原載於《
人民郵電報
》2015年05月19日,作者王融時任中國資訊通訊研究院政策經濟所
當前,網際網路新技術新業務正改變著個人資訊的收集和使用方式,對個人資訊保護帶來巨大挑戰。雲計算讓個人資訊遠離個人終端,使用者對於個人資訊的控制能力大大降低,個人甚至並不清楚其資料的儲存位置;移動網際網路更讓資訊收集變得無處不在,且所收集的資訊高度個人化,比如通訊錄、照片、郵件、App應用的使用資訊等。如果說雲計算、移動網際網路只是從量的層面加劇了個人資訊保護的難度,那麼大資料的出現則是從質的層面衝擊了個人資訊保護制度存在的基礎,對個人資訊保護規則帶來深遠影響。
大資料帶來“個人資訊”界定困境
大資料帶來了“個人資訊”的界定困境。個人資訊是個人資訊保護法中的核心概念。法律適用的基本前提是所涉及的資訊是否為個人資訊。如果不是,則不會構成對個人權利的侵害,也無適用法律規範的必要。傳統的個人資訊保護法對於個人資訊的界定,一般以“識別”為核心標準,它是指與個人相關的,能夠直接或間接識別特定自然人的資訊。“可識別性”是個人資訊最為重要的特徵。儘管這是一個開放式的法律界定,但從個人資訊保護法誕生的上世紀70年代看,具有“身份識別性”的資訊是有限的。比如個人的姓名、家庭住址、電話號碼等。
然而網際網路技術業務的快速發展,已經將個人資訊保護法的適用環境徹底改造。大資料的出現更是進一步模糊了個人資訊與非個人資訊的邊界。如果缺乏其他的資料來源,很多資訊將保持匿名的狀態。但是,在今天的網路新世界,有無數可以利用的資料來源。企業甚至是普通個人都越來越容易獲得有關個人的大量資訊。此外,軟體演算法和分析學的發展使得大量資料更易被關聯和聚合,大大增強了人們將非個人資訊轉化為個人資訊的能力。獲取資訊以及將資訊恢復身份屬性的成本正在急速下降。那麼問題來了,如果個人資訊保護法固守傳統,僅適用於嚴格界定的“個人資訊”,那麼在大資料環境下,資料利用的安全風險又如何被規制?如果個人資訊保護法擴張個人資訊的邊界,那麼在又將擴張到何種程度,才能在法律上重新找到保護公民個人權利與促進技術發展之間的新的平衡點?
此外,大資料也大大刺激了企業收集資訊的動機。大資料的出現使得資訊成為戰略級資源。今天收集的資訊未必在當下就可以被利用,它所蘊含的價值可待未來發掘。在大資料的刺激之下,個人資訊保護法中的基本原則——收集資訊的限制和必要原則在實踐中不斷被突破,企業不僅收集實現業務目的所必須的資訊,也會收集無關的資訊。這也是移動網際網路中普遍存在APP超出業務目的、超出範圍收集使用者個人資訊現象的重要原因。並且在雲計算技術的支撐下,企業可以更為長久地儲存這些資訊,以待日後挖掘。這意味著大量的個人資訊不僅可能在今天被濫用,在幾年甚至幾十年後仍然可能被濫用。為提供此類收集行為的合法性,網際網路企業的隱私政策也越來越多地採取格式條款方式,對使用者的各類資訊進行“一攬子”打包,賦予企業進行讀取、收集的權利。
個人資訊保護制度面臨變革
在各類新技術業務特別是大資料帶來的巨大沖擊面前,個人資訊保護制度將無可避免地面臨變革。激進的觀點認為:在當前的網路環境下,隱私已經消亡,個人資訊保護政策已到了退出歷史舞臺的時刻。從更遠的未來看,筆者並不否認這種論斷的可能性。因為技術本身對於價值觀念、法律制度的改造能力總是超乎人們的想象。就比如“00後”與“80後”在隱私觀念上已經有了顯著的變化,更年輕的一代更加積極主動地擁抱網路,將自己的生活狀態甚至心情感悟等日常生活的點點滴滴都公佈於網路,並從中獲得分享樂趣。不可否認,新技術新業務正在以“春雨潤物細無聲”的方式,默默地影響甚至改造著人們的隱私觀念。然而雖然這是一個變革的趨勢,但並不意味著當下的我們就可以輕鬆地丟棄隱私保護。相反,在日益強大的技術能力面前,現實中更多的呼聲是如何加強對個人資訊的保護,如何對個人資訊保護法加以改革,以適應技術變革帶來的新挑戰和問題。
四項措施保護個人資訊保安
2014年5月,美國白宮釋出了《大資料:抓住機遇,堅守價值》報告。報告指出:大資料分析所擁有的潛力,將逐步侵蝕我們長久以來在公民權利保護方面形成的價值基石。但在挑戰面前,人與資料的關係應當擴充套件,而不是壓縮。一方面,大資料技術能夠提高政府的監控能力,提升企業的市場洞察力,但大資料本身也蘊藏著解決信任、隱私、公民權利保護問題等方面的潛力。如果運用得當,大資料將成為社會進步的助推器。如果說上述論斷是一個“頂層設計”式的指導方針,那麼在這一方針之下,還需要制定更具體的措施:
一、提升資料處理活動的透明度。個人資料如何被企業收集以及在企業之間共享應當對消費者透明。開展大資料分析的企業應當在其網站設定專欄,列明參與資料收集和分享的公司名單,介紹其資料活動,併為消費者提供更好地控制其資訊被收集和使用的方法。
二、建立更具有實際意義、更富有效率的使用者個人資訊保護機制。儘管“知情同意”制度在很多場合下仍然有效,但顯然已不能滿足大資料應用場景。個人資訊保護機制應當朝更有意義、更可執行、更與個人相關的方向改革。比如要求企業以更加簡潔易懂的方式告知使用者個人資料利用帶來的好處和弊端,而不是僅僅提供一個冗長複雜的隱私政策;要求企業遵循“隱私保護設計”原則,在產品的設計、研發、推廣、使用、市場退出等每個環節考慮使用者隱私保護要求,為使用者提供資料的全生命週期保護。
三、更加關注資料使用環節的安全風險。當前的個人資訊保護法注重於使用者在個人資訊“收集”環節的控制力。然而在新的網路環境下,隨著資訊收集的日益普遍,以及資訊收集與業務使用之間的緊密依賴關係,事前的控制力相對來說已經不再那麼重要。更重要的是使用者的資訊在被使用的過程中,如何防止被濫用。比如針對大資料應用,企業要分析其相應的安全風險並提出與之匹配的保護措施。此外,“資料洩露通知”制度正在被更廣泛的引入立法,也反映了個人資訊保護從注重事前知情同意到事後安全保障轉換的趨勢。
四、加強問責。對於在大資料應用中獲益的企業應當加強對其在個人資訊保護方面的問責。這種問責不僅可以透過個人資訊保護法律本身來追究,還可以透過合同機制進行傳導。因為在大資料應用產業鏈上,收集、處理資料的企業主體會更加繁多,資料的市場化交易也更加頻繁,更需要透過合同來約束相關方的資料處理行為。
