《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 程 嘯 | 論我國(guó)個(gè)人信息保護(hù)法的基本原則

程 嘯 | 論我國(guó)個(gè)人信息保護(hù)法的基本原則

2021-11-05
來源:國(guó)家檢察官學(xué)院學(xué)報(bào)
關(guān)鍵詞: 個(gè)人信息保護(hù)法

  摘    要

  個(gè)人信息保護(hù)法的基本原則是個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵循的基本原則,,也是解釋,、補(bǔ)充以及發(fā)展個(gè)人信息保護(hù)法律制度的基本原則。故此,,個(gè)人信息保護(hù)法的基本原則具有重要的功能和意義,。我國(guó)新頒布的《個(gè)人信息保護(hù)法》在第一章“總則”中以六個(gè)條文(第5-10條)對(duì)個(gè)人信息保護(hù)法的基本原則作出了規(guī)定。我國(guó)個(gè)人信息保護(hù)法的基本原則包括:合法,、正當(dāng),、必要、誠(chéng)信,、目的限制,、公開透明、質(zhì)量,、安全等八項(xiàng)原則,。

  引        言

  個(gè)人信息保護(hù)法是規(guī)范個(gè)人信息處理活動(dòng),明確個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利,、個(gè)人信息處理者的義務(wù)以及法律責(zé)任的法律,。從作為信息主體的角度來說,個(gè)人信息保護(hù)法就是個(gè)人信息保護(hù)權(quán)益法,,從處理者的角度來看,,則是個(gè)人信息處理規(guī)則法。故此,,個(gè)人信息保護(hù)法的基本原則就是個(gè)人信息處理者在處理活動(dòng)中應(yīng)當(dāng)遵循的基本原則,。這些原則一方面有利于形成科學(xué)的個(gè)人信息處理法律體系,另一方面也有助于解釋和補(bǔ)充個(gè)人信息保護(hù)法的具體法律規(guī)定,。故此,,許多國(guó)家的個(gè)人數(shù)據(jù)或個(gè)人信息保護(hù)法都明確了個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵循的基本原則,。例如,1980年的《經(jīng)濟(jì)合作與發(fā)展組織(OECD)關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)原則》詳細(xì)列舉了收集限制原則,、數(shù)據(jù)質(zhì)量原則,、列明目的原則、使用限制原則,、安全保護(hù)原則,、公開原則、個(gè)人參與原則,、責(zé)任原則等八項(xiàng)原則,。歐盟《一般數(shù)據(jù)保護(hù)條例》第5條是對(duì)“與個(gè)人數(shù)據(jù)處理相關(guān)的原則”的規(guī)定,該條明確了合法,、正當(dāng)與透明原則,,目的限制原則,數(shù)據(jù)最小化原則,,準(zhǔn)確原則,,存儲(chǔ)限制原則,完整與保密原則,,責(zé)任原則,。2017年修訂的德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第47條規(guī)定:“處理個(gè)人數(shù)據(jù)應(yīng)當(dāng)遵循下列原則:1.合法公平地處理;2.為了特定,、明確且合法的目的而收集的并以不違反這些目的的方式進(jìn)行處理,;3.就處理目的而言適當(dāng)、相關(guān)且不過度,;4.準(zhǔn)確且于必要時(shí)更新,;考慮到處理目的,應(yīng)采取一切合理步驟來確保不準(zhǔn)確的個(gè)人數(shù)據(jù)被刪除或更正,;5.以允許識(shí)別數(shù)據(jù)主體的形式所保存的時(shí)間不超過處理該數(shù)據(jù)之目的所必需的時(shí)間,;6.以確保個(gè)人數(shù)據(jù)適當(dāng)安全的方式進(jìn)行處理,包括使用適當(dāng)?shù)募夹g(shù)或組織措施來防止未經(jīng)授權(quán)或非法處理以及防止意外丟失,,破壞或損壞,。”該條確立了個(gè)人數(shù)據(jù)處理應(yīng)當(dāng)遵循的“合法與依據(jù)誠(chéng)信處理的原則(Rechtm??igkeit und Verarbeitung nach Treu und Glauben)”“目的限制原則(Zweckbindung)”“數(shù)據(jù)最小化與比例原則(Datenminimierung und Verh?ltnism??igkeit)”“正確性原則(Richtigkeit)”“限制存儲(chǔ)(Speicherbegrenzung)”以及“系統(tǒng)數(shù)據(jù)保護(hù)原則(Systemdatenschutz)”,。

  我國(guó)法律也對(duì)個(gè)人信息處理活動(dòng)的基本原則作出了規(guī)定,。《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條規(guī)定:“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集,、使用公民個(gè)人電子信息,,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,,明示收集,、使用信息的目的,、方式和范圍,,并經(jīng)被收集者同意,不得違反法律,、法規(guī)的規(guī)定和雙方的約定收集,、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集,、使用公民個(gè)人電子信息,,應(yīng)當(dāng)公開其收集、使用規(guī)則,?!痹摲▽?shí)際上明確了個(gè)人信息處理應(yīng)當(dāng)遵循合法、正當(dāng),、必要以及公開等四項(xiàng)原則,。《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者收集,、使用個(gè)人信息,,應(yīng)當(dāng)遵循合法、正當(dāng),、必要的原則,,公開收集、使用規(guī)則,,明示收集,、使用信息的目的、方式和范圍,,并經(jīng)被收集者同意,。”《民法典》第1035條第1款第1句進(jìn)一步明確規(guī)定:“處理個(gè)人信息的,,應(yīng)當(dāng)遵循合法,、正當(dāng)、必要原則,,不得過度處理”,。

  在我國(guó)《個(gè)人信息保護(hù)法》的起草過程中,立法機(jī)關(guān)認(rèn)為,,應(yīng)當(dāng)在《民法典》《網(wǎng)絡(luò)安全法》等法律規(guī)定的基礎(chǔ)上,,進(jìn)一步充實(shí)完善個(gè)人信息處理的基本原則,并將它們貫穿于個(gè)人信息處理的全過程、各環(huán)節(jié),。2021年8月20日,,十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過了《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下稱《個(gè)人信息保護(hù)法》),這是我國(guó)第一部個(gè)人信息保護(hù)方面的專門性法律,。該法在第一章總則用了六個(gè)條文(第5-10條)對(duì)個(gè)人信息保護(hù)法的基本原則作出了規(guī)定,,明確了在個(gè)人信息處理活動(dòng)中應(yīng)當(dāng)遵循合法、正當(dāng),、必要,、誠(chéng)信、目的限制,、公開透明,、質(zhì)量、安全等八項(xiàng)原則,。本文將對(duì)這些原則的涵義,、功能、要求及具體適用等問題加以討論,,以供理論界與實(shí)務(wù)界參考,。

  一、合法,、正當(dāng),、必要和誠(chéng)信原則

  《個(gè)人信息保護(hù)法》第5條規(guī)定:“處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng),、必要和誠(chéng)信原則,,不得通過誤導(dǎo)、欺詐,、脅迫等方式處理個(gè)人信息,。”該條明確了個(gè)人信息處理中應(yīng)當(dāng)遵循的合法,、正當(dāng),、必要和誠(chéng)信原則。其中,,前三個(gè)原則在《網(wǎng)絡(luò)安全法》《民法典》中就有規(guī)定,,誠(chéng)信原則則是《個(gè)人信息保護(hù)法》依據(jù)《民法典》新增加的基本原則。

 ?。ㄒ唬┖戏ㄔ瓌t

  合法原則(Der Rechtm??igkeitsgrundsatz)是指,,個(gè)人信息處理者在對(duì)個(gè)人信息進(jìn)行收集、存儲(chǔ),、加工,、使用,、提供、公開,、刪除等處理活動(dòng)時(shí),,應(yīng)嚴(yán)格遵循法律、行政法規(guī)的規(guī)定,,采取合法的方式,,不得違法處理個(gè)人信息。之所以如此,,是因?yàn)閷?duì)于個(gè)人信息的任何處理活動(dòng),,客觀上都是對(duì)自然人的個(gè)人信息權(quán)益的干擾或破壞,,故此,,必須有法律的依據(jù)或正當(dāng)化事由。否則,,該等處理行為就是對(duì)個(gè)人信息權(quán)益的侵害,,屬于非法行為。所謂“合法”方式中的“法”的范圍比較廣泛,,不僅包括全國(guó)人大及其常委會(huì)制定的法律,,也包括行政法規(guī)、地方性法規(guī),、司法解釋,、部門規(guī)章、地方政府規(guī)章,、強(qiáng)制性標(biāo)準(zhǔn)等,。《個(gè)人信息保護(hù)法》從正反兩方面對(duì)于合法原則作出了規(guī)定,。正面的規(guī)定為《個(gè)人信息保護(hù)法》第5條,,要求處理個(gè)人信息應(yīng)當(dāng)遵循合法原則。反面規(guī)定就是該法第10條,,即任何組織,、個(gè)人不得非法收集、使用,、加工,、傳輸他人個(gè)人信息,不得非法買賣,、提供,、公開他人個(gè)人信息;不得從事危害國(guó)家安全,、公共利益的個(gè)人信息處理活動(dòng),。具體來說,,合法原則體現(xiàn)在以下幾方面:

