隨著全球范圍內(nèi)大數(shù)據(jù)產(chǎn)業(yè)的全面推進(jìn),公民隱私及個(gè)人信息保護(hù)問題也日益凸顯,傳統(tǒng)個(gè)人信息保護(hù)框架在大數(shù)據(jù)時(shí)代遭遇嚴(yán)峻沖擊,如何尋求個(gè)人信息的合理及有效保護(hù)成為各國普遍面臨的難題。個(gè)人信息不僅承載著個(gè)人權(quán)益,也在很大程度上牽涉到商業(yè)機(jī)密、企業(yè)信譽(yù)、國家安全與信息主權(quán),因此,應(yīng)妥善協(xié)調(diào)產(chǎn)業(yè)發(fā)展與個(gè)人信息保護(hù),積極探索順應(yīng)時(shí)代特征的新思路,構(gòu)建安全、信任的大數(shù)據(jù)產(chǎn)業(yè)環(huán)境。
一、大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的新挑戰(zhàn)
大數(shù)據(jù)時(shí)代,個(gè)人信息保護(hù)面臨前所未有的新挑戰(zhàn)。首先,隨著移動(dòng)互聯(lián)網(wǎng)的普及和智能穿戴等物聯(lián)網(wǎng)設(shè)備的應(yīng)用,個(gè)人信息的收集日益密集和隱蔽;第二,多重來源的個(gè)人信息進(jìn)行比對(duì)累積,能夠形成完整的個(gè)人畫像和實(shí)時(shí)追蹤,使人們無處遁形;第三,大數(shù)據(jù)技術(shù)能通過特定算法從既有信息中挖掘出新結(jié)論,不僅增加敏感信息暴露的風(fēng)險(xiǎn),還可能用于影響個(gè)人權(quán)益的決策,如評(píng)估個(gè)人信用狀況等;第四,在數(shù)據(jù)開發(fā)價(jià)值的驅(qū)使下,個(gè)人信息的流轉(zhuǎn)、交易形成鏈條,信息處理主體多元,傳播方式紛繁復(fù)雜,對(duì)于個(gè)人權(quán)利行使及政府監(jiān)管均構(gòu)成嚴(yán)峻挑戰(zhàn)??傊髷?shù)據(jù)時(shí)代,個(gè)人信息的收集方式、使用目的及后果影響日趨失控,個(gè)人隱私及數(shù)據(jù)安全面臨嚴(yán)峻威脅。
二、傳統(tǒng)個(gè)人信息保護(hù)框架無法應(yīng)對(duì)新挑戰(zhàn)
面對(duì)大數(shù)據(jù)時(shí)代的挑戰(zhàn),傳統(tǒng)以“知情同意”為核心的個(gè)人信息保護(hù)框架日益捉襟見肘,在適用方面陷入全面困境。首先,在個(gè)人信息定義方面,海量信息的收集比對(duì)大大提升信息識(shí)別個(gè)人的能力,個(gè)人信息邊界日益模糊,匿名化操作困難;第二,在目的限定原則方面,信息比對(duì)及二次利用是大數(shù)據(jù)價(jià)值開發(fā)的核心,個(gè)人信息超出原初目的的利用在大數(shù)據(jù)環(huán)境下成為常態(tài),傳統(tǒng)目的限定原則被不斷突破;第三,在用戶同意與用戶控制方面,個(gè)人信息收集的隱蔽性及流轉(zhuǎn)的復(fù)雜性超出預(yù)先告知及用戶的理解能力,用戶往往除點(diǎn)擊同意外并無其他選擇,用戶控制難以行使,權(quán)利實(shí)質(zhì)被架空;第四,在多方主體責(zé)任認(rèn)定方面,多元主體尤其是第三方信息中介的力量異軍突起,傳統(tǒng)架構(gòu)中難以尋求有效的適用規(guī)定,造成其責(zé)任界定不清與監(jiān)管空白;第五,在信息跨境流通方面,各國間個(gè)人信息保護(hù)法律制度存在顯著差異,對(duì)個(gè)人信息的跨境自由流通構(gòu)成嚴(yán)重阻礙。
造成傳統(tǒng)框架全面困境的根本原因在于,其脫節(jié)于大數(shù)據(jù)時(shí)代的個(gè)人信息生態(tài)系及流轉(zhuǎn)方式,已經(jīng)無法適應(yīng)新業(yè)態(tài)的發(fā)展需求,因而需要及時(shí)轉(zhuǎn)變觀念,在新的背景下重新審視個(gè)人信息保護(hù)的規(guī)則及秩序,構(gòu)建平衡產(chǎn)業(yè)發(fā)展與個(gè)人信息保護(hù)的新思路。
