邮发代号 2-786
征订热线:010-82341063
进入数字时代,数字技术重构了社会生产生活方式,数据已经逐渐成为市场创新发展和政府公共治理不可或缺的要素。然而,随着信息技术的发展,数据共享与隐私保护之间的矛盾逐渐凸显,私人领域与公共空间的边界变得模糊,传统“隐私止于屋前”的原则遭遇挑战。一方面,数据不可避免地会包含隐私信息,在某种意义上,只有包含个人隐私信息的数据才更有利用价值。另一方面,隐私权是保障自然人独处和不被干扰的权利,发挥着维护自然人的人格尊严和保障人格自由发展的重要作用。对此,德国、法国等欧洲国家着眼于“人权话语”将个人数据保护视为人的基本权利范畴,美国则围绕“市场话语”将隐私视作一种应受保护的市场利益。二者看似重心不同,但都强调公民对其个人数据的信息自决,即通过确定数据隐私自我监管机制保护个人隐私。这种传统私法权利理论之下的保护模式是否能够适用于我国立法实践,是值得我们深入思考的问题。传统私法权利理论之下的数据隐私保护面临困境,无法解决以下问题。第一,数据主体认知问题。传统的数据隐私保护法律框架将“理性人”作为理论基础,把“数据控制”作为制度核心,强调公民对个人数据的控制和支配,高估了数据主体的自治能力。经验证据和相关研究表明,数据主体在隐私方面是“有限理性”的,加之平台隐私政策声明冗长复杂、技术规则晦涩难懂,过度的授权请求和超负荷的声明告知可能导致管理厌恶心理,这些都为隐私自我管理规则发挥实效带来障碍。在此情境下,人们作出知情和理性决策的实际能力相对有限,而平台则能够利用“信息自决”概念为自己辩护,让数据主体承担“自己”责任。
第二,数据主体和平台结构问题。如今,大多数人的日常生活早已离不开平台提供的各种服务,数据主体与平台的数据共享已是一种既定的社会事实。然而,个体与平台的谈判基础和博弈能力并不均衡,二者处于不对称的权力结构之中。一方面,个人数据自主控制的话语权缺失。个人在作出数据利用许可的决定时,往往面对“全有”或“全无”的选项,缺乏更多可选择的空间。另一方面,数据隐私权益“虚空化”。由于数据的聚合效应,隐私侵害往往具有累积性和潜伏性,这意味着隐私自我监管是一个长期过程,个人难以预测和把握未来数据处理活动中未知的风险。因此,数据主体无法确保自己从一开始就作出不含效力瑕疵的意思表示。随着数据的不断叠加和流转,个人的数据隐私权益也被架空和扭曲。第三,数据市场性和隐私保护冲突的问题。数据具有非独占性、非竞争性、公共性等特点,强调平等对待的传统私法权利保护框架没有充分考虑数据的公共面向以及数字市场的发展,最终可能损害社会公共利益。在实际生活中,数据隐私保护存在“思想”和“行为”相背离的状态,即人们表达的高隐私关注与他们的实际行为之间存在明显脱节。对此,更合理的解释也许是,从市场的角度出发才能真正理解个人数据的产生原因和流转方式——人们越是愿意共享个人数据以获得平台服务,越是关注隐私价值并越需要有效的隐私安全保护。总之,以传统私法权利理论指引数据隐私保护,会导向数据隐私自我监管模式。然而,这一模式未能厘清个人数据保护所指向的法益本质,也不能很好地规制个人数据处理风险、防范与救济数据侵害后果,无法满足数据要素市场化需求,无法在数据隐私、公众福祉与技术创新、生产效率之间达成实质性平衡。这样一来,如何贯彻《个人信息保护法》中“保护与利用并举”的理念?一种较为稳妥的处置方案是,不把数据共享和隐私保护视为“非此即彼”的两极关系,而是积极寻求超越数据隐私自我监管的新方法。众所周知,技术是一把“双刃剑”。对技术应用是否适当的判断,既取决于人们的目标正当性,亦取决于利用技术促成目标时的方式妥适性。在数字时代,人们已达成共识:无论数字技术发展到什么程度,它都应该促进人的发展、提高人的尊严;唯其如此,数字技术发展才是可欲的,才是“善”的。于数据隐私保护而言,完善平台处理个人数据的规则,具有“目标正当”(保护数据隐私权益)与“方式妥适”(以合理手段利用个人数据)两个面向。对此,“隐私设计”理论提供了一个可资借鉴的思路,在此思路指引下重构相关规则,或许是一种最契合当下实际的制度选择。
