大数据时代美国的隐私权保护

20142014 年年 5 5 月 美国总统执行办公室 月 美国总统执行办公室 ExecutiveExecutive OfficeOffice ofof thethe PresidentPresident 发布发布 20142014 年全球年全球 大数据大数据 白皮书白皮书 大数据 把握机遇 守护价值大数据 把握机遇 守护价值 BigDataBigData SeizeSeize Opportunities PreservingOpportunities Preserving ValuesValues 以下简称 以下简称 白皮书白皮书 对美国大数据应用与管理的现状 政策框架和改进建议进行了集中阐述 对美国大数据应用与管理的现状 政策框架和改进建议进行了集中阐述 从从 白皮书白皮书 所代表的价值判断来看 美国政府更为看重大数据为经济社会发所代表的价值判断来看 美国政府更为看重大数据为经济社会发 展所带来的创新动力 对于可能与隐私权产生的冲突 则以解决问题的态度来展所带来的创新动力 对于可能与隐私权产生的冲突 则以解决问题的态度来 处理 从具体措施来看 处理 从具体措施来看 白皮书白皮书 援引美国总统科学和技术顾问委员会 以援引美国总统科学和技术顾问委员会 以 下简称下简称 PCAST PCAST 独立报告 独立报告 大数据与个人隐私 一种技术的视角大数据与个人隐私 一种技术的视角 一文提出 一文提出 原有的原有的 告知与同意告知与同意 框架已经被大数据所带来的正面效益打败了框架已经被大数据所带来的正面效益打败了 应当 应当 根据大数据的时代特点予以调整 根据大数据的时代特点予以调整 一 一 白皮书白皮书 出台的背景出台的背景 大数据技术发展与隐私权保护的价值争议由来已久 在国际范围内主要体现为大数据技术发展与隐私权保护的价值争议由来已久 在国际范围内主要体现为 美国与欧盟政策取向的差异 在欧盟 个人数据被认为更具保护价值 因此欧美国与欧盟政策取向的差异 在欧盟 个人数据被认为更具保护价值 因此欧 盟及其成员国有着严格的个人数据保护立法 个人数据保护的主要执行机构包盟及其成员国有着严格的个人数据保护立法 个人数据保护的主要执行机构包 括 欧洲法院 是包括数据保护法在内的欧盟法律的最终裁决者 欧盟数据保括 欧洲法院 是包括数据保护法在内的欧盟法律的最终裁决者 欧盟数据保 护专员 护专员 EDPSEDPS 监督欧盟机构遵守数据保护法 同时对于欧盟层面数据保护 监督欧盟机构遵守数据保护法 同时对于欧盟层面数据保护 政策的制定有着重大影响 第政策的制定有着重大影响 第 2929 条工作组 条工作组 欧盟数据保护指令欧盟数据保护指令 第第 2929 条规条规 定 建立一个定 建立一个 在个人数据处理中保护个人的工作组在个人数据处理中保护个人的工作组 一般称之为 一般称之为 第第 2929 条条 工作组工作组 第 第 3131 条委员会 由欧盟成员国政府的代表组成 其他机构 如欧洲条委员会 由欧盟成员国政府的代表组成 其他机构 如欧洲 网络与信息安全局 网络与信息安全局 ENISAENISA 欧盟对侵犯个人数据的行为处罚措施十分严格 包括禁令救济 对公司工作场欧盟对侵犯个人数据的行为处罚措施十分严格 包括禁令救济 对公司工作场 所和数据处理设施的稽查和调查 数额巨大的罚款 以及对于特大违法行为的所和数据处理设施的稽查和调查 数额巨大的罚款 以及对于特大违法行为的 刑事责任处罚等 除此之外 欧盟数据保护机构还会对侵犯个人数据的公司予刑事责任处罚等 除此之外 欧盟数据保护机构还会对侵犯个人数据的公司予 以曝光 以增大惩戒力度 近年来 欧盟官方认为美国谷歌公司 苹果公司等以曝光 以增大惩戒力度 近年来 欧盟官方认为美国谷歌公司 苹果公司等 搜索引擎与移动设备服务供应商通过提供服务非法获取 侵犯公民个人数据 搜索引擎与移动设备服务供应商通过提供服务非法获取 侵犯公民个人数据 曾多次表态要加强对有关企业的监管 而谷歌 苹果等企业也在对欧盟立法机曾多次表态要加强对有关企业的监管 而谷歌 苹果等企业也在对欧盟立法机 构开展游说公关 以减轻可能面临的执法压力 构开展游说公关 以减轻可能面临的执法压力 与之相对的 美国政府在大数据技术与隐私权保护之间更倾向于利用大数据技与之相对的 美国政府在大数据技术与隐私权保护之间更倾向于利用大数据技 术促进经济社会发展 以保持美国在相关领域的领先地位 与此同时 美国政术促进经济社会发展 以保持美国在相关领域的领先地位 与此同时 美国政 府希望以改良的政策框架与法律规则来解决隐私权保护的问题 