一、提升数据处理活动的透明度。个人数据如何被企业收集以及在企业之间共享应当对消费者透明。开展大数据分析的企业应当在其网站设置专栏,列明参与数据收集和分享的公司名单,介绍其数据活动,并为消费者提供更好地控制其信息被收集和使用的方法。
二、建立更具有实际意义、更富有效率的用户个人信息保护机制。尽管“知情同意”制度在很多场合下仍然有效,但显然已不能满足大数据应用场景。个人信息保护机制应当朝更有意义、更可执行、更与个人相关的方向改革。比如要求企业以更加简洁易懂的方式告知用户个人数据利用带来的好处和弊端,而不是仅仅提供一个冗长复杂的隐私政策;要求企业遵循“隐私保护设计”原则,在产品的设计、研发、推广、使用、市场退出等每个环节考虑用户隐私保护要求,为用户提供数据的全生命周期保护。
三、更加关注数据使用环节的安全风险。当前的个人信息保护法注重于用户在个人信息“收集”环节的控制力。然而在新的网络环境下,随着信息收集的日益普遍,以及信息收集与业务使用之间的紧密依赖关系,事前的控制力相对来说已经不再那么重要。更重要的是用户的信息在被使用的过程中,如何防止被滥用。比如针对大数据应用,企业要分析其相应的安全风险并提出与之匹配的保护措施。此外,“数据泄露通知”制度正在被更广泛的引入立法,也反映了个人信息保护从注重事前知情同意到事后安全保障转换的趋势。
四、加强问责。对于在大数据应用中获益的企业应当加强对其在个人信息保护方面的问责。这种问责不仅可以通过个人信息保护法律本身来追究,还可以通过合同机制进行传导。因为在大数据应用产业链上,收集、处理数据的企业主体会更加繁多,数据的市场化交易也更加频繁,更需要通过合同来约束相关方的数据处理行为。