【中文关键词】用户控制;大数据;人工智能;隐私设计理论;隐私增强技术
【摘要】面对移动互联网、大数据与人工智能并存的新时代所产生的新问题,传统个人信息保护法律框架显得力不从心:用户控制模式难以继续奏效,数据控制者的设定受到挑战,事后救济模式遭遇质疑,法律中心主义亟待拓展。对此,近年来席卷全球的隐私设计理论很好地回应了新时代个人信息保护的需求,获得国际组织及各国的高度认同,被誉为下一代个人信息保护的关键举措。隐私设计理论强调事先积极预防胜于事后消极救济,主张从一开始就将个人信息保护的需求通过设计嵌入系统之中,成为系统和商业实践运行的默认规则,给予个人信息全生命周期的保护,以实现用户、企业等多方共赢,这一理论可以为我国今后个人信息保护立法和实践工作提供重要借鉴参考。
【全文】
目次
一、隐私设计理论的缘起发展
二、隐私设计理论的内容阐释
三、隐私设计理论的具体实施
四、隐私设计理论的争议与回应
五、结语
在过去三十多年间,世界各国的政府机构、企业等都在通过践行“公平信息实践原则”(FairInformationPracticePrinciples)来保护用户个人信息。[1]在此基础上,以1980年经济合作与发展组织的“OECD指南”、1995年欧盟《数据保护指令》为代表,构成了全球第一代个人信息保护法律框架。[2]归纳来说,第一代个人信息保护法律框架具有以下特点:其一,以“信息自决权”(informationalselfdetermination)为理论基础,强调用户对个人信息享有自主决定权;[3]其二,以“用户控制”(consumercontrol)为制度核心,重视“通知与同意”机制的运用,要求个人信息的收集、处理、流转都必须征得用户的明确同意;[4]其三,企业、政府机构等组织被设定为数据控制者,是参与个人信息收集、处理和流转最重要的主体,承担个人信息保护的各项职责。[5]
(一)隐私设计理论的缘起
1999年,莱斯格(Lessig)教授提出,科技的规制主要有四种方式,分别是法律(laws)、准则(norms)、市场(market)以及架构(architecture),如何优化这些要素的组合是有效规制科技的关键。其中,代码(code)作为架构的一种形式,它可以像法律规范一样规制人们在网络空间中的行为,构成对网络空间的一种约束,这个代码就是网络空间的“法律”。[15]基于此,通过控制系统的代码就可实现对网络空间的规制,进而实现“隐私控制”(privacycontrol)。莱斯格教授的这种通过代码去规制网络空间中的人们行为的理论,被广泛称为“代码之法”(codeaslaw,lawascode)。[16]
随后,在代码之法理论的影响下,理论和实务界逐渐认识到了传统单一的个人信息保护法律框架的不足,隐私增强技术开始流行起来。作为传统个人信息保护法律框架的一种拓展,隐私增强技术尝试将公平信息实践原则直接嵌入到信息通讯技术的设计和运行当中,利用技术代码的力量来保护隐私,受到极大的欢迎。[17]然而,随着科技的迅猛发展和隐私保护的日益复杂,纯粹依靠技术来保护隐私的理念亟须进一步拓展,于是一种综合技术、运行系统、工作流程、管理结构、物理空间和基础设施的保护理念应运而生,它就是隐私设计理论。[18]
(二)隐私设计理论的提出
隐私设计(privacybydesign)的概念最早由加拿大渥太华省信息与隐私委员会前主席安·卡沃基安(AnnCavoukian)女士于20世纪90年代提出。[19]2010年左右,安女士正式提出隐私设计七原则,系统阐述了隐私设计理论的精神与内容。在安女士看来,隐私设计理论最为核心的有三点。其一,应当积极主动预防个人信息风险,而非事后消极地予以救济。个人信息保护的需求应当从一开始就通过设计嵌入到系统之中,成为系统核心功能的一部分,而非在系统设计完成之后再去提供保护,这种事后的保护方法往往是缺乏效率的。其二,个人信息保护理当成为系统运行的默认规则。通常来说,系统的默认规则在80%的情况下发挥作用,通过将个人信息保护的需求设计为系统运行的默认规则,意味着用户无需采取任何额外的行动就可以维护个人信息的安全。其三,隐私设计理论强调正和共赢(positive-sum,win/win)。传统理论认为,隐私与安全、功能、效率、商业利益等价值之间往往是此消彼长的冲突关系,保护用户隐私常常意味着牺牲其他价值。对此,隐私设计理论认为,隐私可以与其他价值共存,企业在保护用户隐私的同时,也在为自己创造竞争优势。[20]
隐私设计理论本质上是价值导向设计理论和代码之法理论的结合,强调通过装置、系统、技术或服务的物理设计、技术设定、代码架构的适用,去实现个人信息保护法律规范中原则、规则所体现的价值。[21]一方面,隐私设计理论遵循价值导向设计的理念,倡导将个人信息保护这一人类价值通过设计嵌入系统之中,成为系统运行的默认规则;另一方面,隐私设计理论继承了代码之法的精神,改变以往单纯通过遵守法律规范来保护个人信息的做法,主张通过设计来将个人信息保护的需求嵌入系统之中,实现通过代码的规制。与此同时,隐私设计理论还主张让系统的开发者和制造者承担更多保护用户个人信息的职责,从源头上抑制科技入侵隐私的能力,这与价值导向设计理论以及代码之法理论也是一致的。[22]当然,相比较于价值导向设计理论和代码之法理论,隐私设计理论更为广泛,它还建立在法律之上,强调科技与法律的结合。[23]此外,无论是价值导向设计理论,还是代码之法理论,都侧重于实现人类的各种价值,包括福祉、尊严、正义、福利、人权、隐私等,而隐私设计理论更多的是聚焦于个人信息保护。[24]
简言之,隐私设计理论从根本上改变了传统个人信息保护的方式,主张在系统设计的最初阶段将个人信息保护的需求“嵌入其中”,成为系统运行的默认规则,而不是事后简单地“附加其上”。[25]
(三)隐私设计理论的发展
早在2007年,欧盟数据保护监督局(EuropeanDataProtectionSupervisor)就主张,为了更好地遵守1995年《个人数据保护指令》,最好的措施应当是“建立在隐私设计理论之上。”[26]随后,欧盟数据保护监督局多次在重要文件和会议中,支持和推动隐私设计理论在欧盟范围内落实。[27]例如,针对射频识别技术(RadioFrequencyIdentification),欧盟数据保护监督局就号召“射频识别技术的运用必须要贯彻‘隐私设计’的要求”。[28]2016年4月,欧盟正式通过《一般数据保护法》,第25条明确规定隐私设计原则,实现了隐私设计理论的法律化。
