隨著全球范圍內(nèi)大數(shù)據(jù)產(chǎn)業(yè)的全面推進,公民隱私及個人信息保護問題日益凸顯,傳統(tǒng)個人信息保護框架在大數(shù)據(jù)時代遭遇嚴峻沖擊,如何尋求個人信息的合理及有效保護成為各國普遍面臨的難題。個人信息不僅承載著個人權(quán)益,也在很大程度上牽涉到商業(yè)機密、企業(yè)信譽、國家安全與信息主權(quán),因此,應妥善協(xié)調(diào)產(chǎn)業(yè)發(fā)展與個人信息保護,積極探索順應時代特征的新思路,構(gòu)建安全、信任的大數(shù)據(jù)產(chǎn)業(yè)環(huán)境。
傳統(tǒng)保護框架無法應對新業(yè)態(tài)發(fā)展
大數(shù)據(jù)時代,個人信息保護面臨前所未有的新挑戰(zhàn)。第一,隨著移動互聯(lián)網(wǎng)的普及和智能穿戴等物聯(lián)網(wǎng)設備的應用,個人信息的收集日益密集和隱蔽;第二,多重來源的個人信息進行比對累積,能夠形成完整的個人畫像和實時追蹤,使人們無處遁形;第三,大數(shù)據(jù)技術(shù)能通過特定算法從既有信息中挖掘出新結(jié)論,不僅增加敏感信息暴露的風險,還可能用于影響個人權(quán)益的決策,如評估個人信用狀況等;第四,在數(shù)據(jù)開發(fā)價值的驅(qū)使下,個人信息的流轉(zhuǎn)、交易形成鏈條,信息處理主體多元,傳播方式紛繁復雜,對于個人權(quán)利行使及政府監(jiān)管均構(gòu)成嚴峻挑戰(zhàn)??傊?,大數(shù)據(jù)時代,個人信息的收集方式、使用目的及后果影響日趨失控,個人隱私及數(shù)據(jù)安全面臨嚴峻威脅。
面對大數(shù)據(jù)時代的挑戰(zhàn),傳統(tǒng)以“知情同意”為核心的個人信息保護框架日益捉襟見肘,在適用方面陷入全面困難。
第一,在個人信息定義方面,海量信息的收集比對大大提升信息識別個人的能力,個人信息邊界日益模糊,匿名化操作困難;第二,在目的限定原則方面,信息比對及二次利用是大數(shù)據(jù)價值開發(fā)的核心,個人信息超出原初目的的利用在大數(shù)據(jù)環(huán)境下成為常態(tài),傳統(tǒng)目的限定原則被不斷突破;第三,在用戶同意與用戶控制方面,個人信息收集的隱蔽性及流轉(zhuǎn)的復雜性超出預先告知及用戶的理解能力,用戶往往除點擊同意外并無其他選擇,用戶控制難以行使,權(quán)利實質(zhì)被架空;第四,在多方主體責任認定方面,多元主體尤其是第三方信息中介的力量異軍突起,在傳統(tǒng)架構(gòu)中難以尋求有效的適用規(guī)定,造成其責任界定不清與監(jiān)管空白;第五,在信息跨境流通方面,各國間個人信息保護法律制度存在顯著差異,對個人信息的跨境自由流通構(gòu)成嚴重阻礙。
傳統(tǒng)框架陷于全面困境的根本原因在于,它已脫節(jié)于大數(shù)據(jù)時代的個人信息生態(tài)系統(tǒng)及流轉(zhuǎn)方式,無法適應新業(yè)態(tài)的發(fā)展需求,因而需要及時轉(zhuǎn)變觀念,在新的背景下重新審視個人信息保護的規(guī)則及秩序,構(gòu)建平衡產(chǎn)業(yè)發(fā)展與個人信息保護的新思路。
加強對使用環(huán)節(jié)的監(jiān)管
面對傳統(tǒng)框架的困境,國際上諸多機構(gòu)及學者進行了反思與建議,歐盟諸國、日本紛紛對既有立法進行重新審視和修訂,美國更是發(fā)布《消費者隱私權(quán)利法案》草案,跳出了傳統(tǒng)框架,構(gòu)建大數(shù)據(jù)時代的新思路。結(jié)合國際機構(gòu)、學者建議以及新興立法的規(guī)定與趨勢,將順應大數(shù)據(jù)時代的個人信息保護新思路梳理如下:
——在個人信息定義方面,突破個人信息定義的路徑依賴,重視對使用環(huán)節(jié)的監(jiān)管
傳統(tǒng)框架以個人信息定義作為法律適用的前提與邊界,然而在大數(shù)據(jù)時代需要扭轉(zhuǎn)思路。首先,突破對個人信息定義的路徑依賴。大數(shù)據(jù)時代個人信息的邊界日益模糊,傳統(tǒng)意義上的非個人信息通過關(guān)聯(lián)比對也可能識別出個人,如美國眾多機構(gòu)及學者指出,大數(shù)據(jù)環(huán)境下已不存在絕對意義的非個人信息,與此同時,信息的性質(zhì)是動態(tài)的,無法脫離具體場景進行抽象界定。因此,探究個人信息精準定義的傳統(tǒng)思路已不合時宜,以“不構(gòu)成個人信息”作為排除法律適用的理由也不再充分。
