今天,大數據已經不再是新興事物,而成為(wèi)我們(men)生活中的(de)日常。大數據技術正加速在政務、
金融、交通、教育等行(xíng)業落地(dì),形成一(yī)個個新應用,為(wèi)整個社會的(de)生産和(hé)人們(men)的(de)生活服務。伴
随着大數據的(de)發展,個人信息保護問題的(de)關注度日漸提升,建立大數據時代的(de)知情同意制度正
在全球範圍內(nèi)成為(wèi)一(yī)股潮流。與此同時,如(rú)何培養滿足大數據發展需要的(de)人才也成為(wèi)熱點話題。
知情同意制度通常指收集和(hé)使用用戶個人信息應當将目的(de)、範圍、方式和(hé)用途告知用戶并
征得用戶同意。該項制度是用戶個人信息保護的(de)基本規則和(hé)重要規範,也是一(yī)項核心制度,是
用戶知情權、選擇權和(hé)公平交易權實現的(de)前提和(hé)紅(hóng)線。大數據時代,各類互聯網應用對個人信
息的(de)收集更加頻繁和(hé)隐蔽,傳統的(de)告知同意框架面臨着諸多挑戰。針對這一(yī)趨勢,美國(guó)和(hé)歐盟
對知情同意制度進行(xíng)了改進,力圖在促進互聯網行(xíng)業發展和(hé)用戶權益保護上取得平衡,這為(wèi)我
國(guó)建立适應大數據時代需要的(de)知情同意制度提供了參考。
挑戰:用戶知情權正在消解
大數據時代的(de)到來,給知情同意制度帶來了新的(de)挑戰,主要體現在以下三個方面。
一(yī)、對用戶知情權的(de)消解。大數據時代的(de)信息采集通常由各類智能終端在用戶不知情的(de)情況
下自(zì)動進行(xíng)。信息經過反複共享、傳播流轉以後,用戶往往不知道(dào)個人信息在何處被何人如(rú)何使
用,更無法判斷使用頻次,這超出了用戶被告知後的(de)授權界限。
二、同意授權方式的(de)模煳。用戶同意的(de)本質是一(yī)種授權行(xíng)為(wèi),用戶在這個過程中應當作出真
實的(de)意思表示,沒有(yǒu)被強迫、誘惑或欺詐,且意思表示僅适用于用戶本人,随時可(kě)以撤銷已經給
出的(de)授權。大數據時代,用戶的(de)個人信息可(kě)以在用戶不知情的(de)情況下,實現兩次甚至多次利用,
而用戶的(de)同意授權往往隻有(yǒu)一(yī)次,因而模煳了同意授權的(de)界限。
三、缺乏合理(lǐ)場景下的(de)靈活适度授權。知情同意制度對征得用戶同意的(de)規定較為(wèi)籠統,傳
統意義上的(de)知情同意以征得用戶同意作為(wèi)使用用戶個人信息的(de)基本前提,但缺乏對不同場景、
不同程度的(de)匿名化要求、不同敏感度分類下的(de)差異化要求。實踐中,企業為(wèi)了降低(dī)合規成本同
時達到合規要求,往往采用征得用戶默示同意的(de)方式,最典型地(dì)表現在用戶協議中納入一(yī)攬子(zǐ)
同意選項,這種情形下用戶作出的(de)選擇不能完全代表其真實的(de)意思表示。一(yī)些企業則在執行(xíng)知
情同意制度上過于機(jī)械,在企業內(nèi)部共享、匿名化等場景下沒有(yǒu)讓用戶作出默示同意的(de)選項,
導緻執行(xíng)負擔過重、用戶感知欠佳。
國(guó)內(nèi):三大措施亟待落地(dì)
結合國(guó)外實踐,我國(guó)針對大數據時代的(de)需求,可(kě)從三個方面對國(guó)內(nèi)知情同意制度進行(xíng)完善。
一(yī)是細化現有(yǒu)制度。國(guó)內(nèi)現有(yǒu)制度對知情同意的(de)規定采取了無差别的(de)塬則性導向。建議以
相關規範性文件的(de)修訂為(wèi)契機(jī),對當前的(de)知情同意制度進行(xíng)細化規定,根據敏感/非敏感信息、
風險大小、使用方式等因素建立風險導向的(de)監管機(jī)制,使得知情同意制度更加适合于行(xíng)業發
展,如(rú)充分告知、合理(lǐ)場景下的(de)适度授權、允許用戶采用事後退出的(de)方式撤銷同意等。
二是鼓勵政企合作,推動行(xíng)業自(zì)律。知情同意制度的(de)落腳點是推動行(xíng)業發展、保護用戶權益,
