截至目前,全球范围内尚未形成统一的数据隐私治理体系,但为应对数字经济快速发展带来的隐私保护挑战,多个国家和地区已在持续完善相关法律规则。加拿大通过联邦与省级法律体系联动,在“知情同意”原则的基础上,不断扩展个人数据权益范围并强化企业义务,逐渐形成了一套较为完善且富有特色的数据隐私法律保护机制。
法律框架
从历史沿革看,加拿大个人信息保护规范大体经历了两轮横向扩展与一轮纵向分化——即先由公共领域向私营领域延伸,再由单一联邦层级演化为联邦—省级并行的多元体系。早在1983年,联邦议会即通过《隐私法》,强调透明性、必要性与最少收集原则,为各级公共机关确立了收集、使用与披露个人信息的基本边界。互联网与电子商务蓬勃兴起后,2000年出台的《个人信息保护与电子文件法》将公平信息原则正式延伸至私营领域,明确要求市场主体在透明度、信息安全与知情同意方面承担责任。与此同时,在联邦统一框架下,各省相继开展本地立法实践。1993年,魁北克省率先为私营部门设立专门法律;2004年,不列颠哥伦比亚省与阿尔伯塔省相继出台《个人信息保护法》,并在联邦认可下在本辖区替代联邦法适用;其后,安大略、萨斯喀彻温等省又围绕医疗健康、信用报告等敏感信息制定专项规定。在联邦法律与各省法律的效力范围上,前者直接约束跨省运营主体及银行、电信等属联邦事权的行业,而省内一般企业则遵循本省立法。多年来,随着联邦与省级立法的持续优化,加拿大已经形成了覆盖联邦公共机关、私营企业以及各省辖域事务,以联邦统一标准为基础、由省级法律加以细化的多层隐私保护体系。
随着数据要素价值的不断释放,加拿大的隐私立法也呈现出逐步强化与迭代完善的趋势。2022年,联邦政府推出了《数字宪章实施法案》(C27号法案,以下简称《法案》),其中包括《消费者隐私保护法》《个人信息和数据保护法庭法》及《人工智能与数据法案》等独立法案。《消费者隐私保护法》作为《法案》的第一部分,旨在取代2000年生效的《个人信息保护与电子文件法》,从而整体提升私营部门处理个人信息的合规基线。《消费者隐私保护法》在延续“知情同意”制度轴心的同时,一并引入删除请求权、数据可携权、自动化决策说明权等新增权利,对未成年人信息设立更高防护阈值;作为《法案》的重要组成部分,《人工智能与数据法案》是加拿大首部针对人工智能的专项立法,为高风险人工智能系统确立了评估与治理框架。目前,《法案》正处于国会审读阶段,若最终获得通过,加拿大的隐私保护规则将与欧盟《通用数据保护条例》中的“充分性认定”标准继续保持协调,为全球数字贸易规则的衔接提供重要参考。
规制特点
以“知情同意”为核心的个人信息处理原则。根据《个人信息保护与电子文件法》,任何组织在计划收集、使用或披露个人信息之前,须先向信息主体说明六项基本要素:信息从何处获得、用于何种具体目的、可能带来的风险、预计保存多久、是否会传送至境外以及个人如何提出申诉或质疑。其说明文字应当清晰简洁,不得以冗长晦涩的法律表述和默认同意来规避用户的实质选择。
法律同时要求相关组织应当根据具体的数据敏感度和处理场景,选择不同的同意形式:财务、健康、生物识别等高度敏感信息,或者目的明显超出个人常理预期的处理活动,必须通过书面签字、双重验证或其他可核验方式取得主动同意;普通购物、网站浏览等低风险场景,如个人未拒绝,可以视为默示同意;个人有随时撤回授权的权利,一旦撤回,相关组织需立刻停止处理并删除或匿名化相关数据,不得拖延。为防止相关组织在取得同意后随意改变用途,法律还规定其必须定期核查已取得同意事项与信息实际用途的一致性,坚持“最少必要”原则,不得无故扩大处理范围。若违反上述要求,隐私专员可发出整改令;若情节严重,还可处以高额罚款并要求其承担民事赔偿。通过通知、授权、撤回与审查等环节,该规定使个人的同意权在数据处理的全流程得到切实落实。
严格限定的合法例外情形。《个人信息保护与电子文件法》规定了多种无需个人同意即可处理个人信息的例外情形,其中以下四类最具代表性,且适用范围严格受限:1.履行成文法义务:当执法、税务或国家安全机关依法要求提供信息时,相关组织必须配合,但仅能提交与调查直接相关的最小范围数据,并做好记录备查。2.紧急保护:在威胁生命、健康或重大财产安全的情况下,如医院急救医生需要即时查阅病历,可在无法及时获得本人同意时先行处理相关信息,事后需向个人说明。3.防范或调查金融犯罪:银行、保险公司为识别欺诈交易,可以共享可疑账户数据,但须限定在关联金融机构之间,且只能用于反欺诈目的。4.要求用户主动评估:例如支付清算机构进行跨行结算时,需要在结算端与收单端之间交换账户标识,该步骤被视为交付服务的必要环节。除上述明确规定的例外情形外,根据现行法律,企业一般不得单纯出于广告、差别定价或自身业务便利的目的,在未经用户同意的情况下擅自处理个人信息。
