“创建副本”计划:在 2014 年,美国国税局通过一个名为“Get transcript”的工具将纳税人的信息数据加以共享,纳税人可以通过它获得他们自己最近三年的纳税记录。个人纳税者可以借此下载过去的纳税申报单,这使得居民进行抵押、学生贷款、商务贷款等活动与填写纳税表更加便捷。
“绿纽扣”计划:在 2012 年,美国政府与电力行业合作推出了“绿纽扣”计划,这为家庭与企业提供了便捷的途径来获得他们的能源使用信息, 并且有利于营造良好的消费者环境与电子化模式。今天,为 5900 万家庭与企业提供服务的 48 家电力供应商通过参与“绿纽扣”计划,帮助他们的消费者节约资源。凭借自身掌握的能源数据,消费者可以选择享受何种私人服务,以更好地管理他们的能源消耗状况来达到理财的目的。 “我的学生数据”计划: 教育部将助学金免费申请表与联邦助学情况的一些信息共享,这些信息囊括了借贷、补助金、注册与超额偿付等方面的具体事项,这使得学生与资助人能够上网下载所需信息资源。在这些计划中,信息都是通过“注重使用者体验”、“机器可读写”、“文本信息平面化”的方式实现共享的。 除了为人们提供安全、高效的个人信息,“我的大数据”计划帮助建立了一个有效的个人数据获得性模型,政府也希望将其推广到更多的私人与公众领域。获取个人信息的能力在未来将会变得越来越重要,生活的各个方面都将会逐步卷入到个人、公司与公共组织的信息交换之中。
大数据计划: “数据-知识-行动”
在未来, “大数据”将会成为这个信息交换过程的核心,使得数据转化为知识,并进而转化为行动的过程更加快捷。在 2012 年 3 月 29 日,六个联邦机构加入到“大数据研究和发展计划”(“Big data Research and Development Initiative”)中来,超过两亿的科研经费被用于工具与技术开发以推进对海量数据进行获取、组织与整理并发现有效信息的相关技术发展。
自从“数据-知识-行动”(“Data to Knowledge to Action”)计划实施以来,在 1 亿美金的“XDATA”项目支持下,美国国防部先进项目研究局(Defense Advanced Research Projects Agency, DARPA)创建了一个关于研究出版物与公开化资源软件的“开放目录”,努力发展能够处理分析存在缺陷的、不完整的海量数据的技术32。国家卫生研究院(National Institutes of Health, NIH)也拿出 5000 万美金支持开展生物领域的“数据-知识-行动”计划。国家科学基金会(National Science Foundation, NSF)赞助的大数据研究计划,为人类基因组研究节省了 40%的经费。能源部也宣布向“可扩展数据的管理分析及其可视化协会” (“Scalable Data Management, Analysis, and Visualization Institute”)提供一项 2500 万美元的赞助,这家机构所处理的气候数据信息使得季节性台风预报的准确性提高了 25%以上。还有许多针对大数据的研究支持计划,比如奥巴马总统 2013 年 4 月发布的创新神经技术脑(BRAIN)计划。作为政府大数据计划的组成部分,国家科学基金会为大数据中出现的社会、道德与公共政策问题的相关研究也提供了特别的资金支持。
美国隐私法案和国际隐私法框架 美国《隐私法》的发展
工业革命带来的技术革新浪潮使得社会发生巨大变迁,《隐私法》正是在这一社会背景上发展起来的。隐私权最初由美国学者沃伦(Samuel Warren) 和布兰蒂斯(Louis Brandeis)在 1890 年由两人合著的著名法学论文《隐私权》一文中提出,初代可便携照相机的出现直接促成了他们观点的提出,在论文中,他们指出“最近的发明与商业应用将人们的目光吸引到个人隐私权的保护上来,?这项权利应不受侵犯?很多技术发明威胁到了隐私权,‘窃窃私语被公之于众’的预言可能被实现。”提出建立普遍性的隐私保护法的倡议出现在 20 世纪,这一倡议富有预见性,建立了从政府到个人的涵盖各个方面的公民隐私权。
