电子信息技术和服务的快速发展带来数据的海量收集和处理,给现行法律和社会管理模式带来新的挑战。欧洲经济和社会委员会于2017年3月发布《大数据伦理——在欧盟政策背景下,实现大数据的经济利益与道德伦理之间的综合平衡》报告,对大数据伦理进行了总体概括,并对与大数据相关的道德伦理问题进行了详细的总结。
在此基础之上,报告重点讨论并融合各方面的见解,为平衡欧洲经济增长与大数据应用下个人隐私权的保护,提出了保护基本人权的五项制衡措施。
法律框架
1.引言
人们普遍认为,大数据的应用代表着欧洲经济的一个重大进步。然而,它也带来了重大的法律问题,尤其是数据保护相关问题。有一些社会机构报告认为,欧盟基于n46/95/EC指令的现有法律框架和基于《个人数据保护通则》的法律框架,已经为公民基本权利提供了充分保护。但数据保护的新边界不仅涉及个人数据,还涵盖各种数据。除能够确定某特定自然人的数据外,人们还能借助数据识别某个群体而非个体的特定行为、消费方式及健康状况等信息。
大数据的收集和汇总不适用于数据保护条例。最初,隐私权规则的制定是为了保护私生活不受侵犯,并避免因信息收集带来的歧视。目前,大数据的定量分析和结构化信息可以形成新的洞察力,从而能够造成商业歧视和群体歧视。随着群体变小(按地理位置、年龄、性别等因素划分群体),更容易引发歧视问题。
因此,在法律框架下有必要重新思考保护公民的全新方式,即使理论上现有法律适用于各种新情况,但已经无法提供适当和全面的保障。
2.大数据、个人数据和匿名数据的定义
大数据:欧洲法规并未提供明确的大数据定义。根据欧洲数据保护工作组3/2013的观点(第29条款组),大数据的概念如下:
“大数据是指,由于可获取和利用的信息大幅增加,而使得企业、政府和其他大型组织控制的海量数字数据,对其可利用算法进行全面分析。大数据可以用来判断一定的未来发展趋势与相互关系,也可以直接用来影响个人。”然而,即使该定义具有一定实用性,但其关注重点是数据的体量,并未将个人数据的再利用及其二次价值纳入考虑因素。
个人数据:第2016/679号条例(第4条第一段)将个人数据定义为“与特定或可识别自然人相关的任何信息;尤其是能通过名字、身份证号、定位数据、在线标识或特定的一个或多个该自然人的物理、生理、遗传、心理、经济、文化和社会身份等信息,可以直接或间接识别的自然人,就称为可识别的自然人”。此类数据可以是姓名、住址、性别、职业、出生日期、电话号码、电子邮件地址、城镇、国家、车牌号、用户名和密码等。在个人数据中,有一个特殊类别是敏感数据,它受特定法律规则的约束,包括有关民族或种族、政治和哲学观点、宗教信仰、性行为及其偏好和健康数据等个人信息。
匿名数据:匿名信息不受欧盟法规约束,但根据一般数据保护条例第26条规定,“数据保护的原则应适用于任何一个特定或可识别自然人的相关信息。经过匿名处理的个人数据,如通过使用附加信息就能确定某个可识别的自然人,此类信息仍归为可识别自然人的相关信息。判断一个自然人是否可被识别,应考虑所有可行方法和客观因素,如识别成本和所需时间,同时还应考虑在进行识别之时技术的可行性及技术发展情况。因此,匿名信息,即与特定或可识别自然人无关的信息,或以匿名方式提供的无法识别主体的个人数据,不适用于数据保护原则。
此外,根据第4、5条规定,“‘匿名化’是指对个人数据匿名的处理方式,在未使用附加信息的情况下不能确定数据的主体,前提是附加信息被分开存储,并采取了技术和管理措施以确保个人数据不具有特定自然人或可识别自然人的属性”。这其中关键的一点是,个人数据一旦经过匿名处理后,在未经数据主体任何事先授权的情况下,可对该数据进行任意处理。但其至少存在以下两种课重新识别数据主体的可能性:第一,应用去匿名化技术追溯原始个人数据;第二,通过多种或特定数据组识别特定自然人或某个特定群体。