其他
崔聪聪|个人信息的内生安全机制及其实现
(一)功能性违法与代码之治异化
个人信息保护滥觞于计算机网络技术的广泛应用。技术创新不仅改变了个人信息处理的模式与形态,更深刻地改变了背后的风险逻辑。数字技术不仅可以回溯历史、重组时空行为,也可以干预未来。个人信息处理者依托数字技术,通过处理个人信息具备了调整个体行为、塑造社会关系的能力。数字社会特有的运行逻辑,意味着离开信息技术的具体应用原理而仅仅一味强调权利的加强和保障已不再是明智之举。国家应当在剖析技术运行逻辑和产业发展逻辑的基础上,从代码合规的层面构建个人信息保护制度。1.功能性违法引发群体隐私危机
个人信息处理活动不仅造成个人损害,而且引发公共安全和“群体隐私”危机。个人信息违法处理并非一对一而是一对多的侵害行为,这种功能性违法导致受害人数以亿计。由于企业的内部治理结构不完善,个人信息处理存在“普遍性违法”问题,几乎所有的App运营者都存在违反必要原则收集个人信息(超范围收集)的问题。“功能性违法”叠加“普遍性违法”,个人信息安全出现了前所未有的危机。数字技术使数据突破了信号传递的功能,数据的规模化聚合、挖掘与分析使其产生了强大的预测力。网络平台通过在碎片化数据间建构联络模型,可以推断出个体特征、群体特征、个人与他人的关系。群体画像使个人信息处理者由操控个体转向影响并控制规模化的群体,根据数据主体的倾向,通过信息展示或者推送的形式有针对性地修改个人信息主体的选择环境,潜移默化地影响个体的认知框架和价值选择,进而实现对群体的塑造和控制。2.代码之治异化及其矫正
代码是网络空间的主宰,人们可以通过代码技术定义、约束乃至塑造个体行为而重新组织社会,形成新的社会组织形式和社会关系。虽然数据自身不具有被支配的属性,但是数据可以助推算法成为个人信息处理者支配他人的工具:个人信息处理者通过处理个人信息控制数字身份的生产,控制人们对世界的感知,控制数字空间的代码秩序。数字时代,个体以数字人的形态成为数字社会的网络节点,个体因嵌入网格化、平台化系统而丧失独立性和自主性。代码技术也可以成为个人信息安全的主导力量,因为个人信息从收集到存储、分析、利用、销毁等处理过程都必须依托以代码为基础的应用程序、算法等。法律应当充分重视技术和应用的自我规制之道,个人信息保护法律的原则、理念和规则应当内化于代码中。为防止代码技术解构并重塑作为现代社会根本价值之一的自由价值,有必要弱化个人信息与“介质层”底层设施之间的关联性,直接以“代码层”为中心建构个人信息保护法律的执行机制。就代码技术本身与自由价值的关系来看,代码编写越自由,人们在客观世界中的自由就越陷入危机之中。为防止代码成为人类自由的终结者,个人信息处理者应当在产品设计、开发和运维等整个生命周期中将个人信息保护法律的价值、原则和规则镌刻到产品的各项功能上,通过代码层面表达和实现个人信息处理法律关系的权利、义务内容。
(二)个人控制范式无法解决个人信息安全危机
个人信息是个人信息处理者对个体行为、状态以及偏好、倾向的感受性关系,属于认识论的范畴。个人信息的感受性关系,使个人无法控制他人对自己的认知。个人控制论发轫于以提交为主要收集方式的“小数据时代”,在以自动记录和感知为主要收集方式的数字时代,个人控制论所依存的场景消失。基于个人控制理念建构的个人信息处理规则,无法应对个人信息处理者滥用数据权力引发的个体自主性危机。1.个人控制失灵
个人信息的物理属性和处理过程的信息不对称使个人控制仅具有理论层面的意义:个人信息的物理特征使个人信息主体无法像控制有体物那样控制个人信息。数字时代,个人数据权益所面临的威胁具有复杂性、系统性。个人在管理自身数据时不得不面临卡夫卡式的困境,很难对随之而来的相关风险进行分析和判断。个体的有限理性使数据主体很难感知和判断数据保护不力所造成的风险。个人无法对个人信息流通中的风险进行有效管理。面对越来越复杂的信息收集方式和信息的不规范流转,个人也很难对相关风险加以判断和防范。在个人无法控制个人信息的收集、存储、传输、后台分析利用的情况下,受救济成本、范围、效果等因素制约,建构在控制基础上的自力救济自然失灵。个人信息治理范式应当从被动反应向主动回应转变,通过事前规制防患于未然。2.控制失灵的原因