隐私设计(Privacy by Design)的理论根植于系统工程,主张在系统设计的最初阶段将个人数据保护的需求“嵌入其中”,包括以下七项原则:一是主动而非被动、预防性而非补救性;二是默认的隐私保护;三是隐私嵌入设计;四是强调全功能性的正和共赢;五是端到端安全——全生命周期的保护;六是可见性和透明性;七是尊重用户隐私——以用户为中心。隐私设计理论背后涵盖的其实是助推(Nudge)导向的政策设计理念,是温和家长主义(Soft Paternalism)在数据法律保护上的延伸。隐私设计理论有意识地将平衡点转向平台对隐私保护的责任,将数据控制者、系统开发者和制造者纳入隐私保护的责任主体范围,要求上游技术开发人员在设计过程中考虑隐私问题。由此,数据隐私保护不再仅仅是法律驱动或政策驱动,而成为真正的“设计驱动”。要将设计驱动理念转化为实际行动,须关注以下两个方面。一方面是数据隐私保护设计的整体逻辑。隐私保护的底层逻辑决定了产品的整体工作方式。具体而言,数据隐私保护设计需遵循如下逻辑:实现根据需求匹配隐私保护的平台设计,确保用户理解隐私条款的用户界面设计,使用相应的隐私工程技术保护分类敏感信息,指导平台将核心隐私原则转化为具体设计并完成测试。同时,隐私设计有两个主要维度值得关注。一是生命周期维度,即在产品和服务的整个生命周期中维护全面的数据管理程序;二是监管对象维度,即将不同领域的实质性的隐私保护纳入平台实践,根据不同领域个人数据流动所呈现的不同利益和状态采取不同的保护机制。总体上,要采用横向与纵向、微观与宏观相结合的分类保护,从动态视角观察个人数据的流通与利用。另一方面是数据隐私保护的平台管理架构设计。遵循隐私设计理论确定平台管理架构,要将伦理和价值观以原则性的方式嵌入技术设计之中,达到用户期望的交互水平,创建用户可以与之交互的数字环境。总体而言,数据隐私保护的管理架构分为两大基础模块。一是法律规范模块。该模块要求法律为技术系统的设计提供方案,引入隐私设计理论补足个人数据保护法律规范,以技术向善为价值导向,鼓励并逐步推动隐私设计的应用与落地,弥补当前隐私自我监管框架的短板。二是组织管理模块。该模块要明确数据流转的全过程中相关主体的责任和义务,完善多元参与和互动机制,强调政府、企业等组织机构之间以及组织机构与个人之间的合作。通过企业或政府搭建的平台,让监管主体、商业主体、法律专家、用户群体和设计工程师共同商议探讨,加强理解沟通并达成隐私设计共识。此外,市场应当引入声誉机制作为用户信任度的衡量指标,使得隐私成为“品牌”利益的一部分。让更具善意的平台产生示范效应,使平台之间的“朝上竞争”成为可能,通过适当的政府干预来纠正隐私市场的失灵。当然,未来隐私设计理论的法律实践仍需不断完善并接受时间的考验。(来源:中国社会科学网)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664228108&idx=5&sn=f619fdabbd41351e03772c8c4f8399f1&chksm=8b59e7f5bc2e6ee354d6cb4a20b65f362c160809c03b3818e39964f8cb88d71f76baa4fb47e5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh