1美國
2010 年12 月,美國商務部也發表了一份題為“commercial data privacy and innovation in the interneteconomy: adynamic policy framework”(網際網路經濟中的商業資料隐私與創新:動态政策架構)的長達88 頁的報告。在這份報告指出,為了對線上個人資訊的收集進行規範,需要出台一部“隐私權法案”,并提議設立隐私政策辦公室(privacy policy office),在隐私問題上對國内外的相關利益方進行協調。
目前,在美國存在用于保護資産資料、醫療資料(病曆、治療記錄等)等特定隐私資訊的法律,但并沒有一部全面的隐私保護相關法律。是以,這份報告提出:“沒有強制性的自主規範是不充分的,要恢複消費者的信任,尤其是在對個人資訊進行收集、利用的經營者層出不窮的現在,我們迫切需要一部隐私權法案。”
受這份報告的影響,2012 年2 月23 日,之前提到過的“consumerprivacy bill of rights”(消費者隐私權法案)正式頒布。這項法案中,對消費者的權利進行了如下具體的規定。
(1)個人控制:對于企業可收集哪些個人資料,并如何使用這些資料,消費者擁有控制權。
對于消費者和他人共享的個人資料,以及企業如何收集、使用、披露這些個人資料,企業必須向消費者提供适當的控制手段。為了能夠讓消費者做出選擇,企業需要提供一個可反映企業收集、使用、披露個人資料的規模、範圍、敏感性,并可由消費者進行通路且易于使用的機制。
例如,通過收集搜尋引擎的使用記錄、廣告的浏覽記錄、社交網絡的使用記錄等資料,就有可能生成包含個人敏感資訊的檔案。是以,企業需要提供一種簡單且醒目的形式,使得消費者能夠對個人資料的使用和公開範圍進行精細的控制。
此外,企業還必須提供同樣的手段,使得消費者能夠撤銷曾經承諾的許可,或者對承諾的範圍進行限定。
(2)透明度:對于隐私權及安全機制的相關資訊,消費者擁有知情、通路的權利。
前者的價值在于加深消費者對隐私風險的認識并讓風險變得可控。為此,對于所收集的個人資料及其必要性、使用目的、預計删除日期、是否與第三方共享以及共享的目的,企業必須向消費者進行明确的說明。
此外,企業還必須以在消費者實際使用的終端上容易閱讀的形式提供關于隐私政策的告知。特别是在移動終端上,由于螢幕尺寸較小,要全文閱讀隐私政策幾乎是不可能的。是以,必須要考慮到移動終端的特點,采取改變顯示尺寸、重點提示移動平台特有的隐私風險等方式,對最重要的資訊予以顯示。
(3)尊重背景:消費者有權期望企業按照與自己提供資料時的背景相符的形式對個人資訊進行收集、使用和披露。
這是要求企業在收集個人資料時必須有特定的目的,企業對個人資料的使用必須僅限于該特定目的的範疇,即基于fipp(fair informationpractice principls,公平資訊行為原則)的聲明。
從基本原則上說,企業在使用個人資料時,應當僅限于與消費者披露個人資料時的背景相符的目的。另一方面,也應該考慮到,在某些情況下,對個人資料的使用和披露可能與當初收集資料時所設想的目的不同,而這可能成為為消費者帶來恩惠的創新之源。在這樣的情況下,必須用比最開始收集資料時更加透明、醒目的方式來将新的目的告知消費者,并由消費者來選擇是允許還是拒絕。
(4)安全:消費者有權要求個人資料得到安全保障且負責任地被使用。
企業必須對個人資料相關的隐私及安全風險進行評估,并對資料遺失、非法通路和使用、損壞、篡改、不合适的披露等風險維持可控、合理的防禦手段。
(5)通路與準确性:當出于資料敏感性的因素,或者當資料的不準确可能對消費者帶來不良影響的風險時,消費者有權以适當的方式對資料進行通路,以及提出修正、删除、限制使用等要求。
企業在确定消費者對資料的通路、修正、删除等手段時,需要考慮所收集的個人資料的規模、範圍、敏感性,以及對消費者造成經濟上、實體上損害的可能性等。
(6)限定範圍收集:對于企業所收集和持有的個人資料,消費者有權設定合理限制。
