数据共享时代的个人隐私保护
2016-02-27殷莎莎
殷莎莎
(哈尔滨工程大学 马克思主义学院,哈尔滨 150001)
数据共享时代的个人隐私保护
殷莎莎
(哈尔滨工程大学 马克思主义学院,哈尔滨 150001)
数据共享时代在拓宽个人信息价值外延的同时,也给个人隐私安全带来了极大的威胁,虽然各国通过立法与制定政策的方式来保护公众隐私与信息安全,但通过立法来保护隐私已经远远落后于技术与经济的发展。以信息共享为隐私保护带来的新挑战为切入口,对数据共享与隐私保护的辩证张力进行剖析,从信息处理组织层面着手,采取提升个人信息控制能力、建立组织自律机制、开发隐私安全保护技术和完善隐私保护机制等措施,构建整体的保护措施,是实现信息共享与隐私保护的和谐发展的必然途径。
数据共享;个人隐私;保护策略
信息通信技术与物联网的高速发展,使得大数据技术将现实世界与网络世界进行了有效融合。与传统的信息采集模式不同,大数据时代的数据系统通过各类新型传感系统不断获得人类与环境相互作用的信息,而这些信息的来源通常是网络用户在分享交流及获取网络个性化服务时所提供的信息集群。大数据的智能分析技术可以将碎片化信息进行整合,形成具有关联性的完整信息,实现对个人隐私行为的分析与预测。大数据在推动信息传播与社会发展的同时,也给个人隐私安全带来了持续的威胁,据《中国网民权益保护调查报告2015》公布,2015年中国有78.2%的网民个人信息遭到泄露。虽然个人隐私泄露已不是新议题,但随着大数据对个人状态与行为日趋精准地预测所带来的个人恐慌与愤怒,隐私保护又重新成为热点回归于人们的视域之中。相关隐私法规条例的制定执行,加强隐私保护技术的应用,并没有使侵犯个人隐私的行为成为过去。这似乎在指向一个结论,社会所制定的技术监管措施未能提供令大众满意的隐私保护。数据共享时代与媒介社会的融合让公众在享受信息自由同时,也带来了对信息安全的担忧。如何在数据共享时代进行有效的隐私保护,已成为不断被社会舆论追问的焦点。
一、时代境遇:大数据整合与个人隐私保护问题的提出
数据共享时代信息的传播涵盖了法律体系、信息管理过程、链接界面与个人四个层次。较之传统互联网时代,数据共享时代的个人隐私更加难以保障。信息通信技术的高速发展为个人生活与工作提供了更加便捷的服务,人们在充分享受网络生活的同时,其网络行为已经爆炸性地积聚了海量个人信息。大数据的信息分析与处理技术实现了对个人数据的整合与信息加总,个人信息的应用越普遍、挖掘深度越深,个人的隐私越无所遁形。当信息技术越来越需要拥有全面的数字化档案以便对个人信息进行编辑并实时查询时,德博拉·内尔森教授指出:“隐私,它看起来不仅仅是死亡的状态,它正在一遍又一遍的经历死亡。”[1]269
在信息处理组织层面,随着以所有权为导向的信息通信技术向以服务为导向的云计算的转型,降低了现行隐私保护策略的可行性。过去,信息管理一直被认为是信息处理组织内部问题,组织将获取的信息置入内部信息设施进行管理与控制,这一过程并未超过组织结构的边界。一旦出现隐私侵权问题,组织可以与个人或者隐私权威形成交互单点,较容易界定双方权责。但随着大数据时代的来临,信息的获取方式已经摆脱了孤立信息系统的约束,所有的数据被吸收到“云”端,在一个连续循环的管理过程中被存储、分析、传输和处理,在不同组织间信息的持续整合与循环利用中,大数据所带来的信息共享促使网络环境中的数据孤岛转化为数据节点,控制点变得越来越分散。加之脸书、推特、腾讯QQ、微信等社交媒体自身既是信息的生产者又是信息的存储、管理与使用者,在其平台上用户每天共享的信息数以亿计,单纯利用技术手段限制组织的信息管理,实现隐私保护便成为极其困难的事情。[2]
隐私保护对现行法律体系也提出了新难题,这一问题源于对“隐私”一词的界定。在现实生活中,隐私属于社会概念,通常出现在法律法规中,并在特定情境中得到具体解读。而当隐私从属于网络空间,受仿真模拟技术管理时,尽管模拟技术允许社会、立法与技术领域的一些重叠,但是网络领域仍有其自身的规则与限制。如法律在真实生活中的有效性最强,因为在具体情境中人们可以理解立法意图、谨守立法原意,但是在信息通信技术领域,虽然可以将法律条文转化成服务代码,作为信息通信系统输出结果的一部分,但是却很难在具体情境中解读立法者的意图,因此,将现实生活中的法律直接运用于网络空间并不可行。只有将信息技术手段与相关政策法规相结合,才是解决隐私安全问题的有效途径。