由于大数据技府希望以改良的政策框架与法律规则来解决隐私权保护的问题 由于大数据技 术的发展运用将对隐私权保护构成严峻挑战 因此 越是希望鼓励大数据技术术的发展运用将对隐私权保护构成严峻挑战 因此 越是希望鼓励大数据技术 更广泛更科学的运用 越是应该通过政策 法律与技术加强公民隐私权利保护 更广泛更科学的运用 越是应该通过政策 法律与技术加强公民隐私权利保护 正如正如 白皮书白皮书 指出 指出 大数据正改变世界 但它并没有改变美国人对于保护大数据正改变世界 但它并没有改变美国人对于保护 个人隐私 确保公平或是防止歧视的坚定信仰 个人隐私 确保公平或是防止歧视的坚定信仰 在此背景下 美国政府出台在此背景下 美国政府出台 了了 白皮书白皮书 及其他系列文件 系统阐述了美国政府大数据战略 并以政策与及其他系列文件 系统阐述了美国政府大数据战略 并以政策与 相关法案构建了其隐私权保护的基本框架 相关法案构建了其隐私权保护的基本框架 二 二 大数据时代大数据时代 对于对于 大数据大数据 白皮书白皮书 并没有给出严格定义 而是指出其内涵将随着技并没有给出严格定义 而是指出其内涵将随着技 术和产业的创新而不断发生变化 作为参考 其他定义都反映了不断增长的捕术和产业的创新而不断发生变化 作为参考 其他定义都反映了不断增长的捕 捉 聚合与处理数据的技术能力 而这个数据集也在数量 速率与种类上持续捉 聚合与处理数据的技术能力 而这个数据集也在数量 速率与种类上持续 扩大 大数据的数据集是扩大 大数据的数据集是 庞大的 多样化的 复杂的 纵深的和庞大的 多样化的 复杂的 纵深的和 或分布式的 或分布式的 由各类仪器设备 传感器 网上交易 电子邮件 视频 点击流 以及现在与由各类仪器设备 传感器 网上交易 电子邮件 视频 点击流 以及现在与 未来所有可以利用的数字化信号源产生未来所有可以利用的数字化信号源产生 的数据合集 根据的数据合集 根据 PCASTPCAST 独立报告的独立报告的 研究 研究 大数据大数据 真正的新颖与不同 在于真正的新颖与不同 在于 4V 4V 数据量 数据量 VolumeVolume 时效 时效 性 性 VelocityVelocity 多变性 多变性 VarietyVariety 可疑性 可疑性 VeracityVeracity 与传统数据采集 与传统数据采集 分析模式不同 分析模式不同 大数据大数据 采集是基于新型传感器等全新数据采集技术进行的 采集是基于新型传感器等全新数据采集技术进行的 从网络应用 可穿戴技术到监测生命体征等特质的检测仪器 低成本高效率的从网络应用 可穿戴技术到监测生命体征等特质的检测仪器 低成本高效率的 数据采集带来数据体量的爆炸 数据格式也越发多样 对于所谓数据采集带来数据体量的爆炸 数据格式也越发多样 对于所谓 天生模拟天生模拟 的信号也可以被转化为数字格式 所谓的信号也可以被转化为数字格式 所谓 天生模拟天生模拟 即天生以模拟信号形式 即天生以模拟信号形式 存在的信息 模拟信号主要是与离散的数字信号相对的连续信号 模拟信号分存在的信息 模拟信号主要是与离散的数字信号相对的连续信号 模拟信号分 布于自然界的各个角落布于自然界的各个角落 如每天温度的变化 信息传递技术与超强的计算机系如每天温度的变化 信息传递技术与超强的计算机系 统使得数据高速分析成为可能 统使得数据高速分析成为可能 大数据大数据 为金融业 医疗保健业等社会各行为金融业 医疗保健业等社会各行 业 以及国家安全 社会干预等各个方面带来巨大改变 使数据资源的价值成业 以及国家安全 社会干预等各个方面带来巨大改变 使数据资源的价值成 倍放大 倍放大 大数据大数据 产生的最大问题 即数据能否可用以及运用的限度问题 具体表现产生的最大问题 即数据能否可用以及运用的限度问题 具体表现 为 数据收集变得无处不在 行为人难以察觉 收集主体告知义务难以有效监为 数据收集变得无处不在 行为人难以察觉 收集主体告知义务难以有效监 测 数据处理专业化 多样化增强 行为人难以控制自己的数据应用情境 原测 数据处理专业化 多样化增强 行为人难以控制自己的数据应用情境 原 有数据储存方式受到挑战 数据泄露风险增大 大数据资源公开与共享诉求与有数据储存方式受到挑战 数据泄露风险增大 大数据资源公开与共享诉求与 隐私权相矛盾等等 对此 美国在原有隐私权政策与法律基础上 通过出台 隐私权相矛盾等等 对此 美国在原有隐私权政策与法律基础上 通过出台 修改立法 提出政策主张 发挥行业自律作用 构建起较为完善且独具特色的修改立法 提出政策主张 发挥行业自律作用 构建起较为完善且独具特色的 