信息的本质特征是信宿基于信号对信源的一种感受性关系。个人信息是个人信息处理者对个人信息主体的消费能力、偏好、政治倾向、行为规律的判断和认知。个人信息的生成逻辑使个人信息在收集之时就产生了个人信息处理者和个人之间持续性不平等关系。在个人信息生成过程中,个人信息主体是被认识的对象,其只能控制自身的行为、状态等,无法控制个人信息处理者对自己的认知和判断。在此意义上,保护个人信息的目的并不是让个人控制信息,而是建构合理的处理规则并规范个人信息处理行为,是国家规制个人信息处理行为的策略和方式。数字技术的发展和应用摧毁了个人信息控制论建立和实现的社会基础,仅靠个人力量已经不能维护个人尊严和自由。控制论的场景是前网络时代收集个人信息的数量较少、收集方式以提交而非记录为主的时代。数字时代,个人信息的主要收集方式由传统的提交转变为机器设备自动记录,甚至很多场景采用无感收集的模式。在智能网联汽车、智能家居设备等智能终端的全息泛在化收集和无感收集面前,个人信息主体无法确定具体的收集人,更不用说控制其传播、质疑其准确性或者使用的合法性了。
(三)监管资源约束与治理范式创新
限于监管资源,履行个人信息保护职责的部门在技术手段方面难以与大型互联网平台企业比肩。在承认个人信息监管机构单向管控局限性的基础上,个人信息治理应当突破“命令-服从”监管范式,通过系统化整合相关制度和构建技术机制,转型为个人信息监管部门与个人信息处理者共同维护个人信息处理秩序的协同治理模式。1.监管资源受制于技术势差
数字技术发展日新月异,个人信息违法处理行为层出不穷,从早期的超范围收集、强制收集到现在的窃听、窃取等秘密收集,不仅对个人信息主体权益造成更加严重的伤害,而且对个人信息执法能力提出了更高的要求。由于存在巨大技术势差,个人信息监管机构对个人信息处理违法行为的有效捕获存在上限,无法全面追踪个人信息的收集、存储、传输、对外提供、挖掘利用、删除销毁等处理行为。由此,个人信息监管亟须创新治理模式,在治理节点中引入新的主体,在治理方式中运用新的工具。个人信息的范围和外延高度依赖场景,因识别目标、识别主体、识别概率、识别风险的不同而不同。因为信息越多,通过信息的分析与交叉比对识别具体个人的成功率就会更高,成为个人信息的可能性也就越大。在“余某与北京某网络科技有限公司隐私权、个人信息保护纠纷案”中,主要争议焦点便是历史车况信息是否为个人信息,其是否会涉及车主的个人信息或隐私利益。个人信息外延的不确定性导致监管机构难以确定监管的范围。个人信息的法益是一种反射性利益,即在个人信息处理过程中保护个体信息主体的人身利益、财产利益以及自主性。随着技术能力的提升,我们无法预判个人信息在未来还可能承载什么样的利益期待和诉求,这对个人信息保护执法是一个巨大的考验。2.通过内生安全机制破解监管资源约束
考虑到个人信息监管的效果和效率,欧盟《通用数据保护条例》(以下简称GDPR)采用多元规制工具,监管机构基于最小干预原则,在保留实施高额惩罚权力的同时,尽可能采用以市场为基础的自我规制模式。数据生产、数字经济发展需要一种可以激发个人信息处理者从“被动监管”走向“主动合规”的监管范式,约束和制止个人信息处理者“逃逸监管”的冲动,共建个人信息处理秩序。内生安全机制是“元规制”理念在个人信息治理领域的体现。元规制的核心要义是“对自我规制的规制”,即个人信息保护监管机构通过引导和指导个人信息处理者制定内部规则以应对个人信息处理的负外部性问题。遵循元规制理念,个人信息监管机构督促个人信息处理者建立健全个人信息内生安全机制:监管机构设定规制目标,提前开启与个人信息处理者之间的对话,通过检查、评估等形式对个人信息处理者进行事前指导。在具体合规层面,监管机构出方法、企业想办法,个人信息处理者具体落实个人信息保护法的各项义务和安全保障要求。内生安全机制的建立,监管的主要成本由个人信息处理者内部吸收,能够以最小的成本实现个人信息处理安全可控的目标,可谓一个更优的制度选择。三、个人信息内生安全机制的价值维度个人信息作为重要数据资源,大规模收集和自动处理支撑着社会组织、运行和管理的高度现代化。但是,个人信息处理过程中往往会出现“一方受益而另一方受损”的情况,即个人信息处理的负外部性。当个人信息处理的负外部性得不到有效治理时,个人信息主体与个人信息处理者之间就会出现零和博弈的结果。通过内生安全机制防控个人信息处理的负外部性,实现个人信息主体与个人信息处理者之间的正和博弈,合理分配个人信息处理过程中的风险,实现数据正义。
