加拿大個人信息保護法對網(wǎng)絡(luò)信息的保護及啟示

李昱 程德安

摘?要：在當前互聯(lián)網(wǎng)環(huán)境下，個人信息保護的難度較大，傳統(tǒng)的隱私權(quán)法已經(jīng)無法滿足對個人信息的保護。如何更好地保護互聯(lián)網(wǎng)中的個人信息成為世界范圍的難題。針對這一問題，加拿大在新世紀元年頒布了《個人信息保護與電子資料法》（PIPEDA），如今已經(jīng)形成一套行之有效的個人信息保護法律體系，本文通過對這一法律的研究分析，明晰了其立足實踐的立法模式及法律規(guī)定的十大原則，對這一法律體系的借鑒，將在中國個人信息保護的立法與實踐的過程中發(fā)揮重要的指導(dǎo)作用。

關(guān)鍵詞：隱私權(quán);個人信息保護; 大數(shù)據(jù)時代;加拿大

中圖分類號：D913????文獻標識碼：A????文章編號：1672-8122（2019）09-0041-05

一、個人信息在無意中被侵犯

智媒時代給用戶帶來了個性化、差異化、精準化的網(wǎng)絡(luò)服務(wù)，同樣也帶來了用戶個人信息的泄露與侵犯。2018年，在美國民眾對Facebook泄露用戶信息，并利用選民數(shù)據(jù)將特朗普推上美國總統(tǒng)的位置這一事件議論紛紛之際，中國網(wǎng)民也對隱私權(quán)以及個人信息和數(shù)據(jù)安全表示密切關(guān)注。2018年3月27日，在中國發(fā)展高層論壇上，百度的董事長李彥宏表示，“中國人愿意在可以用隱私換取便利或者效率的情況下，選擇這樣做，他們對隱私的態(tài)度更開放，相對不那么敏感。[1]”這一段話徹底將網(wǎng)民的不滿情緒引爆，一時間網(wǎng)絡(luò)上對李彥宏以及百度的負面評論沸沸揚揚，認為李彥宏并沒有尊重用戶隱私權(quán)利，不值得用戶信任?？梢姡W(wǎng)民并不想成為任人宰割的“數(shù)據(jù)動物”，但往往在無意中，網(wǎng)民的個人信息就已經(jīng)被泄露利用，這樣的情況常常是“默認勾選”造成的。

2018年1月3日，“支付寶年度個人賬單”席卷了微信朋友圈，在刷屏之際多數(shù)人都沒有注意到在賬單首頁下面的一行“蠅頭小字”：“我同意《芝麻服務(wù)協(xié)議》”，這一選項是默認選擇的，如果沒有手動取消勾選，就代表著允許支付寶收集用戶個人信息和電子資料，包括在第三方存儲的信息。雖然最后在輿論的壓力下，芝麻信用在微博上承認錯誤，并由支付寶官方轉(zhuǎn)發(fā)微博，但并不是每一次無意間的個人信息泄露都會被用戶及時發(fā)現(xiàn)和彌補。

這樣的“默認勾選”無論是在社交媒體類APP、生活服務(wù)類APP，還是在電商的銷售平臺中，或多或少都存在信息安全問題。根據(jù)中國電子商務(wù)研究中心的數(shù)據(jù)顯示，在38家網(wǎng)絡(luò)交易平臺中，86.84%的平臺存在信息安全漏洞[2]。默認勾選還僅是當前個人信息被侵犯的重要方面之一，在當前的網(wǎng)絡(luò)環(huán)境下，還有更多形式的個人信息侵權(quán)行為。針對這種情況，加拿大《個人信息保護與電子資料法》（The personal Information Protection and Electronic Documents

Act，以下簡稱PIPEDA）可以通過其規(guī)定的責(zé)任制原則、同意原則等個人信息保護原則有效地保護用戶數(shù)據(jù)隱私，這一點，是傳統(tǒng)隱私權(quán)法未企及的領(lǐng)域。

二、《隱私權(quán)法》已無法有效保護個人信息

隱私權(quán)是公民基本的人格權(quán)利，傳統(tǒng)意義上的隱私權(quán)是公民“享有的私人生活安寧與私人信息依法受到保護，不被非法侵擾、知悉、搜集、利用和公開的一種人格權(quán)”[3]

?；ヂ?lián)網(wǎng)技術(shù)的發(fā)展，使各類信息和數(shù)據(jù)的收集、存儲、傳輸、交流更加便捷成為可能，也使公民的隱私保護問題變得愈加復(fù)雜，由此引出對網(wǎng)絡(luò)隱私權(quán)的探討。網(wǎng)絡(luò)隱私權(quán)是公民在網(wǎng)上享有私人生活安寧和私人信息依法受到保護，不被他人非法侵犯、知悉、搜集、復(fù)制、利用和公開的一種人格權(quán)[4]。

網(wǎng)絡(luò)隱私權(quán)并不新穎，網(wǎng)絡(luò)隱私權(quán)只是伴隨著科技發(fā)展、網(wǎng)絡(luò)普及的時代產(chǎn)物?；蛘哒f網(wǎng)絡(luò)隱私權(quán)是傳統(tǒng)隱私權(quán)在網(wǎng)絡(luò)空間的延伸，而這一部分外延，即基于人們在網(wǎng)絡(luò)上的行為而產(chǎn)生各種網(wǎng)絡(luò)個人信息資料保護問題。個人信息資料是與個人從事網(wǎng)絡(luò)活動相關(guān)聯(lián)的，是可以反應(yīng)個體特征的具有可識別性的符號系統(tǒng)，個人信息資料的范圍較廣，不僅包括個人的基本信息，也包括從事網(wǎng)絡(luò)活動產(chǎn)生的信息記錄等[5]。

縱向來看，從傳統(tǒng)的隱私權(quán)到網(wǎng)絡(luò)隱私權(quán)，是大數(shù)據(jù)時代的到來，互聯(lián)網(wǎng)技術(shù)的發(fā)展，個人信息和數(shù)據(jù)成為一項重要的社會資源帶來的負面影響的產(chǎn)物。橫向?qū)Ρ瓤梢园l(fā)現(xiàn)，個人信息權(quán)與隱私權(quán)都是人格權(quán)的一種，二者的權(quán)利主體都是自然人，但二者在保護內(nèi)容、法律屬性、權(quán)利制度、防范角度和保護方式等方面存在著差別。個人信息保護更側(cè)重于強調(diào)“可識別性”，也就是網(wǎng)絡(luò)世界對一個人的認知和行為判斷。這一點是以往的隱私權(quán)沒有突出強調(diào)的。

由此可以看出，個人信息保護與傳統(tǒng)隱私權(quán)和網(wǎng)絡(luò)隱私權(quán)有一定的差別，想利用傳統(tǒng)隱私權(quán)保護法來保護網(wǎng)絡(luò)個人信息，這樣的想法是形而上的。新的時代背景下，出臺專門的個人信息保護法已是大勢所趨。美國馬里蘭州在2008年通過《個人資料保護法》，滿足特定營業(yè)需求的同時，將維護顧客信息保密原則作為前提;歐洲同樣也有個人信息保護的專門立法，在2018年生效的《一般數(shù)據(jù)保護條例》，將取代1995年發(fā)布的《歐盟數(shù)據(jù)保護指令》，這一指令堪稱史上最嚴格的數(shù)據(jù)保護條例;作為美國的鄰國，加拿大沒有盲目效仿“美國模式”，而是走出了一條因地制宜的