企業必須遵循第三條“尊重背景”的原則,在目的明确的前提下對必需的個人資料進行收集。此外,除非需要履行法律義務,否則當不再需要時,必須對個人資料進行安全銷毀,或者對這些資料進行身份不可識别處理。
(7)說明責任:消費者有權将個人資料交給為遵守“消費者隐私權法案”具備适當保障措施的企業。
企業必須保證員工遵守這些原則,為此,必須根據上述原則對涉及個人資料的員工進行教育訓練,并定期評估執行情況。在有必要的情況下,還必須進行審計。
在上述7 項權利中,對于準備運用大資料的經營者來說,第三條“尊重背景”是尤為重要的一條。例如,如果将線上廣告商以更個性化的廣告投放為目的收集的個人資料,用于招聘、信用調查、保險資格審查等目的的話,就會産生問題。
此外,facebook 等社交網絡服務中的個人檔案和活動等資訊,如果用于facebook 自身的服務改善以及新服務的開發是沒有問題的。但是,如果要對第三方提供這些資訊,則必須以醒目易懂的形式對使用者進行告知,并讓使用者有權拒絕向第三方披露資訊。
奧巴馬政府計劃與美國國會進行磋商,以期制定一部授予負責保護消費者的ftc 強制力來保護消費者隐私的法律。
2歐盟
對于行為定向廣告等通過cookie 等方式收集使用者行為記錄的行為,在歐盟是通過電子隐私指令(e-privacy directive)來進行管理的。
這一指令是2002 年制定的,當初采用的是主動退出(opt-out)方式,即隻要向使用者提供其明确的使用目的及完整的資訊,就允許使用使用者終端上存儲的資訊,但必須對使用者提供可拒絕使用的權利。
然而,2009 年這一指令進行了修訂,改為采用主動許可(opt-in)的方式來執行,即隻有在向使用者提供其明确的使用目的及完整的資訊,并事先獲得使用者許可的情況下,才允許使用使用者終端上存儲的資訊。
對主動許可方式的采用,自然而然地引起了線上廣告業界的強烈反對。随後,以歐盟廣告行業組織easa(the european advertisingstandards alliance)和iab(interactiveadvertising bureau europe)為首,于2011 年4 月制定了一項以主動退出方式為基礎的行業自主規範原則easa best practice recommendation on online behavioural advertising(easa 關于線上行為廣告的最佳實踐建議)。
不過,對于這一行業自主規範提案,歐盟資料保護工作組根據“資料保護指令”第29 條,于2011 年12 月出具了一份持反對态度的意見書“opinion 16/2011 on easa/iab best practice recommendation ononlinebehavioural advertising”,這一姿态意味着向整個行業說no。
歐盟一直以來奉行嚴格保護消費者隐私的政策,鑒于這一點,他們對于線上行為定向廣告采用與美國不同的主動許可方式,也就可以了解了。
資料保護指令同樣面臨修訂
剛才提到的“電子隐私指令”的基礎,就是“資料保護指令”,而後者是在網際網路剛剛興起的1995 年制定的。毋庸置疑,在制定該指令的時候,不可能考慮到雲計算、sns、位置資訊等服務的存在。于是,歐盟正在對該指令進行修訂,并與2012 年1 月末發表了修訂草案。下面我們來介紹一下草案中幾個主要的修訂之處。
(1)引入“被遺忘的權利”
對于使用者的姓名、電子郵件位址、照片、在sns 上釋出的消息、使用的銀行資訊、健康資訊、計算機的ip 位址等個人資料,當使用者要求删除這些資料時,除非經營者有諸如報道目的等正當理由,否則必須從伺服器上删除。
舉個例子,比如在學生時代釋出到facebook 上面的資訊,在找工作的時候可能會帶來不利的影響,使用者可以要求删除這些資訊。
(2)在沒有明确征得使用者同意的情況下,禁止處理個人資料
在經營者使用使用者資料時,必須以明确、易懂的形式将其目的事先告知給使用者,并征得使用者的同意。
(3)“資料可轉移權”的制定
經營者必須允許使用者容易地通路自己的資料,并允許使用者将自己的資料從一個服務提供商轉移到另一個服務提供商,比如在sns 之間轉移資料等情況。
(4)說明責任的擴大