(一)防止个人信息处理的负外部性
个人信息利用的收益由个人信息处理者获得,利用过程中的损失(成本)往往由个人承受,此即个人信息处理的负外部性。对个人信息安全的担忧直接降低用户披露其个人信息的意愿。个人信息内生安全机制的机理在于调动和激发个人信息处理者主动参与个人信息安全治理的积极性,完善内部治理机制,将个人信息处理成本内化于自身,消除个人信息处理的负外部性。1.个人信息处理负外部性的表现
外部性肇始于经济学,是指个体的经济活动对他人造成了影响而又未将这些影响计入市场交易的成本与价格中,而向市场之外的其他人所强加的成本或者效益。外部性分为正外部性和负外部性,前者是指个体行为给他人带来的收益,后者是指个体行为给他人增加的成本(造成的损失)。有些个人信息处理行为会产生负外部性,即个人信息处理过程中的风险或者被滥用的损害由个人信息主体而非个人信息处理者承担。对数据进行挖掘,可以推断出有关此人的更多信息,即数据处理过程中的“知识发现”。“知识发现”可以让数据挖掘者推断出有关个人的其他潜在信息,包括个人的隐私。以基因信息处理为例,研究人员可以通过部分受试者的基因信息预测同一种族或民族中其他人的遗传倾向。有研究表明,只需2%的人进行DNA检测,就能识别几乎所有其他人。在个人信息产生负外部性的情况下,个人信息主体可能会采取各种行动来避免个人信息损失的成本,如选择不消费来避免所有的个人信息成本。如果任其发展,违法处理个人信息最终将破坏网络生态系统赖以生存的数据资源,这将产生“公地悲剧”。如果这种趋势发展到一定程度,消费者就会放弃互联网,转而选择能更好地保护个人信息的线下活动。2.通过内生机制防控负外部性
针对个人信息处理的负外部性难题,法律制度可以采取外在成本内部化的整体原则,通过个人信息的内生安全机制,约束或者禁止负外部性的产出。个人信息处理者通过自我治理与约束,主动承担防控个人信息处理负外部性的义务,有利于塑造良好的商业信誉与公共形象。负外部性由个人信息处理者引起,自然可以通过个人信息处理者的自我规制和自我约束,充分发挥个人信息处理者的自我调节和自愈功能以克服负外部性。虽然个人信息在各个处理环节、动态变化的情况下解决其防窃取、防滥用和防误用,相应个人信息安全的内涵和所需要的方法完全不同,但均可以从组织内部自我防控风险的视角进行系统性回应。内生安全机制要求个人信息处理者负担更高标准的保护义务,特别是通过组织管理和技术措施实现公平、平等对待每一个体,保障个人信息主体在个人信息处理过程中的人格独立和尊严,促使个人信息处理者成为值得信赖的角色,确保个人隐私的丧钟不因大数据应用而敲响。
(二)从零和博弈到正和博弈
数字经济是数据处理者、数据中间商、数据来源者等主体基于数据交易流通形成的互构共生性系统。个人信息处理者的自利性和支配地位会导致个人信息处理的“零和博弈”。个人信息处理者和个人信息主体之间的关系应当成为共益性关系而非零和博弈关系。通过外部监管触达个人信息处理者的组织和技术层面,对个人信息处理者的“自利性”行为和支配性地位形成根本性约束,超越零和博弈界线跨越至正和博弈。1.个人信息处理的零和博弈
从博弈的结果来看,有零和博弈和非零和博弈。零和博弈的结果是社会资源总量不变。非零和博弈包括正和博弈和负和博弈,正和博弈的结果是社会资源总量增加,负和博弈的结果是社会资源总量减少。个人信息处理者的收益是以牺牲个体隐私和自主性为代价,“彼之所得为我之所失”的零和博弈,导致个人信息主体信任丧失,用户分享个人信息的积极性大大降低。个人信息主体与个人信息处理者之间的“零和博弈”,严重影响了数据的深度挖掘、分析、利用和交易。零和博弈通常采取一方压倒或者取代另一方的策略,上述策略导致双方的对策都处于不稳定和无法预期的状态,博弈的结果会加剧两者之间的紧张关系甚至产生对抗关系。个人信息处理者与个人信息主体二元对立的个人信息治理模式,进一步加剧了“零和博弈”。通过高额的民事赔偿措施直接加大违法者的经济成本,或者通过严厉的行政处罚增加违法处理者的机会成本实现上述目的,但上述措施会使二者走向此消彼长的零和博弈误区,最终结果只能是“次优选择”而非最优选择。2.通过内生安全机制实现正和博弈