二、安全诉求:大数据时代个人隐私保护的现实研究
(一)个人对信息隐私保护的安全诉求
隐私是文明社会的伴侣,与人类如影随形。但在法律上界定“隐私权”被认为是十分困难的,部分原因在于隐私属于社会建构范畴,需要在特定情景与具体个人特质中进行解读,不能笼统地界定侵犯隐私权的构成要件。
洛佩斯委托埃森哲咨询公司进行消费者隐私保护调查,调查中就被访者是否赞同“消费者拥有其自身及家人信息采集控制权”这一问题,仅有25%的受访者表示不同意或强烈不同意,其余75%的受访者对个人隐私的关注则集中在轻度及重度之间。[3]申琦在上海市大学生网络使用状况调查中发现,个人对于隐私保护具有一定的认知能力,在隐私保护问题上大学生对控制个人信息的能力最为担心。[4]瑟克尔从心理学的角度研究发现个人不是缺乏对隐私的渴望,而是缺乏对网络隐私制度与惯例的了解。坎宁安等学者通过访谈发现个人并不是经常有意识地思考隐私问题,即使思考也是零碎、相互矛盾的或受主观信任、关系、礼节、某地习俗等因素影响的。[5]博伊德与马威克通过研究指出,青少年的网上活动是由其对社会情境的认知、对大众宣传的态度、对技术环境的控制能力塑造而成的。[6]道斯发现在使用以信息通信技术为载体的服务时,大众的期望远远超出对应用技术的概念范畴。他指出:“受到广泛的社会与文化相互作用的影响,人们通常认为在信息通信技术应用过程中,自我完整、身份、自治、个人选择、隐私、信任、调整与学习是必须考虑的因素。”[7]这一论述虽然是在电子政务发展环境下被提出的,但是同样可以推断出,在与信息处理组织的互动过程中,大众期望组织可以对其隐私领域给予高度的尊重。
(二)现实法律与网络技术的有机结合
世界各国均拥有较为完善的隐私保护条例,其中欧盟于2015年颁布的《一般数据保护条例》代表着隐私立法史上一个新的转折,此条例既强调数据共享时代隐私保护的相关性,又说明国际合作在实现这一目标中的重要性。虽然法律在个人隐私保护方面已有40多年的历史,但信息通信技术的高速发展与互联网商业的不断成功都在挑战着各国立法的权威性。
莱西希指出,在现实空间里我们很清楚地知道法律是如何起作用的,即通过宪法、法规、法典来行使权力。但在网络空间中,我们则必须了解代码是如何行使空间法律权力的,即代码就是网络空间的法律。[8]博克林基于现实世界隐私权观点,探索将现实法律转为网络代码的途径,以期在信息通信系统的运行中遵守隐私法律法规。[9]赫尔德对信息管理方法的研究则集中在对数据保护条例与法规执行上。当谈到有关谷歌、苹果、脸书、亚马逊这些世界范围内最大搜索引擎所拥有的数据分析技术时他与博克林具有相同的担忧,因为大众是以个人信息为代价来获取网站免费服务的。赫尔德认为网络市场急需监管措施,除此之外更为重要的是要使网络市场变得透明。透明度是隐私的先决条件之一,用户必须清楚他们的数据是如何被处理与储存的,是向谁公开的。[10]肯普和沙比利认为个人依法拥有的权利应该得到尊重。但他们也承认在不公平的竞争环境中,运用他们所认为的“直观的隐私(个人具有控制信息披露与展示在线身份的能力)”形式几乎是不可能的。[11]
个人与信息处理组织之间的力量不平衡在网络环境中尤为明显,在线环境中两个高度不平等的阵营就信息处理组织所需要的个人信息水平及他们会使用到何种程度等问题进行磋商。如个人试图通过运用隐私政策中的可替代选项与谷歌或脸书等组织就个人隐私信息使用问题进行协商时常常会遇到一个问题,即一个简单的“拒绝提供服务”就可以令个人对组织制定的隐私规则做出让步。个人与组织无法实现对话,也加强了权利不平衡现象。施皮克曼和克拉诺指出,将隐私条例与信息接收系统结合起来可以抵御组织持续无限制的隐私侵权行为。[12]
