郑志峰 西南政法大学民商法学院讲师 人工智能法律研究院自动驾驶法律研究中心主任
一、问题的提出
进入21世纪以来,一个“移动互联网、大数据和人工智能”并存的新时代已经到来,传统个人信息保护法律框架显得捉襟见肘:其一,用户控制模式难以继续奏效。其二,数据控制者的设定受到挑战。其三,事后救济模式遭遇质疑。其四,法律中心主义亟需拓展。
面对科技发展带来的种种挑战,我们必须更新个人信息保护策略。对此,近年来一股通过设计来保护个人信息(以下简称“隐私设计理论”)的浪潮席卷全球。隐私设计理论主张,未来的个人信息保护不能仅通过遵循现有法律规范来实现;相反,个人信息保护的需求应当像核心功能那样从一开始就嵌入到系统的设计之中,成为系统和商业实践运行的默认规则。本文针对隐私设计理论这一欧美最新的个人信息保护理论进行探讨,以期为我国今后个人信息保护立法和实践工作提供一些借鉴。
二、隐私设计理论的缘起发展
(一)隐私设计理论的缘起
20世纪50年代,伴随互联网技术的兴起,价值导向设计理论应运而生,主张将人类价值以一种原则性的方式贯穿于科技设计的整个过程。
1999年,莱斯格教授提出,科技的规制主要有四种方式,分别是法律、准则、市场以及架构。其中,代码作为架构的一种形式,它可以像法律规范一样规制人们在网络空间中的行为。这种通过代码去规制网络空间中的人们行为的理论,被广泛称之为“代码之法”。
在代码之法理论的影响下,理论和实务界逐渐认识到了传统单一的个人信息保护法律框架的不足,隐私增强技术开始流行起来。然而,随着科技的迅猛发展和隐私保护的日益复杂,纯粹依靠技术来保护隐私的理念亟需进一步拓展,于是一种综合技术、运行系统、工作流程、管理结构、物理空间和基础设施的保护理念应运而生,它就是隐私设计理论。
(二)隐私设计理论的提出
隐私设计的概念最早由加拿大渥太华省信息与隐私委员会前主席安·卡沃基安女士于上世纪90年代提出。隐私设计理论最为核心的有三点:其一,应当积极主动预防个人信息风险。其二,个人信息保护理当成为系统运行的默认规则。其三,隐私设计理论强调正和共赢。
隐私设计理论本质上是价值导向设计理论和代码之法理论的结合。一方面,隐私设计理论遵循价值导向设计的理念,倡导将个人信息保护这一人类价值通过设计嵌入系统之中,成为系统运行的默认规则;另一方面,隐私设计理论继承了代码之法的精神,实现通过代码的规制。
(三)隐私设计理论的发展
早在2007年,欧盟数据保护监督局就主张,为更好遵守1995年《个人数据保护指令》,最好的措施应当是“建立在隐私设计理论之上”。
2015年2月,美国政府发布的《消费者隐私权利法案(草案)》明确引入隐私设计原则。2017年4月,加州参议院提出法案,要求所有物联网设备制造商都必须强制执行隐私设计的要求。
在国际层面,2010年10月,第32届数据保护和隐私委员会国际会议在耶路撒冷召开,大会一致通过《隐私设计方案》,明确将隐私设计理论作为未来个人信息保护至关重要的部分。
此外,许多著名的企业也在积极践行隐私设计理论。
三、隐私设计理论的内容阐释
(一)基本原则
1.积极预防,而非被动救济。不要等到个人信息风险已经明朗化或侵害发生后,再去提供事后的救济,而应从一开始就考虑如何预防和阻止侵害的发生。
2.隐私默认保护。个人信息保护应当成为企业商业实践和系统运行的默认规则。例如,许多浏览器将Cookies设置成默认关闭状态。
3.将隐私嵌入设计之中。个人信息保护的需求应当嵌入到系统的设计之中,成为系统的核心组成部分,同时又不损害系统的功能。例如,电脑主机上的BIOS密码设计。
4.功能完整——正和而非零和。反对将个人信息保护与功能、效率、安全、商业利益等价值对立的零和方式,主张通过正和方式来保护个人信息,实现用户、企业等多方共赢。
5.全生命周期的保护。个人信息保护的需求在用户数据被首次收集之前就嵌入系统设计之中,并扩展至系统运行的整个生命周期。
6.可见性和透明性。企业商业实践和系统都应当依据公开的承诺和目标来运作,并接受独立核查。
