2019年資料保護政策趨勢展望
在全球資料保護法律政策中,歐美仍將扮演引領性角色。歐盟“e-PR”或帶來更嚴格規制。美國聯邦與地方隱私立法互補。
在GDPR之後,歐盟未來的資料保護立法重點無疑在《隱私與電子通訊條例》(Regulation on Privacy and Electronic Communications,又稱“e-Privacy Regulation”,e-PR)。2017年1月10日,歐盟委員會公佈了e-PR草案,旨在規範電子通訊服務並保護與使用者終端裝置相關的個人資訊。e-PR將取代當前的《電子隱私指令》(e-Privacy Directive,簡稱e-PD),實現更嚴格更全面的電子通訊資料保護,也將作為GDPR的特別法與之並行,在電子通訊資料方面對GDPR進行具體化和補充。e-PR將適用於線上通訊服務、使用線上跟蹤技術或從事電子直接營銷的企業,包括即時通訊、VoIP等OTT服務商,如WhatsApp、Facebook Messenger、Skype 等;保護範圍不僅包括通訊內容,還涉及時間、地點、來源等標記通訊內容的元資料。e-PR的前身e-PD經常被稱為cookie指令,但其實,e-PD 和e-PR不僅僅是關於cookie資訊留存和訪問的規定,它還涉及電子通訊和保密權、隱私資料保護等資料安全的其他方面。
考慮到美國各州差異巨大,能在聯邦層面達成共識的隱私立法不會過於詳實,具體的執法細則應根據各州的具體情況進行規定,制度規範也不會像GDPR那般嚴苛,而是更加註重消費者保護的實際效果和促進企業發展、技術創新之間的平衡。美國各州都制定了資料洩露通知法,很多州立法中引入了向受資料洩露影響的個人提供免費信用監測服務的規定,例如特拉華州要求公司在特定情況下向受資料洩露影響的個人提供一年的免費信用監測服務。
2018年,面部識別技術發展迅猛,在安防、管理、金融、消費、社交、娛樂等多個領域得到應用。然而,面部識別技術大規模、多領域的全面應用,帶來的不僅是安全有序的社會環境、高效便捷的服務體驗,同時也造成了對隱私保護、資料安全的擔憂。面部識別技術已經產生了一些引人注目的訴訟案件。2018年12月29日,谷歌面部識別訴訟案落下帷幕,儘管在訴訟中,谷歌並未敗訴,但為了避免面部識別技術可能帶來的潛在風險,谷歌宣佈了包含結合隱私設計原則等在內的人工智慧原則,並提出在解決重要的技術和政策問題之前,主動推遲提供通用的面部識別API功能。消費者知情同意問題是面部識別技術應用的另一爭議點。2018年4月6日,電子隱私資訊中心(EPIC)等組織向美國聯邦貿易委員會(FTC)申訴,投訴針對Facebook在2018年初生效的功能更新,即在未經人像主體或上傳照片的人同意的情況下,定期掃描使用者釋出的照片進行面部匹配和標籤。EPIC強調,這種自動的、欺騙性的、不必要的個人身份識別破壞了使用者的隱私,目前此案尚在調查中。
除了消費者知情同意問題,面部識別的資料準確性也引發爭議。同時,面部識別技術往往與龐大的個人資料庫相聯絡,因此其帶來的更深刻的問題是公共空間的匿名性悖論。在公共活動中一張臉的單個影象可以通過查閱資料庫被快速識別,而如果該資料庫與其他資料庫相連,則可能連結到無盡的個人資訊。政府執法部門可以利用該技術持續、實時、大規模監測民眾言行舉止,商家可以利用該技術記錄甚至分享消費者的購物情況及喜好。在公共空間內,公民原來匿名環境中的安寧與自由以及隱私的基本期待被徹底顛覆。暴露在外的面部就像一扇門,而面部識別技術則可能是開啟潘多拉魔盒的萬能鑰匙,未經主人同意就開門索取門內個人相關資訊的行為,顯然存在道德倫理上的問題。
與人臉識別技術更依賴於科技倫理來引導相比,區塊鏈技術則面臨現實的合規性問題。儘管區塊鏈技術將有利於提升人們對個人資料的控制權,但區塊鏈去中心化的資料處理模式卻導致其與傳統中心化正規化的GDPR難以相容。面對區塊鏈應用帶來的資料保護合規問題,法國資料保護機構CNIL在2018年9月釋出了區塊鏈GDPR指南,對於如何界定區塊鏈中的資料控制者和資料處理者,如何在區塊鏈上履行最小化原則以儘可能減少對資料主體的風險,如何確保有效行使GDPR規定的資料權利,區塊鏈的安全性等問題,作出了首次官方迴應。除了CNIL的指導外,民間的諮詢機構也給出了相關意見。其中比較有代表性的是諮詢機構“Tech GDPR”強調的區塊鏈隱私保護需要遵循“設計隱私”理念,闡述了其所包含的七個重要原則:採取事前預防措施;將隱私作為預設設定;將隱私融入設計;隱私保護和功能性兼顧;通過端到端的防護實現資料全生命週期的保護;實踐可見性與透明度,保持開放;尊重使用者隱私,以使用者為中心。
總體看,不論是人臉識別技術,還是區塊鏈技術,都體現了現有資料法規難以適用的落差。解決的思路可以從兩端出發,一是科技行業主動自律,正如谷歌、微軟積極提出人臉識別技術及其他AI技術的使用原則,以“科技向善”的理念進行自我約束,明確技術不能突破的底線;二是立法與監管也需要不斷創新,以創造性提出解決方案。展望2019年,資料主權、資料跨境流動、資料保護合規、資料洩露、資料濫用、資料權屬、資料共享有望成為資料保護政策領域的關鍵詞。(記者 王融 餘春芳)
責任編輯:李蘭鬆