三、应对之策:信息共享与个人隐私保护的双重实现
信息价值链作为一个过程模型,是组织内部及组织间能够创造价值的信息流,其核心部分是将组织获取的各类海量数据在不同节点的流转中,经过加工、处理、分析等一系列过程形成的增值性输出。作为信息管理工具,信息价值链可以控制业务流程性能、提供可信信息、完善组织治理与提供隐私保护。比塞尔与埃克特创新性地将“信息价值链”应用于信息隐私保护领域,通过对组织信息流程的管理和控制来提供个人隐私保护。[3]
(一)提升个人信息控制能力
以个人角度作为出发点,是构建隐私保护信息价值链的第一步。要提升个人信息控制能力首先要增强个体的隐私意识。运用社交媒体进行信息分享时,需提高个人的风险防范意识,既要对敏感信息有所规避,又要对自己所发信息的负面效应有清楚客观的认识。隐私问题在于我们自己,信息时代个人无法对隐私披露的后果进行精准预测, “喝醉酒的海盗事件”让人们认识到一次不经意的分享可能会带来持久的负面影响,如果不想或不能让他人知道的事情,最安全的方式就是不要说或者不要做。正如埃里克·施密特所说的那样:“如果你有不想让别人知道的事情,也许一开始你就不应该做。”[1]278其次,要提高控制个人信息的能力。个人对于是否公开、分享信息的隐私决策除了受个体心理资源受限及动机模糊的影响之外,还对情景具有依赖性,易受外界环境的影响。相关利益群体会利用具体情景诱使个人进行信息披露,在竞争压力与利益驱动下,除了系统的默认设置,晦涩的文字条款、繁杂的信息处理都会加剧个人放弃对隐私的控制权。应该将个人隐私保护纳入教育内容当中,辅助个人通过学习掌握隐私保护的相关知识,如大部分英国学校开设了“e-safety”课程,这个课程的主要目的在于教会年轻人在线及运用信息通信技术时如何保证个人信息安全。[6]使个人不论在任何可能的时候,都尽可能的自己做决定,而不是让公司、政府等外在机构引导个人做选择。
(二)建立组织自律机制
为了维护公众对组织的信任与支持,组织应从信息价值链的输入端开始个人隐私保护工作,建立个人参与机制,将个人的注意力从对信息使用的管理转移到对信息本身的管理,鼓励并帮助个人了解他们的信息是如何被使用的,在明确的价值交换的基础上做出真正的选择。首先,组织需要设计一种以透明度为核心的新方法,通过创造更加透明的链接空间,简单高效地告知并帮助个人了解其信息是如何被收集、使用的,最大程度消解个人与组织之间信息不对称的问题。信息透明化意味着信息的可信任性、合法性与公开性,信息对个人的透明有利于公众的监督、降低事件信息的不确定性、提高公众对信息处理组织的信任度。[13]信息处理组织可以运用简单的语言解释其信息使用方法,使个人无需熟识隐私法律政策便能很快地了解信息是如何被使用的。如财捷集团,将“数据管理原则”作为公司处理个人信息的核心。以简单明确的语言说明其信息系统的内涵及使用权限,并给予消费者选择系统如何使用其可识别信息的权利。Privacyscore网站根据四个明确的标准,分析各组织的隐私政策,并用颜色编码给出了每个网站的评级和得分。通过这种方法,Privacyscore能够将法律术语翻译为明确和易于理解的指导。[14]虽然透明度已经不是新的原则,但是它保证了在一个超链接世界里固有复杂性的重温。新方法重点并不在于较多地关注个人信息是否被披露,而是应更切实地寻求帮助个人了解他们的信息是如何被收集和使用的方法,这才是完成其他保护方法的基础。
其次,除了依靠遵循个人同意权的信息收集方式,当数据的使用方式影响到个人时,个人需要新的方式来实践对信息的更有效控制。组织需要建立简单易用的工具来鼓励个人参与制定信息使用的管理政策,并且能够随着时间的推移而不断完善这些设置。可用性和简单性是有效吸引个人理解公平利益的关键,我们必须认识到,组织和个人,甚至与社会之间的利益有时是可以共享的。除此之外,组织能更好地利用元数据和现有的合同法创造更简单和更具吸引力的方法来赋予个人权力。组织向个人提供简单的访问工具,使个人能够理解或设置企业信息使用政策,并能随着时间的推移改变自己的选择。但必须注意的是,信息收集、传输和处理的速度是按指数级增长的,组织应避免用参与的名义以信息和选择胁迫个人。应根据系统的复杂性、个人行为的特质和改变的速度,灵活地允许个人在不同的情况下采取不同的信息使用方式。