7.尊重用户隐私——确保以用户为中心。让用户在管理个人信息中扮演积极角色。例如,在微信朋友圈设置中,腾讯就给予了用户很多选择,包括可以看谁的朋友圈、不看谁的朋友圈、允许朋友查看朋友圈的范围等。
(二)适用范围与主体
1. 适用范围
第一,信息通讯技术。
第二,商业实践。
第三,物理设计和网络基础设施。
2. 适用对象
隐私设计理论当然适用于各类数据控制者,包括收集、处理和流转用户个人信息的企业。除此之外,还特别强调将个人信息保护的职责施加给系统的开发者和制造者。
(三)与相关概念的区分
1.隐私设计与公平信息实践原则。隐私设计理论主张采用积极预防的方式来保护个人信息,而公平信息实践则原则更倾向于事后消极救济;隐私设计理论倡导通过法律、技术等综合手段来保护个人信息,而公平信息实践原则主要是单一的法律保护。
2.隐私设计与隐私再设计。隐私设计理论强调从系统最初的开发阶段就主动嵌入个人信息保护的需求。隐私再设计将隐私设计的基本理念适用于已经运行的系统,主要分为三个步骤:第一,反思;第二,再设计;第三,再运行。
3.隐私设计理论与隐私增强技术。隐私增强技术主要指那些增强用户个人信息保护的技术,包括编码、加密、假名和匿名、防火墙、匿名通讯技术等。尽管隐私增强技术与隐私设计理论有共通之处,但两者并不能等同。
四、隐私设计理论的具体实施
(一)实施步骤
1.界定法律需求。首先需要界定个人信息保护的法律需求,以便将法学中的个人信息保护概念引入工程学中。霍夫曼等人总结了九项法律需求:目的限定、数据最小化、数据质量、透明性、用户权利、被遗忘权、数据携带权、数据违反通知、责任和合规。
2.系统功能分析。明确法律需求后需要了解系统的功能需求。对于系统功能描述越模糊,系统就越可能设计成尽可能多地收集数据,由此增加隐私风险。
3.确定数据。在界定法律需求和系统功能需求后,我们就可以确定系统所需要收集、处理以及流转的数据范围和类型。依据收集限制原则,企业必须严格依照系统本身的功能目的来收集、处理和流转数据。
4.隐私风险分析。系统收集、处理和流转数据,必然存在各种隐私风险。不同风险所需要的应对策略不同,系统设计也需随之变化。
5.多边需求分析。除系统本身目的外,开发者通常还需要虑其他制约因素,以满足不同利益相关者的需求。
6.方案的实施和测试。在此阶段,需要检查潜在的漏洞,确保系统能够在实现完全功能的前提下遵循个人信息保护法律规范。如果发现新的隐私风险,开发者还需要重新回到之前的步骤。实施与测试是伴随系统整个生命周期的,需要持续进行。
(二)设计策略
1.最小化,要求数据收集尽可能限定在最小限度之内,确保系统收集的数据与其目的相当。
2.隐藏,要求系统收集的所有数据以及彼此之间的联系都应当进行隐藏处理,以便让数据具备不可链接性和不可观察性。
3.分离,要求数据尽可能以一种分散、分区域的方式来储存和处理,增加获取用户完整画像的难度。
4.聚合,指数据在保证可用性的前提下,应尽可能以高度聚合形态来处理,以便将数据细节模糊化。
5.通知,指系统应当通知用户有关数据收集范围、方式以及目的等信息。
6.控制,指用户有权控制自己个人信息的收集、处理和流转。
7.执行,要求企业应当依据个人信息保护法律规范制定适当的隐私政策,采取措施执行这些政策。
8.展示,指企业需要展示个人信息保护法律规范以及制定的隐私政策是如何得到遵守的。
隐私设计策略图 |
(三)法律保障
1.隐私设计原则的法律化。法律应当明确引入隐私设计理论,实现隐私设计原则的法律化。例如,《一般数据保护法》第25条第1款规定,数据控制者应当基于国家的发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理行为可能给自然人的权利和自由带来的风险和损害,采取有效的技术性和组织性措施来保护用户的个人信息。同时,我们还应考虑将隐私设计理论的基本原则法律化。例如,《一般数据保护法》第25条第2款就特别提及默认保护原则。
