虽然PbD的主要目的在于为各个行业提供隐私和个人信息保护的标准,为企业提供基本的原则性指导,但我们认为它的作用不仅仅局限于此。该理念本身及其体现出来的积极性、主动性、全局性能为中国个人信息保护的体系框架设计带来新的思路:个人信息保护不必然以牺牲一方的利益为前提,主动地从各个层面去设计如何保护个人信息能实现各方利益的平衡,最终构建中国良好的个人信息保护生态系统。
我们首先对PbD的基本原则与中国个人信息保护的基本原则进行了比较(见表6.3)。中国个人信息保护基本原则指《信息安全技术公共及商用服务信息系统个人信息保护指南》(标准号:GB/Z28828-2012)中规定的八大原则(包括目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则和责任明确原则),以及中国《个人信息保护法》(专家建议稿)[48]中学者提到的原则(包括合法原则、权利保护原则、利益平衡原则、信息质量原则、信息安全原则、职业义务原则、救济原则、知情同意原则、限制利用原则、完整正确原则、安全原则)。
表6.3 PbD基本原则与中国个人信息保护基本原则比较
续 表
续 表
通过对各项原则的内容进行梳理发现:首先,PbD的各大基本原则具有灵活性。这几项原则的要求十分具体,但通过Ann Cavoukian博士及其团队发布的具体实施框架来看,PbD各项原则的实施可以通过各种各样的方式灵活进行。如“积极主动”原则和“寓隐私保护于设计中”原则,目的很明确,不同企业可能会采取不同的方式来实现。其次,PbD的原则兼容并包,是对目前已比较成熟的个人信息保护原则进行的拓展性发展。PbD原则是对FIPs原则的发展,而FIPs原则在此之前已是一项比较成熟的国际性个人信息保护标准。通过分析可以看出,PbD理念基本上把国际上主流的个人信息保护原则都涵盖了进来。最后,PbD原则具有广泛的适用性。它能够适用到不同技术环境的不同场景中。而据中国的标准制定者发布的论文显示,中国个人信息保护国家标准(推荐)的制定参考了美国《隐私权法》、瑞典《数据法》、法国《数据处理、档案与自由法》、欧盟的个人数据保护指令、加拿大《隐私保护法》等。从内容上看,中国所采纳的这些原则并没有太多的变化。而问题也正在于,这些法律颁布的时间都已较久远,其当时所提出的原则并非能够满足当今的个人信息或隐私保护环境。
经过仔细的分析和思考,鉴于PbD在隐私和个人信息保护理念以及方法上的先进性和全面性,我们建议在开展中国个人信息保护立法和个人信息保护国家标准制定工作时,可以充分考虑和参考其中的主动保护原则(第一项基本原则)、隐私默认保护原则(第二项基本原则)、隐私设计保护原则(第三项基本原则)、双赢原则(第四项基本原则)和全程保护原则(第五项基本原则)等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