“個人信息保護立法”道路，PIPEDA在21世紀元年應(yīng)運而生。

三、加拿大PIPEDA的立法模式與基本原則

（一）加拿大個人信息保護立法模式

從世界范圍來看，關(guān)于個人信息資料的立法，各國的法律法規(guī)具體內(nèi)容雖然不同，但究其根源，無外乎三種模式：一種是以美國為代表的行業(yè)自律模式，這一模式依靠網(wǎng)絡(luò)服務(wù)者的自我約束以及行業(yè)協(xié)會的監(jiān)管。為了避免過度保護形成對互聯(lián)網(wǎng)行業(yè)正常發(fā)展服務(wù)的阻礙，也避免國家過早立法限制信息科技在社會的應(yīng)用，行業(yè)自律模式首先在整體上制定規(guī)范個人信息保護的自律規(guī)則，同時對特殊的個人信息資料制定進行規(guī)范;另一種是純粹的立法規(guī)制模式，是由國家和政府主導(dǎo)的一種模式。直接制定法律，在法律層面確立個人信息保護的制度，進而將這些制度作為建立司法和行政救濟措施的基礎(chǔ)，這種模式以歐盟為代表;第三種模式是以日本為代表的“中間道路”，將行業(yè)自律模式與立法規(guī)制模式結(jié)合，既通過法律全方面地實現(xiàn)個人信息保護，也注重行業(yè)自律和協(xié)會的監(jiān)管。在這三種立法模式當中，加拿大采取的正是第三種模式。

加拿大在1983年就已經(jīng)頒布了《隱私法》，主要是對聯(lián)邦政府收集、使用和披露個人信息的行為進行了規(guī)范。而PIPEDA在2000年通過， 2001年、2002年和2004年分為三個階段生效，PIPEDA主要規(guī)定了私人或者企業(yè)在進行商業(yè)活動時，使用個人信息時的范圍與準則[6]。相比于1983年頒布的《隱私法》，PIPEDA更具時代特征，其適用性更高。作為加拿大最主要的聯(lián)邦法規(guī)之一，PIPEDA一直是隱私權(quán)的保障[7]。如果從1983年《隱私法》的頒布起算，目前加拿大個人信息保護法律制度已經(jīng)實施了36年，在國內(nèi)已經(jīng)形成了一套行之有效的法律制度，個人信息電子資料的法律保護體系較為成熟。在這一體系的運行過程中，PIPEDA有自己堅持的十項原則。

（二）PIPEDA的“靈魂”—— 十項基本原則

在個人信息保護的基本原則方面，

1980年經(jīng)濟合作與發(fā)展組織（OECD）公布了個人信息保護的八大原則，這些原則分別為：收集限制原則、數(shù)據(jù)質(zhì)量原則、目的明確原則、使用限制原則、安全保障原則、公開性原則、個人參與原則和問責(zé)制原則。這些指導(dǎo)原則有著“制定個人信息保護文件的國際標準”之稱。各國和國際組織制定個人信息保護法律及政策時，雖有一定差異，但基本不會脫離這八項原則，加拿大的PIPEDA正是在這八大原則的基礎(chǔ)上，進一步細致劃分為十項基本原則，這十項基本原則對于理解PIPEDA有著至關(guān)重要的意義，所以本文將逐一進行分析說明。

PIPEDA在實施過程中，這十項基本原則可能是作為指導(dǎo)原則而存在的，也可能是作為在完整性和明晰性方面的補充法律[8]。PIPEDA本身是存在著不足之處的，但是其十項基本原則在幾十年的實踐當中發(fā)揮著重要的指導(dǎo)性作用，在某種程度上彌補了像“缺乏對勞動關(guān)系中個人信息保護”“其規(guī)定的個人信息保護范圍過窄”“對企業(yè)、組織轉(zhuǎn)讓或合并時的個人信息保護沒有做出規(guī)定”等問題。

PIPEDA規(guī)定的的十項基本原則具體為以下幾點。

1.責(zé)任制原則（Accountability），指任何組織有責(zé)任對于其控制下的個人信息和電子資料的保護建立起一套行之有效的制度，這一制度包括對個人信息的收集與使用方針、具體的業(yè)務(wù)操作流程。如果機構(gòu)是一家大型機構(gòu)，該機構(gòu)應(yīng)該任命一名“首席隱私保密官”，專門負責(zé)法律的執(zhí)行。也就是說，在個人信息保護層面，企業(yè)組織應(yīng)該承擔(dān)起應(yīng)付的責(zé)任，而并非單方面無條件地濫用。