与此同时,美国国土安全部隐私局2007年也发布了报告《隐私科技执行指南》,倡导科技的管理者和开发者应当将隐私保护的需求嵌入到信息通讯技术最初的开发阶段中去,体现了隐私设计的精神。[29]2012年,联邦贸易委员会(FTC)发布了报告《快速变革时代的消费者隐私保护》,明确将隐私设计作为保护消费者的三大建议之一,鼓励企业将隐私保护的需求融入到日常商业实践中。[30]2015年2月,美国政府发布的《消费者隐私权利法案(草案)》也是明确引入隐私设计原则。[31]2017年4月,加州参议院更是提出法案,要求所有物联网设备制造商都必须强制执行隐私设计的要求,以确保用户个人信息安全。[32]
(一)基本原则
提到隐私设计理论,我们一定会想到安女士提出的隐私设计七原则。通过对隐私设计七原则进行分析,可以帮助我们更好地理解隐私设计理论。
第一,积极预防,而非被动救济。隐私设计理论主张采取积极预防的态度,而非被动救济的立场,不要等到个人信息风险已经明朗化或侵害发生后,再去提供事后的救济,而应从一开始就考虑如何预防和阻止侵害的发生。
第二,隐私默认保护。隐私设计理论主张,个人信息保护应当成为企业商业实践和系统运行的默认规则。如果用户不做任何放弃个人信息的选择,那么他们的个人信息应当是完好无损的。例如,许多浏览器将Cookies设置成默认关闭状态,以便让用户的浏览数据不被追踪。[35]
第三,将隐私嵌入设计之中。隐私设计理论主张,个人信息保护的需求应当嵌入到系统的设计之中,成为系统的核心组成部分,同时又不损害系统的功能。例如,电脑主机上的BIOS密码设计、手机的防盗功能设计、笔记本电脑的指纹识别设计等,都贯彻了这一原则。[36]
第四,功能完整——正和而非零和。隐私设计理论反对将个人信息保护与功能、效率、安全、商业利益等价值对立的零和方式(zero-sum,win/lose),主张通过正和方式(positive-sum,win/win)来保护个人信息,实现用户、企业等多方共赢。
第五,全生命周期的保护。隐私设计理论主张个人信息保护的需求在用户数据被首次收集之前就嵌入系统设计之中,并扩展至系统运行的整个生命周期,提供从摇篮到坟墓全过程的保护。
第六,可见性和透明性。隐私设计理论主张企业商业实践和系统都应当依据公开的承诺和目标来运作,并接受独立核查,即隐私设计的具体内容和实施必须具备可见性和透明性。
(二)适用范围与主体
首先,适用范围。根据安女士的观点,作为个人信息保护的一种新方法,隐私设计理论可以适用于以下三个领域。[37]
第一,信息通讯技术。当前,人们感受最深的就是个人信息常常受到信息通讯技术的侵害。对此,隐私设计理论认为,技术本身并不必然危及个人信息,关键在于如何使用技术,技术创新会对个人信息提出新的威胁,但同样也可以让这些威胁得到遏制。
第三,物理设计和网络基础设施。除信息通讯技术和商业模式外,物理设计和网络基础设施也会影响个人信息的保护。例如,如果存放用户数据的货柜没有上锁,那么同样会泄露用户隐私。再比如,为保护投票人的隐私,投票站的设计必须要能够防止他人窥视。[39]
其次,适用对象。隐私设计理论当然适用于各类数据控制者,包括收集、处理和流转用户个人信息的企业。除此之外,隐私设计理论还特别强调将个人信息保护的职责施加给系统的开发者和制造者。有学者明确指出,作为不同于以系统使用者(数据控制者)为中心的传统学说,隐私设计理论将重点对准系统开发者和制造者,由此个人信息保护不再仅仅是法律驱动(lawdriven)或政策驱动(policy-driven),而成为真正的“设计驱动”(designdriven)。[40]
早在2009年,欧盟数据保护第29条工作组在报告《隐私的未来》中就明确表示,隐私设计理论不仅适用于数据控制者,还包括系统开发者和制造者。[41]但遗憾的是,《一般数据保护法》却没有延续这一规定。而考察实践可知,信息通讯技术的开发和商业使用常常并非同一企业,很多企业都会采用外包方式将技术开发工作交给第三方机构。为此,法律仅仅将践行隐私设计理论的职责施加给数据控制者是不够的,因为直接设计系统的是作为开发者和制造者的第三方机构。尽管数据控制者可以通过合同等方式来反过来影响系统开发者和制造者,但事实证明是不充分的。[42]因此,系统开发者和制造者也应成为隐私设计理论的适用主体。
1.隐私设计与公平信息实践原则
公平信息实践原则为个人信息保护提供了最为基础的法律框架,但两者存在本质差别:一方面,隐私设计理论主张采用积极预防的方式来保护个人信息,而公平信息实践原则更倾向于事后消极救济;另一方面,隐私设计理论倡导通过法律、技术等综合手段来保护个人信息,而公平信息实践原则主要是单一的法律保护。
当然,隐私设计理论和公平信息实践原则也存在诸多联系。其一,公平信息实践原则仍然是个人信息保护的基础性法律框架,隐私设计理论的提出并非要取代公平信息实践原则,而是去补充和完善它。[43]其二,隐私设计理论的践行需要以公平信息实践原则作为指导。作为第一代个人信息保护法律框架的代表,公平信息实践原则体现了个人信息保护的基本需求,包括收集限制、数据质量、目的限定、使用限制、安全、开放、个体参与、责任等原则,这些都为隐私设计理论的实施提供了指导。[44]事实上,隐私设计七原则本身就是在贯彻公平信息实践原则的需求。例如,第二项原则隐私默认保护,就需要通过遵循目的限定、收集限制以及数据最小化等来保障;而第七项原则尊重用户隐私,则需要通过遵循同意、准确、访问、合规等来保障。[45]
2.隐私设计与隐私再设计(privacybyredesign)
隐私设计理论强调从系统最初的开发阶段就主动嵌入个人信息保护的需求。然而,实践中许多企业所使用的系统已经运行多年,早已稳定和固化,没有机会再从系统一开始的设计阶段就嵌入个人信息保护的需求,而完全替代现有系统重新开始设计又不现实。那么,这部分企业该如何践行隐私设计理论呢?
