文 | 山東大學(xué)法學(xué)院 杜澤源 楊洋

截至目前，全球范圍內(nèi)尚未形成統(tǒng)一的數(shù)據(jù)隱私治理體系，但為應(yīng)對數(shù)字經(jīng)濟快速發(fā)展帶來的隱私保護挑戰(zhàn)，多個國家和地區(qū)已在持續(xù)完善相關(guān)法律規(guī)則。加拿大通過聯(lián)邦與省級法律體系聯(lián)動，在“知情同意”原則的基礎(chǔ)上，不斷擴展個人數(shù)據(jù)權(quán)益范圍并強化企業(yè)義務(wù)，逐漸形成了一套較為完善且富有特色的數(shù)據(jù)隱私法律保護機制。

法律框架

從歷史沿革看，加拿大個人信息保護規(guī)范大體經(jīng)歷了兩輪橫向擴展與一輪縱向分化——即先由公共領(lǐng)域向私營領(lǐng)域延伸，再由單一聯(lián)邦層級演化為聯(lián)邦—省級并行的多元體系。早在1983年，聯(lián)邦議會即通過《隱私法》，強調(diào)透明性、必要性與最少收集原則，為各級公共機關(guān)確立了收集、使用與披露個人信息的基本邊界?；ヂ?lián)網(wǎng)與電子商務(wù)蓬勃興起后，2000年出臺的《個人信息保護與電子文件法》將公平信息原則正式延伸至私營領(lǐng)域，明確要求市場主體在透明度、信息安全與知情同意方面承擔(dān)責(zé)任。與此同時，在聯(lián)邦統(tǒng)一框架下，各省相繼開展本地立法實踐。1993年，魁北克省率先為私營部門設(shè)立專門法律；2004年，不列顛哥倫比亞省與阿爾伯塔省相繼出臺《個人信息保護法》，并在聯(lián)邦認(rèn)可下在本轄區(qū)替代聯(lián)邦法適用；其后，安大略、薩斯喀徹溫等省又圍繞醫(yī)療健康、信用報告等敏感信息制定專項規(guī)定。在聯(lián)邦法律與各省法律的效力范圍上，前者直接約束跨省運營主體及銀行、電信等屬聯(lián)邦事權(quán)的行業(yè)，而省內(nèi)一般企業(yè)則遵循本省立法。多年來，隨著聯(lián)邦與省級立法的持續(xù)優(yōu)化，加拿大已經(jīng)形成了覆蓋聯(lián)邦公共機關(guān)、私營企業(yè)以及各省轄域事務(wù)，以聯(lián)邦統(tǒng)一標(biāo)準(zhǔn)為基礎(chǔ)、由省級法律加以細(xì)化的多層隱私保護體系。

隨著數(shù)據(jù)要素價值的不斷釋放，加拿大的隱私立法也呈現(xiàn)出逐步強化與迭代完善的趨勢。2022年，聯(lián)邦政府推出了《數(shù)字憲章實施法案》（C27號法案，以下簡稱《法案》），其中包括《消費者隱私保護法》《個人信息和數(shù)據(jù)保護法庭法》及《人工智能與數(shù)據(jù)法案》等獨立法案。《消費者隱私保護法》作為《法案》的第一部分，旨在取代2000年生效的《個人信息保護與電子文件法》，從而整體提升私營部門處理個人信息的合規(guī)基線?！断M者隱私保護法》在延續(xù)“知情同意”制度軸心的同時，一并引入刪除請求權(quán)、數(shù)據(jù)可攜權(quán)、自動化決策說明權(quán)等新增權(quán)利，對未成年人信息設(shè)立更高防護閾值；作為《法案》的重要組成部分，《人工智能與數(shù)據(jù)法案》是加拿大首部針對人工智能的專項立法，為高風(fēng)險人工智能系統(tǒng)確立了評估與治理框架。目前，《法案》正處于國會審讀階段，若最終獲得通過，加拿大的隱私保護規(guī)則將與歐盟《通用數(shù)據(jù)保護條例》中的“充分性認(rèn)定”標(biāo)準(zhǔn)繼續(xù)保持協(xié)調(diào)，為全球數(shù)字貿(mào)易規(guī)則的銜接提供重要參考。

