加入收藏 | 網站地圖 | 網站搜索 |
閱讀內容
背景:

加拿大《個人信息保護和電子文件法》對個人隱私的保護

[日期:2010-10-20] 來源:中國市場信用網; 作者: [字體: ]

 

加拿大《個人信息保護和電子文件法》對個人隱私的保護

撰文:珍妮弗. 斯道達特[1]

翻譯:林鈞躍[2]

 

  

  目前,我們正處在這樣一個世界,技術手段完全可以實現不分晝夜地對人的活動進行監視,在這種情況下,需要由法律建立起一套規則,讓人們保存自己最基本的隱私。

  另外一種活動也能嚴重地侵害個人隱私,那就是催賬活動。在沒有經過當事人同意的情況下,催賬人員就會使用和披露當事人的個人信息。比如,我們中有多少人愿意讓他人分享自己的病歷信息?又有多少人愿意將個人財務狀況和與人親密接觸的情況公之于眾呢?

  

 

  

  一、引言

  在2003年12月,我被任命為加拿大國會“個人隱私權保護委員會”的加拿大隱私權委員會的專員。簡單地說,專員的主要工作就是監督《個人信息保護和電子文件法》的實施。委員會要保證法律得到應有的尊重,在法律賦予公民的權利被侵犯時,維護受害人的權利和對其實施法律救濟。

  《個人信息保護和電子文件法》為商業化經營的個人征信機構、個人信息供應商、交換個人信息的機構、個人信息使用機構等(以下簡稱“機構”)的活動建立了法律規范,力圖在個人希望保護自己的個人信息和社會合法利用個人信息之間建立一種平衡的關系。

  在這里,我希望機構了解法律賦予了它們權利,更特別了解法律對它們進行的規范。在此,我解釋法律的立法精神和機構應該怎樣遵守法律。同時,也介紹我所服務的“加拿大個人隱私權保護委員會”的執法角色,以及為什么法律對個人信息經營機構和消費者雙方都有好處。

  首先,我們先討論一下,什么是隱私權?為什么隱私權對我們是如此的重要?對于民主社會,隱私權是公民擁有的一項基本和必須的權力。隱私權通常被描述為保持個人獨處的權力,能夠控制外界對自己的接觸和對個人信息保密。

  在根本上,強調隱私權也就是要求個人能夠獨處的權力,而且所要求的保護還不止這些。對隱私的完全保密是不必要的,但是限制隱私過分地被侵犯則是非常重要的。從人們可能想保護的個人隱私的角度看,對個人隱私的侵犯是多種多樣的。目前,我們正處在這樣一個世界,技術手段完全可以實現不分晝夜地對人的活動進行監視,在這種情況下,需要由法律建立起一套規則,讓人們保存自己最基本的隱私。

  另外一種活動也能嚴重地侵害個人隱私,那就是催賬活動。在沒有經過當事人同意的情況下,催賬人員就會使用和披露當事人的個人信息。比如,我們中有多少人愿意讓他人分享自己的病歷信息?又有多少人愿意將個人財務狀況和與人親密接觸的情況公之于眾呢?

  在加拿大,包括《個人信息保護和電子文件法》在內,有多部法律涉及對個人隱私權的保護。建立《個人信息保護和電子文件法》的特殊目的就是讓加拿大人行使自己的權力去保護自己的個人信息,特別是控制有商業行為的機構對個人信息的采集。

  在過去,個人信息幾乎處在自然被保護的狀態。通常,信息被以書面形式保存,不太容易與他人分享。今天,技術的發展已經將這種天然的保護狀態完全消滅了,經過數年日積月累鍵入的信息,可以在瞬間內被提取,披露給他人也是非常容易的事情。一些個人信息與其他相關信息匯合在一起,就能形成對個人的情況進行深入分析的信息條件。這就是為什么需要限制個人信息不被任意采集、使用和披露,這對個人來說是非常重要的。

 

  二、立法背景

  制訂《個人信息保護和電子文件法》是為了更好地控制個人信息經商業渠道被披露的問題,這是響應個人信息保護國際運動號召的表現。自從20世紀70年代以來,若干個歐盟國家通過了類似的立法,規范個人信息的采集、使用和披露。像聯合國和歐洲經合組織這樣的國際組織,也通過簽署國際公約形式來強調對個人信息的保護。

  在歐洲,歐盟制訂了《個人數據保護綱領》,要求成員國限制歐盟國家公民的個人信息被披露,特別是與其他交易國分享歐盟國家的個人信息。總之,《綱要》限制個人信息只能在歐盟國家之間披露,不允許對歐盟以外的國家披露個人信息,除非那些國家對公民的信息采取的強有力的保護措施。

  這是為什么加拿大建立《個人信息保護和電子文件法》的另一個原因。對于通過商業渠道采集的歐盟國家公民的個人信息,它能夠提供強有力的保護。除非加拿大能夠做出這樣的保證,否則在歐盟做生意的加拿大公司就有可能會陷入困境,可能會傷害到加拿大企業的利益。很幸運,歐盟委員會在2001年做出決定,認可加拿大的《個人信息保護和電子文件法》足以對個人信息進行有效的保護。鑒于有《個人信息保護和電子文件法》和加拿大其他法律的保護(例如《隱私權法》),歐盟委員會允許成員國和商業機構自由傳輸個人信息到在加拿大的機構。

  《個人信息保護和電子文件法》從另一角度幫助機構和消費者。對于存儲和處理個人信息,保護規則制訂得十分清晰。因此,有利于建立起消費者的信任感,以及消費者參與日益增長的電子商務活動的信心。例如,在消費者使用電子銀行的時候,他們想知道他們的個人隱私是否被全面保護,不是只有使用他們家居當地銀行分支機構的服務才安全。《個人信息保護和電子文件法》使消費者了解他們在網上進行交易活動的信息被定義為隱私而受到保護,這將有助于他們參與電子商務活動的信心,因而使市場的交易量增加。

  《個人信息保護和電子文件法》的立法還有第三項目的。法律確定了加拿大的個人信息保護的范圍,劃清了界限。在《個人信息保護和電子文件法》出臺之前,個人要保護自己的信息不被披露,他(她)只能求助于政府,通過民間手段解決個人信息保護問題的途徑極其有限。然而,除了魁北克(Quebec)地區之外,各地的機構在進行商業活動時都沒有對個人信息進行一般性的保護。《個人信息保護和電子文件法》修補上了這個漏洞。

  《個人信息保護和電子文件法》對個人隱私權的保護,主要體現在個人信息保護條款之中,這些規則的條款是由加拿大標準化協會負責起草的,起草單位廣泛地征求和采納了加拿大企業、學術機構、消費者和政府的意見和建議。該規則被稱為個人信息保護的“模范規則”,簡稱為《個人信息保護和電子文件法》的“CSA模范規則”。因此,《個人信息保護和電子文件法》全面反映了加拿大社會各個方面的意見。CSA模范規則的表格充分表現了法律中最嚴格的可執行部分,它被列在法律的附表之中。

 

  三、執法

  《個人信息保護和電子文件法》的實施是分階段進行的。自2001年1月1日起,法律先行在全聯邦范圍內對若干行業進行規范,例如銀行、通訊和交通行業。在這些行業的商業活動過程中,須遵守法律的規定,保護消費者和雇員的個人信息。在各省之間以至加拿大全境,對存儲和經營個人信息的商業機構,其相關業務行為都要受到法律的約束。對加拿大境內三大領地內的所有私營機構,法律也開始生效。

  自2001年1月1日起,《個人信息保護和電子文件法》開始對境內所有的商業化個人信息采集、使用或披露的行為進行規范。但是,有兩種情況是例外的。第一種例外的情況是,當存在類似的省級法律或省級法律有類似的條款時,對該省機構的規范通常應該遵循該省的法律。截止2004年3月,只有魁北克地區擁有與《個人信息保護和電子文件法》相類似的省級法律。然而,自2004年初,阿爾伯塔省(Alberta)和不列顛哥倫比亞省(British Columbia)兩省也啟動了類似法律的立法程序,它們是為了更好地解決當地的法律訴訟和執法問題。不論是否有類似的省級法律,個人信息在省間和國際間的分享都受到《個人信息保護和電子文件法》的規范。

  另一個是商業活動方面的例外,即《個人信息保護和電子文件法》規定范圍之外的情況。《個人信息保護和電子文件法》并不對雇員的個人信息進行全面的保護,除非雇員是聯邦政府雇員或正在為聯邦政府服務的人員。對于服務于聯邦政府任務或工程的雇主,應該保證正當地采集、使用和披露其雇員的個人信息。至于為省級政府服務的雇員,《個人信息保護和電子文件法》的例外不包括對這種雇員的個人信息保護。

 

  四、法律的基本要點

  通過對《個人信息保護和電子文件法》立法精神的了解,可以明白該法律的實質所在。首先,《個人信息保護和電子文件法》所規范的對象是從事個人信息商業運作的機構,包括與信息采集、使用和披露相關的作業。法律定義個人信息為“個人識別信息”,但不包括姓名、職務、辦公地址、辦公電話。法律描寫的“商業活動”是指任何交易,即具有商業特征的常規活動,包括銷售、換貨、出租、會員活動、籌款等。

