1美国
2010 年12 月,美国商务部也发表了一份题为“Commercial Data Privacy and Innovation in the InternetEconomy: ADynamic Policy Framework”(互联网经济中的商业数据隐私与创新:动态政策框架)的长达88 页的报告。在这份报告指出,为了对线上个人信息的收集进行规范,需要出台一部“隐私权法案”,并提议设立隐私政策办公室(Privacy Policy Office),在隐私问题上对国内外的相关利益方进行协调。
目前,在美国存在用于保护资产数据、医疗数据(病历、治疗记录等)等特定隐私信息的法律,但并没有一部全面的隐私保护相关法律。因此,这份报告提出:“没有强制性的自主规范是不充分的,要恢复消费者的信任,尤其是在对个人信息进行收集、利用的经营者层出不穷的现在,我们迫切需要一部隐私权法案。”
受这份报告的影响,2012 年2 月23 日,之前提到过的“ConsumerPrivacy Bill of Rights”(消费者隐私权法案)正式颁布。这项法案中,对消费者的权利进行了如下具体的规定。
(1)个人控制:对于企业可收集哪些个人数据,并如何使用这些数据,消费者拥有控制权。
对于消费者和他人共享的个人数据,以及企业如何收集、使用、披露这些个人数据,企业必须向消费者提供适当的控制手段。为了能够让消费者做出选择,企业需要提供一个可反映企业收集、使用、披露个人数据的规模、范围、敏感性,并可由消费者进行访问且易于使用的机制。
例如,通过收集搜索引擎的使用记录、广告的浏览记录、社交网络的使用记录等数据,就有可能生成包含个人敏感信息的档案。因此,企业需要提供一种简单且醒目的形式,使得消费者能够对个人数据的使用和公开范围进行精细的控制。
此外,企业还必须提供同样的手段,使得消费者能够撤销曾经承诺的许可,或者对承诺的范围进行限定。
(2)透明度:对于隐私权及安全机制的相关信息,消费者拥有知情、访问的权利。
前者的价值在于加深消费者对隐私风险的认识并让风险变得可控。为此,对于所收集的个人数据及其必要性、使用目的、预计删除日期、是否与第三方共享以及共享的目的,企业必须向消费者进行明确的说明。
此外,企业还必须以在消费者实际使用的终端上容易阅读的形式提供关于隐私政策的告知。特别是在移动终端上,由于屏幕尺寸较小,要全文阅读隐私政策几乎是不可能的。因此,必须要考虑到移动终端的特点,采取改变显示尺寸、重点提示移动平台特有的隐私风险等方式,对最重要的信息予以显示。
(3)尊重背景:消费者有权期望企业按照与自己提供数据时的背景相符的形式对个人信息进行收集、使用和披露。
这是要求企业在收集个人数据时必须有特定的目的,企业对个人数据的使用必须仅限于该特定目的的范畴,即基于FIPP(Fair InformationPractice Principls,公平信息行为原则)的声明。
从基本原则上说,企业在使用个人数据时,应当仅限于与消费者披露个人数据时的背景相符的目的。另一方面,也应该考虑到,在某些情况下,对个人数据的使用和披露可能与当初收集数据时所设想的目的不同,而这可能成为为消费者带来恩惠的创新之源。在这样的情况下,必须用比最开始收集数据时更加透明、醒目的方式来将新的目的告知消费者,并由消费者来选择是允许还是拒绝。
(4)安全:消费者有权要求个人数据得到安全保障且负责任地被使用。
企业必须对个人数据相关的隐私及安全风险进行评估,并对数据遗失、非法访问和使用、损坏、篡改、不合适的披露等风险维持可控、合理的防御手段。
(5)访问与准确性:当出于数据敏感性的因素,或者当数据的不准确可能对消费者带来不良影响的风险时,消费者有权以适当的方式对数据进行访问,以及提出修正、删除、限制使用等要求。
企业在确定消费者对数据的访问、修正、删除等手段时,需要考虑所收集的个人数据的规模、范围、敏感性,以及对消费者造成经济上、物理上损害的可能性等。
(6)限定范围收集:对于企业所收集和持有的个人数据,消费者有权设置合理限制。