大数据环境下的隐私保护体系 大数据环境下的隐私保护体系 三 三 隐私权隐私权 的挑战的挑战 美国隐私权在宪法层面体现为第四修正案 宪法保护美国隐私权在宪法层面体现为第四修正案 宪法保护 人民的人身 住宅 文人民的人身 住宅 文 件和财产不受无理搜查和扣押的权利件和财产不受无理搜查和扣押的权利 正如 正如 PCASTPCAST 独立报告第一部分指出 独立报告第一部分指出 隐私权隐私权 的法律概念在美国历史上经历了发现与演变的过程 从法律角度来的法律概念在美国历史上经历了发现与演变的过程 从法律角度来 看 美国法上的隐私权主要包括 看 美国法上的隐私权主要包括 1 1 公民个人保有秘密或者寻求隐匿的权利 该权利最初由布兰代斯 公民个人保有秘密或者寻求隐匿的权利 该权利最初由布兰代斯 BrandeisBrandeis 大法官在 大法官在 19281928 年年 Olmsteadv UnitedStatesOlmsteadv UnitedStates 案中提出 在本案中 案中提出 在本案中 OlmsteadOlmstead 因私自酿酒被捕 指控其犯罪的证据中有窃听得来的证据 最高法院因私自酿酒被捕 指控其犯罪的证据中有窃听得来的证据 最高法院 最终认定这种收集证据的手段没有第四和第五宪法修正案 可以合法使用 但最终认定这种收集证据的手段没有第四和第五宪法修正案 可以合法使用 但 持反对意见的布兰迪大法官认为 公民有持反对意见的布兰迪大法官认为 公民有 不受打扰的权利不受打扰的权利 成为对隐私权 成为对隐私权 的经典论断 该案件引起美国社会的广泛讨论 产生深远影响 的经典论断 该案件引起美国社会的广泛讨论 产生深远影响 19671967 年 在与年 在与 上述案件案情相似的上述案件案情相似的 Katzv UnitedStatesKatzv UnitedStates 案中 最高法院认定窃听手段获得的案中 最高法院认定窃听手段获得的 证据侵犯了公民的隐私权 予以撤销 公民个人保有秘密或寻求隐匿的权利不证据侵犯了公民的隐私权 予以撤销 公民个人保有秘密或寻求隐匿的权利不 仅获得了确认 而且其保护空间也从住宅扩大到了所有的私人谈话与通讯过程 仅获得了确认 而且其保护空间也从住宅扩大到了所有的私人谈话与通讯过程 2 2 公民个人的匿名表达权 特别在政治意见领域 在 公民个人的匿名表达权 特别在政治意见领域 在 Mclntyrev OhioElectionCommissionMclntyrev OhioElectionCommission 案中 美国联邦最高法院推翻了俄亥俄州案中 美国联邦最高法院推翻了俄亥俄州 有关禁止匿名分发竞选刊物的法规 并指出 匿名表达权对美国宪法的制定至有关禁止匿名分发竞选刊物的法规 并指出 匿名表达权对美国宪法的制定至 关重要 它作为美国的重要传统而融入到美国历史之中 关重要 它作为美国的重要传统而融入到美国历史之中 3 3 在私人信息脱离本人排他所有权之后 控制他人接触到这些信息的能力 在私人信息脱离本人排他所有权之后 控制他人接触到这些信息的能力 例如在联邦贸易委员会例如在联邦贸易委员会 公平贸易实践原则公平贸易实践原则 所呈现的 具体内容见下文第四所呈现的 具体内容见下文第四 部分所述 部分所述 4 4 制止某些运用公民私人信息的消极结果 例如 以 制止某些运用公民私人信息的消极结果 例如 以 DNADNA 信息为基础的就业信息为基础的就业 歧视在歧视在 20082008 年的年的 基因信息非歧视法案基因信息非歧视法案 中被禁止 中被禁止 5 5 个人做出私人决定而不受政府干涉的权利 主要包括个人健康领域 生育 个人做出私人决定而不受政府干涉的权利 主要包括个人健康领域 生育 领域与性生活领域 领域与性生活领域 PCASTPCAST 独立报告指出 在上述五个领域 隐私权与大数据应用之间都发生了冲独立报告指出 在上述五个领域 隐私权与大数据应用之间都发生了冲 突 并且这种冲突会持续发生 这种冲突的原因 在于大数据的数据收集技术突 并且这种冲突会持续发生 这种冲突的原因 在于大数据的数据收集技术 使得公民个人失去对私人信息的有效控制 权利保障被极大削弱 原本并不涉使得公民个人失去对私人信息的有效控制 权利保障被极大削弱 原本并不涉 及个人信息的数据可以通过大数据分析技术得出事关私人事务的信息 从而使及个人信息的数据可以通过大数据分析技术得出事关私人事务的信息 从而使 公民个人难以察觉 更难以作出有效回应 公民个人难以察觉 更难以作出有效回应 值得注意的是 自值得注意的是 自 20102010 年起 奥巴马政府着手提出年起 