DPOHUB年度会员,扫码加入!
理论上,个人信息保护领域的共同监管模式能结合政府监管与行业自我监管的优势。至于实践效果如何,本文考察了共同监管模式的欧盟经验,为美国及其他国家实施共同监管模式提供了建议。
The Law and Policy of Online Privacy: Regulation, Self-Regulation, or Co-Regulation?
网络隐私的法律与政策:政府监管、自我监管抑或共同监管?
Dennis D. Hirsch
Seattle University Law Review, Vol. 34, No. 2, 2011
译者:中国人民大学法学院硕士生 余鑫婷 毕坤阳
作者信息
Hirsch教授在美国首都大学和俄亥俄州立大学莫里茨法学院担任双重法学教授,专攻环境法、信息隐私法、物权法和上诉诉讼领域。曾担任首都大学的第一任学院发展副院长,并在圣母大学和德雷克大学法学院担任访问教授。目前的工作重点是高级分析和AI可能产生的风险,及减少风险所需的新法律范式和商业数据伦理实践。
1
文章结构
本文分为以下四部分展开论述。
第一部分,重点突出了互联网对个人隐私造成的严重威胁和重大影响。
第二部分,详细描述了支持和反对政府管制和市场自我监管方法的论点,其中市场自我监管模式包括市场监管与行业自我监管两种模式。
第三部分,结合欧洲数据保护行为准则的实验结果,分析了欧盟和国家的法律框架及存在的问题。
最后,作者提出了进一步研究隐私法律和政策的倡议。
2
文章内容
I、网络对信息隐私的威胁
本部分作者主要描述了互联网企业如何通过网络收集和使用个人信息。搜索引擎、网站是传统的收集网络个人信息的主体。网络服务提供商(Internet Service Providers,ISPs)是当时新兴的收集网络个人信息的主体。微软、AOL等ISPs当时开始试验深度数据包检测(deep packet inspection)。该操作允许ISPs在数据包在互联网上传输时自动检查其内容,以便从中挖掘个人信息。
网站、网络广告商、数据经纪人、二级使用者、政府是主要的几类使用网络个人信息的主体。其中较值得注意的是二级使用者与政府。
FTC调查显示,个人信息数据的二次使用情况十分令人担忧。一些企业可能会利用这些信息制定涉嫌价格歧视的营销策略。雇主也能通过网络数据,在应聘者或受雇者不知情的情况下,获取人们在网上曾透露的购物消费习惯、政治倾向、性取向、婚姻状况、医疗状况等信息,用于人事决策。
网络公司与政府共享用户信息的状况也值得警惕。政府官员可能会要求网络服务提供商提供e-mail地址或IP地址背后的真实身份,或提供用户的网络查询或访问网站的信息。即使唯一罪过只是反对当权者观点的公民的日常活动也可能受到监控。获取网络数据实现的监视程度更甚于窃听电话等传统手段,却无需签发搜查令。
II、政府监管、市场监管和自我调节
作者介绍到在美国,保护网络隐私有两大阵营:一派支持政府监管,另一派则支持市场和行业自律。而共同监管则提供了第三种选择。
i. 政府监管
政府监管的支持者认为,出于对利润的渴望,私人公司必然收集大量网络个人信息。支持者呼吁立法对网络收集个人信息以及发布和使用这些信息设置具体限制。按照典型的美国监管模式,该法律将通过两个阶段形成。首先,国会将通过一项全面而严格的法令。接着,FTC等监管机构将制定实施法律框架的详细规定。
反对政府监管的声音也不在少数,主要观点如下。首先,政府监管是对自由市场竞争秩序的干扰,政府可能“提出不切实际的要求,破坏我们所知的‘免费’互联网,抬高价格,并压制数字创新”。此外,反对者强调互联网技术和商业模式快速变化的本质,认为实施立法的政府监管机构将无法跟上这些变化的步伐,他们制定的规则将很快过时,无法达到预期目的。
美国政府监管模式的代表性尝试:“鲍彻-斯特恩斯“员工讨论草案”
联邦立法者曾提出了数个法案,但是两院都没有通过。一些法案规定了对互联网行业的普遍监管,另一些则更狭隘地关注网站和网络广告。2010年5月4日发布的鲍彻-斯特恩斯“员工讨论草案”即属于后一类。