企业必须遵循第三条“尊重背景”的原则,在目的明确的前提下对必需的个人数据进行收集。此外,除非需要履行法律义务,否则当不再需要时,必须对个人数据进行安全销毁,或者对这些数据进行身份不可识别处理。
(7)说明责任:消费者有权将个人数据交给为遵守“消费者隐私权法案”具备适当保障措施的企业。
企业必须保证员工遵守这些原则,为此,必须根据上述原则对涉及个人数据的员工进行培训,并定期评估执行情况。在有必要的情况下,还必须进行审计。
在上述7 项权利中,对于准备运用大数据的经营者来说,第三条“尊重背景”是尤为重要的一条。例如,如果将在线广告商以更个性化的广告投放为目的收集的个人数据,用于招聘、信用调查、保险资格审查等目的的话,就会产生问题。
此外,Facebook 等社交网络服务中的个人档案和活动等信息,如果用于Facebook 自身的服务改善以及新服务的开发是没有问题的。但是,如果要对第三方提供这些信息,则必须以醒目易懂的形式对用户进行告知,并让用户有权拒绝向第三方披露信息。
奥巴马政府计划与美国国会进行磋商,以期制定一部授予负责保护消费者的FTC 强制力来保护消费者隐私的法律。
2欧盟
对于行为定向广告等通过cookie 等方式收集用户行为记录的行为,在欧盟是通过电子隐私指令(E-Privacy Directive)来进行管理的。
这一指令是2002 年制定的,当初采用的是主动退出(Opt-out)方式,即只要向用户提供其明确的使用目的及完整的信息,就允许使用用户终端上存储的信息,但必须对用户提供可拒绝使用的权利。
然而,2009 年这一指令进行了修订,改为采用主动许可(Opt-in)的方式来执行,即只有在向用户提供其明确的使用目的及完整的信息,并事先获得用户许可的情况下,才允许使用用户终端上存储的信息。
对主动许可方式的采用,自然而然地引起了在线广告业界的强烈反对。随后,以欧盟广告行业组织EASA(The European AdvertisingStandards Alliance)和IAB(InteractiveAdvertising Bureau Europe)为首,于2011 年4 月制定了一项以主动退出方式为基础的行业自主规范原则EASA Best Practice Recommendation on Online Behavioural Advertising(EASA 关于在线行为广告的最佳实践建议)。
不过,对于这一行业自主规范提案,欧盟数据保护工作组根据“数据保护指令”第29 条,于2011 年12 月出具了一份持反对态度的意见书“Opinion 16/2011 on EASA/IAB Best Practice Recommendation onOnlineBehavioural Advertising”,这一姿态意味着向整个行业说No。
欧盟一直以来奉行严格保护消费者隐私的政策,鉴于这一点,他们对于在线行为定向广告采用与美国不同的主动许可方式,也就可以理解了。
数据保护指令同样面临修订
刚才提到的“电子隐私指令”的基础,就是“数据保护指令”,而后者是在互联网刚刚兴起的1995 年制定的。毋庸置疑,在制定该指令的时候,不可能考虑到云计算、SNS、位置信息等服务的存在。于是,欧盟正在对该指令进行修订,并与2012 年1 月末发表了修订草案。下面我们来介绍一下草案中几个主要的修订之处。
(1)引入“被遗忘的权利”
对于用户的姓名、电子邮件地址、照片、在SNS 上发布的消息、使用的银行信息、健康信息、计算机的IP 地址等个人数据,当用户要求删除这些数据时,除非经营者有诸如报道目的等正当理由,否则必须从服务器上删除。
举个例子,比如在学生时代发布到Facebook 上面的信息,在找工作的时候可能会带来不利的影响,用户可以要求删除这些信息。
(2)在没有明确征得用户同意的情况下,禁止处理个人数据
在经营者使用用户数据时,必须以明确、易懂的形式将其目的事先告知给用户,并征得用户的同意。
(3)“数据可转移权”的制定
经营者必须允许用户容易地访问自己的数据,并允许用户将自己的数据从一个服务提供商转移到另一个服务提供商,比如在SNS 之间转移数据等情况。
