《白皮书》补充认为,更多的关注责任并不意味着忽视收集的环境。对数据负责的一个方面就是要尊重原始数据的采集。也就是说,原有的”告知与同意”框架仍然应当得到最大程度的遵守,并随着技术的发展进行调整,从而能够应对大数据带来的一些挑战。
此外,美国政府对隐私保护政策框架持较为开放的态度,认为应当关注的是如何在大数据所带来的效益,与隐私权等由于大数据采集信息而不可避免遭受损失的价值之间,做到合理的平衡。与此同时美国政府在白皮书中也重申,”尽管我们生活在一个能够比过去更自由的共享个人信息的世界,但我们必须坚决否认隐私价值已经过时。隐私从一开始就一直是我们民主制度的心脏,而现在,我们比以往任何时候更需要它”。
(二)隐私保护的立法建议
2012年2月23日,美国总统奥巴马签署美国白宫发布的工作报告《网络环境下消费者数据的隐私保护–在全球数字经济背景下保护隐私和促进创新的政策框架》(ConsumerDataPrivacyinANetworkedWorld:AFrameworkforProtectingPrivacyandPromotingInnovationintheGlobalDigitalEconomy)(以下简称《消费者隐私保护报告》)。该报告正式提出《消费者隐私权利法案》(ConsumerPrivacyBillofRights),向社会公众公布并提请国会进行审议。报告对《消费者隐私权利法案》的立法理念和主要内容进行了介绍,集中体现了美国政府应对大数据时代隐私保护问题的做法。目前,《消费者隐私权利法案》尚未获得国会通过,因此在《白皮书》中美国政府也呼吁国会尽快通过《消费者隐私权利法案》,以确定隐私保护的法治框架。
总体而言,《消费者隐私权利法案》的基础仍然是”公平信息实践法则”,主要规定了以下三大方面的内容:
1、”告知与同意”框架的强化
(1)个人控制(IndividualControl):消费者有权控制企业对个人信息的收集和使用。第一个方面,法案要求在任何情况下,企业都应当赋予消费者选择权,使其有权控制企业收集的任何个人数据。对于不与消费者直接接触的第三方,只要数据的用途会对消费者的权益造成重大影响,也要赋予消费者选择权。收集数据的企业也应当对第三方进行尽职调查,调查第三方企业将如何使用消费者数据以及是否赋予消费者适当的选择权。此外,消费者应当有权对授权进行撤销,而这种撤销的方式应当与授权方式的便捷性相同。第二个方面,法案要求消费者在个人数据使用时,尤其是在个人数据分享公开时应当评估选择可能造成的后果并为此承担责任。
(2)透明度(Transparency):消费者有权无障碍地理解和获取有关隐私及其安全保障的信息。在最有利于消费者理解隐私风险和实施个人控制的时间和地点,企业应当清楚地说明如下信息:收集个人数据的种类;收集个人数据的原因;所收集的个人数据的用途;在何种条件下删除数据或者删除数据中消费者的身份信息;是否与第三方分享个人数据以及分享的目的等。法案重点要求企业公开与个人数据原定使用情境不一致的行为,公开与消费者的预期不一致的个人数据使用行为。企业所采取的通知形式,应当使消费者能够在获取企业服务的同时在所使用的设备上进行阅读。不与消费者接触的企业,应当详细告知消费者收集、使用以及公开个人数据的情况。
(3)情境一致(RespectforContext):消费者有权期望企业收集、利用和公开个人信息的方式与其提供信息时的情境协调一致。企业使用、公开个人数据应当具有特定目的,并且该目的应当和他们向消费者公开说明与消费者合理预期的目的相符,并以实现这些目的为限使用、公开数据。如果不相符,企业应当以消费者容易作出反应的方式,进行突出说明。此外,法案特别要求对从儿童和青年处获得的数据应该给予比成人更大的保护。
2、数据保存与处理的安全责任
(1)安全(Security):消费者有权要求自己的数据得到安全和负责任的处理。企业应当结合自身在个人数据领域的实践,评估隐私和安全风险,同时必须采取合理的安全措施以防范可能出现的风险,如数据丢失,数据非法获取、使用、损坏或修改,数据的不适当公开等。
(2)接入权与准确性(AccessandAccuracy):个人数据有误时,在与数据敏感性,以及与数据错误可能对消费者带来不利影响的风险性相适应的情况下,消费者有权获取进而更正以可用格式存在的个人数据。企业应当采取合理措施确保其保存的是准确的个人数据。