2012年2月,美国白宫发布《网络世界中消费者数据隐私权:在全球数字化经济环境下保护隐私权与促进创新的新体系框架》(Consumer Data Privacy in a Networked World:A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy)。[55]该报告的中心内容是《消费者隐私权法案》(Consumer Privacy Bill of Rights)。[56]报告体现出在信息技术飞速发展的大数据时代,美国应对隐私问题的做法,并对《消费者隐私权法案》的立法理念和主要内容进行了介绍。奥巴马称:“美国消费者不能再等下去了,现在必须制定明确的法律条文,确保他们的个人信息在网络上的安全性。”他同时还提到:“随着互联网的发展,消费者的信赖成为数字经济持续发展不可或缺的一个组成部分。这就是《消费者隐私权法案》如此重要的原因。”[57]
这份报告中的“隐私”蓝图涉及如下四个方面的关键性内容:第一,《消费者隐私权法案》构建在公平信息实践法则的基础之上;第二,推进并强化市场参与者在商业环境下遵循《消费者隐私权法案》的原则,并尽快形成执行细则;第三,促进隐私保护条款的有效执行并推动保护消费者隐私权立法基准的出台;第四,加强各国数据跨境传输的可操作性,促进与信息跨境流动相关的个人信息保护制度的建构。
报告中的《消费者隐私权法案》提出了7项保护消费者隐私的原则(个人自主控制原则、透明度原则、情境一致原则、安全原则、可访问性与准确性原则、限制收集原则、问责制原则),涵盖以下三大方面的主要内容:
(一)对“告知与同意”框架的强化
强化“告知与同意”框架涉及三项原则:个人自主控制原则、透明度原则和情境一致原则。
个人信息的自我控制指的是个人有权决定自身信息将如何被收集、如何被公开、如何被利用。法案规定企业应赋予消费者选择权,使消费者有权对个人信息进行有效控制。当数据的处理、使用会对消费者造成重大影响时,即便没有与消费者直接接触的第三方,在处理、利用消费者信息的活动中也应赋予消费者选择权。与此同时,负责采集数据的企业也应承担相应的义务。当数据会交给第三方进行处理时,数据采集方应对第三方进行背景调查,调查内容包括第三方将如何使用消费者数据,是否会对消费者数据进行二次使用及是否赋予消费者相应的选择权。消费者应享有便捷的撤销授权的权利,且此项权利应与对数据信息的使用授权一样,操作起来简便、易行。
透明度指的是:消费者有权无障碍地以简单且令人易于理解的方式获取有关隐私及安全保障的信息。透明度显然是针对企业的一项义务。具体而言企业负担如下的说明义务:收集个人信息的种类、原因、用途、目的;何种情形下会对消费者信息进行匿名化处理,何种情形下会删除消费者信息;是否向第三方披露或分享消费者信息,披露或分享的目的等。
企业使用个人信息应当具有特定目的。情境一致指企业利用、披露个人信息的目的,应与其采集消费者信息时向消费者说明的目的相一致,并符合消费者的合理预期。信息的处理与利用以实现信息采集时的目的为限。如果一开始信息处理与利用就会超越信息处理的特定目的,则企业应以消费者容易理解的方式,突出说明,取得消费者的同意。《消费者隐私权法案》还要求,在信息处理活动中,与原定信息使用情境不一致、不符合消费者隐私合理期待的信息处理行为,需要重新取得消费者的同意。企业采取的通知形式应使消费者能在获取企业服务的同时,在所使用的通用设备上进行阅读。
(二)信息保存与处理中对安全的要求
安全、可访问性、准确性、限制收集原则构成了对信息保存、处理中安全性的要求。
安全原则是指企业应负责任且安全地处理消费者的个人信息,结合自身处理个人信息的实践,评估安全隐患与隐私风险,并采取合理的安全措施防范可能出现的如信息非法获取、非法使用、损坏、篡改,不恰当公开、信息丢失等风险。
可访问性与准确性原则是指当数据信息存在错误、不准确,可能对消费者的权益产生不利影响时,消费者有权查阅并更正错误的、不准确的个人信息。企业应采取合理的措施确保其留存的个人信息的准确性。(www.xing528.com)
限制收集的意涵是指消费者有权合理地限制企业对其个人信息的采集与保存。企业应在合理的限度内采集与保存用户的数据信息,根据实现特定目的的需要确定采集信息的范围。在不需要个人信息后,应以安全方式删除个人信息或抹去个人信息中的身份信息。