个人数据是最有价值的数据,是大数据的基础。数字信任是数字经济健康可持续发展的压舱石,个人信息内生安全机制是重塑数字信任的前提。以个体利益为中心的“零和博弈”无法为数字经济的发展提供充足的原材料,在个人信息处理过程中并非最佳选择。通过外部监督管理实现个人信息处理的内生安全机制,击破个人信息处理的“零和博弈”规则,建构一种非对抗、合作、良性、正向的博弈关系。通过嵌入式治理和经设计的法律保护,使传统合规解决冲突目标的零和范式转变为正和范式。以互构的共生性系统为逻辑中介,通过公平合理利用个人信息增加数据收益,个人信息处理者和个人信息主体可以在正和博弈环境中实现共赢并共享数字红利。
(三)构建个人信息处理秩序实现数据正义
防控风险不是个人信息保护的最终目的。通过约束个人信息处理行为,构建个人信息公平利用秩序,公平对待每一位个人信息主体,处理好利用和安全之间的矛盾,实现数据正义,是个人信息保护的终极目标。数字时代个人信息保护的根本问题在于,个人信息处理者有能力获取大量原本无害的个人信息,并将其聚合成一种形式,从而对个人的自决和自主意识造成真正的损害。数据正义是人们因数据生产而被展示和对待的方式的公平性。控制个人信息处理者的数据权力滥用的风险,是个人信息保护法律制度的核心使命。监管机构基于防控公共风险的目的进行“穿透式”监管,通过监管督促个人信息处理者完善内控机制,通过处罚特定违法处理行为倒逼个人信息处理者在“组织”层面和“代码”层面依法处理个人信息。个人信息处理者通过完善内控机制,完成从“将计就计的合规”“表里不一的合规”以及“以假乱真的合规”到实质合规的转变,进而实现数据正义。四、个人信息内生安全机制的制度设计个人信息保护法是以原则性规定为主的法律体系,个人信息保护规范很多是愿景性条款。个人信息保护的原则性规范应当通过个人信息处理者建立健全包括组织机构、合规制度和合规流程在内的个人信息保护合规体系实现。代码层面的合规需要具体的人员落实,完善的内部组织机构和流程是突破个人信息合规堵点的前提,是将个人信息保护义务和监管指令转化为个人信息处理者内部合规流程和要求的中枢;个人信息保护影响评估是合规的方法论,具有承上启下的作用,是发现产品、业务中违法处理个人信息、侵害用户个人信息权益的工具;个人信息处理的“三同步”将个人信息保护义务嵌入代码层面,是个人信息合规的最终落脚点。组织机构、个人信息保护影响评估和个人信息处理的“三同步”,并非各种监管工具的“规治乱炖”,而是通过组合、搭配互补建构了一套逻辑自洽的个人信息内生安全机制,将个人信息保护规范的“愿景性条款”落到了具体的产品和业务中。
(一)流程嵌入:组织机构
被规制者是实现规制目标的第一责任人,因此制度设计应当激励个人信息处理者发挥自身资源优势,开展自我治理。在开展自我治理过程中,个人信息处理者的内部组织机构是使外部的个人信息保护要求转化为个人信息处理者内在需要的主导者。个人信息处理者建立健全内部治理结构,充分发挥法务部门的作用,是提升个人信息处理者安全保障能力的前提和基础。1.内部治理结构
就个人信息合规的内部治理结构而言,可采取在个人信息处理者的领导层或者决策层主导下,法务部门在个人信息保护监督委员会或者个人信息保护负责人的监督下,将个人信息保护法的各项要求和监管指令进行细化并传导至业务部门。以互联网公司为例,法务部门督促业务部门合规的义务源于董事会组织义务,即董事会必须采取合适的措施,尤其是通过建立监督体系来及时发现威胁企业存续的状况。个人信息处理者的决策层或者领导层需要制定按图索骥式的个人信息风险管理流程,以合理削减其可能承担的个人信息合规风险法律责任。需要指出的是,大型互联网平台处理的个人信息数量众多,是个人信息处理风险的主要来源。为有效防控风险,大型互联网平台应依照个人信息保护法第58条的规定设立个人信息保护监督委员会(以下简称委员会),并充分发挥外部独立监督机构在个人信息处理合规中的监督作用。委员会是由大型互联网平台在内部依法自主设立,对大型互联网企业个人信息处理行为的合法性提供独立、客观、专业的监督意见的监督机构。委员会要对大型互联网平台企业个人信息保护的合规情况,以及企业对商业用户的个人信息处理活动予以规范的合规情况进行监督、指导或提出建议和意见。2.执行机构
