加拿大对个人信息保护采用综合立法模式,主要体现在《隐私法》《个人信息保护与电子文件法》。基于大数据时代以及欧盟立法的影响,2015年6月18日加拿大通过《数字隐私法案》以及2018年11月生效的《数据泄露强制报告条例》对《个人信息保护与电子文件法》进行修正,并围绕修正案推出了一系列配套措施。
《数字隐私法案》的主要内容包括:一、删去了不包括机构员工信息的规定,并增加了例外性规定。即采用了“概括+例外”的模式重新对“个人信息”进行了界定。此次修订的一大亮点是将“员工个人信息”纳入“个人信息”定义范围内,并设立了“联系信息”和“工作产品信息”两大例外规定。可以看出,加拿大在保护个人信息的同时非常注重保护商业活动发展的积极性。既对个人信息尽可能地全方位保护又确保给商业活动留下充足的发展空间。二、完善事前防范机制,建立以“合理预期”为核心的有效同意制度。《个人信息保护与电子文件法》新增第6.1条规定,只有在机构活动针对的个人能够合理预期并理解被收集、使用或披露的个人信息的性质、目的和后果时,同意才是有效的。2018年5月加拿大隐私专员办公室出台了《有效同意指南》,为私营机构设计同意程序提出了七项指导原则,以激发同意制度的效果。三、增设事中风险评估机制,即强制违规报告制度。2018年11月1日,加拿大数据泄露强制报告制度生效。该制度与《个人信息保护与电子文件法》第2.1条的“违反安全保障措施”有关。作为一种事中风险评估机制,它要求机构对泄露的个人信息进行风险损害评估并及时补救。四、强化隐私专员的执法能力,赋予隐私专员新的执行权。新修正的《个人信息保护与电子文件法》第17.1(1)条规定,隐私专员办公室有合理的理由相信机构已经违反或可能违反该法有关内容时,可要求机构订立强制性协议。
个人信息保护与电子文件法修正的背景
加拿大《个人信息保护与电子文件法》制定于2000年,当时信息交换模式较为简单,交易通常是常规的、可预测的和透明的,并未形成基于对个人信息和自动化流程进行无限制访问的商业模型。但随着大数据时代的到来,国际环境与商业模式发生了根本变化。
首先,大数据与物联网的发展突破了传统个人信息边界。一方面,大数据与物联网的发展影响了已有法律对个人信息和非个人信息的区分。由于大数据算法的特点是在各个数据之间建立关联,所以具有重构被剥离身份的能力。同样,物联网环境中的数据收集通常对个人是不可见的,消费者与机构之间没有通道,无法以可见和透明的方式交换数据。另一方面,大数据加剧了敏感信息与非敏感信息的区分难度。在特殊场景下,即使是非敏感信息也可能变得敏感。被视为自身不敏感的单个信息是否变得敏感,取决于它与其他有关该个人的个人信息在大数据环境中结合后能够显示的内容。
其次,数字生态下个人控制的局限性要求完善信息控制模式。在大数据与物联网发展的早期,加拿大有关学者就指出,如果隐私立法是为了使人们能够对其个人信息进行有效的控制,则它必须采用一种能够准确反映人们行为的同意模式。随着人工智能、大数据、区块链技术的发展,《个人信息保护与电子文件法》也需要更新同意的相关内容,解决个人对信息控制权弱化的问题。从现行立法看,《个人信息保护与电子文件法》根据不同风险等级对个人信息的同意形式进行分类,实质上是将个人控制权逐步向社会控制权过渡的表现。总体而言,个人对信息控制能力的局限性决定了需要依靠法律对同意制度重新设置,以实现个人与企业、社会共同控制的路径。
加拿大与欧盟个人信息保护立法的差异
加拿大的《个人信息保护与电子文件法》与欧盟的《通用数据保护条例》存在许多差异,规定不及后者严格。这主要是《通用数据保护条例》将欧盟数据主体的利益放在首位,而加拿大顾及保护机构商业利益。因此,《个人信息保护与电子文件法》从制度设计到运行体系均呈现出尽可能维持个人信息权利保护与商业发展之间的平衡理念。
《个人信息保护与电子文件法》从生效至今已走过20个年头,其在个人信息保护立法变革与完善中所面临的问题和存在的风险值得我们思考。我国在个人信息保护立法方面应注意准确界定“个人信息”概念,注重以“场景”和“风险损害”为导向。数据时代信息的复杂性与动态性决定了脱离具体场景认定个人信息不具有现实性,一切与“可识别个人”有关的信息均有可能具有损害风险而需得到相应保护。换言之,界定“个人信息”的目的并非要真正划分各种信息的类型,而是需要通过在所有信息中选出符合个人信息的内容对其进行法律保护。同时,建立科学的个人信息保护行政组织框架,结束“九龙治水”的多头管理局面,建立统一性与专业性并举的个人信息行政管理机构。另外,需要构建完善的个人信息控制模式。当事人同意机制是个人信息保护的核心原则,其最主要的意义与功能在于落实个人信息的控制权,即保障个人决定是否披露其个人信息及在何种范围内、何时、以何种方式、向何人披露的决定权。为解决同意制度所面临的困境,可借鉴加拿大的有效同意制度,强化个人控制权的同时,采用动态模式规范企业或机构对个人信息的处理。
(作者单位:山西大学法学院)