利用信息技术加强个人信息保护半岛bandao体育
半岛官网互联网应用不断迭代更新让个人信息收集的场景无所不在,收集的信息种类不断增多。大数据等信息挖掘处理技术的进步让个人信息沉淀的价值得以更多的发掘呈现出来。对信息技术发展应用规律的掌握是进行个人信息保护与利用的立足点和出发点。
从微观的角度来说,技术是人类使用的工具,是一种器具。马克思曾将技术描述为人类借以进行劳动和生产的工具。技术是一种社会生产工具,可纳入“劳动资料”的范畴。这种工具论的认识反应了技术所具有的自然物质形态半岛bandao体育,作为社会的生产力,体现了技术的自然属性。
从历史社会的视角来说,技术是一种社会范畴,有其特定的历史性质和社会形式。技术作为人与社会互动的中介,反映出不同社会历史阶段中人与社会的关系。技术是历史的产物,反映特定的社会关系,不可能离开特定的历史背景和社会环境来孤立地看待技术。技术具有社会属性,反映一定社会阶段,人的生活方式以及社会关系。
作为社会整体的技术,是一个不断发展的系统,与制度类似,因而具有强烈的路径依赖性,常将人类“锁入”既有的技术路径或制度路径。从这个角度来说,技术是一个结构系统半岛bandao体育,反映在一个时期内,相对稳定的一整套相互依赖关系。所有技术都是旧的技术的组合,任何现有技术又都是技术系统的部件。技术包含技术,已有的技术产生出新技术,新的技术由旧的技术发展而来。技术具有自我进化功能,可以不断的自我创生。技术的进化和创新就是从一个技术体系过度到另一个技术体系的可能性。
基于此,斯蒂格勒提出,由于技术所具有的进化的动力,因此技术成为区别于无机物和有机物的第三类存在物,即属于技术物体一类的有机化的无机物。这些有机化的无机物贯穿着特有的动力。技术作为一种“外移的过程”,就是运用生命以外的方式来寻求生命。而生命一旦成为技术,也就成为了滞留的有限性。因此,在一定程度上,技术还具有生物属性。
传统技术被认为是解放人类的工具,技术被视为一种用具或手段,归入非人性的范畴,社会也形成了一种将人与机器相对立的文化。随着现代技术的诞生,人和技术的关系发生了根本性变化。海德格尔和哈贝马斯都认识到了技术现代性的矛盾:技术从表面看是人类的力量,而实际上它似乎对它的力量(也可以是它的行为)自治,以致妨碍了人的行为,即妨碍传播、决策和个体化。技术有其自身的驱动力,有不断进化的内驱力,特别是现代信息技术的出现,使其从解放人类的工具,变成影响人类甚至控制人类的工具。正如哈贝马斯所言,现代技术力量出现倒置,技术由本来在人和自然关系中解放人类的力量,变成一种政治统治的手段。也就是说,技术成为政治统治的隐蔽系统。技术成为资本控制社会的隐蔽力量。
传统社会和现代社会的区别就在于:在传统社会中,交往行动是社会权威的基础,而在现代社会中,所有的合法性都被技术和科学的理性所支配,这种理性逐渐渗透到生活的各个领域,包括所谓的“交往”领域在内,以至交往丧失了自身的特性。工业化时代的人,本身也依赖技术体系,人与其说是利用技术,不如说是为技术所用。因而人本身成了技术体系的志愿、附属、辅助、甚至是它的手段。因此,信息技术的应用,使得代码和算法控制我们所接触的信息,塑造我们的头脑以及对生活的想象,渗透到我们生活的各个领域,直接或间接影响我们的行为和判断,重塑社会交往规则和社会规范、道德规范,让我们被代码和算法所支配。代码和算法也由此产生了权力,信息技术因此而具有了政治属性。
信息技术在个人信息治理中起着积极作用。一方面,信息技术作为通用技术,具有很强的兼容性和包容性,可以服务于截然不同的目标。另一方面,从信息活动的全生命周期来看,个人信息从收集、存储、处理到删除的过程都必须依托信息基础设施以及经编程的指令、代码与算法,信息科技构成了个人信息的微观架构,对个人信息处理活动发挥着实质上的规制作用。
是否存在用技术工具解决个人信息保护利用问题的可能性呢?信息采集技术的发展和应用使人越来越多地暴露在网络之中,成为“裸奔”的个体。人脸识别技术、虹膜、接入芯片、人机接口等技术的应用使采集的信息涉及越来越多的生物特征信息、遗传信息等个人敏感信息。信息处理技术的发展可以更多的释放个人信息的潜力和价值,同时也会让以往的个人信息保护技术逐渐失灵。个人信息保护的加强让一些原本处于暗处的个人信息处理技术逐渐进入监管的视野和范围。监管部门开始尝试运用技术工具来进行调整个人信息治理的范围。可以预测的是,技术工具的运用将越来越频繁,技术工具的运用在个人信息的治理中将占越来越多的比重和更加重要的地位。