案例法历经了上个世纪的发展,其中关于宪法第四修正案的解释条目随着时间与技术的发展也在不断进行调整。在 1928 年,联邦最高法院受理了“欧姆斯戴徳诉美国联邦政府”(Olmstead v. United States)一案并宣判在诉讼人屋外设置电话窃听装置并没有违反宪法第四修正案,即使政府以此获得了屋内谈话的内容。但是,欧姆斯戴德案的裁定因为贾斯蒂斯·布兰蒂斯(Justice Brandeis)的抗辩而传播得更广,他写道:“国父们曾经授予公民其隐私不可侵犯的权利以限制政府的行为。”
第 9 页 共 33 页
欧姆斯戴德案的法庭决议一直沿用,直到 1967 年 “卡茨诉联邦政府” (Katz v. United States)一案才被推翻。法庭认为,联邦调查局(Federal Bureau of Investigation, FBI)在没有调查授权的情况下在公用电话亭外安装监听记录装置,侵害了个人使用公用电话时应有的同时也是符合个人期待的隐私权,即使这个装置没有置于电话亭内部,或是身体以及财物上。此后,主观期待的隐私权得到保护,社会也开始将这视为理所当然。
民事法庭并没有立即将隐私权认定为一个公民向他者提起诉讼的正当理由——也就是律师们常说的“诉因”(“cause of action”)。直到 1934 年的《侵权行为法》中,无正当理由地严重侵犯个人隐私才被正式确定为可作为起诉的基本出发点。大多数州的法院这才开始将隐私权认定为诉因,这份规定并不是对民事侵权行为的单独一款规定,而是由 4 款复杂的规定组成的:
行为侵犯个人私人空间或私人事务 公开散播个人隐私
为丑化某人信息而将信息公开
为了非个人本人目的而挪用了个人肖像
现在许多批评认为这四款并没有很好地解决隐私问题,市场经济下因商业目的而大范围收集、使用、散播个人信息的现象仍很严重。同时一些人声称,自动化的程序应该能减轻隐私问题给公众带来的忧虑,因为它是使用电脑来进行操作并完成一系列任务,而不是像过去一样由人来操作完成。
信息公平实践原则
随着计算技术的发展与它在政府和私人间的应用更加普及,全球的政策制定者们开始重新审视它与隐私的关系。1973 年,美国卫生、教育与福利部发布了一份题为“录音、计算机与公民权利”(“Records, Computers, and the Rights of Citizens”)的报告。报告分析了“自动化个人数据系统可能导致的不良后果”并建议建立信息使用的保障措施。这些措施,也就是如今广为人知的“公平信息实务法则”(FIPPs),成为了当今数据保护制度的奠基石。
尽管这些法则在法律与国际公约中都有不同的表现形式,但本质上, “公平信息实务法则” 清楚地表达了处理个人信息时的基本保护措施。它规定个人有权知道他人收集了那些关于他的信息,以及这些信息是如何被使用的。进一步说,个人有权拒绝某些信息使用并更正不准确的信息。信息收集组织有义务保证信息的可靠性并保护信息安全。这些法则成为了 1974 年《隐私法》的基础,这一法案规范了联邦政府在个人信息的维护、收集、使用与传播等方面的行为。
19 世纪 70 年代后期,几个其他国家也相继通过了隐私法。 1980 年,经济合作及发展组织(OECD)发布了其《关于隐私保护和个人信息跨界流动管理的指导》 (“Guidelines Governing the Protection of Privacy and Transborder Flow of Personal Data”)。基于“公平信息实务法则” 的经济合作及发展组织指导并提供了关于过去三十年里国家隐私法,特别行业隐私法及其实践的信息。1981 年,欧洲委员会通过了《个人信息自动处理中的个人保护公约》(“Automatic Processing of Personal Data”, Convention 108),这一公约采用“公平信息实务法则”的手段来凸显欧洲对于隐私权的保护。
