万博88娱乐城
 
  工 商 动 态
  理 论 研 究
  政 策 导 航
  新 闻 摘 要
 
 
  专项工作 更多
 
 你当前位置:首页 >> 理论研究
个人信息保护制度设计应避免三大误区
序号:662   发布时间:2017-03-27   阅读:511次    

阅读提示
  
云计算、物联网、移动互联网、人工智能等技术的发展,促使数据应用不断融入每个消费者的日常生活。与此同时,个人信息数据的泄露、盗用、买卖等侵犯隐私权的行为也伴生出现。面对个人信息的正向使用与负向使用并存的现实,立法层面如何设计个人信息保护制度,关乎数据产业的可持续发展及用户隐私权的保护。本文作者结合数据合规工作实践及参与信息保护相关标准制定的经历,提出个人信息保护制度设计时需避免的几类误区,供读者借鉴和思考。

误区一:把传统的隐私保护制度套用在个人信息保护上
  1890年美国著名法律学者布兰代斯和沃伦在《哈佛法律评论》上发表的《隐私权》一文中首次提出隐私权的概念,此后隐私权逐渐被各国立法所确认。传统的隐私权是一种保障个人“不受打扰”的防御性权利,隐私权的创设是为了对抗当时立拍即现的照相技术和报刊对私人和家庭的侵入。传统的隐私保护制度设计的出发点是制止对个人隐私的负向使用。
  在大数据背景下发展出来的个人信息保护,是为了规制基于个人信息过度正向使用可能造成的侵权,其建立在个人信息的正向使用基础上,这与传统隐私保护制度设计的基础完全不同。当然,并不是说数据时代的隐私保护不需要制止个人信息的负向使用,而是说个人信息正向使用和负向使用规制的原则和路径不同。
  个人信息保护正向使用的规制是为个人信息的合理使用划定边界并建立合规使用的规则,正如交通规则一样,是为了车辆行驶与行人安全之间建立一种良性的秩序。如以制止负向使用的原则来规制数据正向使用,无疑会将“洗澡水和孩子一起倒掉”。因此,个人信息保护制度设计要防止陷入用传统的隐私保护制度套用个人信息保护的误区。
  从国内两部有关个人信息保护的重要立法关于个人信息概念描述的对比可以看出,我国立法已关注到传统的隐私保护与个人信息保护的区别。《全国人民代表大会常务委员会关于加强网络信息保护的决定》把个人信息定义为“能够识别公民个人身份和涉及公民个人隐私的电子信息”;今年6月1日将实施的《网络安全法》把个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。前者对个人信息的定义是识别性+隐私,后者对个人信息的定义仅有识别性,删除了“隐私”这个词。个人认为,这一细微变化是个人信息保护立法设计的重要里程碑。

误区二:把数据安全与个人信息保护混同
  数据安全的核心是数据防泄露,数据防泄露是指通过技术和管理两个方面防止数据被泄露到外部从而避免数据被用于未经授权的行为。数据防泄露主要是从数据行为安全、数据内容安全、数据环境安全三个方面进行规则设计。沿用传统的隐私保护中制止负向使用的思路讨论个人信息保护,很容易将数据安全与个人信息保护混同,原因在于数据安全的规则也是对负向的制止,规则设计的原则与传统隐私规则基本相同。实际上,数据安全与个人信息保护是数据业务的两个基本问题,数据安全是数据使用的基石,个人信息保护是数据使用的边界,两者之间有交叉但并不是同一个范畴的问题。
  数据安全作为数据业务的基石,从严的制度设计是数据业务健康发展的基础保障,不符合数据安全要求的数据业务本身就是不健康的。但应当避免将数据安全与个人信息保护混同,将数据安全从严的理念简单直接地引入到个人信息保护的制度设计中,这样会导致数据正向使用的合规边界越来越窄,抑制数据产业的健康发展。就像汽车一样,汽车方便人们生活的同时,也会带来交通事故。为了引导人们合理使用汽车,就产生了交通规则。可以预测,未来人们对于数据安全的要求会越来越高,但对于隐私的敏感度会越来越开放。

误区三:个人信息保护制度的引入忽略隐私观的差异
  隐私观是影响个人信息保护制度设计的重要因素之一。目前全球通行的个人信息保护规则中的很多理念及制度设计也是源于隐私观的影响,最为典型的是美国与欧盟个人信息保护的立法差异。美国将隐私看作一种利益,隐私保护规制的是隐私被滥用,强调的是数据处理后果;而欧盟将个人信息看作人权的一部分,个人信息保护是为了使个人信息免于被收集,强调的是数据处理符合程序要求。个人信息保护规则在一国有效并不意味着在另一国也必然有效。在个人信息保护制度引入时需关注到隐私观的差异。欧盟个人信息保护立法中的“敏感数据”这个概念的引入即是一个例子。
  欧盟《个人数据保护指令》第8条为泄露种族血统、政治观点、宗教或哲学信仰、工会成员资格的个人数据,以及处理的与健康或性生活相关的数据,即“敏感数据”提供了特别保护。尽管欧盟各国对于“敏感数据”的范围各成员国的差异较大,但均是基于本国隐私观的文化背景下的较为清晰的界定。
  “敏感数据”的概念引入到国内后,对于敏感数据的收集、使用应当严格限制,但敏感数据具体包括哪些内容,却难有一个普遍认可的范围,原因在于忽略了这一概念背后的隐私观的内核。
  隐私观并非一成不变的,其随着时代发展而不断变化。影响隐私观的因素主要有三个:一是技术,技术改变人们对于世界的理解,当然也包括隐私。二是文化,几千年来中国乡村的熟人社会范式,至今影响着人们的隐私观。文化影响着人们对隐私敏感度的偏向,关注哪些隐私,不关注哪些隐私。三是需求满足,需求满足影响人们对隐私合规使用的观念改变,需求满足也是判断个人信息收集合理性和必要性的重要标准。数据时代个人信息保护的制度设计应当依托本国隐私观的文化背景,理性借鉴国外个人信息保护制度。
  在数据产业蓬勃发展的时代背景下,个人信息保护制度设计应当综合考虑隐私观的影响,避免陷入以制止个人数据负向使用的严格原则直接规制个人数据正向使用的误区。个人信息保护的制度设计不仅需要关注个人信息的滥用及过度使用,同时应当给企业指明个人信息合规使用的方向和边界。笔者认为,个人信息保护制度设计除建立制止负向使用的规则外,更应在个人信息合规使用方面建立具有可操作性的数据使用商业规则,而非仅限于个人信息保护原则的简单扩展。

□阿里巴巴集团法务部 陈小江

 
       
制作中心:万博娱乐开户
Email:jygsj168@163.com    电话:0663-8291512    经营许可证编号:粤ICP备010002号