3.隐私设计理论与隐私增强技术
隐私增强技术主要指那些增强用户个人信息保护的技术,包括编码、加密、假名和匿名、防火墙、匿名通讯技术等。[48]隐私设计理论的提出受到隐私增强技术的影响,以至于常常将两者混为一谈。从实践来看,隐私设计理论的实施往往需要借助隐私增强技术。此外,两者都主张从系统内部构建个人信息保护体系,将“软”法(“soft”law)刻进系统“硬”盘(hardware)之中,因为要违反或规避嵌入在系统代码之内的规则要比违反写在纸上的法律更加困难。[49]
(一)实施步骤
隐私设计的践行需要经历什么样的步骤,学界有不同看法。有学者认为,隐私设计的实施需要经过隐私词汇的引入、创建加密网络、隐私设计执行三个阶段;[54]有学者则认为,隐私设计的实施主要包括敏感数据分析、攻击模式界定以及隐私策略执行三个步骤。[55]我们认为,隐私设计的实施大致需要以下步骤。
第三,确定数据。在界定法律需求和系统功能需求后,我们就可以确定系统所需要收集、处理以及流转的数据范围和类型。依据收集限制原则,企业必须严格依照系统本身的功能目的来收集、处理和流转数据。例如,公路自动收费系统,其只需要收集车辆、车主以及费用等数据,对于车辆位置信息、行驶路线、乘车人员等无关数据不应进行收集。[62]
第四,隐私风险分析。系统收集、处理和流转数据,必然存在各种隐私风险。这些风险可能来自数据控制者,也可能来自其他好奇的第三方用户和企业,而风险类型则包括公开曝光、链接、成像分析等。[63]不同风险所需要的应对策略不同,系统设计也需随之变化。例如,竞争对手抓取数据的风险与黑客的故意攻击显然不能同日而语,因而系统应对策略也会有不同。[64]
第六,方案的实施和测试。隐私设计实施的最后一步就是落实设计方案,将个人信息保护的需求嵌入系统具体设计之中。在此阶段,我们需要仔细检查潜在的漏洞,确保系统能够在实现完全功能的前提下遵循个人信息保护法律规范。如果在实施和测试过程中发现新的隐私风险,开发者还需要重新回到之前的步骤。[66]当然,隐私设计方案的实施与测试是伴随系统整个生命周期的,需要持续进行。
(二)设计策略
在确定隐私设计实施步骤后,我们还需要考虑采用何种策略来践行隐私设计方案。对此,霍夫曼等人提出八种设计策略,具体分为两类:一是数据导向策略,包括最小化、隐藏、分离和聚合;二是过程导向策略,包括通知、控制、执行和展示。[67]
1.最小化,要求数据收集尽可能限定在最小限度之内,这是最基本的设计策略。通过确保没有数据或没有多余的数据被收集,系统对于个人信息的影响将受到最大程度的限制。对此,我们必须要确保系统收集的数据与其目的相当。
2.隐藏,要求系统收集的所有数据以及彼此之间的联系都应当进行隐藏处理,以便让数据具备不可链接性和不可观察性,进而避免被滥用的可能。例如,将数据“年龄:27”改为数据“年龄:25~35”。
4.聚合,指数据在保证可用性的前提下,应尽可能以高度聚合形态来处理,以便将数据细节模糊化。通过将不同性质或不同群体的数据聚合在一起,可以有效限制数据的细节信息,让数据变得不那么敏感。当数据足够粗粒状,涵盖的群体足够大的话,特定用户的数据被暴露的可能性就越小。例如,将18~24岁的值与24~30岁的值聚合为18~30岁的值。
6.控制,指用户有权控制自己个人信息的收集、处理和流转。法律规范通常会赋予用户查阅、更新、删除个人信息等权利,而控制策略就是要突出用户享有的这些权利,并要求系统的设计应当有助于用户行使这些权利。
7.执行,要求企业应当依据个人信息保护法律规范制定适当的隐私政策,采取措施执行这些政策。隐私政策的执行可以立足于企业实际情况,但不得低于个人信息保护法律规范的要求。
8.展示,指企业需要展示个人信息保护法律规范以及制定的隐私政策是如何得到遵守的。展示策略超越执行策略,要求企业去展示隐私政策在系统中是如何被有效执行的。[68]
(图略)
图1隐私设计策略图
上述八种设计策略贯穿于数据收集、处理和流转的全过程,不同阶段所使用的设计策略有所侧重:在数收集阶段,侧重于使用最小化、聚合、隐藏、通知和控制策略;在数据分析和管理阶段,主要适用聚合和隐藏策略;在数据储存阶段,主要适用隐藏和分离策略;在数据利用阶段,主要是聚合策略;至于执行和展示策略,则适用于上述每个阶段。[69]
(三)法律保障
一种是隐私设计原则的法律化。法律应当明确引入隐私设计理论,实现隐私设计原则的法律化。例如,《一般数据保护法》第25条第1款规定,数据控制者应当基于国家的发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理行为可能给自然人的权利和自由带来的风险和损害,采取有效的技术性和组织性措施来保护用户的个人信息。正是基于这样的一般性条款,隐私设计理论才得以成为一项具有法律强制力的保护措施。与此同时,我们还应考虑将隐私设计理论的基本原则法律化。例如,《一般数据保护法》第25条第2款就特别提及默认保护原则,即数据控制者应当实施相应的技术性和组织性措施以确保在默认情形下,被处理的个人信息都符合特定的目的,具体包括个人信息的数量、处理规模、储存期限和可访问性等。同样,隐私设计理论的其他几项基本原则也都可以实现法律化。[70]