  1.只有符合法律、行政法規(guī)規(guī)定的情形時(shí),,個(gè)人信息處理者才能處理個(gè)人信息,。該處理行為才是合法的,對(duì)于這些情形的全面列舉在《個(gè)人信息保護(hù)法》第13條,。該條列舉了七種情形,,如取得個(gè)人的同意;為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需,;為履行法定職責(zé)或者法定義務(wù)所必需等,,只有符合其中的某一種情形,處理行為才是合法的,,否則就是非法行為,。

  2.個(gè)人信息處理者處理個(gè)人信息的目的和處理方式應(yīng)當(dāng)是合法的(即追求合法的利益),不能侵害自然人的人格尊嚴(yán),、人身自由和人身財(cái)產(chǎn)權(quán)益,,也不能損害社會(huì)公共利益或國(guó)家利益。處理者必須采取合法的方式(符合比例原則的方式)開展具體的處理活動(dòng),,確保個(gè)人信息處理活動(dòng)符合法律,、行政法規(guī)的規(guī)定,即個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的,、處理方式,、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等,,采取措施確保個(gè)人信息處理活動(dòng)符合法律,、行政法規(guī)的規(guī)定。

  3.禁止從事任何非法的個(gè)人信息處理活動(dòng),。依據(jù)《民法典》第111條第2句以及《網(wǎng)絡(luò)安全法》第44條,,任何組織或者個(gè)人需要獲取他人個(gè)人信息的,應(yīng)當(dāng)依法取得并確保信息安全,,不得非法收集,、使用、加工,、傳輸他人個(gè)人信息,,不得非法買賣、提供或者公開他人個(gè)人信息,。據(jù)此,,《個(gè)人信息保護(hù)法》第10條也規(guī)定,任何組織,、個(gè)人不得非法收集,、使用,、加工、傳輸他人個(gè)人信息,,不得非法買賣,、提供或者公開他人個(gè)人信息;不得從事危害國(guó)家安全,、公共利益的個(gè)人信息處理活動(dòng),。

  (二)正當(dāng)原則

  正當(dāng)原則,,也稱公正原則(fairness),,是指處理個(gè)人信息的行為必須是正當(dāng)?shù)模幚碚卟粦?yīng)當(dāng)通過不公正的方法,,如通過欺騙或者在信息主體完全不知情的情況下來處理其個(gè)人信息,。正當(dāng)(fairness)是各國(guó)個(gè)人信息保護(hù)立法中所確立的一項(xiàng)基本原則。歐盟《一般數(shù)據(jù)保護(hù)條例》第5條第1款(a)規(guī)定,,應(yīng)當(dāng)“以合法,、公正,、透明的方式處理”個(gè)人數(shù)據(jù),。日本《個(gè)人信息保護(hù)法》第3條規(guī)定:“在尊重個(gè)人人格的理念下,個(gè)人信息應(yīng)被慎重對(duì)待,,鑒于此,,應(yīng)當(dāng)實(shí)現(xiàn)個(gè)人信息之正當(dāng)處理?!钡?7條第1款規(guī)定:“個(gè)人信息處理業(yè)者不得以虛假及其他不正當(dāng)手段獲取個(gè)人信息,。”韓國(guó)《個(gè)人信息保護(hù)法》第3條第1款規(guī)定:“個(gè)人信息處理者應(yīng)當(dāng)明確處理個(gè)人信息的目的,,并限于其目的之必要范圍內(nèi)合法,、正當(dāng)?shù)厥占畹拖薅鹊膫€(gè)人信息?!?/p>

  我國(guó)《個(gè)人信息保護(hù)法》第5條明確規(guī)定,,處理個(gè)人信息應(yīng)當(dāng)遵循正當(dāng)原則,同時(shí),,禁止處理者通過誤導(dǎo),、欺詐、脅迫等方式處理個(gè)人信息,,因?yàn)檫@些方法都是不正當(dāng)?shù)模ㄒ彩沁`反誠(chéng)信原則的),。實(shí)踐中,不少APP運(yùn)營(yíng)者就是通過誤導(dǎo),、欺詐等不公正的方式來收集用戶的個(gè)人信息,,如在非服務(wù)所必需或無合理場(chǎng)景的情形下,,以所謂積分、獎(jiǎng)勵(lì),、優(yōu)惠等方式欺騙誤導(dǎo)用戶提供身份證號(hào)碼以及個(gè)人生物特征等個(gè)人信息,。有些APP還通過脅迫的方式來收集用戶的個(gè)人信息,如一些網(wǎng)貸平臺(tái)要求用戶申請(qǐng)貸款時(shí)除提供自己的個(gè)人信息外還必須提供親朋好友的身份證號(hào)碼,、手機(jī)號(hào)碼等個(gè)人信息,,否則就不發(fā)放貸款,一旦用戶貸款償還上出現(xiàn)逾期,,則不斷地騷擾其親朋好友,。這些對(duì)個(gè)人信息的處理行為都違反了正當(dāng)?shù)脑瓌t,屬于違法行為,。個(gè)人信息處理者通過欺詐,、脅迫等方式取得個(gè)人的同意而處理個(gè)人信息的,該處理活動(dòng)依然是違法的,,不得以取得自然人的同意作為抗辯,。對(duì)此,《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第4條有明確的規(guī)定:“有下列情形之一,,信息處理者以已征得自然人或者其監(jiān)護(hù)人同意為由抗辯的,,人民法院不予支持:(一)信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的,但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外,;(二)信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的,;(三)強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形,?!?/p>

 ?。ㄈ┍匾瓌t

  必要原則是指處理個(gè)人信息的活動(dòng)都應(yīng)當(dāng)是對(duì)于實(shí)現(xiàn)個(gè)人信息處理目的而言是必要的,凡是不必要的個(gè)人信息處理活動(dòng)都不應(yīng)當(dāng)開展,。該原則是比例原則在個(gè)人信息保護(hù)法中的體現(xiàn),。比例原則(der Grundsatz der Verhaeltnismaessigkeit)是一項(xiàng)非常重要的法律原則,在公法和私法領(lǐng)域都適用,。比例原則有廣狹義之分,,狹義的比例原則主要適用于負(fù)擔(dān)行政行為以及所有的行政領(lǐng)域,而廣義的比例原則產(chǎn)生于法治國(guó)家原則,,不僅約束行政,,也約束立法,同時(shí)被適用于一般性確定基本權(quán)利的界線,,“即作為個(gè)人自由請(qǐng)求權(quán)和限制自由的公共利益之間的權(quán)衡要求適用”,。在行政法領(lǐng)域,比例原則包含三項(xiàng)要求:其一,,必要性原則,,即行政機(jī)關(guān)擬實(shí)施行政行為特別是實(shí)施對(duì)行政相對(duì)人的權(quán)利不利的行政行為時(shí),,只有認(rèn)定該行為對(duì)達(dá)到相應(yīng)的行政目的是必要的時(shí)候,才能實(shí)施,;其二,,適當(dāng)性原則,即行政機(jī)關(guān)在實(shí)施行政行為前必須進(jìn)行利益衡量,,只有確認(rèn)該行為對(duì)于實(shí)現(xiàn)相應(yīng)的行政目的是適當(dāng)?shù)那铱赡苋〉玫睦娲笥诳赡軗p害的利益時(shí),,才能實(shí)施;其三,,最小損害原則,,即行政機(jī)關(guān)必須在多種方案中選擇對(duì)行政相對(duì)人權(quán)益損害最小的方案實(shí)施。在民法中,,比例原則意味著“只有在以下情形當(dāng)中,,個(gè)人自由及其私法自治才能受到干預(yù),即對(duì)于維護(hù)更高的利益而言這是必要的,,且此種干預(yù)既適于實(shí)現(xiàn)預(yù)期的目標(biāo),,也是實(shí)現(xiàn)該目的的最緩和的方式”。

  必要原則也是各國(guó)個(gè)人信息或個(gè)人數(shù)據(jù)保護(hù)立法所堅(jiān)持的一項(xiàng)基本原則,。例如,,歐盟《一般數(shù)據(jù)保護(hù)條例》導(dǎo)言部分第39條指出:“個(gè)人數(shù)據(jù)應(yīng)當(dāng)充分、相關(guān)并且僅限于其處理目的所需的必要數(shù)據(jù),。這尤其要求確保對(duì)個(gè)人數(shù)據(jù)的存儲(chǔ)期限的必要限制,。只有在處理目的不能通過其他方式合理實(shí)現(xiàn)的情況下,才能進(jìn)行個(gè)人數(shù)據(jù)處理,。為確保個(gè)人數(shù)據(jù)的保存時(shí)間不超過必要時(shí)間,應(yīng)由控制者制定時(shí)間限制以進(jìn)行刪除或定期審查”,。該條例第5條第1款將必要原則概括為“充分,、相關(guān),及以個(gè)人數(shù)據(jù)處理目的之必要為限度進(jìn)行處理”,,“準(zhǔn)確,、必要、及時(shí):以個(gè)人數(shù)據(jù)處理目的為限,,應(yīng)采取一切合理步驟確保不準(zhǔn)確的個(gè)人數(shù)據(jù)被及時(shí)地處理,、刪除或修正”。再如,,《巴西通用數(shù)據(jù)保護(hù)法》第6條第3款規(guī)定,,個(gè)人數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)遵循必要性原則,即“將處理限制在實(shí)現(xiàn)其目的所需的最低限度,,涵蓋與數(shù)據(jù)處理目的相關(guān)的,、成比例的和非過量的數(shù)據(jù)”,。