2.隐私设计实施的法律化。隐私设计原则的法律化为隐私设计理论的实施提供了指导,但法律还需做进一步的规定。
其一,责任主体。除数据控制者外,系统的设计者和制造者也应是责任主体。对此,《一般数据保护法》第25条存在明显不足,应予以完善。
其二,隐私增强技术。隐私增强技术的具体运用,需要结合不同隐私设计策略:其一,最小化策略。其二,隐藏策略。其三,分离策略。其四,聚合策略。其五,通知策略。其六,控制策略。其七,执行策略。其八,展示策略。此外,隐私增强技术的使用还需兼顾数据的可用性。
其三,隐私影响评估。借助隐私影响评估工具,企业可以提前识别、界定系统可能存在风险,以便更好执行隐私政策。例如,《一般数据保护法》第35条就规定,企业必须对涉及个人信息处理的行为进行隐私影响评估,特别是这种处理行为运用了新技术时。
五、隐私设计理论的争议与回应
(一)对隐私设计理论的质疑
1.隐私设计理论本身不够清晰。隐私设计七原则非常模糊,没有阐释隐私设计理论的具体内涵。
2.隐私设计理论难以具体实施。其一,个人信息保护的法律需求难以界定。其二,将法律需求嵌入系统的可行性值得商榷。此外,有学者认为,隐私设计理论违反了技术中立原则。
3.隐私设计理论可能会产生负面影响。其一,额外数据的收集。其二,阻碍科技创新。其三,增加系统复杂性。其四,影响数据的价值。
4.企业执行问题。首先,个人信息保护并非企业的主要目的,企业践行隐私设计的激励并不充分。其次,系统开发者和制造者没有主动贯彻隐私设计的动力。最后,企业合作使得彼此之间责任界限模糊,阻碍隐私设计的实施。
5.违反现代民主法治精神。隐私设计理论似乎在绕过正规的民主立法和执法程序来规制人们的行为。
(二)对于上述质疑的回应
1.隐私设计理论具备践行的可能。首先,隐私设计是比较成熟的理论,有自己的基本原则、价值理念、适用范围和对象以及具体实施步骤、策略等。其次,个人信息保护的法律需求是可以界定的,如霍夫曼等人就总结出了九项个人信息保护的法律需求,法律需求通过设计嵌入系统也具有可行性。最后,欧盟《一般数据保护法》以及美国《消费者隐私权利法案(草案)》都规定了隐私设计理论。苹果、腾讯等一大批互联网巨头也纷纷在践行隐私设计理论。
2.企业有践行隐私设计的动力与可能。其一,随着用户对于个人信息保护越发重视,隐私有助于商业已经成为共识。其二,企业应根据自身规模、商业模式、系统风险等来制定合适的实施计划,中小企业也有践行隐私设计的可能。其三,越来越多的企业合作纵然会增加隐私设计的实施难度,但各种资源的组合也能提供更多的解决方案。其四,系统开发者和制造者同样具备践行隐私设计的动力。
3.隐私设计理论的消极影响可以克服。其一,对于不可避免地收集的额外数据,同样会提供隐私设计的保护。其二,隐私设计理论为技术创新打开一扇新窗口。例如,许多隐私增强技术的创新就是贯彻隐私设计理论的产物。其三,隐私设计理论在保护用户个人信息的同时,会尽可能保留数据的利用价值。
4.隐私设计理论并非对立法权的僭越。从隐私设计的实施过程来看,界定个人信息保护的法律需求是整个方案的第一步。此外,企业践行隐私设计后仍然要接受现行法律规范的监督和审查。
5.隐私设计理论并非万能,需要不断完善和更新。
六、结语
近年来席卷全球的隐私设计理论被视为下一代个人信息保护的关键举措。遗憾的是,我国个人信息保护法律体系的建立还付之阙如,特别是作为主体法律规范的《个人信息保护法》迟迟没有出台。此种背景下,一方面,我们需加快推动《个人信息保护法》的出台,完善个人信息保护法律体系;另一方面,我们也应积极借鉴欧美有关个人信息保护的最新经验,充分发挥后发优势。对此,隐私设计理论能够为我国今后个人信息保护的立法和实践工作提供很好的参考。
(本文经过郑志峰老师授权许可,精选自郑志峰发表于2018年第6期《华东政法大学学报》的论文“通过设计的个人信息保护”;未经许可,不得转载。)
声明:本文来自人工智能与网络法前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。