處理好隱私的信息化和信息的隱私化
數字社會必須處理好個人隱私保護的問題,這也是數字治理本身的內容。有學者從信息隱私權角度分析隱私的益處和壞處,在數據成爲生產要素的今天,過度限制信息使用會影響人們通過信息分享造福社會,這不符合互聯網精神,而個人信息被濫用、個人隱私被侵犯也會使得社會環境惡化,保持數字社會良性運行就要找到個人信息使用和隱私的邊界。無論面對的問題簡單還是複雜,圍繞着個人信息的數字治理不外乎這麼幾個過程,一是信息的收集,二是信息的儲存,三是信息的加工和處理,四是信息的使用,每一個過程都可能涉及信息的隱私化和隱私的信息化,關係到是否侵犯個人隱私。隱私信息化的過程相對簡單,容易引起人們的注意,但信息隱私化因其過程複雜,信息處在動態過程不容易把握而經常被忽視,因此更應該重視。
數字社會下的個人信息保護是一個難題,全世界都在試圖解決這一問題。2018年歐盟的《通用數據保護法案》開始實施,2019年11月,歐盟基本權利局又發佈了《面部識別技術:執法中的基本權利考慮》報告,提出人臉識別技術應用前必須有清晰、詳細的法律框架來監管人臉識別技術的部署和使用。但是,由於人臉識別技術應用場景的多樣性和複雜性,清晰、詳細法律的制訂是一件非常困難的事情,這一過程需要多學科、多領域學術性和應用性的深入研究和探索。多年來歐盟以及一些發達國家一直在探索這個問題,歐盟2018年推出《通用數據保護法案》之前,早在1995年就出臺了《數據保護指南》,2020年1月1日《加利福尼亞州消費者隱私法案》也開始生效了,因此,國內的相關法律也應該儘快出臺。但可以預料,無論國外還是國內,即使出臺全面的數據保護法律,也不一定能夠應對所有的現實問題,信息社會和智能社會下新的問題還會不斷涌現,數據治理與隱私保護的矛盾將會長期存在,但不管面對的問題如何改變,都應該遵循一些基本原則。
第一個原則是最低限度原則。任何組織和個人在面對個人信息時都要遵守這一原則,能不收集的信息就不收集,能少收集就少收集。第二個原則是高門檻准入原則。對於涉及個人信息收集的業務開展必須有嚴格的准入制度,對於個人信息的儲存、數據安全和業務必要性進行嚴格審覈。第三個原則是相關利益者知情原則。當事者要把收集個人信息的目的,信息收集的方法,信息儲存、信息加工、信息使用的權限和邊界,信息使用的時間,信息銷燬等做明確的公示,確保利益相關者的知情權。第四個原則是社會許可原則。涉及公共服務的項目要在社會成員廣泛參與和討論下,在民衆充分知情和多數成員同意下才能實行。第五個原則是事後補救原則。在信息收集、儲存、處理和應用過程中對於可能的風險是否有補救措施,無補救措施則不可實行。第六個原則是目的和結果一致性原則。個人信息的收集、使用的目的和結果必須一致,不能隨意改變。第七個原則是明確的責任承擔原則。信息收集方要明確收集信息的儲存、保護和使用的風險,明確這一過程要承擔的全部責任,無法承擔責任則不可以實施。第八個原則是時限原則。對於所收集的信息嚴格設定使用和保存時限,在收集信息之前就要有信息銷燬的約定。
當然,僅有這些原則是不夠的,應該根據數據治理和隱私保護實踐做必要的調整,應該通過法治化途徑使一些原則程序化,形成可操作的嚴格的規程。只有在重新認識數字社會隱私概念的基礎上,通過建立產權清晰的制度框架,企業才能合法收集、利用數據,個人的信息保護訴求才具備治理基礎。當下要杜絕個人信息被濫用和個人信息的無界限收集,嚴格釐清信息使用和加工的邊界,嚴禁針對個人信息的過度整合,營造良好的信息使用環境,提高民衆隱私安全感,讓社會大衆可以放心使用信息資源,融入數字社會。