  《個(gè)人信息保護(hù)法》頒布前,我國(guó)的《網(wǎng)絡(luò)安全法》《民法典》等法律對(duì)于必要原則就做出了相應(yīng)的規(guī)定,。如《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定,,網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,,應(yīng)當(dāng)遵循合法,、正當(dāng)、必要的原則,?!睹穹ǖ洹返?035條第1條規(guī)定,處理個(gè)人信息的,,應(yīng)當(dāng)遵循合法,、正當(dāng)、必要原則,,不得過度處理,。但是,這些法律都沒有對(duì)必要原則的具體要求加以明確,。從《個(gè)人信息保護(hù)法》的規(guī)定來看,,必要原則主要體現(xiàn)在以下三方面:首先,收集個(gè)人信息應(yīng)當(dāng)遵循必要的原則,,限制在實(shí)現(xiàn)處理目的所需要的最小范圍,,不得過度收集個(gè)人信息(第6條第2款);其次,,處理敏感的個(gè)人信息應(yīng)當(dāng)具有充分的必要性,,否則不得處理(第28條第2款);再次,,個(gè)人信息保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短的時(shí)間,,除非法律、行政法規(guī)另有規(guī)定(第19條),。

 ?。ㄋ模┱\(chéng)信原則

  誠(chéng)信原則,也稱誠(chéng)實(shí)信用原則(Treu und Glauben),,它不僅是私法領(lǐng)域的最高原則之一,,也是公法領(lǐng)域的基本原則。誠(chéng)實(shí)信用原則要求秉持誠(chéng)實(shí),、恪守承諾,,及當(dāng)事人應(yīng)當(dāng)真實(shí)真誠(chéng),如實(shí)披露相關(guān)信息,不坑蒙拐騙,,不欺詐他人,,同時(shí)嚴(yán)格承諾,講求信用,。

  在個(gè)人信息的處理活動(dòng)中,,處理者也應(yīng)當(dāng)遵循誠(chéng)信原則。對(duì)此,,一些國(guó)家或地區(qū)的法律有明確的規(guī)定,。例如,《巴西通用數(shù)據(jù)保護(hù)法》第6條規(guī)定,,個(gè)人數(shù)據(jù)處理活動(dòng)應(yīng)遵循誠(chéng)信和相應(yīng)的原則,。再如,我國(guó)臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”第5條規(guī)定:“個(gè)人資料之搜集,、處理或利用,,應(yīng)尊重當(dāng)事人之權(quán)益,依誠(chéng)實(shí)及信用方法為之,,不得逾越特定目的之必要范圍,,并應(yīng)與搜集之目的具有正當(dāng)合理之關(guān)聯(lián)”。

  在我國(guó)法律中,,誠(chéng)信原則是非常重要的一項(xiàng)原則,,被許多法律加以規(guī)定?!睹穹ǖ洹返?條規(guī)定:“民事主體從事民事活動(dòng),,應(yīng)當(dāng)遵循誠(chéng)信原則,秉持誠(chéng)實(shí),,恪守承諾,。”這就是說,,在從事民事活動(dòng)時(shí),,民事主體應(yīng)當(dāng)講誠(chéng)信、守信用,,以善意的方式行使權(quán)利、履行義務(wù),,不詐不欺,,言行一致,信守諾言,。除了《民法典》之外,,還有不少法律都明確規(guī)定了誠(chéng)信原則,例如《反不正當(dāng)競(jìng)爭(zhēng)法》第2條第1款規(guī)定:“經(jīng)營(yíng)者在生產(chǎn)經(jīng)營(yíng)活動(dòng)中,應(yīng)當(dāng)遵循自愿,、平等,、公平、誠(chéng)信的原則,,遵守法律和商業(yè)道德,。”《電子商務(wù)法》第5條規(guī)定:“電子商務(wù)經(jīng)營(yíng)者從事經(jīng)營(yíng)活動(dòng),,應(yīng)當(dāng)遵循自愿,、平等、公平,、誠(chéng)信的原則,,遵守法律和商業(yè)道德,公平參與市場(chǎng)競(jìng)爭(zhēng),,履行消費(fèi)者權(quán)益保護(hù),、環(huán)境保護(hù)、知識(shí)產(chǎn)權(quán)保護(hù),、網(wǎng)絡(luò)安全與個(gè)人信息保護(hù)等方面的義務(wù),,承擔(dān)產(chǎn)品和服務(wù)質(zhì)量責(zé)任,接受政府和社會(huì)的監(jiān)督,?!薄断M(fèi)者權(quán)益保護(hù)法》第4條規(guī)定:“經(jīng)營(yíng)者與消費(fèi)者進(jìn)行交易,應(yīng)當(dāng)遵循自愿,、平等,、公平、誠(chéng)實(shí)信用的原則,?!?/p>

  我國(guó)《個(gè)人信息保護(hù)法》第5條明確將誠(chéng)實(shí)信用原則作為個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵循的一項(xiàng)基本原則。這就是說,,處理者在從事個(gè)人信息處理活動(dòng)時(shí),,應(yīng)當(dāng)始終秉持誠(chéng)實(shí)、恪守承諾,,不通過任何欺詐,、誤導(dǎo)、脅迫等方式處理個(gè)人信息,;在取得個(gè)人同意或符合法律,、行政法規(guī)規(guī)定的其他情形而可以處理個(gè)人信息時(shí),也應(yīng)當(dāng)講求誠(chéng)信,,嚴(yán)格按照法律規(guī)定和約定處理信息,,不從事任何違反處理目的和處理方式的處理活動(dòng)。

  二、目的限制原則

 ?。ㄒ唬┠康南拗圃瓌t的涵義

  所謂目的限制原則(the principle of purpose limitation/ Zweckbindungsgrundsatz),,也稱目的拘束原則,是個(gè)人信息保護(hù)法中最基本的一項(xiàng)原則,,貫穿于整個(gè)個(gè)人信息處理活動(dòng),,無論處理者是誰,也不管屬于何種類型的處理活動(dòng),,都必須受到該原則的拘束,。由于目的限制原則是數(shù)據(jù)保護(hù)的基石和大多數(shù)其他基本要求的先決條件,故此,,理論界也將目的限制原則稱為個(gè)人信息保護(hù)法上的“帝王條款”,。

  許多國(guó)家或地區(qū)的個(gè)人信息或數(shù)據(jù)保護(hù)立法都確立了目的限制原則。例如,,歐盟《一般數(shù)據(jù)保護(hù)條例》第5條第1款(b)規(guī)定:“為特定,、明確、合法的目的收集個(gè)人數(shù)據(jù),,且隨后不得以與該目的相違背的方式進(jìn)行處理,;第89條第1款中為實(shí)現(xiàn)公共利益存檔目的、科學(xué)研究或歷史研究,、統(tǒng)計(jì)目的而進(jìn)行的進(jìn)一步數(shù)據(jù)處理不視為與最初目的相違背,。”日本《個(gè)人信息保護(hù)法》第15條規(guī)定:“個(gè)人信息處理業(yè)者在處理個(gè)人信息時(shí),,應(yīng)當(dāng)盡可能地將利用該個(gè)人信息的目的(以下稱為”利用目的“)特定,。個(gè)人信息處理業(yè)者若要變更利用目的,則不得超出足以合理地認(rèn)為與變更前的利用目的具有關(guān)聯(lián)性之范圍”,。第16條第1,、2款規(guī)定:“個(gè)人信息處理業(yè)者不得未事先取得本人的同意,而超出達(dá)到依照前一條的規(guī)定所特定的利用目的所必要的范圍,,處理個(gè)人信息,。個(gè)人信息處理業(yè)者在因合并或其他事由而從其他個(gè)人信息處理業(yè)者處承受業(yè)務(wù)并取得個(gè)人信息后,不得未事先取得本人的同意,,而超出達(dá)到業(yè)務(wù)承受前該個(gè)人信息的利用目的所必要的范圍,,處理個(gè)人信息?!痹偃?,韓國(guó)《個(gè)人信息保護(hù)法》第3條第1至3款規(guī)定:“個(gè)人信息處理者應(yīng)當(dāng)明確處理個(gè)人信息的目的,并限于其目的之必要范圍內(nèi)合法,、正當(dāng)?shù)厥占畹拖薅鹊膫€(gè)人信息。個(gè)人信息處理者應(yīng)當(dāng)在處理個(gè)人信息目的之必要范圍內(nèi)適當(dāng)?shù)靥幚韨€(gè)人信息,不能將其用于目的之外的其他用途,。個(gè)人信息處理者應(yīng)在個(gè)人信息處理目的之必要范圍內(nèi),,保障個(gè)人信息的準(zhǔn)確性、完整性和最新性,?!睆纳鲜鲆?guī)定可以看出,目的限制原則主要包含了兩個(gè)維度:一是目的特定維度(the purpose specification dimension),,即必須是為了特定,、明確、合法的目的而收集個(gè)人數(shù)據(jù),,否則不得收集或進(jìn)行其他的處理活動(dòng),;二是兼容使用維度(the compatible use dimension),即被收集的數(shù)據(jù)必須以符合特定目的的方式進(jìn)行處理,,即對(duì)數(shù)據(jù)的處理與特定的,、明確的、合法的目的存在合理的聯(lián)系,,沒有超越處理的目的,。