《消费者隐私保护法》虽增设了“合法利益”条款,但也同时强调该条款仅限于无法以同意方式完成且对个人影响极低的情形,并明确禁止将其用于画像广告或个性化推销。企业若欲援引例外,需提前完成书面评估,说明其符合必要性、合法性和最小化要求,并在内部保存相应记录,隐私专员可随时抽查并责令纠正。综上,例外条款与严格的程序约束相结合,既为公共利益和紧急需要留出空间,也避免例外条款被滥用,维持了“同意优先”的基本格局。
执法问责机制逐渐强化。法律实施初期,隐私监管主要依靠行业自律,联邦隐私专员只能调查并提出建议,缺少强制手段。随着多起大规模数据泄露和算法歧视事件的发生,公众对监管力度不足的担忧愈发加剧。2018年《个人信息保护与电子文件法》修正案生效,强制性数据泄露通知报告要求成为企业的法定义务。只要泄露事件可能给个人带来经济损失、身份盗用或精神压力,即被认定为“重大风险”。企业须在发现后尽快向监管机构和受影响个人发出通知,并保存事件记录至少两年,供日后核查。隐私专员同时获得向法院申请执行令的权限,可要求企业立即停止违规行为或采取补救措施。
《消费者隐私保护法》更进一步赋予专员直接签发整改令的职权,并设立独立审裁处来决定罚款数额。一般违规的罚款上限为全球年营业额的3%或1000万加元,严重违规(例如重复违法或影响人群范围广)的罚款上限提升至年营业额的5%或2500万加元。魁北克、不列颠哥伦比亚、阿尔伯塔省也对各自的隐私法律作出修订,统一要求企业指定隐私负责人、定期进行影响评估,并授权省级专员现场检查文件、设备和系统。多层次的问责网络将“调查—整改—罚款—诉讼”串成闭环,企业若忽视监管要求,将面临行政、民事甚至刑事等多重后果,这将推动其在业务流程和管理制度中主动嵌入隐私保护措施。
严格的数据跨境传输规则。现行《个人信息保护与电子文件法》规定,企业将个人信息发送至境外前,必须先评估使用目的、信息种类、接收国法律环境以及对个人可能造成的影响。若接收国法律不足以提供相当水平的保护,企业需通过合同条款、技术加密或独立审计等方式补救,并对外承诺在境外发生泄露时承担全部责任。2009年发布的《境外移转指引》要求在企业隐私政策中公开境外服务商所在地和可能存在的政府获取风险,方便个人作出知情判断。《消费者隐私保护法》也增加两项要求,企业须对每一次跨境传输形成书面风险评估报告,并在内部保留审计记录;隐私专员如发现评估不足,可发布暂停传输指令。健康、金融、生物识别等敏感信息的跨境传输需要个人明确书面同意,不能用默示或默认勾选替代;个人撤回后,企业应立即停止传输,并与接收方协作删除或匿名化存量数据。魁北克省《关于私营部门个人信息保护的法案》则要求先向省级专员备案,并对接收国环境进行量化评分,若分数低于安全线则不得出口;阿尔伯塔、不列颠哥伦比亚省赋予省专员紧急禁令权,一旦境外主体不按合同执行保护措施,可立即限制数据继续流出。联邦与省级多重管制手段,使数据跨境传输前有评估、传输中有监督、传输后有追责,既保障了数字贸易所需的数据流动,又将个人信息风险控制在可接受范围内。
立法目标
加拿大数据隐私法律的立法目标可分为工具性和价值性两个不同维度。在工具性维度,立法者旨在为高速流动的数据资源搭建一套成本可控、适应性强且兼顾跨国数据治理的运行框架:一方面,联邦统一的基本规则与省级差异化的补充共同为跨省、跨境乃至跨行业的数据传输链条提供可预期的合规框架,从而降低企业的合规成本;另一方面,加拿大通过建立持续评估机制、更新技术标准以及设立行业试点等措施确保监管规则的灵活性,增强法律对云计算、物联网、生成式模型等新场景的回应能力,以减轻制度滞后给技术创新带来的不利影响。法律在跨境传输部分则强调其与欧盟充分性决定、美国部门化监管及环太平洋数据框架之间的对接,通过合同范本、互认清单与风险备案等工具,将国内原则嵌入国际流通路径,在维护国家安全和公众利益的同时,保障数字贸易的顺畅进行。
在价值性维度,立法者着重构筑一条以权利保障、差别保护、多元监督与价值平衡为中心的保护轴线:首先,以“尊重、自治、公平”三重理念奠基,要求数据无论跨域流转还是经算法重塑,信息主体始终拥有可见、可控、可追溯的主导权,任何处理活动皆须围绕正当性、必要性与比例性自我证明;其次,针对未成年人、老年人等脆弱群体,法律通过风险提示、差异化防护条款、公开听证程序与利益相关方协商机制增设柔性缓冲带,避免数字鸿沟与模型偏差固化既有不平等;再者,引入多元监督主体,媒体与学术机构可借助披露窗口开展独立评估,社会组织与普通公众亦可凭借申诉、集体诉讼与第三方审计渠道向违规行为施压,进而与国家监管、行业自律形成扁平互补的责任网络。通过权利赋能与责任互检的耦合设计,法律试图在通过技术创新获得动能的同时,为个人尊严与公共信任筑起坚固防线,使数据治理不仅守护社会价值底线,也为数字经济的长远发展积淀信誉资本。
(作者单位:山东大学法学院)
粤公网安备44030002006310号