四、原有数据应用下的隐私保护体系
美国保护隐私利益的法律框架,覆盖了宪法、联邦、各州等层面。最初,美国隐私权保护主要针对的是公权力对公民隐私权的侵犯,1934年《侵权法重述》则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因。计算机技术发展带来的数据隐私问题在1973年首次进入公众视野。美国卫生、教育与福利部发布了一份题为《录音、计算机与公民权利》(Records,Computers,andtheRightsofCitizens)的报告,分析了”自动化个人数据系统可能导致的不良后果”,并提出了广为人知的”公平信息实践法则”(FairInformationPracticePrinciples,简称为FIPPS),成为数据保护制度的基石。该法则规定个人有权知道他人收集了哪些关于他的信息,以及这些信息是如何被使用的;个人有权拒绝某些信息使用并更正不准确的信息;信息收集组织有义务保证信息的可靠性并保护信息安全。这些内容成为1974年《隐私法案》的基础,并被其他国家和国际组织所接受。
20世纪80年代,美国根据行业特点,专门制定了行业隐私法律,为以侵权行为为基础的习惯法提供了补充:
(1)金融领域:《金融隐私权法案》(TheRighttoFinancialPrivacyAct,RFPA),对银行雇员披露金融记录及联邦立法机构获得个人金融记录的方式进行限制;《金融服务现代化法案》(FinancialServicesModernizationActof1999)要求金融机构尊重客户隐私并保护客户非公共信息的安全与机密;
(2)保险领域:《健康保险隐私及责任法案》(TheHealthInsurancePortabilityandAccountabilityActof1996,HIPAA),规定个人健康信息只能被特定的、法案中明确的主体使用并披露,个人可以控制了解其本人的健康信息,但要遵循一定程序标准;
(3)电视领域:《有线通讯隐私权法案》(CableCommunicationPolicyAct),禁止闭路电视经营者在未获得用户事先同意情况下利用有线系统收集用户的个人信息;《电视隐私保护法案》(CableTVPrivacyActof1984),将隐私权保护范围扩展到录像带销售或租赁公司的顾客;
(4)电信领域:1996年《电讯法》(TelecommunicationAct),规定电讯经营者有保守客户财产信息秘密的义务;
(5)消费者信用领域:《公平信用报告法》(TheFairCreditReportingAct),该法属于消费者保护法系列,规定了消费者个人对信用调查报告的权利,规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项,明确了消费者信用调查机构的经营方式;
(6)儿童隐私保护领域:《儿童在线隐私权保护法案》(TheChildren’sOnlinePrivacyProtectionAct,COPPA),规定了网站经营者必须向其父母提供隐私权保护政策的通知,以及网站对13岁以下儿童个人信息的收集和处理原则与方式等。
总括来看,传统的信息保护方案主要遵循”公平信息实践法则”,基本安排是”告知与同意”框架,并按照行业领域进行细分。但在大数据时代,原有的保护方案具有较大局限性:第一,数据收集技术的发展,使得数据可以不再以显性方式进行收集,数据行为人难以察觉;第二,数据服务企业的兴起,许多数据服务企业并不在原有法律规则监管范围内;第三,行业数据之间界限的模糊,一项购物习惯数据可能同时显示出行为人的金融行为数据;第四,第三方数据储存与云计算被广泛运用,而这些第三方机构并不与消费者直接接触,信息的储存与责任承担成为潜在问题;第五,传统信息保护方案与奥巴马政府回应大数据公开诉求的相关政策存在潜在冲突。
因此,大数据时代的美国隐私保护政策与法律,重点关注的是更具普遍适用意义的、更符合大数据运作特点的、不会限制大数据技术和应用发展的、更具可操作性的方案。
五、”大数据时代”的隐私保护
针对大数据的特点,美国政府提出了在不阻碍大数据发展的情况下,解决隐私权保护问题的基本方案,涉及政策调整、法律制定与技术革新等多个方面。
(一)隐私保护政策框架
在《白皮书》中,美国政府认为”告知与同意”框架已经不能满足隐私权保护的需要。《白皮书》提出,对于现在绝大多数用户与企业进行的普通信息交互来说,”告知与同意”框架充分保护了隐私,但美国总统科学和技术顾问委员会表示,技术轨迹正在转向采集、使用和储存对消费者和个人没有直接联系的数据上来,假如”告知与同意”框架更容易被违背,则我们需要重新关注数据的使用一端,而不是原来的采集一端。美国政府认为,大数据时代的隐私保护应当关注于使用责任制,使数据的采集者和使用者对数据的管理及其可能产生的危害负责,而不是狭隘的将其责任定义为是否通过正常途径采集数据。