严格厘清信息使用和加工边界 提高民众隐私安全感
数字社会下的个人信息保护是一个难题,全世界都在试图解决这一问题。2018年欧盟的《通用数据保护法案》开始实施,2019年11月,欧盟基本权利局又发布了《面部识别技术:执法中的基本权利考虑》报告,提出人脸识别技术应用前必须有清晰、详细的法律框架来监管人脸识别技术的部署和使用。但是,由于人脸识别技术应用场景的多样性和复杂性,清晰、详细法律的制订是一件非常困难的事情,这一过程需要多学科、多领域学术性和应用性的深入研究和探索。多年来欧盟以及一些发达国家一直在探索这个问题,欧盟2018年推出《通用数据保护法案》之前,早在1995年就出台了《数据保护指南》,2020年1月1日《加利福尼亚州消费者隐私法案》也开始生效了,因此,国内的相关法律也应该尽快出台。但可以预料,无论国外还是国内,即使出台全面的数据保护法律,也不一定能够应对所有的现实问题,信息社会和智能社会下新的问题还会不断涌现,数据治理与隐私保护的矛盾将会长期存在,但不管面对的问题如何改变,都应该遵循一些基本原则。
第一个原则是最低限度原则。任何组织和个人在面对个人信息时都要遵守这一原则,能不收集的信息就不收集,能少收集就少收集。第二个原则是高门槛准入原则。对于涉及个人信息收集的业务开展必须有严格的准入制度,对于个人信息的储存、数据安全和业务必要性进行严格审核。第三个原则是相关利益者知情原则。当事者要把收集个人信息的目的,信息收集的方法,信息储存、信息加工、信息使用的权限和边界,信息使用的时间,信息销毁等做明确的公示,确保利益相关者的知情权。第四个原则是社会许可原则。涉及公共服务的项目要在社会成员广泛参与和讨论下,在民众充分知情和多数成员同意下才能实行。第五个原则是事后补救原则。在信息收集、储存、处理和应用过程中对于可能的风险是否有补救措施,无补救措施则不可实行。第六个原则是目的和结果一致性原则。个人信息的收集、使用的目的和结果必须一致,不能随意改变。第七个原则是明确的责任承担原则。信息收集方要明确收集信息的储存、保护和使用的风险,明确这一过程要承担的全部责任,无法承担责任则不可以实施。第八个原则是时限原则。对于所收集的信息严格设定使用和保存时限,在收集信息之前就要有信息销毁的约定。
当然,仅有这些原则是不够的,应该根据数据治理和隐私保护实践做必要的调整,应该通过法治化途径使一些原则程序化,形成可操作的严格的规程。只有在重新认识数字社会隐私概念的基础上,通过建立产权清晰的制度框架,企业才能合法收集、利用数据,个人的信息保护诉求才具备治理基础。当下要杜绝个人信息被滥用和个人信息的无界限收集,严格厘清信息使用和加工的边界,严禁针对个人信息的过度整合,营造良好的信息使用环境,提高民众隐私安全感,让社会大众可以放心使用信息资源,融入数字社会。
(作者王俊秀 为中国社科院社会学所研究员)
声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。