(三)开发隐私安全保护技术
大数据在引发个人隐私危机的同时,也为隐私保护带来了新契机,即基于大数据的信息通信技术也可以用于隐私保护。组织应运用开发程序将现实社会中的隐私概念转化到信息安全技术之中,寻找将现实世界的法律通过程序代码变为网络空间的法律、将现实法律条款融入信息通信技术实际应用中的方法。如马丁内斯分析了所有可能减轻隐私侵犯的保护技术,为隐私增强技术提供了一个全面的方法。范·比塞尔将信息技术安全性评估通用准则、隐私增强技术与马丁内斯提出的全面隐私保护技术相结合,生成一个隐私加强技术解决方案。在组织信息通信系统的需求分析中或在其审计周期中嵌入隐私增强技术,通过实施隐私侵权风险最小化处理和尊重隐私法规等方法来保障个人隐私。[3]
尽管技术是可行的,但是在大多数情况下,这些技术并不能对个人隐私提供充分的保护。组织仍需要在技术实施的基础上对隐私风险进行评估。组织重点应放在过程控制上,清楚识别信息风险可能存在的环节、评估信息处理过程中的隐私问题,才能对可能发生的违反隐私条例行为采取相应的管理和防范措施。在信息价值链模型中,组织的信息流程包括生成/接收、识别、获取、存储、加工、分配、组织、公布、(再)使用、评估、选择、处理、保留、安全、审计与保存一系列过程。隐私风险贯穿于整个信息价值链,由于有效性及实用性等方面的问题,大多数组织的隐私评估仅被用于评估信息价值链的生成/接收阶段。但范·比塞尔根据实验证明隐私侵权的风险可能出在信息的生成/接收、加工、(重新)使用、评估、处理与信息保存这六个环节之中。为了全面有效地防止隐私侵权,组织必须对每一可能存在隐私风险的阶段进行具体评估,以降低、转移、避免隐私侵权的风险。
(四)完善隐私保护机制
大多数人都希望社会能为其提供一个数据驱动的未来,但同时人们也不完全相信各信息处理组织在面对巨大利益时,对信息的收集处理会具有基本的尊严和克制。我们需要强有力的保护机制,对组织的信息处理流程进行监管,强化隐私法律法规的作用。首先,政府应加强信息管控力度。政府应通过完善法律法规、制定行业规范、协调社会机构、强化民主监督,在宏观上对隐私起到基础保障作用。其次,应发挥行业协会在信息保护中的能动作用。行业协会监督可有效解决信息通信技术迅速发展与法规政策相对滞后所产生的矛盾。通过制定行业指导、实施网络隐私认证、创新技术保护方式,使组织之间达成诸如收集、处理、储存、转让等与隐私信息相关联的“照顾职责”协议,为各组织间形成相互依存、协作发展的信息安全服务体系提供持续发展的制度保障。最后,为了适应大数据的开放性与动态性,在政府管控与行业监管的基础上,引入独立可信的第三方监管机制,对组织信息价值链以及其环境进行全局监管,通过异常监测、应急访问、冲突处理等方式对隐私信息进行实时有效监测。第三方监管机制独立于各组织的信息处理过程,既可以保证其自身的可信性,又可以针对不同的信息处理活动采取相应的监管措施,保证信息处理过程的安全可靠。
综上所述,数据共享时代为公众提供有效的隐私保护已不容忽视。个人、行业、政府要客观认识到各自所需担负的责任,而不是将所有问题都归结到信息通信技术的发展上。我们需要系统地寻求将信息控制权归还给个人的方法,政府、企业与个人的隐私关注应当得到妥善处理,以保障个人自由与社会自由的基本隐私水平。当前全球针对大数据安全与隐私保护的相关研究还不充分,只有通过技术手段与相关政策法规等相结合,才能更好地解决大数据安全与隐私保护问题。
[1][美]杰夫·贾维斯. 公开:新媒体时代的网络正能量[M].北京:中华工商联合出版社,2013.
[2]范渊.大数据安全与隐私保护态势[J].中兴通讯技术, 2016,(2):53-56.