奥巴马政府着手提出 我的大数据我的大数据 计划措施 计划措施 使美国人能够更好地获取利用自己的个人数据 主要包括 使美国人能够更好地获取利用自己的个人数据 主要包括 兰纽扣兰纽扣 计划 计划 允许消费者获取其健康信息 并与信息提供者进行交换 允许消费者获取其健康信息 并与信息提供者进行交换 创建副本创建副本 计划 计划 允许纳税人获得自己的完整纳税记录及其他信息数据 允许纳税人获得自己的完整纳税记录及其他信息数据 我的学生数据我的学生数据 授 授 权消费者查询自己的助学金等财务信息数据 通过该计划 奥巴马政府倡导公权消费者查询自己的助学金等财务信息数据 通过该计划 奥巴马政府倡导公 共数据的公开透明 并使公民能够获得自身数据 尽管这能够方便公众生活 共数据的公开透明 并使公民能够获得自身数据 尽管这能够方便公众生活 改善政府治理 但在大数据技术环境下可能导致更大范围的信息泄露与非法利改善政府治理 但在大数据技术环境下可能导致更大范围的信息泄露与非法利 用 用 此外 报告还分析了大数据的主要参与主体 政府 企业和公民 政府享有权此外 报告还分析了大数据的主要参与主体 政府 企业和公民 政府享有权 力垄断并且缺乏竞争者 因此缺乏改进技术来保护公民隐私权的动力 在某些力垄断并且缺乏竞争者 因此缺乏改进技术来保护公民隐私权的动力 在某些 情况下 政府的执法需要甚至有可能成为侵犯公民隐私权的原因 企业可以从情况下 政府的执法需要甚至有可能成为侵犯公民隐私权的原因 企业可以从 大数据中获得经济效益 尽管可能面临侵权受罚的风险 但这在目前来看是微大数据中获得经济效益 尽管可能面临侵权受罚的风险 但这在目前来看是微 不足道的 因此企业具有侵犯公民隐私权的动力 有足够动力保护隐私权的仅不足道的 因此企业具有侵犯公民隐私权的动力 有足够动力保护隐私权的仅 有公民一方 有公民一方 白皮书白皮书 指出 大数据的发展本身就是非对称的过程 公民由指出 大数据的发展本身就是非对称的过程 公民由 于受到技术条件与有限知识水平约束 并不具备足够的保护自身数据隐私的能于受到技术条件与有限知识水平约束 并不具备足够的保护自身数据隐私的能 力 在这个非对称的时代中 公民的隐私权保护力量与市场主体的侵犯动力之力 在这个非对称的时代中 公民的隐私权保护力量与市场主体的侵犯动力之 间相差悬殊 间相差悬殊 隐私权隐私权 的定义与保护方式都受到挑战 的定义与保护方式都受到挑战 四 原有数据应用下的隐私保护体系四 原有数据应用下的隐私保护体系 美国保护隐私利益的法律框架 覆盖了宪法 联邦 各州等层面 最初 美国美国保护隐私利益的法律框架 覆盖了宪法 联邦 各州等层面 最初 美国 隐私权保护主要针对的是公权力对公民隐私权的侵犯 隐私权保护主要针对的是公权力对公民隐私权的侵犯 19341934 年年 侵权法重述侵权法重述 则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因 计算机技术发展带则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因 计算机技术发展带 来的数据隐私问题在来的数据隐私问题在 19731973 年首次进入公众视野 美国卫生 教育与福利部发布年首次进入公众视野 美国卫生 教育与福利部发布 了一份题为了一份题为 录音 计算机与公民权利录音 计算机与公民权利 RecordsRecords ComputersComputers andtheRightsofCitizensandtheRightsofCitizens 的报告 分析了 的报告 分析了 自动化自动化 个人数据系统可能导致的不良后果个人数据系统可能导致的不良后果 并提出了广为人知的 并提出了广为人知的 公平信息实践法公平信息实践法 则则 FairInformationPracticePrinciplesFairInformationPracticePrinciples 简称为 简称为 FIPPSFIPPS 成为数据保护 成为数据保护 制度的基石 该法则规定个人有权知道他人收集了哪些关于他的信息 以及这制度的基石 该法则规定个人有权知道他人收集了哪些关于他的信息 以及这 些信息是如何被使用的 个人有权拒绝某些信息使用并更正不准确的信息 信些信息是如何被使用的 个人有权拒绝某些信息使用并更正不准确的信息 信 息收集组织有义务保证信息的可靠性并保护信息安全 这些内容成为息收集组织有义务保证信息的可靠性并保护信息安全 这些内容成为 19741974 年年 隐私法案隐私法案 的基础 并被其他国家和国际组织所接受 