規(guī)制特點

以“知情同意”為核心的個人信息處理原則。根據(jù)《個人信息保護與電子文件法》，任何組織在計劃收集、使用或披露個人信息之前，須先向信息主體說明六項基本要素：信息從何處獲得、用于何種具體目的、可能帶來的風(fēng)險、預(yù)計保存多久、是否會傳送至境外以及個人如何提出申訴或質(zhì)疑。其說明文字應(yīng)當(dāng)清晰簡潔，不得以冗長晦澀的法律表述和默認(rèn)同意來規(guī)避用戶的實質(zhì)選擇。

法律同時要求相關(guān)組織應(yīng)當(dāng)根據(jù)具體的數(shù)據(jù)敏感度和處理場景，選擇不同的同意形式：財務(wù)、健康、生物識別等高度敏感信息，或者目的明顯超出個人常理預(yù)期的處理活動，必須通過書面簽字、雙重驗證或其他可核驗方式取得主動同意；普通購物、網(wǎng)站瀏覽等低風(fēng)險場景，如個人未拒絕，可以視為默示同意；個人有隨時撤回授權(quán)的權(quán)利，一旦撤回，相關(guān)組織需立刻停止處理并刪除或匿名化相關(guān)數(shù)據(jù)，不得拖延。為防止相關(guān)組織在取得同意后隨意改變用途，法律還規(guī)定其必須定期核查已取得同意事項與信息實際用途的一致性，堅持“最少必要”原則，不得無故擴大處理范圍。若違反上述要求，隱私專員可發(fā)出整改令；若情節(jié)嚴(yán)重，還可處以高額罰款并要求其承擔(dān)民事賠償。通過通知、授權(quán)、撤回與審查等環(huán)節(jié)，該規(guī)定使個人的同意權(quán)在數(shù)據(jù)處理的全流程得到切實落實。

嚴(yán)格限定的合法例外情形?！秱€人信息保護與電子文件法》規(guī)定了多種無需個人同意即可處理個人信息的例外情形，其中以下四類最具代表性，且適用范圍嚴(yán)格受限：1.履行成文法義務(wù)：當(dāng)執(zhí)法、稅務(wù)或國家安全機關(guān)依法要求提供信息時，相關(guān)組織必須配合，但僅能提交與調(diào)查直接相關(guān)的最小范圍數(shù)據(jù)，并做好記錄備查。2.緊急保護：在威脅生命、健康或重大財產(chǎn)安全的情況下，如醫(yī)院急救醫(yī)生需要即時查閱病歷，可在無法及時獲得本人同意時先行處理相關(guān)信息，事后需向個人說明。3.防范或調(diào)查金融犯罪：銀行、保險公司為識別欺詐交易，可以共享可疑賬戶數(shù)據(jù)，但須限定在關(guān)聯(lián)金融機構(gòu)之間，且只能用于反欺詐目的。4.要求用戶主動評估：例如支付清算機構(gòu)進行跨行結(jié)算時，需要在結(jié)算端與收單端之間交換賬戶標(biāo)識，該步驟被視為交付服務(wù)的必要環(huán)節(jié)。除上述明確規(guī)定的例外情形外，根據(jù)現(xiàn)行法律，企業(yè)一般不得單純出于廣告、差別定價或自身業(yè)務(wù)便利的目的，在未經(jīng)用戶同意的情況下擅自處理個人信息。