法务部门是个人信息内生安全机制中起到最关键作用的一环。个人信息安全集软件安全、网络安全、算法安全、供应链安全等各要素在内,仅仅按照法律规则执行合规要求的单向管理模式已经无法适应个人信息全面安全状态提升的需要,而应当在内部合规部门与技术研发部门的定性与定量协同中重组产品方向。个人信息内生安全机制要求充分发挥个人信息处理者法务部门的作用,法务部门依照个人信息保护法的各项要求对企业各项业务功能进行全方位的合规评估,提出具体的合规意见;业务和产品部门践行“三同步”要求,按照法务部门的具体合规意见,在产品和服务的具体功能方面实施通过设计和默认设置保护个人信息,将个人信息保护理念贯穿到个人信息的整个生命周期,以适当的技术和组织措施嵌入App、信息系统、设备终端、服务、技术等前置开发设计和生产制造中,并在信息处理的各个环节践行最小数量、正当必要、有限访问等基本原则。3.监督机构
现行个人信息监督检查包括现场检查和非现场检查两种方式。非现场检查的重点是通过技术手段发现和纠正个人信息处理者违法违规收集使用个人信息的行为,主要采取文本核查、试用验证和技术检测相结合的方式。现场检查主要采取“专家评审、旁站观察”的方式,很少触及个人信息处理者的内部合规机制。为有效提升个人信息合规效果,个人信息监督检查在检测评估具体的个人信息处理行为时,应当增加现场检查个人信息处理者的内部治理结构是否完善以及是否建立了个人信息处理内部的审核机制、巡查机制和风险管控机制。GDPR第57条通过赋予监管机构高度的自由裁量权,通过事前介入的方式,在充分了解个人信息处理者的产品或者服务、商业模式、个人信息处理情况的前提下,根据个人信息处理者的合规状态和合规态度,能动地确定和变更执法策略。我国个人信息监管部门可以借鉴欧盟个人信息执法的经验,根据不同的个人信息处理风险,为个人信息处理者设定不同的企业合规义务,并将个人信息处理者内部合规机制和风险管控的完备程度作为监督检查频次、处罚减免的考虑因素。考虑到个人信息收集、分析与利用风险的动态性、复杂性,个人信息监管部门可以通过发布合规指引、技术指南等方式,指导个人信息处理者根据自身风险情况建立涵盖技术架构、合规管理工具和流程、风险评估操作方案、数据安全监测预警与应急处置在内的合规机制。欧盟个人信息保护执法机构在与个人信息处理者提前开启对话沟通的基础上,根据GDPR第58条的授权制定动态的规制策略,根据个人信息处理者的合规情况和合规意愿,采取说服、警示到执法处罚等多层次的政策工具。为了提升防控个人信息处理风险的效果,提升个人信息处理者的安全保障能力,降低合规成本,我国个人信息监管部门可以建立个人信息风险评估平台并向个人信息处理者开放。个人信息监管部门针对个人信息处理者的评估结果,结合风险类型与发生概率为个人信息处理者提供咨询意见,指引个人信息处理者选择适当的风险缓解工具,实现事前介入、防控风险的目的。
(二)价值嵌入:个人信息保护影响评估
个人信息保护影响评估是第一个被纳入欧盟数据保护法的风险管理工具。GDPR第35条要求个人信息处理者在统筹考虑个人信息处理的性质、范围、内容和目的,以及处理行为给自然人权利和自由带来的风险的基础上,评估个人信息处理的必要性和适当性,并根据评估结果采取不同的风险应对措施。个人信息保护影响评估属于受强制的自我规制,是一种事前性的合规评估和风险评估程序。个人信息保护影响评估的关键作用是影响个人信息处理者内部组织行为的合规能力。通过评估,个人信息处理者可以及时、准确地掌握个人信息及其处理活动面临的安全隐患,通过构造不同的风险治理规则纳入内部决策之中,从自上而下的政府监管模式转变为自内而外的自我执行模式。1.扩展适用范围