  《個人信息保護和電子文件法》要求任何個人信息經營機構都能夠尊重CSA模范規則確定的“公平信息利用原則”,法律體現原則共有10個,它們分別是:

  1.承擔保密義務的原則:如果機構是被《個人信息保護和電子文件法》規范的對象,機構的工作人員必須保證遵守法律。如果機構是一家大型機構,該機構應該任命一位“首席隱私保密官”,專門負責本法律的執行。任何機構都要制訂明確的方針和設置業務操作程序,以保證對法律的執行,例如機構制訂一項個人信息保密政策。

  2.確定采集和使用個人信息的目的原則:在采集信息之前,一定要明確目的,最好是在通情達理的當事人同意的情況下采集和使用其個人信息。

  3.當事人同意的原則:如果機構需要采集、使用或披露個人信息,應當獲得當事人的同意。《個人信息保護和電子文件法》的條款都是基于當事人同意原則基礎上起草的。取得當事人的首肯的形式是多樣的,可以是暗示,也可以是明確的表達,具體情況要視當事人合理的預期和將被采集的信息的類型。對于要采集個人財務和醫療記錄這類敏感信息,需要得到當事人的明確表態。

  4.有限采集原則:采集個人信息的范圍是受到限制的,法律規定,機構只能為定義好的目的采集恰好夠用的信息,而且只能以公平和合法的手段采集信息。

  5.限制使用、披露和存儲的原則:個人信息的采集應該是為了當事人認同的目的。然而,如果當事人后來又同意將個人信息用于別的目的,或者其他法律也要求信息用于其他的目的,例如個人信息的披露涉及泄露銀行存取記錄的情況。盡管你獲得了當事人的同意,也要限制信息的采集、使用和披露。法律只允許機構短期持有個人信息,達到目的是界限。

  6.準確性原則:機構保存的個人信息必須是正確、完整和時新的,特別是在使用個人信息的時候。法律并不要求機構定期更新個人信息,除非機構的工作性質有這樣的要求。

  7.保證個人信息得以安全保存的原則:機構必須對所采集的個人信息設置適當安全保衛措施,不論個人信息是以什么形式的載體進行存儲的,包括錄像帶、書面記錄和數字化檔案等存儲形式。要防止沒有得到授權的人對信息的接觸、披露、復制、使用和修改。

  8.公布使用方法原則:機構必須保證,向客戶和雇員清楚地交代個人信息相關的業務操作方法和程序。

  9. 當事人有知情權原則:當事人有權審查或審閱機構所保存的個人信息,也有權對其中不準確的地方進行更正。

  10.接受申訴并核實信息的原則:機構必須建立簡單易行的當事人申訴受理程序。機構必須告訴當事人其信息是從哪里取得的,要對所有的有爭議的部分進行核實,并以適當的程序更正被確認為是不正確的信息。

 

  五、 隱私權保護委員會辦公室的角色、職責和工作方法

  當事人需要了解機構是如何保存其個人信息的,他們通常會先去找機構解決問題。當然,當事人也可以向“隱私權保護委員會辦公室”提出與個人信息保存和處理相關的申訴,常見的申訴包括:機構剝奪了其知情權;不適當地采集、使用或披露了其個人信息;拒絕修改不正確的信息;機構的系統安全保密措施不夠嚴密等。作為一名委員會的專員,在某種情況下,我也可能直接向機構提出質疑。

  作為國會機構的工作人員,我直接向國會的參眾兩院報告工作。人格的獨立性使我能夠公正和開放思維地履行職責,在個人隱私問題上調查官員們的舞弊行為。

  我們盡可能地通過調查、勸解、調停、撫慰等方法解決爭議。通常,這些方法可以比較理想地解決大多數的爭議。這樣做不必使用法律來壓迫任何一方,也比訴諸法律的成本低。

  當針對一項投訴的調查啟動時,辦公室會通知被告機構,該機構將受到調查,也同時告知該機構國會調查人員的職責。在處理過程中,被調查機構也可以向隱私權保護委員會的調查員做出陳述或解釋。我們傾向于讓投訴和被告雙方通過談判和勸解來解決糾紛,但也可能提出另一套解決問題的程序,例如仲裁和救濟。我們尋求盡快解決問題,以及其他方法來滿足投訴人的要求,將我們受理的投訴案件數量降至最低。