  在我國(guó),《網(wǎng)絡(luò)安全法》《民法典》等法律沒有規(guī)定目的限制原則,。不過,,在法律明確規(guī)定的合法、正當(dāng)和必要等三項(xiàng)原則中,,必要原則也可以看作是目的限制原則的具體體現(xiàn),。因?yàn)椋匾c否,,只能是就個(gè)人信息處理目的而言是否必要加以判斷的,。《個(gè)人信息保護(hù)法》于第6條首次對(duì)目的限制原則作出了詳細(xì)的規(guī)定,,即“處理個(gè)人信息應(yīng)當(dāng)具有明確,、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),,采取對(duì)個(gè)人權(quán)益影響最小的方式,。收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,,不得過度收集個(gè)人信息,。”從這一規(guī)定可以看出,,我國(guó)法上的目的限制原則更加豐富,,包含了三個(gè)層次:一是目的特定,,即處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,;二是直接相關(guān),,即處理個(gè)人信息的活動(dòng)必須與處理目的直接相關(guān);三是采取對(duì)個(gè)人權(quán)益影響最小的方式,。此外,,《個(gè)人信息保護(hù)法》第6條第2款還專門對(duì)收集個(gè)人信息這一處理活動(dòng)中應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍作出了規(guī)定。

 ?。ǘ┠康南拗圃瓌t的意義

  之所以個(gè)人信息保護(hù)法上要以目的限制原則作為最基本的原則之一,,而且該原則具有舉足輕重的地位,原因在于:一方面,,目的限制原則有利于更好地保護(hù)個(gè)人信息權(quán)益,。個(gè)人信息的處理無非就是兩類:基于個(gè)人同意處理個(gè)人信息,或者依據(jù)法律,、行政法規(guī)的規(guī)定處理個(gè)人信息,。在基于個(gè)人同意而處理個(gè)人信息的情形中,處理者在處理個(gè)人信息之前必須告知其個(gè)人信息被處理的自然人并取得同意,。如果不告知明確的目的,,而是模糊的、籠統(tǒng)的,,個(gè)人就不可能作出真正的自愿的同意,。也就是說,處理者所取得的信息主體的同意也是無效的,。同樣,,在取得個(gè)人同意后進(jìn)行的個(gè)人信息處理活動(dòng),不能超越個(gè)人所同意的處理目的和處理方式,。如果超越了,,就等于自然人沒有同意,處理活動(dòng)也是非法的,,構(gòu)成對(duì)個(gè)人信息權(quán)益的侵害,。在依據(jù)法律、行政法規(guī)的規(guī)定,,無需取得個(gè)人的同意即可實(shí)施的個(gè)人信息處理活動(dòng)中,,法律、行政法規(guī)之所以賦予個(gè)人信息處理者這樣的“特權(quán)”,,目的是在于為了維護(hù)更高位階的利益,,即為了正當(dāng)?shù)哪康模缏男蟹ǘ氊?zé)或法定義務(wù),,維護(hù)社會(huì)公共利益或國(guó)家利益或維護(hù)自然人的生命財(cái)產(chǎn)安全等,。因此,,個(gè)人信息處理活動(dòng)同樣要受到目的的限制,不能超越目的范圍甚至背道而馳,。否則,,個(gè)人信息處理活動(dòng)也是非法的,構(gòu)成對(duì)個(gè)人信息權(quán)益的侵害,。此外,如果處理者不告知明確的處理的目的,,也會(huì)導(dǎo)致個(gè)人也無法針對(duì)處理者主張相應(yīng)的權(quán)利,,例如,在處理目的已經(jīng)實(shí)現(xiàn),、無法實(shí)現(xiàn)或?yàn)閷?shí)現(xiàn)處理目的而不再必要的情形下,,個(gè)人信息處理者應(yīng)當(dāng)刪除個(gè)人信息,如果沒有刪除的,,個(gè)人可以要求處理者刪除個(gè)人信息(《個(gè)人信息保護(hù)法》第47條第1款第1項(xiàng)),。由此可見,目的限制原則對(duì)于保護(hù)個(gè)人權(quán)益是非常重要的,。

  另一方面,,目的限制原則也很好地協(xié)調(diào)了個(gè)人權(quán)益保護(hù)和科技創(chuàng)新、經(jīng)濟(jì)發(fā)展之間的關(guān)系,。目的限制原則要求個(gè)人信息處理者在開始處理活動(dòng)之前,,就必須確定個(gè)人信息處理的目的,即個(gè)人信息處理必須具有明確,、合理的目的,。這就使得個(gè)人信息處理者可以據(jù)此發(fā)現(xiàn)其即將開展的個(gè)人信息處理活動(dòng)對(duì)于個(gè)人權(quán)益可能產(chǎn)生的各種影響或風(fēng)險(xiǎn),并且由于處理者必須將個(gè)人信息的處理限定在該目的范圍內(nèi),,那么個(gè)人信息處理可能引發(fā)的風(fēng)險(xiǎn)不僅能夠被提前發(fā)現(xiàn),,并且可以被限制在初始目的的范圍內(nèi)。因?yàn)?,目的同一性要求后續(xù)的處理活動(dòng)中不能創(chuàng)造出與原來的風(fēng)險(xiǎn)性質(zhì)不同的風(fēng)險(xiǎn)或者增加風(fēng)險(xiǎn),。這樣一來,目的限制原則不僅保護(hù)了個(gè)人權(quán)益尤其是對(duì)個(gè)人信息處理活動(dòng)享有的知情權(quán)與決定權(quán),,也為個(gè)人信息的處理者提供了足夠的空間,,使得其能夠根據(jù)具體情況的特殊性,通過變更處理目的重新取得個(gè)人同意抑或維持原有的處理目的等方式找到最佳解決方案,。故此,,目的限制原則通過提供客觀上的法律尺度,使得處理者能及時(shí)評(píng)估各種處理活動(dòng)的風(fēng)險(xiǎn),,有利于科技創(chuàng)新與發(fā)展數(shù)字經(jīng)濟(jì),。

 ?。ㄈ┠康南拗圃瓌t的要求

  1.明確、合理的目的

  《個(gè)人信息保護(hù)法》第6條第1款規(guī)定,,處理個(gè)人信息應(yīng)當(dāng)具有明確,、合理的目的。這就是說,,在處理個(gè)人信息之前就必須有明確,、合理的處理目的。所謂明確的目的意味著:一方面,,個(gè)人信息處理者應(yīng)當(dāng)使用清晰的,、明確的言詞表達(dá)出其處理的目的,即目的必須是清晰的,、明確地被表達(dá)出來的,,而不能是秘密的、隱匿的或者含糊不清的,;另一方面,,明確的目的還意味著處理者的處理目的是有限定范圍的,不能是毫無限制,、漫無目標(biāo)的,。即便使用了清晰的言語(yǔ),但表達(dá)的是非常廣泛的處理目的,,該處理目的也是不明確的,。例如,網(wǎng)絡(luò)企業(yè)在告知個(gè)人時(shí)宣稱“本公司有權(quán)將所收集的個(gè)人信息用于任何本公司業(yè)務(wù)發(fā)展所需之合法用途”,,顯然此類表述中的處理目的就是不明確的,。個(gè)人信息的處理活動(dòng)對(duì)個(gè)人的權(quán)益產(chǎn)生的危險(xiǎn)越大,則對(duì)于處理目的的明確性與合理性的要求就越高,。例如,,對(duì)于敏感信息的處理,《個(gè)人信息保護(hù)法》第28條第2款就明確要求必須具有特定的目的,。只有處理目的是明確的,,才能確定處理活動(dòng)是否符合法律、行政法規(guī)的規(guī)定,,處理者才能據(jù)此采取相應(yīng)的個(gè)人信息保護(hù)措施,。例如,《個(gè)人信息保護(hù)法》第51條規(guī)定,,個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的等,,采取相應(yīng)的措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定,,并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息的泄露等,。此外,,明確的目的也有利于公開透明原則以及責(zé)任原則,尊重個(gè)人對(duì)其個(gè)人信息的處理所享有的知情權(quán),、決定權(quán),,使個(gè)人信息處理者為其處理行為負(fù)責(zé)。

