什麼是公平資訊慣例?| FIPP

《公平資訊慣例原則》(FIPP) 是當今許多組織所遵循的一套資料隱私原則。

學習目標

閱讀本文後,您將能夠:

  • 列出公平資訊慣例
  • 描述 FIPP 的發展史
  • 說明為什麼 FIPP 被廣泛引用

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是《公平資訊慣例原則》 (FIPP)?

《公平資訊慣例》也被稱為《公平資訊慣例原則》(FIPP),是關於資料使用、收集和隱的八條原則。它們由經濟合作與發展組織 (OECD) 於 1980 年發布,一些國家原則上同意它們。

雖然沒有正式成為任何隱私立法的一部分,但這些原則在今天仍然具有相關性和影響力。許多組織將它們作為如何處理個人資料的指南。FIPP 中列出的一些原則被納入重要的隱私框架,如《一般資料保護規定》(GDPR)《加州消費者隱私法案》(CCPA)

八條公平資訊慣例原則包括:

  1. 收集限制原則。對個人資料的收集應該有所限制,任何此類資料都應該透過合法和公平的手段獲取,並在適當的情況下,在資料主體知情或同意的情況下獲取。
  2. 資料品質原則。個人資料應與使用目的相關且在這些目的的必要範圍內,應準確、完整並保持最新。
  3. 目的明確原則。應在開始收集資料之前或之時指定收集個人資料的目的,且隨後的使用應限於實現這些目的或與這些目的不相抵觸的其他目的,並在每次改變目的時予以指定。
  4. 使用限制原則。個人資料不應披露、提供或以其他方式用於[目的明確原則]所規定之目的以外的其他目的,除非:a)經資料主體同意;或 b)經法律授權。
  5. 安全保障原則。個人資料應受到合理的安全保障措施的保護,以防止資料丟失或未經授權的存取、破壞、使用、修改或披露等風險。
  6. 開放性原則。在個人資料的開發、實踐和原則方面,應當有一個總體的開放性原則。應該有現成的手段來確定個人資料的存在和性質、其使用的主要目的,以及資料控制者的身分和習慣居所。
  7. 個人參與原則。個人應當有權:
    1. 從資料控制者處獲得或以其他方式確認資料控制者是否有與之相關的資料;
    2. 在一段合理的時間內獲知對方擁有與之相關的資料;可以合理收費;使用合理的方式和形式使本人理解;
    3. 當關於 (a) 和 (b) 條款中規定的權利被拒絕提供時可要求說明理由,可以質疑此類拒絕;以及
    4. 可質疑與本人相關的資料,如果質疑成功,可以要求清除、糾正、完善或修改這些資料。
  8. 問責原則。資料控制者應該對遵守落實上述原則的措施負責。

《公平資訊慣例》的發展史是怎樣的?

目前呈現的 FIPP 基於 1973 年美國衛生、教育和福利部的一個諮詢委員會提出的建議。該委員會的報告指出,「基於保存記錄的相互性概念來保障個人隱私,要求保存記錄的組織遵守公平資訊慣例的某些基本原則」。隨後,該報告描述了幾條資料保護原則。

1980 年,OECD 擴展了這些建議,並將其分為上述八條 FIPP。此後,FIPP 被多次引用,特別是在美國。它們繼續作為一個重要部分出現在資料隱私和資料保護準則中。

《公平資訊慣例》是任何隱私立法的一部分嗎?

FIPP 不是任何官方或法律要求的一部分。然而,它們已成為若干不同隱私準則的基礎。它們還反映了其他官方隱私框架中出現的許多廣泛接受的隱私原則。

例如,個人參與原則(第 7 條)列出了人們應該擁有的一些權利。CCPA 將其中一些內容編入法律,例如「知情權」,很像個人參與原則的 a) 和 b) 條款中描述的內容。GDPR 還包括「刪除權」,類似於個人參與原則 d) 條款所述的「刪除資料」的權力。

另一個例子是,GDPR 中包含對應於 FIPP 資料品質原則的內容:第 5 條要求個人資料「準確,並在必要時保持最新;考慮到處理資料的目的,必須採取一切合理措施確保立即清除或糾正不准確的個人資料。」

需要注意的是,這些隱私框架的描述和要求與 FIPP 並不完全一致。想要遵守 GDPR、CCPA 或任何其他隱私立法的組織需要確保他們遵循這些特定立法的要求,而不僅僅是 FIPP。

Cloudflare 是否遵循《公平資訊慣例》?

Cloudflare 的所有員工都必須參加資料保護培訓,除了 GDPR 和其他重要的資料保護法律外,培訓還會向他們介紹《公平資訊慣例》。此外,Cloudflare 還發布了一些產品(其中一些是免費的),以加強使用者隱私。這些產品包括:

要深入瞭解 Cloudflare 對資料隱私的承諾,請閱讀 Cloudflare 部落格上的最新更新