加拿大个人信息保护法律制度变革及启示

加拿大个人信息保护法律制度变革及启示

陈川

华东政法大学 法律 学院 上海 200042

摘要：为解决大数据时代下个人信息滥用带来的问题，2015年加拿大更新了《个人信息保护与电子文件法》( PIPEDA) 中的有关内容，之后又不断地推出一系列制度性变革以适应实际需求。包括建立有效同意制度，设立强制违规报告制度，加强隐私专员公署权力，扩大个人信息的定义范围等方面。这些变动意味着加拿大在个人信息保护法律制度上有了进一步的发展。我国应以结果为导向，从用户损害风险的角度定义“个人信息”，建立统一的个人信息监管机构，加强同意制度的有效性，推出先进完善的个人信息保护法。

关键词：PIPEDA；个人信息保护；监管机构；有效同意

中图分类号G251.3；D913

引言

加拿大关于个人信息保护的立法主要体现在两部法律文件上，即《隐私法》（Privacy act）和《个人信息保护与电子文件法》(以下简称PIPEDA) 。《隐私法》于1983年颁布主要规制联邦政府收集、使用、披露公民信息行为，包括有关个人或联邦雇员的信息。PIPEDA于2000年正式通过，并于2000年到2004年开始分阶段生效。作为《隐私法》的补充，PIPEDA规制私营部门机构和联邦工程、事业和企业在商业活动过程中收集、使用或披露个人信息的行为。在大数据影响下，2015年6月18日，加拿大参议院通过了《数字隐私法案》（Digital Privacy Act）(简称S-4法案)，正式公布了PIPEDA的修正案。新PIPEDA的实施对加拿大互联网产业的发展与维护个人信息权益具有重要的意义。

一、加拿大个人信息保护相关立法近况

PIPEDA要求议会每五年对第一部分中涉及隐私和个人信息的内容进行一次审查。2014年4月8日，加拿大参议院通过了《数字隐私法案》(简称S-4)，并于2015年6月18日获得皇家批准。法案S-4允许私营机构在不知情或未经同意的情况下披露个人的个人资料；要求机构在数据安全被破坏的情况下采取有力的补救措施；对不遵守维护信息安全责任设定罪行；并赋予隐私专员公署在一定情况下与机构签订遵从协议的权利。

2010年12月加拿大《反垃圾邮件法》（CASL）正式通过并于2014年7月1日生效。CASL规定未经同意发送商业电子信息属于非法行为，并因此规定了行政处罚与刑事处罚措施。CASL还对PIPEDA进行了修改，要求OPC与无线电视即电信委员会（以下称CRTC）及联邦竞争局共同负责执行CASL。CRTC负责调查未经同意而发送商业电子讯息、更改传送资料及安装软件的情况。竞争事务科负责处理电子市场上的虚假或具误导性的陈述及欺骗性的促销手法。

二、有效同意制度的设立

加拿大隐私专员在2016-2017的年度报告中指出，“同意仍然是确保个人自主的核心，但为了更有效地保护隐私，需要得到其他机制的支持。”^[1]这些机制包括：第一，强化隐私条款，隐私政策必须满足三个标准，即必须用通俗易懂的语言书写，必须适应机构政策，条款内容必须便于协商。第二，采用择入机制（opt-in consent）。加拿大认为择入机制是解决当前同意模式缺陷的最好办法，但需要区分非次要目的(提供用户请求的服务)和次要目的(以营销为目的转让给第三方)的信息处理。第三，改进算法透明度。大数据和跨境数据传输的时代，处理个人信息的算法非常复杂，而用户对其工作方式又知之甚少。因此，OPC将通过修改PIPEDA或采用其他措施改进算法透明度来提高用户同意的有效性。第四，同意撤销制度。同意撤销权是实现有效同意的一个关键因素。为此，PIPEDA规定在遵守法律或合同约定和合理通知的情况下，个人有权在任何时候撤回同意。^①但是，撤销同意的实现在实践运作中很困难，需要网络技术支撑并引入相关机制规定同意撤销的法律后果。

2019年1月1日OPC发布《有效同意指南》对私营机构收集、使用和共享个人信息行为作出了指导。^[2]该指南要求私营机构在发布授权政策时必须强调关键因素，即告知正在被收集的个人信息的内容，将与谁共享该个人信息，收集、使用或披露个人信息的目的，损害风险和其他后果等。同时，要求个人能够控制其个人信息的详细程度以及被使用的时间，从用户的角度考虑问题为个人提供明确“是”或“否”选项。为确保同意的有效性，要求同意保持动态的、持续的过程，机构要不定时更新同意系统，如更新“及时”通知、定制的移动界面。最后，设置严格的问责制，私营机构需随时准备证明其合规性。

