当前,互联网新技术新业务正改变着个人信息的收集和使用方式,对个人信息保护带来巨大挑战。云计算让个人信息远离个人终端,用户对于个人信息的控制能力大大降低,个人甚至并不清楚其数据的存储位置;移动互联网更让信息收集变得无处不在,且所收集的信息高度个人化,比如通讯录、照片、邮件、App应用的使用信息等。如果说云计算、移动互联网只是从量的层面加剧了个人信息保护的难度,那么大数据的出现则是从质的层面冲击了个人信息保护制度存在的基础,对个人信息保护规则带来深远影响。
大数据带来“个人信息”界定困境
大数据带来了“个人信息”的界定困境。个人信息是个人信息保护法中的核心概念。法律适用的基本前提是所涉及的信息是否为个人信息。如果不是,则不会构成对个人权利的侵害,也无适用法律规范的必要。传统的个人信息保护法对于个人信息的界定,一般以“识别”为核心标准,它是指与个人相关的,能够直接或间接识别特定自然人的信息。“可识别性”是个人信息最为重要的特征。尽管这是一个开放式的法律界定,但从个人信息保护法诞生的上世纪70年代看,具有“身份识别性”的信息是有限的。比如个人的姓名、家庭住址、电话号码等。
然而互联网技术业务的快速发展,已经将个人信息保护法的适用环境彻底改造。大数据的出现更是进一步模糊了个人信息与非个人信息的边界。如果缺乏其他的数据源,很多信息将保持匿名的状态。但是,在今天的网络新世界,有无数可以利用的数据源。企业甚至是普通个人都越来越容易获得有关个人的大量信息。此外,软件算法和分析学的发展使得大量数据更易被关联和聚合,大大增强了人们将非个人信息转化为个人信息的能力。获取信息以及将信息恢复身份属性的成本正在急速下降。那么问题来了,如果个人信息保护法固守传统,仅适用于严格界定的“个人信息”,那么在大数据环境下,数据利用的安全风险又如何被规制?如果个人信息保护法扩张个人信息的边界,那么在又将扩张到何种程度,才能在法律上重新找到保护公民个人权利与促进技术发展之间的新的平衡点?
此外,大数据也大大刺激了企业收集信息的动机。大数据的出现使得信息成为战略级资源。今天收集的信息未必在当下就可以被利用,它所蕴含的价值可待未来发掘。在大数据的刺激之下,个人信息保护法中的基本原则—收集信息的限制和必要原则在实践中不断被突破,企业不仅收集实现业务目的所必须的信息,也会收集无关的信息。这也是移动互联网中普遍存在APP超出业务目的、超出范围收集用户个人信息现象的重要原因。并且在云计算技术的支撑下,企业可以更为长久地保存这些信息,以待日后挖掘。这意味着大量的个人信息不仅可能在今天被滥用,在几年甚至几十年后仍然可能被滥用。为提供此类收集行为的合法性,互联网企业的隐私政策也越来越多地采取格式条款方式,对用户的各类信息进行“一揽子”打包,赋予企业进行读取、收集的权利。
个人信息保护制度面临变革
在各类新技术业务特别是大数据带来的巨大冲击面前,个人信息保护制度将无可避免地面临变革。激进的观点认为:在当前的网络环境下,隐私已经消亡,个人信息保护政策已到了退出历史舞台的时刻。从更远的未来看,笔者并不否认这种论断的可能性。因为技术本身对于价值观念、法律制度的改造能力总是超乎人们的想象。就比如“00后”与“80后”在隐私观念上已经有了显著的变化,更年轻的一代更加积极主动地拥抱网络,将自己的生活状态甚至心情感悟等日常生活的点点滴滴都公布于网络,并从中获得分享乐趣。不可否认,新技术新业务正在以“春雨润物细无声”的方式,默默地影响甚至改造着人们的隐私观念。然而虽然这是一个变革的趋势,但并不意味着当下的我们就可以轻松地丢弃隐私保护。相反,在日益强大的技术能力面前,现实中更多的呼声是如何加强对个人信息的保护,如何对个人信息保护法加以改革,以适应技术变革带来的新挑战和问题。
四项措施保护个人信息安全
2014年5月,美国白宫发布了《大数据:抓住机遇,坚守价值》报告。报告指出:大数据分析所拥有的潜力,将逐步侵蚀我们长久以来在公民权利保护方面形成的价值基石。但在挑战面前,人与数据的关系应当扩展,而不是压缩。一方面,大数据技术能够提高政府的监控能力,提升企业的市场洞察力,但大数据本身也蕴藏着解决信任、隐私、公民权利保护问题等方面的潜力。如果运用得当,大数据将成为社会进步的助推器。如果说上述论断是一个“顶层设计”式的指导方针,那么在这一方针之下,还需要制定更具体的措施: