大数据时代传统的数据保护方式失效了,只要用户使用智能手机,他就必须将自己的个人数据所有权转移给服务商。更复杂的是,经过多重交易和多个第三方渠道的介入,个人数据的权利边界消失了。在模拟和小数据时代,能够大量掌控公民个人数据的机构只能是持有公权力的政府机构,但现在许多企业和某些个人也能拥有海量数据,甚至在某些方面超过政府机构。
随着以云计算为标志的大数据时代来临,依靠云计算的数据处理能力,人们不再对浩如烟海的信息一筹莫展,相反,数据成了有价值的资产,成了极富增值潜力的“金矿”。通过用户的网页浏览、网购偏好、社交网络交友信息、微博关注、手机位置服务等日常应用搜索各种数据,其目的无非是利用这些数据攫取商业利益。例如,当用户浏览网页或使用搜索引擎时,他访问的网站和搜索引擎会记录并锁定相应数据,然后有针对性地向其推荐与之相关的目标广告。同样,手机位置服务是一种基于手机物理位置的计算机定位程序。除了GPS导航、个性化天气预报、手机位置查询等常见应用外,手机位置服务还在社交媒体上得到了广泛应用,如微信中的公众账号和微博的地理定位功能。手机位置服务的另一项重要功能是移动商业广告,即通过确定移动客户端用户的地理位置,广告服务商向目标客户推介精准化的商业广告。
在目前技术条件下,即便用户不使用智能手机,或主动关闭GPS定位和无线上网功能,服务商也能依据手机与基站的连接时序确定手机位置。如果把手机用户的位置信息与其通话记录、上网习惯等数据加以整合,即可得到基本准确的更多用户信息。如用户热衷于社交媒体互动,那么他就可以得到更多、更精确的定向广告内容。每时每刻,我们都处在被云骚扰的状态中。
在当代社会,信息隐私与信息隐私权越来越受到关注。其影响因素包括四个方面:可收集的个人信息的总量、所收集的个人信息的传递与交换时间、所收集的个人信息的可保存时间以及可以获取的个人信息的种类。克雷格和鲁道芙指出,数字化时代对个人的通信隐私、行为隐私和人身隐私带来了空前挑战。在通信隐私方面,虽然人们普遍认为电话、短信、电子邮件和各种网络通信属于隐私,但很多国家在数据保留技术与相关政策法规层面已经有可能对它们进行长期监控。在行为隐私方面,我们的很多行为数据已经被采集并用于预测我们的行为,如购买意向、商业信用、保险方面的风险乃至有无实施犯罪或恐怖行为的潜在可能性等,这些对个人行为的数据分析也能用于预测哪些方法可以最有效地影响到我们的行为。在人身隐私方面,人们以往在社会中的日常活动具有相对的匿名性,但各种影像监控设备、具有人脸识别功能的数字照片和跟踪软件无疑正在改变这一情况。
在美国,至今未对隐私权做出整体性的立法。出于对个人权利的强调,个人数据主要被视为个人资源,对个人数据与信息隐私的保护建立在利益权衡之上,法律上的规制多根据具体情况分别纳入个人健康、安全、财产保护与消费者权益保护的范畴。因此,美国主要以部门法规制个人数据涉及的信息隐私问题,采取的是针对具体争议的“问题一应对”模式。在欧洲,鉴于隐私权被视为基本人权,个人数据和信息隐私在价值上无疑超越了商品,人们甚至为了保护个人数据和信息隐私而不惜牺牲商业利益。与美国不同,很多欧洲国家在宪法中明确规定了对个人隐私权的保护。在1953年颁布的《欧洲人权公约》中,不仅明确提出每个人的隐私应该得到尊重,还富有远见地指出,《公约》的宗旨就是依据时代的变迁和技术的发展而不断规范与强化对基本人权的保护。
面对日趋严重的网络侵权行为,国际社会纷纷制定措施以抑制网络侵权,从国际的通行做法来看,主要有以下两种保护模式:
2012年2月,为了应对网络与大数据的发展,美国政府从恢复消费者信任以推进创新的角度颁布了“消费者隐私权法案”。该法案从七个方面对消费者隐私权做出了界定:(1)个人控制:对于企业可收集哪些个人数据,消费者拥有控制权;(2)透明度:对于隐私权及安全机制的相关信息,消费者拥有知情、访问的权利;(3)尊重背景:消费者有权期望企业按照与自己提供数据时的背景相符的形式对个人信息进行收集、使用和披露;(4)安全:消费者有权要求个人数据得到安全保障且被负责任地使用;(5)访问与准确性:当出于数据敏感性的因素,或者当数据的不准确可能对消费者带来不良影响的风险时,消费者有权以适当的方式对数据进行访问,以及提出修正、删除、限制使用等要求;(6)限定收集范围:对于企业所收集和持有的个人数据,消费者有权设置合理限制;(7)责任担当:消费者有权将个人数据交给为遵守“消费者隐私权法案”而具备适当保障措施的有责任担当的企业。
再来看欧洲对个人数据和信息隐私的保护。与大陆法和普通法的分野类似,欧洲对个人数据和信息隐私的保护采取的是由上至下的整体性架构。欧洲将个人数据保护与隐私权相结合始于1995年欧盟颁布的“数据保护指令”,该指令旨在保护自然人的基本权利和自由,尤其是与个人数据处理相关的隐私权——禁止公司以消费者不情愿的方式使用其个人数据。该法案体现了OECD对此问题提出的八项原则:(1)收集限制:对个人数据的收集应该有所限制,数据收集应该合法并使“拥有”数据的个人知晓或同意;(2)数据质量:个人数据只能用于其所声称的目的并且应该是准确、完整和最新的;(3)目的说明:数据收集的目的应该明确指定,每次变更目的时应该通知数据主体;(4)使用限制:除非数据主体同意或法律许可,个人数据的披露和使用的目的不得与其目的说明不一;(5)安全保护:个人数据应该得到保护以使其免于潜在的滥用;(6)开放:数据收集者应该透明地公开个人数据的收集、使用和共享情况;(7)个人参与:应告知数据主体谁在收集和使用其数据,数据主体应可接近其数据以便对其做出修正;(8)责任担当:数据收集者必须负责任地创建一个遵循这些原则的体系。
从更深的层面来看,网络与大数据技术对个人数据的全面收集、深度分析与广泛共享正在对个人隐私和利益带来诸多微妙而深远的影响。首先,在大数据环境下,个人的行为瑕疵可能会被永远记录在案,可能使个人在资质评价和机会竞争中处于劣势。其次,理论与技术上的偏差和解释的主观性使个人数据分析存在失真的可能性,一旦作为社会管理的“科学”依据,可能对个人生活与身心造成困扰与伤害。再次,基于个人数据的深度挖掘(如相关性、聚类分析等)个人特征与群体归类有可能造成新的个人与群体歧视。虽然这些问题尚未成为个人信息隐私保护关注的焦点,但相关的讨论无疑有助于我们对网络与大数据时代的信息隐私保护采取更为明智的措施——在创新与规制之间寻求一种动态平衡。