的基础 并被其他国家和国际组织所接受 2020 世纪世纪 8080 年代 美国根据行业特点 专门制定了行业隐私法律 为以侵权行年代 美国根据行业特点 专门制定了行业隐私法律 为以侵权行 为为基础的习惯法提供了补充 为为基础的习惯法提供了补充 1 1 金融领域 金融领域 金融隐私权法案金融隐私权法案 TheRighttoFinancialPrivacyActTheRighttoFinancialPrivacyAct RFPARFPA 对银行雇员披露金融记录及联邦 对银行雇员披露金融记录及联邦 立法机构获得个人金融记录的方式进行限制 立法机构获得个人金融记录的方式进行限制 金融服务现代化法案金融服务现代化法案 FinancialServicesModernizationActof1999FinancialServicesModernizationActof1999 要求金融机构尊重客户隐私并 要求金融机构尊重客户隐私并 保护客户非公共信息的安全与机密 保护客户非公共信息的安全与机密 2 2 保险领域 保险领域 健康保险隐私及责任法案健康保险隐私及责任法案 TheHealthInsurancePortabilityandAccountabilityActof1996TheHealthInsurancePortabilityandAccountabilityActof1996 HIPAAHIPAA 规定个人健康信息只能被特定的 法案中明确的主体使用并披露 个人可以控规定个人健康信息只能被特定的 法案中明确的主体使用并披露 个人可以控 制了解其本人的健康信息 但要遵循一定程序标准 制了解其本人的健康信息 但要遵循一定程序标准 3 3 电视领域 电视领域 有线通讯隐私权法案有线通讯隐私权法案 CableCommunicationPolicyActCableCommunicationPolicyAct 禁止闭路电视经营者在未获得用户事先同意情况下利用有线系统收集用户的个禁止闭路电视经营者在未获得用户事先同意情况下利用有线系统收集用户的个 人信息 人信息 电视隐私保护法案电视隐私保护法案 CableTVPrivacyActof1984CableTVPrivacyActof1984 将隐私权保护 将隐私权保护 范围扩展到录像带销售或租赁公司的顾客 范围扩展到录像带销售或租赁公司的顾客 4 4 电信领域 电信领域 19961996 年年 电讯法电讯法 TelecommunicationActTelecommunicationAct 规定电讯经 规定电讯经 营者有保守客户财产信息秘密的义务 营者有保守客户财产信息秘密的义务 5 5 消费者信用领域 消费者信用领域 公平信用报告法公平信用报告法 TheFairCreditReportingActTheFairCreditReportingAct 该法属于消费者保护法系列 规定了消费者个人对信用调查报告的权利 规范该法属于消费者保护法系列 规定了消费者个人对信用调查报告的权利 规范 了消费者信用调查了消费者信用调查 报告机构对于报告的制作 传播 对违约记录的处理等事项 报告机构对于报告的制作 传播 对违约记录的处理等事项 明确了消费者信用调查机构的经营方式 明确了消费者信用调查机构的经营方式 6 6 儿童隐私保护领域 儿童隐私保护领域 儿童在线隐私权保护法案儿童在线隐私权保护法案 TheChildren TheChildren sOnlinePrivacyProtectionActsOnlinePrivacyProtectionAct COPPACOPPA 规定了网站经营者必须向其父母提 规定了网站经营者必须向其父母提 供隐私权保护政策的通知 以及网站对供隐私权保护政策的通知 以及网站对 1313 岁以下儿童个人信息的收集和处理原岁以下儿童个人信息的收集和处理原 则与方式等 则与方式等 总括来看 传统的信息保护方案主要遵循总括来看 传统的信息保护方案主要遵循 公平信息实践法则公平信息实践法则 基本安排是 基本安排是 告知与同意告知与同意 框架 并按照行业领域进行细分 但在大数据时代 原有的保护框架 并按照行业领域进行细分 但在大数据时代 原有的保护 方案具有较大局限性 第一 数据收集技术的发展 使得数据可以不再以显性方案具有较大局限性 第一 数据收集技术的发展 使得数据可以不再以显性 方式进行收集 数据行为人难以察觉 第二 数据服务企业的兴起 许多数据方式进行收集 数据行为人难以察觉 第二 数据服务企业的兴起 许多数据 服务企业并不在原有法律规则监管范围内 第三 行业数据之间界限的模糊 服务企业并不在原有法律规则监管范围内 