个人信息保护法第55条规定,个人信息保护影响评估适用于高风险的处理行为。风险的基本原理告诉我们,即使处理行为本身的风险低,但由于个人信息的量比较大,如收集存储几亿用户的个人信息,发生安全事件造成的损害亦会非常严重。GDPR并没有将个人信息保护影响评估的范围限定在高风险处理行为,而是在第35条第3款明确个人信息处理者在进行自动化决策、大规模处理敏感个人信息、处理与刑事定罪和起诉相关的个人信息以及在公共区域进行大规模的系统性监控时,尤其需要进行个人信息保护影响评估。识别风险并采取有效措施防控风险是个人信息处理的主线,个人信息保护影响评估不能仅限于高风险处理行为。借鉴GDPR第35条的规定,我国个人信息保护影响评估制度应当覆盖全部个人信息处理行为,贯穿个人信息的整个生命周期。个人信息保护影响评估作为一种风险预防手段和风险管理工具,个人信息处理者应当在处理个人信息之前便开始进行,通过预判个人信息处理过程中影响个体人格尊严、财产权益等可能性,分析个人信息面临的被窃取、损毁的安全隐患,评估个人信息安全事件发生的可能性。个人信息保护影响评估不仅是一种持续防控风险的工具,也是一种公众、专业人士参与个人信息保护的协同治理机制。为增强个人信息保护影响评估的效果,GDPR第35条第9款规定在适当情况下,个人信息处理者应当将个人信息保护影响评估情况向个人信息主体或者相关代表征求意见。目前,我国个人信息保护影响评估制度缺乏向公众强制披露的机制。为增强个人信息保护影响评估的透明度,我国个人信息保护影响评估应当明确在不影响个人信息处理者的商业秘密、操作安全以及公共利益的前提下,个人信息处理者应当公开个人信息保护影响评估报告,充分吸纳各方意见,根据风险程度与采取措施的有效性,设计解决方案或者优化处理流程以消除或者减轻个人信息处理风险。2.合规评估
个人信息保护影响评估的首要功能是合规检验。违法违规处理是个人信息处理的最大风险,合规评估的功能是对个人信息处理活动的重新校准。合法性、正当性、必要性是个人信息保护影响评估的首要考量因素。收集、存储、传输、利用、销毁等活动不满足合法性、正当性和必要性的要求,个人信息处理者不得处理个人信息,而无须再考虑风险大小及其风险是否可控。合法性是指个人信息处理应当根据我国法律规定的原则、规则或者我国缔结或者参加的国际条约、协定进行,不能违反法律的强制性规定;正当性是指处理个人信息的目的和手段应是合理的、具有正当性的,不得违背公序良俗。目的正当要求个人信息处理应当以增进个人利益或者社会公共利益为目的,手段正当要求个人信息处理应当以符合社会公众期待的合理手段进行,个人信息处理者不得通过误导、欺诈、胁迫等方式处理个人信息。必要原则要求处理个人信息的范围、精度、频率等方面不得超过合理限度。个人信息处理限定在必要的范围内的原因在于算力增强导致“大数据”变为“小数据”,个人信息被滥用的门槛降低但危害后果更加严重。必要性可以最大限度地减少个人信息处理活动对国家安全、社会公共利益和个人信息权益的威胁。3.风险评估
个人信息保护影响评估是基于风险路径的制度安排,其意义在于将个人信息保护的价值更加结构化地嵌入处理活动中。影响个人信息安全风险的主要因素有两个:一是个人信息的重要性;二是个人信息面临的各种威胁。风险评估重点围绕个人信息的重要性和面临的各种威胁进行。个人信息的重要性主要从数量、种类、敏感程度等维度进行考量。通过评估个人信息的规模、范围、种类和敏感程度判断个人信息的价值进而确定个人信息被窃取、被滥用的风险程度。数据安全威胁包括内部人员窃取个人信息或者因过失导致个人信息泄露等内部威胁,也有物理环境影响导致的个人信息毁损,技术因素导致个人信息泄露、丢失、被篡改等,管理不当引发的个人信息滥用等问题。风险评估在判断个人信息的重要性、面临威胁的基础上,评估风险防控措施是否有效,最终判断个人信息处理行为对自然人权利和自由以及公共利益、国家安全造成潜在危害的可能性。如果评估结果表明个人信息处理风险可控,个人信息处理者可继续处理行为;如果风险评估结果表明个人信息处理的风险处于不可控的状态,个人信息处理者应当在处理之前向个人信息监管部门进行咨询或者寻求技术指导,个人信息监管部门应当对个人信息处理者进行指导监督,直至风险处置措施足以防控处理风险。
