本文作者:赛迪智库网络安全研究所 魏书音
近期,欧洲数据保护专员公署(EDPS)发布《2020-2024年数据保护战略》(以下简称《战略》),明确了EDPS数据保护的三大核心任务,即前瞻性、行动性和协调性,概述了未来5年的行动目标和实现路径,并提出在数字世界要坚持欧洲价值观,改变目前依赖利用个人信息盈利的商业模式,促进欧盟数字团结,重建数字社会信任,塑造更安全、更公平和可持续的数字欧洲。
一、《战略》界定了数据保护的三大任务
前瞻性。继续监测世界各地的法律、社会和技术进展情况,积极跟随数据处理实践的最新进展,以及可能会对隐私和数据保护产生影响的新技术。
行动性。建立有效的数据保护监督机制;开发工具协助欧盟机构执行数据保护标准,促进欧盟执法机构活动的一致性。
协调性。保护全体公民的隐私,推动负责任和可持续的数据处理,以公正公平的方式增进个人权益,并使社会利益最大化。
二、《战略》主要内容及亮点
关注现实问题——在疫情新常态下,必须解决防控带来的数据安全和隐私保护问题。新冠疫情期间的公共卫生管理和研究非常依赖数据,数字工具的广泛使用增加了隐私、数据保护和人权方面的安全风险。《战略》提出,要警惕以安全名义侵犯公民的私人领域,在疫情新常态下要确保个人权利。《战略》建议,对欧盟新冠疫情期间采取的措施进行评估,因特殊情况监视公民的措施在危机解除后应及时废除;建立有效的监督机制,确保抗击疫情的技术和工具有利于增强公民权益,而非控制、压制或羞辱公民;在欧盟发展电子卫生服务;与各利益攸关方制定一致和针对性战略,应对新冠疫情和数据保护问题。
坚持长远发展观——改变现有商业模式,推进数字经济转型和可持续发展。一方面,目前依赖于追踪、分析和行为定位的数字经济商业模式日益壮大,作为商业或政治资产的个人信息被货币化或用于操纵用户,这种模式促使互联网公司不加选择地保留所有通信数据,以获得基本服务来交换隐私和数据安全,而这不符合欧盟价值观、基本权利和数据保护规则,也难以实现可持续的经济增长。《战略》建议,应强制推行个人数据收集使用最小化和负责任的数据处理,鼓励在数据使用方面以最有益的方式开展竞争,而不是在收集数据总量方面竞争。另一方面,少数强大的私人公司掌握着海量数据,可将其数据集中控制权转化为有价值的战略资源和操纵手段。《战略》呼吁,欧盟应加强对私人公司持有的个人数据进行监管,以便用于公共利益服务方面的研究,比如用于卫生保健或推进卫生研究,以及解决气候危机或日益加剧的社会不平等;应针对数据再分配政策展开更广泛的辩论,采取相应举措促进数据共享,进而在遵守欧洲基本权利的框架下实现数据社会效益最大化。
侧重个人信息权益保护——增强个人对自身信息的控制权,规制垄断供应商对数据的强制收集问题。一方面,侧重保护用户权益,确保用户与数据控制者的力量平衡。人工智能算法决策等技术的使用,加剧了数据控制者对员工和消费者的控制,强化了对妇女、有色人种和残疾人的歧视,但后者理解或挑战这些决策的能力有限。《战略》建议,个人应当对自身数据的收集、处理方式和目的有更大的控制权,侵权证明责任也应由数据控制者负担。另一方面,要减少用户对单一通信和软件服务垄断供应商的依赖,促进市场充分竞争;与欧盟组织和公共管理机构合作,对标准合同条款进行审查,修改强制收集信息的条款;呼吁欧洲企业联盟和欧盟其他公共行政机构,审查其数字产品、软件、服务和技术的对外合约,采用标准的数据保护条款。
