三、加拿大PIPEDA的立法模式与基本原则

（一）加拿大个人信息保护立法模式

从世界范围来看，关于个人信息资料的立法，各国的法律法规具体内容虽然不同，但究其根源，无外乎三种模式：一种是以美国为代表的行业自律模式，这一模式依靠网络服务者的自我约束以及行业协会的监管。为了避免过度保护形成对互联网行业正常发展服务的阻碍，也避免国家过早立法限制信息科技在社会的应用，行业自律模式首先在整体规范个人信息保护制定的自律规则，同时针对特殊的个人信息资料制定进行规范。另一种是纯粹的立法规制模式，是由国家和政府主导的一种模式，直接制定法律，在法律层面确立个人信息保护的制度，进而将这些制度作为建立司法和行政救济措施的基础，这种模式以欧盟为代表。第三种模式是以日本为代表的“中间道路”，将行业自律模式与立法规制模式结合，既通过法律全方面地实现个人信息保护，也注重行业自律和协会的监管。在这三种立法模式当中，加拿大采取的正是第三种模式。

加拿大在1983年就已经颁布了《隐私法》，主要是对联邦政府的收集、使用和披露个人信息的行为进行了规范。而PIPEDA在2000年通过， 2001年2002年和2004年分为三个阶段生效，PIPEDA主要规定了私人或者企业在进行商业活动时，使用个人信息时的范围与准则。 [6]。相比于1983年颁布的的《隐私法》，PIPEDA更具时代特征，其适用性更高。作为加拿大最主要的联邦法规之一，PIPEDA一直是隐私权的保障[7]。如果从1983年《隐私法》的颁布起算，目前加拿大个人信息保护法律制度已经实施了36年，在国内已经形成了一套行之有效的法律制度，个人信息电子资料的法律保护体系较为成熟。在这一体系的运行过程中，PIPEDA有自己坚持的十项原则。

（二）PIPEDA的“灵魂”—— 十项基本原则

在个人信息保护的基本原则方面， 1980年经济合作与发展组织（OECD）公布了个人信息保护的八大原则，这些原则分别为：收集限制原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、公开性原则、个人参与原则和问责制原则。这些指导原则有着“制定个人信息保护文件的国际标准”之称。各国和国际组织制定个人信息保护法律及政策时，虽有一定差异，但基本不会脱离这八项原则，加拿大的PIPEDA正是在这八大原则的基础上，进一步细致划分为十项基本原则，这十项基本原则对于理解PIPEDA有着至关重要的意义，所以本文将逐一进行分析说明。

PIPEDA在实施过程中，这十项基本原则可能是作为指导原则而存在的，也可能是作为在完整性和明晰性方面的补充法律[8]。PIPEDA本身是存在着不足之处的，但是其十项基本原则在几十年的实践当中发挥着重要的指导性作用，在某种程度上弥补了像“缺乏对劳动关系中个人信息保护”“其规定的个人信息保护范围过窄”“对企业、组织转让或合并时的个人信息保护没有做出规定”等等问题。

PIPEDA规定的的十项基本原则具体为：

1.责任制原则（Accountability），指任何组织有责任对于其控制下的个人信息和电子资料的保护建立起一套行之有效的制度，这一制度包括对个人信息的收集与使用方针，具体的业务操作流程。如果机构是一家大型机构，该机构应该任命一名“首席隐私保密官”，专门负责法律的执行。也就是说，在个人信息保护层面，企业组织应该承担起应付的责任，而并非单方面无条件地滥用。

2.明确目的原则（Identifying purposes），即在收集个人信息和电子资料时，甚至是未收集之前，需要有明确的目的，表明收集的原因，收集的必要性，收集后信息的使用方法的明示。

3.同意原则（Consent），指任何组织和企业对个人信息的收集，使用和披露，都要以有效的方式告知信息关系人，同时取得信息相关人的同意。如果个人信息被用于新的用途，必须重新获得同意。PIPEDA的条款都是基于当事人同意的基础上起草的，而这里的同意包括明确的表达，也可以是暗示，这一点就要考虑到信息关系人的合理预期，并综合考虑个人信息的类型。一般性的信息，暗示即视为同意，但是例如病历，转账记录这些敏感信息，则必须得到信息关系人的明确表示。

4.限制收集原则（Limiting collection），是指个人信息的收集应该被企业组织证明具有必要的目的，这一目的一般是在收集信息之前就已经界定好的。比如为了调查用户对软件的喜好程度，一般只是收集使用软件的时长，而不会去收集用户使用软件的地点。并且要通过公平且合法的收集方法，禁止随意收集个人信息和采用欺骗、误导等手段进行收集。

5.限制使用、披露和保留原则（Limiting use，disclosure and retention），是指企业组织需要按照收集信息时的目的进行使用和披露。即使需要保留个人信息，也必须具有必要性，这里的必要性是以达到预定目的为界限，除非企业事先获得授权和允许。同时企业应及时注销不符合使用目的或法律要求的匿名信息，保留的个人信息允许信息关系人时候索取、补充以及修正。

6.准确性原则（Accuracy），即当有正当目的地对个人信息进行使用时，需要准确、完整地使用，并且要及时更新其个人信息。

7.保障措施原则（Safeguards），是指信息关系人的个人信息在被收集、使用和披露时，要受到安全保障措施的保护，防止遗失和盗窃，防止未经授权的人对信息进行披露、复制和修改使用。

8.开放性原则（Openness），对于个人信息的管理和保护的方式以及政策措施，包括针对个人信息的业务操作方法和流程，企业组织应该用通俗易懂的形式和明确的途径向信息关系人公开。

9.个人访问原则（Individual access），这一点其实是信息关系人的知情权。当信息关系人要求获取其个人信息时，除法定例外的情形，企业组织有义务告知本组织对信息关系人的全部信息，以及信息的使用、披露和给予第三方的情况，并允许信息关系人进行准确性和完整性的补充修改。

10.克服依从性原则（Challenging compliance），企业组织与个人需要遵守以上原则，向个人信息持有者和个人信息关系人负责，从而使其符合PIPEDA的规范性。并且需要建立起信息关系人申诉受理的程序，企业组织需要告知信息的来源，并对信息进行核实，完成核实后如有出入要对信息进行更正。

正是PIPEDA的这十项基本原则，既是法律本身的高度概括，更是在实践中对法律的有效补充。PIPEDA的目标是通过法律的实施和原则的坚守，鼓励加拿大的企业组织建立起良好的信誉形象，与立法和执法机关合作，逐渐建立起尊重个人隐私权的信誉[9]。

分享让更多人看到