数字社会必须处理好个人隐私保护的问题,这也是数字治理本身的内容。
有学者从信息隐私权角度分析隐私的益处和坏处,在数据成为生产要素的今天,过度限制信息使用会影响人们通过信息分享造福社会,这不符合互联网精神,而个人信息被滥用、个人隐私被侵犯也会使得社会环境恶化,保持数字社会良性运行就要找到个人信息使用和隐私的边界。
无论面对的问题简单还是复杂,围绕着个人信息的数字治理不外乎这么几个过程,一是信息的收集,二是信息的储存,三是信息的加工和处理,四是信息的使用,每一个过程都可能涉及信息的隐私化和隐私的信息化,关系到是否侵犯个人隐私。隐私信息化的过程相对简单,容易引起人们的注意,但信息隐私化因其过程复杂,信息处在动态过程不容易把握而经常被忽视,因此更应该重视。
数字社会下的个人信息保护是一个难题,全世界都在试图解决这一问题。2018年欧盟的《通用数据保护法案》开始实施,2019年11月,欧盟基本权利局又发布了《面部识别技术:执法中的基本权利考虑》报告,提出人脸识别技术应用前必须有清晰、详细的法律框架来监管人脸识别技术的部署和使用。
但是,由于人脸识别技术应用场景的多样性和复杂性,清晰、详细法律的制订是一件非常困难的事情,这一过程需要多学科、多领域学术性和应用性的深入研究和探索。
多年来欧盟以及一些发达国家一直在探索这个问题,欧盟2018年推出《通用数据保护法案》之前,早在1995年就出台了《数据保护指南》,2020年1月1日《加利福尼亚州消费者隐私法案》也开始生效了,因此,国内的相关法律也应该尽快出台。
但可以预料,无论国外还是国内,即使出台全面的数据保护法律,也不一定能够应对所有的现实问题,信息社会和智能社会下新的问题还会不断涌现,数据治理与隐私保护的矛盾将会长期存在,但不管面对的问题如何改变,都应该遵循一些基本原则。
第一个原则是最低限度原则。任何组织和个人在面对个人信息时都要遵守这一原则,能不收集的信息就不收集,能少收集就少收集。
第二个原则是高门槛准入原则。对于涉及个人信息收集的业务开展必须有严格的准入制度,对于个人信息的储存、数据安全和业务必要性进行严格审核。
第三个原则是相关利益者知情原则。当事者要把收集个人信息的目的,信息收集的方法,信息储存、信息加工、信息使用的权限和边界,信息使用的时间,信息销毁等做明确的公示,确保利益相关者的知情权。
第四个原则是社会许可原则。涉及公共服务的项目要在社会成员广泛参与和讨论下,在民众充分知情和多数成员同意下才能实行。
第五个原则是事后补救原则。在信息收集、储存、处理和应用过程中对于可能的风险是否有补救措施,无补救措施则不可实行。
第六个原则是目的和结果一致性原则。个人信息的收集、使用的目的和结果必须一致,不能随意改变。
第七个原则是明确的责任承担原则。信息收集方要明确收集信息的储存、保护和使用的风险,明确这一过程要承担的全部责任,无法承担责任则不可以实施。第八个原则是时限原则。对于所收集的信息严格设定使用和保存时限,在收集信息之前就要有信息销毁的约定。
当然,仅有这些原则是不够的,应该根据数据治理和隐私保护实践做必要的调整,应该通过法治化途径使一些原则程序化,形成可操作的严格的规程。只有在重新认识数字社会隐私概念的基础上,通过建立产权清晰的制度框架,企业才能合法收集、利用数据,个人的信息保护诉求才具备治理基础。当下要杜绝个人信息被滥用和个人信息的无界限收集,严格厘清信息使用和加工的边界,严禁针对个人信息的过度整合,营造良好的信息使用环境,提高民众隐私安全感,让社会大众可以放心使用信息资源,融入数字社会。
(作者为中国社科院社会学所研究员)