徐暢

摘要：目前，全球范圍內(nèi)已有多個國家或地區(qū)的相關(guān)法律制度涉及對個人信息的保護，歐盟、美國、日本等司法轄區(qū)更是高度重視大數(shù)據(jù)技術(shù)帶來的個人信息安全問題，探討大數(shù)據(jù)時代對個人信息或隱私的現(xiàn)實影響和潛在威脅并采取積極法律保護措施具有重大意義。

關(guān)鍵詞：大數(shù)據(jù)；個人信息法律保護

中圖分類號：D923

DOI：10.13784/j.cnki.22-1299/d.2018.01.001

一、歐盟網(wǎng)絡用戶個人信息保護的法律制度

歐盟主要采取統(tǒng)一立法的模式對網(wǎng)絡用戶的個人信息進行保護，即對公私領域的個人信息進行統(tǒng)一規(guī)范、統(tǒng)一立法。1995年歐盟通過了《關(guān)于個人數(shù)據(jù)處理與數(shù)據(jù)自由流通的保護指令》（“歐盟個人數(shù)據(jù)保護指令”），歐盟個人數(shù)據(jù)保護指令明確了與“個人數(shù)據(jù)”相關(guān)的核心隱私原則，包括數(shù)據(jù)質(zhì)量原則（以目的限制、數(shù)據(jù)最小化、準確性和完整性為特征）、同意原則、透明度原則、保密性原則和安全性原則。除了這些核心原則，歐盟個人數(shù)據(jù)保護指令也旨在確保個人數(shù)據(jù)在歐盟內(nèi)的自由流動。歐盟個人數(shù)據(jù)保護指令存在的主要問題，一是過于依賴知情選擇原則。經(jīng)驗研究表明個人通常不會閱讀也不理解隱私政策，而且隱私政策中的模糊語言容易被企業(yè)利用，導致知情選擇原則事實上是空洞的，沒有實際效果。二是歐盟個人數(shù)據(jù)保護指令雖然有數(shù)據(jù)最小化原則，但現(xiàn)實中幾乎沒有數(shù)據(jù)保護機構(gòu)迫使技術(shù)公司重新設計其軟件、硬件或業(yè)務流程以最小化數(shù)據(jù)處理或使數(shù)據(jù)主體匿名使用此類系統(tǒng)的實例。三是技術(shù)能力在不斷改進和擴張，個人創(chuàng)建、共享和使用個人數(shù)據(jù)的方式在不斷變化，而歐盟個人數(shù)據(jù)保護指令卻沒有跟上全球互聯(lián)網(wǎng)技術(shù)發(fā)展的步伐。

2012年歐盟出臺了《一般數(shù)據(jù)保護條例》，該條例對1995年出臺的歐盟個人數(shù)據(jù)保護指令的內(nèi)容進行更新，譬如擴大了數(shù)據(jù)控制者和處理者的說明責任，引入了被遺忘權(quán)（Right to Be Forgotten）和數(shù)據(jù)遷移權(quán)等等。

2016年歐盟通過的《個人數(shù)據(jù)保護一般規(guī)則》是目前世界范圍內(nèi)針對個人信息保護立法水平最高、保護力度最大的一部法律。與舊法相比，其新增或調(diào)整的主要條款有：將法律適用的主體范圍擴大至境外企業(yè)；增加了透明度原則和最少夠用原則；增加了被遺忘權(quán)和數(shù)據(jù)的遷移權(quán)；提高了處罰力度。例如，該規(guī)則第5條規(guī)定了數(shù)據(jù)處理的基本原則，處理個人數(shù)據(jù)應當滿足：（1）合法、正當、透明；（2）處理數(shù)據(jù)的目的是有限的；（3）僅處理為達到目的的最少數(shù)據(jù)；（4）確保數(shù)據(jù)準確、時新；（5）儲存數(shù)據(jù)的期限不得長于為達到目的所需的時間。第17條還規(guī)定了學者們熱烈討論的被遺忘權(quán)。該條例為全球范圍內(nèi)的其他國家或地區(qū)樹立了個人信息保護高標準的法律模板，其他國家可能需要緊跟歐盟的立法步伐，以免在數(shù)據(jù)保護和利用方面受制于人；另外，由于數(shù)據(jù)保護的高標準，監(jiān)管力度之大和處罰之嚴格，很可能使企業(yè)負擔過多的運營成本。