第三 行业数据之间界限的模糊 一项购物习惯数据可能同时显示出行为人的金融行为数据 第四 第三方数据一项购物习惯数据可能同时显示出行为人的金融行为数据 第四 第三方数据 储存与云计算被广泛运用 而这些第三方机构并不与消费者直接接触 信息的储存与云计算被广泛运用 而这些第三方机构并不与消费者直接接触 信息的 储存与责任承担成为潜在问题 第五 传统信息保护方案与奥巴马政府回应大储存与责任承担成为潜在问题 第五 传统信息保护方案与奥巴马政府回应大 数据公开诉求的相关政策存在潜在冲突 数据公开诉求的相关政策存在潜在冲突 因此 大数据时代的美国隐私保护政策与法律 重点关注的是更具普遍适用意因此 大数据时代的美国隐私保护政策与法律 重点关注的是更具普遍适用意 义的 更符合大数据运作特点的 不会限制大数据技术和应用发展的 更具可义的 更符合大数据运作特点的 不会限制大数据技术和应用发展的 更具可 操作性的方案 操作性的方案 五 五 大数据时代大数据时代 的隐私保护的隐私保护 针对大数据的特点 美国政府提出了在不阻碍大数据发展的情况下 解决隐私针对大数据的特点 美国政府提出了在不阻碍大数据发展的情况下 解决隐私 权保护问题的基本方案 涉及政策调整 法律制定与技术革新等多个方面 权保护问题的基本方案 涉及政策调整 法律制定与技术革新等多个方面 一 隐私保护政策框架 一 隐私保护政策框架 在在 白皮书白皮书 中 美国政府认为中 美国政府认为 告知与同意告知与同意 框架已经不能满足隐私权保护框架已经不能满足隐私权保护 的需要 的需要 白皮书白皮书 提出 对于现在绝大多数用户与企业进行的普通信息交互提出 对于现在绝大多数用户与企业进行的普通信息交互 来说 来说 告知与同意告知与同意 框架充分保护了隐私 但美国总统科学和技术顾问委员框架充分保护了隐私 但美国总统科学和技术顾问委员 会表示 技术轨迹正在转向采集 使用和储存对消费者和个人没有直接联系的会表示 技术轨迹正在转向采集 使用和储存对消费者和个人没有直接联系的 数据上来 假如数据上来 假如 告知与同意告知与同意 框架更容易被违背 则我们需要重新关注数据框架更容易被违背 则我们需要重新关注数据 的使用一端 而不是原来的采集一端 美国政府认为 大数据时代的隐私保护的使用一端 而不是原来的采集一端 美国政府认为 大数据时代的隐私保护 应当关注于使用责任制 使数据的采集者和使用者对数据的管理及其可能产生应当关注于使用责任制 使数据的采集者和使用者对数据的管理及其可能产生 的危害负责 而不是狭隘的将其责任定义为是否通过正常途径采集数据 的危害负责 而不是狭隘的将其责任定义为是否通过正常途径采集数据 白皮书白皮书 补充认为 更多的关注责任并不意味着忽视收集的环境 对数据负补充认为 更多的关注责任并不意味着忽视收集的环境 对数据负 责的一个方面就是要尊重原始数据的采集 也就是说 原有的责的一个方面就是要尊重原始数据的采集 也就是说 原有的 告知与同意告知与同意 框架仍然应当得到最大程度的遵守 并随着技术的发展进行调整 从而能够应框架仍然应当得到最大程度的遵守 并随着技术的发展进行调整 从而能够应 对大数据带来的一些挑战 对大数据带来的一些挑战 此外 美国政府对隐私保护政策框架持较为开放的态度 认为应当关注的是如此外 美国政府对隐私保护政策框架持较为开放的态度 认为应当关注的是如 何在大数据所带来的效益 与隐私权等由于大数据采集信息而不可避免遭受损何在大数据所带来的效益 与隐私权等由于大数据采集信息而不可避免遭受损 失的价值之间 做到合理的平衡 与此同时美国政府在白皮书中也重申 失的价值之间 做到合理的平衡 与此同时美国政府在白皮书中也重申 尽尽 管我们生活在一个能够比过去更自由的共享个人信息的世界 但我们必须坚决管我们生活在一个能够比过去更自由的共享个人信息的世界 但我们必须坚决 否认隐私价值已经过时 隐私从一开始就一直是我们民主制度的心脏 而现在 否认隐私价值已经过时 隐私从一开始就一直是我们民主制度的心脏 而现在 我们比以往任何时候更需要它我们比以往任何时候更需要它 二 隐私保护的立法建议 二 隐私保护的立法建议 20122012 年年 2 2 月月 2323 日 美国总统奥巴马签署美国白宫发布的工作报告日 美国总统奥巴马签署美国白宫发布的工作报告 网络环境网络环境 下消费者数据的隐私保护下消费者数据的隐私保护 在全球数字经济背景下保护隐私和促进创新的政策在全球数字经济背景下保护隐私和促进创新的政策 框架框架 ConsumerDataPrivacyinANetworkedWorldConsumerDataPrivacyinANetworkedWorld