返回上一页 文章阅读 登录

丁晓东:论个人信息法律保护的思想渊源与基本原理

更新时间:2019-09-20 00:25:31
作者: 丁晓东  

   摘要:  公平信息实践构成了全球个人信息保护的思想渊源与基本框架。对公平信息实践的演化和全球各个版本公平信息实践的原则进行总结,可以发现公平信息实践确立了以个人信息赋权与施加信息控制者责任的进路。但强化个人信息赋权却未必符合个人信息保护的基本原理,并不一定能够很好地保护个体的隐私权益。同时,对信息控制者施加某些责任也未必符合大数据的基本特征,不能恰当地利用与保护个人信息。本文提出大数据时代的公平信息实践版本,主张采取有限个体主义与动态化的个人信息保护。这一公平信息实践的版本强调平衡个人信息收集、处理和流通中的个体预期与社会预期,强调发挥个人信息的公共性价值与风险防范的个人信息保护进路。

   关键词:  公平信息实践;个人信息保护;大数据;个体主义;动态保护

  

   个人信息保护研究已经成为法学界的热点。近年来,随着个人信息保护问题引起社会的日益关注,并且被列入国家的立法计划,各类个人信息保护研究的文献如雨后春笋般的兴起。但另一方面,在国内法学界的个人信息保护研究中,对于公平信息实践(fair information practices)的研究却基本处于空白状态,很少有学术文献对公平信息实践进行介绍,也几乎没有什么学术文献对不同版本的公平信息实践进行归纳总结,从原理上对其进行进一步分析[1]。

   对于我国的个人信息保护研究与个人信息立法而言,这不能不说是一个遗憾。从思想渊源与制度架构来说,公平信息实践提供了个人信息保护法或信息隐私法(information privacy)的思想渊源,奠定了现代信息隐私法的框架。隐私法研究的权威学者保罗·施瓦茨(Paul Schwartz)指出:“公平信息实践是现代信息隐私法的基石”{1}1607-1614。长期关注隐私问题的专家保罗那·布鲁宁(Paula Bruening)也指出:“公平信息实践的基本原则已经为世界各国、地区、公司和个人提供了关于数据保护和隐私的共同语言……当存在隐私或数据保护失败时,它们提供了测量遵守的工具和执行手段[2]。”一言以蔽之,公平信息实践“已经成为全球隐私保护的重要准则”,得到了包括中国在内的全球各个国家的认可[3]。

   本文对公平信息实践进行了介绍、总结和反思。通过对公平信息实践的介绍和总结,可以发现公平信息实践的不同版本都采取个体信息赋权与施加信息控制者责任的原则。但通过对公平信息实践的基本原理进行反思,可以发现过度强化个体信息赋权并不能有效保护公民个体的相关权益,某些施加于个人信息控制者的责任也并不合理。为了更有效地发挥公平信息实践的指引性作用,本文提出了新版本的公平信息实践。这一版本采取有限个体主义的立场与动态的个人信息保护进路,提出个人信息保护应当注重个人与社会对于个人信息流通的合理预期。同时,在大数据已经到来的时代,公平信息实践更应当注重发挥个人信息的流通价值与公共性价值,在此前提下采取措施防范相关风险。

  

   一、公平信息实践的起源

  

   公平信息实践诞生于1973年。二十世纪七十年代,美国政府用计算机数据库处理个人信息日益普遍,为了回应伴生的问题,美国政府在医疗、教育与福利部门成立了一个“关于个人数据自动系统的建议小组”(Advisory Committee on Automated Personal Data Systems)。这个小组在1973年首先发布了一份“公平信息实践准则”报告,确立了处理个人数据的五项原则[4]:

   (1)必须禁止所有秘密的个人数据档案保存系统。

   (2)必须确保个人了解其被收集的档案信息是什么,以及信息如何被使用。

   (3)必须确保个人能够阻止未经同意而将其信息用于个人授权使用之外的目的,或者将其信息提供给他人,用作个人授权之外的目的。

   (4)必须确保个人能够改正或修改关于个人可识别信息的档案。

   (5)必须确保任何组织在计划使用数据时,其创建、维护、使用或传播可识别个人数据的档案中的数据都必须是可靠的,并且必须采取预防措施防止数据的滥用。

   1973年的公平信息实践准则在1977年美国政府设立的“隐私保护学习委员会”报告中得到了进一步发展。美国政府曾经在1974年设立“隐私保护学习委员会”(Privacy Protection Study Commission),对一系列隐私问题重新进行审查。1977年,“隐私保护学习委员会”在提交给美国总统卡特的报告中,进一步发展了公平信息实践,设定了数据保护系统的三大目标[5]:

   (1)在个人对档案储存机构的期待和机构的实际做法之间保持平衡(最小化干涉性)

   (2)对于档案储存的操作,应尽可能减少个人的档案信息成为导致对其不公平的渊源(最大化公平性)。

   (3)对于个人的档案信息的使用和披露,应当建立和界定有关责任(建立合法的、可执行的保密预期)。

   此外,“隐私保护学习委员会”报告还将公平信息实践的原则从五项扩展至八项[6]:

   (1)公开原则:必须禁止所有秘密的个人数据档案保存系统,而且机构应当设立个人数据档案的保存政策、实践和系统的公开政策。

   (2)个人访问原则:对于档案保存机构以个人可识别形式保存的有关信息,必须确保个人有权查看和复制。

   (3)个人参与原则:对于档案保存机构,必须确保个人有权更正或修改实质性的其为档案储存机构所保存的信息。

   (4)收集限制原则:对于一个机构可以收集的关于个人信息的类型,以及收集方法,应当存在某些限制。

   (5)使用限制原则:在档案保存的机构内,对个人相关信息的使用应当有限制。

   (6)披露限制原则:对于档案保存机构可能作出的对外披露个人信息,应予以限制。

   (7)信息管理原则:档案保存机构应当制定合理、适当的信息管理政策和做法,保证收集、维护、使用、传播有关个人的信息是必要的、合法的,而且信息本身是最新和准确的。

   (8)问责原则:档案保存机构应当对个人数据档案保存的政策、实践和系统承担责任。

   总结而言,1973年“关于个人数据自动系统的建议小组”和1977年“隐私保护学习委员会”所提供的两个版本的公平信息实践大致确立了个人信息保护的基本框架与原则。一方面,公平信息实践对个人进行了信息赋权,规定了个体所享有的一系列信息权利,例如个人的信息访问权、更正权与修改权等权利。另一方面,公平信息实践也对信息收集者或处理者施加了一系列义务,规定个人信息收集者或处理者应当承担相应义务,例如收集个人信息时的告知义务、使用个人信息的目的限制义务、个人信息安全保障义务等。

  

   二、公平信息实践的影响与演化

  

   公平信息实践的理论提出后,对美国、欧洲与国际组织的个人信息保护或信息隐私法产生了深远的影响,这些国家和地区的法律或者明确接受公平信息实践,或者在其法律规定中体现公平信息实践的各项原则。

   1.美国

   公平信息实践的原理极大地影响了美国的信息隐私立法。在联邦层面,1974年美国隐私法案(The Privacy Act)直接采用了1973年公平信息实践的若干原则[7]。其后,在《家庭教育权利与隐私法》(Family Educational Rights and Privacy Act of 1974)[8]、《联邦有线通讯政策法案》(Cable Communications Policy Act)[9]、《视频隐私保护法》(Video Privacy Protection Act)[10]、《司机隐私保护法案》(Driver’s Privacy Protection Act)[11]等法案中,公平信息实践的原理都得到了相应体现。在州政府层面,很多州开始根据公平信息实践原则来规范州政府收集个人信息的情形。例如马萨诸塞州制定了关于政府收集个人数据的一般性法律,将公平信息实践作为专门一章[12];明尼苏达州制定的《政府数据实践法案》(Minnesota Government Data Practices Act),进一步具体化公平信息实践的原则[13]。

   此外,一些规制机构和贸易委员会也采取或推行公平信息实践的若干原则{2}。如美国联邦贸易委员会(Federal Trade Commission)在其2000年报告中指出,当网站商业机构收取个人信息应当接受“四项广为接受的公平信息实践”[14]:

   (1)告知:网站需要向消费者提供关于其信息实践的清晰和明显的告知,包括收集什么信息、如何收集信息(例如,直接或通过非显而易见的方式,如cookie)、如何使用信息、如何向消费者提供选择、可访问性与安全、是否向其他实体披露收集的信息,以及其他实体是否正在通过网站收集信息。

   (2)选择:网站除了在消费者提供信息以完成服务时(例如完成一项交易)给出选择之外,还需要向消费者提供关于如何使用他们的个人识别信息的选择。这种选择将包括内部二次使用(例如向消费者再次进行营销)和外部二次使用(如向其他实体公开数据)。

   (3)可访问性:网站应向消费者提供对网站收集的关于他们的信息的合理访问,包括审查信息和纠正不准确或删除信息的合理机会。

   (4)安全:网站需要采取合理步骤来保护所收集信息的安全性[15]。

   2.欧洲

   欧洲立法对于公平信息实践的继受同样明显。1980年,欧洲议会通过了有关个人数据保护的《保护自动化处理个人数据公约》(Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data)。这部公约规定,如果存在自动化处理个人数据,数据主体应当有权知晓,并且了解其主要目的;数据主体有权确认与数据主体有关的个人数据是否存储在文件中;有权查看、纠正或删除数据;有权获得未能遵守其他权利的救济。

   其后,在1995年制定的《欧洲议会和理事会关于个人数据处理和自由流动的个人保护》的指令中,公平信息实践的一系列原则又得到了体现。根据工作小组的解释,这部指令至少体现了如下八项反映公平信息实践的原则[16]:

   (1)目的限定原则:数据应当只能因为某个目的而被处理,而且数据转移不应当与此目的相冲突。

   (2)数据质量与比例原则:数据应当准确,必要时应当及时更新。对于数据被转移或进一步处理,数据应当及时、相关且不超过一定的目的。

   (3)透明性原则:个体应当有权获取相关信息,比如处理的目的和数据控制者的身份,以及其他为了保证公平性的信息。

   (4)安全性原则:数据控制者应当采取恰当的技术与组织性措施来应对处理风险。

(5)可访问性、纠正与反对的权利:数据主体应当有权获取其被处理的信息的备份,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/118261.html
收藏