2.明確目的原則（Identifying

purposes），即在收集個人信息和電子資料時，甚至是未收集之前，需要有明確的目的，表明收集的原因，收集的必要性，收集后信息的使用方法的明示。

3.同意原則（Consent），指任何組織和企業(yè)對個人信息的收集、使用和披露，都要以有效的方式告知信息關(guān)系人，同時取得信息相關(guān)人的同意。如果個人信息被用于新的用途，必須重新獲得同意。PIPEDA的條款都是在當事人同意的基礎(chǔ)上起草的，而這里的同意包括明確的表達，也可以是暗示，這一點就要考慮到信息關(guān)系人的合理預(yù)期，并綜合考慮個人信息的類型。一般性的信息，暗示即視為同意，但是例如病歷、轉(zhuǎn)賬記錄這些敏感信息，則必須得到信息關(guān)系人的明確表示。

4.限制收集原則（Limiting

collection），是指個人信息的收集應(yīng)該被企業(yè)組織證明具有必要的目的，這一目的一般是在收集信息之前就已經(jīng)界定好的。比如為了調(diào)查用戶對軟件的喜好程度，一般只是收集使用軟件的時長，而不會去收集用戶使用軟件的地點。并且要通過公平且合法的方法收集，禁止隨意收集個人信息和采用欺騙、誤導(dǎo)等手段進行收集。

5.限制使用、披露和保留原則（Limiting use，disclosure and

retention），是指企業(yè)組織需要按照收集信息時的目的進行使用和披露。即使需要保留個人信息，也必須具有必要性，這里的必要性是以達到預(yù)定目的為界限，除非企業(yè)事先獲得授權(quán)和允許。同時企業(yè)應(yīng)及時注銷不符合使用目的或法律要求的匿名信息，保留的個人信息允許信息關(guān)系人事后索取、補充以及修正。

6.準確性原則（Accuracy），即當有正當目的地對個人信息進行使用時，需要準確、完整地使用，并且要及時更新其個人信息。

7.保障措施原則（Safeguards），是指信息關(guān)系人的個人信息在被收集、使用和披露時，要受到安全保障措施的保護，防止遺失和盜竊，防止未經(jīng)授權(quán)的人對信息進行披露、復(fù)制和修改使用。

8.開放性原則（Openness），對于個人信息的管理和保護的方式以及政策措施，包括針對個人信息的業(yè)務(wù)操作方法和流程，企業(yè)組織應(yīng)該用通俗易懂的形式和明確的途徑向信息關(guān)系人公開。

9.個人訪問原則（Individual

access），這一點其實是信息關(guān)系人的知情權(quán)。當信息關(guān)系人要求獲取其個人信息時，除法定例外的情形，企業(yè)組織有義務(wù)告知本組織對信息關(guān)系人的全部信息，以及信息的使用、披露和給予第三方的情況，并允許信息關(guān)系人進行準確性和完整性的補充修改。

10.克服依從性原則（Challenging

compliance），企業(yè)組織與個人需要遵守以上原則，向個人信息持有者和個人信息關(guān)系人負責(zé)，從而使其符合PIPEDA的規(guī)范性。并且需要建立起信息關(guān)系人申訴受理的程序，企業(yè)組織需要告知信息的來源，并對信息進行核實，完成核實后如有出入要對信息進行更正。

PIPEDA的這十項基本原則，既是法律本身的高度概括，更是在實踐中對法律的有效補充。PIPEDA的目標是通過法律的實施和原則的堅守，鼓勵加拿大的企業(yè)組織建立起良好的信譽形象，與立法和執(zhí)法機關(guān)合作，逐漸建立起尊重個人隱私權(quán)的信譽[9]。

四、PIPEDA帶給中國個人信息保護的啟示

（一）確定立法模式

我國尚未出臺統(tǒng)一的個人信息保護法，也沒有設(shè)立專門負責(zé)個人信息保護的主管機關(guān)，個人信息保護對我國來說有著較大的難度。這就需要我國從根源抓起，居首位的便是立法模式。前文提到目前世界上的三種模式，加拿大在個人信息保護方面的立法采取的是第三種模式，也就是將行業(yè)自律與立法規(guī)制相結(jié)合。筆者認為，這一模式是目前最適合我國的立法模式。

