政策公开原则

第八节 政策公开原则

政策公开原则是个人信息保护法的基本原则之一。政策公开原则的目的在于通过信息管理者的公开行为，使社会知悉个人信息的收集和处理情况，以实现对个人信息处理的监督和控制；并且更为重要的是，使信息主体知悉个人信息处理情况，为实现他们的知情权提供顺畅的途径。公开的范围分为两种:一是向信息主体公开，一是向社会公开。向社会公开的渠道有多，比如政府公告、报纸公告、网络公告等。

一、政策公开原则的概念

（一）政策公开原则（Openness Principle）的概念

政策公开原则，也称公开原则，是指关于个人信息的收集、处理和利用以及相关政策应当进行公开。根据政策公开原则的要求，信息管理者应该提供简便的查询手段以便于对个人信息的存在、性质、利用目的、信息管理者的身份和地址进行查询或以其他方式公开。此处的“公开”可谓对“个人信息搜集、储存、利用及提供等之公开”^[13]，而不是对个人信息内容的公开。因此，笔者在公开前面添加了“政策”二字，以避免误会。公开的方式，分为两种，一是向信息主体公开，一是向社会公开。向社会公开的渠道有多种，比如政府公告、报纸公告、网络公告等。根据我国台湾省立法，非公务机关公告有关事项应在政府公报上公告并登载于当地报纸。^[14]

关于政策公开原则有以下几个问题值得特别注意:第一，政策公开并非指个人信息内容之公开，而系指个人信息搜集、储存、利用及提供等相关政策的公开。^[15]切勿公开个人信息内容而违背禁止泄露原则。根据禁止泄露原则，个人信息之内容恰恰是应该给予足够注意确保机密的。第二，政策公开是对信息主体的公开，还是对社会公开也是一个值得关注的问题。根据《OECD指针枙备忘录枛》第57条公开仅指对信息主体的公开。该条规定:“公开原则是本人参与原则的先决条件”（The Openness Principlemay be viewed as a prerequisite for the Individual Participation Principle）。笔者认为，除了向本人公开之外，还应该就信息收集、处理、保存、利用等政策信息，向社会公开，以便于社会监督和满足公众的知情权。内国法的立法例一般均有向社会公开的规定。美国1974年《隐私权法》第（e）（4）条规定:根据本分节（11）的规定，对于记录系统的内容，要在联邦登记上发布通告。是对社会公开的典型立法例。我国台湾资料法第10条规定:“公务机关保有个人信息档案者，应在政府公报或以其他适当方式公告左列事项；其有变更者，亦同。”也是向社会公开的立法例。

（二）政策公开的内容和范围

1.政策公开的内容

（1）根据1974年美国隐私法规定，应公开的内容包括:①记录系统的名称及所在地点；②记录系统包括哪一类人的记录；③系统中所保持记录的种类；④系统中所包含记录的每一项常规用途，包括使用者的类别和使用目的；⑤机关所采取的关于记录的存储、修改、接触记录控制、记录保存与处理的政策及实施情况；⑥负责记录系统的机关官员的职务与办公地址；⑦当个人查询记录系统是否包含自己之记录时，行政机关的答复程序；⑧个人查询如何获取自己的记录，如何质疑该记录时，行政机关答复的程序；⑨系统中记录来源的类别。

根据我国台湾省“资料法”第10条的规定，应公开以下内容:①个人信息档案名称。②保有机关名称。③个人信息档案利用机关名称。④个人信息档案保有之依据及特定目的。⑤个人信息之类别。⑥个人信息之范围。⑦个人信息之搜集方法。⑧个人信息通常传递之处所及收受者。⑨国际传递个人信息之直接收受者。⑩受理查询、更正或阅览等申请之机关名称及地址。

另根据该法第21条的规定，非公务机关亦须就其有关情况、个人信息档案名称、资料档案保有之目的、类别、范围、保有期限等有关事项予以公告。

（2）欧盟指令第10条规定，当从资料主体处收集其个人资料时，各成员国应该规定管理者或其代表必须向该资料主体提供以下信息，除非资料主体已经获得这些信息:①管理者和其代表（如果有）的身份；②处理资料的目的；③任何进一步的信息，比如

——资料接收者或接收者的类型，

——答复问题是强制性的还是自愿性的，以及不作答复的可能后果，

——访问权的存在和其个人资料的修改权。

第11条规定，非从资料主体处获得资料时的信息，应该规定管理者及其代表在记录个人资料时，或者如果可以预期将向第三方披露资料，应在不迟于第一次披露时向资料主体至少提供以下信息，除非资料主体已经获得这些信息:

（1）管理者和其代表（如果有）的身份；

（2）处理的目的；

（3）任何进一步的信息，比如所涉及资料的种类，资料接收者或接收者的类型，以及访问权的存在和与其有关的资料的修改权。

2.政策公开的范围

（1）向本人公开

各国立法一般规定，信息管理者除向社会公开外，尚需履行直接向信息主体的告知义务。直接告知本人的方式多种多样，以满足信息主体对相关内容的掌握为已足。

（2）向社会公开

向社会公开一般选择公告的方式进行。具体讲，包括政府公告、报纸公告、网络公告等多种形式。

3.政策公开原则的例外

公开原则也有例外。这些情况主要是涉及国家安全和社会经济利益、司法、刑事侦查、行政处罚、出入境检查、征税、行政机关内部事务、实验性计算机处理等。

APEC隐私框架中“告知原则”的规定，告知是信息管理者的基本义务。告知的具体方式往往是简便易行的，比如在网站上的公告就被认为尽了告知义务，当然在员工手册或者广告册上进行告知也是商业机构所采取的通常做法。商业机构通过提供隐私保护声明之类的文件，可以使得信息主体更详细、准确地取得与个人信息处理相关的互动资料。一般情况下，要求告知应在个人信息收集之前或者与收集同时进行，但在有些情况下，但也有例外。《APEC隐私保护框架》认为，首先，在有些情况下，这种事先或者同时的告知是无法实现。在自动信息系统应用在交易过程中的情况下，一个客户发出合同要约时，信息主体的主动行为导致信息管理者的电子技术自动地收集到了他的个人信息，如cookies的应用。在此情形下，只能事后告知。其次，当个人信息的取得非直接源自当事人本人，而是来自第三人时，也不适于事先或者同时告知。例如，当保险公司基于提供医疗保险服务的目的而从雇主那里收集雇员的个人信息，该公司可能无法在雇员的个人信息被收集前或收集时立即告知员工有关公司的隐私保护政。最后，在有些情况下，没有必要进行告知。例如，《APEC隐私保护框架》认为收集及利用公开可获得的信息，基于商业关系而取得的个人信息，或是关于信息主体之专业能力的个人信息。另外，信息主体基于商业往来的目的而给予他人名片，当事人并不能期待个人信息管理者对于这一名片上的个人信息的正常利用和收集有任合隐私保护政策的声明与告知。与信息主体在同一家公司的同事如果基于商业往来的目的而将当事人的名片提供给潜在客户时，信息主体也不能期待该名同事就其个人信息的传递与利用情况进行告知。