徐暢

摘要：目前，全球范圍內(nèi)已有多個(gè)國家或地區(qū)的相關(guān)法律制度涉及對(duì)個(gè)人信息的保護(hù)，歐盟、美國、日本等司法轄區(qū)更是高度重視大數(shù)據(jù)技術(shù)帶來的個(gè)人信息安全問題，探討大數(shù)據(jù)時(shí)代對(duì)個(gè)人信息或隱私的現(xiàn)實(shí)影響和潛在威脅并采取積極法律保護(hù)措施具有重大意義。

關(guān)鍵詞：大數(shù)據(jù)；個(gè)人信息法律保護(hù)

中圖分類號(hào)：D923

DOI：10.13784/j.cnki.22-1299/d.2018.01.001

一、歐盟網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的法律制度

歐盟主要采取統(tǒng)一立法的模式對(duì)網(wǎng)絡(luò)用戶的個(gè)人信息進(jìn)行保護(hù)，即對(duì)公私領(lǐng)域的個(gè)人信息進(jìn)行統(tǒng)一規(guī)范、統(tǒng)一立法。1995年歐盟通過了《關(guān)于個(gè)人數(shù)據(jù)處理與數(shù)據(jù)自由流通的保護(hù)指令》（“歐盟個(gè)人數(shù)據(jù)保護(hù)指令”），歐盟個(gè)人數(shù)據(jù)保護(hù)指令明確了與“個(gè)人數(shù)據(jù)”相關(guān)的核心隱私原則，包括數(shù)據(jù)質(zhì)量原則（以目的限制、數(shù)據(jù)最小化、準(zhǔn)確性和完整性為特征）、同意原則、透明度原則、保密性原則和安全性原則。除了這些核心原則，歐盟個(gè)人數(shù)據(jù)保護(hù)指令也旨在確保個(gè)人數(shù)據(jù)在歐盟內(nèi)的自由流動(dòng)。歐盟個(gè)人數(shù)據(jù)保護(hù)指令存在的主要問題，一是過于依賴知情選擇原則。經(jīng)驗(yàn)研究表明個(gè)人通常不會(huì)閱讀也不理解隱私政策，而且隱私政策中的模糊語言容易被企業(yè)利用，導(dǎo)致知情選擇原則事實(shí)上是空洞的，沒有實(shí)際效果。二是歐盟個(gè)人數(shù)據(jù)保護(hù)指令雖然有數(shù)據(jù)最小化原則，但現(xiàn)實(shí)中幾乎沒有數(shù)據(jù)保護(hù)機(jī)構(gòu)迫使技術(shù)公司重新設(shè)計(jì)其軟件、硬件或業(yè)務(wù)流程以最小化數(shù)據(jù)處理或使數(shù)據(jù)主體匿名使用此類系統(tǒng)的實(shí)例。三是技術(shù)能力在不斷改進(jìn)和擴(kuò)張，個(gè)人創(chuàng)建、共享和使用個(gè)人數(shù)據(jù)的方式在不斷變化，而歐盟個(gè)人數(shù)據(jù)保護(hù)指令卻沒有跟上全球互聯(lián)網(wǎng)技術(shù)發(fā)展的步伐。

2012年歐盟出臺(tái)了《一般數(shù)據(jù)保護(hù)條例》，該條例對(duì)1995年出臺(tái)的歐盟個(gè)人數(shù)據(jù)保護(hù)指令的內(nèi)容進(jìn)行更新，譬如擴(kuò)大了數(shù)據(jù)控制者和處理者的說明責(zé)任，引入了被遺忘權(quán)（Right to Be Forgotten）和數(shù)據(jù)遷移權(quán)等等。

