什么是《公平信息惯例》?| FIPP

《公平信息惯例原则》(FIPP) 是当今许多组织所遵循的一套数据隐私原则。

学习目标

阅读本文后,您将能够:

  • 列出公平信息惯例
  • 描述 FIPP 的发展史
  • 说明为什么 FIPP 被广泛引用

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是《公平信息惯例原则》 (FIPP)?

《公平信息惯例》也被称为《公平信息惯例原则》(FIPP),是关于数据使用、收集和隐私的八条原则。它们由经济合作与发展组织 (OECD) 于 1980 年发布,一些国家原则上同意它们。

虽然没有正式成为任何隐私立法的一部分,但这些原则在今天仍然具有相关性和影响力。许多组织将它们作为如何处理个人数据的指南。FIPP 中列出的一些原则被纳入重要的隐私框架,如《通用数据保护条例》(GDPR)《加州消费者隐私法》(CCPA)

八条公平信息惯例原则包括:

  1. 收集限制原则。对个人数据的收集应该有所限制,任何此类数据都应该通过合法和公平的手段获取,并在适当的情况下,在数据主体知情或同意的情况下获取。
  2. 数据质量原则。个人数据应与使用目的相关且在这些目的的必要范围内,应准确、完整并保持最新。
  3. 目的明确原则。应在开始收集数据之前或之时指定收集个人数据的目的,且随后的使用应限于实现这些目的或与这些目的不相抵触的其他目的,并在每次改变目的时予以指定。
  4. 使用限制原则。个人数据不应披露、提供或以其他方式用于[目的明确原则]所规定之目的以外的其他目的,除非:a)经数据主体同意;或 b)经法律授权。
  5. 安全保障原则。个人数据应受到合理的安全保障措施的保护,以防止数据丢失或未经授权的访问、破坏、使用、修改或披露等风险。
  6. 开放性原则。在个人数据的开发、实践和政策方面,应当有一个总体的开放性政策。应该有现成的手段来确定个人数据的存在和性质、其使用的主要目的,以及数据控制者的身份和习惯居所。
  7. 个人参与原则。个人应当有权:
    1. 从数据控制者处获得或以其他方式确认数据控制者是否有与之相关的数据;
    2. 在一段合理的时间内获知对方拥有与之相关的数据;可以合理收费;使用合理的方式和形式使本人理解;
    3. 当关于 (a) 和 (b) 条款中规定的权利被拒绝提供时可要求说明理由,可以质疑此类拒绝;以及
    4. 可质疑与本人相关的数据,如果质疑成功,可以要求删除、纠正、完成或修改这些数据。
  8. 问责原则。数据控制者应该对遵守落实上述原则的措施负责。

《公平信息惯例》的发展史是怎样的?

目前呈现的 FIPP 基于 1973 年美国卫生、教育和福利部的一个咨询委员会提出的建议。该委员会的报告指出,“基于保存记录的相互性概念来保障个人隐私,要求保存记录的组织遵守公平信息惯例的某些基本原则”。随后,然该报告描述了几条数据保护原则。

1980 年,OECD 扩展了这些建议,并将其分为上述八条 FIPP。此后,FIPP 被多次引用,特别是在美国。它们继续作为一个重要部分出现在数据隐私和数据保护准则中。

《公平信息惯例》是任何隐私立法的一部分吗?

FIPP 不是任何官方或法律要求的一部分。然而,它们已成为若干不同隐私准则的基础。它们还反映了其他官方隐私框架中出现的许多广泛接受的隐私原则。

例如,个人参与原则(第 7 条)列出了人们应该拥有的一些权利。 CCPA 将其中一些内容编入法律,例如“知情权”,很像个人参与原则的 a) 和 b) 条款中描述的内容。GDPR 还包括“删除权”,类似于个人参与原则 d) 条款所述的“删除数据”的权力。

另一个例子是,GDPR 中包含对应于 FIPP 数据质量原则的内容:第 5 条要求个人数据“准确,并在必要时保持最新;考虑到处理数据的目的,必须采取一切合理措施确保立即删除或纠正不准确的个人数据。”

需要注意的是,这些隐私框架的描述和要求与 FIPP 并不完全一致。想要遵守 GDPR、CCPA 或任何其他隐私法规的组织,需要确保自己遵守这些特定法规的要求,而不仅仅只是 FIPP。

Cloudflare 是否遵循《公平信息惯例》?

Cloudflare 的所有员工都必须参加数据保护培训,除了 GDPR 和其他重要的数据保护法律外,培训还会向他们介绍《公平信息惯例》。此外,Cloudflare 还发布了一些产品(其中一些是免费的),以加强用户隐私。这些产品包括:

要深入了解 Cloudflare 对数据隐私的承诺,请阅读 Cloudflare 博客上的最新更新