  如果投訴不能以非正式方法解決,辦公室任命的調查員將與機構的代表進行接觸,告知他們調查工作進行的程序。在可能的情況下,還會告訴他們需要審查哪些記錄,以及要與機構中的哪些雇員面談。

為了完成調查工作,我們可以傳喚證人,在宣誓條件下取證,強制提取記錄,要求管理人員宣誓,接受任何證據和舉報,做起訴準備工作。

  在調查工作結束之前,所有證據和結論都對機構和投訴人保密。雙方在任何時候都可以補充陳述,在結束調查之前還會給予雙方機會,尋求以非正式方法解決問題。之后,我們會重新審視案子,也會將調查報告發給原被告雙方。報告給出調查的結論,包括雙方主動采取的改進措施,以及調查人員代表辦公室做出的處理建議。例如,報告會建議機構改進信息管理方式,以及明確該機構采取了怎樣的措施之后才會被認為達到了要求。

  作為隱私權保護委員會的專員,我沒有權力發出強制性的命令,但是有法律賦予我們的兩項權力。我們有權停止機構的個人信息業務,也能為加拿大聯邦法院效力。我們可以要求機構告知其根據調查報告中的建議所采取的改進措施,以及準備采取的改進措施。我們也可以質詢機構為什么不采取改進措施。

  在監督《個人信息保護和電子文件法》的執法和受理投訴之外,專員還可以審查機構的個人信息存儲和處理的業務程序。我還有責任去研究和弄懂各類涉及隱私的問題。作為國會的工作人員,我不僅要向參眾兩院報告法律執行情況,還要解釋與隱私問題相關的重要事情。

  那么,對于當事人和機構雙方,將個人隱私權保護好的標準是什么呢?

  人們害怕政府掌握太多的個人信息,認為因此會妨礙到個人的自由。人們也擔心,如果企業過分地采集個人信息,會產生對他們不利的影響。通過《個人信息保護和電子文件法》,人們可以更好地控制被機構掌握的個人信息,特別是在商業活動中。公民能夠控制其個人信息不被隨便披露和濫用,是法律對公民權力提供的保障。

  對于機構,《個人信息保護和電子文件法》并沒有將它們視為被法律約束的負擔。法律反映了新的商業機會。法律解決了加拿大公司在其它國家的分支不愿意傳輸個人信息給它們的問題。由于有專門法律的約束機構去尊重客戶的隱私權,因而改善了機構與客戶的關系,使機構得到意想不到好處,機構的競爭力也因此增強。特別是在電子商務領域,良好的個人信息處理方針和實踐,能建立起客戶對機構的信任。

  審查機構的個人信息采集和處理方式可以發現,一些機構存在工作效率低的問題。例如,有些機構顯得貪得無厭,采集和維護了大量無用的個人信息,因此不必要地加大了機構的運營成本。

 

  六、 結論

  前文簡單地介紹了《個人信息保護和電子文件法》的立法精神,以及法律對被約束各方的要求。對比我的解釋,法律條文的內容更是豐富和詳細。我只是力圖解釋這部法律的主要特點。

  使用強有力的措施來執法,并不是我作為一名隱私權保護委員會專員的初衷和意愿。相對來說,《個人信息保護和電子文件法》是一部比較新的法律,機構和公民都需要時間來了解這部法律,以及如何有效地遵守它。我們的目標是通過《個人信息保護和電子文件法》的實施,鼓勵加拿大的機構建立起良好的信譽形象,與立法和執法機關合作,逐漸建立起尊重個人隱私權的聲譽。隱私保護委員會辦公室將與機構一起努力,改進機構在個人信息采集、存儲、處理和披露方面的業務操作。

  按照《個人信息保護和電子文件法》的要求改進個人信息的采集和處理方式,機構重新審視自己的相關作業程序是十分重要的。機構在采集什么樣的個人信息?機構是否需要采集這些信息?機構用這些信息做什么?機構將向誰披露這些個人信息?這些個人信息將在機構的數據庫中保存多久?機構的個人征信數據庫是否安全可靠,不會被侵入?這些問題都是評價機構業務操作程序的基本問題。

  隱私權保護委員會辦公室出版了許多資料,歡迎個人信息經營機構查閱。這些資料詳盡地解釋了《個人信息保護和電子文件法》,對于機構更好地遵守法律是非常有幫助的。


 


[1]  作者珍妮弗. 斯道達特是加拿大國會下屬的隱私權委員會的委員。

[2]  翻譯者林鈞躍為中國市場學會信用工作委員會副主任。

 

 

 

打印
內容查詢


編輯推薦
    暫時沒有記錄
一码中內部资料