大数据时代网络用户个人信息保护的域外法律制度比较与启示

2023.03.15

徐畅

摘要：目前，全球范围内已有多个国家或地区的相关法律制度涉及对个人信息的保护，欧盟、美国、日本等司法辖区更是高度重视大数据技术带来的个人信息安全问题，探讨大数据时代对个人信息或隐私的现实影响和潜在威胁并采取积极法律保护措施具有重大意义。

关键词：大数据；个人信息法律保护

中图分类号：D923

DOI：10.13784/j.cnki.22-1299/d.2018.01.001

一、欧盟网络用户个人信息保护的法律制度

欧盟主要采取统一立法的模式对网络用户的个人信息进行保护，即对公私领域的个人信息进行统一规范、统一立法。1995年欧盟通过了《关于个人数据处理与数据自由流通的保护指令》（“欧盟个人数据保护指令”），欧盟个人数据保护指令明确了与“个人数据”相关的核心隐私原则，包括数据质量原则（以目的限制、数据最小化、准确性和完整性为特征）、同意原则、透明度原则、保密性原则和安全性原则。除了这些核心原则，欧盟个人数据保護指令也旨在确保个人数据在欧盟内的自由流动。欧盟个人数据保护指令存在的主要问题，一是过于依赖知情选择原则。经验研究表明个人通常不会阅读也不理解隐私政策，而且隐私政策中的模糊语言容易被企业利用，导致知情选择原则事实上是空洞的，没有实际效果。二是欧盟个人数据保护指令虽然有数据最小化原则，但现实中几乎没有数据保护机构迫使技术公司重新设计其软件、硬件或业务流程以最小化数据处理或使数据主体匿名使用此类系统的实例。三是技术能力在不断改进和扩张，个人创建、共享和使用个人数据的方式在不断变化，而欧盟个人数据保护指令却没有跟上全球互联网技术发展的步伐。

2012年欧盟出台了《一般数据保护条例》，该条例对1995年出台的欧盟个人数据保护指令的内容进行更新，譬如扩大了数据控制者和处理者的说明责任，引入了被遗忘权（Right to Be Forgotten）和数据迁移权等等。

2016年欧盟通过的《个人数据保护一般规则》是目前世界范围内针对个人信息保护立法水平最高、保护力度最大的一部法律。与旧法相比，其新增或调整的主要条款有：将法律适用的主体范围扩大至境外企业；增加了透明度原则和最少够用原则；增加了被遗忘权和数据的迁移权；提高了处罚力度。例如，该规则第5条规定了数据处理的基本原则，处理个人数据应当满足：（1）合法、正当、透明；（2）处理数据的目的是有限的；（3）仅处理为达到目的的最少数据；（4）确保数据准确、时新；（5）储存数据的期限不得长于为达到目的所需的时间。第17条还规定了学者们热烈讨论的被遗忘权。该条例为全球范围内的其他国家或地区树立了个人信息保护高标准的法律模板，其他国家可能需要紧跟欧盟的立法步伐，以免在数据保护和利用方面受制于人；另外，由于数据保护的高标准，监管力度之大和处罚之严格，很可能使企业负担过多的运营成本。

二、美国网络用户个人信息保护的法律制度

美国对于网络用户的个人信息既有立法上的保护，又有行业自律上的规制。在立法上，美国没有一部统一的法律保护个人信息，它是在各个不同的领域通过立法来调整个人信息保护的规范事项。美国保护个人信息的立法文件主要有：1974年美国的《隐私法》（Privacy Act）规定了联邦机构应限制个人信息的披露；《公平信用报告法》（Fair Credit Reporting Act）规范私人机关收集、储存和处理个人信息；《电脑资料比对与隐私保护法》（Computer Matching Privacy Protection Act of 1988）对自动化处理中的个人信息予以保护。传统上，美国民事隐私保护工作侧重于规范三个主要活动：信息收集、处理和披露。例如，1986年《电子通信隐私法》（ECPA）禁止未经授权收集通信内容；《公平信用报告法》禁止为某些目的使用财务记录；1988年《视频隐私保护法》禁止披露视频租赁记录。

除了立法文件外，如联邦贸易委员会、商务部、能源部等政府机构，也在专门领域提出了相关的指导性报告和规范性文件。例如美国联邦贸易委员会（FTC）提出了“通知与选择”（Notice and Choice）的模式来规范业界的行为。

美国公民自由联盟（ACLU）是对隐私的坚定倡导者，其认为新技术的发展和个人隐私保护不是水火不容的关系，二者是可以共存的。保护公民的在线隐私是合理和必要的，政府应该帮助确定美国公民隐私保护的边界。云安全联盟（Cloud Secure Alliance，CSA）是一个非营利性组织，它致力于推广云计算安全保障的最佳做法，它还创建了一个大数据工作组，以应对大数据的安全服务问题。CSA将不同的安全和隐私挑战分类为大数据生态系统的四个不同方面，即基础设施安全、数据隐私、数据管理、完整性和反应性安全。

2012年，奥巴马政府为了应对网络时代的高速发展和大数据的挑战，以及恢复消费者的信任，颁布了《消费者隐私权法案》（Consumer Privacy Bill of Rights），为互联网企业在透明度、安全性和用户个人数据控制上提供了指南。消费者隐私权法案要求：个人控制，消费者有权控制何种个人信息被收集以及个人信息以何种方式进行使用；透明度，消费者有权获得关于隐私和安全事项的信息；情境一致，消费者有权要求公司收集、使用、披露个人信息的方式与消费者提供数据的方式相一致；安全性，消费者有权要求数据处理的安全性；访问权和更正权，如果数据的不准确会导致数据的敏感性问题或者给消费者带来不良后果，则消费者有权以合适的方式对数据进行更正；重点收集，消费者有权合理限制公司对个人数据量的收集；问责制，消费者有权要求公司以合理方式处理个人信息时符合消费者隐私权法案的要求。

2012年3月26日，FTC发布了保护美国消费者隐私和在个人数据的收集使用上赋予美国消费者更多控制权的最终报告。该报告题为“在快速变革的时代保护消费者隐私：对企业和政策制定者的建议”，针对消费者不知情的情况下的数据的收集和共享，提出了消费者隐私的保护框架，扩展了2010年12月公布的初步工作人员报告。FTC还建议美国国会考虑制定一般的隐私立法，数据安全和违约通知作业的立法和数据经纪人立法。FTC的隐私报告号召企业用以下措施来保护消费者隐私，其中包括：企业在开发产品的每一个阶段都应建立对消费者的隐私保护机制。这些措施包括保障消费者数据合理安全、对消费者数据进行有限收集、数据保留以及利用合理的程序促进数据的准确性。为企业和消费者简化选择，企业应该给予消费者何种信息可以被共享的选择权。这些措施包括拒绝追踪机制，这是消费者能控制自己在线活动的一种简单方法。更高的透明度，企业应披露其收集和使用消费者信息的详细信息，并为消费者提供对收集数据的访问权。