美国和欧盟的数据隐私保护策略,本文主要内容关键词为:美国论文,欧盟论文,隐私保护论文,策略论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号 G203文献标识码 A文章编号 1007-7634(2004)10-1265-03
Internet和Web存取在世界范围内以惊人的速度持续增长。作为一种信息资源,同时也作为一种购买商品和服务的方式,个人可以利用Web进行交流。同时技术的进步使得网站拥有者可以对网站访问者的大量个人数据进行收集、存储、转换和分析。个人数据隐私问题经常被发现是利用Internet的消费者的最大担忧。
1 数据隐私保护的必要性
先进Web技术的不断发展使得收集各种各样的用户个人信息成为可能。当用户在填表填空的同时一些信息正被收集,尽管用户通常并不知道组织将如何处理这些信息。另一方面当用户访问网站时许多信息在用户不知情的情况下通过cookie或对用户机的其它检测被收集。在这两种情况下用户都很难控制他们个人信息的收集、存储、利用甚至出售。
对隐私的担忧和缺乏信任仍然是在线贸易增长的最大障碍。Internet产业是建立在商家和消费者相互信任之上的,隐私是信任的最主要成分,除非利用Web的组织能有效的解决隐私问题,否则他们将失去消费者的信任和交易。根据2000年TRUSTe的一个调查结论:①个人隐私的丧失是新世纪美国人最关注的问题(29%的被调查者选择此项)。②在Internet用户中,37%的人“较多”的倾向于在有隐私政策的网站中进行购买。③隐私/安全是能够将偶然的Internet用户变成购买者的最重要因素(68%的被调查者选择此项)。④对大多数人来说,他们不愿为价格或个性而牺牲在线隐私。⑤对于将用户浏览习惯、购物模式合并到与用户真实姓名和身份相连的简介中的网站,68%的Web用户“一点也不”舒服。⑥在没有购物的Internet用户中,63%的人十分关注个人信息的使用。⑦在Internet购物者中,41%的人十分关注个人信息的使用。⑧亚马逊网站(Amazon.com)最近改变了隐私政策,并用电子邮件通知消费者这一改变。Amazon的新政策包括这样的语言,这些语言表达了公司认为所收集的消费者数据是一种财产,是一种象公司其他财产一样可以被买卖的财产的观点。一些消费者和合作伙伴切断了与Amazon的联系。
用户对隐私的极大关注以及这一关注对Internet产业发展的影响要求我们必须关注数据隐私的保护。世界各国的数据隐私保护策略各不相同,本文中我们主要介绍了比较有代表性的美国和欧盟的保护策略,另外,基于Internet信息流动的全球性特点,还对两种与美国和欧盟有关的基于Internet特点的保护策略进行了简单介绍。
2 欧盟的隐私法律
许多欧洲国家,尤其在二战结束后,制定了严格的隐私法律。德国、法国和英国以其特别严格的隐私法律而闻名。德国联邦议院1997年通过的一项与隐私有关的法律是《信息和通信服务法》(IUKDG,1997)。这一法律包含《通讯服务数据保护法》(TDDSG,1997)用来处理电讯业所使用的个人数据保护。
英国政府在1998年颁布了《数据保护法》(DPA,1998),该法令在2000年3月生效。该法令通过增加了对手动和电子数据记录的保护而扩展了1984年的法律,并且该法令赋予“数据保护委员会”以强大的权力监督法律的实施。该法律的另一部分是对个人权利的加强,如禁止不经个人允许将个人数据用于直接销售。
为标准化数据隐私的保护,欧盟在1995年颁布了《欧盟数据保护指令》(DPP,1995),1998年生效。下面是该指令的一些要求:①组织必须告知数据主体有关信息收集和利用的目的,告知如何联系组织以及批露信息的第三方类型。②组织必须允许数据主体选择个人信息是否可用于除初始收集目的之外的其他目的。对于敏感性信息,如医疗状况、种族起源、政治观点等,信息在向第三方披露之前消费者必须有特殊的选择权。③任何组织在处理个人数据时,必须采取合理的步骤确保数据的安全和完整性。④数据主体有权获得他们的个人信息,并有权对其进行纠正。必须有确保遵守指令的机制,受不遵守行为影响的数据主体的求助以及不遵守指令的组织的后果。⑤企业和政府不得在不经允许的情况下将个人记录用于初始目的之外的其他任何目的。⑥指令也要求建立政府数据保护机构,这些机构负责数据库的注册,有时在特定数据处理之前要先征得这些机构的同意。⑦欧盟公民的个人数据只向欧盟15国之外采用这些法律或倾向于提供数据“充分保护”的国家传输。
这一法律禁止一些消费者数据传向没有采用同样严格数据保护法律国家的企业。这一指令尤其阻止欧盟公民的数据流向美国,因为美国没有必要的数据保护法律。
一些公司象Amazon.com,eBay,美国在线,Lycos,Yahoo和Lands’End已在欧洲国家建立了有别于美国业务的网站,也许一个主要的原因是保持数据的完全分离。DoubleClick追踪在线Web用户的活动,尽管在美国他们用cookie追踪用户,但在欧洲他们并不如此做。
不管是对欧洲组织或美国组织而言,适应欧洲隐私要求的成本很大。如一个公司如果想将它所掌握的一些个人数据的处理传输到另一国家的组织或者进行一次此类数据的营销活动,它必须首先通知相关的数据主体并给予他们选择的权力。
3 美国的隐私策略
美国很少有数据保护法律,主要依靠自律和有限的立法。例如在美国,银行账户、医疗和个人文件、信用卡账单和电话记录都没有联邦保护。尽管《公平信用报告法》赋予消费者获取和纠正不正确财务记录的权利,这些信息在企业中可以随意的被使用和转换,不须告知相关的数据主体。现存的为商业部门制定的唯一的联邦隐私法律包括有线电视和录像带商店记录。
联邦贸易委员会(FTC)从1995年就已经开始关注美国的隐私和电子商务。FTC希望收集消费者个人识别信息的商业网站能遵守下面的四条公平信息操作原则(FTC,1998):①告知:网站应将其信息操作明确告知消费者,收集什么样的信息,如何收集信息、如何使用信息,是否向他人揭露这些信息。②选择:网站应允许消费者选择其个人信息是否可用于除信息提供初始目的之外的其他目的。③获取:网站应允许消费者获取网站所收集的有关消费者的信息并允许消费者修改甚至删除这些信息。④安全:网站应采取合理的步骤保证所收集信息的安全。
FTC在1998年提出一个名为“在线隐私”的报告,该报告是关于商业网站在线隐私调查结果的。FTC发现92%的抽样网站收集了大量的消费者个人信息,然而只有14%的网站对其信息操作有所告知。但是FTC支持行业自律胜于立法,这表明对不遵守自律计划的行为实行某些形式的处罚也许是必要的。
在1999年向国会提交的名为“自律和在线隐私”的报告中,FTC仍然支持自律,并要求国会给行业更多的时间以便更好的提高数据隐私。报告指出尽管排名前100位的网站都收集个人数据,但只有10%的网站张贴了有关隐私管理的易得的、详细的声明。
2000年初FTC对商业网战及其隐私操作进行了又一次调查,他们再次发现大多数网站(97%)收集消费者的个人信息,这些随机抽取的网站中88%至少张贴了一种隐私披露声明,然而其中只有20%的网站部分的遵守了所有的四条公平信息操作原则(告知、选择、获取和安全)。这些随机样本中,只有41%的网站达到了基本的告知和选择标准。
由于自律的发展进程缓慢,FTC在向国会提交的2000年报告中建议国会为确保消费者在线隐私的充分保护应实行立法,与继续实行的自律计划相结合。报告指出“没有这种保护,电子商务将达不到其充分发展的潜力,消费者也将失去充分参与电子市场所需的信心”。
尽管有促进隐私立法的努力,美国企业仍然抵制这种努力,声称自律将会起作用。一些第三方组织如TRUSTe和BBBOnline要求企业实行四条公平信息操作原则并监督其遵守情况。作为回报第三方组织将在这些网站上贴上认证标志,从而向消费者表明网站的隐私政策是有保证的。
4 基于Internet特点的隐私保护策略
由于因特网信息流动的国际性,单个国家的隐私保护策略只能在一个国家之内有效,对于从他国流向本国的数据以及从本国流向他国的数据都显得很无力,单个国家的力量已越来越不能胜任解决与 Internet有关的隐私问题。发展基于Internet特点的国际范围的隐私保护策略成为必然。
(1)安全港协议。
由于美国的隐私立法有限,达不到充分保护的标准,所以《欧盟数据保护指令》的实施将威胁到个人数据从欧盟各国向美国的传输。经过多个月的协商谈判,欧盟和美国达成了一个“安全港协议”,该协议提供一种符合欧盟指令充分保护要求的便利方式。
安全港协议允许美国企业在欧盟国家开展业务时遵守一部商业操作法,这一法规允许美国企业在继续遵守FTC准则进行行业自律的同时遵守欧盟隐私指令。企业必须向商业部门证明他们将遵守欧盟指令的规定,如果企业不遵守这一协议,他们将受到FTC以“欺骗性商业做法”为由的起诉。
许多人把安全港协议看作是美国自律的胜利。然而并非所有的美国人都支持这一协议。电子商务和隐私国家商业联盟(NBCEP,2000)抱怨说欧盟的隐私准则比美国本土的隐私准则更有效的强加于美国企业。后者的观点确实是一个问题,因为遵守安全港协议的美国企业为欧洲人提供的隐私权要多于美国人民。
(2)隐私偏好平台计划。
“隐私偏好平台计划”(P3P)是一种技术保护策略,它是万维网集团在线隐私国际标准协议的一部分,是为支持Web隐私而提供技术的努力。P3P计划旨在发展为提高用户对个人信息控制的一系列工具和服务,从而提高Web服务商和个体用户之间的相互信任。P3P使得网站以一种能被客户机分析的标准化结构表达网站的隐私政策,P3P尤其可以使网站拥有者把隐私操作翻译成基于XML的P3P声明,这种P3P声明可被支持P3P的浏览器自动的检索、轻易的翻译。这意味着用户可以轻易的发现和理解特定站点的政策,并可做出是否接触该网站的明确决定。用户接着可以决定他们是否愿意在这些情况下继续访问该站点,P3P技术是由来自多个国家、多个组织的代表发明的。美国代表来自AT&T,HP,IBM,美国在线,微软,甚至是直接销售协会等机构,加拿大代表来自安大略湖的隐私委员会,德国代表是SchleswigHolstein的隐私专员。
隐私期望和立法要求随着文化和政府的不同而不同,各国应根据自己的实际采取适当的隐私保护策略,但消费者仍然会选择隐私得到最大保护的网站。如果隐私能够得到保证,那磨消费者将会更加支持这些网站和组织。2000年72个企业的首席执行官参加了在迈阿密召开的电子商务全球商务对话(GBDe,2000),他们号召建立Internet个人信息安全的全球标准。他们的目标是Internet卖主能够清楚的表明个人数据利用的政策,给消费者保持详细资料私有的机会,同时也为隐私投诉提供联系方式。这反映了数据隐私保护策略的发展趋势,将从一国范围的保护发展到全球范围,更注重Internet信息流动的国际性特点。