三、構(gòu)建大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的新思路
面對(duì)傳統(tǒng)框架的困境,國際上諸多機(jī)構(gòu)及學(xué)者進(jìn)行了反思與建議,歐盟、日本為首的國家也紛紛對(duì)既有立法進(jìn)行重新審視和修訂,美國更是發(fā)布《消費(fèi)者隱私權(quán)利法案》草案,跳出了傳統(tǒng)框架,構(gòu)建大數(shù)據(jù)時(shí)代的新思路。筆者結(jié)合國際機(jī)構(gòu)、學(xué)者建議以及新興立法的規(guī)定與趨勢(shì),將順應(yīng)大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)新思路梳理如下:
(一)在個(gè)人信息定義方面,突破個(gè)人信息定義的路徑依賴,重視對(duì)使用環(huán)節(jié)的監(jiān)管。
傳統(tǒng)框架以個(gè)人信息定義作為法律適用的前提與邊界,然而在大數(shù)據(jù)時(shí)代需要扭轉(zhuǎn)思路。首先,突破對(duì)個(gè)人信息定義的路徑依賴。大數(shù)據(jù)時(shí)代個(gè)人信息邊界日益模糊,傳統(tǒng)意義上的非個(gè)人信息通過關(guān)聯(lián)比對(duì)也可能識(shí)別出個(gè)人,如美國眾多機(jī)構(gòu)及學(xué)者所指出,大數(shù)據(jù)環(huán)境下已不存在絕對(duì)意義的非個(gè)人信息,與此同時(shí)信息的性質(zhì)是動(dòng)態(tài)的,無法脫離具體場(chǎng)景做抽象界定。因此,探究個(gè)人信息精準(zhǔn)定義的傳統(tǒng)思路已不合時(shí)宜,以“不構(gòu)成個(gè)人信息”作為排除法律適用的理由也不再充分。第二,重視個(gè)人信息使用環(huán)節(jié)的監(jiān)管。世界經(jīng)濟(jì)論壇(WEF)等機(jī)構(gòu)及諸多學(xué)者均強(qiáng)調(diào),大數(shù)據(jù)環(huán)境下的隱私風(fēng)險(xiǎn)并非產(chǎn)生于個(gè)人信息收集之初,而是在于具體的使用環(huán)節(jié),即同一筆信息因使用場(chǎng)景的不同,帶來的后果也有所差異。因此,應(yīng)將重心由個(gè)人信息收集階段向使用階段轉(zhuǎn)移,側(cè)重對(duì)后端使用環(huán)節(jié)的監(jiān)管,適度放寬個(gè)人信息定義及前端收集環(huán)節(jié)的限制。
(二)在目的限定原則方面,尊重用戶合理預(yù)期,變目的限定為風(fēng)險(xiǎn)限定。
目的限定原則是個(gè)人信息保護(hù)的核心原則,針對(duì)其在新業(yè)態(tài)中的適用困境,新思路加以重新解讀。首先,以用戶合理預(yù)期為中心,重構(gòu)個(gè)人信息保護(hù)邊界。WEF研究報(bào)告指出,個(gè)人信息保護(hù)即確保個(gè)人信息的合理利用,是否構(gòu)成合理利用取決于用戶自身是否接受,即用戶對(duì)其個(gè)人信息的收集利用是否有合理預(yù)期。因此,大數(shù)據(jù)時(shí)代,對(duì)法定目的的僵化遵循已不合時(shí)宜,應(yīng)以用戶主觀預(yù)期為核心重構(gòu)個(gè)人信息保護(hù)的合理邊界。第二,以隱私風(fēng)險(xiǎn)為導(dǎo)向,變目的限定為風(fēng)險(xiǎn)限定。個(gè)人信息保護(hù)的目標(biāo)是合理控制隱私風(fēng)險(xiǎn),即個(gè)人信息的處理給用戶帶來精神壓力、差別待遇及人身財(cái)產(chǎn)損害的可能性。個(gè)人信息利用尤其是二次利用是否合理,并非取決于是否符合原初目的,而關(guān)鍵在于新目的能否引發(fā)不合理的風(fēng)險(xiǎn)。大數(shù)據(jù)環(huán)境下,應(yīng)將“目的限定”原則重新解讀為“風(fēng)險(xiǎn)限定”原則,美國《消費(fèi)者隱私權(quán)利法案》草案及歐盟數(shù)據(jù)保護(hù)改革草案均新增了隱私風(fēng)險(xiǎn)評(píng)估的義務(wù),規(guī)定企業(yè)應(yīng)合理控制隱私風(fēng)險(xiǎn)。
