三、加拿大PIPEDA的立法模式與基本原則

（一）加拿大個人信息保護立法模式

從世界范圍來看，關於個人信息資料的立法，各國的法律法規具體內容雖然不同，但究其根源，無外乎三種模式：一種是以美國為代表的行業自律模式，這一模式依靠網絡服務者的自我約束以及行業協會的監管。為了避免過度保護形成對互聯網行業正常發展服務的阻礙，也避免國家過早立法限制信息科技在社會的應用，行業自律模式首先在整體規范個人信息保護制定的自律規則，同時針對特殊的個人信息資料制定進行規范。另一種是純粹的立法規制模式，是由國家和政府主導的一種模式，直接制定法律，在法律層面確立個人信息保護的制度，進而將這些制度作為建立司法和行政救濟措施的基礎，這種模式以歐盟為代表。第三種模式是以日本為代表的“中間道路”，將行業自律模式與立法規制模式結合，既通過法律全方面地實現個人信息保護，也注重行業自律和協會的監管。在這三種立法模式當中，加拿大採取的正是第三種模式。

加拿大在1983年就已經頒布了《隱私法》，主要是對聯邦政府的收集、使用和披露個人信息的行為進行了規范。而PIPEDA在2000年通過， 2001年2002年和2004年分為三個階段生效，PIPEDA主要規定了私人或者企業在進行商業活動時，使用個人信息時的范圍與准則。 [6]。相比於1983年頒布的的《隱私法》，PIPEDA更具時代特征，其適用性更高。作為加拿大最主要的聯邦法規之一，PIPEDA一直是隱私權的保障[7]。如果從1983年《隱私法》的頒布起算，目前加拿大個人信息保護法律制度已經實施了36年，在國內已經形成了一套行之有效的法律制度，個人信息電子資料的法律保護體系較為成熟。在這一體系的運行過程中，PIPEDA有自己堅持的十項原則。

（二）PIPEDA的“靈魂”—— 十項基本原則

在個人信息保護的基本原則方面， 1980年經濟合作與發展組織（OECD）公布了個人信息保護的八大原則，這些原則分別為：收集限制原則、數據質量原則、目的明確原則、使用限制原則、安全保障原則、公開性原則、個人參與原則和問責制原則。這些指導原則有著“制定個人信息保護文件的國際標准”之稱。各國和國際組織制定個人信息保護法律及政策時，雖有一定差異，但基本不會脫離這八項原則，加拿大的PIPEDA正是在這八大原則的基礎上，進一步細致劃分為十項基本原則，這十項基本原則對於理解PIPEDA有著至關重要的意義，所以本文將逐一進行分析說明。

PIPEDA在實施過程中，這十項基本原則可能是作為指導原則而存在的，也可能是作為在完整性和明晰性方面的補充法律[8]。PIPEDA本身是存在著不足之處的，但是其十項基本原則在幾十年的實踐當中發揮著重要的指導性作用，在某種程度上彌補了像“缺乏對勞動關系中個人信息保護”“其規定的個人信息保護范圍過窄”“對企業、組織轉讓或合並時的個人信息保護沒有做出規定”等等問題。

PIPEDA規定的的十項基本原則具體為：

1.責任制原則（Accountability），指任何組織有責任對於其控制下的個人信息和電子資料的保護建立起一套行之有效的制度，這一制度包括對個人信息的收集與使用方針，具體的業務操作流程。如果機構是一家大型機構，該機構應該任命一名“首席隱私保密官”，專門負責法律的執行。也就是說，在個人信息保護層面，企業組織應該承擔起應付的責任，而並非單方面無條件地濫用。

2.明確目的原則（Identifying purposes），即在收集個人信息和電子資料時，甚至是未收集之前，需要有明確的目的，表明收集的原因，收集的必要性，收集后信息的使用方法的明示。

3.同意原則（Consent），指任何組織和企業對個人信息的收集，使用和披露，都要以有效的方式告知信息關系人，同時取得信息相關人的同意。如果個人信息被用於新的用途，必須重新獲得同意。PIPEDA的條款都是基於當事人同意的基礎上起草的，而這裡的同意包括明確的表達，也可以是暗示，這一點就要考慮到信息關系人的合理預期，並綜合考慮個人信息的類型。一般性的信息，暗示即視為同意，但是例如病歷，轉賬記錄這些敏感信息，則必須得到信息關系人的明確表示。

4.限制收集原則（Limiting collection），是指個人信息的收集應該被企業組織証明具有必要的目的，這一目的一般是在收集信息之前就已經界定好的。比如為了調查用戶對軟件的喜好程度，一般只是收集使用軟件的時長，而不會去收集用戶使用軟件的地點。並且要通過公平且合法的收集方法，禁止隨意收集個人信息和採用欺騙、誤導等手段進行收集。

5.限制使用、披露和保留原則（Limiting use，disclosure and retention），是指企業組織需要按照收集信息時的目的進行使用和披露。即使需要保留個人信息，也必須具有必要性，這裡的必要性是以達到預定目的為界限，除非企業事先獲得授權和允許。同時企業應及時注銷不符合使用目的或法律要求的匿名信息，保留的個人信息允許信息關系人時候索取、補充以及修正。

6.准確性原則（Accuracy），即當有正當目的地對個人信息進行使用時，需要准確、完整地使用，並且要及時更新其個人信息。

7.保障措施原則（Safeguards），是指信息關系人的個人信息在被收集、使用和披露時，要受到安全保障措施的保護，防止遺失和盜竊，防止未經授權的人對信息進行披露、復制和修改使用。

8.開放性原則（Openness），對於個人信息的管理和保護的方式以及政策措施，包括針對個人信息的業務操作方法和流程，企業組織應該用通俗易懂的形式和明確的途徑向信息關系人公開。

9.個人訪問原則（Individual access），這一點其實是信息關系人的知情權。當信息關系人要求獲取其個人信息時，除法定例外的情形，企業組織有義務告知本組織對信息關系人的全部信息，以及信息的使用、披露和給予第三方的情況，並允許信息關系人進行准確性和完整性的補充修改。

10.克服依從性原則（Challenging compliance），企業組織與個人需要遵守以上原則，向個人信息持有者和個人信息關系人負責，從而使其符合PIPEDA的規范性。並且需要建立起信息關系人申訴受理的程序，企業組織需要告知信息的來源，並對信息進行核實，完成核實后如有出入要對信息進行更正。

正是PIPEDA的這十項基本原則，既是法律本身的高度概括，更是在實踐中對法律的有效補充。PIPEDA的目標是通過法律的實施和原則的堅守，鼓勵加拿大的企業組織建立起良好的信譽形象，與立法和執法機關合作，逐漸建立起尊重個人隱私權的信譽[9]。

分享讓更多人看到