(三)技术嵌入:个人信息处理“三同步”要求
个人信息处理“三同步”要求是指个人信息处理者在系统开发时,应当将个人信息保护要求嵌入产品或者服务的每项功能中,确保个人信息安全措施同步规划、同步建设、同步使用。个人信息处理“三同步”要求是“通过设计保护个人信息”在中国语境下的法律表达。“通过设计保护个人信息”的前身是加拿大渥太华省信息与隐私委员会前主席安·卡沃基安提出的“通过设计保护隐私”概念。GDPR对通过设计保护隐私规则进行了创新,将个人信息保护影响评估与通过设计保护隐私规则有机结合起来。GDPR第25条要求个人信息处理者在进行个人信息保护影响评估的基础上,采取适当的技术措施和组织性措施,如匿名化、数据最小化等,以有效保护数据安全。1.“三同步”的功能价值
技术和应用创新的初衷是为了更好地服务人类生活,产品设计在此过程中发挥着关键作用。但是,数字技术在广泛应用过程中也产生了很多与科技向善背道而驰的问题。部分App运营者为了追求商业利益或者获取数据资源,在产品、服务、应用等设计环节以尽可能多地收集个人信息为导向。为了增强用户黏性或者对用户进行精准画像,对用户个人信息进行过度和非必要的处理,导致信息茧房、大数据杀熟、网络成瘾等乱象丛生。防控而非放任个人信息处理风险不断攀升是个人信息处理“三同步”要求的核心理念。个人信息处理者可以从一开始就将个人信息保护的需求通过设计嵌入系统之中,成为系统核心功能的一部分,成为商业实践的默认规则,给予个人信息全生命周期的保护。个人信息处理的“三同步”要求可以激活个人信息处理者内部的“自我规制”机制,增强其内部的组织控制和行为规范化程度,最终实现将抽象的个人信息保护原则动态地、合比例地落实到具体场景中的目标。通过制度设计使个人信息处理者作出内部式的、自我规制性质的回应,让系统的开发者和制造者承担更多保护用户个人信息的职责,从源头上抑制科技伤害个人信息安全的能力。“三同步”要求有助于提升用户对企业特别是互联网企业的信任和信心。有研究显示,更强的信任度可以使企业的利润率增加。从成本控制的角度来说,践行“三同步”要求的个人信息投入成本主要集中在产品开发和产品设计阶段,其后续的投入要远远低于传统保护方式的成本。2.“三同步”的产品设计要求
个人信息保护是一项系统工程,需要综合技术代码、工作流程、管理机制等嵌入到技术应用、商业模式和网络基础设施的设计和运行当中。具体而言,个人信息收集、存储、传输、挖掘与利用、对外提供以及销毁等环节的保护需求应当从一开始就通过设计嵌入系统之中,确保安全防护措施贯穿于个人信息的整个生命周期。开发、设计、产品等业务团队应当与法务团队、合规团队相互合作,将个人信息保护要求嵌入产品或者应用的设计、开发、上线运行和更新等整个生命周期。个人信息处理的“三同步”要求不仅适用于新产品的开发、设计和运维,也适用于已经上线运行的系统。对没有嵌入个人信息保护要求的老旧系统,个人信息处理者应当遵循安·卡沃基安和玛丽琳·珀尔瑟提出的隐私保护再设计理念,在评估现有系统不足的基础上,通过“再设计”将个人信息保护要求嵌入、整合至现有系统中。个人信息处理者事先需要考量个人信息处理的性质、范围、目的以及实施成本等一系列因素,采取合适的技术措施,实现安全技术措施与风险程度相适应。个人信息处理者可以依据用户对风险的好恶程度和承受能力对用户进行“分类分级”,在产品设计中采取不同的预设机制,如向不同的用户提供定向推送默认开启或者默认关闭的功能设置。通过不同的“默认设置”构建方便用户使用的用户友好型环境,使风险承受能力不足的用户得到“自动”保护。对风险承受能力较低的用户而言,即便用户没有特地采取自我保护行为,其个人信息权益亦不致受到侵害;而风险承受能力强的专业用户不受“个人信息保护默认功能”的限制,无须频繁开启各项隐私保护设置,从而能够流畅地使用产品的各项功能。3.“三同步”的具体展开——以定向推送为例