(三)在用戶同意與用戶控制方面,提升用戶同意的針對(duì)性,運(yùn)用隱私設(shè)計(jì)增強(qiáng)透明度。
針對(duì)用戶同意及用戶控制難以行使的困境,新思路主要從以下兩方面加以改進(jìn)。第一,規(guī)定個(gè)人信息使用在相應(yīng)場(chǎng)景中合理時(shí)無需用戶同意。傳統(tǒng)架構(gòu)過度依賴用戶同意作為個(gè)人信息使用的授權(quán),美國《消費(fèi)者隱私權(quán)利法案》草案做出里程碑式改革,以“相應(yīng)場(chǎng)景中合理”為標(biāo)準(zhǔn)取代用戶同意,在不合理時(shí)方需要用戶做出選擇,提升用戶同意與控制的針對(duì)性,同時(shí)減輕企業(yè)與用戶負(fù)擔(dān)。第二,增強(qiáng)個(gè)人信息處理各環(huán)節(jié)的透明度。美國白宮題為《大數(shù)據(jù):抓住機(jī)遇,堅(jiān)守價(jià)值》的報(bào)告指出,良好的透明度能夠增進(jìn)用戶參與,延伸用戶控制,是大數(shù)據(jù)時(shí)代隱私保護(hù)的核心手段。加拿大隱私保護(hù)官員率先提出隱私設(shè)計(jì)(Privacy by Design)的理念,將隱私理念植入技術(shù)架構(gòu)設(shè)計(jì),幫助提升透明度及用戶體驗(yàn)。
(四)在多方主體責(zé)任認(rèn)定方面,突出信息中介的獨(dú)立地位,運(yùn)用隱私風(fēng)險(xiǎn)評(píng)估的工具納入統(tǒng)一體系。
大數(shù)據(jù)時(shí)代,以“數(shù)據(jù)堂”為代表的大批信息中介服務(wù)商異軍突起,成為個(gè)人信息生態(tài)鏈的關(guān)鍵一環(huán),然而在傳統(tǒng)框架中存在監(jiān)管真空的困境,新思路從兩方面加以應(yīng)對(duì)。第一,突出信息中介獨(dú)立的法律地位。如美國FTC報(bào)告所指出,應(yīng)賦予信息中介獨(dú)立的法律地位以加強(qiáng)監(jiān)管。美國議員已提交《信息中介責(zé)任與透明度法案》草案,針對(duì)第三方中介做出專門性立法,明確其法律責(zé)任。第二,運(yùn)用隱私影響評(píng)估的工具。隱私影響評(píng)估(PIA)是當(dāng)前國際通用的工具,通過此普適性的工具,能夠?qū)⒌谝环叫畔⑹占吆偷谌街薪榻y(tǒng)一納入通用的評(píng)估體系,根據(jù)個(gè)人信息處理行為引發(fā)的風(fēng)險(xiǎn)等級(jí)確立相應(yīng)的保護(hù)義務(wù),構(gòu)建大數(shù)據(jù)環(huán)境下多元主體的新秩序。
(五)在信息跨境流通方面,以場(chǎng)景理念構(gòu)建統(tǒng)一框架,推動(dòng)國際執(zhí)法協(xié)作與數(shù)據(jù)流通框架。
針對(duì)各國法制的差異為信息跨境流通造成的障礙,新思路從三方面提出方案。首先,運(yùn)用場(chǎng)景理念推動(dòng)國際通用框架的構(gòu)建。美國FTC報(bào)告指出,通過將影響用戶接受度的場(chǎng)景分解為各要素,尊重國際共通的因素,調(diào)節(jié)地區(qū)性差異因素,使全球通用的個(gè)人信息保護(hù)框架的構(gòu)建成為可能。第二,推動(dòng)國際執(zhí)法協(xié)作與構(gòu)建流通框架。各國間的執(zhí)法協(xié)作和框架協(xié)議是規(guī)范跨境流通的必由之路。近日歐美數(shù)據(jù)傳輸安全港協(xié)議的充分性決定被判無效,美歐計(jì)劃加緊談判促進(jìn)雙方執(zhí)法協(xié)作,推動(dòng)“安全港2.0”方案早日出臺(tái)。第三,強(qiáng)化企業(yè)作為主體的責(zé)任。加拿大個(gè)人隱私權(quán)保護(hù)委員會(huì)等機(jī)構(gòu)強(qiáng)調(diào)了以“組織機(jī)構(gòu)”為核心的理念,即增進(jìn)企業(yè)作為數(shù)據(jù)跨境流通主體的責(zé)任意識(shí),加強(qiáng)對(duì)企業(yè)層面的監(jiān)管,提升行業(yè)自律水平。