另一种是隐私设计实施的法律化。隐私设计原则的法律化为隐私设计理论的实施提供了指导,但法律还需做进一步的规定。
其一,责任主体。如上文所述,除数据控制者外,系统的设计者和制造者也应是责任主体,如此才能真正落实从一开始就限制系统入侵隐私能力的目标,实现个人信息的积极和全面保护。对此,《一般数据保护法》第25条存在明显不足,应予以完善。
其二,隐私增强技术。在隐私设计理论的实施过程中,离不开两个重要的实施工具,即隐私增强技术和隐私影响评估。[71]近年来,各国政府机构、企业、专家学者都越来越认识到隐私增强技术的重要性,因为它可以为企业节约保护个人信息的成本、减少承担法律责任的风险以及增强用户信任等。[72]至于隐私增强技术的具体运用,则需要结合不同隐私设计策略。其一,最小化策略,主要适用收集之前进行选择、匿名和假名处理等技术。其二,隐藏策略,主要包括数据加密、混合网络、认证、匿名和假名等。其三,分离策略,包括去中心化储存和分析工具等。其四,聚合策略,包括适时聚合、动态位置粗粒化、匿名、差异隐私等。其五,通知策略,包括隐私偏好平台、数据泄露通知等。其六,控制策略,包括用户中心的身份管理、点对点加密支持控制等。其七,执行策略,包括访问控制、设计个人认证的数字权利管理系统等。其八,展示策略,包括隐私管理系统、日志记录和审计等。[73]此外,隐私增强技术的使用还需兼顾数据的可用性。例如,低级匿名化通常不足以保护用户身份不被识别,但太彻底的匿名化又可能会损害数据的可用性,从而减损系统的效用。[74]
(一)对隐私设计理论的质疑
第一,隐私设计理论本身不够清晰。有学者认为,一提到隐私设计理论就会想到隐私设计七原则,但这些原则仍然是非常模糊的,并没有真正阐释隐私设计理论的具体内涵。[77]
第二,隐私设计理论难以具体实施。其一,个人信息保护的法律需求难以界定。一方面,个人信息保护涉及各个层次的法律规范,而许多法律规范或法律原则本身又十分抽象和灵活,想要确定个人信息保护的法律需求并不容易。[78]另一方面,个人信息本身就是一个复杂、多变、场景化的概念。[79]例如,对于身体扫描仪(bodyscanners)来说,将旅客裸体图像转换为动画图像、化身或身体轮廓被认为是一个有效的隐私设计解决方案,但如果动画图像、化身或身体轮廓也被视为个人信息的话,那么这一解决方案将变得不再有效。[80]其二,将法律需求嵌入系统的可行性值得商榷。众所周知,法律规则是用自然语言书写的,而“代码”则是以机器语言书写的,两种语言的转换无疑是一项艰巨的挑战。[81]在转换过程中,自然语言固有的灵活性和模糊性所带来的诸多好处,会因为机器语言的具体性和刚性而被放弃。[82]此外,有学者认为,隐私设计理论违反了技术中立原则(Technology-Neutrality),因为技术本身并无价值取向,通过设计来实现法律需求值得怀疑。[83]
第三,隐私设计理论可能会产生负面影响。其一,额外数据的收集。系统预设的功能越多,所需要的数据就越多。隐私设计理论主张将个人信息保护的法律需求嵌入系统,可能会导致额外数据被收集。例如,荷兰《个人信息保护法》规定,未成年人数据的收集需要监护人的同意。如果要将这一法律需求嵌入系统,那么系统就需要收集儿童的出生日期、监护人等额外数据。[84]其二,阻碍科技创新。系统最主要的功能通常并非保护个人信息,执行隐私设计意味着许多通行的设计方案都要被替代,这会实质性阻碍科技发展。[85]其三,增加系统复杂性。有观点指出,隐私设计的实施会增加用户负担,让系统变得更加复杂和脆弱。而一旦出现问题,用户又很难确定究竟是谁的责任。[86]其四,影响数据的价值。隐私设计理论过分保护用户个人信息,会影响数据的利用价值,不符合大数据及人工智能时代的精神。[87]
第四,企业执行问题。首先,个人信息保护并非企业的主要目的,甚至与企业商业考量截然相反,企业践行隐私设计的激励并不充分。[88]其次,系统开发者和制造者通常不受个人信息保护法律规范的约束,他们没有主动贯彻隐私设计的动力。最后,企业合作使得彼此之间责任界限模糊,阻碍隐私设计的实施。实践中,一项系统的开发与使用会涉及多个企业。例如,射频识别系统就包括各种不同类型的射频识别标签、阅读器、数据库、固定或移动计算机装置以及各种软件。企业之间责任界限的不明,也让隐私设计的实施面临不确定性。[89]
第五,违反现代民主法治精神。代码作为网络空间的“法律”,其往往是由个别开发者、企业制定的,但却像法律一样影响着网络空间中每个人的行为,这显然与现代社会的民主法治精神相悖。隐私设计理论强调将个人信息保护的法律需求嵌入系统的设计之中,但在自然语言“翻译”成机器语言的过程中,对于法律规范的增加、减少、选择等时有发生,法律很难对其进行规制。[90]从这个角度来看,隐私设计理论似乎在绕过正规的民主立法和执法程序来规制人们的行为,代码程序员成为了21世纪的新立法者。[91]
(二)对于上述质疑的回应
面对上述学者的质疑,我们认为,隐私设计理论纵然存在诸多不足,但仍不失为新时代个人信息保护的一种新路径。