尽管有一些关键的不同,但是美国和欧盟国家关于隐私权保护的框架都是基于 “公平信息实务法则” 。基于隐私权是基本人权这一认识,欧洲国家的保护措施通常包括自上而下的严格法制与对于个人信息的使用的全面限制或是要求信息主体的明确同意。相对的,美国则通常采用在例如医疗保障与信用体系等特别领域实施特别规定来管控特定的风险。这使得美国很少有对于信息使用的全领域普适规则,从而为产品与服务的创新留下空间。但是,但这也为潜在的数据跨领域使用留下了空间“公平信息实务法则” 形成了诸多部门法与国际公约的共同思路。他们被编入 2004年《亚洲太平洋经济合作组织隐私权法则》 (“Asia Pacific Economic Cooperation Privacy Principles”),这一文件由亚洲太平洋经济合作组织(简称亚太经合组织或 APEC)成员国签署通过,并构成美国-欧盟与美国-瑞士的安全港框架基础,这一框架将以对于“公平信息实务法则”的一致观点作为沟通美欧法律的基础。
第 10 页 共 33 页
美国特定行业的隐私法
上世纪七八十年代的美国,特别制定的行业法律开始出现并作为以侵权行为为基础的习惯法的补充。这些法律只对特定的数据提供保护。除了少数例外,大多数州与联邦政府都通过了相应法律。
《公平信用报告法案》(“Fair Credit Reporting Act”, FCRA)最初颁布于 1970 年,这一法案旨在促进消费报告机构所收集的信息的准确性与公平性的同时,推进相关隐私保护。这些信息被用于信用与保险报告、雇员背景调查与租户筛查。这一法案赋予了个人访问与修正个人信息的权利,从而保护了消费者的权利。它要求那些提供消费者报告的公司确保信息的准确与完整;它限制这些信息的使用;它要求这些机构在依据报告进行不利于当事人的措施(例如拒绝贷款)时需尽到告知的义务。
1996 年 的 《 健 康 保 险 携 带 与 责 任 法 案 》 (“Health Insurance Portability and
Accountability Act” ,HIPAA)规定个人健康信息只能被特定的、法案中明确的主体使用并披露,法案中也包括了用于帮助个人了解并控制其健康信息使用的标准。49《健康保险携带与责任法案》(HIPAA)的核心原则是“最小化必须”(“minimum necessary”)原则。50国会与卫生部会周期性地升级健康数据的保护。1998 年《儿童在线隐私保护法案》(“Children’s Online Privacy Protection Act”, COPPA) 和联邦贸易委员会 (Federal Trade Commission, FTC)的法令要求用于 13 岁以下儿童的在线服务或要收集儿童个人信息的在线服务需要获得父母的同意才能进行。在金融领域,《金融服务现代化法案》 (“GrammLeach-Bliley Act”, GLBA)要求金融机构尊重客户隐私并保护客户非公共信息的安全与机密。在诸如教育,通信,录像带租借与基因信息等其他领域,也有相应法案保障隐私。
消费者隐私权法案
2012年2月, 白宫发布了一篇名为消费者数据隐私权的报告:在全球数字化经济环境下保护隐私权与促进创新的新体系框架(“Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy”)。52这种“隐私”蓝图包含四个关键要素:基于信息公平实践原则的消费者隐私权法案;呼吁政府的多方利益相关者在特定的商业环境应用这些原则;对隐私权有效执行与对制定消费者隐私权立法基准的支持;对支持数据跨国流动的国际隐私权制度的承诺。
隐私权蓝图的核心是消费者隐私权利法案,它对消费者保护标准进行明确规定。这些权利是: 个人控制:消费者可以对企业从自己这里收集什么信息,以及如何使用这些信息进行控制 透明:消费者有权简单易懂地获取有关隐私权与安全实践的信息。
相关环境:消费者有权得知企业如何在消费者提供信息的相关环境方面进行收集、使用与披露用户数据安全:消费者的个人数据必须得到安全与负责任地处理
可修改和准确性:因个人数据的敏感性,以及不准确的数据会对消费者有产生不良后果的风险,消费者有权查阅并更正个人资料
聚焦收集:企业在合理的限度内收集与保存用户数据
问责:拥有个人数据的公司有义务采取适当措施,以确保它们符合《消费者隐私权法案》(“Consumer Privacy Bill of Rights”, CPBR)
《消费者隐私权法案》更加关注消费者而非仅仅是以往用法律术语表达的隐私结构。比如,它根据“易接受性和准确性”(“access and accuracy”)的原则对权利进行描述,与以往对于“数据的质量和完整性”的公式化表达相比,更易为用户理解。同样的,它确保了公司将会尊重从消费者收集与使用数据的背景环境,从而取代“目的说明”(“purpose specification”)。
