基于OECD个人数据分类的“通知—同意”原则的有效性困境与出路
2021-03-08王英
摘 要:[目的/意义]大数据环境下,“通知—同意”原则作为个人数据处理正当性基础之地位受到质疑,期望找到一种可以使其继续发挥效用并能充分保护个人数据的出路。[方法/过程]利用文献法介绍了OECD个人数据分类和“通知—同意”原则的独特价值及其在若干国家数据隐私法中的界定、适用条件。基于OECD个人数据分类分析了“通知—同意”原则的有效性困境,包括通知的获取成本上升、通知不能充分保障数据主体的知情权、二元同意不利于个人数据保护、同意不能有效实现数据主体的控制权。[结果/结论]提出围绕降低通知的获取成本、创新性提供隐私通知、推行分等级同意和撤回同意、实施“情境合理+拟制同意”模式、增设合理推断权以强化数据隐私保护等策略进行解困。
关键词:OECD;通知;同意;个人数据分类;观测数据;派生数据;推断数据;数据私隐保护
DOI:10.3969/j.issn.1008-0821.2021.03.017
〔中圖分类号〕G203 〔文献标识码〕A 〔文章编号〕1008-0821(2021)03-0168-10
Validity Dilemma and Solutions of“Notice-Consent”Principle Based on
a New Personal Data Taxonomy Proposed By OECD
Wang Ying
(School of History and Culture,Hubei University,Wuhan 430062,China)
Abstract:[Purpose/Significance]In the context of big data,the status of the“notice -consent”principle as the basis of the legitimacy of personal data processing is questioned,hoping to find a way to make it continue to play a role and fully protect personal data.[Method/Process]This study used the documents method to introduce a new data taxonomy proposed by OECD and the distinctive values of privacy“notice-consent”principle,its stipulations in data privacy laws of some countries and international organizations were introduced and the application conditions of“notice-consent”principle were analyzed.Then,validity dilemma for“notice-consent”principle based on a new data taxonomy proposed by OECD was analyzed,including the rising acquisition cost of the notice,the notice can not fully guarantee the data subjects right to know,binary consent is not conducive to personal data protection,and consent cannot effectively realize the control right of the data subject.