与传统的政府法规一样,该法案将授权某个机构(此处为FTC)发布其认为必要的法规,以执行该法案的规定,并有权发布对违规行为的处罚。该法案将进一步授权各州州长代表其所在州的公民提起民事强制执行诉讼。如果国会颁布该法案且联邦贸易委员会发布实施条例,该法案可能会准确地构成该方法的支持者所提倡的那种详细的政府法规。
鲍彻-斯特恩斯法案出台后的几天内,就遭到了行业和市场团体的反对。社会的这一反应体现了反对政府监管者一直以来的观点。他们认为,该法案会给仍在努力从2008年经济危机中恢复的企业带来过高的成本。其他人则表示,该法案反映了一种错误的信念,即“国会和监管机构……自以为比市场更懂得保护隐私。若希望“鲍彻-斯特恩斯”法案成为生效的法律,必然要面临一场艰苦的战斗。
ii. 市场和自我监管
政府监管的批评者认为,无论是放任市场自由竞争,还是将自由市场与行业自我监管相结合,都将在保护个人信息方面达成更好的效果。
1、放任市场调整
市场监管模式的支持者认为,放任市场自行发展能达到隐私保护的最佳水平,而政府的管制将会扭曲这一过程。为了在竞争中脱颖而出,互联网企业有动力响应客户的隐私偏好。如果客户未要求互联网公司加大隐私保护力度,说明他们更在意互联网产品的低价属性。
而反对市场监管方案的观点主要关注信息不对称的问题。网络用户通常不知情个人信息被收集的现状,更难以了解广告商、数据经纪人、雇主等等主体如何整合、深度处理并利用他们的数据。这种信息不对称阻碍了用户表达他们对隐私保护的真实偏好,从而阻碍市场做出适当的反应。
2000年,FTC为了评估行业在保护网络消费者隐私方面的进展,调查了美国一众热门网站是否收集个人身份信息,与是否向用户披露收集信息的具体情况。调查显示,大多数热门网站都收集个人信息,但其中近40%没有发布隐私政策。在发布隐私政策的网站中,大多数也没有达到公平信息实践原则(The Fair Information Practice Principles,FIPPs)设定的最低标准。许多网站的隐私政策存在表意不清,并巧妙地隐藏了部分收集信息的情况。此外,不乏网站为用户提供“选择”时采用了模糊性或误导性的表述,并保留了不经通知更改政策的权利。
2、自我监管
部分赞成市场监管模式的人认识到了市场的不完善,而承认需要另有监管措施。但他们依然反对政府直接监管,而主张采取行业自我监管模式。行业自我监管在该领域,即指企业代表在政府很少或不参与的情况下,为其所在行业定义并执行标准的监管体系。
行业自我监管的支持者认为,该模式能在确立保护标准的同时避免政府立法的陷阱。行业成员比其他主体更了解本领域的运营。自我监管的监管成本低、效率高,能将监管重点放在最关键的领域。此外,行业成员更能预测行业的未来发展,从而设计出能适应变化的标准。最后,由同行设计的规则更能得到整个行业的接受与遵守。
行业自我监管的批评者提出了几个反对的论点。首先,企业会将自身利益置于公众利益之上,自我监管标准将不可避免地过于宽松。第二,行业代表没有类似政府罚款或惩罚违法者的权力,缺乏足够的权力或动机促使其同行实施行业标准。第三,与传统的规则制定相比,自我监管过程缺乏透明度,无法充分代表民意。最后,如果不制裁不参与的行业成员,在一些公司努力遵守行业标准,提高公众对行业的信任的同时,其他袖手旁观的公司却能搭上公众信任提升的便车。
互联网隐私的行业自我监管自20世纪90年代到本世纪10年代一直在被实践,并被联邦政府作为保护互联网隐私的主要手段。1997年,克林顿政府宣布,“要使电子商务蓬勃发展,私营部门必须发挥主导作用。”20世纪90年代末,FTC指出“鉴于互联网和计算机技术的快速发展性质,自我监管是确保公平信息做法的侵入性最小和最有效的手段”;“委员会的目标是鼓励和促进有效的自我监管……。”行业成员发起了两项监管互联网隐私的倡议,以回应FTC的要求。包括网络隐私联盟(The Online Privacy Alliance,OPA)网络广告倡议(The Network Advertising Initiative,NAI)。
然而,包括OPA和NAI在内的过去十年的行业自我监管,可以称得上都遭遇了参与度不足、执行不力和保护标准较低等的问题,而最终走向了失败。
OPA与NAI的产生、发展与终结
·OPA:网络隐私联盟
网络隐私联盟成立于20世纪90年代中期,由领先的互联网公司组成。OPA的网络隐私指南要求所有OPA成员公布隐私政策,向用户提供收集和使用个人数据的基本通知,允许用户“选择退出”数据操作并纠正不准确的数据,并制定措施确保数据的安全性和可靠性。
然而,该指南没有禁止收集敏感数据。除了由用户主动选择退出,该指南也没有以任何方式防止恶意使用数据。隐私专家Bob Gellmaning评价该机制为:“如果客户不反对,公司可以为所欲为。”OPA也未能确定对不遵守准则的成员的处理程序。最重要的是,只有大约100家公司最终加入了OPA,Amazon等重要公司选择完全不参与。几年后,OPA自认其自我监管方法“有所欠缺”,承认指南最终走向了失败,并开始支持网络隐私立法。
·NAI:网络广告倡议
第二个行业自我监管倡议是网络广告倡议。NAI是一个由互联网公司组成的组织,要求其成员遵守一定的隐私原则,。NAI并没有像OPA那样争取将众多公司纳入其中,而是将重点放在了网络广告行业。
NAI的诞生既要归因于OPA的失败,也要归因于一项合并提议对网络隐私造成了前所未有的威胁时爆发的争议。当时,美国领先的网络广告公司DoubleClick Inc .宣布了与Abacus Direct Corporation合并的计划。Abacus Direct Corporation拥有一个涵盖8000多万家庭的杂志和目录购买记录数据库。该计划将在线和离线数据结合起来,并将这些数据与具体的、特定的个人联系起来。此做法引发了抗议,也引起了FTC和密歇根州总检察长办公室的调查。此后不久,NAI应运而生,并于2000年公布了一套网络广告商偏好营销的自我监管原则(Self-Regulatory Principles for Online Preference Marketing By Network Advertisers)。
2000年NAI原则关注非个人身份信息(非PII)和个人身份信息(PII)的整合,前者包括DoubleClick等网络广告商收集的点击流数据,后者包括Abacus Direct收集的离线交易数据(off-line purchasing data)。该原则要求网络广告公司将点击流数据与PII结合之前需要获得特定同意(如“选择加入”同意)。实际上,阅读并理解网站的隐私政策后选择不合并的用户占绝少数。此外,只要公司给用户提供了通知和选择退出的机会,该原则不再限制对信息的二次使用。
该原则还要求NAI成员发布隐私政策,告知用户该网站将收集个人信息,并解释该信息将如何使用或分发给第三方。从表面上看,该要求满足了FIPPs对“通知”和“选择”的要求,然而,正如FTC的调查所表明,用户很少阅读完整的隐私政策,即使阅读了也经常无法理解。缺乏可操作性使得NAI要求无法实质上满足FIIPs。
在遵守和执行领域,NAI面临着最大的挑战。2000年的原则宣称,会引入完全独立的第三方(最终选取了隐私保护组织TRUSTe)通过随机审查和接受用户投诉来,实现对该原则的执行。NAI进一步承诺,对于不合规的成员,会通过撤销其会员资格或通知FTC和公众进行制裁。实际上,以上承诺在后续几年纷纷落空:成员从12个公司减少到2个;TRUSTe本身也成为了NAI的准成员而不再具备独立性;TRUSTe逐渐停止报告NAI投诉……
之后NAI承认其最初的方案存在缺陷,并于2008年发布了修订后的原则。尽管包括多项改进,2008年在执行方似乎有所退步:原则没有指定第三方执行实体,而是规定NAI本身监督其付费成员的合规性。该设计存在明显利益冲突,并很可能导致最初努力的执行失败重演。

iii.共同监管:一个可行的选择?