  個(gè)人信息處理的目的不僅僅應(yīng)當(dāng)是明確的,,還必須是合理的,。合理的目的首先應(yīng)當(dāng)是合法的目的,如果處理個(gè)人信息是為了履行法定的職責(zé)或者告知并取得個(gè)人的同意,,則該處理就具有合法的目的,。也就是說,如果符合《個(gè)人信息保護(hù)法》第13條第1款所列舉的情形而處理個(gè)人信息的,,當(dāng)然處理目的是合法的。不過,,合法性只是對(duì)處理目的的基本要求,,因?yàn)楹戏康牟⒎嵌际呛侠淼哪康摹L幚淼哪康暮侠砼c否,,應(yīng)當(dāng)在考慮個(gè)案的具體因素的基礎(chǔ)上,,權(quán)衡處理者與信息主體等各方的權(quán)益和自由,最好地實(shí)現(xiàn)個(gè)人信息權(quán)益的保護(hù)與個(gè)人信息的合理利用之間的利益協(xié)調(diào)與平衡,。此外,,目的的合理性也會(huì)隨著時(shí)間的推移而變化,這取決于科學(xué)技術(shù)的發(fā)展以及社會(huì)和文化態(tài)度的變化,。

  2.個(gè)人信息處理活動(dòng)必須與處理目的直接相關(guān)

  目的限制原則要求,,處理者只能對(duì)個(gè)人信息實(shí)施符合初始目的的相應(yīng)的處理活動(dòng),不得從事與處理目的無關(guān)的個(gè)人信息處理,。歐盟《一般數(shù)據(jù)保護(hù)條例》提出了所謂的“數(shù)據(jù)兼容處理(compatible processing of data)”的概念,,也就是說,數(shù)據(jù)的控制者可以對(duì)數(shù)據(jù)執(zhí)行被認(rèn)為與收集數(shù)據(jù)時(shí)的目的即初始目的相互兼容的所有操作,。該條例第6條第4款還提出了一下判斷標(biāo)準(zhǔn),,即“當(dāng)處理活動(dòng)并非為了個(gè)人數(shù)據(jù)被收集時(shí)的目的,并且未基于數(shù)據(jù)主體的同意,,亦非基于在民主社會(huì)構(gòu)成一個(gè)必要且適當(dāng)措施來保障本條例第23條第(1)款所述之目標(biāo)的歐盟或成員國(guó)法律,,控制者應(yīng)當(dāng)為了查明為其他目的進(jìn)行的處理是否與個(gè)人數(shù)據(jù)被收集時(shí)的目的相一致而考慮,特別是:(a)任何在個(gè)人數(shù)據(jù)被收集時(shí)的目的和預(yù)期進(jìn)一步處理的目的之間的聯(lián)系,;(b)個(gè)人數(shù)據(jù)被收集時(shí)的情形,,尤其是關(guān)于數(shù)據(jù)主體和控制者之間的關(guān)系;(c)個(gè)人數(shù)據(jù)的性質(zhì),,特別是依據(jù)本條例第9條被處理的特殊類型的個(gè)人數(shù)據(jù),,或者是依據(jù)本條例第10條與刑事定罪和罪行有關(guān)的個(gè)人數(shù)據(jù),;(d)預(yù)計(jì)進(jìn)一步處理給數(shù)據(jù)主體可能造成的后果;(e)適當(dāng)?shù)目赡馨用芑蚰涿谋U洗胧┑拇嬖??!蔽覈?guó)臺(tái)灣地區(qū)“個(gè)人信息保護(hù)法”第5條則要求個(gè)人資料的處理應(yīng)當(dāng)與“收集之目的具有正當(dāng)合理的關(guān)聯(lián)”。理論界認(rèn)為,,所謂具有正當(dāng)合理的關(guān)聯(lián)是指?jìng)€(gè)人資料的收集,、處理或利用應(yīng)當(dāng)與收集的目的有正當(dāng)合理的聯(lián)系,不得與其他目的做不當(dāng)?shù)倪B接,,即不當(dāng)連接禁止原則,,例如通訊錄的制作和利用應(yīng)當(dāng)符合比例原則與具有正當(dāng)合理的關(guān)聯(lián)。

  我國(guó)《個(gè)人信息保護(hù)法》沒有采取歐盟的個(gè)人信息兼容處理的做法,,而是規(guī)定得更為嚴(yán)格,。《個(gè)人信息保護(hù)法》第6條第1款要求個(gè)人信息處理的活動(dòng)“應(yīng)當(dāng)與處理目的直接相關(guān)”,。這是因?yàn)椋禾幚砟康脑趥€(gè)人信息處理活動(dòng)中占據(jù)核心的位置,,決定了個(gè)人信息處理者收集的個(gè)人信息是否為必要信息、收集的范圍是否屬于最小范圍,,儲(chǔ)存?zhèn)€人信息的期限是否是最短時(shí)間等,,這些都必須通過處理目的來判斷。將個(gè)人信息處理活動(dòng)限定在與處理目的直接相關(guān)的范圍之內(nèi),,有利于保護(hù)個(gè)人信息權(quán)益,。無論個(gè)人信息處理是否基于個(gè)人同意,原則上處理者在處理個(gè)人信息前應(yīng)當(dāng)告知處理的目的和處理方式,,除非法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知(《個(gè)人信息保護(hù)法》第18條)。因此,,個(gè)人通過了解個(gè)人信息處理目的可以預(yù)見個(gè)人信息處理活動(dòng)可能給其造成的風(fēng)險(xiǎn),,同樣處理者也可以據(jù)此控制處理活動(dòng)中的風(fēng)險(xiǎn)并預(yù)先作出安排。如果可以超出處理目的而進(jìn)行各種處理活動(dòng),,那么由此帶來的風(fēng)險(xiǎn)無論是對(duì)處理者而言,,還是對(duì)個(gè)人而言,都是不可預(yù)測(cè)的,。

  問題是,,如何判斷處理活動(dòng)是“與處理目的直接相關(guān)”?首先要明確的是,,《個(gè)人信息保護(hù)法》第6條第1款“與處理目的直接相關(guān)”中的“處理目的”是指?jìng)€(gè)人信息處理者在處理個(gè)人信息前以符合法律規(guī)定的方式告知個(gè)人的“處理目的”,。例如,A公司在收集個(gè)人信息時(shí),通過個(gè)人信息處理規(guī)則等方式告知的處理目的,?!爸苯酉嚓P(guān)”意味著處理者所開展的一系列的個(gè)人信息處理行為都應(yīng)當(dāng)是在該處理目的之內(nèi)的,具有密切的關(guān)聯(lián)性,。例如,,張三在A公司的網(wǎng)上商城訂購(gòu)新鮮牛奶,A公司每周送一箱到張三家中,,為此張三提供了銀行賬號(hào)和家庭住址,、聯(lián)系方式等個(gè)人信息。此后,,A公司每周處理一次張三的這些信息,,顯然都是與處理目的——向張三銷售并配送牛奶——直接相關(guān)的。但是,,如果A公司為了推銷本公司的其他產(chǎn)品(包括相關(guān)的奶制品或其他品牌的牛奶)而利用張三的個(gè)人信息進(jìn)行廣告推送,,那么這一處理活動(dòng)就與處理目的并不直接相關(guān)。在判斷是否“直接相關(guān)”上,,應(yīng)當(dāng)采取非常嚴(yán)格的標(biāo)準(zhǔn),,即考察處理者后續(xù)實(shí)施的處理行為的目的是否被告知個(gè)人的處理目的所包含,或者雖然不包含但合理的人都認(rèn)為二者之間是密切聯(lián)系的,。

  3.采取對(duì)個(gè)人權(quán)益影響最小的方式

  所謂“個(gè)人權(quán)益”就是指因個(gè)人信息處理活動(dòng)可能影響到的自然人的各種權(quán)益,既包括憲法上的基本權(quán)利如人格尊嚴(yán)和人身自由,,也包括《民法典》規(guī)定的自然人的人身財(cái)產(chǎn)權(quán)益等,,還包括《消費(fèi)者權(quán)益保護(hù)法》《未成年人保護(hù)法》《婦女權(quán)益保障法》《殘疾人保障法》《老年人權(quán)益保障法》等法律規(guī)定的特殊群體的自然人享有的權(quán)益。處理者處理個(gè)人信息的活動(dòng),,不可避免會(huì)對(duì)個(gè)人的權(quán)益造成各種影響,。就個(gè)人信息處理者而言,在有多種處理方式可供選擇時(shí),,應(yīng)當(dāng)選擇其中既能實(shí)現(xiàn)個(gè)人信息處理目的,,又對(duì)個(gè)人權(quán)益的影響最小的方式,這也是比例原則中“最小損害原則”的要求,。換言之,,處理者應(yīng)盡可能減少所處理的個(gè)人信息的處理以及對(duì)個(gè)人信息的使用次數(shù),以避免對(duì)個(gè)人信息權(quán)益造成不利的影響,。