企业对个人信息保护技术的升级多源于外部压力,包括数据合规的压力,政府监管的压力,以及公众个人信息保护意识的提高。对个人信息处理技术的升级多源于技术自身的迭代和对商业利润的追求。很多时候信息保护技术的升级多源于对事故的补救,例如数据泄露、系统安全的升级。先进个人信息保护技术的应用依赖于技术应用的成本,技术落地的场景,技术的适用性,技术商业化的难度等。
可以确定的是,信息技术工具在多大程度上能够解决个人信息治理的问题,关键在于我们在多大程度上能够预见或引导技术进化的力量。技术的进步迭代必然导致技术与其他治理工具的互动博弈,打破现有平衡,新技术产生新问题,影响市场和经济利益,传导给公众和社会,引发政府监管,这种监管压力反作用于技术,引导技术的修缮更新,不断循环,最终得以达成一个动态平衡的系统。
“经设计保护隐私”这一术语最早出现在1995年荷兰数据保护局与加拿大安大略省信息与隐私专员联合发布的研究报告《隐私增强技术:匿名之路》中,由卡沃基安博士首先提出。2009年1月半岛bandao体育,加拿大安大略省信息和隐私专员正式发布题为《通过设计保护隐私》的官方指南,该理念逐渐引起理论界和实物界重视。2010年10月,第32届数据保护与隐私专员国家会议在耶路撒冷召开,大会通过《关于通过设计保护隐私的决议》(ResolutiononPrivacybyDesign),明确指出,“通过设计保护隐私”是隐私保护的重要组成部分,各国数据保护与隐私专员应当积极促进其各自司法辖区内制定隐私政策和立法时纳入“通过设计保护隐私”的基本原则。
“经过设计保护隐私”的主要内容包括七项基本原则:第一,化主动为被动,防患于未然。第二,隐私作为默认机制。第三,将隐私融入设计之中半岛bandao体育。第四,全功能——正和而非零和。第五,端到端安全——全生命周期保护。第六,可见性和透明度——保持开放。第七,尊重用户隐私——以用户为中心。“经过设计保护隐私”逐渐获得国际社会的广泛认可,成为个人信息保护的一项基本原则,并在世界许多重要立法中固化下来,发展形成了“经设计的个人信息治理”制度。
相比起传统的通过事后手段来对个人信息损害补救的治理方式,“经设计的个人信息治理”是一种搭建良好生态环境的个人信息治理制度。经设计的个人信息治理强调从整个系统运行的视角出发来进行个人信息保护,重视安全、透明、可信赖的个人信息生态系统的搭建,将个人信息保护作为信息技术系统和商业运作体系中的基础元素,让个人信息保护的价值理念成为企业产品、服务、管理流程中不可或缺的组成部分。
经设计的个人信息保护是要求将保护理念贯穿个人信息活动的整个生命周期,从信息收集、存储、传输,到信息分析、加工、转移,再到信息最终删除,所有的处理环节都要进行事先设计和完整规划,让个人信息保护在处理活动的整个过程中做到安全可控,实现端对端的安全。在信息收集环节,灵活运用数据溯源、数据标识、数据安全分级等信息技术来保证合法正当、目的明确、最小必要、公开透明的要求。在信息存储环节,综合采用信息加密、数据备份、系统安全等级保护等技术来确保信息安全的目的。在信息传输环节,可采用加密传输技术、数字证书技术等技术保障传输环节的完整和可信任。在信息处理使用环节,可采用数据访问控制、共享审查等技术防止信息泄露和未经授权的使用等。在信息删除环节,则可采用消磁法、粉碎法、数据覆写等技术销毁信息。
“经设计的个人信息治理”其核心思想是变被动保护为主动保护,强化个人信息侵害风险的预防而非补救。即在可能的情况下,防患于未然而不是坐视不管,在侵犯个人信息权益的事件发生之前就进行必要的预测和预防。“经设计的个人信息治理”既不是静待风险成为事实,也不提供侵犯行为发生后的补救措施,其目的是预防上述情形真实发生。
为了达到此目的和效果,个人信息处理者应尊重信息主体的基本权利并采取适当的保障措施,并产品或服务开发之始变考虑个人信息保护的问题,要求设计开发团队相互配合合作,重视产品个人信息保护功能的实现。处理者应主动致力于构建一个用户友好型系统环境,实现设想所有可能出现的情况,并设计应对的措施,而不是当个人信息侵害发生并成为事实之后半岛bandao体育,才讨论处置措施、责任归属与应对方案。
将个人信息保护融入产品设计意味着对企业内部流程的重塑和重构。通过设计保护个人信息涵盖了个人信息从摇篮到坟墓的全过程,并提供一套安全的信息生命周期管理机制。建立以用户为中心的产品设计理念和企业服务理念,提供强有力的隐私默认设置、适当的通知、授权用户友好选项等措施,最大限度地维护用户的个人利益。在企业内部建立公平、透明、合法的价值理念,坚持以人为本的设计原则,将用户的需求作为产品开发和服务提供的出发点和落脚点。