(2)公民个人的匿名表达权,特别在政治意见领域。在Mclntyrev.OhioElectionCommission案中,美国联邦最高法院推翻了俄亥俄州有关禁止匿名分发竞选刊物的法规,并指出:匿名表达权对美国宪法的制定至关重要,它作为美国的重要传统而融入到美国历史之中。
(3)在私人信息脱离本人排他所有权之后,控制他人接触到这些信息的能力。例如在联邦贸易委员会”公平贸易实践原则”所呈现的,具体内容见下文第四部分所述。
(4)制止某些运用公民私人信息的消极结果。例如,以DNA信息为基础的就业歧视在2008年的《基因信息非歧视法案》中被禁止。
(5)个人做出私人决定而不受政府干涉的权利。主要包括个人健康领域,生育领域与性生活领域。
PCAST独立报告指出,在上述五个领域,隐私权与大数据应用之间都发生了冲突,并且这种冲突会持续发生。这种冲突的原因,在于大数据的数据收集技术使得公民个人失去对私人信息的有效控制,权利保障被极大削弱;原本并不涉及个人信息的数据可以通过大数据分析技术得出事关私人事务的信息,从而使公民个人难以察觉,更难以作出有效回应。
值得注意的是,自2010年起,奥巴马政府着手提出”我的大数据”计划措施,使美国人能够更好地获取利用自己的个人数据。主要包括:”兰纽扣”计划,允许消费者获取其健康信息,并与信息提供者进行交换;”创建副本”计划,允许纳税人获得自己的完整纳税记录及其他信息数据;”我的学生数据”,授权消费者查询自己的助学金等财务信息数据。通过该计划,奥巴马政府倡导公共数据的公开透明,并使公民能够获得自身数据。尽管这能够方便公众生活,改善政府治理,但在大数据技术环境下可能导致更大范围的信息泄露与非法利用。
此外,报告还分析了大数据的主要参与主体:政府、企业和公民。政府享有权力垄断并且缺乏竞争者,因此缺乏改进技术来保护公民隐私权的动力。在某些情况下,政府的执法需要甚至有可能成为侵犯公民隐私权的原因。企业可以从大数据中获得经济效益,尽管可能面临侵权受罚的风险,但这在目前来看是微不足道的,因此企业具有侵犯公民隐私权的动力。有足够动力保护隐私权的仅有公民一方。《白皮书》指出,大数据的发展本身就是非对称的过程,公民由于受到技术条件与有限知识水平约束,并不具备足够的保护自身数据隐私的能力。在这个非对称的时代中,公民的隐私权保护力量与市场主体的侵犯动力之间相差悬殊,”隐私权”的定义与保护方式都受到挑战。
四、原有数据应用下的隐私保护体系
美国保护隐私利益的法律框架,覆盖了宪法、联邦、各州等层面。最初,美国隐私权保护主要针对的是公权力对公民隐私权的侵犯,1934年《侵权法重述》则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因。计算机技术发展带来的数据隐私问题在1973年首次进入公众视野。美国卫生、教育与福利部发布了一份题为《录音、计算机与公民权利》(Records,Computers,andtheRightsofCitizens)的报告,分析了”自动化个人数据系统可能导致的不良后果”,并提出了广为人知的”公平信息实践法则”(FairInformationPracticePrinciples,简称为FIPPS),成为数据保护制度的基石。该法则规定个人有权知道他人收集了哪些关于他的信息,以及这些信息是如何被使用的;个人有权拒绝某些信息使用并更正不准确的信息;信息收集组织有义务保证信息的可靠性并保护信息安全。这些内容成为1974年《隐私法案》的基础,并被其他国家和国际组织所接受。
20世纪80年代,美国根据行业特点,专门制定了行业隐私法律,为以侵权行为为基础的习惯法提供了补充:
(1)金融领域:《金融隐私权法案》(TheRighttoFinancialPrivacyAct,RFPA),对银行雇员披露金融记录及联邦立法机构获得个人金融记录的方式进行限制;《金融服务现代化法案》(FinancialServicesModernizationActof1999)要求金融机构尊重客户隐私并保护客户非公共信息的安全与机密;
(2)保险领域:《健康保险隐私及责任法案》(TheHealthInsurancePortabilityandAccountabilityActof1996,HIPAA),规定个人健康信息只能被特定的、法案中明确的主体使用并披露,个人可以控制了解其本人的健康信息,但要遵循一定程序标准;
(3)电视领域:《有线通讯隐私权法案》(CableCommunicationPolicyAct),禁止闭路电视经营者在未获得用户事先同意情况下利用有线系统收集用户的个人信息;《电视隐私保护法案》(CableTVPrivacyActof1984),将隐私权保护范围扩展到录像带销售或租赁公司的顾客;
(4)电信领域:1996年《电讯法》(TelecommunicationAct),规定电讯经营者有保守客户财产信息秘密的义务;
(5)消费者信用领域:《公平信用报告法》(TheFairCreditReportingAct),该法属于消费者保护法系列,规定了消费者个人对信用调查报告的权利,规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项,明确了消费者信用调查机构的经营方式;
(6)儿童隐私保护领域:《儿童在线隐私权保护法案》(TheChildren’sOnlinePrivacyProtectionAct,COPPA),规定了网站经营者必须向其父母提供隐私权保护政策的通知,以及网站对13岁以下儿童个人信息的收集和处理原则与方式等。
总括来看,传统的信息保护方案主要遵循”公平信息实践法则”,基本安排是”告知与同意”框架,并按照行业领域进行细分。但在大数据时代,原有的保护方案具有较大局限性:第一,数据收集技术的发展,使得数据可以不再以显性方式进行收集,数据行为人难以察觉;第二,数据服务企业的兴起,许多数据服务企业并不在原有法律规则监管范围内;第三,行业数据之间界限的模糊,一项购物习惯数据可能同时显示出行为人的金融行为数据;第四,第三方数据储存与云计算被广泛运用,而这些第三方机构并不与消费者直接接触,信息的储存与责任承担成为潜在问题;第五,传统信息保护方案与奥巴马政府回应大数据公开诉求的相关政策存在潜在冲突。