1.隐私设计理论具备践行的可能。首先,隐私设计是比较成熟的理论,有自己的基本原则、价值理念、适用范围和对象以及具体实施步骤、策略等,国际组织、各国政府机构、企业、专家学者等都很认可其对于个人信息保护的作用。[92]其次,隐私设计理论具备实施的可能。一方面,个人信息保护的法律需求是可以界定的,如霍夫曼等人就总结出了九项个人信息保护的法律需求。[93]另一方面,法律需求通过设计嵌入系统具有可行性。例如,隐私增强技术本身就是将自然语言(法律规范)转化为机器语言(系统代码)的最好例证。最后,从实践来看,欧盟《一般数据保护法》以及美国《消费者隐私权利法案(草案)》都规定了隐私设计理论。与此同时,苹果、腾讯等一大批互联网巨头也纷纷在践行隐私设计理论,这足以说明该理论具有可行性。
2.企业有践行隐私设计的动力与可能。其一,随着用户对于个人信息保护越发重视,企业践行隐私设计的动力将不断增强,隐私有助于商业(privacyisgoodforbusiness)已经成为共识。[94]其二,隐私设计的实施强调因地制宜,企业应根据自身规模、商业模式、系统风险等来制定合适的实施计划,即使是中小企业也有践行隐私设计的可能。[95]其三,越来越多的企业合作纵然会增加隐私设计的实施难度,但各种资源的组合也能提供更多的解决方案。其四,系统开发者和制造者同样具备践行隐私设计的动力。一方面,系统开发者和制造者本身也是企业,他们提供的产品和服务同样要接受市场的考验;另一方面,我们完全可以通过立法方式将他们纳入个人信息保护的责任主体范围。
3.隐私设计理论的消极影响可以克服。其一,对于不可避免地收集的额外数据,同样会提供隐私设计的保护,并不会增加额外的隐私风险。其二,隐私设计理论为技术创新打开一扇新窗口,很多时候反而会推动科技创新。例如,许多隐私增强技术的创新就是贯彻隐私设计理论的产物。[96]其三,隐私设计理论强调正和共赢的立场,在保护用户个人信息的同时,会尽可能保留数据的利用价值,满足企业利用数据的需求,因而与大数据、人工智能时代的精神并不矛盾,反而有助于后者健康发展。[97]
4.隐私设计理论并非对立法权的僭越,而是为了更好地落实个人信息保护法律规范。从隐私设计的实施过程来看,界定个人信息保护的法律需求是整个方案的第一步,直接决定了实施的具体步骤、策略、隐私增强技术的选择以及企业隐私政策的制定。[98]此外,企业践行隐私设计后仍然要接受现行法律规范的监督和审查。简言之,隐私设计理论主张通过设计系统“代码”来规制人们在网络空间的行为,仍然属于践行现行个人信息保护法律规范的一种形式,并不违反现代民主法治精神。
科技发展让社会文明呈现加速演化趋势,一个移动互联网、大数据和人工智能并存的新时代已经到来,个人信息保护的环境发生了翻天覆地的变化。面对新时代提出的各种新挑战,传统个人信息保护法律框架显得无力招架,亟待引入新的保护路径。对此,近年来席卷全球的隐私设计理论很好地迎合了新时代个人信息保护的需求,迅速获得国际组织、各国政府机构、企业以及专家学者们的高度认同,被视为下一代个人信息保护的关键举措。然而,遗憾的是,在欧美各国纷纷提档升级个人信息保护法律规范之际,我国个人信息保护法律体系的建立还付之阙如,特别是作为主体法律规范的《个人信息保护法》迟迟没有出台。此种背景下,一方面,我们需加快推动《个人信息保护法》的出台,完善个人信息保护法律体系;另一方面,我们也应积极借鉴欧美有关个人信息保护的最新经验,充分发挥后发优势。对此,隐私设计理论能够为我国今后个人信息保护的立法和实践工作提供很好的参考。
(责任编辑:陆宇峰)
【注释】*郑志峰,西南政法大学民商法学院讲师。本文系国家社科基金2018年重大项目“大数据时代个人数据保护与数据权利体系研究”(项目号18ZDA146)、西南政法大学2018年校级科研创新项目“人工智能侵权责任的民法典应对(项目号2018XZQN-22)”以及西南政法大学2017年度校级青年教师学术创新团队项目“《侵权责任法》修订研究”(项目号2017XZCXTD-04)的阶段性研究成果。
[1]公平信息实践原则由美国于20世纪70年代提出,是全球最为重要的个人信息保护法律指南,已经有一百多个国家在践行该指导原则。例如,1980年经济合作与发展组织的《关于隐私保护与个人信息跨国流通指南的建议》(简称“OECD指南”)、1990年的《联合国个人信息保护指南》、1995年欧盟《数据保护指令》、2005年亚太经合组织的《APEC个人隐私保护框架》(简称“APEC隐私框架”)等都可以看作是践行公平信息实践原则的代表性版本。SeeDeirdreK.Mulligan&JenniferKing,“BridgingtheGapBetweenPrivacyandDesign”14U.Pa.J.Const.L.990(2012);FrederikZuiderveenBorgesius,JonathanGray&MireillevanEechoud,“OpenData,Privacy,andFairInformationprinciples:TowardsaBalancingFramework”30BerkeleyTechnologyLawJournal2101-2102(2016).