行业自我监管并不能弥补市场在网络隐私方面的盲点。而政府监管是否适合正高速发展的、存在众多疑难复杂问题的互联网领域,也值得怀疑。寻求全新的监管模式势在必行,而共同监管机会结合前两种方法的优势。
1、什么是共同监管?
共同监管、政府监管和自我监管之间的主要区别,在于谁来设定和执行监管目标和标准。在共同监管中,政府和私人团体将任务分工、分担责任。例如,政府可能设定总体目标,随后由行业设定和执行标准。政府和私营部门也可以一同协商适当的管理目标,合作起草标准,并合作执行标准以制裁违反标准的公司。
2、观点分析
共同监管的支持者认为,与政府单独监管相比,协作流程将鼓励公司更主动地提供相关信息,能制定出更加现实的目标与更具成本效益、可行性和适应性的规则,来适应不断变化的市场变化。受监管的企业也将有更强的主人翁意识,并更有意愿遵守规则。政府官员将推动企业将公共目标置于自身利益之上,监管不会像自我监管计划那样片面。协作亦能缓和政府与行业的关系,为未来增加信息共享和合作奠定基础。
然而,反对共同监管的观点也值得考虑。批评者认为,行业不会向监管者透露内部信息,反而会利用信息优势争取宽松的标准。已成立而率先参与制定监管方案的公司也可能通过制定较高的标准来提高行业准入门槛。此外,共同监管过程赋予行业在政府监管中比公众更大的发言权,公众参与共同监管计划的机会更少了,是否能产生更好的社会效果就相当值得怀疑了。
III、 欧洲行为准则:法律框架
根据1995年数据保护指令,各欧盟成员国均通过了综合性的数据保护法。指令第27条要求成员国在其法规中纳入一项条款,允许行业起草行为准则,详细说明数据保护法的要求将如何具体适用于其行业。行为准则将作为共同监管方法的基础。行业部门向数据保护部门提交行为准则。数据保护部门对其进行评估,与相关部门协商其条款,并最终确定准则是否符合数据保护法的要求。如果数据保护部门批准了准则,则准则将成为行业成员必须遵守的正式指南。欧盟这一实践是数据保护领域共同监管的代表。
i. 1995年数据保护指令
欧洲委员会在1995年颁布的数据保护指令中,要求欧盟成员国通过立法来管理个人信息的收集、使用和披露。在成员国通过法规后,该指令第27条具体指示成员国与行业合作,将行为准则纳入其数据保护法。
第27条解释了设置行为准则的目的,规定成员国和欧洲委员会“鼓励”行业起草行为准则,规定各部门可以向国家数据保护机构提交其行为准则草案,国家数据保护机构应就该准则是否符合现有的国家数据保护法提出意见。第27条还规定,“如果认为合适,管理机构应征求数据主体或其代表的意见”,以确定该准则是否符合基本的数据保护法。“鼓励”、“如果认为合适,应”等措辞使27条的不少规定具有自由裁量空间,导致欧盟成员国对该条款有不同的解释,各国法律在行为准则方面存在不一致性。
1995年数据保护指令第27条:
(1)成员国和委员会应鼓励制定行为准则,以促进成员国根据本指令通过的国家规定的正确实施,同时考虑各个部门的特点。
(2)成员国应规定代表其他类别控制者的贸易协会和其他团体,这些团体已经起草了国家规范草案的,可以修改或扩展现有的国家规范,以便能够提交给国家当局。
成员国应规定该机构,除其他事项外,确定提交给它的草案是否符合根据本指令通过的国家规定。如认为合适,管理局应征求数据当事人或其代表的意见。