《消費者隱私保護法》雖增設(shè)了“合法利益”條款，但也同時強調(diào)該條款僅限于無法以同意方式完成且對個人影響極低的情形，并明確禁止將其用于畫像廣告或個性化推銷。企業(yè)若欲援引例外，需提前完成書面評估，說明其符合必要性、合法性和最小化要求，并在內(nèi)部保存相應(yīng)記錄，隱私專員可隨時抽查并責(zé)令糾正。綜上，例外條款與嚴(yán)格的程序約束相結(jié)合，既為公共利益和緊急需要留出空間，也避免例外條款被濫用，維持了“同意優(yōu)先”的基本格局。

執(zhí)法問責(zé)機制逐漸強化。法律實施初期，隱私監(jiān)管主要依靠行業(yè)自律，聯(lián)邦隱私專員只能調(diào)查并提出建議，缺少強制手段。隨著多起大規(guī)模數(shù)據(jù)泄露和算法歧視事件的發(fā)生，公眾對監(jiān)管力度不足的擔(dān)憂愈發(fā)加劇。2018年《個人信息保護與電子文件法》修正案生效，強制性數(shù)據(jù)泄露通知報告要求成為企業(yè)的法定義務(wù)。只要泄露事件可能給個人帶來經(jīng)濟損失、身份盜用或精神壓力，即被認(rèn)定為“重大風(fēng)險”。企業(yè)須在發(fā)現(xiàn)后盡快向監(jiān)管機構(gòu)和受影響個人發(fā)出通知，并保存事件記錄至少兩年，供日后核查。隱私專員同時獲得向法院申請執(zhí)行令的權(quán)限，可要求企業(yè)立即停止違規(guī)行為或采取補救措施。

《消費者隱私保護法》更進一步賦予專員直接簽發(fā)整改令的職權(quán)，并設(shè)立獨立審裁處來決定罰款數(shù)額。一般違規(guī)的罰款上限為全球年營業(yè)額的3%或1000萬加元，嚴(yán)重違規(guī)（例如重復(fù)違法或影響人群范圍廣）的罰款上限提升至年營業(yè)額的5%或2500萬加元。魁北克、不列顛哥倫比亞、阿爾伯塔省也對各自的隱私法律作出修訂，統(tǒng)一要求企業(yè)指定隱私負(fù)責(zé)人、定期進行影響評估，并授權(quán)省級專員現(xiàn)場檢查文件、設(shè)備和系統(tǒng)。多層次的問責(zé)網(wǎng)絡(luò)將“調(diào)查—整改—罰款—訴訟”串成閉環(huán)，企業(yè)若忽視監(jiān)管要求，將面臨行政、民事甚至刑事等多重后果，這將推動其在業(yè)務(wù)流程和管理制度中主動嵌入隱私保護措施。

嚴(yán)格的數(shù)據(jù)跨境傳輸規(guī)則?，F(xiàn)行《個人信息保護與電子文件法》規(guī)定，企業(yè)將個人信息發(fā)送至境外前，必須先評估使用目的、信息種類、接收國法律環(huán)境以及對個人可能造成的影響。若接收國法律不足以提供相當(dāng)水平的保護，企業(yè)需通過合同條款、技術(shù)加密或獨立審計等方式補救，并對外承諾在境外發(fā)生泄露時承擔(dān)全部責(zé)任。2009年發(fā)布的《境外移轉(zhuǎn)指引》要求在企業(yè)隱私政策中公開境外服務(wù)商所在地和可能存在的政府獲取風(fēng)險，方便個人作出知情判斷?！断M者隱私保護法》也增加兩項要求，企業(yè)須對每一次跨境傳輸形成書面風(fēng)險評估報告，并在內(nèi)部保留審計記錄；隱私專員如發(fā)現(xiàn)評估不足，可發(fā)布暫停傳輸指令。健康、金融、生物識別等敏感信息的跨境傳輸需要個人明確書面同意，不能用默示或默認(rèn)勾選替代；個人撤回后，企業(yè)應(yīng)立即停止傳輸，并與接收方協(xié)作刪除或匿名化存量數(shù)據(jù)?？笨耸　蛾P(guān)于私營部門個人信息保護的法案》則要求先向省級專員備案，并對接收國環(huán)境進行量化評分，若分?jǐn)?shù)低于安全線則不得出口；阿爾伯塔、不列顛哥倫比亞省賦予省專員緊急禁令權(quán)，一旦境外主體不按合同執(zhí)行保護措施，可立即限制數(shù)據(jù)繼續(xù)流出。聯(lián)邦與省級多重管制手段，使數(shù)據(jù)跨境傳輸前有評估、傳輸中有監(jiān)督、傳輸后有追責(zé)，既保障了數(shù)字貿(mào)易所需的數(shù)據(jù)流動，又將個人信息風(fēng)險控制在可接受范圍內(nèi)。

