(一)隐私保护政策框架
在《白皮书》中,美国政府认为”告知与同意”框架已经不能满足隐私权保护的需要。《白皮书》提出,对于现在绝大多数用户与企业进行的普通信息交互来说,”告知与同意”框架充分保护了隐私,但美国总统科学和技术顾问委员会表示,技术轨迹正在转向采集、使用和储存对消费者和个人没有直接联系的数据上来,假如”告知与同意”框架更容易被违背,则我们需要重新关注数据的使用一端,而不是原来的采集一端。美国政府认为,大数据时代的隐私保护应当关注于使用责任制,使数据的采集者和使用者对数据的管理及其可能产生的危害负责,而不是狭隘的将其责任定义为是否通过正常途径采集数据。
《白皮书》补充认为,更多的关注责任并不意味着忽视收集的环境。对数据负责的一个方面就是要尊重原始数据的采集。也就是说,原有的”告知与同意”框架仍然应当得到最大程度的遵守,并随着技术的发展进行调整,从而能够应对大数据带来的一些挑战。
此外,美国政府对隐私保护政策框架持较为开放的态度,认为应当关注的是如何在大数据所带来的效益,与隐私权等由于大数据采集信息而不可避免遭受损失的价值之间,做到合理的平衡。与此同时美国政府在白皮书中也重申,”尽管我们生活在一个能够比过去更自由的共享个人信息的世界,但我们必须坚决否认隐私价值已经过时。隐私从一开始就一直是我们民主制度的心脏,而现在,我们比以往任何时候更需要它”。
(二)隐私保护的立法建议
2012年2月23日,美国总统奥巴马签署美国白宫发布的工作报告《网络环境下消费者数据的隐私保护–在全球数字经济背景下保护隐私和促进创新的政策框架》(ConsumerDataPrivacyinANetworkedWorld:AframeworkforProtectingPrivacyandPromotingInnovationintheGlobalDigitalEconomy)(以下简称《消费者隐私保护报告》)。该报告正式提出《消费者隐私权利法案》(ConsumerPrivacyBillofRights),向社会公众公布并提请国会进行审议。报告对《消费者隐私权利法案》的立法理念和主要内容进行了介绍,集中体现了美国政府应对大数据时代隐私保护问题的做法。目前,《消费者隐私权利法案》尚未获得国会通过,因此在《白皮书》中美国政府也呼吁国会尽快通过《消费者隐私权利法案》,以确定隐私保护的法治框架。
总体而言,《消费者隐私权利法案》的基础仍然是”公平信息实践法则”,主要规定了以下三大方面的内容:
1、”告知与同意”框架的强化
(1)个人控制(IndividualControl):消费者有权控制企业对个人信息的收集和使用。第一个方面,法案要求在任何情况下,企业都应当赋予消费者选择权,使其有权控制企业收集的任何个人数据。对于不与消费者直接接触的第三方,只要数据的用途会对消费者的权益造成重大影响,也要赋予消费者选择权。收集数据的企业也应当对第三方进行尽职调查,调查第三方企业将如何使用消费者数据以及是否赋予消费者适当的选择权。此外,消费者应当有权对授权进行撤销,而这种撤销的方式应当与授权方式的便捷性相同。第二个方面,法案要求消费者在个人数据使用时,尤其是在个人数据分享公开时应当评估选择可能造成的后果并为此承担责任。
(2)透明度(Transparency):消费者有权无障碍地理解和获取有关隐私及其安全保障的信息。在最有利于消费者理解隐私风险和实施个人控制的时间和地点,企业应当清楚地说明如下信息:收集个人数据的种类;收集个人数据的原因;所收集的个人数据的用途;在何种条件下删除数据或者删除数据中消费者的身份信息;是否与第三方分享个人数据以及分享的目的等。法案重点要求企业公开与个人数据原定使用情境不一致的行为,公开与消费者的预期不一致的个人数据使用行为。企业所采取的通知形式,应当使消费者能够在获取企业服务的同时在所使用的设备上进行阅读。不与消费者接触的企业,应当详细告知消费者收集、使用以及公开个人数据的情况。
(3)情境一致(RespectforContext):消费者有权期望企业收集、利用和公开个人信息的方式与其提供信息时的情境协调一致。企业使用、公开个人数据应当具有特定目的,并且该目的应当和他们向消费者公开说明与消费者合理预期的目的相符,并以实现这些目的为限使用、公开数据。如果不相符,企业应当以消费者容易作出反应的方式,进行突出说明。此外,法案特别要求对从儿童和青年处获得的数据应该给予比成人更大的保护。