[2]OmerTene,“PrivacyLaw’sMidlifeCrisis:ACriticalAssessmentoftheSecondWaveofGlobalPrivacyLaws”74OhioSt.L.J.1220(2013).
[3]DeirdreK.Mulligan&JenniferKing,“BridgingtheGapBetweenPrivacyandDesign”14U.Pa.J.Const.L.999(2012).
[4]FredH.Cate,“TheFailureofFairInformationPracticePrinciples”,inJaneK.Winned.,ConsumerProtectionintheAgeofthe‘InformationEconomy’,Routledge,2006,pp.356-357.
[5]DeirdreK.Mulligan&JenniferKing,“BridgingtheGapBetweenPrivacyandDesign”14U.Pa.J.Const.L.1000(2012).
[6]吴汉东:《人工智能时代的制度安排与法律规制》,载《法律科学》2017年第5期。
[7]吴军:《智能时代:大数据与智能革命重新定义未来》,中信出版集团2016年版,第331页。
[8]DeirdreK.Mulligan&JenniferKing,“BridgingtheGapBetweenPrivacyandDesign”14U.Pa.J.Const.L.990-991(2012).
[9]SusanLandan,“ControlUseofDatatoProtectPrivacy”347ScienceIssue504(2015).
[10]FredH.Cate,“TheFailureofFairInformalionPracticePrinciple”,inJaneK.Winned.,ConsumerProtectionintheAgeofthe‘InformationEconomy’,Routledge,2006,pp.356-357.
[11]DemetriusKlitou,“PrivacybyDesignandPrivacy-InvadingTechnologies:SafeguardingPrivacy,LibertyandSecurityinthe21STCentury”5(3)Legisprudence297-298(2011).
[12]AlexandraRengel,“Privacy-InvadingTechnologiesandRecommendationsforDesigningaBetterFutureforPrivacyRights”8InterculturalHum.Rts.L.Rev.224-229(2013).
[13]BatyaFriedman,PeterH.Kahn,AlanBorning&AlinaHuldtgren,Value,“SensitiveDesignandInformationSystems”,InNeelkeDoorn,DaanSchuurbiers,IbovandePoel&MichaelE.Gormaned.,EarlyEngagementandNewTechnologies:OpeninguptheLaboratory,Springer,2013,p.56.
[14]BatyaFriedman,PeterH.Kahn&AlanBorning,ValueSensitiveDesign:TheoryandMethods,DraftofJune2003,pp.3-4.
[15][美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,清华大学出版社2009年版,第137-140页。
[16]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.261.
[17]AnnCavoukian,PrivacyEngineering:ProactivelyEmbeddingPrivacy,byDesign,InformationandPrivacyCommissioner,Ontario,Canada,2014,p.2.
[18]AnnCavoukian,“PrivacybyDesign:TheDefinitiveWorkshop.AforewordbyAnnCavoukian”,Ph.D,3IdentityintheInformationSociety,2010,p.248.
[19]AnnCavoukian,PrivacybyDesign,InformationandPrivacyCommissioner,Ontario,Canada,2013,p.1.
[21]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.262.
[22]AlexandraRengel,“Privacy-InvadingTechnologiesandRecommendationsforDesigningaBetterFutureforPrivacyRights”8InterculturalHum.Rts.L.Rev.226(2013).
[23]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.263.
[24]DeirdreKMulligan&JenniferKing,“BridgingtheGapBetweenPrivacyandDesign”14U.Pa.J.Const.L.1019(2012).
[25]IraS.Rubinsteint&NathanielGood,“PrivacybyDesign:ACounterfactualAnalysisofGoogleandFacebookPrivacyIncidents”28BerkeleyTech.L.J.1335(2013).
[26]OpinionoftheEuropeanDataProtectionSupervisorontheCommunicationfromtheCommissiontotheEuropeanParliamentandtheCouncilonthefollow-upoftheWorkProgrammeforbetterimplementationoftheDataProtectionDirective(2007/C255/01),para63.
[27]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.275.
[28]SeeOpinionoftheEuropeanDataProtectionSupervisorontheCommunicationfromtheCommissiontotheEuropeanParliament,theCouncil,theEuropeanEconomicandSocialCommitteeandtheCommitteeoftheRegionson“RadioFrequencyIdentification(RFID)inEurope:StepsTowardsaPolicyFramework”,COM(2007)96.
[29]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.277-278.
[30]FTC,ProtectingConsumerPrivacyinanEraofRapidChange,2012,pp.22-34.
[31]SeeSec.107.AccountabilityofAdministrationDiscussionDraft:ConsumerPrivacyBillofRightsActof2015.
[32]DouglasG.Bonner&RichardJ.,“Caira,CaliforniaBillMandatesPrivacybyDesignforIoTDevices”4TheNationalLawReview,(2017).
[33]32ndInternationalConferenceofDataProtectionandPrivacyCommissioners,ResolutiononPrivacybyDesign,2010.
[35]需要说明的是,隐私默认保护(privacybydefault)应当是隐私设计理论的组成部分,但《一般数据保护法》第25条将两者并列放在一起。
[36]崔聪聪等:《个人信息保护法研究》,北京邮电大学出版社2015年版,第137页。
[37]AnnCavoukian,PrivacybyDesign,InformationandPrivacyCommissioner,Ontario,Canada,2013,pp.3-4.
