有效的个人信息保护,离不开政府的有效规制和监管,然而,个人信息保护条例的有效执行,更离不开作为信息主体的公民个体与作为数据控制方的企业和组织。
作为互联网用户的公民个体,在使用数据时,自身产生的数据也成为大数据的组成部分。例如,社交网站能够广泛收集用户的敏感数据。“非知情同意”(non-informed consent)这个概念建立在“知情同意”(informed consent)法规基础上,指虽然服务商在收集用户信息前被要求让用户阅读相关隐私政策,达到告之目的,但是用户却因为时间和阅读能力等原因省略这一步骤,导致“非知情”的结果。
在大数据技术下,要求双方针对复杂多变的隐私利益进行一对一的谈判和定价,来确定对隐私利益的使用范围、程度和方式,这在交易成本上来看几乎是不可能的事情。“通知与同意”的方式是实践中应用平台、程序或者网站服务要求个人明确同意对其数据信息搜集使用的做法。但只有在极少数的情况下,用户才真正阅读这些通知的内容并在表明同意之前真正理解其含义。因此,“通知和同意”在服务者和用户之间形成了一个不平等的有关隐私的谈判平台。国外学者的研究认为,终有一天,有趣或有用的新技术的吸引力最终将压过用户的怀疑与担忧,并让他们心甘情愿放弃隐私,这被称为“隐私悖论”。也就是说,用户并非“不知道”自己的数据会被收集,而是承认隐私很重要的情况下,在真实的情况里却由于某些原因懒得采取相应行动。未来隐私权法律的制定如何克服“非知情同意”现状,解决“隐私悖论”,仍需要大量有益探索。
根据欧盟国家的做法,政府身为宏观管理者提供了保障性的框架,人们有权决定如何管理他们的数据,并权衡自己使用信息的成本和收益情况。但在现代社会,事情不断变得更加复杂。监管视角下的互联网用户个体如何加强个人的隐私管理,可从“认识—结构”框架进行分析。
首先,自我隐私管理的认知性问题。个人数据信息具有内容方面的琐细性、模糊性等特点,使得数据信息拥有者难于及时精确评估每次数据被收集或使用的风险。人们被迫做出超出他们能力的决定,同时他们无法了解所有可能泄露个人隐私的事情,因而做决定时难以全面考虑到后续可能影响。此外,还有可能产生决策偏差问题。
其次,自我隐私管理的结构性问题。现实中,就规模而言,有太多收集公民个人信息的企业;就信息整合而言,单次的个人数据披露可能并不构成问题,但当将所有的个人数据整合起来分析时,可能就会构成问题;谈及隐私法和政策时,政策制定者倾向于个体层面,强调自我隐私管理的重要性,未能将隐私的成本和效益作为一个累积整体而进行更专业的评估。
因此,政府需针对自我隐私管理的认知和结构性问题,对个人隐私进行更为有效和量体裁衣的管理。一方面是政府机构督促企业将客户数据的收集和使用原则写入条款之中,形成“知情同意”的基础;另一方面,政府需要更加主动地培育公民的个人信息安全意识,防止公民落入“非知情同意”的怪圈。
对于企业而言,数据所有者应当有权撤回自己授予企业或组织使用的个人数据,而相关企业或组织有义务无条件立即删除其所有个人数据。但数据删除并不易做到,以新浪微博账号为例,尽管微博账号已删,但其他搜索引擎上存有的数据并不会自动消除。
在网络隐私监管政策背景下,企业不但应该正确解读和遵守隐私政策,同时应当从用户的利益出发,建立与用户双向沟通的隐私保护策略。企业设计的隐私政策要具有可读性,以促进与用户的沟通。企业在设计关于用户隐私的文件时,要告诉用户收集数据的目的和途径是什么,这不仅是信息共享,而且也是企业面对隐私诉讼时保护自身的工具。但实践中,为规避风险,很多国际企业考虑的不是如何增加数据政策的可读性,而是会运用一些模糊化、转移焦点等“文字游戏”来掩饰数据采集和使用的背后目的。例如,80%的金融机构的隐私政策文件阅读要求超过大学教育水平,导致近三分之一的美国成年人不太可能理解这些文件,因为它们含有复杂的单词和句子结构。
总之,政府监管下的企业自利行为、数据和信息拥有者所处的环境及自我隐私管理存在的盲点,为互联网信息安全的监管效果增添了一些不确定性。
(作者为中山大学传播与设计学院教授)
责编/张寒 美编/李祥峰
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。