在信息时代,个人隐私的保护成为经济发展、产业升级和社会文明提升的一个瓶颈,对个人隐私进行有效保护既在于能够获取个人信息的企业的自律和行业规定,也在于政府的监管。中国首次针对互联网产品和服务进行个人隐私评审,就是政府监管和行业自律相结合的良性互动,也是在保护个人隐私上迈出了可喜的一步。
保护个人隐私当然是一个渐进的过程,因此,理论探索和实践完善既要互动,也要同步。从理论上看,这次对互联网产品和服务企业的评审就是基于对个人隐私的认定,无论是伦理、法学理论的认定,还是法规上的规定。
《信息安全技术、公共及商用服务信息系统个人信息保护指南》明确了个人信息分为个人一般信息和个人敏感信息。前者是指正常公开的普通信息,例如姓名、性别、年龄、爱好等;后者则指一旦遭泄露或修改,会对标识的个人信息主体造成不良影响的个人信息,如身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。因此,“个人信息保护指南”要求信息企业遵循目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等8项原则。
然而,在理论上能充分认识个人敏感信息的企业和机构并不多,因此在个人隐私条款的制定和实施方面并不尽如人意。其实,从伦理和法律上看,个人敏感信息是最为隐秘的信息,与个人基因信息同属于极为隐秘的信息。但是,在认知上,很多人并没有把收集到的个人信息当成最为重要的个人隐私来保护。
欧盟的《个人数据保护指令》(Directive 95/46/EC on the protection of personal data)早就把基因和相关信息作为敏感信息加以保护,并且在判断信息敏感与否上,考察的是信息和信息源之间的密切程度,如人类健康、宗教、种族、犯罪记录或性取向有关的信息都被视为敏感信息。因此,在认知上,中国有必要进一步深化个人敏感信息的定义和范围,做到从理论上更好地指导实践,以保护个人隐私。
另一方面,在保护个人隐私的实践中,如何让信息技术企业按法律和行规来严格落实,又有很大的空间,既要落到实处,又要逐渐完善。“个人信息保护指南”中的两项原则——公开告知、个人同意——其实就是知情同意。知情同意别的不讲,从本质上看是信息收集和使用者(企业)与信息提供者(用户和公众)的博弈。
由于信息不对称,用户和公众始终处于弱势。例如,隐私条款太晦涩太冗长,如同天书,让用户难以读懂,也没有耐心读下去;有的甚至根本没有隐私条款;还有的隐私条款具有模糊性和随意解释性,也对用户未来保护自己的隐私留下隐患。
现在,信息技术产业正方兴未艾,如果现在就置于良好的管理之下,而且信息企业能充分认识到保护个人隐私不只是保护用户的利益,也是在奠定自己发展的基础,就会产生良性循环。而在此次评审中一些好的企业就是能充分理解个人隐私,并意识到保护个人隐私的重要性,如支付宝将其《隐私条权政策》原本冗长而晦涩的表述改成通俗易懂的话语,对关键词,例如敏感信息等,专门做了解释,并且展现形式可扩展收缩,点击目录可以跳转到具体条款,易于用户获取和阅读。
当所有的信息技术服务企业都这么做的时候,也就是信息技术、产业和公众、社会共赢局面的到来。
上一篇:引导互联网医疗健康要有序发展