其次,重視個人信息使用環(huán)節(jié)的監(jiān)管。世界經(jīng)濟論壇等機構(gòu)及諸多學者均強調(diào),大數(shù)據(jù)環(huán)境下的隱私風險并非產(chǎn)生于個人信息收集之初,而是在于具體的使用環(huán)節(jié),即同一筆信息因使用場景不同帶來的后果也有所差異。因此,應將重心由個人信息收集階段向使用階段轉(zhuǎn)移,側(cè)重對后端使用環(huán)節(jié)的監(jiān)管,適度放寬個人信息定義及前端收集環(huán)節(jié)的限制。
——在目的限定原則方面,尊重用戶合理預期,變目的限定為風險限定
目的限定原則是個人信息保護的核心原則,針對其在新業(yè)態(tài)中的適用困境,新思路加以重新解讀。首先,以用戶合理預期為中心,重構(gòu)個人信息保護邊界。世界經(jīng)濟論壇研究報告指出,個人信息保護即確保個人信息的合理利用,是否構(gòu)成合理利用取決于用戶自身是否接受,即用戶對其個人信息的收集利用是否有合理預期。因此,大數(shù)據(jù)時代,對法定目的的僵化遵循已不合時宜,應以用戶主觀預期為核心重構(gòu)個人信息保護的合理邊界。
其次,以隱私風險為導向,變目的限定為風險限定。個人信息保護的目標是合理控制隱私風險,即個人信息的處理給用戶帶來精神壓力、差別待遇及人身財產(chǎn)損害的可能性。個人信息利用尤其是二次利用是否合理,并非取決于是否符合原初目的,而關(guān)鍵在于新目的能否引發(fā)不合理的風險。大數(shù)據(jù)環(huán)境下,應將“目的限定”原則重新解讀為“風險限定”原則,美國《消費者隱私權(quán)利法案》草案及歐盟數(shù)據(jù)保護改革草案均新增了隱私風險評估的義務,規(guī)定企業(yè)應合理控制隱私風險。
——在用戶同意與用戶控制方面,提升用戶同意的針對性,運用隱私設計增強透明度
針對用戶同意及用戶控制難以行使的困境,新思路主要從以下兩方面加以改進。首先,規(guī)定個人信息使用在相應場景中合理時無需用戶同意。傳統(tǒng)架構(gòu)過度依賴用戶同意作為個人信息使用的授權(quán),美國《消費者隱私權(quán)利法案》草案做出里程碑式改革,以“相應場景中合理”為標準取代用戶同意,在不合理時方需要用戶做出選擇,提升用戶同意與控制的針對性,同時減輕企業(yè)與用戶負擔。
其次,增強個人信息處理各環(huán)節(jié)的透明度。美國白宮題為《大數(shù)據(jù):抓住機遇,堅守價值》的報告指出,良好的透明度能夠增進用戶參與,延伸用戶控制,是大數(shù)據(jù)時代隱私保護的核心手段。加拿大隱私保護官員率先提出隱私設計的理念,將隱私理念植入技術(shù)架構(gòu)設計,幫助提升透明度及用戶體驗。
——在多方主體責任認定方面,突出信息中介的獨立地位,將隱私風險評估工具納入統(tǒng)一體系
大數(shù)據(jù)時代,以“數(shù)據(jù)堂”為代表的大批信息中介服務商異軍突起,成為個人信息生態(tài)鏈的關(guān)鍵一環(huán),然而在傳統(tǒng)框架中存在監(jiān)管真空的困境,新思路從兩方面加以應對。首先,突出信息中介獨立的法律地位。如美國FTC報告指出,應賦予信息中介獨立的法律地位以加強監(jiān)管。美國議員已提交《信息中介責任與透明度法案》草案,針對第三方中介做出專門性立法,明確其法律責任。
其次,運用隱私影響評估的工具。隱私影響評估是當前國際通用的工具,通過此普適性的工具,能夠?qū)⒌谝环叫畔⑹占吆偷谌街薪榻y(tǒng)一納入通用的評估體系,根據(jù)個人信息處理行為引發(fā)的風險等級確立相應的保護義務,構(gòu)建大數(shù)據(jù)環(huán)境下多元主體的新秩序。
——在信息跨境流通方面,以場景理念構(gòu)建統(tǒng)一框架,推動國際執(zhí)法協(xié)作與構(gòu)建流通框架
針對各國法制的差異為信息跨境流通造成的障礙,新思路從三方面提出方案。首先,運用場景理念推動國際通用框架的構(gòu)建。美國FTC報告指出,通過將影響用戶接受度的場景分解為各要素,尊重國際共通的因素,調(diào)節(jié)地區(qū)性差異因素,使全球通用的個人信息保護框架的構(gòu)建成為可能。
其次,推動國際執(zhí)法協(xié)作與構(gòu)建流通框架。各國間的執(zhí)法協(xié)作和框架協(xié)議是規(guī)范跨境流通的必由之路。近日歐美數(shù)據(jù)傳輸安全港協(xié)議的充分性決定被判無效,美歐計劃加緊談判促進雙方執(zhí)法協(xié)作,推動“安全港2.0”方案早日出臺。
最后,強化企業(yè)作為主體的責任。加拿大個人隱私權(quán)保護委員會等機構(gòu)強調(diào)了以“組織機構(gòu)”為核心的理念,即增強企業(yè)作為數(shù)據(jù)跨境流通主體的責任意識,加強對企業(yè)層面的監(jiān)管,提升行業(yè)自律水平。