制者可以考虑最新的技术水平和实施成本,但是这些措施必须既适合信息处理的实际情况,又可以应对处理过程中可能带来的风险。在适当的条件下,信息控制者应该考虑使用假名和加密等措施。此外,控制者还必须能够保证在发生物理或技术事件,这些措施能够及时恢复个人信息的可访问性和可用性。
责任原则要求信息控制者对其处理个人信息并遵守其他原则承担责任,同时,还应当有适当的措施和记录,以证明其处理行为是合规的。在具体实施上,主要包括遵守GDPR条文、在适当时通过和实施信息保护措施、保留处理的记录、采取必要的安全措施、针对可能对信息主体利益带来威胁的个人信息处理进行信息保护影响评估等。此外,为了保障信息安全,应当在合理的时间间隔 内对问责机制进行审查和更新。
三、总结——规则设计的殊途同归
在2011年发表的《欧洲数据隐私标准对域外影响:108公约全球化含意》一文中,学者Greenleaf根据21世纪以来的国际数据保护立法现状,将经合组织《隐私保护和个人数据跨境流通指南》(OECD)、欧洲委员会个人数据自动化处理中的个人保护公约(CoE)和亚太经合组织的《隐私框架》(APEC)中共享并在后来被各国数据保护立法广泛吸收的原则称为数据保护立法的国际要素,并从中概括出了十大要素:
这十个国际要素现在已被普遍接受为完整的“数据隐私法”原则的一部分,并且在此类法律中始终存在,共同构成当前全球通行的信息处理原则一基础框架。其所明确的既包括信息处理关系中处理者与信息主体之间的权利义务关系,如个人的知情权、访问权、更正权、拒绝权和删除权等信息权能,以及信息处理者的公开、保密以及安全保障等义务;也包括在信息流通的不同阶段对于信息处理行为的规制,如收集目的特定、明确,以及对存储期限和信息公开和共享行为的限制等。
虽然这些要素所体现的原则在条文表述上经常有例外和区别,但总是以不同的形式出现和存在着。例如,作为关键原则之一的合法性原则在大多数国家中被概括地归纳为目的合法与方式合法,但也有一些国家与GDPR相同,在此基础上进一步规定了具体的信息处理合法性基础,例如荷兰和马来西亚的个人数据保护法、新西兰的隐私法、罗马尼亚个人数据处理和自由流通中的个人保护法和斯里兰卡《个人数据保护条例草案框架》等。再如,对最早于1980年的《OECD隐私指南》中被确认的目的限定原则,国内有学者认为,应当将目的限制原则与目的明确原则区分开,这两者虽然联系紧密,但目的明确原则旨在要求数据处理者进行处理应有明确的目的,而目的限制原则主要在于确保处理者对于个人数据的收集和处理受到该“明确目的”之限制。但也有学者对此提出反对意见,认为目的限制与目的明确要求虽然具有一定的独立性,但其关联性也不可忽视。目的明确是使用限制的逻辑前提,只有先确定了明确、特定、具体的目的,才能在该目的所确定的范围内对数据的收集使用作出限制;而仅有明确的目的亦无法确保处理者对于个人数据的限定在必要的最小范围内,还需要通过使用限制原则作进一步限定。而我国个人信息保护法第6条中分别通过两个条款对信息处理行为目的的明确性和使用限制分别作出规制,从各国信息保护立法例来看,多数国家亦是采取了此种做法。
除上述基本原则外,还有一些国家依据其基本国情、结合本国法政策和个人信息保护形势,在这十个国际要素之外设定了新的个人信息处理原则。例如,为了推动经济发展,发挥信息产业潜力,巴西在统一数据保护法中确立了经济技术发展与创新原则和自由企业、自由竞争和消费者保护原则;墨西哥关于保护私人持有个人数据的联邦法在安全、责任原则外,为数据控制者增设了“忠诚义务原则”,以使其能够忠实、诚信地处理个人数据;新西兰隐私法和维多利亚州隐私和数据保护法则通过唯一标识符原则,要求数据控制者采取合理步骤,向身份明确的个人分配独特标识符等。但从总体趋势上看,信息处理原则的设置仍在逐渐走向相对统一的构建模式。究其原因,本质在于个人信息的多元利益属性和多方权属主体使得信息共享权利体系的建立成为现实需求, 为了推动社会治理和产业经济的数字化进程,信息主体对于信息的绝对控制必须让步于信息正当利益的实现,各国就信息处理原则的规范设计仍然是在平衡信息开发利用与主体权益保护这一基本导向的指引下进行。因此,以公平信息实践原则为基础框架,经不断完善发展后的主要处理原则在世界范围内走向相对统一,并将随着信息处理技术的发展和信息共享水平的提升作出及时回应。
往期精彩回顾
曾加 刘昭良|中国(上海)自贸区临港新片区友好仲裁制度的机遇、挑战与发展
占仕强|公民个人信息收集、使用、删除规则之分析与重构——以“期限型”与“非期限型”为线
上海市法学会官网
http://www.sls.org.cn