 ?。ㄋ模﹤€(gè)人信息最小化原則

  《個(gè)人信息保護(hù)法》第6條第2款規(guī)定:“收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,,不得過度收集個(gè)人信息,。”該款是專門針對(duì)收集個(gè)人信息作出的規(guī)定,其所確立的原則也被稱為個(gè)人信息最小化原則或數(shù)據(jù)最小化原則(Grundsatz der Datenminimierung),。該原則是目的限制原則與必要原則在個(gè)人信息收集環(huán)節(jié)的體現(xiàn),。一方面,個(gè)人信息的收集應(yīng)當(dāng)以必要為原則,,不必要的個(gè)人信息的收集對(duì)于個(gè)人權(quán)益存在危險(xiǎn),,對(duì)于處理者來說也不是好事(個(gè)人信息泄露的風(fēng)險(xiǎn)增加);另一方面,,是否必要,,還必須從處理目的能否實(shí)現(xiàn)的角度加以判斷,只要收集的個(gè)人信息對(duì)于實(shí)現(xiàn)處理目的而言已經(jīng)足夠了,,就不應(yīng)當(dāng)再收集了,。凡是超過該范圍而收集的個(gè)人信息,都是不屬于必要的個(gè)人信息,。由于個(gè)人信息的非法處理往往是從過度收集個(gè)人信息開始的,,而過度收集的個(gè)人信息又面臨被非法買賣或泄露的風(fēng)險(xiǎn)。故此,,我國(guó)《個(gè)人信息保護(hù)法》在第6條第2款專門對(duì)于個(gè)人信息的收集應(yīng)當(dāng)遵循個(gè)人信息最小化原則作出了規(guī)定,,明確禁止過度收集個(gè)人信息。

  收集個(gè)人信息應(yīng)當(dāng)限于“實(shí)現(xiàn)處理目的的最小范圍”,,是指如果沒有某些個(gè)人信息,,個(gè)人信息處理者的處理目的就完全無法實(shí)現(xiàn)或者說主要、核心的目的無法實(shí)現(xiàn),。例如,,某一APP的運(yùn)營(yíng)者處理個(gè)人信息的目的是向用戶銷售書籍,而用戶如果不提供姓名,、通訊地址和聯(lián)系電話,,就無法交付書籍,顯然這些個(gè)人信息是實(shí)現(xiàn)銷售書籍這一目的所必需的,。例如,,《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》第3條規(guī)定:“本規(guī)定所稱必要個(gè)人信息,是指保障APP基本功能服務(wù)正常運(yùn)行所必需的個(gè)人信息,,缺少該信息APP即無法實(shí)現(xiàn)基本功能服務(wù),。具體是指消費(fèi)側(cè)用戶個(gè)人信息,不包括服務(wù)供給側(cè)用戶個(gè)人信息,?!痹撘?guī)定第5條針對(duì)最常見類型的39種APP的基本功能以及為實(shí)現(xiàn)該基本功能所需的必要的個(gè)人信息的范圍逐一作出了列舉。例如,,地圖導(dǎo)航類的基本功能服務(wù)為“定位和導(dǎo)航”,,必要個(gè)人信息為:位置信息,、出發(fā)地、到達(dá)地,。網(wǎng)絡(luò)約車類的基本功能服務(wù)為“網(wǎng)絡(luò)預(yù)約出租汽車服務(wù),、巡游出租汽車電召服務(wù)”,必要個(gè)人信息包括:(1)注冊(cè)用戶移動(dòng)電話號(hào)碼,;(2)乘車人出發(fā)地,、到達(dá)地、位置信息,、行蹤軌跡,;(3)支付時(shí)間、金額,、渠道等支付信息(網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)),。再如,即時(shí)通信類的基本功能服務(wù)為“提供文字,、圖片,、語(yǔ)音、視頻等網(wǎng)絡(luò)即時(shí)通信服務(wù)”,,必要個(gè)人信息包括:(1)注冊(cè)用戶移動(dòng)電話號(hào)碼,;(2)賬號(hào)信息,包括賬號(hào),、即時(shí)通信聯(lián)系人賬號(hào)列表,。

  三、公開透明原則

 ?。ㄒ唬┕_透明原則的意義

  公開透明原則(the transparency principle)是我國(guó)個(gè)人信息保護(hù)法中的一項(xiàng)重要原則,。依據(jù)《個(gè)人信息保護(hù)法》第7條,公開透明原則是指,,個(gè)人信息處理者在處理個(gè)人信息時(shí)應(yīng)當(dāng)采取公開、透明的方式,,公開個(gè)人信息處理的規(guī)則,,向信息主體明示個(gè)人信息處理的目的、處理的方式和處理的范圍,。之所以要確立這一原則,,是因?yàn)樽匀蝗藢?duì)其個(gè)人信息的處理享有知情權(quán)和決定權(quán)(《個(gè)人信息保護(hù)法》第44條),如果個(gè)人信息處理者不以公開,、透明的方式處理個(gè)人信息,,而是采取隱秘的、暗箱操作的方式,,那么該處理行為就侵害了自然人對(duì)其個(gè)人信息享有的知情權(quán)和決定權(quán),,即侵害了個(gè)人信息權(quán)益,這種處理行為是非法的處理行為。歐盟《一般數(shù)據(jù)保護(hù)條例》導(dǎo)言部分的第39條指出,,透明原則“特別涉及數(shù)據(jù)主體關(guān)于控制者身份的信息和處理目的以及進(jìn)一步處理的信息,,以確保對(duì)有關(guān)自然人的公正和透明的處理以及獲得有關(guān)其正被在處理的數(shù)據(jù)的個(gè)人確認(rèn)和通信的權(quán)利。應(yīng)該讓自然人了解與處理個(gè)人數(shù)據(jù)有關(guān)的風(fēng)險(xiǎn),、規(guī)則,、保障和權(quán)利,以及如何行使與處理有關(guān)的權(quán)利,。特別是,,處理個(gè)人數(shù)據(jù)的具體目的應(yīng)清晰且合法,并在收集個(gè)人數(shù)據(jù)時(shí)予以明確,?!卑W盟《一般數(shù)據(jù)保護(hù)條例》在內(nèi)的許多國(guó)家或地區(qū)的數(shù)據(jù)保護(hù)和個(gè)人信息保護(hù)法都要求處理者必須遵循透明的原則。例如,,早在1980年的《經(jīng)濟(jì)合作與發(fā)展組織關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨疆界流動(dòng)的指導(dǎo)原則》中就提出了公開原則,,該指導(dǎo)原則指出:“公開原則可能被視為個(gè)人參與原則的先決條件,后一原則要生效,,獲得關(guān)于個(gè)人數(shù)據(jù)的收集,、儲(chǔ)存或利用的信息在實(shí)踐上必須是可能的。在自愿的基礎(chǔ)上從數(shù)據(jù)控制者處獲得的常規(guī)信息,,涉及個(gè)人數(shù)據(jù)處理的活動(dòng)的描述的官方登記者的出版活動(dòng)和公共機(jī)構(gòu)的登記,,是一些(雖然不是全部)可能實(shí)現(xiàn)此種原則的方法?!痹偃?,2018年美國(guó)加利福尼亞州的《消費(fèi)者隱私法案(CCPA)》在第2節(jié)立法目的中指出:“人們期許隱私和其信息的更多控制。加利福尼亞消費(fèi)者應(yīng)當(dāng)能夠就其個(gè)人信息行使控制權(quán),,并且期待防治個(gè)人信息濫用的保護(hù)措施,。企業(yè)可能在尊重消費(fèi)者隱私的同時(shí),就其企業(yè)活動(dòng)提供高水平的透明度”,。依據(jù)2018年《巴西通用數(shù)據(jù)保護(hù)法》第6條第6款的規(guī)定,,個(gè)人數(shù)據(jù)處理應(yīng)當(dāng)遵循透明原則,即“保證數(shù)據(jù)主體能夠就數(shù)據(jù)處理和相應(yīng)的處理代理人獲得清晰,、準(zhǔn)確和易得的信息,,且遵守商業(yè)和企業(yè)機(jī)密”。

 ?。ǘ┕_透明原則的要求

  就作為信息主體的個(gè)人而言,,公開透明原則賦予了個(gè)人對(duì)其個(gè)人信息享有知情權(quán),據(jù)此產(chǎn)生了其有權(quán)向個(gè)人信息處理者查閱,、復(fù)制其個(gè)人信息的權(quán)利,,我國(guó)《個(gè)人信息保護(hù)法》第44,、45條對(duì)之作出了規(guī)定。對(duì)于個(gè)人信息處理者來說,,公開透明原則要求其履行以下義務(wù):第一,,個(gè)人信息處理者在處理個(gè)人信息時(shí),應(yīng)當(dāng)通過清晰易懂的語(yǔ)言向個(gè)人告知相應(yīng)的事項(xiàng),,從而確保個(gè)人是在充分知情的前提下,,自愿、明確地作出同意的,,除非法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形?!秱€(gè)人信息保護(hù)法》第14條第1款第1句規(guī)定:基于個(gè)人同意處理個(gè)人信息的,,該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出,。該法第17條規(guī)定,,個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式,、清晰易懂的語(yǔ)言真實(shí),、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng):(1)個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式,;(2)個(gè)人信息的處理目的,、處理方式,處理的個(gè)人信息種類,、保存期限,;(3)個(gè)人行使本法規(guī)定權(quán)利的方式和程序;(4)法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng),。前款規(guī)定事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)將變更部分告知個(gè)人,。個(gè)人信息處理者通過制定個(gè)人信息處理規(guī)則的方式告知第1款規(guī)定事項(xiàng)的,,處理規(guī)則應(yīng)當(dāng)公開,并且便于查閱和保存,。這兩條規(guī)定就是基于公開透明原則的要求。此外,,在個(gè)人無法或難以理解個(gè)人信息處理規(guī)則時(shí),,依據(jù)《個(gè)人信息保護(hù)法》第48條,個(gè)人還有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明,。