(3)共同体准则草案,以及对现有共同体准则的修订或扩充,可提交第二十九条所指的工作组。除其他事项外,该工作组应确定草案是否符合根据本指令通过的国家规定。如认为合适,管理局应征求数据当事人或其代表的意见。委员会可确保对工作组批准的准则进行适当的宣传。
ii.各国国内法的共同点与差异
各国执行第27条的国内法存在共同的规定,值得我们注意。
首先,所有国家的法律都包含实质数据保护要求。行业行为准则都是在数据保护法的体系下运转的。
第二,大多数国内法都规定,行为准则的目的是使国内法符合行业的现实,这一点与第27条的说法一致。而葡萄牙则走得更远。1999年,葡萄牙当局通过了一项正式决议,表示行业行为准则应“通过具体体现其特定工业或商业部门的法律规则,补充现行立法的规定”,并应“旨在促进各行业更严格地执行数据保护法的规定”。这一措辞表明,葡萄牙将鼓励比数据保护法规更严格的行为准则。
第三,几乎各国国内法都规定,如果一个行业违反了行为准则,当局必须对其进行审查,并就其是否符合国家数据保护法发表意见。国家数据保护机构有义务审查准则,并确定其是否符合国家数据保护法。
当涉及到国家数据保护机构意见的法律意义时,欧盟各成员国的规定出现了差异。部分国家规定,国家数据保护机构的意见不具备正式法律地位,而类似美国相关机构“指导意见”,有权威性但不具有约束力。如丹麦国内法规定,经批准的行为准则仅“有助于正确实施本法案中规定的规则。”其他国家的法规认为,该意见对当局本身具有约束力。例如,西班牙《数据保护法》规定,一旦主管机构批准了一项行为准则,即表明主管机构同意准则的条文确实符合法律法规,主管机构不能干涉遵守准则的经营行为。一些法规甚至更进一步,规定行为准则对当局和法院都具有约束力。例如,意大利法律规定,当局必须在《意大利共和国官方杂志》上发布经批准的行为准则,司法部长可以通过法令将该准则纳入《数据保护法》本身的特别附件中。在这种情况下,该准则“成为相关部门控制者的法律义务的一部分。”虽然这些法律对当局意见的法律意义的规定有所不同,但它们在基本思想上是一致的,即管理机构应审查行为准则是否符合法律并发布意见。
iii. 国家法律的分类
根据行业部门在决定是否采用行为准则上有多大的话语权,或者按照第27条的措辞,根据国内法“鼓励”该行业采用准则的力度,能将各国国内法分为三类分类:行业主导型、权力分衡型与政府主导型。
1、行业主导
行业主导型国内法任由行业决定是否起草行为准则。该类国内法对第27条的指示进行了扩大解释,即国家法律允许但不强制各行业制定行为准则。即便如此,该类并没有放弃政府的角色转而支持纯粹的自我监管。决定不起草行为准则的行业仍将受到数据保护法的约束。
符合这一类别的法律往往有其他共同特征。首先,他们更有可能要求国家数据保护机构在制定意见时咨询数据主体。第二,此类法律可能赋予法院审查国家数据保护机构的意见的职权。进而贸易协会、公司或公民团体也有权质疑数据保护机构的意见。从这两方面来看,此类法律限制了当局的自由裁量权,行业能发挥更多作用,在某种程度上也扩大了公众的影响力。此类法规在强调数据控制者(行业部门)和数据主体的利益的同时,限制了管理机构的权力。
2、权力分衡
