2014年5月,美国总统执行办公室(Executive Office of the President)发布2014年全球”大数据”白皮书–《大数据:把握机遇,守护价值》(BigData: Seize Opportunities,Preserving Values)(以下简称《白皮书》),对美国大数据应用与管理的现状、政策框架和改进建议进行了集中阐述。从《白皮书》所代表的价值判断来看,美国政府更为看重大数据为经济社会发展所带来的创新动力,对于可能与隐私权产生的冲突,则以解决问题的态度来处理。从具体措施来看,《白皮书》援引美国总统科学和技术顾问委员会(以下简称”PCAST”)独立报告《大数据与个人隐私:一种技术的视角》一文提出,原有的”‘告知与同意’框架已经被大数据所带来的正面效益打败了”,应当根据大数据的时代特点予以调整。
一、《白皮书》出台的背景
大数据技术发展与隐私权保护的价值争议由来已久,在国际范围内主要体现为美国与欧盟政策取向的差异。在欧盟,个人数据被认为更具保护价值,因此欧盟及其成员国有着严格的个人数据保护立法。个人数据保护的主要执行机构包括:欧洲法院,是包括数据保护法在内的欧盟法律的最终裁决者;欧盟数据保护专员(EDPS),监督欧盟机构遵守数据保护法,同时对于欧盟层面数据保护政策的制定有着重大影响;第29条工作组,《欧盟数据保护指令》第29条规定:建立一个”在个人数据处理中保护个人的工作组”,一般称之为”第29条工作组”;第31条委员会,由欧盟成员国政府的代表组成;其他机构,如欧洲网络与信息安全局(ENISA)。
欧盟对侵犯个人数据的行为处罚措施十分严格,包括禁令救济,对公司工作场所和数据处理设施的稽查和调查,数额巨大的罚款,以及对于特大违法行为的刑事责任处罚等。除此之外,欧盟数据保护机构还会对侵犯个人数据的公司予以曝光,以增大惩戒力度。近年来,欧盟官方认为美国谷歌公司、苹果公司等搜索引擎与移动设备服务供应商通过提供服务非法获取、侵犯公民个人数据,曾多次表态要加强对有关企业的监管。而谷歌、苹果等企业也在对欧盟立法机构开展游说公关,以减轻可能面临的执法压力。
与之相对的,美国政府在大数据技术与隐私权保护之间更倾向于利用大数据技术促进经济社会发展,以保持美国在相关领域的领先地位。与此同时,美国政府希望以改良的政策框架与法律规则来解决隐私权保护的问题。由于大数据技术的发展运用将对隐私权保护构成严峻挑战,因此,越是希望鼓励大数据技术更广泛更科学的运用,越是应该通过政策、法律与技术加强公民隐私权利保护。正如《白皮书》指出,”大数据正改变世界,但它并没有改变美国人对于保护个人隐私、确保公平或是防止歧视的坚定信仰。”在此背景下,美国政府出台了《白皮书》及其他系列文件,系统阐述了美国政府大数据战略,并以政策与相关法案构建了其隐私权保护的基本框架。
二、”大数据时代”
对于”大数据”,《白皮书》并没有给出严格定义,而是指出其内涵将随着技术和产业的创新而不断发生变化。作为参考,其他定义都反映了不断增长的捕捉、聚合与处理数据的技术能力,而这个数据集也在数量、速率与种类上持续扩大。大数据的数据集是”庞大的、多样化的、复杂的、纵深的和/或分布式的,由各类仪器设备、传感器、网上交易、电子邮件、视频、点击流,以及现在与未来所有可以利用的数字化信号源产生”的数据合集。根据PCAST独立报告的研究,”大数据”真正的新颖与不同,在于”4V”–数据量(Volume)、时效性(Velocity)、多变性(Variety)、可疑性(Veracity),与传统数据采集分析模式不同,”大数据”采集是基于新型传感器等全新数据采集技术进行的。从网络应用、可穿戴技术到监测生命体征等特质的检测仪器,低成本高效率的数据采集带来数据体量的爆炸。数据格式也越发多样,对于所谓”天生模拟”的信号也可以被转化为数字格式(所谓”天生模拟”,即天生以模拟信号形式存在的信息。模拟信号主要是与离散的数字信号相对的连续信号。模拟信号分布于自然界的各个角落,如每天温度的变化)。信息传递技术与超强的计算机系统使得数据高速分析成为可能。”大数据”为金融业、医疗保健业等社会各行业,以及国家安全、社会干预等各个方面带来巨大改变,使数据资源的价值成倍放大。
