因此, 大数据 时代的美国隐私保护政策与法律,重点关注的是更具普遍适用意义的、更符合 大数据 运作特点的、不会限制 大数据 技术和应用发展的、更具可操作性的方案。
五、” 大数据 时代”的隐私保护
针对 大数据 的特点,美国政府提出了在不阻碍 大数据 发展的情况下,解决隐私权保护问题的基本方案,涉及政策调整、法律制定与技术革新等多个方面。
(一)隐私保护政策框架
在《白皮书》中,美国政府认为”告知与同意”框架已经不能满足隐私权保护的需要。《白皮书》提出,对于现在绝大多数用户与企业进行的普通信息交互来说,”告知与同意”框架充分保护了隐私,但美国总统科学和技术顾问委员会表示,技术轨迹正在转向采集、使用和储存对消费者和个人没有直接联系的数据上来,假如”告知与同意”框架更容易被违背,则我们需要重新关注数据的使用一端,而不是原来的采集一端。美国政府认为, 大数据 时代的隐私保护应当关注于使用责任制,使数据的采集者和使用者对数据的管理及其可能产生的危害负责,而不是狭隘的将其责任定义为是否通过正常途径采集数据。
《白皮书》补充认为,更多的关注责任并不意味着忽视收集的环境。对数据负责的一个方面就是要尊重原始数据的采集。也就是说,原有的”告知与同意”框架仍然应当得到最大程度的遵守,并随着技术的发展进行调整,从而能够应对 大数据 带来的一些挑战。
此外,美国政府对隐私保护政策框架持较为开放的态度,认为应当关注的是如何在 大数据 所带来的效益,与隐私权等由于 大数据 采集信息而不可避免遭受损失的价值之间,做到合理的平衡。与此同时美国政府在白皮书中也重申,”尽管我们生活在一个能够比过去更自由的共享个人信息的世界,但我们必须坚决否认隐私价值已经过时。隐私从一开始就一直是我们民主制度的心脏,而现在,我们比以往任何时候更需要它”。
(二)隐私保护的立法建议
2012年2月23日,美国总统奥巴马签署美国白宫发布的工作报告《网络环境下消费者数据的隐私保护–在全球数字经济背景下保护隐私和促进创新的政策框架》(ConsumerDataPrivacyinANetworkedWorld:AFrameworkforProtectingPrivacyandPromotingInnovationintheGlobalDigitalEconomy)(以下简称《消费者隐私保护报告》)。该报告正式提出《消费者隐私权利法案》(ConsumerPrivacyBillofRights),向社会公众公布并提请国会进行审议。报告对《消费者隐私权利法案》的立法理念和主要内容进行了介绍,集中体现了美国政府应对 大数据 时代隐私保护问题的做法。目前,《消费者隐私权利法案》尚未获得国会通过,因此在《白皮书》中美国政府也呼吁国会尽快通过《消费者隐私权利法案》,以确定隐私保护的法治框架。
总体而言,《消费者隐私权利法案》的基础仍然是”公平信息实践法则”,主要规定了以下三大方面的内容:
1、”告知与同意”框架的强化
(1)个人控制(IndividualControl):消费者有权控制企业对个人信息的收集和使用。第一个方面,法案要求在任何情况下,企业都应当赋予消费者选择权,使其有权控制企业收集的任何个人数据。对于不与消费者直接接触的第三方,只要数据的用途会对消费者的权益造成重大影响,也要赋予消费者选择权。收集数据的企业也应当对第三方进行尽职调查,调查第三方企业将如何使用消费者数据以及是否赋予消费者适当的选择权。此外,消费者应当有权对授权进行撤销,而这种撤销的方式应当与授权方式的便捷性相同。第二个方面,法案要求消费者在个人数据使用时,尤其是在个人数据分享公开时应当评估选择可能造成的后果并为此承担责任。
(2)透明度(Transparency):消费者有权无障碍地理解和获取有关隐私及其 安全 保障的信息。在最有利于消费者理解隐私风险和实施个人控制的时间和地点,企业应当清楚地说明如下信息:收集个人数据的种类;收集个人数据的原因;所收集的个人数据的用途;在何种条件下删除数据或者删除数据中消费者的身份信息;是否与第三方分享个人数据以及分享的目的等。法案重点要求企业公开与个人数据原定使用情境不一致的行为,公开与消费者的预期不一致的个人数据使用行为。企业所采取的通知形式,应当使消费者能够在获取企业服务的同时在所使用的设备上进行阅读。不与消费者接触的企业,应当详细告知消费者收集、使用以及公开个人数据的情况。
(3)情境一致(RespectforContext):消费者有权期望企业收集、利用和公开个人信息的方式与其提供信息时的情境协调一致。企业使用、公开个人数据应当具有特定目的,并且该目的应当和他们向消费者公开说明与消费者合理预期的目的相符,并以实现这些目的为限使用、公开数据。如果不相符,企业应当以消费者容易作出反应的方式,进行突出说明。此外,法案特别要求对从儿童和青年处获得的数据应该给予比成人更大的保护。
2、数据保存与处理的 安全 责任
(1) 安全 (Security):消费者有权要求自己的数据得到 安全 和负责任的处理。企业应当结合自身在个人数据领域的实践,评估隐私和 安全 风险,同时必须采取合理的 安全 措施以防范可能出现的风险,如数据丢失,数据非法获娶使用、损坏或修改,数据的不适当公开等。
(2)接入权与准确性(AccessandAccuracy):个人数据有误时,在与数据敏感性,以及与数据错误可能对消费者带来不利影响的风险性相适应的情况下,消费者有权获取进而更正以可用格式存在的个人数据。企业应当采取合理措施确保其保存的是准确的个人数据。
(3)收集控制(FocusedCollection):消费者有权合理限制企业对个人信息的收集和保存。企业应当根据其实现特定目的的需要确定收集数据的范围,在不需要个人数据后应当以 安全 方式删除个人数据或者清除个人数据中的身份信息。