我國互聯(lián)網(wǎng)產(chǎn)業(yè)蒸蒸日上，貿(mào)然制定法律法規(guī)進行強制性規(guī)定，無疑會打擊一大批互聯(lián)網(wǎng)行業(yè)的發(fā)展積極性和可能性。對于這一問題，行業(yè)自律是最好的辦法。論及以往，我國在個人信息保護方面，行業(yè)自律是很不充分的，某一領(lǐng)域出現(xiàn)社會問題，首先應(yīng)該從行業(yè)內(nèi)部入手，將行業(yè)自律這一排“柵欄”穩(wěn)定的建立起來，可以迅速地取得一定成效。在這樣的立法模式的指導(dǎo)下，另一方面要做的努力就是制定專門的個人信息保護法了。

（二）制定專門的個人信息保護法是必然

從2005年的《刑法修正案（五）》到《刑法修正案（七）》再到2015年通過的《刑法修正案（九）》，一路走來，可以看出在刑法方面對個人信息保護力度的增大?！缎谭ㄐ拚福ň牛穼ⅰ俺鍪刍蛱峁┧藗€人信息”的犯罪主體擴大，改為一般主體，入罪情節(jié)修改為從重處罰的情節(jié);降低入罪門檻，向他人提供公民個人信息如若構(gòu)成犯罪，不再以“非法”為前提;法定刑提高，情節(jié)特別嚴重的最高可判七年[10]。

而在民法對自然人的個人信息保護方面，《民法總則》第111條做了法律規(guī)定：任何組織和個人需要獲取他人個人信息的，應(yīng)當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。即便如此，在我國亟需獨立的個人信息保護法的情況下，目前仍沒有一部專門的《隱私權(quán)法》，涉及隱私的個人信息主要以人格權(quán)和隱私權(quán)等形式加以保護。反觀歐美國家，東亞的日本等國，大多頒布了獨立的《隱私權(quán)法》，在個人信息保護方面，美國有《隱私法》、德國有《個人資料保護法》、日本有《個人信息保護法》……我國正是因為沒有專門的個人信息保護的立法，所以才會導(dǎo)致目前理論上關(guān)于公民個人信息保護法律規(guī)定的效力不高，實踐層面也難以在司法活動中對網(wǎng)絡(luò)中的公民信息給予有效保護。

制定單行法，也是考慮到網(wǎng)絡(luò)隱私權(quán)不同于傳統(tǒng)隱私權(quán)的特點，個人信息與電子資料是網(wǎng)絡(luò)隱私權(quán)的側(cè)重面，如果仍采取傳統(tǒng)的名譽權(quán)來保護隱私權(quán)，實在是嚴重的落后于時代。但是單行法不一樣，單行法的制定可以靈活適應(yīng)時代要求，根據(jù)互聯(lián)網(wǎng)時代發(fā)展的進程更新?lián)Q代。在單行法中從個人信息權(quán)力的定義、內(nèi)容等方面入手，借鑒PIPEDA的十大基本原則，平衡企業(yè)組織與公民個人的利益。將個人信息受到侵犯的情形規(guī)定清楚，明晰入罪情節(jié)和具體的懲罰措施和救濟方式等。一部行之有效的單行法配合上已有的存在于刑法、民法、行政法等法律中的規(guī)定，可以形成比較完善的法律體系，最終與行業(yè)自律相結(jié)合，可以很好地形成對個人信息與電子資料的保護，解決目前面臨的個人信息保護難題。

作為PIPEDA規(guī)定的“靈魂”——十項基本原則，同樣是中國在制定單行法律時值得借鑒的關(guān)鍵。網(wǎng)民的個人信息受到各種形式的侵犯，其中最具有代表性侵權(quán)行為便是隱私條款“默認勾選”的侵犯，解決“默認勾選”的問題可以向加拿大學(xué)習(xí)，從確定本國個人信息保護法的基本原則入手。

2014年，加拿大一位已婚的Facebook用戶的個人信息被約會網(wǎng)站擅用，結(jié)果招來眾多約會邀請。針對這一事件，多倫多律師和互聯(lián)網(wǎng)專家巴里·杰克曼表示：PIPEDA可以保護沒有閱讀使用條款或在不知情的情況下同意其他網(wǎng)站分享信息的用戶，用戶表示接受條款也并不意味著他讀過這些條款，這不能作為一個正確的標準[11]。這一論述正是符合了PIPEDA的十項基本原則中的明確目的原則與同意原則。