其發展需要依托企業和(hé)用戶在實踐中的(de)持續互動,因此在管理(lǐ)方式上,也需要更多地(dì)強調多方參
與和(hé)聯動。在政府和(hé)企業的(de)關系上,需要轉變政府直接、具體規範企業行(xíng)為(wèi)的(de)傳統方式,而是尊
重市(shì)場自(zì)發形成的(de)實踐做(zuò)法,政府可(kě)以對這些實踐做(zuò)法或者規則進行(xíng)審查、認可(kě),還可(kě)以倡導、
推廣标準合同、自(zì)律公約,實現“政府搭台、企業唱(chàng)戲”。
三是通過多種渠道(dào)提升用戶意識。用戶是個人信息的(de)主體,用戶自(zì)身意識和(hé)關注度的(de)提升
涉及這一(yī)制度的(de)落實和(hé)發展。企業要将知情同意條款置于隐私聲明和(hé)用戶協議中的(de)顯着位置;
鼓勵第三方機(jī)構、行(xíng)業組織、媒體聚焦用戶的(de)聲音,倒逼企業重視(shì)用戶權益和(hé)用戶獲得感,逐
漸轉變企業通過縮小或模煳字體、默認勾選等方式防止用戶關注并閱讀提示的(de)做(zuò)法,逐漸強化
用戶對自(zì)身知情權和(hé)同意權的(de)關注。
國(guó)際:加快完善知情同意制度
目前,針對大數據時代知情同意制度面臨的(de)挑戰,歐盟和(hé)美國(guó)等已經就知情同意制度進行(xíng)
了改進,在促進互聯網發展和(hé)用戶權益保護上尋求平衡。
為(wèi)了完善知情同意制度,國(guó)外正在進一(yī)步強化充分告知,細化告知內(nèi)容。告知是用戶授權
的(de)前提,其目的(de)是讓用戶在充分了解風險、成本和(hé)權益的(de)基礎上作出是否授權使用個人信息的(de)
意思表示,滿足用戶的(de)知情權、選擇權和(hé)使用權。充分告知包括兩方面,一(yī)是方式上的(de)明确和(hé)
合理(lǐ),包括隐私政策、彈窗提示、短(duǎn)信提醒等;二是內(nèi)容上的(de)更加細化,包括收集和(hé)使用個人
信息的(de)用途、規則等。
歐盟《一(yī)般數據保護條例》明确規定,收集和(hé)使用用戶個人信息之前必須明确告知收集的(de)
內(nèi)容和(hé)方式,與塬授權範圍不一(yī)緻時,應當再次告知用戶;美國(guó)聯邦通信委員會發布的(de)《寬帶
和(hé)其它電信服務中用戶隐私保護規則》(以下簡稱“FCC新規”)規定必須清楚、準确地(dì)告知
用戶收集個人信息的(de)內(nèi)容、範圍和(hé)使用方式,分享個人信息的(de)情形和(hé)目标,隐私政策發生重大
變更的(de)具體計劃。
允許用戶撤銷同意,是國(guó)際上完善知情同意制度的(de)一(yī)個舉措。用戶同意的(de)本質是授權對個
人信息的(de)采集和(hé)使用,那麽同樣可(kě)以撤銷同意。美國(guó)《消費者隐私權利法案》的(de)“個人控制”
部分就明确提到,消費者有(yǒu)權對授權進行(xíng)撤銷,這種撤銷方式應當與授權方式具有(yǒu)相同的(de)便捷
性。為(wèi)了實現這一(yī)目的(de)、平衡企業經營的(de)便捷性和(hé)用戶權益,FCC新規允許寬帶接入商(shāng)對部分
敏感的(de)個人信息采用選擇性退出(opt-out)機(jī)制,即除非用戶選擇事後退出,寬帶接入商(shāng)就
可(kě)以使用該信息。
使用匿名、假名等替代性解決方案也正在成為(wèi)一(yī)個趨勢。為(wèi)方便企業正常的(de)數據活動,可(kě)
以尋求匿名、假名等作為(wèi)知情同意制度的(de)替代性解決方案。美國(guó)《信息中介與透明度規範》、
日本《個人信息保護法》等都允許企業對個人信息進行(xíng)脫敏或匿名化處理(lǐ)後進行(xíng)合理(lǐ)利用,且
不必告知用戶并征得同意。目前,美國(guó)在線、Netflix等網站已經有(yǒu)對用戶個人身份信息的(de)匿
名化和(hé)假名化處理(lǐ)案例。這種替代性解決方案在提升用戶感知、方便企業經營的(de)同時,也對具
體的(de)安全措施、業務流程、風險識别提出了更高(gāo)的(de)要求。
[ 打印本文 ]
[ 返回上級 ]
[ 返回頂部 ]