  第二,,當(dāng)個(gè)人信息處理者因合并,、分立、解散,、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息或者向其他個(gè)人信息處理者提供其處理的個(gè)人信息,,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式、處理目的,、處理方式和個(gè)人信息的種類等事項(xiàng),。《個(gè)人信息保護(hù)法》第22條和第23條分別對(duì)此作出了明確的規(guī)定,。

  第三,,在利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí),處理者應(yīng)當(dāng)保證決策的透明度和結(jié)果公平,、公正,。通過自動(dòng)化決策作出對(duì)個(gè)人權(quán)益有重大影響的決定的,個(gè)人有權(quán)要求個(gè)人信息處理者予以說明,,并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定(《個(gè)人信息保護(hù)法》第24條),。

  第四,依據(jù)《個(gè)人信息保護(hù)法》第27條,,在公共場(chǎng)所安裝圖像采集,、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,,遵守國(guó)家有關(guān)規(guī)定,,并設(shè)置顯著的提示標(biāo)識(shí),從而保障個(gè)人對(duì)其個(gè)人信息的知情權(quán),。

  第五,,個(gè)人信息處理者在處理敏感個(gè)人信息時(shí),不僅要依法告知《個(gè)人信息保護(hù)法》第17條第1款規(guī)定的事項(xiàng),,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響,。

  最后,發(fā)生或者可能發(fā)生個(gè)人信息泄露,、篡改,、丟失的,個(gè)人信息處理者采取措施無法有效避免信息泄露,、篡改,、丟失造成危害的,處理者應(yīng)當(dāng)通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人,。雖然采取措施能夠有效避免信息泄露,、篡改、丟失造成危害的,,但是履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為可能對(duì)個(gè)人造成損害的,,有權(quán)要求個(gè)人信息處理者通知個(gè)人(《個(gè)人信息保護(hù)法》第57條),。

  四、質(zhì)量原則

 ?。ㄒ唬┵|(zhì)量原則的涵義

  質(zhì)量原則,,也稱數(shù)據(jù)質(zhì)量原則或準(zhǔn)確性原則(accuracy principle/der Grundsatz der Richtigkeit)。它是指,,個(gè)人信息處理者應(yīng)當(dāng)保證其所處理的個(gè)人信息的質(zhì)量,,避免因?yàn)閭€(gè)人信息的不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響,。之所以有這一原則,,是因?yàn)椋涸趥€(gè)人信息處理中,如果被處理的個(gè)人信息是不準(zhǔn)確的或不完整的,,就很容易因此對(duì)信息主體的個(gè)人權(quán)益造成不利影響甚至損害,。個(gè)人信息可以重建自然人的某種狀態(tài)或某種特性,而由于此種狀態(tài)或特性的重建會(huì)產(chǎn)生相應(yīng)的法律效果,,所以信息或數(shù)據(jù)必須是完整的,、準(zhǔn)確的。例如,,當(dāng)征信機(jī)構(gòu)所收集的個(gè)人信息是不準(zhǔn)確的,,存在錯(cuò)誤或遺漏,就很可能導(dǎo)致從征信機(jī)構(gòu)獲取該信息的信息使用者據(jù)此不給予信息主體發(fā)放貸款或者拒絕與其從事相應(yīng)的交易,。再如,,政府部門在作出針對(duì)個(gè)人的行政許可或?qū)徟马?xiàng)時(shí),如果相關(guān)的個(gè)人信息是不準(zhǔn)確的或不完整的,,就會(huì)導(dǎo)致個(gè)人無法取得相應(yīng)的許可或?qū)徟?。故此,個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵循質(zhì)量原則,,是各國(guó)數(shù)據(jù)保護(hù)法或個(gè)人信息保護(hù)法中的一項(xiàng)重要原則,。例如,歐盟《一般數(shù)據(jù)保護(hù)條例》第5條第1款d規(guī)定,,個(gè)人數(shù)據(jù)應(yīng)當(dāng)“準(zhǔn)確,,必要,及時(shí),;以個(gè)人數(shù)據(jù)處理目的為限,,應(yīng)采取一切合理步驟確保不準(zhǔn)確的個(gè)人數(shù)據(jù)被及時(shí)地處理、刪除或修正,?!痹偃纾毡尽秱€(gè)人信息保護(hù)法》第19條規(guī)定:“個(gè)人信息處理業(yè)者應(yīng)當(dāng)盡力在達(dá)到利用目的所必要的范圍內(nèi),將個(gè)人數(shù)據(jù)保持在準(zhǔn)確且最新的內(nèi)容,,同時(shí)在喪失利用之必要后,立即徹底清除該個(gè)人數(shù)據(jù),?!?/p>

  《個(gè)人信息保護(hù)法》頒布前,我國(guó)一些法律和法規(guī)也要求信息處理者所處理的信息必須是準(zhǔn)確的,,在發(fā)現(xiàn)錯(cuò)誤或缺漏時(shí),,應(yīng)當(dāng)及時(shí)采取措施?!睹穹ǖ洹返?037條第1款規(guī)定:“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息,;發(fā)現(xiàn)信息有錯(cuò)誤的,有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施,?!薄墩餍艠I(yè)管理?xiàng)l例》第23條第1款規(guī)定:“征信機(jī)構(gòu)應(yīng)當(dāng)采取合理措施,保障其提供信息的準(zhǔn)確性,?!钡?5條第1款規(guī)定:“信息主體認(rèn)為征信機(jī)構(gòu)采集、保存,、提供的信息存在錯(cuò)誤,、遺漏的,有權(quán)向征信機(jī)構(gòu)或者信息提供者提出異議,,要求更正,。”《個(gè)人信息保護(hù)法》從正面肯定了質(zhì)量原則,,即該法第8條規(guī)定:“處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量,,避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響,?!?/p>

  (二)質(zhì)量原則的要求

  在個(gè)人信息處理活動(dòng)中,,質(zhì)量原則對(duì)個(gè)人信息處理者提出的要求是,,個(gè)人信息處理者應(yīng)當(dāng)積極采取各種技術(shù)措施和組織措施來檢查所處理的信息的質(zhì)量,確保信息的準(zhǔn)確和完整,,從而最大限度地減少錯(cuò)誤的風(fēng)險(xiǎn),,避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響,。例如,,依據(jù)《征信業(yè)管理?xiàng)l例》第16條的規(guī)定,征信機(jī)構(gòu)對(duì)個(gè)人不良信息的保存期限,,自不良行為或者事件終止之日起為5年,;超過5年的,,應(yīng)當(dāng)予以刪除。故此,,作為信息處理者的征信機(jī)構(gòu)應(yīng)當(dāng)確保在5年期限屆滿后,,立即將該個(gè)人不良信息刪除,從而確保信息的準(zhǔn)確,。再如,,當(dāng)處理者發(fā)現(xiàn)個(gè)人信息已因時(shí)過境遷而不準(zhǔn)確或不完整,但又無法予以更正或補(bǔ)充的,,那么應(yīng)當(dāng)停止對(duì)該個(gè)人信息的處理,。對(duì)于信息主體而言,質(zhì)量原則意味著當(dāng)自然人發(fā)現(xiàn)被處理的自己的個(gè)人信息不準(zhǔn)確或不完整的,,其有權(quán)要求個(gè)人信息處理者進(jìn)行更正,、補(bǔ)充,對(duì)此,,《個(gè)人信息保護(hù)法》第46條賦予了個(gè)人補(bǔ)充更正權(quán),。

  值得研究的是,如果因?yàn)閭€(gè)人信息處理者處理的個(gè)人信息不準(zhǔn)確或不完整而給個(gè)人造成了損害,,處理者是否承擔(dān)賠償責(zé)任,?質(zhì)量原則并不意味著個(gè)人信息處理者對(duì)個(gè)人信息的準(zhǔn)確和完整承擔(dān)了擔(dān)保責(zé)任,只要個(gè)人信息不準(zhǔn)確或不完整且給個(gè)人造成損害的,,處理者就要承擔(dān)民事責(zé)任,。就侵害個(gè)人信息權(quán)益的侵權(quán)賠償責(zé)任,《個(gè)人信息保護(hù)法》第69條第1款確立了過錯(cuò)推定責(zé)任,。故此,,如果個(gè)人信息不準(zhǔn)確或不完整非因處理者的過錯(cuò)所致,而完全是因?yàn)榭陀^情況發(fā)生變化等所致,,個(gè)人信息處理者可以證明自己沒有過錯(cuò)的,,就不需要承擔(dān)賠償責(zé)任。但是,,如果個(gè)人已經(jīng)向處理者指出了個(gè)人信息存在錯(cuò)誤或缺漏,,處理者不理會(huì),不予更正或補(bǔ)充,,則處理者存在過錯(cuò),。再如,由于處理者沒有采取相應(yīng)的技術(shù)措施,,導(dǎo)致處理的個(gè)人信息被他人篡改而致錯(cuò)誤的,,顯然個(gè)人信息處理者存在過錯(cuò)。這些情形中個(gè)人遭受損害的,處理者當(dāng)然要承擔(dān)賠償責(zé)任,。

