20世纪70年代,随着信息产业的不断发展,个人数据开始被大规模应用,信息跨境流动的需求也日益增加,由此引发了一系列的新问题。为此,经济合作与发展组织(以下简称经合组织)于1980年9月23日通过了《隐私保护与个人数据跨境流动准则》。该准则是当时国际社会达成的第一份有关信息化背景下隐私保护和数据跨境流动的法律文件,对经合组织成员国以及其他国家的相关立法和产业政策都产生了深远影响。
在开放互联的环境中,个人数据成为更宝贵资产,个人数据的应用范围更加广泛、应用方式更加多样,带来了更大的经济效益和社会效益,但是这也使得隐私保护面临更大的风险和挑战。为了促进各成员国隐私保护法律之间的相互衔接融合,加强隐私保护执法机构之间的跨境合作,2013年,经合组织修订了《隐私保护与个人数据跨境流动准则》,形成了目前“互联网版”的《隐私保护与个人数据跨境流动准则》。现择其精要介绍如下。
适用范围
无论是处于公共领域的个人数据,还是处于私人领域的个人数据,只要个人数据的处理方式,或者个人数据的性质,或者个人数据的应用场景,可能对隐私保护和个人自由造成风险的,《隐私保护与个人数据跨境流动准则》都可以适用。
《隐私保护与个人数据跨境流动准则》确立的诸多原则是相互补充、有机统一的整体,不应当割裂地进行解释或适用,不得根据个人数据的种类不同、性质不同,或者根据个人数据的收集、存储、处理或者传播的情形不同而采取差异化的保护措施。
对于个人数据的保护,成员国可以设定一些例外,例如国家主权方面的例外、国家安全方面的例外、公共政策方面的例外、公序良俗方面的例外等等。但是成员国应当尽可能地减少这些例外,并且应当向社会公众公开这些例外。
《隐私保护与个人数据跨境流动准则》所规定的保护标准应当视为最低保护标准,其他有关保护隐私和个人自由的措施,各成员国可以自行予以补充。
基本原则
收集限制原则。对于个人数据的收集,应当设定一些限制条件,任何个人数据都应当通过合法、公平的方式获得,并在适当条件下,应当保证数据主体知情或同意。
数据质量原则。所收集的个人数据应当与个人数据的使用目的相关,并且为实现此目的,应当在一定程度上确保数据的准确、完整并保持持续更新。
目的特定原则。收集个人数据的目的,应当在收集数据以前或者收集数据时就已经确定,并且个人数据的后续使用应当仅限于实现这些预定目的或实现与这些预定目的不相冲突的其他目的。如果收集个人数据的目的发生变化的,每次变化都应当重新予以限定。
用途限定原则。除非经数据主体同意或者根据法律的明确规定,如果不是为了实现此前已经限定的目的,不得披露、提供或以其他方式使用已经收集的个人数据。
安全保障原则。对于已经收集到的个人数据,应当采取合理的安全措施,防止数据的灭失或者未经授权的访问,避免数据的破坏、使用、修改或披露等风险。
公开化原则。关于个人数据的开发、应用等,各成员国应当制定一般化的公开政策,确保人们可以容易地知悉个人数据的收集情况、个人数据的性质、个人数据的主要使用目的,以及数据控制者的身份和通常居住地。
个人参与原则。个人应当享有如下权利:(1)有权从数据控制者那里或者以其他方式,确认数据控制者是否持有与其相关的个人数据;(2)有权要求数据控制者在合理时间内,以合理费用(如果有)、合理方式和易于理解的方式传送与其相关的个人数据;如果根据上述规定提出的相关请求被拒绝,可以依据相关理由提出异议,如果异议成立的,则有权要求删除、纠正、补充完整或者修改与其相关的个人数据。
数据控制者的责任
根据《隐私保护与个人数据跨境流动准则》的规定,“数据控制者”是指根据成员国法律,有权决定个人数据的内容和用途的一方当事人,无论有关个人数据是否由该方当事人或者其代理人收集、存储、处理或传播。无论是隐私保护,还是个人数据跨境流动,数据控制者的地位和作用都是至关重要的,因此应当负责落实上述原则,具体包括:
1.数据控制者应当制定隐私管理计划,并且该隐私管理计划应做到:(1)必须满足准则要求,确保其控制下的所有个人数据符合准则规定;(2)必须与其业务的结构、规模、数量以及敏感程度相匹配;(3)必须根据隐私风险评估提供相应的保障措施;(4)必须融入其治理结构并建立内部监督机制;(5)应当包括询问反馈机制和突发事件应对计划;(6)必须根据持续监测和定期评估情况进行更新。
2.数据控制者应当做好适时提供隐私管理计划的准备工作。
3.当发生有关个人数据的重大违规事件时,数据控制者应当适时通知隐私执法机构或其他有关机构。如果违规事件可能对数据主体产生不良影响的,数据控制者也应当及时通知受影响的数据主体。
具体实施
成员国的实施。各成员国在实施《隐私保护与个人数据跨境流动准则》时,应当:(1)制定体现跨本国政府部门的国家隐私保护战略;(2)制定有关保护隐私的法律;(3)建立和维持隐私保护执法机构,确保具备有效行使权力所需的治理、资源、专业技术知识,并能够在客观、公正和统一的基础上作出决定;(4)制定行为规范或其他形式,鼓励和支持行业自律;(5)为个人行使相关权利提供合理手段;(6)未遵守保护隐私法律的,苛以严厉制裁并提供充分的救济;(7)采取补充措施,包括加强教育、提高认识、技能培训以及有助于保护隐私的技术措施等;(8)根据个人角色,考虑数据控制者以外的其他参与者的作用;(9)确保数据主体不会受到不公平的歧视。
国际合作与衔接融合。为了促进准则实施,加强国际合作,各成员国应当:(1)采取适当措施,促进跨境隐私保护执法合作,特别是要加强隐私保护执法机构之间的信息共享;(2)鼓励和支持制定国际合作制度安排,促进各国隐私保护法律之间的相互衔接融合,从而实现准则的预期效果;(3)鼓励制定具有可比性的国际化指标,为制定隐私保护与个人数据跨境流动政策提供必要的参考信息;(4)公布遵守准则的具体细节。
(作者单位:中国应用法学研究所)