数据隐私：概念、原则与边界

### 数据隐私：概念、原则与边界 #### 数据隐私现状与同意机制的困境 在当今互联网时代，我们在使用网络过程中产生的信息价值巨大，使得传统的身份识别因素相形见绌。从法律角度看，这一现象完全扭曲了个人数据的含义和范围。我们的个人信息在不知不觉中，甚至未经同意就在全球范围内流动。 试图通过赋予人们同意他人使用其信息的权力，来让人们掌控自己的信息，这是无法实现的。虽然同意这一概念很重要，选择的能力是自由的体现，但我们甚至无法识别日常生活中自己泄露了哪些个人信息，又怎能决定是否同意他人对这些信息的每一种可能使用呢？同意在过去或许是控制数据处理活动的有效机制，但如今已不再适用。 法律不应将责任强加给个人，而应规范数据使用者。在数据处理决策过程中，个人的作用有限。技术日益复杂，而我们的决策能力却没有相应提升。提供更详细复杂的隐私政策并不能改变这一现状。在保护个人信息和隐私的关键任务中，同意只能起到次要作用。继续将同意置于隐私保护的核心位置，不仅不现实，还很危险，因为这会分散个人、组织和监管机构的注意力。 #### 公平合法的数据处理原则 在数据隐私的诸多概念中，“公平合法”地处理信息可能是最复杂且难以用科学规则或可衡量指标来界定的。公平合法的数据处理概念并非局限于组织认为的“必要”（更多时候是“期望”）处理。经济合作与发展组织（OECD）在《OECD隐私指南》中采纳的公平信息实践原则（FIPPs），为我们审视公平和合法性提供了有用的视角。 以下是FIPPs的主要原则： 1. **收集限制原则**：个人数据的收集应有限制，且应通过合法公平的手段获取，必要时需获得数据主体的知情或同意。不过，在某些执法实践和“国家安全”目的等极少数情况下存在例外。隐私工程师在处理数据时，必须考虑执法请求与该原则可能产生的冲突。 2. **数据质量原则**：个人数据应与使用目的相关，且在必要范围内准确、完整并及时更新。该原则包含“相关性”和“准确性”两个关键概念。数据控制者有责任确保数据的完整性，同时应赋予数据所有者访问、更正或更新数据的权利。数据“完整性”也是安全从业者的核心原则和目标之一。 3. **目的明确原则**：个人数据收集的目的应在收集时明确规定，后续使用应限于实现这些目的或与之不冲突的其他目的，并在每次目的变更时明确说明。该原则为透明度和通知的类型与质量提供了指导。系统或服务的开发者应仔细考虑个人信息在整个生命周期中的使用方式，并提前做好规划。 4. **使用限制原则**：个人数据不应披露、提供或用于《目的明确原则》规定之外的目的，除非获得数据主体的同意或有法律授权。该原则明确了数据处理的限制和数据主体的期望，并为在初始授权未涵盖的情况下增加数据处理的类型、方式和时间提供了条件。 5. **安全保障原则**：个人数据应受到合理的安全保障，以防止数据丢失、未经授权的访问、破坏、使用、修改或披露。任何控制个人信息的实体都必须保护其免受未经授权的访问或处理，这体现了隐私与安全的重叠。 6. **公开原则**：应制定关于个人数据发展、实践和政策的公开政策，应提供便捷的方式来确定个人数据的存在、性质、主要使用目的以及数据控制者的身份和通常居住地。发布隐私政策和声明是实现组织公开性的一种方式。 7. **个人参与原则**：个人有权从数据控制者处确认是否有关于自己的数据；在合理时间内，以合理方式、合理费用获取与自己相关的数据；若请求被拒绝，有权获得理由并提出质疑；有权对与自己相关的数据提出质疑，若质疑成功，有权要求删除、更正、补充或修改数据。该原则与准确性原则密切相关，但在复杂的数据共享和处理环境中，实现这些目标需要大量创新。 下面用mermaid流程图展示FIPPs的主要原则及其关系： ```mermaid graph LR A[收集限制原则] --> B[数据质量原则] B --> C[目的明确原则] C --> D[使用限制原则] D --> E[安全保障原则] E --> F[公开原则] F --> G[个人参与原则] ``` #### 评估数据收集和使用是否“公平合法”的实用方法 可以通过以下两层流程来确定数据是否必要： 1. **第一层**：询问“是否