首先就是到底管什么、管什么环节,主要管收集环节,还是主要去管使用?大数据带来的变化是在哪?大数据的核心实际上是在后期的数据分析、再利用和使用,以及流转,所以最容易出问题的也是在后端,而不仅仅是在前端的过渡收集行为。
过度收集行为并不是大数据本身带来的,所以美国在2014年的这本白皮书中谈到了大数据时代收集环节的告知,统一的规则是很容易会在后面被受到破坏的,需要重点关注使用环节,确保数据在正常途径采集的同时,加强数据在开放利用环节的管理和规则构建,而这一项原则实际上也是逐渐在贯彻后续一系列的立法和监管文件的出台。
第二个尝试就是到底是更注重行业自律,还是更注重政府监管的作用。这个之所以在美国是一个问题,是因为美国跟别人不一样,美国长期以来数据及用户信息安全管理更依赖于行业自律,有个联盟组织的初衷就是建立一整套规则,做用户数据保护的认证,这就是美国注重行业自律来保证用户隐私权的一种范例。近几年美国从立法层面在逐渐加强政府监管部门的作用,FTC联盟贸易委员会、FCC作为监管部门的执法授权等等。
最后就是关于对个人信息范畴界定的尝试,这个案例背后所反映出来的其实就是,原先我们一般都不会把EMEI号就是手机的设备串号、或者计算机的MAC地址当用户个人隐私信息来看待,因为单独它只标识那台机器,不标识我自己,但是在美国这个法律判例当中,法官认为只要这个机器标识结合了地理位置等信息,最终能够关联到某一个人,它就是一个用户可识别的信息,必须加以保护,就是在这个判定当中承认了信息组合对于个人标识的作用,组合类的信息也有可能会成为用户个人信息的界定的判断依据,这是一个创新。
还有就是关于前面的自由流动,自由流动其实从技术角度没有什么好的解决方案,既然没办法管,也没有其他国家跟我合作跟我一起管,那咱们不出去算了,所以除了美国之外的很多国家包括中国自己,在网络安全法中也会对这种行为明确写出来,不能境外流动,必须境内存储,这是一个基本导向。