2016年歐盟通過的《個(gè)人數(shù)據(jù)保護(hù)一般規(guī)則》是目前世界范圍內(nèi)針對(duì)個(gè)人信息保護(hù)立法水平最高、保護(hù)力度最大的一部法律。與舊法相比，其新增或調(diào)整的主要條款有：將法律適用的主體范圍擴(kuò)大至境外企業(yè)；增加了透明度原則和最少夠用原則；增加了被遺忘權(quán)和數(shù)據(jù)的遷移權(quán)；提高了處罰力度。例如，該規(guī)則第5條規(guī)定了數(shù)據(jù)處理的基本原則，處理個(gè)人數(shù)據(jù)應(yīng)當(dāng)滿足：（1）合法、正當(dāng)、透明；（2）處理數(shù)據(jù)的目的是有限的；（3）僅處理為達(dá)到目的的最少數(shù)據(jù)；（4）確保數(shù)據(jù)準(zhǔn)確、時(shí)新；（5）儲(chǔ)存數(shù)據(jù)的期限不得長于為達(dá)到目的所需的時(shí)間。第17條還規(guī)定了學(xué)者們熱烈討論的被遺忘權(quán)。該條例為全球范圍內(nèi)的其他國家或地區(qū)樹立了個(gè)人信息保護(hù)高標(biāo)準(zhǔn)的法律模板，其他國家可能需要緊跟歐盟的立法步伐，以免在數(shù)據(jù)保護(hù)和利用方面受制于人；另外，由于數(shù)據(jù)保護(hù)的高標(biāo)準(zhǔn)，監(jiān)管力度之大和處罰之嚴(yán)格，很可能使企業(yè)負(fù)擔(dān)過多的運(yùn)營成本。

二、美國網(wǎng)絡(luò)用戶個(gè)人信息保護(hù)的法律制度

美國對(duì)于網(wǎng)絡(luò)用戶的個(gè)人信息既有立法上的保護(hù)，又有行業(yè)自律上的規(guī)制。在立法上，美國沒有一部統(tǒng)一的法律保護(hù)個(gè)人信息，它是在各個(gè)不同的領(lǐng)域通過立法來調(diào)整個(gè)人信息保護(hù)的規(guī)范事項(xiàng)。美國保護(hù)個(gè)人信息的立法文件主要有：1974年美國的《隱私法》（Privacy Act）規(guī)定了聯(lián)邦機(jī)構(gòu)應(yīng)限制個(gè)人信息的披露；《公平信用報(bào)告法》（Fair Credit Reporting Act）規(guī)范私人機(jī)關(guān)收集、儲(chǔ)存和處理個(gè)人信息；《電腦資料比對(duì)與隱私保護(hù)法》（Computer Matching Privacy Protection Act of 1988）對(duì)自動(dòng)化處理中的個(gè)人信息予以保護(hù)。傳統(tǒng)上，美國民事隱私保護(hù)工作側(cè)重于規(guī)范三個(gè)主要活動(dòng)：信息收集、處理和披露。例如，1986年《電子通信隱私法》（ECPA）禁止未經(jīng)授權(quán)收集通信內(nèi)容；《公平信用報(bào)告法》禁止為某些目的使用財(cái)務(wù)記錄；1988年《視頻隱私保護(hù)法》禁止披露視頻租賃記錄。

除了立法文件外，如聯(lián)邦貿(mào)易委員會(huì)、商務(wù)部、能源部等政府機(jī)構(gòu)，也在專門領(lǐng)域提出了相關(guān)的指導(dǎo)性報(bào)告和規(guī)范性文件。例如美國聯(lián)邦貿(mào)易委員會(huì)（FTC）提出了“通知與選擇”（Notice and Choice）的模式來規(guī)范業(yè)界的行為。

美國公民自由聯(lián)盟（ACLU）是對(duì)隱私的堅(jiān)定倡導(dǎo)者，其認(rèn)為新技術(shù)的發(fā)展和個(gè)人隱私保護(hù)不是水火不容的關(guān)系，二者是可以共存的。保護(hù)公民的在線隱私是合理和必要的，政府應(yīng)該幫助確定美國公民隱私保護(hù)的邊界。云安全聯(lián)盟（Cloud Secure Alliance，CSA）是一個(gè)非營利性組織，它致力于推廣云計(jì)算安全保障的最佳做法，它還創(chuàng)建了一個(gè)大數(shù)據(jù)工作組，以應(yīng)對(duì)大數(shù)據(jù)的安全服務(wù)問題。CSA將不同的安全和隱私挑戰(zhàn)分類為大數(shù)據(jù)生態(tài)系統(tǒng)的四個(gè)不同方面，即基礎(chǔ)設(shè)施安全、數(shù)據(jù)隱私、數(shù)據(jù)管理、完整性和反應(yīng)性安全。