AFrameworkforProtectingPrivacAFrameworkforProtectingPrivac yandPromotingInnovationintheGlobalDigitalEconomyyandPromotingInnovationintheGlobalDigitalEconomy 以下简称 以下简称 消费者消费者 隐私保护报告隐私保护报告 该报告正式提出 该报告正式提出 消费者隐私权利法案消费者隐私权利法案 ConsumerPrivacyBillofRightsConsumerPrivacyBillofRights 向社会公众公布并提请国会进行审议 报 向社会公众公布并提请国会进行审议 报 告对告对 消费者隐私权利法案消费者隐私权利法案 的立法理念和主要内容进行了介绍 集中体现了的立法理念和主要内容进行了介绍 集中体现了 美国政府应对大数据时代隐私保护问题的做法 目前 美国政府应对大数据时代隐私保护问题的做法 目前 消费者隐私权利法案消费者隐私权利法案 尚未获得国会通过 因此在尚未获得国会通过 因此在 白皮书白皮书 中美国政府也呼吁国会尽快通过中美国政府也呼吁国会尽快通过 消费消费 者隐私权利法案者隐私权利法案 以确定隐私保护的法治框架 以确定隐私保护的法治框架 总体而言 总体而言 消费者隐私权利法案消费者隐私权利法案 的基础仍然是的基础仍然是 公平信息实践法则公平信息实践法则 主 主 要规定了以下三大方面的内容 要规定了以下三大方面的内容 1 1 告知与同意告知与同意 框架的强化框架的强化 1 1 个人控制 个人控制 IndividualControlIndividualControl 消费者有权控制企业对个人信息的收 消费者有权控制企业对个人信息的收 集和使用 第一个方面 法案要求在任何情况下 企业都应当赋予消费者选择集和使用 第一个方面 法案要求在任何情况下 企业都应当赋予消费者选择 权 使其有权控制企业收集的任何个人数据 对于不与消费者直接接触的第三权 使其有权控制企业收集的任何个人数据 对于不与消费者直接接触的第三 方 只要数据的用途会对消费者的权益造成重大影响 也要赋予消费者选择权 方 只要数据的用途会对消费者的权益造成重大影响 也要赋予消费者选择权 收集数据的企业也应当对第三方进行尽职调查 调查第三方企业将如何使用消收集数据的企业也应当对第三方进行尽职调查 调查第三方企业将如何使用消 费者数据以及是否赋予消费者适当的选择权 此外 消费者应当有权对授权进费者数据以及是否赋予消费者适当的选择权 此外 消费者应当有权对授权进 行撤销 而这种撤销的方式应当与授权方式的便捷性相同 第二个方面 法案行撤销 而这种撤销的方式应当与授权方式的便捷性相同 第二个方面 法案 要求消费者在个人数据使用时 尤其是在个人数据分享公开时应当评估选择可要求消费者在个人数据使用时 尤其是在个人数据分享公开时应当评估选择可 能造成的后果并为此承担责任 能造成的后果并为此承担责任 2 2 透明度 透明度 TransparencyTransparency 消费者有权无障碍地理解和获取有关隐私及其 消费者有权无障碍地理解和获取有关隐私及其 安全保障的信息 在最有利于消费者理解隐私风险和实施个人控制的时间和地安全保障的信息 在最有利于消费者理解隐私风险和实施个人控制的时间和地 点 企业应当清楚地说明如下信息 收集个人数据的种类 收集个人数据的原点 企业应当清楚地说明如下信息 收集个人数据的种类 收集个人数据的原 因 所收集的个人数据的用途 在何种条件下删除数据或者删除数据中消费者因 所收集的个人数据的用途 在何种条件下删除数据或者删除数据中消费者 的身份信息 是否与第三方分享个人数据以及分享的目的等 法案重点要求企的身份信息 是否与第三方分享个人数据以及分享的目的等 法案重点要求企 业公开与个人数据原定使用情境不一致的行为 公开与消费者的预期不一致的业公开与个人数据原定使用情境不一致的行为 公开与消费者的预期不一致的 个人数据使用行为 企业所采取的通知形式 应当使消费者能够在获取企业服个人数据使用行为 企业所采取的通知形式 应当使消费者能够在获取企业服 务的同时在所使用的设备上进行阅读 不与消费者接触的企业 应当详细告知务的同时在所使用的设备上进行阅读 不与消费者接触的企业 应当详细告知 消费者收集 使用以及公开个人数据的情况 消费者收集 使用以及公开个人数据的情况 3 3 情境一致 情境一致 RespectforContextRespectforContext 