一些網(wǎng)站和手機APP，在“默認勾選”方面一直因為兩個問題在犯錯，一是網(wǎng)站沒有盡到說明和告知的義務(wù)，沒有取得明確的授權(quán)，雖然同意原則內(nèi)涵中是可以暗示方式完成同意的表示，但是暗示僅針對一般性信息;第二點則是因為大多數(shù)的用戶在面對數(shù)十條晦澀難懂的隱私條款時無法了解網(wǎng)站的真實意思，就失去了同意或不同意的選擇余地，最后被動放棄隱私權(quán)。利用個人信息保護法基本原則，加拿大在司法實踐中實現(xiàn)了對網(wǎng)絡(luò)個人信息更全面的保障，“默認勾選”的條款難鉆法律空子，更多的“默認勾選”被視為無效，個人信息獲以安全。中國完全可以借鑒PIPEDA中明確目的原則、同意原則以及限制使用原則對國內(nèi)APP中“默認勾選”泛濫的情況進行規(guī)制，同時也將這些基本原則運用于規(guī)范其他個人信息保護的侵權(quán)行為中去。

五、結(jié)?語

在對加拿大PIPEDA的立法模式以及基本原則進行分析后，發(fā)現(xiàn)其在中國有可以借鑒的地方。在分析過程中，也的確發(fā)現(xiàn)了我國目前對個人信息保護的許多缺陷和不足：比如行業(yè)自律和政府監(jiān)管缺位、沒有專門立法對個人信息進行保護、目前法律制度無法適應(yīng)時代發(fā)展的要求等問題。綜合以上分析，PIPEDA對中國的啟示主要是以行業(yè)自律與法律規(guī)定的立法模式為指導(dǎo)，制定專門的個人信息保護法，同時以個人信息保護基本原則作為法律和實踐的補充，就可以有效遏制“默認勾選”的侵權(quán)，遏制個人信息與電子資料被泄露和利用等其他更多形式的侵權(quán)。

參考文獻：

[1]?李彥宏稱中國用戶愿用隱私換便利[EB/OL].http：//finance.ifeng.com/a/20180326/16046470_0.shtml.2018-03-01.

[2]?張璟.四部門啟動隱私條款審查，淘寶支付寶京東等巨頭紛紛重大調(diào)整[J].計算機與網(wǎng)絡(luò)，2017（10）：10-12.

[3]?張新寶.隱私權(quán)的法律保護[M].北京：群眾出版社，2015.

[4]?殷麗娟.專家談履行網(wǎng)上合同及保護網(wǎng)上隱私權(quán)[N].檢察日報，1999-05-26.

[5]?陶亮，李秋霞，翟晨，吳萬麟.個人電子資料法律保護的探析[J].法制與社會，2010（6）：70-71.

[6]?許春堯.加拿大個人信息保護法律制度及借鑒[J].韶關(guān)學(xué)院學(xué)報：社會科學(xué)版，2008（11）：17-20.

[7]?曾勝珍.美國、加拿大與臺灣個人資料保護法相關(guān)案例之研究[J].山東科技大學(xué)學(xué)報：社會科學(xué)版2016（6）：38-54.

[8]? BC.Keith. Privacy north of the border： 10 things you should know about Canadian

personal information laws[J]. Business Law Today，2004，14（2）：44-49.

[9]?（加）珍妮弗·斯道達特著.林均躍譯.加拿大《個人信息保護和電子文件法》對個人隱私的保護[EB/OL].中國市場信用網(wǎng).http：//www.cmcma.org.cn/html/201010-15/20101015085106.htm，2010-10-20.

[10]?張瑞康.我國個人信息保護現(xiàn)狀與前景[J].法制與社會，2018（3）：214-216.

[11]?吳薇.法律專家：社交網(wǎng)站用戶可以用加拿大隱私法保護自己[EB/OL].http：//news.superlife.ca.2014（11）.

[責(zé)任編輯：艾涓]

收稿日期：2019-04-28

作者簡介：李昱，男，西南政法大學(xué)全球新聞與傳播學(xué)院碩士研究生，主要從事傳播法學(xué)研究;程德安，男，西南政法大學(xué)全球新聞與傳播學(xué)院教授，主要從事傳播法學(xué)研究。