[Result/Conclusion]At last,some solutions were proposed,like reducing the acquisition cost of notices,innovatively providing privacy notices,practicing graduated consent and the withdrawal of consent,implementing the mode of“situational rationality+pseudo-consent”and adding right to reasonable inferences to strengthen data privacy protection.It is expected that they can not only promote the full protection of personal data,but also promote the development of big data application.
Key words:OECD;notice;consent;personal data taxonomy;observed data;derived data;inferred data;data privacy protection
最近,OECD的一个圆桌会议提出了基于数据起源的个人数据分类,它区分了提供的数据、观测数据、派生数据和推断数据[1]。①提供的数据是来自个人采取直接行动的数据,由此他或她完全知道导致数据产生的行动。比如,个人在贷款申请环境下披露的数据(初始数据)、使用信用卡购买产品时创建的数据(事务性数据)或通过在线社交网络共享的数据(发布的数据)。②观测数据是其他人已经观察到并以数字格式记录下来的数据。比如,在线Cookies数据、传感器数据及通过闭路电视摄像头结合面部识别捕捉的观测数据。③派生数据是由其他数据生成的数据,之后它们成为与特定个体相关的新数据元素。比如,计算数据(如基于访问次数与购买物品的比率计算客户盈利能力的数据)。④推断数据是基于概率分析过程的产物,是用来预测行为相关性检测的结果,然后,这些预测被用来对个体进行分类。比如,统计数据(如信用风险评分、预期寿命评分)和高级分析数据(如基于对大量和多样化的医疗数据集的分析得出的未来健康结果的可能性)。提供的数据和观测数据可以称为“一次数据”或原始数据,而派生数据和推断数据可以称为“二次数据”,是对一次数据进行挖掘加工的产物。
大数据环境下,医疗诊断、电子商务、信用征集等会涉及个人数据的采集、处理和分析,比如,监视设备对临床实验病人采集的数据、移动手机上的位置数据、会员卡上的购买数据、可穿戴设备上的生物特征数据[2]、信用风险评分数据和基于访问次数与购买物品的比率计算客户的盈利能力数据等。显然,这些数据不都是数据主体主动提供的数据,相反,多数是观测数据、派生数据和推断数据。现在越来越多的数据是在没有个人参与或知道的情况下创建的,比如派生数据是以一种相当“机械”的方式创建的、推断数据的创建并没有数据主体的参与甚至不知道所做的任何判断。这可能对“通知—同意”原则带来挑战,因为它主要是在以“提供的数据”为主的环境下制定的。对于非“提供的数据”,数据管理者如何将数据收集、使用目的、方式等通知到相关个人并获得同意呢?很明显,“通知—同意”原则在观测数据、派生数据和推断数据的适用性方面是有问题的。为了解决“通知—同意”原则的有效性问题,本文将试图回答下列问题:①“通知—同意”原则有什么独特价值使其在大数据环境下仍需继续存在?②若干国家数据隐私法如何界定“通知—同意”原则?并在此基础上归纳它的适用条件。③基于OECD个人数据分类,“通知—同意”原则遭遇的有效性困境是什么?最后,提出了解困之路,期望“通知—同意”原则既能继续发挥效用,又能促進大数据交易和应用。
1 “通知—同意”原则及其价值
1.1 “通知—同意”原则的基本含义
通知和同意是当前最重要的在线同意范式[3],经常也被叫做知情同意,其核心要义是向网站访问者和在线物品、服务的用户通知信息流动实践并向用户提供或参与或不参与的选择[4]。“通知—同意”原则是个人信息保护的基石,恰如意思自治在民法中的地位。美国联邦贸易委员会《网络隐私:给国会的报告》(Privacy Online:A Report to Congress)指出:①通知是最根本的原则。在收集任何个人信息时,实体机构要将信息实践活动告知给用户。没有通知,用户将不能就关于是否披露个人信息以及披露个人信息到什么程度做出一个知情决定。此外,仅仅当用户收到实体机构政策的通知并知道他的或她的权利时,其他隐私原则才有意义。②广泛接受的核心隐私原则是用户选择或同意。简单来说,选择意味着让用户选他的或她的个人信息如何被利用[5]。