[38]针对隐私设计理论在商业实践中的运用,有学者提出了隐私风险最优过程(PrivacyRiskOptimizationProcess)。SeeTerryMcQuay&AnnCavoukian,“APragmaticApproachtoPrivacyRiskOptimization:PrivacybyDesignforBusinessPractices”3IdentityintheInformationSociety379-396(2010).
[39]美国为此出台专门的法案。SeeDemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.272-273.
[40]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.263.
[41]Article29WorkingParty,TheFutureofPrivacy,WP168,1December2009,pp.15-16.
[42]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.256.
[43]AnnCavoukian,PrivacybyDesignintheAgeofBigData,InformationandPrivacyCommissioner,Ontario,Canada,2012,p.8.
[44]AnnCavoukian,“AngusFisher&ScottKillen&DavidA.Hoffman,RemoteHomeHealthCareTechnologies:HowtoEnsurePrivacyBuildItin:PrivacybyDesign”3IDIS369-370(2010).
[45]AnnCavoukian,PrivacybyDesign:The7FoundationalPrinciples-ImplementationandMappingofFairInformationPractices,Information&PrivacyCommissioner,Ontario,Canada,2010,p.9.
[46]AnnCavoukian,“PrivacybyReDesign:BuildingaBetterLegacy”,Itbusinessca,May26,2011.
[47]AnnCavoukian,PrivacybyReDesign:APracticalFrameworkforImplementation,InformationandPrivacyCommissioner,Ontario,Canada,2011,pp.5-7.
[48]G.W.vanBlarkom,J.J.Borking&J.G.E.Olk,HandbookofPrivacyandPrivacy-EnhancingTechnologies:ThecaseofIntelligentSoftwareAgents,CollegeBeschermingPersoonsgegevens,2003,p.33.
[49]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.270.
[50]OmerTene&JulesPolonetsky,“PrivacyintheAgeofBigData:ATimeforBigDecisions”64Stan.L.Rev.Online65-66(2012).
[51]IngaKroenera&DavidWrighta,“AStrategyforOperationalizingPrivacybyDesign”30TheInformationSociety361(2014).
[52]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.271.
[53]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.272.
[54]AdamantiaRachovitsa,“EngineeringandLawyeringPrivacybyDesign:UnderstandingOnlinePrivacyBothasaTechnicalandanInternationalHumanRightsIssue”24InternationalJournalofLawandInformationTechnology382-388(2016).
[55]AnnaMonreale,SalvatoreRinzivillo,FrancescaPratesi1,FoscaGiannotti&DinoPedreschi,“Privacy-By-DesigninBigDataAnalyticsandSocialMining”3EPJDataScience4-5(2014).
[56]WengY-H,ChenC-H,SunC-T,“SafetyIntelligenceandLegalMachineLanguage-DoWeNeedtheThreeLawsofRobotics”,inTakahashiYed.,ServiceRobotApplications,TechEducation&Publishing,2008,pp.207-208.
[57]DagWieseSchartum,“MakingPrivacybyDesignOperative”24(2)InternationalJournalofLawandInformationTechnology12-13(2016).
[58]AdamantiaRachovitsa,“EngineeringandLawyeringPrivacybyDesign:UnderstandingOnlinePrivacyBothasaTechnicalandanInternationalHumanRightsIssue”24InternationalJournalofLawandInformationTechnology383(2016).
[59]SeeJaap-HenkHoepman,“PrivacyDesignStrategies”,inNoraCuppens-Boulahia,FrédéricCuppens,SushilJajodia,AnasAbouElKalam&ThierrySanseds,ICTSystemsSecurityandPrivacyProtection,Springer,2014,p.51.
[60]SedaGürses,CarmelaTroncoso&ClaudiaDiaz,“EngineeringPrivacybyDesign”14Computers,Privacy&DataProtection19(2011).
[61]SeeCherylDanceyBalough,“PrivacyImplicationsofSmartMeters”86Chi.-KentL.Rev.165-174(2011);AnnCavoukian,PrivacybyDesign:FundamentalsforSmartGridAppDevelopers,InformationandPrivacyCommissioner,Ontario,Canada,2013,pp.7-8.
[62]SedaGürses,CarmelaTroncoso&ClaudiaDiaz,“EngineeringPrivacybyDesign”14Computers,Privacy&DataProtection18(2011).
[63]SedaGürses,CarmelaTroncoso&ClaudiaDiaz,“EngineeringPrivacybyDesign”14Computers,Privacy&DataProtection19(2011).
[64]AnnaMonreale,SalvatoreRinzivillo,FrancescaPratesi1,FoscaGiannotti&DinoPedreschi,“Privacy-By-DesigninBigDataAnalyticsandSocialMining”3EPJDataScience4(2014).
[65]AnnaMonreale,SalvatoreRinzivillo,FrancescaPratesi1,FoscaGiannotti&DinoPedreschi,“Privacy-By-DesigninBigDataAnalyticsandSocialMining”3EPJDataScience5(2014).
[66]SedaGürses,CarmelaTroncoso&ClaudiaDiaz,“EngineeringPrivacybyDesign”14Computers,Privacy&DataProtection19(2011).
[67]Jaap-HenkHoepman,“PrivacyDesignStrategies”,inNoraCuppens-Boulahia,FrédéricCuppens,SushilJajodia,AnasAbouElKalam&ThierrySanseds,ICTSystemsSecurityandPrivacyProtection,Springer,2014,pp.51-52.