此类法规更强调第27条规定的国家政府“鼓励”各部门起草法规的义务,要求国家数据保护机构“呼吁”或“鼓励”行业起草行为准则,但没有具体规定数据保护机构应采取何种力度的措施。这类法律更倾向于要求行业在起草行为准则时与数据保护机构协商或合作。它们也更倾向于将准则赋予法律地位,从而不仅对数据保护机构具有约束力,而且对法院也具有约束力。在这种方式下,行业和政府更平等地分享权力。数据保护机构将大力鼓励行业行为准则,并倡导更严格的标准;与此同时,管理机构的参与使行业帮助起草的行为准则在监管方面更有分量。一旦管理机构批准了该准则,业界就可以完全信赖准则的效力。
3、政府主导
第三类的法规倾向于规定,如果行业不起草准则,国家数据保护机构应起草一份准则并将其施加于该行业。该类法规能迫使行业制定准则。但行业仍能选择不制定准则的选择,而由数据保护机构制定。
政府主导型的极致——罗马尼亚激进而特殊的规定:
罗马尼亚的法律实质上对所有部门提出了制定准则的要求。罗马尼亚法律规定,“职业协会有义务详细制定行为准则,并向监管机构提交批准……”,它进一步规定,监管机构对行为准则进行正式批准,而不止步于发表意见。值得主体的是,罗马尼亚法律并不认为准则的目的是使法律适应行业的现实,反而认为准则的目的是“保护数据主体的权利”。
总之,这是一个更强有力的条款,其核心似乎是数据主体的权利,而不是行业的便利。罗马尼亚法规强调数据保护机构有权要求行业起草和批准准则。罗马尼亚先前社会制度的历史背景使人们期待有强大的数据保护机构来实现对隐私的保护。
目前还不能确定哪类法律最有效。第一类法律规定赋予了行业更多的决定权,淡化其制作的准则的法律效力。第二类强调由行业和数据保护机构协商制定准则,并增强了准则的法律地位。第三类倾向强制要求行业起草准则,并赋予准则更强的法律效力。要确定哪种法律框架能产生最细致、最有创造性和最有效的准则,就需要进行深入的比较研究。更重要的是对准则本身、行业和数据保护机构协商准则的过程,以及准则保护个人信息的成功实践进行深入研究,以实现参照欧盟的隐私法规拟定美国共同监管策略。
3
文章结论
互联网正在侵蚀个人隐私的事实可能会摧毁用户的信任,并威胁到互联网经济的未来。随着互联网企业加大对个人信息的收集和使用,美国当局对网络隐私的监管仍然保持中立。占主导地位的行业自我监管并没有奏效。存在呼吁通过立法规范收集使用个人信息行为的声音,但网络隐私是否是一个适合立法解决的领域仍不明确。
本文提议共同监管模式,即由政府和行业合作定义和执行标准的模式作为可能的替代方案。共同监管可能产生更具成本效益、更灵活的标准,提供有意义的隐私保护,并能被各方所接受。然而,共同监管的批评者发出警告,认为行业与政府之间的谈判将在公众视线之外进行。他们坚持认为,行业将利用其信息优势降低标准,并将不可避免地把自己的利益置于公众利益之上。
本文认为,在得出结论之前,必须对隐私领域的共同监管举措进行进一步研究。本文分析了欧盟各国实施共同监管的法律条款。然而,对法律框架的分析只是理解欧洲行为准则及其对美国网络隐私监管的影响的第一步。在本文基础上,还需要进一步的研究来确定共同监管是否是保护网络隐私的有效方式。
________________
审核: 中国人民大学法学院硕士生 黄昊
编辑: 中国人民大学法学院硕士生 毕坤阳

每天两块钱,实时获取全球数据合规风险预警!
如需欧盟《人工智能法》提案中译本PDF全文,请加入圈子免费下载!
👇
DPOHUB超级会员,扫码加入!
继续阅读
阅读原文