1.2 “通知—同意”原则的独特价值和意义
1)与自由竞争市场模式兼容
“通知—同意”原则与自由竞争市场模式兼容,竞争的自由市场允许买卖双方以市场决定的价格交易物品。理想情况下,买方有权获取做出自由合理购买决定的必要信息。因为个人信息可以被设想为在线交易价格的一部分,如果告知买方关于卖方收集和使用个人信息的方式并且允许买方自由地决定价格是否恰当,一切都被认为是好的[4]。在“通知—同意”原则下,买方(相对弱者)将获得由卖方提供的关于交易客体的全面、准确的信息,同时它还保留是否进行交易的决策权,这样就可以弥补交易双方在交易实力上的差异,确保双方在一种相对公平的基础上进行交易[6]。理想的市场假定自由理性主体可以在没有第三方(例如政府监管部门)干预的情况下做决定。这样做不仅仅彰显了对关键参与者的尊重,而且让市场有效运转并产生最大的总效用[7]。
2)减少信息不对称
“通知—同意”原则使信息弱势方(数据主体)能够掌握充足的信息,尽可能消除数据控制者和数据主体间的信息不对称,使数据主体能够做出最利于自己的决定。信息不对称可以分为隐蔽行动和隐蔽信息。隐蔽行动指一方影响另一方利益的行动难以被另一方所觉察或预测到[8],如数据控制者在数据主体不知情的情况下随意收集、使用、转让他们的个人信息,尤其是个人敏感信息,这有可能给数据主体带来伤害。隐蔽信息是指判断一方行动合理与否所需的信息难以为另一方所获得[9],比如,数据控制者进行个人信息收集、使用的范围和目的等都很难被数据主体获知。“通知—同意”原则,于数据主体而言,能够帮助其掌握充足的信息,进而尽可能做出最有利于自己的决定,而且可以降低信息的不对称性,进而促进隐私市场更好地运转;于数据控制者而言,其必须在收集、使用、转让个人信息之前获得数据主体的同意;于隐私市场而言,它还能促进社会在隐私市场的投资[9]。
“通知—同意”原则要求必须要获得数据主体的明示或隐含的同意才能处理个人数据。尤其是对于敏感数据,必须要获得数据主体的明示同意,并且最好以能够被记录和保存的形式获得同意。比如澳大利亚、马来西亚和韩国等。
可见,“通知—同意”原则主要适用于个人数据,并最好采用“充分告知+明示同意=合法处理”模式,即数据控制者要求数据主体提供个人数据时,要向其发出充分告知并最好获得书面的明示同意才可排除数据处理的违法性与数据控制者的侵权责任。
3 基于OECD个人数据分类的“通知—同意”原则的有效性困境
“通知—同意”原则的确立是以小数据时代的社会特征为坐标系的。于彼时,个人可以就少量的信息与信息处理者进行面对面的交流[22],采取的是“充分告知+明示同意=合法处理”模式。当社会进入大数据时代后,数据量和数据处理模式都发生了根本性变化,导致“通知—同意”原则陷入了有效性困境。
3.1 “通知”的获取成本上升
绝大多数数据控制者都会发送隐私通知给提供的数据主体,但是他们并不愿意阅读,导致不能达到充分告知的目的。《大数据白宫报告》也注意到“隐私疲劳”现象,并且发现即使美国广告商提供数据使用信息,也没有几个人愿意阅读或理解它[23]。数据主体不愿意阅读“通知”的主要原因是通知的获取成本上升,表现在:
第一,隐私通知的可读性较低,导致获取“真正的通知”成本上升。“提供的数据”主体通常可以看到隐私通知,但是人们不愿意阅读篇幅长、以法律术语书写的、主要目的是为保护组织使用数据而并非告知数据主体的隐私通知[24],问题的关键在于隐私通知的可读性较低。笔者2012年对隐私政策可读性调查也证实了这一点。澳大利亚、加拿大、克罗地亚、日本、新西兰、英国和美国图书馆协会隐私政策的Flesch-Kincaid Grade Level平均值为14.8,这代表绝大多数国家的隐私政策需要大学及以上文化程度的人才能读懂[25]。但现实是,数据主体不仅有高学历用户,还有低学历用户,一般低学历用户就很难读懂隐私通知。因而,如果数据主体想读懂隐私通知,就不得不付出大量成本获取“真正的”通知。
第二,隐私通知的数据使用目的表述不清晰,导致获取“有意义的通知”成本上升。事实上,即便隐私政策以较短的、分层的、结构化的、清晰的信息进行展示,人们也没有认真花费时间阅读隐私条款。这涉及到“实际的同意”和“有意义的同意”间的权衡(Trade-off)问题。虽然“提供的数据”数据主体可以阅读到隐私政策,但是他们真的知道其同意的是什么吗?就目前情况而言,答案似乎令人怀疑[26]。大数据应用目的在数据收集之初很难明确说明,而且数据使用也很难按照最初预期目的开展,很可能被用于其他目的。另外,大数据应用通常会通过一些设备或系统的复杂算法来完成。对于个人和监管部门来说,很多算法是不透明的,因为机构通常把它们视为自己的私有财产[27]。由于数据使用目的表述不清楚,如果数据主体迫切需要使用该服务,就不得不付出大量成本获取“有意义的同意”。
3.2 “通知”不能充分保障数据主体的知情权
OECD《关于隐私保护与个人数据跨界流动的指导方针》(Guidelines on the Protection of Privacy and Trans Border Data Flows of Personal Data)确立的个人参与、公开、目的明确等8项原则规定了公民对本人数据的知情权和控制权[28]。的确,数据主体有权知悉、了解、查询与自己相关的个人数据收集者的权限范围、收集目的、用途等。这是数据主体最重要的权利,也是行使其他权利的基础,否则数据主体享有的其他法定权利都形同虚设。大数据环境下,“通知”很难确实保障数据主体的知情权,源自多重因素:
首先,向非“提供的数据”主体发送的“通知”变得虚无。目前大数据应用对象也会涉及观测数据、派生数据和推断数据等,它们是被动产生的、自动生成的,而非数据主体主动提供的。那么,隐私通知就变得虚无,这可能会产生问题,因为非“提供的数据”主体可能不知道数据正在被收集和处理,那么数据主体的知情权就没有得到保障。
其次,数据主体的认知偏差。大数据环境下,非“提供的数据”并不总包含个人数据,比如,传感器数据和天气预报数据等观测数据。的确,部分非“提供的数据”属于非个人数据,但是非个人数据的累积可能会导致个别自然人信息可被识别。在某一临界点之前,数据并没有被认为是个人数据,但是临界点过后,通过数据分析和处理可能会发现该数据指向一个真实的、确定的人[31]。可见,大数据应用很容易将非个人数据转化为个人数据。由于数据控制者对非“提供的数据”与非个人数据认知存有偏差,导致其往往忽视对非“提供的数据”主体隐私通知的发送,进而造成数据主体的知情权没有得到保障。
3.3 二元“同意”不利于個人数据保护
最初,“同意”通常都是二元同意,即要么同意要么拒绝。二元同意不是隐私架构师40年前所设想的,当时他们期望授权的个人能够对数据处理做出知情决定。实际上,它肯定不是保护信息隐私或信息自由流动的最优机制。在“通知—同意”模式设立之初,个人一般能知道正在处理数据的机构、被收集的信息范围和信息将如何被使用。如今,云计算、大数据和物联网等技术的出现,与最初的“同意”所适用的环境已经完全不同。另外,传统数据的点对点转移正在被分布式系统流动代替,对个人而言很难知道哪个机构正在处理其个人数据。新的技术和商业模式导致个人数据正在被大量不可见的主体收集、共享并用于已知的和未知的目的,致使大量观测数据、派生数据和推断数据的诞生。由于二元同意仅反映了在最初环境下某个时刻的决定,因而它正在受到越来越多的挑战[29]。
二元同意对于派生数据和推断数据是不适用的,具体表现在:①二元同意的决定不是根据后来的挖掘加工环境而确定的。我们知道,隶属于“二次数据”的派生数据和推断数据,是在“一次数据”的基础上进行挖掘、加工而产生的。因而,数据主体的同意是针对“一次数据”的使用目的而做出的,而非后来的挖掘加工环境,那么二元同意则无法适用于派生数据和推断数据。②二元同意没有赋予数据主体关于派生数据和推断数据的撤回同意。如果人们没有做出真正的同意,或者如果他们有撤回同意的想法但却不能实现,那么该同意就不满足个人数据保护标准[36]。尤其对“二次数据”而言,“一次数据”主体更应有撤回同意的权利,因为其可能根本不了解后来的数据使用环境和目的。作为数据主体,应该有权撤回同意,欧盟、马来西亚等的数据隐私法也对这项权利赋予了法律地位。
3.4 “同意”不能有效实现数据主体的控制权
“通知—同意”的设立初衷是通过“同意”保障个人数据主体控制权。数据主体控制权包括数据主体的决定权和以维护个人数据准确性为核心的知情权、更正权等。数据主体对本人数据的控制权在数据主体各项权利中居于核心地位。然而,大数据时代,“同意”不能有效实现数据主体的控制权,具体表现在:
第一,数字环境下,同意已然成为一种形式化的行为。首先,“提供的数据”的同意存在意思表示瑕疵。很多情况下,用户对“提供的数据”的“同意”也非真正的“同意”。比如,在极大多数情况下,用户只要不同意手机App等互联网应用要求用户提供数据的概括同意,就完全无法使用或在相当程度上无法使用该App的服务。在这一事实情况下,用户的“同意”只是一种无可奈何、不得不做出的“同意”[30],同意成为不真实、不自由的瑕疵意思表示。至此,用户被迫提供一些数据,且不清楚概括同意隐含的数据使用方式,导致用户不能真正实现对其提供的数据的控制权。其次,暗数据导致数据主体未对同意产生影响。大数据环境下,用户随时随地都会在网络空间和现实生活中留下轨迹(即提供的数据和观测数据),有些根本没有被利用即成为暗数据(Gartner将暗数据定义为组织在常规业务活动中收集、处理和存储的信息资产,但通常没有被用于分析业务关系和直接产生经济效益等)。然而,暗数据中可能暗藏风险,其中最大的问题是用户自己都不知道哪些信息已经成为暗数据以及具体存储位置[31]。在此情况下的同意有时会让用户产生一种能够控制个人数据的错觉,并使其更加相信他们可以对正在被处理的数据产生影响。实际上,用户对正在被处理的数据并未产生真正意义上的影响,并且不能控制其个人数据。
第二,“通知”的虚无进一步导致非“提供的数据”主体不能实现控制权。首先,观测数据和提供的数据一样,也是由数据主体间接或被动“提供”的数据,例如位置数据、单击活动或者步行或讲话等特殊方式产生的[32]。对于观测数据,通常都是设备、系统自动收集的数据,很难对观测数据的主体发送隐私通知,那么数据主体的控制权自然难以实现,除非采用的是退出机制。其次,派生数据是从现存数据推断出来的、但数据主体却不知道的数据。比如,病人的派生数据可能涉及具体的健康特征(如骨密度)和统计信息(如疾病风险)。因为病人不知情派生数据的存在及其后续的披露[33]会引起很多问题,甚至使问题变得更加棘手,因为很难与数据主体取得联系并获得其同意。再次,推断数据可用于个人分类,那么就能识别出某个具体的个人,随之会产生隐私风险,比如,从Facebook和Twitter数据可以推断出抑郁症的易感性,微软公司同样可以通过搜索引擎的交互数据预测Parkinson疾病和Alzheimer疾病等[42]。这些推断数据应该归入个人数据,那么对于它的使用同样需要取得原始个人数据主体的同意。但是,推断数据主体的追溯很困难,导致很难发送通知。
4 “通知—同意”原则的解困之路
“通知—同意”原则的上述有效性困境虽客观存在,但却不能因此得出“通知—同意”原则无存在必要的结论。全然否定“通知—同意”原则,是对必要性和有效性的混淆。必要性回答的是法律制度“是否具有正当性”,是对制度设计价值的考察,有效性回答的是“实施效果如何”,是对制度实施功效的检测[34]。仅凭有效性问题无法诉诸对“通知—同意”原則的否定,“在个人和信息处理者的不对等关系中,权利人同意是一个最好的制约性权利”[35]。因而,要进一步采取一些措施改进“通知—同意”原则使其继续发挥其独特价值。
4.1 降低通知的获取成本
由于隐私通知的可读性较低、数据使用目的表述不清晰,导致隐私通知获取成本上升,因而,可以从下述两个方面降低隐私通知的获取成本。
1)使用目的要清晰界定
根据欧盟、澳大利亚的数据隐私法及我国国家标准《信息安全技术 个人信息安全规范》等的规定,隐私通知内容要易理解,并使用具体的文字和简单的句子结构。要做到容易理解,隐私通知就要给出详细的解释。简单地描述数据使用目的,比如“开发新服务”“提供个性化的服务”这样的通用目的是不够的,因为它没有描述服务是什么、如何利用数据开发、什么涉及到个性化等[36]。大数据应用目的必须要在隐私通知中明确界定,以便数据主体据此做出是否同意的决定。虽然在数据收集之初就预测数据使用目的很困难,但数据分析机构也必须尽早识别数据处理目的,并与数据主体沟通,以便降低主体被误导的几率。当大数据分析的后期阶段将大数据用于不同目的时,需要相应地更新隐私通知,确保主体了解新内容并决定是否继续给予同意[37]。
2)政策文本可读性要提高
根据中国互联网络信息中心调查[38],截至2018年6月,初中、高中/中专/技校学历的网民占比分别为37.7%和25.1%。显然,隐私通知面对的潜在数据主体有高学历的人群,也有低学历的人群。由于数据主体学历层次不同,因此必须提高隐私通知的可读性,以便于任何学历的用户都能读懂。所以,隐私通知既要短小、易懂,也要用简洁的语言全面表达所需的内容。加拿大数据隐私法就要求机构提高隐私通知文本的可读性,使其能够保护更多弱势群体,例如儿童和精神障碍者,还要求机构尽可能确保通知用户的语言不能复杂难懂[39]。
4.2 创新性地提供隐私通知
“通知”不能充分保障数据主体的知情权,原因之一就是隐私通知没有以合适的方式提供给数据主体。因而,可以采取创新的方式提供隐私通知,这一点也反映在欧盟GDPR、加拿大PIPEDA中,它们都为隐私通知的创新提供方式预留了空间。创新性地提供隐私通知,既能便于用户及时获取隐私通知,又能充分保障用户的知情权。
针对提供的数据,创新性的隐私通知可以是用户发出请求时的网站隐私声明、弹出式通知、悬停通知、视频、语音提示、信息图表、视窗,甚至是口头交流等[48]。例如,YouTube视频的Channel4采用的是伴随型的隐私通知[40],The Guardian[41]和O2[42]使用卡通动画来解释其隐私通知。一种比较典型的创新性隐私通知是Just-in-time通知。英国信息委员办公室认为Just-in-time通知可以作为一种清晰的、有效的隐私通知业务规则来使用[43]。Just-in-time通知是在数据收集者访问敏感数据时立即向用户发出的简短通知,但同时包含可以提供详细隐私信息的链接[44]。
对于观测数据而言,为了保障观测数据主体的知情权,当用户进入某些会自动捕获用户数据的场景时,数据控制者应该创新性提供隐私通知,赋予其知情权,使用户知道该场景会自动捕获个人数据,然后用户可以决定是否退出该场景。具体而言,针对观测数据的创新性隐私通知方法可以是语音提示、弹出式通知,甚至是在显著的位置上粘贴隐私通知等。
4.3 推行分等级同意和撤回同意
1)分等级同意
简单的二元同意可以减少用户负担和降低对机构的要求,然而它却增加了不同意的可能性[45],因此它不适用于大数据应用。大数据环境下可以采用分等级同意,它超越了简单的二元同意。分等级同意是指“个人可以对数据的某些使用给予同意,另外的某些使用给予不同意,而无需全部同意或全部拒绝”,可以使人们同意或不同意对数据的各种不同使用,而不是一个最初简单的二元选择[49]。
分等级同意是一种符合法律的、伦理的和经济推理的有用工具。它体现了人类社交世界的深层结构,在合同法和侵权行为法的框架中这一特征尤其明显。分等级同意理论确立了测量各种人际关系的合理标准,为诸如执行标准协议、证明政治胁迫正当以及识别宪法意义等这样的老问题提供了令人意想不到的答案[46]。事实上,加拿大PIPEDA就引进了分等级标准——“按比例浮动(Sliding Scale)”获得有效的同意,其规定“如果有理由预期机构活动所针对的个人了解其同意的个人信息收集、使用或披露的性质、目的和后果”,个人的同意才会有效[47]。
2)撤回同意
短期研究经常会忽略维持同意的问题,因为参与者撤回同意的可能性不高。对于长期研究而言,尤其当参与者不记得当时的同意内容时,“通知—同意”的周期性更新则显得非常必要了。比如用户接受了一个商业软件的协议条款后,通常的假设就是除非用户完成卸载软件,否则就是同意使用条款。当协议条款发生变化,例如在升级卸载的情况下,可能需要再度征求用户同意。然而,商业软件通常把撤回同意的责任强加在用户身上,要求他们自行退出[48]。因此,要赋予数据主体以随时撤回其同意的权利。比如,欧盟、加拿大、马来西亚的数据隐私法就有相应的规定。
4.4 实施“情境合理+拟制同意”模式
明示同意因其过高的标准与非“提供的数据”相背离,使得“通知—同意”原则陷入有效性困境。因此,可以考虑在明示同意之外增加拟制同意,以综合的情境合理判断替代单一的告知前提,从而缩减信息自决空间、降低同意生效标准、增强适用灵活性。可以推行“情境合理+拟制同意=合法处理”模式,适用逻辑为只要确保信息处理过程通过情境合理测试,则无需明示同意也可构成与明示同意效果相同的合法处理。其中“情境合理”是拟制同意适用的前提与假定,“拟制同意”是决定规范如何处理的法律行为,“合法处理”是满足上述两项要件之后的法律效果。情境合理测试应包含下述方面:①首先排除法定明示同意情形之适用,其中涉及未成年人信息处理、自动化决策、敏感數据等;②考察数据控制者义务履行和规则遵守情况;③初次使用看环境、二次使用看目的;④从数据最小化转向风险最小化。由于派生数据和推断数据这些“二次数据”依赖于“一次数据”的后续挖掘,故应以风险最小化理念替代信息最小化标准[49]。
