大數據時(shí)代個(gè)人信息保護的新思路

　　隨著(zhù)全球范圍內大數據產(chǎn)業(yè)的全面推進(jìn)，公民隱私及個(gè)人信息保護問(wèn)題也日益凸顯，傳統個(gè)人信息保護框架在大數據時(shí)代遭遇嚴峻沖擊，如何尋求個(gè)人信息的合理及有效保護成為各國普遍面臨的難題。個(gè)人信息不僅承載著(zhù)個(gè)人權益，也在很大程度上牽涉到商業(yè)機密、企業(yè)信譽(yù)、國家安全與信息主權，因此，應妥善協(xié)調產(chǎn)業(yè)發(fā)展與個(gè)人信息保護，積極探索順應時(shí)代特征的新思路，構建安全、信任的大數據產(chǎn)業(yè)環(huán)境。

　　大數據時(shí)代，個(gè)人信息保護面臨前所未有的新挑戰。首先，隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的普及和智能穿戴等物聯(lián)網(wǎng)設備的應用，個(gè)人信息的收集日益密集和隱蔽；第二，多重來(lái)源的個(gè)人信息進(jìn)行比對累積，能夠形成完整的個(gè)人畫(huà)像和實(shí)時(shí)追蹤，使人們無(wú)處遁形；第三，大數據技術(shù)能通過(guò)特定算法從既有信息中挖掘出新結論，不僅增加敏感信息暴露的風(fēng)險，還可能用于影響個(gè)人權益的決策，如評估個(gè)人信用狀況等；第四，在數據開(kāi)發(fā)價(jià)值的驅使下，個(gè)人信息的流轉、交易形成鏈條，信息處理主體多元，傳播方式紛繁復雜，對于個(gè)人權利行使及政府監管均構成嚴峻挑戰。總之，大數據時(shí)代，個(gè)人信息的收集方式、使用目的及后果影響日趨失控，個(gè)人隱私及數據安全面臨嚴峻威脅。

　　面對大數據時(shí)代的挑戰，傳統以“知情同意”為核心的個(gè)人信息保護框架日益捉襟見(jiàn)肘，在適用方面陷入全面困境。首先，在個(gè)人信息定義方面，海量信息的收集比對大大提升信息識別個(gè)人的能力，個(gè)人信息邊界日益模糊，匿名化操作困難；第二，在目的限定原則方面，信息比對及二次利用是大數據價(jià)值開(kāi)發(fā)的核心，個(gè)人信息超出原初目的的利用在大數據環(huán)境下成為常態(tài)，傳統目的限定原則被不斷突破；第三，在用戶(hù)同意與用戶(hù)控制方面，個(gè)人信息收集的隱蔽性及流轉的復雜性超出預先告知及用戶(hù)的理解能力，用戶(hù)往往除點(diǎn)擊同意外并無(wú)其他選擇，用戶(hù)控制難以行使，權利實(shí)質(zhì)被架空；第四，在多方主體責任認定方面，多元主體尤其是第三方信息中介的力量異軍突起，傳統架構中難以尋求有效的適用規定，造成其責任界定不清與監管空白；第五，在信息跨境流通方面，各國間個(gè)人信息保護法律制度存在顯著(zhù)差異，對個(gè)人信息的跨境自由流通構成嚴重阻礙。

　　造成傳統框架全面困境的根本原因在于，其脫節于大數據時(shí)代的個(gè)人信息生態(tài)系及流轉方式，已經(jīng)無(wú)法適應新業(yè)態(tài)的發(fā)展需求，因而需要及時(shí)轉變觀(guān)念，在新的背景下重新審視個(gè)人信息保護的規則及秩序，構建平衡產(chǎn)業(yè)發(fā)展與個(gè)人信息保護的新思路。

　　面對傳統框架的困境，國際上諸多機構及學(xué)者進(jìn)行了反思與建議，歐盟、日本為首的國家也紛紛對既有立法進(jìn)行重新審視和修訂，美國更是發(fā)布《消費者隱私權利法案》草案，跳出了傳統框架，構建大數據時(shí)代的新思路。筆者結合國際機構、學(xué)者建議以及新興立法的規定與趨勢，將順應大數據時(shí)代的個(gè)人信息保護新思路梳理如下：

　　傳統框架以個(gè)人信息定義作為法律適用的前提與邊界，然而在大數據時(shí)代需要扭轉思路。首先，突破對個(gè)人信息定義的路徑依賴(lài)。大數據時(shí)代個(gè)人信息邊界日益模糊，傳統意義上的非個(gè)人信息通過(guò)關(guān)聯(lián)比對也可能識別出個(gè)人，如美國眾多機構及學(xué)者所指出，大數據環(huán)境下已不存在絕對意義的非個(gè)人信息，與此同時(shí)信息的性質(zhì)是動(dòng)態(tài)的，無(wú)法脫離具體場(chǎng)景做抽象界定。因此，探究個(gè)人信息精準定義的傳統思路已不合時(shí)宜，以“不構成個(gè)人信息”作為排除法律適用的理由也不再充分。第二，重視個(gè)人信息使用環(huán)節的監管。世界經(jīng)濟論壇（WEF）等機構及諸多學(xué)者均強調，大數據環(huán)境下的隱私風(fēng)險并非產(chǎn)生于個(gè)人信息收集之初，而是在于具體的使用環(huán)節，即同一筆信息因使用場(chǎng)景的不同，帶來(lái)的后果也有所差異。因此，應將重心由個(gè)人信息收集階段向使用階段轉移，側重對后端使用環(huán)節的監管，適度放寬個(gè)人信息定義及前端收集環(huán)節的限制。