“大数据”产生的最大问题,即数据能否可用以及运用的限度问题。具体表现为:数据收集变得无处不在,行为人难以察觉,收集主体告知义务难以有效监测;数据处理专业化、多样化增强,行为人难以控制自己的数据应用情境;原有数据储存方式受到挑战,数据泄露风险增大;大数据资源公开与共享诉求与隐私权相矛盾等等。对此,美国在原有隐私权政策与法律基础上,通过出台、修改立法,提出政策主张,发挥行业自律作用,构建起较为完善且独具特色的大数据环境下的隐私保护体系。
三、”隐私权”的挑战
美国隐私权在宪法层面体现为第四修正案,宪法保护”人民的人身、住宅、文件和财产不受无理搜查和扣押的权利”。正如PCAST独立报告第一部分指出,”隐私权”的法律概念在美国历史上经历了发现与演变的过程。从法律角度来看,美国法上的隐私权主要包括:
(1)公民个人保有秘密或者寻求隐匿的权利。该权利最初由布兰代斯(Brandeis)大法官在1928年Olmsteadv.UnitedStates案中提出。在本案中,Olmstead因私自酿酒被捕,指控其犯罪的证据中有窃听得来的证据,最高法院最终认定这种收集证据的手段没有第四和第五宪法修正案,可以合法使用。但持反对意见的布兰迪大法官认为,公民有”不受打扰的权利”,成为对隐私权的经典论断。该案件引起美国社会的广泛讨论,产生深远影响。1967年,在与上述案件案情相似的Katzv.UnitedStates案中,最高法院认定窃听手段获得的证据侵犯了公民的隐私权,予以撤销。公民个人保有秘密或寻求隐匿的权利不仅获得了确认,而且其保护空间也从住宅扩大到了所有的私人谈话与通讯过程。
(2)公民个人的匿名表达权,特别在政治意见领域。在Mclntyrev.OhioElectionCommission案中,美国联邦最高法院推翻了俄亥俄州有关禁止匿名分发竞选刊物的法规,并指出:匿名表达权对美国宪法的制定至关重要,它作为美国的重要传统而融入到美国历史之中。
(3)在私人信息脱离本人排他所有权之后,控制他人接触到这些信息的能力。例如在联邦贸易委员会”公平贸易实践原则”所呈现的,具体内容见下文第四部分所述。
(4)制止某些运用公民私人信息的消极结果。例如,以DNA信息为基础的就业歧视在2008年的《基因信息非歧视法案》中被禁止。
(5)个人做出私人决定而不受政府干涉的权利。主要包括个人健康领域,生育领域与性生活领域。
PCAST独立报告指出,在上述五个领域,隐私权与大数据应用之间都发生了冲突,并且这种冲突会持续发生。这种冲突的原因,在于大数据的数据收集技术使得公民个人失去对私人信息的有效控制,权利保障被极大削弱;原本并不涉及个人信息的数据可以通过大数据分析技术得出事关私人事务的信息,从而使公民个人难以察觉,更难以作出有效回应。
值得注意的是,自2010年起,奥巴马政府着手提出”我的大数据”计划措施,使美国人能够更好地获取利用自己的个人数据。主要包括:”兰纽扣”计划,允许消费者获取其健康信息,并与信息提供者进行交换;”创建副本”计划,允许纳税人获得自己的完整纳税记录及其他信息数据;”我的学生数据”,授权消费者查询自己的助学金等财务信息数据。通过该计划,奥巴马政府倡导公共数据的公开透明,并使公民能够获得自身数据。尽管这能够方便公众生活,改善政府治理,但在大数据技术环境下可能导致更大范围的信息泄露与非法利用。
此外,报告还分析了大数据的主要参与主体:政府、企业和公民。政府享有权力垄断并且缺乏竞争者,因此缺乏改进技术来保护公民隐私权的动力。在某些情况下,政府的执法需要甚至有可能成为侵犯公民隐私权的原因。企业可以从大数据中获得经济效益,尽管可能面临侵权受罚的风险,但这在目前来看是微不足道的,因此企业具有侵犯公民隐私权的动力。有足够动力保护隐私权的仅有公民一方。《白皮书》指出,大数据的发展本身就是非对称的过程,公民由于受到技术条件与有限知识水平约束,并不具备足够的保护自身数据隐私的能力。在这个非对称的时代中,公民的隐私权保护力量与市场主体的侵犯动力之间相差悬殊,”隐私权”的定义与保护方式都受到挑战。
四、原有数据应用下的隐私保护体系
美国保护隐私利益的法律框架,覆盖了宪法、联邦、各州等层面。最初,美国隐私权保护主要针对的是公权力对公民隐私权的侵犯,1934年《侵权法重述》则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因。计算机技术发展带来的数据隐私问题在1973年首次进入公众视野。美国卫生、教育与福利部发布了一份题为《录音、计算机与公民权利》(Records,Computers,andtheRightsofCitizens)的报告,分析了”自动化个人数据系统可能导致的不良后果”,并提出了广为人知的”公平信息实践法则”(FairInformationPracticePrinciples,简称为FIPPS),成为数据保护制度的基石。该法则规定个人有权知道他人收集了哪些关于他的信息,以及这些信息是如何被使用的;个人有权拒绝某些信息使用并更正不准确的信息;信息收集组织有义务保证信息的可靠性并保护信息安全。这些内容成为1974年《隐私法案》的基础,并被其他国家和国际组织所接受。
20世纪80年代,美国根据行业特点,专门制定了行业隐私法律,为以侵权行为为基础的习惯法提供了补充:
(1)金融领域:《金融隐私权法案》(TheRighttoFinancialPrivacyAct,RFPA),对银行雇员披露金融记录及联邦立法机构获得个人金融记录的方式进行限制;《金融服务现代化法案》(FinancialServicesModernizationActof1999)要求金融机构尊重客户隐私并保护客户非公共信息的安全与机密;
(2)保险领域:《健康保险隐私及责任法案》(TheHealthInsurancePortabilityandAccountabilityActof1996,HIPAA),规定个人健康信息只能被特定的、法案中明确的主体使用并披露,个人可以控制了解其本人的健康信息,但要遵循一定程序标准;
(3)电视领域:《有线通讯隐私权法案》(CableCommunicationPolicyAct),禁止闭路电视经营者在未获得用户事先同意情况下利用有线系统收集用户的个人信息;《电视隐私保护法案》(CableTVPrivacyActof1984),将隐私权保护范围扩展到录像带销售或租赁公司的顾客;
(4)电信领域:1996年《电讯法》(TelecommunicationAct),规定电讯经营者有保守客户财产信息秘密的义务;
(5)消费者信用领域:《公平信用报告法》(TheFairCreditReportingAct),该法属于消费者保护法系列,规定了消费者个人对信用调查报告的权利,规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项,明确了消费者信用调查机构的经营方式;
(6)儿童隐私保护领域:《儿童在线隐私权保护法案》(TheChildren’sOnlinePrivacyProtectionAct,COPPA),规定了网站经营者必须向其父母提供隐私权保护政策的通知,以及网站对13岁以下儿童个人信息的收集和处理原则与方式等。
总括来看,传统的信息保护方案主要遵循”公平信息实践法则”,基本安排是”告知与同意”框架,并按照行业领域进行细分。但在大数据时代,原有的保护方案具有较大局限性:第一,数据收集技术的发展,使得数据可以不再以显性方式进行收集,数据行为人难以察觉;第二,数据服务企业的兴起,许多数据服务企业并不在原有法律规则监管范围内;第三,行业数据之间界限的模糊,一项购物习惯数据可能同时显示出行为人的金融行为数据;第四,第三方数据储存与云计算被广泛运用,而这些第三方机构并不与消费者直接接触,信息的储存与责任承担成为潜在问题;第五,传统信息保护方案与奥巴马政府回应大数据公开诉求的相关政策存在潜在冲突。
因此,大数据时代的美国隐私保护政策与法律,重点关注的是更具普遍适用意义的、更符合大数据运作特点的、不会限制大数据技术和应用发展的、更具可操作性的方案。
五、”大数据时代”的隐私保护
针对大数据的特点,美国政府提出了在不阻碍大数据发展的情况下,解决隐私权保护问题的基本方案,涉及政策调整、法律制定与技术革新等多个方面。