呼吁欧盟一致行动——在数据保护价值观、利益、目标、规则等方面达成协同。一方面,强调团结,共同的价值观、利益和目标。《战略》呼吁欧洲应团结,努力执行数据保护规则,以确保到2025年GDPR作为一个数据保护标准模型得到各国认可。加强数据安全和隐私保护等基本权利保护,将其作为欧洲未来会议的核心议题,并纳入《欧洲民主行动计划》。另一方面,对欧盟法律中数据保护标准方面的差异进行有效协调;确保数据保护规则的执行与适用于数字经济的其他规则(特别是有关消费者保护和竞争法规则)相协同;在确保个人信息得到保护的同时,避免对言论的全面监控和审查;通过对具体案件的处理,建立数据监管机构间的务实合作和联合执法。
提前预防未来安全隐患——密切追踪和研究新技术引发的数据安全问题。在未来5-10年,生物识别技术及各种形式的面部自动识别系统,都将对隐私和匿名性产生深远影响。人工智能将越来越多地应用于公共服务和刑事司法,在娱乐、医疗和零售领域使用的增强/虚拟现实(AR/VR)技术将生成高度敏感数据。5G和6G技术将使物联网成为可能,设备和数据的激增引发隐私和数据安全风险,增加了为获取信息、破坏服务、敲诈钱财的犯罪,针对工业控制网络的网络攻击行动将增多且愈发隐蔽。《战略》要求,应积极跟进可能对隐私和数据保护产生影响的数据处理实务和技术发展,组织研究电子健康、生物识别技术和自动识别系统、量子计算、边缘计算和区块链等侵入性的、正在发展或潜在技术对数据安全的影响;欧盟组织如果计划部署新技术,则需说清楚技术影响及其安全风险。
三、几点启示
加强疫情常态化背景下对个人信息的保护。我国的《传染病防治法》等法律,仅原则性地要求疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息和资料,并未对疫情爆发等特殊时期对个人信息的收集、使用、删除等进行具体规范。建议制定《个人信息保护法》时充分考虑疫情常态化背景下的个人信息保护问题,从法律上进一步明确患者个人信息收集主体,并遵守最少必要原则。采取技术措施规制所收集的患者个人信息的使用和处理。比如国家建立突发公共卫生事件个人信息上报平台,对疫情期间所收集的个人信息进行统一管理,设置严格的分级访问控制机制,授权必要管辖单位进行访问和使用,并在疫情结束后对信息统一进行匿名化或删除处理;完善传染病医疗信息披露制度,明确传染病信息公开披露的主体、程序和时限;根据披露主体明确披露的信息范围,所披露信息不得超过防治传染病所需的必要范围。
探索研究可持续的数字经济增长模式。数据已成为企业竞相争夺的重要战略资源,个人信息是最具价值的核心资源。目前,互联网企业的竞争还主要集中在个人信息收集最大化,利用个人信息和算法进行定向推送成为互联网行业的一大营利模式,这种对用户信息的无限制挖掘,使得强制授权、过度索权、超范围收集等现象普遍存在,严重威胁到隐私和个人信息安全。建议研究可持续的数字经济增长模式,引导企业在数据使用方面进行技术和应用创新,改变以牺牲个人隐私为代价的发展模式,不断创造新的数字经济增长点。
增强数据安全执法力度和能力,形成有效威慑。目前,工信、公安等部门都启动了数据安全执法工作,但各部门执法标准不尽一致,执法力度不够,震慑效应不足。建议充分调动地方各级数据安全保护机构的力量,深入开展数据安全执法,提升威慑力。各部门共同制定统一的执法标准,确保各行业领域、各地方执法部门都能采用相对统一的标准要求,防止“同案不同判”。在监管实践中,不断探索平衡个人信息权益和其他个人合法权益、社会经济发展等利益关系的路径,积累解决安全与发展问题的经验和能力。
声明:本文来自赛迪智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。