三、 联邦隐私专员公署职权的变化

加拿大私隐专员是议会成员，直接向参议院负责，在议会前就拟议的立法和与私隐有关的问题提供分析和意见。加拿大隐私专员公署(OPC)监督《隐私法》《个人信息保护和电子文件法》(PIPEDA)以及加拿大联邦私营部门隐私法的遵守情况。OPC的职权主要包括：调查投诉案件，监督政府与私营机构遵守相关隐私规则的情况，与其他负责执《反垃圾邮件法》的机构合作，接收和审查违规报告，引导与挖掘大数据时代私营机构为消费者提供新产品和服务的潜力。

^[3]

近几年，加拿大开始呼吁对隐私专员公署的执行权进行改革。一方面，2018-2019年，Facebook / Cambridge Analytica丑闻和Equifax数据泄露事件在加拿大甚至整个国际社会产生了巨大的负面的影响。同时,Facebook拒绝整改的回应更是让加拿大意识到现行商业模式在问责和保障方面存在重大缺陷，并凸显了相关立法改革的迫切需要。另一方面，OPC缺乏执行权力已经构成了PIPEDA相对于欧洲GDPR标准的最大弱点，这将影响到接下来欧盟对其隐私法案的审查是否合格的问题。

四、强制违规报告制度的设立

2018年11月1日，加拿大数据泄露强制报告制度生效（以下称强制违规报告制度）。强制违规报告制度与PIPEDA中的“违规安全保护措施”有关，指因违反机构的安全保护措施或未建立安全措施造成个人信息的泄露、未经授权访问或未经授权披露个人信息所承担的的后果。该制度主要包括四个方面的内容。

首先，若有合理理由相信违规行为具有对个人造成重大损害的真实风险，私营机构（以下简称机构）必须向加拿大隐私公署提供书面违规通知。^②其次，提交的报告必须具体阐述违规行为的内容，时间，所涉及的个人信息，受影响的估计人数以及正在采取的应对措施。机构通常通过评估个人信息的敏感性和滥用的可能性（通常称为RROSH测试分析）^③来确定违反行为是否具有重大损害的真正风险。第三，机构必须合理地认为违规行为具有对个人造成重大损害风险，才能通知受影响的个人。除了应提供给OPC的信息外，通知个人的内容必须包括所涉机构的投诉程序和个人在PIPEDA中的权利信息。^④第四，机构必须保留和维护所有违规记录，包括未达到损害报告阈值的违规记录。记录保留时间为2年且必须包含足够的信息，以方便OPC随时审核遵守PIPEDA的违规报告规定的情况。

5. 加拿大个人信息保护法律制度变革对我国的启示

（一）扩大“个人信息”概念的外延

当前我国没有统一的《个人信息保护法》，但关于“个人信息”的定义却散见于相关法律、规章与司法解释中。如《网络安全法》采用“概括+列举”方式，国家标准则采用概括式。无论以何种方式定义，“具有可识别性”依然是认定个人信息的核心标准。

但是大数据时代下，个人信息保护的目标应是防范个人信息的滥用，同时倡导个人信息的合理使用，而界定“合理使用”的情景构成了个人信息保护的边界。^[4]数据时代信息的动态性决定了脱离具体场景认定个人信息不具有现实性，一切与“可识别个人”有关的信息均有可能具有损害风险而需得到相应的保护。^[5]加拿大个人信息定义的形式与内容的变化中可以看到，界定“个人信息”的目的并非真正要对各种信息进行分类或认定，而是以保护个人“损害风险”作为划分信息使用方的责任标准。笔者认为，对个人信息的定义应当符合大数据时代的需求，以防范个人信息滥用为主要目标。对个人信息的定义与边界的划分不应是静态的或僵化的，而应以用户为中心、结果为导向进行动态界定。这也是当前国际上对个人信息认定的趋势。^[5]

（二） 设立统一的个人信息保护机构

在大数据时代，个人信息的财产属性成为企业通过云端用以牟利的重要途径，从而导致个人信息被滥用的现象层出不穷。而侵权行为人主要是拥有技术和经济优势的互联网企业和大数据公司等市场主体，处于相对弱势地位的受害人往往难以依靠自身力量获得赔偿。^[6]因此，设立统一的个人信息监管机构显得十分重要。目前，我国个人信息主要由各行各业的主管机构进行监管。如央行主管金融业用户个人信息保护工作；卫生部门监管医疗行业的用户个人信息保护工作，工信部监管互联网行业等。上述各部门对其所属行业的监管领域存在着大量的重合部分，且职责边界不清晰，导致个人信息保护在实践中沦为管理的灰色地带。^[7]

加拿大隐私专员公署（OPC）对个人信息保护具备事前预防、事中监管和事后处理的职能，同时综合运用了风险管理、调查等多种方式解决各行业侵犯个人信息的违法违规行为。可以说，相较于司法救济，OPC兼具更加快速和便捷的优势。另外，加拿大OPC机制也存在着一些问题，最主要的是缺乏执行力和威慑力，导致在追究与制裁私营机构违规行为时往往力不从心。因此，加拿大呼吁OPC改革的声音愈加强烈，要求赋予执行机构规则制定权和行政罚款权。这一点值得我们深思。

笔者认为，要充分应对大数据发展带来的机遇与挑战必须加强个人信息保护监管力度。一方面，应设立统一的监管机构。从长远来看，统一的监管机构有利于集中监管，避免多头管理带来的部门职责划分混乱。同时，建立统一的个人信息监管机构是现下各国发展的趋势，政府统一领导更有利于国际交流与合作。另一方面，赋予个人信息监管机构强有力的职权。从个人信息收集、使用和披露的各个阶段予以全方位地覆盖保护，完善事前防范、事中监督、事后问责机制。同时，赋予监管机构行政执行权，包括规则制定权、行政罚款权。

（三） 建立有效同意的动态保护机制

当事人同意机制是个人信息保护的核心原则，^[8]其最主要的意义与功能在于落实个人信息的控制权，即保障个人决定是否披露其个人信息、及在何种范围内、何时、以何种方式、向何人披露的决定权。^[9]我国《网络安全法》《信息安全技术公共及商用服务信息系统个人信息保护指南》《信息安全技术个人信息安全规范》皆有对当事人同意作出了明确的规定。实践中，执行同意原则最常见的方式是私营机构通过《隐私政策》告知用户信息收集和使用的内容，再由用户同意，以合意达成协议方式使用、收集和披露个人信息。

但随着电子商业的发展，许多学者对于以透明度与当事人自决权为核心的同意原则的效力产生了质疑。当前的告知制度亦无法产生预期的效果，现实中大部分消费者几乎很少花时间仔细阅读隐私保护政策，^[10]也有人认为只要软件有隐私保护政策就表示个人信息会受到保护，无需再研究内容。^[11]即使有人愿意花时间阅读政策内容也很难理解其中的真正内涵。以使用语音处理技术装置的交互式芭比洋娃娃所使用的隐私权政策为例，内容即高达 2781 字。 ^[12]笔者认为为解决同意制度所面临的以上困境，可借鉴加拿大的有效同意制度，强化用户对个人信息的控制权。第一，需要在所提供的隐私政策中对重点内容进行着重强调。如正在收集的个人信息的内容，将与何人共享该信息，可能受到的损害与后果等。第二，必须以易于管理和易于访问的方式将信息提供给个人，并且个人对机构获取信息的详细程度享有控制权。第三，为个人提供明确的“是”与“否”选项，并清楚地解释这些选项的内涵。

结语

大数据时代的到来让个人信息的商业价值得到了飞速的提升，市场追逐利益的本质决定了完全依赖于技术发展与行业自律遏制个人信息滥用是不切实际的。因此，健全与完善法律制度以解决大数据时代电子商业发展与个人信息保护矛盾的困境成为所有国家当前所面临的重大课题。基于以上现状，我国有必要尽早出台《个人信息保护法》，以结果为导向，从用户损害风险的角度定义“个人信息”，建立统一的个人信息监管机构；加强同意制度的有效性。

① PIPEDA, Schedule 1, cl. 4.3.8.

② PIPEDA将“重大损害”定义为包括人身损害，侮辱，名誉或人际关系受损，就业，业务或专业机会损失，财务损失，身份盗用，对信用记录的负面影响以及财产损害。

③ 受PIPEDA约束的私营机构应具备评估潜在损害风险的框架，以便对所有违规行为进行一致的评估。

④ PIPEDA §§ 10.1(1), 10.1(3).

1. OPC, 2016-17 Annual Report to Parliament, September 2017, p. 17.

2. Privacy Commissioner of Canada,Guidelines for obtaining meaningful consent..[EB/OL].[2020-06-30].https://www.priv.gc.ca/en/privacy-topics/collecting-personal-information/consent/gl_omc_201805/

3. Office of the Privacy Commissioner of Canada..[EB/OL].[2020-06-30]. https://www.priv.gc.ca/en/about-the-opc/what-we-do/

4. 范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,38(05):92-115.

5. Omer Tene&Jules Polonetsky,Big Data for All:Privacy and User Control in the Age of Analytics,11 Nw.J.Tech.&Intell.Prop.239,256(2013)

6. 邓辉.个人信息保护行政监管的经验与启示[J].信息安全研究,2020,6(01):79-84.

7. 王融.我国《个人信息保护法》立法前路[J].信息安全与通信保密,2017(03):89-93.

8. Calo M R.Against Notice Skepticism in Privacy (and Elsewhere) Notre Dame Law Review,2012(3):1027.

9. 范姜真媺.个人资料自主权之保障与个人资料之合理利用[J].法学丛刊，2012(225):72-73.

10. Omri Ben-Shahar&Carl E.Schneider.The Failure of Mandated Disclosure.159U.PA.L.REV.2011:647，671.

11. Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma. 126 H ARV.L.REV. 2012:1880, 1886.

12. Hello Barbie/Barbie Hello Dreamhouse Privacy Policy,TOY TALK.https://www.toytalk.com/hellobarbie/terms/

作者简介：陈川（1989-），女，山西吕梁人，博士研究生，主要从事比较法律史、外国法律制度史研究。