大數(shù)據(jù)時代背景下個人信息保護(hù)行業(yè)自律面臨的挑戰(zhàn)

隨著大數(shù)據(jù)時代的到來，大數(shù)據(jù)技術(shù)為經(jīng)濟(jì)社會發(fā)展帶來了創(chuàng)新動力的同時，對個人信息保護(hù)帶來了前所未有的挑戰(zhàn)。本文回顧了美國隱私保護(hù)行業(yè)自律發(fā)展歷程，分析了大數(shù)據(jù)時代下美國隱私保護(hù)行業(yè)自律模式衰落的原因，并總結(jié)經(jīng)驗，提出了我國加強個人信息保護(hù)的監(jiān)管措施建議。

一、美國隱私保護(hù)行業(yè)自律的興衰史

美國隱私保護(hù)行業(yè)自律始于1997年。1997年至2007年是美國隱私保護(hù)行業(yè)自律發(fā)展的黃金十年。這一時期，各行業(yè)明顯感受到聯(lián)邦層面加強隱私保護(hù)的立法趨勢，為了避免受到強制性監(jiān)管，隱私保護(hù)行業(yè)自律模式迅速鋪開，涌現(xiàn)了大量行業(yè)自律組織與認(rèn)證機(jī)構(gòu)。

2000年前后是個人隱私保護(hù)行業(yè)自律發(fā)展的頂峰，產(chǎn)生了大批具有代表性的行業(yè)自律組織，包括：個人參考服務(wù)組織[1]、隱私領(lǐng)導(dǎo)倡議[2]、在線隱私聯(lián)盟[3]、網(wǎng)絡(luò)廣告倡議[4]、BBBonline隱私計劃[5]等?？陀^上來說，這一時期有限的政府資源，很難有效覆蓋各行業(yè)，政府不得不依靠行業(yè)自律組織。同時，各隱私保護(hù)自律組織確實制定出臺了較為完善正規(guī)的隱私保護(hù)原則、規(guī)則、標(biāo)準(zhǔn)，建立了較為健全的成員企業(yè)準(zhǔn)入和年審機(jī)制，定期發(fā)布隱私保護(hù)審查報告，并籌措到了組織運轉(zhuǎn)必要的資金支持，滿足了當(dāng)時的隱私保護(hù)現(xiàn)實需求?？傊@一時期的行業(yè)自律組織無論是質(zhì)量上還是數(shù)量上，都代表了美國隱私保護(hù)行業(yè)自律發(fā)展的最高水平，行業(yè)自律的繁榮客觀上彌補了政府監(jiān)管能力的不足，在一定程度上降低了政府投入。

然而，2003年以后，隨著聯(lián)邦貿(mào)易委員會對隱私保護(hù)監(jiān)管興趣的衰退，以及相關(guān)立法政策環(huán)境變化，隱私保護(hù)行業(yè)自律開始走“下坡路”。根據(jù)美國世界隱私論壇發(fā)布的公告，截止到2011年，多數(shù)行業(yè)自律組織已經(jīng)停止工作或銷聲匿跡。以網(wǎng)絡(luò)廣告倡議（Network Advertising Initiative）為例，到2003年成員企業(yè)只剩2家，監(jiān)督和審計工作全部停滯；2008年后，聯(lián)邦貿(mào)易委員會重拾隱私保護(hù)監(jiān)管興趣，但網(wǎng)絡(luò)廣告倡議組織并未因此而復(fù)興。1999年通過的《金融服務(wù)現(xiàn)代化法案》使得金融行業(yè)的隱私保護(hù)行業(yè)自律失去意義，個人參考服務(wù)組織（Individual Reference Services Group）成員企業(yè)不再需要付出昂貴成本履行隱私保護(hù)自律原則和規(guī)則，IRSG成員最少時僅存兩名，并于2001年宣告終止。

二、美國隱私保護(hù)行業(yè)自律衰落原因分析

回顧美國隱私保護(hù)行業(yè)自律組織的興起與衰落，不難發(fā)現(xiàn)與政府監(jiān)管意愿存在著千絲萬縷的聯(lián)系。2008年之后，隨著云計算、大數(shù)據(jù)等信息技術(shù)創(chuàng)新發(fā)展，隱私保護(hù)面臨的挑戰(zhàn)日趨嚴(yán)峻，政府部門監(jiān)管意愿日趨強烈，但美國隱私保護(hù)行業(yè)自律組織并沒有重演2000年的繁榮復(fù)蘇。分析其中原因，主要包括三個方面。