立法目標(biāo)

加拿大數(shù)據(jù)隱私法律的立法目標(biāo)可分為工具性和價值性兩個不同維度。在工具性維度，立法者旨在為高速流動的數(shù)據(jù)資源搭建一套成本可控、適應(yīng)性強且兼顧跨國數(shù)據(jù)治理的運行框架：一方面，聯(lián)邦統(tǒng)一的基本規(guī)則與省級差異化的補充共同為跨省、跨境乃至跨行業(yè)的數(shù)據(jù)傳輸鏈條提供可預(yù)期的合規(guī)框架，從而降低企業(yè)的合規(guī)成本；另一方面，加拿大通過建立持續(xù)評估機制、更新技術(shù)標(biāo)準(zhǔn)以及設(shè)立行業(yè)試點等措施確保監(jiān)管規(guī)則的靈活性，增強法律對云計算、物聯(lián)網(wǎng)、生成式模型等新場景的回應(yīng)能力，以減輕制度滯后給技術(shù)創(chuàng)新帶來的不利影響。法律在跨境傳輸部分則強調(diào)其與歐盟充分性決定、美國部門化監(jiān)管及環(huán)太平洋數(shù)據(jù)框架之間的對接，通過合同范本、互認(rèn)清單與風(fēng)險備案等工具，將國內(nèi)原則嵌入國際流通路徑，在維護國家安全和公眾利益的同時，保障數(shù)字貿(mào)易的順暢進行。

在價值性維度，立法者著重構(gòu)筑一條以權(quán)利保障、差別保護、多元監(jiān)督與價值平衡為中心的保護軸線：首先，以“尊重、自治、公平”三重理念奠基，要求數(shù)據(jù)無論跨域流轉(zhuǎn)還是經(jīng)算法重塑，信息主體始終擁有可見、可控、可追溯的主導(dǎo)權(quán)，任何處理活動皆須圍繞正當(dāng)性、必要性與比例性自我證明；其次，針對未成年人、老年人等脆弱群體，法律通過風(fēng)險提示、差異化防護條款、公開聽證程序與利益相關(guān)方協(xié)商機制增設(shè)柔性緩沖帶，避免數(shù)字鴻溝與模型偏差固化既有不平等；再者，引入多元監(jiān)督主體，媒體與學(xué)術(shù)機構(gòu)可借助披露窗口開展獨立評估，社會組織與普通公眾亦可憑借申訴、集體訴訟與第三方審計渠道向違規(guī)行為施壓，進而與國家監(jiān)管、行業(yè)自律形成扁平互補的責(zé)任網(wǎng)絡(luò)。通過權(quán)利賦能與責(zé)任互檢的耦合設(shè)計，法律試圖在通過技術(shù)創(chuàng)新獲得動能的同時，為個人尊嚴(yán)與公共信任筑起堅固防線，使數(shù)據(jù)治理不僅守護社會價值底線，也為數(shù)字經(jīng)濟的長遠(yuǎn)發(fā)展積淀信譽資本。

（來源：人民法院報）