使用個人資料的經營者,在對資料保護進行風險評估的同時,如果企業員工數量超過250 人,必須設定一名資料保護官(data protectionofficer)。
此外,privacy by design(即在服務設計開發階段就要具備隐私功能)和privacy by default(即隐私的預設設定為“不公開”)原則也是必需的條件。
如果違反上述條款,将被處以100 萬歐元,或者最高相當于公司全球營業額2% 的罰金。
在過去,個人資訊一旦在網絡上流出,就很難靠自己的力量收回來,但通過這次修訂,個人對自己的資訊擁有了适當的控制權,這意味着每個人的權力得到了加強。
乍看之下,感覺這一修訂草案對于facebook、google+、linkedin等社交媒體經營者而言十分不利,不過歐盟也主張“通過提高消費者對線上服務的信任,可以刺激市場,促進業務發展,帶動創新”。
另一關鍵點在于對個人資料的定義。在修訂草案中,個人資料被定義為與資料主體相關的資訊,其中資料主體中包含了位置資料、ip 位址、cookie 等網絡上的識别符。在日本的個人資訊保護法中,保護的對象是姓名、出生日期等可以識别特定個人身份的資訊,而位置資料、ip 位址、cookie 本身并不屬于這個範疇,是以個人資料的适用對象是有所差別的,希望大家注意。
該草案在獲得歐盟成員國準許後,預計于兩年後生效。不過,由于在歐盟範圍内從事業務的歐盟外企業也是本指令的适用對象,一些美國企業也在歐盟積極開展遊說活動,希望能夠重新探讨其中對美國企業過于嚴格的一些規定,是以剛才所介紹的這些内容最終是否會生效,現在還是個未知數。
關于對日本的影響,1995 年制定的“歐盟資料保護指令”實際上是日本個人資訊保護法制定的推動力,是以本次修訂自然也可能會對日本帶來影響。我們應該結合美國的情況,對這一法案的修訂繼續保持關注。
3日本
在日本需要考慮個人資訊保護法及各行業領域的指導方針
在日本,個人資訊保護的相關法律體系如圖表6-4 所示。如果企業準備開展利用個人相關資料的業務,首先必須考慮的,就是個人資訊保護法。此外,在民間業務中,資訊通信、醫療、金融等業務領域中所涉及的個人資訊的内容、性質、使用方法等都有所不同,是以由負責指導、監督各業務領域的各省廳(主務大臣)根據各領域的實際情況制定了相應的指導方針。是以,在參考個人資訊保護法的同時,還需要參考各業務領域的指導方針。目前一共有針對27 個領域的40 部指導方針,主要的指導方針如圖6-5 所示。
首先,作為大前提,個人資訊的概念在個人資訊保護法中是這樣定義的。
“所謂個人資訊,是指關于生存個人的資訊,以及這些資訊中所包含的姓名、出生日期及其他一些能夠識别特定個人身份的描述(能夠容易地與其他資訊進行對照,并據此識别特定個人身份的資訊也包括在内)。”
也就是說,和歐盟的思路不同,像商品的搜尋記錄、浏覽記錄、購買記錄等行為資料,隻要無法通過姓名等識别特定的個人,就不屬于個人資訊的範疇。
第15、16、18 條中規定,涉及個人資訊的經營者“在個人資訊的使用上,必須盡量确定使用的目的”,“在未事先征得本人同意的情況下,個人資訊的使用途徑不得超出限定範圍”,“在擷取個人資訊時,除非事先公布其使用目的,否則必須盡快将使用目的告知本人,并進行公布”。這些規定與美國的“消費者隐私權法案”是共通的。
關于将個人資訊提供給第三方的行為,在原則上,“涉及個人資訊的經營者……在未事先征得本人同意的情況下,不得将個人資訊提供給第三方”(第23 條),但是又規定了“如事先将下列項目告知本人,或者以本人容易知曉的狀态進行釋出……可以将該個人資料提供給第三方”。
· 将提供給第三方列入使用目的
· 公示提供給第三方的個人資料項目
· 公示向第三方提供資料的手段或方法
· 當本人提出要求時,能夠停止将可識别本人身份的資料提供給第三方
也就是說,隻要準備了使用者可主動退出的手段,并将這些資訊以本人容易知曉的狀态進行釋出,即便不征得本人同意,也可以向第三方提供個人資訊。
原文釋出時間為:2015-05-22
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号