4.5 增设合理推断权以强化数据隐私保护
当前只有二元选择的“通知—同意”原则不是有效的隐私保护策略。比如,消费者权益保护法就说明了赋权(“通知—同意”原则)和其他隐私保护规则如何一起作为法律的辅助工具保护用户权利[50]。因此,为了使“通知—同意”原则继续有效,不应该只是赋权,还应该通过法律强化隐私保护,比如在数据隐私法中增设合理推断权保护派生数据和推断数据等“二次数据”。若干国家数据隐私法旨在保护人们的隐私、身份、声誉和自主权,但目前未能保护数据主体免受推断分析的新风险。在欧洲,个人数据的广义概念可以解释为涉及或影响个人的推断、预测和假设。推断可定义为通过演绎或推理而不是仅仅从数据主体处观察或收集而产生的与被识别或可识别的自然人有关的信息。进一步地,GDPR第29条工作组《关于分析和自动化决策的指南》认为“个人的派生或推断数据是数据主体本身没有直接提供的、‘新个人数据”。显然,通过推断产生的派生数据和推断数据属于个人数据,那么数据主体就需要防范推断数据和派生数据带来的隐私风险。然而,现有的数据隐私法没有关于对侵犯数据主体进行不合理推断的问责,使得对数据主体的权利保护不充分。为了弥补问责缺口并促进推断的正当性,可以在数据隐私法中增设“合理推断权”。“合理推断权”有助于消除目前由“高风险推断”造成的问责差距。“高风险推断”指的是通过大数据分析得出的、具有隐私侵入性或有损声誉的推断,或在用于重要决策时具有预测性或基于观点的可验证性较低的推断。在算法对个人做出“高风险推断”的情况下,数据推断权将要求数据控制员事先提供理由,以确定所作推断是合理的[42]。
5 结 语
大数据环境下,“通知—同意”原则的有效性受到了质疑,陷入了通知的获取成本上升、通知不能充分保障数据主体的知情权、二元同意不利于个人数据保护、同意不能有效实现数据主体的控制权等困境。為了消解“通知—同意”原则的有效性困境,本文提出了降低通知的获取成本、创新性提供隐私通知、推行分等级同意和撤回同意、实施“情境合理+拟制同意”模式、增设合理推断权以强化数据隐私保护等策略,期望“通知—同意”原则继续发挥其独特的价值。
参考文献
[1]Working Party on Security and Privacy in the Digital Economy.Summary of the OECD Privacy Expert Roundtable:Protecting Privacy in a Data-driven Economy:Taking Stock of Current Thinking[EB/OL].https://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=dsti/iccp/reg(2014)3&doclanguage=en,2019-01-10.
[2]Information Commissioners Office.Big Data and Data Protection[EB/OL].https://rm.coe.int/big-data-and-data-protection-ico-information-commissioner-s-office/1680591220,2019-01-10.
[3]Sloan R H,Warner R.Beyond Notice and Choice:Privacy,Norms,and Consent[J].J.High Tech.L.,2014,(2):370-412.
[4]Nissenbaum,Helen.A Contextual Approach to Privacy Online[J].Journal of the American Academy of Arts & Sciences,2011,(3):32-48.
[5]Federal Trade Commission.Privacy Online:A Report to Congress[R/OL].https://www.ftc.gov/sites/default/files/documents/reports/privacy-online-report-congress/priv-23a.pdf,2019-01-10.