2、数据保存与处理的安全责任
(1)安全(Security):消费者有权要求自己的数据得到安全和负责任的处理。企业应当结合自身在个人数据领域的实践,评估隐私和安全风险,同时必须采取合理的安全措施以防范可能出现的风险,如数据丢失,数据非法获取、使用、损坏或修改,数据的不适当公开等。
(2)接入权与准确性(AccessandAccuracy):个人数据有误时,在与数据敏感性,以及与数据错误可能对消费者带来不利影响的风险性相适应的情况下,消费者有权获取进而更正以可用格式存在的个人数据。企业应当采取合理措施确保其保存的是准确的个人数据。
(3)收集控制(FocusedCollection):消费者有权合理限制企业对个人信息的收集和保存。企业应当根据其实现特定目的的需要确定收集数据的范围,在不需要个人数据后应当以安全方式删除个人数据或者清除个人数据中的身份信息。
3、事后问责制
问责制(Accountability):消费者有权将个人信息交予会对信息采取适当措施的企业进行处理,以确保企业遵守法案的有关规则。企业应当对其雇员进行培训以使其在合规情况下利用个人数据,并定期据此进行绩效评估。企业还应当进行全面的内控监督,以确保数据使用在合理范围内。除法律另有规定,企业如将个人数据向第三方公开,至少应当确保接收这些数据的企业承担遵守法案原则的合同义务。问责制下,不仅公司内部需要控制和问责机制,更要对消费者和执法机构承担外部责任。可以看出,《消费者隐私权利法案》提出了十分详细具体的问责事由,涵盖企业员工行为控制、内部数据使用监督、向第三方公开数据等方面,使事后问责更为明确具体。
在《消费者隐私保护报告》中,美国政府认为消费者个人数据保护是当前大数据环境下最普遍存在的问题。报告呼吁,鉴于《消费者隐私权利法案》吸纳了世所公认的隐私权保护原则,国会应当通过制定相关立法,将法案中的相关内容应用于隐私法未能涉及的商业领域。可见,《消费者隐私权利法案》的做法–强化”告知与同意”框架,注重企业自律,强调事后责任–代表了美国政府解决大数据时代隐私保护问题的一般思路。
(三)推进隐私保护执法与国际合作
除政策与立法之外,美国政府还主张加大隐私保护执法力度,推进隐私保护的国际合作。《消费者隐私保护报告》主张,应当支持并授予联邦贸易委员会职权,使其能够为执行行为准则的企业提供更为确定的预期。第一,联邦贸易委员会应当有权就企业行为准则是否违反《消费者隐私权利法案》进行审查,并且引导多方主体参与制定联邦贸易委员会的执法准则,以便其能正确做出审查判断。第二,授予联邦贸易委员会为遵守许可的行为准则的企业提供”安全港”的权力,即给予相关企业免予执行《消费者隐私权利法案》立法文本的豁免。此外,报告还呼吁国会授予更多政府部门以保护隐私权利的职能。
在推进国际合作方面,各国应当做到:(1)相互承认。各国应当在隐私权与个人数据保护的基本价值取得一致意见的基础上,以有效的执法和企业问责制为条件,承认彼此的隐私保护框架。(2)多方参与程序和行为准则制定。大数据的运行是全球化的,多方主体参与程序和行为准则制定,较之传统的政府规制具有一定的优越性。(3)执法合作。美国联邦贸易委员会与其他国家的类似机构进行合作,创建”国际隐私执法网络”,显著提升各国各法域的数据隐私法律规则的运作效率。
六、结语
从大数据对隐私保护参与主体的影响来看,普通公民作为数据的提供方,其地位与其他主体不对等程度逐渐加大。大数据技术对公民隐私权的侵犯在大多数情况下也防不胜防。从美国政府的应对策略来看,除非依靠法律规则下的企业自律,公民只能等待在权利受到侵犯时依靠事后救济来保护自身利益,而这无疑是消极被动的。暂不考虑技术因素,究其原因在于,美国政府将保护和促进大数据技术发展,以求维持美国的领先地位放在更为重要的位置上。大数据技术并非已经是一个时代的既有产物,而是正蓬勃发展,方兴未艾。可以预见的是,未来技术进步将为隐私保护法律带来更多的挑战,大数据时代的隐私保护,将是长期存在并有待解决的难题。