个人信息收集环节。个人信息处理者应当在收集个人前进行充分地信息披露确保个人信息处理过程中的透明度。通过让个人信息主体充分了解后台处理的流程以及个人所面临的风险,降低个人信息处理者与个人信息主体之间信息不对称的程度,确保个人信息主体作出理性的同意决定。具体而言,个人信息处理者在通过个人信息处理规则详细披露个人信息处理各个环节、个人信息主体的权利及其行使权利的方式、个人信息主体所面临的风险以及救济途径、措施的基础上,个人信息处理者应当定期公布自评估报告,将其处理过程中的风险及其处置情况向社会公示。在通过信息披露义务增加个人信息处理者的自我约束感的同时,个人信息处理者应当将个人信息保护作为自动化收集的默认规则,充分尊重用户个人意愿,在用户未明确表示同意时或者用户未作出任何放弃个人信息的选择时,收集、处理个人信息以及定向推送等选项应当处于默认关闭状态。个人信息存储环节。个人信息存储环节的共性难题是,在缺乏先验知识的条件下,如何应对网络空间基于未知漏洞后门、入侵等未知安全威胁引发的大规模个人信息泄露。为有效降低个人信息泄露风险,个人信息存储应当遵循最小范围、最短期限原则,即能通过共享个人信息实现处理目的的,应当采用在线共享而非存储的方式进行处理;处理目的实现或者丧失处理的合法性基础时,个人信息处理者应当及时删除个人信息或者对个人信息进行匿名化处理。此外,个人信息处理者可以采取对存储的个人信息进行匿名化处理、加密处理、用户身份认证和权限控制、审计追踪以及攻击监测技术等,防止个人信息发生未经授权的访问。以访问控制为例,个人信息处理者必须确保在默认情况下个人信息不会被无限制地访问。为有效隔离数据汇聚的风险,敏感个人信息与非敏感个人信息应当分开存储,并对敏感个人信息进行加密处理;个人行为信息与身份信息应当分开存储。最后,个人信息处理者应当建立健全个人信息安全应急处置机制,在发生个人信息泄露时,严格按照个人信息保护法第57条的规定履行个人信息泄露通报义务。用户画像与定向推送。利用泛在网络产生的数据关联性(大数据根本特征)对潜在个体进行分析成为对个人权益最大的威胁。个体标识符是网络环境对用户分类的便捷工具,直接或唯一性标识符具有明显的指示和关联效果,是识别分析风险产生的“基础”。在识别分析过程中,个人信息处理者应当保障个人信息主体对其生成“唯一标识符”的反对权,同时采取有效措施限制个体标识符的自由流通。个人信息处理者应当在个人身份信息和行为信息之间建立防火墙。以个人面部识别信息为例,基于身份验证目的收集个人面部识别数据的,个人信息处理者不得关联比对本人的行为、财产信息挖掘本人的隐私、心理特征、爱好、健康状况、宗教信仰等;非基于身份验证目的收集个人面部识别数据的,个人信息处理者不得关联比对本人的其他信息确定个人主体身份。此外,个人信息处理者不得挖掘个人信息主体的个人隐私,特别是不得利用用户的敏感个人信息进行个性化推荐。最后,个人信息处理者应当为用户提供便捷的关闭定向推送功能的选项。个人信息删除环节。除个人信息处理目的已实现或者不再必要以及存储期限届满外,在个人信息主体终止服务或者个人注销账号,以及因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经个人同意的个人信息时,个人信息处理者应当及时删除已收集的个人信息。因技术原因导致个人信息无法删除或者需要耗费巨大成本的,个人信息处理者应当对个人信息进行封存处理,即不得开展除存储和采取必要的安全保护措施之外的处理。就删除范围而言,除基于定向推送目的收集的原始数据外,也包括个人标签、个人消费倾向和喜好等衍生数据。结语万物互联时代,技术创新将人类社会牵引至一个高度复杂且高度不确定性的时代。如何将数字技术这个威胁个人信息权益的最大变量转化为最大的增量,是一个重大的时代命题。个人信息的内生安全机制,将法律与技术这两条平行线推向合作交融进而形成个人信息保护的合力。监管不是管制,也不是简单的管理或监督,监管是通过立法、执法活动而对市场活动主体及其行为进行约束、引导、规范的直接干预活动的总和。个人信息安全的内生机制并不否认个人信息的行政监管,相反,合理而适度的执法威慑水平显得尤为关键。随着威慑水平的提高,个人信息保护责任履行得更到位,个人信息处理者会适当提高其预防成本,从而减少个人信息受侵害带来的社会净损失。