(三)问责制
采集、处理个人信息的企业有义务采取相应的安全防范措施以确保其对客户信息的保护符合法案的要求。为使员工能够在合乎规定的情况下使用个人信息,企业负担员工培训的义务,并定期对此进行评估。此外,为了确保信息在合理范围内被使用,当企业需要向第三方披露个人信息时,企业需确保第三方承担遵守法案原则的合同义务。法案从员工行为控制到内部数据使用监督再到向第三方披露信息等方面,列出了具体详细的问责事由。法案的规定使得问责制变得更为具体明确。[58]
在大数据环境下,美国政府认为消费者个人信息保护是当下最普遍存在且最需解决的问题。《消费者隐私权法案》借鉴了“公平信息实践法则”的规定。与要求企业遵循一系列专一、严格的条令不同,法案赋予企业自主决定如何实施这些条令的权利。为确保数据的收集与使用以符合消费者期望的方式进行,《消费者隐私权法案》提出了情境一致原则,并将这一原则与其他六大原则相互配合,为信息控制者、处理者处理信息提出标准与要求。
《消费者隐私权法案》强化了“告知与同意”框架,关注消费者个人信息的保护,注重企业自律,强调事后问责,这成为美国政府解决大数据时代隐私保护问题的路径选择。鉴于互联网的全球性和复杂性,制定及时、可发展的创新支持政策将势在必行。为此,所有的利益相关者都应参与到制定相应行为准则的活动中来,以便为《消费者隐私权法案》运用于具体的商业环境提供明确的规范指引。有评论认为,通过广泛基准原则与具体行动守则的相互配合,《消费者隐私权法案》能在支持创新的同时更好地维护消费者利益。
(四)各方对《消费者隐私权法案》的意见
在信息化时代,经济发展愈发受数据的影响,而数据挖掘也愈加普遍与频繁。即便部分公司和企业出于责任感在其产品与服务中进行默认的个人隐私保护的设置,但对个人数据信息遭受威胁的担忧仍然普遍存在。[59]2015年2月27日,美国白宫公布了修订后的《消费者隐私权法案》。[60]在起草该法案的联邦贸易委员会内部仍然不乏对这部旨在保障消费者隐私的专门性法案的反对之声,在外部这部法案也招致了各方的批评和反对意见。[61]有意见直言不讳地指出,法案为消费者隐私保护问题的探讨提供了良好的开端,政府对消费者隐私保护问题的重视也显而易见,但这份法案似乎并不能为消费者提供强有力的保护,这当中还需要立法、行政部门的配合以改进与完善该法案的施行。[62]
《消费者隐私权法案》要求收集、处理消费者数据信息的行业遵循美国联邦贸易委员会的强制性要求,制定隐私保护的实施细则。有研究指出,此模式下,收集、利用、分享、披露数据信息的行为仍可持续,这在实际上并不能起到保护消费者隐私信息的作用。[63]
有观点指出,“《消费者隐私权法案》并未授予美国联邦贸易委员会制定规则并为消费者提供合理保障措施的权力。与此同时,它将该项权力让渡给无时无刻不在收集用户海量数据信息的互联网公司与相关行业”[64]。如果该项法案得到支持,那么官方机构的相关能力可能受限,因为“无论是监管机构还是互联网用户,都无法逐条浏览每一个互联网公司制定的冗长的隐私保护细则”[65],这一点正是那些倡导隐私保护人士的担忧之一。另一项担忧则是,鉴于美国部分州的隐私保护规定相对比较严格,法案获得支持后可能会取代一些州制定的更为严格的隐私保护法案。
另外,一些与信息技术产业相关的利益集团对法案做出了与上述意见截然相反的评价。比如“个人隐私未来论坛”组织的执行主任波罗奈特斯基(Jules Polonetsky)认为,法案在评估数据信息采集、处理风险与促进信息合理流动产生的收益之间,在数据信息的优先使用权方面,在建立隐私审查委员会以确保在法律允许的范围内收集与使用消费者信息方面,都将起到切实的推进作用。
尽管各界对2015年《消费者隐私权法案》的出台褒贬不一,但微软首席隐私官林奇(Brendon Lynch)表示,无论如何这都是一个良好的征兆和开始,因为人们开始为之对话,并展开讨论。该套法案在现阶段只处于商讨阶段,其中一些方面受到批评,这些不足可能会在未来被调整与修订。[66]
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。