《消费者隐私权法案》还借鉴了公平信息实践的原则以更好地适应我们所生活的网络环境。
第 11 页 共 33 页
与要求企业遵循一系列专一、严格的条令不同,《消费者隐私权法案》建立了一般原则并提供给企业自由决定如何实施这些条令的权力。《消费者隐私权法案》的相关环境原则与其他六大原则相互间产生作用,确保消费者的数据将以符合他们的期望收集并使用。与此同时,相关环境原则允许了企业在信息的使用与“企业-用户”间的关系以及围绕如何收集数据的环境保持一致时,可以开展新的能够使用个人信息的服务。
互联网的复杂性、全球性与持续的发展需要及时的、可发展的创新扶持政策。为了应对这个挑战,《隐私法》的蓝图呼吁所有利益相关者聚集到一起,制定自愿性的,强制性的行为准则,明确规范如何将《消费者隐私权法案》应用到具体的商业环境中。《消费者隐私权法案》是基于广泛的基准原则与具体的行动守则的结合,能够在支持创新的同时保护好消费者。
提升全球互操作性
在其他国家与国际组织开始复核他们的隐私保护框架时,奥巴马政府发布了 《消费者隐私权法案》 。在 2013 年, 经济合作与发展组织升级了自己的隐私权指导方针,这在机制上补充了公平信息实践原则,帮助落实并加强了隐私保护。在 2013 年发布的亚太经合组织跨境隐私规则系统,也在很大程度上效法了经济合作与发展组织的指导方针。53欧委会正在审核第 108 号协定( 《个人信息自动处理中的个人保护公约》,
“Automatic Processing of Personal Data”) 。在这些不同的隐私保护框架之间建立桥梁, 对确保国际贸易的强劲增长是至关重要的。
欧盟也正在推进其数据保护规则的改革进程。现有的欧盟数据保护指令仅允许欧盟公民数据享有 “充分的”隐私保护法案,或向拥有有效的数据安全保护机制的国家(如美国-欧盟安全港协议)流出。在 2014 年 1 月,美国与欧盟开始协商,如何加强安全港协议框架以确保它能继续提供有力的数据保护,并且能使提高其透明度, 得到有效执行与法律上确定性三者成为可能。这些谈判都还在继续,即使像欧洲、美国,也都在磋商这些隐私保护框架将如何适应大数据技术的同时,能够增加计算与存储能力。
在 2014 年 3 月,联邦贸易委员会与欧盟机构的官员连同亚太经合组织一同宣布,欧盟与亚太经合组织将发布共同的计划文件,满足双方在隐私保护框架方面的共同需求。56这项筹划工作将帮助那些在欧盟与亚太经合组织地区同时进行贸易的公司解决在两方隐私保护中的认证问题,避免因双方框架不一致或重叠所带来的困难。这样的努力澄清了公司的义务,帮助在全球隐私框架之间建立起相互间的操作性。
结论
目前最普遍的隐私风险依然是涉及“小数据”——定向妥协的内容,例如,以个人银行信息为目的的金融诈骗。这些风险并不涉及到大量的、急速的数据,或是繁多的信息种类,也没有隐含有与大数据有关的复杂化信息。对于“小数据”的隐私保护在美国已通过公平信息实践原则, 借由特定的部门法律,强有力的执法部门与全球隐私保护机制得到有效的解决。
隐私权方面的学者,政策制定者与技术专家现在正转向大数据的问题,即如何在 “公平信息实务法则”的基础框架下对大数据技术进行有效的管理。这份调查报告的剩余部分就将探索大数据在公共与私营领域的应用,然后将考虑大数据的整体应用对现有隐私保护框架的可能影响。
公共部门的数据管理
国家维护着和平,并同时保障食物的安全,确保空气与水源的干净。为此,它颁布法律法规来规范经济与政治行为,而大数据技术则有望使这些政府所提供的服务得到全面的提升。
本章将探讨大数据是如何帮助政府更好地履行它在医疗、教育、国土安全以及法律执行方面的职责,并指出大数据带来的挑战。自建国起,关于政府应该做什么、不应该做什么的讨论以及如何在科技日益发展的同时保护公民权利的疑问就不曾间断过。当合众国的奠基者们为这个年轻的国家制定法律与规范时,他们就为如何避免私人空间受到政府不恰当的干预而苦苦思索。而今天,大数据带来的改变或许会让他们大吃一惊:摩尔定律和泽字节正与宪法和权力法案一样,在国会的争论中起到举足轻重的作用。
第 12 页 共 33 页