(4)说明责任的扩大
使用个人数据的经营者,在对数据保护进行风险评估的同时,如果企业员工数量超过250 人,必须设置一名数据保护官(Data ProtectionOfficer)。
此外,Privacy by Design(即在服务设计开发阶段就要具备隐私功能)和Privacy by Default(即隐私的默认设置为“不公开”)原则也是必需的条件。
如果违反上述条款,将被处以100 万欧元,或者最高相当于公司全球营业额2% 的罚金。
在过去,个人信息一旦在网络上流出,就很难靠自己的力量收回来,但通过这次修订,个人对自己的信息拥有了适当的控制权,这意味着每个人的权力得到了加强。
乍看之下,感觉这一修订草案对于Facebook、Google+、LinkedIn等社交媒体经营者而言十分不利,不过欧盟也主张“通过提高消费者对在线服务的信任,可以刺激市场,促进业务发展,带动创新”。
另一关键点在于对个人数据的定义。在修订草案中,个人数据被定义为与数据主体相关的信息,其中数据主体中包含了位置数据、IP 地址、cookie 等网络上的识别符。在日本的个人信息保护法中,保护的对象是姓名、出生日期等可以识别特定个人身份的信息,而位置数据、IP 地址、cookie 本身并不属于这个范畴,因此个人数据的适用对象是有所区别的,希望大家注意。
该草案在获得欧盟成员国批准后,预计于两年后生效。不过,由于在欧盟范围内从事业务的欧盟外企业也是本指令的适用对象,一些美国企业也在欧盟积极开展游说活动,希望能够重新探讨其中对美国企业过于严格的一些规定,因此刚才所介绍的这些内容最终是否会生效,现在还是个未知数。
关于对日本的影响,1995 年制定的“欧盟数据保护指令”实际上是日本个人信息保护法制定的推动力,因此本次修订自然也可能会对日本带来影响。我们应该结合美国的情况,对这一法案的修订继续保持关注。
3日本
在日本需要考虑个人信息保护法及各行业领域的指导方针
在日本,个人信息保护的相关法律体系如图表6-4 所示。如果企业准备开展利用个人相关数据的业务,首先必须考虑的,就是个人信息保护法。此外,在民间业务中,信息通信、医疗、金融等业务领域中所涉及的个人信息的内容、性质、使用方法等都有所不同,因此由负责指导、监督各业务领域的各省厅(主务大臣)根据各领域的实际情况制定了相应的指导方针。因此,在参考个人信息保护法的同时,还需要参考各业务领域的指导方针。目前一共有针对27 个领域的40 部指导方针,主要的指导方针如图6-5 所示。
首先,作为大前提,个人信息的概念在个人信息保护法中是这样定义的。
“所谓个人信息,是指关于生存个人的信息,以及这些信息中所包含的姓名、出生日期及其他一些能够识别特定个人身份的描述(能够容易地与其他信息进行对照,并据此识别特定个人身份的信息也包括在内)。”
也就是说,和欧盟的思路不同,像商品的搜索记录、浏览记录、购买记录等行为数据,只要无法通过姓名等识别特定的个人,就不属于个人信息的范畴。
第15、16、18 条中规定,涉及个人信息的经营者“在个人信息的使用上,必须尽量确定使用的目的”,“在未事先征得本人同意的情况下,个人信息的使用途径不得超出限定范围”,“在获取个人信息时,除非事先公布其使用目的,否则必须尽快将使用目的告知本人,并进行公布”。这些规定与美国的“消费者隐私权法案”是共通的。
关于将个人信息提供给第三方的行为,在原则上,“涉及个人信息的经营者……在未事先征得本人同意的情况下,不得将个人信息提供给第三方”(第23 条),但是又规定了“如事先将下列项目告知本人,或者以本人容易知晓的状态进行发布……可以将该个人数据提供给第三方”。
· 将提供给第三方列入使用目的
· 公示提供给第三方的个人数据项目
· 公示向第三方提供数据的手段或方法
· 当本人提出要求时,能够停止将可识别本人身份的数据提供给第三方
也就是说,只要准备了用户可主动退出的手段,并将这些信息以本人容易知晓的状态进行发布,即便不征得本人同意,也可以向第三方提供个人信息。
原文发布时间为:2015-05-22