[6]秦天宝.遗传资源获取与惠益分享的法律问题研究[M].武汉:武汉大学出版社,2006:367.
[7]Nissenbaum,Helen.A Contextual Approach to Privacy Online[J].Journal of the American Academy of Arts & Sciences,2011,(3):32-48.
[8]朱贻庭.应用伦理学辞典[M].上海:上海辞书出版社,2013:138-139.
[9]张民安,林泰松.信息性隐私权研究:信息性隐私权的产生、发展、适用范围和争议[M].广州:中山大学出版社,2014:316.
[10]徐丽枝.个人信息处理中同意原则适用的困境与破解思路[J].图书情报知识,2017,(1):6-13.
[11]姚秋英.人格权研究[M].北京:中国政法大学出版社,2012:138.
[12]蒋舸.个人信息保护法立法模式的选择——以德国经验为视角[J].法律科学:西北政法学院学报,2011,29(2):113-120.
[13](英)洛克.政府论(上册)[M].叶启芳,瞿菊农,译.北京:商务印书馆,2013:74.
[14]丁晓东.欧盟《一般数据保护条例》(GDPR)[EB/OL].https://mp.weixin.qq.com/s/aYzMpuZDy5_Y9vsJP8KDBQ,2019-01-10.
[15]Privacy Guide:A Guide to Compliance with Privacy Laws in Australia[EB/OL].https://www.nfplaw.org.au/sites/default/files/media/Privacy_Guide_Cth.pdf,2019-01-10.
[16]PIPEDA Fair Information Principle 3-Consent[EB/OL].https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/p_principle/principles/p_consent/,2019-01-10.
[17]Transfers of Personal Data from Malaysia:Understanding the Requirements of the Personal Data Protection Act 2010[EB/OL].https://www.financierworldwide.com/transfers-of-personal-data-from-malaysia-understanding-the-requirements-of-the-personal-data-protection-act-2010/#.XC2z11UzbDc,2019-01-10.
[18]Michael Young.New Malaysian Data Privacy Law[EB/OL].https://www.alstonprivacy.com/new-malaysian-data-privacy-law/,2019-01-10.
[19]Korea Personal Information Protection Act[EB/OL].http://koreanlii.or.kr/w/index.php/Personal_Information_Protection_Act,2019-01-10.
[20]Ko H,Leitner J M,Kim E,et al.Structure and Enforcement of Data Privacy Law in South Korea[J/OL].Brussels Privacy Hub Working Paper,2016,2(7).https://www.brusselsprivacyhub.org/publications.html,2019-01-10.
[21]吳卫军,徐岩.法治视野中的行政权之规制[M].北京:电子科技大学出版社,2017:45-46.
[22]田野.大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例[J].法制与社会发展,2018,24(6):111-136.
[23]Executive Office of the President.Big Data:Seizing Opportunities,Preserving Values[EB/OL].https://obamawhitehouse.archives.gov/sites/default/files/docs/20150204_Big_Data_Seizing_Opportunities_Preserving_Values_Memo.pdf,2019-01-10.
[24]Information Commissioners Office.Big Data,Artificial Intelligence,Machine Learning and Data Protection[EB/OL].https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf,2019-01-10.
[25]王英.若干国家和地区图书馆协会隐私政策的内容分析[J].大学图书馆学报,2012,(5):46-5,27.
[26]Daniar Supriyadi.Personal and Non-personal Data in the Context of Big Data.Tilburg University[EB/OL].http://arno.uvt.nl/show.cgi?fid=142300,2019-01-10.
[27]Citron D K,Pasquale F A.The Scored Society:Due Process for Automated Predictions[J].University of Maryland Francis King Carey School of Law,Legal Studies Research Paper,2014,89(8).
[28]李朝晖.个人征信中信息主体权利的保护——以确保信用信息公正准确性为核心[J].法学评论,2008,(4):31-36.
[29]The Policy and Research Group of the Office of the Privacy Commissioner of Canada.Consent and Privacy[EB/OL].https://www.priv.gc.ca/en/opc-actions-and-decisions/research/explore-privacy-research/2016/consent_201605/,2019-01-10.