2012年，奧巴馬政府為了應(yīng)對(duì)網(wǎng)絡(luò)時(shí)代的高速發(fā)展和大數(shù)據(jù)的挑戰(zhàn)，以及恢復(fù)消費(fèi)者的信任，頒布了《消費(fèi)者隱私權(quán)法案》（Consumer Privacy Bill of Rights），為互聯(lián)網(wǎng)企業(yè)在透明度、安全性和用戶個(gè)人數(shù)據(jù)控制上提供了指南。消費(fèi)者隱私權(quán)法案要求：個(gè)人控制，消費(fèi)者有權(quán)控制何種個(gè)人信息被收集以及個(gè)人信息以何種方式進(jìn)行使用；透明度，消費(fèi)者有權(quán)獲得關(guān)于隱私和安全事項(xiàng)的信息；情境一致，消費(fèi)者有權(quán)要求公司收集、使用、披露個(gè)人信息的方式與消費(fèi)者提供數(shù)據(jù)的方式相一致；安全性，消費(fèi)者有權(quán)要求數(shù)據(jù)處理的安全性；訪問權(quán)和更正權(quán)，如果數(shù)據(jù)的不準(zhǔn)確會(huì)導(dǎo)致數(shù)據(jù)的敏感性問題或者給消費(fèi)者帶來不良后果，則消費(fèi)者有權(quán)以合適的方式對(duì)數(shù)據(jù)進(jìn)行更正；重點(diǎn)收集，消費(fèi)者有權(quán)合理限制公司對(duì)個(gè)人數(shù)據(jù)量的收集；問責(zé)制，消費(fèi)者有權(quán)要求公司以合理方式處理個(gè)人信息時(shí)符合消費(fèi)者隱私權(quán)法案的要求。

2012年3月26日，F(xiàn)TC發(fā)布了保護(hù)美國消費(fèi)者隱私和在個(gè)人數(shù)據(jù)的收集使用上賦予美國消費(fèi)者更多控制權(quán)的最終報(bào)告。該報(bào)告題為“在快速變革的時(shí)代保護(hù)消費(fèi)者隱私：對(duì)企業(yè)和政策制定者的建議”，針對(duì)消費(fèi)者不知情的情況下的數(shù)據(jù)的收集和共享，提出了消費(fèi)者隱私的保護(hù)框架，擴(kuò)展了2010年12月公布的初步工作人員報(bào)告。FTC還建議美國國會(huì)考慮制定一般的隱私立法，數(shù)據(jù)安全和違約通知作業(yè)的立法和數(shù)據(jù)經(jīng)紀(jì)人立法。FTC的隱私報(bào)告號(hào)召企業(yè)用以下措施來保護(hù)消費(fèi)者隱私，其中包括：企業(yè)在開發(fā)產(chǎn)品的每一個(gè)階段都應(yīng)建立對(duì)消費(fèi)者的隱私保護(hù)機(jī)制。這些措施包括保障消費(fèi)者數(shù)據(jù)合理安全、對(duì)消費(fèi)者數(shù)據(jù)進(jìn)行有限收集、數(shù)據(jù)保留以及利用合理的程序促進(jìn)數(shù)據(jù)的準(zhǔn)確性。為企業(yè)和消費(fèi)者簡化選擇，企業(yè)應(yīng)該給予消費(fèi)者何種信息可以被共享的選擇權(quán)。這些措施包括拒絕追蹤機(jī)制，這是消費(fèi)者能控制自己在線活動(dòng)的一種簡單方法。更高的透明度，企業(yè)應(yīng)披露其收集和使用消費(fèi)者信息的詳細(xì)信息，并為消費(fèi)者提供對(duì)收集數(shù)據(jù)的訪問權(quán)。