企業(yè)從經(jīng)濟(jì)利益考量缺乏加入行業(yè)自律組織的動力。大數(shù)據(jù)時代，數(shù)據(jù)越來越成為企業(yè)發(fā)展的重要創(chuàng)新動力，個人數(shù)據(jù)被賦予了經(jīng)濟(jì)價值。越來越多的企業(yè)通過個人數(shù)據(jù)獲得經(jīng)濟(jì)利益，遵循隱私保護(hù)行業(yè)自律規(guī)則直接影響到企業(yè)的收入與利潤。

行業(yè)自律組織缺乏對成員企業(yè)的有效約束手段。行業(yè)自律本身的自發(fā)組織性決定了其更多地依靠企業(yè)自覺履行責(zé)任和義務(wù)，行業(yè)自律組織制定的準(zhǔn)入和年審機(jī)制也難以同政府監(jiān)管手段媲美，持續(xù)性發(fā)揮作用。以TRUSTe為例，美國聯(lián)邦貿(mào)易委員會（FTC）在2014年的《隱私和數(shù)據(jù)安全年終報告》中指責(zé)TRSUTe未按照其發(fā)布的認(rèn)證章程履行年檢責(zé)任。自2006年到2013年，超過1000家網(wǎng)站沒有經(jīng)過TRSUTe的年度復(fù)核，卻依然張貼TRSUTe的認(rèn)證標(biāo)志。

政府強化隱私保護(hù)監(jiān)管使得行業(yè)自律失去意義。美國雖然尚未設(shè)立統(tǒng)一的數(shù)據(jù)保護(hù)監(jiān)管部門，但近年來，聯(lián)邦貿(mào)易委員會、聯(lián)邦通信委員會等政府部門從自身職責(zé)出發(fā)，不斷強化隱私保護(hù)監(jiān)管政策，加大監(jiān)督執(zhí)法力度。僅2015年，美國聯(lián)邦貿(mào)易委員會就處理了14起涉及侵害消費者隱私或威脅個人數(shù)據(jù)安全的案件，對涉事企業(yè)處以高額罰款并向社會公示。從現(xiàn)實來看，美國已經(jīng)逐漸意識到單純依靠行業(yè)自律已經(jīng)無法滿足大數(shù)據(jù)時代下民眾對隱私保護(hù)的期待，政府監(jiān)管執(zhí)法逐步替代行業(yè)自律成為保護(hù)體系的核心。

三、大數(shù)據(jù)時代加強個人信息保護(hù)的建議

當(dāng)前，我國個人信息保護(hù)問題日趨嚴(yán)重，個人信息非法買賣黑色產(chǎn)業(yè)鏈日益猖獗，已成為社會關(guān)注焦點，上述美國隱私保護(hù)行業(yè)自律模式的探索經(jīng)驗對我國構(gòu)建完善大數(shù)據(jù)時代下的個人信息保護(hù)體系有著借鑒意義。

一是立足大數(shù)據(jù)技術(shù)、業(yè)務(wù)發(fā)展現(xiàn)狀、盡快完善個人信息保護(hù)規(guī)定?！峨娦藕突ヂ?lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》發(fā)布于2012年，其中內(nèi)容相對原則，需要進(jìn)一步細(xì)化完善，方能有效應(yīng)對當(dāng)前大數(shù)據(jù)應(yīng)用引發(fā)的個人信息安全風(fēng)險。考慮到當(dāng)前個人信息保護(hù)形勢嚴(yán)峻，應(yīng)從嚴(yán)制定相關(guān)具體規(guī)定或條款，劃定安全“紅線”。

二是抓住數(shù)據(jù)利用和共享合作等關(guān)鍵環(huán)節(jié)，加強個人信息保護(hù)監(jiān)管。美國前期主要依賴行業(yè)自律的做法不足以約束和規(guī)范企業(yè)收集、使用個人信息的行為，需要依法加強行政監(jiān)管，才能切實督促企業(yè)落個人信息保護(hù)責(zé)任和義務(wù)。在實際監(jiān)管過程中，可以借鑒美國應(yīng)對大數(shù)據(jù)時代下用戶隱私挑戰(zhàn)的先進(jìn)做法，將數(shù)據(jù)利用和共享作為監(jiān)管重點，對企業(yè)的個人信息開發(fā)利用、數(shù)據(jù)外包服務(wù)的使用、數(shù)據(jù)共享合作加強安全監(jiān)管。

三是加強對企業(yè)違法違規(guī)行為執(zhí)法調(diào)查和處罰力度。加大對個人信息泄露等安全事件的執(zhí)法調(diào)查，依法對涉事企業(yè)的違法違規(guī)行為進(jìn)行處罰，并向社會公示處罰結(jié)果。綜合運用通報約談、信用體系等柔性監(jiān)管手段強化個人信息保護(hù)監(jiān)督和處罰力度，增加企業(yè)違法違規(guī)成本，督促企業(yè)落實個人信息保護(hù)的責(zé)任和義務(wù)。