[68]例如,《一般数据保护法》就明确规定了数据控制者的展示职责,具体可参见该法第5条第2款、第7条第1款、第11条第2款等。
[69]ENISA,“PrivacybyDesigninBigData:AnOverviewofPrivacyEnhacingTechnologiesintheEraofBigDataAnalytics”,EuropeanUnionAgencyforNetworkandInformationSecurity,2015,p.26.
[70]事实上,安女士曾经做过这样的尝试。SeeAnnCavoukian,PrivacybyDesigninLaw,PolicyandPractice:AWhitePaperforRegulators,Decision-makersandPolicy-makers,InformationandPrivacyCommissioner,Ontario,Canada,2011,pp.30-31.
[71]崔聪聪等:《个人信息保护法研究》,北京邮电大学出版社2015年版,第140页。
[72]ICO,DataProtectionGuidanceNote:PrivacyEnhancingTechnologies,InformationCommissioner’sOffice,UK,2007,p.2.
[73]SeeENISA,“PrivacyandDataProtectionbyDesign:FromPolicytoEngineering”,EuropeanUnionAgencyforNetworkandInformationSecurity,2014,pp.18-22;ENISA,“PrivacybyDesigninBigData:AnOverviewofPrivacyEnhacingTechnologiesintheEraofBigDataAnalytics”,EuropeanUnionAgencyforNetworkandInformationSecurity,2015,p.26.
[74]ENISA,“PrivacybyDesigninBigData:AnOverviewofPrivacyEnhacingTechnologiesintheEraofBigDataAnalytics”,EuropeanUnionAgencyforNetworkandInformationSecurity,2015,p.27.
[75]IngaKroenera&DavidWrighta,“AStrategyforOperationalizingPrivacybyDesign”30TheInformationSociety361(2014).
[76]ICO,ConductingPrivacyImpactAssessmentsCodeofPractice,InformationCommissioner’sOffice,UK,2014,p.15.
[77]SedaGürses,“CarmelaTroncoso&ClaudiaDiaz,EngineeringPrivacybyDesign”14Computers,Privacy&DataProtection2(2011).
[78]SedaGürses,“CarmelaTroncoso&ClaudiaDiaz,EngineeringPrivacybyDesign”14Computers,Privacy&DataProtection3-5(2011).
[79]DanielSolove,“PrivacybyDesign:4KeyPoints”TeachPrivacy,July14,2015.
[80]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,p.285.
[81]MireilleHildebrandt&Bert-JaapKoops,“TheChallengesofAmbientLawandLegalProtectionintheProfilingEra”73ModLawRev452-453(2010).
[82]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.283-285.
[83]MireilleHilderbrandt,“LegalProtectionbyDesign:ObjectionsandRefutations”5Legisprudence237-240(2011).
[84]Bert-JaapKoops&RonaldLeenes,“PrivacyRegulationCannotBeHardcoded:ACriticalCommentonthe‘PrivacyByDesign’ProvisioninData-ProtectionLaw”28InternationalReviewofLaw,Computers&Technology165-166(2014).
[85]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.282-283.
[86]ENISA,“PrivacyandDataProtectionbyDesign:FromPolicytoEngineering”,EuropeanUnionAgencyforNetworkandInformationSecurity,2014,p.49.
[87]ENISA,“PrivacybyDesigninBigData:AnOverviewofPrivacyEnhancingTechnologiesintheEraofBigDataAnalytics”,EuropeanUnionAgencyforNetworkandInformationSecurity,2015,pp.22-23.
[88]IraS.Rubinstein,“RegulatingPrivacybyDesign”26BerkeleyTech.L.J.1453(2011).
[89]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.324-325.
[90]Bert-JaapKoops,“CriteriaforNormativeTechnology:AnEssayontheAcceptabilityof‘CodeasLaw’inLightofDemocraticandConstitutionalValues”5TiltLaw&TechnologyWorkingPaperSeries3-4(2007).
[91]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.282-283.
[92]近年来,欧美等国都在积极将隐私设计理论法律化就是强有力的证明。
[93]需要注意的是,并非所有的法律需求都能够通过设计来嵌入系统之中。SeeJaap-HenkHoepman,“PrivacyDesignStrategies”,inNoraCuppens-Boulahia,FrédéricCuppens,SushilJajodia,AnasAbouElKalam&ThierrySanseds,ICTSystemsSecurityandPrivacyProtection,Springer,2014,p.51.
[94]PamBaker,“BigData:ProtectingPrivacyisGoodforBusiness”,InformationWeek,May12,2015.
[95]例如,安女士就专门针对小型企业提出践行隐私设计的策略。SeePrivacyExposuresandRiskReductionStrategiesforSmallOrganizationsInformationandPrivacyCommissioner,Ontario,Canada,2013,pp.3-4.
[96]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.317-318.
[97]EricEverson,“PrivacybyDesign:TakingCtrlofBigData”65Clev.St.L.Rev.42(2017).
[98]例如,上文提到的八种隐私设计策略都是在围绕个人信息保护的法律需求展开。SeeJaap-HenkHoepman,“PrivacyDesignStrategies”,inNoraCuppens-Boulahia,FrédéricCuppens,SushilJajodia,AnasAbouElKalam&ThierrySanseds,ICTSystemsSecurityandPrivacyProtection,Springer,2014,p.57.
[99]DemetriusKlitou,Privacy-InvadingTechnologiesandPrivacybyDesign:SafeguardingPrivacy,LibertyandSecurityinthe21stCentury,Springer,2014,pp.325-327.
[100]SharonGaudin,“FacebookCEOZuckerbergCausesStiroverPrivacy”ComputerWorld,Jan11,2010.
【期刊名称】《华东政法大学学报》【期刊年份】2018年【期号】6
Sponsors:InstituteofLawandInstituteofInternationalLaw,ChineseAcademyofSocialSciences
Address:15ShatanBeijie,DongchengDistrict,Beijing100720