[3]Pas J V D, Bussel G J V. ‘Privacy Lost -and Found?’ The information Value Chain as a Model to Meet Citizens’ Concerns[J].Electronic Journal of Information Systems Evaluation, 2015,18(2):185-195.
[4]申琦.网络信息隐私关注与网络隐私保护行为研究:以上海市大学生为研究对象[J].国际新闻界,2013,(2):120-129.
[5]Cunningham S J, Bainbridge D. A Search Engine Log Analysis of Music-Related Web Searching[J].Advances in Intelligent Information and Database Systems, 2010,283:79-88.
[6]Barnard-Wills D, Ashenden D. Playing with Privacy: Games for Education and Communication in the Politics of Online Privacy[J].Political Studies, 2013, 63(1):142-160.
[7]Dawes S S. Governance in the Information Age: a Research Framework for an Uncertain Future[C].Montreal:International Conference on Digital Government Research, 2008:290-297.
[8]Lawrence Lessig. Code: Version 2.0[M].New York:Basic Books, 2006:8.
[9]Koops B J. Review of the book Privacyrecht is code[J].Computerrecht, 2011,(2):99-101.
[10]Heerde H J W V. Privacy-aware Data Management by Means of Data Degradation -Making Private Data Less Sensitive Over Time[J].Bibliog, 2010,(6):66.
[11]Coles-Kemp L, Kani-Zabihi E. On-line Privacy and Consent: A Dialogue, Not a Monologue[C]//Proceedings of the Workshop on New Security Paradigms.New York:ACM,2010:95-106.
[12]Spiekermann S, Cranor L F. Engineering Privacy[J].IEEE Transactions on Software Engineering, 2009, 35(1):67-82.
[13]Meijer A. Understanding Modern Transparency[J].International Review of Administrative Sciences, 2009, 75(2):255-269.
[14]Rubner H. Unlocking the Value of Personal Data: From Collection to Usage[C].World Economic Forum-Industry Agenda,2013:7-33.
〔责任编辑:巨慧慧〕
2015-12-22
黑龙江省高校教育教学改革项目“高校思想政治理论课实践教学网络平台的构建”(JG2013010216)
殷莎莎(1981-),女,黑龙江哈尔滨人,讲师,博士研究生,从事高校政治理论课与德育创新研究。
TP309
A
1000-8284(2016)09-0208-05