  五,、責(zé)任原則與安全原則

  (一)責(zé)任原則的意義

  個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵循責(zé)任原則(accountability principle),,即個(gè)人信息處理活動(dòng)應(yīng)當(dāng)采取問責(zé)制,,處理者是個(gè)人信息處理活動(dòng)的首要的責(zé)任主體,應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé),。一方面,個(gè)人信息處理者決定了個(gè)人信息和個(gè)人信息處理活動(dòng),,其對(duì)處理活動(dòng)具有控制力,,基于控制力理論,處理者當(dāng)然要為處理活動(dòng)負(fù)責(zé),。另一方面,,依據(jù)報(bào)償原則,利益之所在,,風(fēng)險(xiǎn)之所歸,。“如果一項(xiàng)法律允許一個(gè)人——或者是為了經(jīng)濟(jì)上的需要,,或者是為了他自己的利益——使用物件,、雇傭職員或者開辦企業(yè)等具有潛在危險(xiǎn)的情形,他不僅應(yīng)當(dāng)享有由此帶來的利益,,而且也應(yīng)當(dāng)承擔(dān)由此危險(xiǎn)對(duì)他人造成任何損害的賠償責(zé)任:獲得利益者承擔(dān)損失,。”個(gè)人信息處理者為了自己的利益而從事處理活動(dòng),,自然人也應(yīng)當(dāng)為此負(fù)責(zé),。歐盟《一般數(shù)據(jù)保護(hù)條例》首次明確了數(shù)據(jù)控制者的可問責(zé)性,即責(zé)任原則,,該條例第5條第2款規(guī)定:“控制者應(yīng)該負(fù)責(zé),,并能夠證明符合第1款?!痹摽顚⒋_保處理活動(dòng)符合《一般數(shù)據(jù)保護(hù)條例》要求的責(zé)任以及相應(yīng)的證明責(zé)任施加給控制者,。歐盟《一般數(shù)據(jù)保護(hù)條例》所確立的責(zé)任原則包含兩個(gè)要素:一是,數(shù)據(jù)控制者要為確保處理活動(dòng)的合規(guī)性(即符合《一般數(shù)據(jù)保護(hù)條例》的規(guī)定)而負(fù)責(zé)(responsibility),;二是,,數(shù)據(jù)控制者具有向監(jiān)管機(jī)構(gòu)證明此種合規(guī)性的能力(abiliity)。對(duì)于違反規(guī)定的控制者,,依據(jù)《一般數(shù)據(jù)保護(hù)條例》第83條,,可以處以1000萬歐元的罰款,如果控制者是企業(yè),最高罰款應(yīng)為上一財(cái)務(wù)年度全球總營(yíng)業(yè)額的2%,,以金額較高者為準(zhǔn),。自己責(zé)任本來就是法律的基本原則,故此,,我國(guó)《個(gè)人信息保護(hù)法》第9條也確立了責(zé)任原則,,該條第1句明確規(guī)定:“個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)”。

 ?。ǘ┴?zé)任原則的要求

  依據(jù)我國(guó)《個(gè)人信息保護(hù)法》第9條的責(zé)任原則,,首先,個(gè)人信息處理者應(yīng)當(dāng)考慮到處理的目的,、處理的方式和處理的范圍,,以及處理活動(dòng)給自然人的權(quán)益帶來不同程度的風(fēng)險(xiǎn),采取適當(dāng)?shù)拇胧┐_保處理活動(dòng)是依法進(jìn)行的,,符合法律法規(guī)的規(guī)定,。依據(jù)《個(gè)人信息保護(hù)法》第51條,個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的,、處理方式,、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等,,采取相應(yīng)的措施確保個(gè)人信息處理活動(dòng)符合法律,、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露,、篡改,、丟失。

  其次,,處理者應(yīng)當(dāng)依法指定個(gè)人信息保護(hù)負(fù)責(zé)人對(duì)個(gè)人信息處理活動(dòng)以及相應(yīng)的保護(hù)措施等進(jìn)行監(jiān)督,。依據(jù)《個(gè)人信息保護(hù)法》第52條第1款,處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督,。

  再次,處理者應(yīng)當(dāng)定期進(jìn)行合規(guī)審計(jì),?!秱€(gè)人信息保護(hù)法》第54條規(guī)定:“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其個(gè)人信息處理活動(dòng)遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì),?!?/p>

  最后,責(zé)任原則也意味著個(gè)人信息處理者要對(duì)違反法律規(guī)定處理個(gè)人信息的行為承擔(dān)行政責(zé)任,、民事責(zé)任乃至刑事責(zé)任,。對(duì)于違反法律規(guī)定處理個(gè)人信息的,,依據(jù)《個(gè)人信息保護(hù)法》第66條,應(yīng)當(dāng)追究相應(yīng)的法律責(zé)任,,包括責(zé)令改正,,給予警告,沒收違法所得,,對(duì)違法處理個(gè)人信息的應(yīng)用程序,,責(zé)令暫停或者終止提供服務(wù),;拒不改正的,,并處一百萬元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款,,情節(jié)嚴(yán)重的,,罰款的數(shù)額可以達(dá)到五千萬元以上或者上一年度營(yíng)業(yè)額百分之五以下罰款等,并可以責(zé)令暫停相關(guān)業(yè)務(wù),、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照,。對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款,,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事,、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人,。《個(gè)人信息保護(hù)法》第69條規(guī)定了侵害個(gè)人信息權(quán)益的侵權(quán)責(zé)任,,也是責(zé)任原則的具體要求,。

  (三)安全原則

  個(gè)人信息處理中的安全原則,,也被稱為保密原則,,即個(gè)人信息處理者應(yīng)當(dāng)采取必要措施保障所處理的個(gè)人信息的安全,防止出現(xiàn)個(gè)人信息的泄露或者被竊取,、篡改,、刪除。之所以要保護(hù)個(gè)人信息,,就是因?yàn)閭€(gè)人信息是能夠識(shí)別特定自然人的信息,,該信息一旦被非法處理(如發(fā)生泄露、竊取,、篡改或刪除等)會(huì)對(duì)特定的自然人的人格尊嚴(yán)以及人身財(cái)產(chǎn)權(quán)益造成損害,,個(gè)人信息處理中必須確保信息的安全,防止出現(xiàn)個(gè)人信息未經(jīng)授權(quán)或非法處理以及意外丟失,、破壞或損壞,。歐盟的《一般數(shù)據(jù)保護(hù)條例》第5條第1款f要求,,個(gè)人數(shù)據(jù)應(yīng)當(dāng)“以確保個(gè)人數(shù)據(jù)適度安全的方式處理,包括使用適當(dāng)?shù)募夹g(shù)性或組織性措施來對(duì)抗未經(jīng)授權(quán),、非法的處理,、意外遺失、滅失或損毀的保護(hù)措施”,。

  我國(guó)《個(gè)人信息保護(hù)法》頒布前,,不少法律就明確規(guī)定了個(gè)人信息處理者負(fù)有保障信息安全的義務(wù)。2012年頒布的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第4條規(guī)定:“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,,確保信息安全,,防止在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息泄露、毀損,、丟失,。在發(fā)生或者可能發(fā)生信息泄露、毀損,、丟失的情況時(shí),,應(yīng)當(dāng)立即采取補(bǔ)救措施?!贝撕?,《網(wǎng)絡(luò)安全法》第42條第2款規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,,防止信息泄露,、毀損、丟失,。在發(fā)生或者可能發(fā)生個(gè)人信息泄露,、毀損、丟失的情況時(shí),,應(yīng)當(dāng)立即采取補(bǔ)救措施,,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告?!薄睹穹ǖ洹返?038條第2款規(guī)定:“信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,,確保其收集、存儲(chǔ)的個(gè)人信息安全,,防止信息泄露,、篡改、丟失,;發(fā)生或者可能發(fā)生個(gè)人信息泄露,、篡改、丟失的,,應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施,,按照規(guī)定告知自然人并向有關(guān)主管部門報(bào)告,。”

  《個(gè)人信息保護(hù)法》第9條將保障個(gè)人信息的安全即安全原則規(guī)定為個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵循的一項(xiàng)基本原則,。同時(shí),,第51條還明確詳細(xì)規(guī)定了處理者為保護(hù)個(gè)人信息安全,防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露,、篡改,、丟失而應(yīng)當(dāng)采取的措施類型,具體包括:(一)制定內(nèi)部管理制度和操作規(guī)程,;(二)對(duì)個(gè)人信息實(shí)行分類管理,;(三)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施,;(四)合理確定個(gè)人信息處理的操作權(quán)限,,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);(五)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案,;(六)法律,、行政法規(guī)規(guī)定的其他措施。此外,,《個(gè)人信息保護(hù)法》第57條對(duì)于個(gè)人信息處理者發(fā)現(xiàn)個(gè)人信息泄露,,應(yīng)當(dāng)采取補(bǔ)救措施和通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人以及通知應(yīng)當(dāng)包括的事項(xiàng)作出了更具體的規(guī)定。這些都是安全原則的具體體現(xiàn),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。