　　目的限定原則是個(gè)人信息保護的核心原則，針對其在新業(yè)態(tài)中的適用困境，新思路加以重新解讀。首先，以用戶(hù)合理預期為中心，重構個(gè)人信息保護邊界。WEF研究報告指出，個(gè)人信息保護即確保個(gè)人信息的合理利用，是否構成合理利用取決于用戶(hù)自身是否接受，即用戶(hù)對其個(gè)人信息的收集利用是否有合理預期。因此，大數據時(shí)代，對法定目的的僵化遵循已不合時(shí)宜，應以用戶(hù)主觀(guān)預期為核心重構個(gè)人信息保護的合理邊界。第二，以隱私風(fēng)險為導向，變目的限定為風(fēng)險限定。個(gè)人信息保護的目標是合理控制隱私風(fēng)險，即個(gè)人信息的處理給用戶(hù)帶來(lái)精神壓力、差別待遇及人身財產(chǎn)損害的可能性。個(gè)人信息利用尤其是二次利用是否合理，并非取決于是否符合原初目的，而關(guān)鍵在于新目的能否引發(fā)不合理的風(fēng)險。大數據環(huán)境下，應將“目的限定”原則重新解讀為“風(fēng)險限定”原則，美國《消費者隱私權利法案》草案及歐盟數據保護改革草案均新增了隱私風(fēng)險評估的義務(wù)，規定企業(yè)應合理控制隱私風(fēng)險。

　　針對用戶(hù)同意及用戶(hù)控制難以行使的困境，新思路主要從以下兩方面加以改進(jìn)。第一，規定個(gè)人信息使用在相應場(chǎng)景中合理時(shí)無(wú)需用戶(hù)同意。傳統架構過(guò)度依賴(lài)用戶(hù)同意作為個(gè)人信息使用的授權，美國《消費者隱私權利法案》草案做出里程碑式改革，以“相應場(chǎng)景中合理”為標準取代用戶(hù)同意，在不合理時(shí)方需要用戶(hù)做出選擇，提升用戶(hù)同意與控制的針對性，同時(shí)減輕企業(yè)與用戶(hù)負擔。第二，增強個(gè)人信息處理各環(huán)節的透明度。美國白宮題為《大數據：抓住機遇，堅守價(jià)值》的報告指出，良好的透明度能夠增進(jìn)用戶(hù)參與，延伸用戶(hù)控制，是大數據時(shí)代隱私保護的核心手段。加拿大隱私保護官員率先提出隱私設計（Privacy by Design）的理念，將隱私理念植入技術(shù)架構設計，幫助提升透明度及用戶(hù)體驗。

　　大數據時(shí)代，以“數據堂”為代表的大批信息中介服務(wù)商異軍突起，成為個(gè)人信息生態(tài)鏈的關(guān)鍵一環(huán)，然而在傳統框架中存在監管真空的困境，新思路從兩方面加以應對。第一，突出信息中介獨立的法律地位。如美國FTC報告所指出，應賦予信息中介獨立的法律地位以加強監管。美國議員已提交《信息中介責任與透明度法案》草案，針對第三方中介做出專(zhuān)門(mén)性立法，明確其法律責任。第二，運用隱私影響評估的工具。隱私影響評估（PIA）是當前國際通用的工具，通過(guò)此普適性的工具，能夠將第一方信息收集者和第三方中介統一納入通用的評估體系，根據個(gè)人信息處理行為引發(fā)的風(fēng)險等級確立相應的保護義務(wù)，構建大數據環(huán)境下多元主體的新秩序。

　　針對各國法制的差異為信息跨境流通造成的障礙，新思路從三方面提出方案。首先，運用場(chǎng)景理念推動(dòng)國際通用框架的構建。美國FTC報告指出，通過(guò)將影響用戶(hù)接受度的場(chǎng)景分解為各要素，尊重國際共通的因素，調節地區性差異因素，使全球通用的個(gè)人信息保護框架的構建成為可能。第二，推動(dòng)國際執法協(xié)作與構建流通框架。各國間的執法協(xié)作和框架協(xié)議是規范跨境流通的必由之路。近日歐美數據傳輸安全港協(xié)議的充分性決定被判無(wú)效，美歐計劃加緊談判促進(jìn)雙方執法協(xié)作，推動(dòng)“安全港2.0”方案早日出臺。第三，強化企業(yè)作為主體的責任。加拿大個(gè)人隱私權保護委員會(huì )等機構強調了以“組織機構”為核心的理念，即增進(jìn)企業(yè)作為數據跨境流通主體的責任意識，加強對企業(yè)層面的監管，提升行業(yè)自律水平。

　　范為，中國信通院安全研究所助理工程師。北京大學(xué)法學(xué)院碩士，曾留學(xué)德國洪堡大學(xué)及臺灣政治大學(xué)專(zhuān)門(mén)從事個(gè)人信息保護研究，北京大學(xué)信息管理系大數據方向在職班在讀。研究專(zhuān)長(cháng)為信息安全與信息隱私（個(gè)人信息保護），國際隱私專(zhuān)家協(xié)會(huì )六重認證專(zhuān)家（信息技術(shù)，信息管理，政府信息治理，美國、歐盟、加拿大法方向），ISO 27001信息系統安全主任審核員。