破解個人信息收集使用“必要原則”困局

信息來源:法制網     發布日期:2019-07-01    【字體:

  豐富多彩、應用廣泛的App已經成為我們每個人須臾不離的生活工作助手,但與此同時,App也成為個人信息泄露和濫用的重災區。有鑒于此,今年2月,中央網信辦、工信部、公安部、市場監管總局四部門聯合組織開展App違法違規收集使用個人信息專項治理行動,要求網絡運營者遵循必要原則,不收集與所提供服務無關的個人信息,從而劃定個人信息收集和利用的邊界。

  其實,個人信息收集使用的必要原則由來已久。早在1981年,歐洲理事會在《關于個人數據自動化處理的個人保護公約》中就規定:個人數據應出于明確、具體及合法的目的而收集,且對其處理目的而言,數據應適當、關聯且不過量。必要原則在1995年歐盟《數據保護指令》被進一步強調,最終成為2018年《一般數據保護條例》(GDPR)的六項處理原則之一。

  基于上述國際經驗,我國網絡安全法第41條亦明定收集、使用個人信息的必要原則。2018年,國家標準《個人信息安全規范》第5.2條再次給出三項衡量標準,即收集個人信息與實現產品或服務的業務功能之間的直接關聯、最低頻率和最少數量關系。

  然而,在大數據時代,必要原則面臨著巨大的挑戰。正如維克托·邁爾-舍恩伯格在《大數據時代》一書中所指出的,大數據的價值不再來源于基本用途,而是源于其二次使用;更重要的是,許多數據在收集時并無意他用,最終卻產生了諸多創新性用途,顯然,數據收集者永遠不可能提前告知收集時尚未想到的目的。以美國芝加哥通信公司為例,其收集用戶位置信息的主要目的是確定手機信號覆蓋情況。但在新的場景中,通過采集在特定地點所有手機用戶的信息,它還能計算出開車經過特定廣告牌的人數,進而估算出廣告牌的價值,顯然,這是收集目的的一次重大轉變。

  不唯如是,社會學家和醫學專業人士都知道,當人們事前知道其信息將被收集和度量,就可能導致最終結果出現偏差,這是因為人們會不自覺地改變行為,甚至出于利益考慮而操縱或破壞數據。所以,在很多場景下,用戶數據的被動收集和間接度量比主動收集和直接度量,更能實現收集的初衷,而這樣的目的往往是無法向用戶告知的。

  2009年,在甲型H1N1流感爆發前幾周,谷歌使用了億萬用戶的檢索詞準確預測了流感發生的地區和州,如果嚴格遵循必要原則,這一嘗試不但在技術上不可行,在成本上也是難以想象的。

  這就要求我們一方面要踐行必要原則,防范個人信息被無節制、無邊際地收集和使用,另一方面,又要為后續創新容留空間,避免過分阻礙數字經濟的發展,這確實是一個兩難問題。這一難題不可能有一勞永逸的解答,但不妨從如下方面探索可能的解決之道。

  其一,清晰、靈活地劃定收集范圍。必要原則的癥結在于難以判斷“究竟何為必要”,或者“究竟哪些個人信息與服務相關”。為此,監管者不妨盡量在事前列出與特定服務直接相連的個人信息范圍。最近,全國信息安全標準化技術委員會制定的《移動互聯網應用基本業務功能必要信息規范(V1.0)》便依照這一思路,明確了地圖導航、網絡約車、即時通訊社交、網絡支付等16種服務所需的個人信息類型。但必須指出,在產品迅速迭代、服務日新月異的今天,上述規范不應視為相關App不能在上述范圍之外另行收集、使用個人信息,而應理解為給企業額外增加了自證清白的負擔。簡言之,一旦在事后發生執法和糾紛,它們必須證明自己已充分告知了用戶,并且相關信息的收集和使用符合其產品定位、商業慣例和商業道德。

  其二,嚴謹、務實地解釋“目的”。歐盟在GDPR的起草中,已經意識到數據的二次利用可能與原先目的無關,為此GDPR特別引入“兼容使用”概念。這意味著企業可以在既有目的之外,對數據作出后續處理。當然,這并非沒有限制,監管者需要綜合考量后續使用目的與原先目的之間的關聯性、數據收集的場景、該場景下個人的合理預期、數據性質、后續使用產生的后果及現有的保障措施等。

  其三,促進市場化的個人信息保護。如果我們把個人信息保護理解為一種服務,那么通過市場來讓個人享受到更好的服務不失為激勵相容的治理方式。美國一項針對30萬款App的定量分析發現,較之收費App,免費App中收集個人敏感信息的現象更為頻繁。就此而言,個人信息已經成為隱形的價格。以此觀之,一些禁止網絡運營者服務質量、價格差異的條款的規定,則缺失了洞見市場經濟規律的眼力。恰恰相反,監管者應當鼓勵App披露其定價策略和個人信息收集之間的關聯,使得用戶充分知情后作出審慎決定。

  其四,通過科技降低個人信息收集的需求。數據難以流通是各個App爭相收集個人信息的重要原因。由于制度缺失和安全擔憂,企業不愿意共享數據。數據孤島的現實,迫使所有人都必須自力更生,憑借一己之力,盡可能多地從用戶那里攫取數據。如今,通過“多方安全計算”技術,企業可以在原始數據不出域的情況下實現數據共享、計算、合作,從而在維護數據安全、保護用戶隱私、挖掘數據價值之間取得了平衡,這必然大大緩解企業對取得個人數據的焦慮。

  個人信息保護與數字經濟發展并不矛盾,正如個人權利和企業利益并不矛盾一樣。作為立法者和監管者,理應執其兩端、統籌各方,最終實現共生共享共贏的網絡空間。(許可)

相關鏈接

新年符号试玩