消费者有权期望企业收集 利用和公 消费者有权期望企业收集 利用和公 开个人信息的方式与其提供信息时的情境协调一致 企业使用 公开个人数据开个人信息的方式与其提供信息时的情境协调一致 企业使用 公开个人数据 应当具有特定目的 并且该目的应当和他们向消费者公开说明与消费者合理预应当具有特定目的 并且该目的应当和他们向消费者公开说明与消费者合理预 期的目的相符 并以实现这些目的为限使用 公开数据 如果不相符 企业应期的目的相符 并以实现这些目的为限使用 公开数据 如果不相符 企业应 当以消费者容易作出反应的方式 进行突出说明 此外 法案特别要求对从儿当以消费者容易作出反应的方式 进行突出说明 此外 法案特别要求对从儿 童和青年处获得的数据应该给予比成人更大的保护 童和青年处获得的数据应该给予比成人更大的保护 2 2 数据保存与处理的安全责任 数据保存与处理的安全责任 1 1 安全 安全 SecuritySecurity 消费者有权要求自己的数据得到安全和负责任的处理 消费者有权要求自己的数据得到安全和负责任的处理 企业应当结合自身在个人数据领域的实践 评估隐私和安全风险 同时必须采企业应当结合自身在个人数据领域的实践 评估隐私和安全风险 同时必须采 取合理的安全措施以防范可能出现的风险 如数据丢失 数据非法获取 使用 取合理的安全措施以防范可能出现的风险 如数据丢失 数据非法获取 使用 损坏或修改 数据的不适当公开等 损坏或修改 数据的不适当公开等 2 2 接入权与准确性 接入权与准确性 AccessandAccuracyAccessandAccuracy 个人数据有误时 在与数据敏 个人数据有误时 在与数据敏 感性 以及与数据错误可能对消费者带来不利影响的风险性相适应的情况下 感性 以及与数据错误可能对消费者带来不利影响的风险性相适应的情况下 消费者有权获取进而更正以可用格式存在的个人数据 企业应当采取合理措施消费者有权获取进而更正以可用格式存在的个人数据 企业应当采取合理措施 确保其保存的是准确的个人数据 确保其保存的是准确的个人数据 3 3 收集控制 收集控制 FocusedCollectionFocusedCollection 消费者有权合理限制企业对个人信息 消费者有权合理限制企业对个人信息 的收集和保存 企业应当根据其实现特定目的的需要确定收集数据的范围 在的收集和保存 企业应当根据其实现特定目的的需要确定收集数据的范围 在 不需要个人数据后应当以安全方式删除个人数据或者清除个人数据中的身份信不需要个人数据后应当以安全方式删除个人数据或者清除个人数据中的身份信 息 息 3 3 事后问责制 事后问责制 问责制 问责制 AccountabilityAccountability 消费者有权将个人信息交予会对信息采取适当措 消费者有权将个人信息交予会对信息采取适当措 施的企业进行处理 以确保企业遵守法案的有关规则 企业应当对其雇员进行施的企业进行处理 以确保企业遵守法案的有关规则 企业应当对其雇员进行 培训以使其在合规情况下利用个人数据 并定期据此进行绩效评估 企业还应培训以使其在合规情况下利用个人数据 并定期据此进行绩效评估 企业还应 当进行全面的内控监督 以确保数据使用在合理范围内 除法律另有规定 企当进行全面的内控监督 以确保数据使用在合理范围内 除法律另有规定 企 业如将个人数据向第三方公开 至少应当确保接收这些数据的企业承担遵守法业如将个人数据向第三方公开 至少应当确保接收这些数据的企业承担遵守法 案原则的合同义务 问责制下 不仅公司内部需要控制和问责机制 更要对消案原则的合同义务 问责制下 不仅公司内部需要控制和问责机制 更要对消 费者和执法机构承担外部责任 可以看出 费者和执法机构承担外部责任 可以看出 消费者隐私权利法案消费者隐私权利法案 提出了十提出了十 分详细具体的问责事由 涵盖企业员工行为控制 内部数据使用监督 向第三分详细具体的问责事由 涵盖企业员工行为控制 内部数据使用监督 向第三 方公开数据等方面 使事后问责更为明确具体 方公开数据等方面 使事后问责更为明确具体 在在 消费者隐私保护报告消费者隐私保护报告 中 美国政府认为消费者个人数据保护是当前大数中 美国政府认为消费者个人数据保护是当前大数 据环境下最普遍存在的问题 报告呼吁 鉴于据环境下最普遍存在的问题 报告呼吁 鉴于 消费者隐私权利法案消费者隐私权利法案 吸纳了吸纳了 世所公认的隐私权保护原则 国会应当通过制定相关立法 将法案中的相关内世所公认的隐私权保护原则 国会应当通过制定相关立法 将法案中的相关内 容应用于隐私法未能涉及的商业领域 可见 容应用于隐私法未能