二、美國網(wǎng)絡用戶個人信息保護的法律制度

美國對于網(wǎng)絡用戶的個人信息既有立法上的保護，又有行業(yè)自律上的規(guī)制。在立法上，美國沒有一部統(tǒng)一的法律保護個人信息，它是在各個不同的領域通過立法來調(diào)整個人信息保護的規(guī)范事項。美國保護個人信息的立法文件主要有：1974年美國的《隱私法》（Privacy Act）規(guī)定了聯(lián)邦機構(gòu)應限制個人信息的披露；《公平信用報告法》（Fair Credit Reporting Act）規(guī)范私人機關(guān)收集、儲存和處理個人信息；《電腦資料比對與隱私保護法》（Computer Matching Privacy Protection Act of 1988）對自動化處理中的個人信息予以保護。傳統(tǒng)上，美國民事隱私保護工作側(cè)重于規(guī)范三個主要活動：信息收集、處理和披露。例如，1986年《電子通信隱私法》（ECPA）禁止未經(jīng)授權(quán)收集通信內(nèi)容；《公平信用報告法》禁止為某些目的使用財務記錄；1988年《視頻隱私保護法》禁止披露視頻租賃記錄。

除了立法文件外，如聯(lián)邦貿(mào)易委員會、商務部、能源部等政府機構(gòu)，也在專門領域提出了相關(guān)的指導性報告和規(guī)范性文件。例如美國聯(lián)邦貿(mào)易委員會（FTC）提出了“通知與選擇”（Notice and Choice）的模式來規(guī)范業(yè)界的行為。

美國公民自由聯(lián)盟（ACLU）是對隱私的堅定倡導者，其認為新技術(shù)的發(fā)展和個人隱私保護不是水火不容的關(guān)系，二者是可以共存的。保護公民的在線隱私是合理和必要的，政府應該幫助確定美國公民隱私保護的邊界。云安全聯(lián)盟（Cloud Secure Alliance，CSA）是一個非營利性組織，它致力于推廣云計算安全保障的最佳做法，它還創(chuàng)建了一個大數(shù)據(jù)工作組，以應對大數(shù)據(jù)的安全服務問題。CSA將不同的安全和隱私挑戰(zhàn)分類為大數(shù)據(jù)生態(tài)系統(tǒng)的四個不同方面，即基礎設施安全、數(shù)據(jù)隱私、數(shù)據(jù)管理、完整性和反應性安全。

2012年，奧巴馬政府為了應對網(wǎng)絡時代的高速發(fā)展和大數(shù)據(jù)的挑戰(zhàn)，以及恢復消費者的信任，頒布了《消費者隱私權(quán)法案》（Consumer Privacy Bill of Rights），為互聯(lián)網(wǎng)企業(yè)在透明度、安全性和用戶個人數(shù)據(jù)控制上提供了指南。消費者隱私權(quán)法案要求：個人控制，消費者有權(quán)控制何種個人信息被收集以及個人信息以何種方式進行使用；透明度，消費者有權(quán)獲得關(guān)于隱私和安全事項的信息；情境一致，消費者有權(quán)要求公司收集、使用、披露個人信息的方式與消費者提供數(shù)據(jù)的方式相一致；安全性，消費者有權(quán)要求數(shù)據(jù)處理的安全性；訪問權(quán)和更正權(quán)，如果數(shù)據(jù)的不準確會導致數(shù)據(jù)的敏感性問題或者給消費者帶來不良后果，則消費者有權(quán)以合適的方式對數(shù)據(jù)進行更正；重點收集，消費者有權(quán)合理限制公司對個人數(shù)據(jù)量的收集；問責制，消費者有權(quán)要求公司以合理方式處理個人信息時符合消費者隱私權(quán)法案的要求。

2012年3月26日，F(xiàn)TC發(fā)布了保護美國消費者隱私和在個人數(shù)據(jù)的收集使用上賦予美國消費者更多控制權(quán)的最終報告。該報告題為“在快速變革的時代保護消費者隱私：對企業(yè)和政策制定者的建議”，針對消費者不知情的情況下的數(shù)據(jù)的收集和共享，提出了消費者隱私的保護框架，擴展了2010年12月公布的初步工作人員報告。FTC還建議美國國會考慮制定一般的隱私立法，數(shù)據(jù)安全和違約通知作業(yè)的立法和數(shù)據(jù)經(jīng)紀人立法。FTC的隱私報告號召企業(yè)用以下措施來保護消費者隱私，其中包括：企業(yè)在開發(fā)產(chǎn)品的每一個階段都應建立對消費者的隱私保護機制。這些措施包括保障消費者數(shù)據(jù)合理安全、對消費者數(shù)據(jù)進行有限收集、數(shù)據(jù)保留以及利用合理的程序促進數(shù)據(jù)的準確性。為企業(yè)和消費者簡化選擇，企業(yè)應該給予消費者何種信息可以被共享的選擇權(quán)。這些措施包括拒絕追蹤機制，這是消費者能控制自己在線活動的一種簡單方法。更高的透明度，企業(yè)應披露其收集和使用消費者信息的詳細信息，并為消費者提供對收集數(shù)據(jù)的訪問權(quán)。