2016年12月2日,美国联邦通信委员会(Federal Communications Commission,以下简称“FCC”)正式公布“宽带和其它电信服务中用户隐私保护规则”(Protecting the Privacy of Customers of Broadband and Other Telecommunications Services)(以下简称“FCC新规”),以促进宽带接入服务(Broadband Internet Access Service,BIAS)提供商(以下简称“BIAS提供商”)和其他电信运营商对于用户信息和隐私保护。FCC新规将于2017年1月3日正式生效(少数需要行政管理和预算局批准生效的条款除外)。

一、FCC新规的由来和适用范围

在FCC新规出台之前,用户在日常登录互联网时,用户的BIAS提供商几乎可以查看用户所有未加密的在线活动,包括当用户在线时,其访问的网站、使用的应用、浏览习惯以及通过网络发送的任何信息等。2015年以前,BIAS因被定性为“信息服务(Information Service)”而被排除在FCC的管辖范围之外,主要由联邦贸易委员会从预防和查处不公平、欺诈行为等损害消费者权益的角度进行规制。直到2015年,BIAS被重新界定为“电信服务(Telecommunication Service)”而落入FCC的管辖范围内,自此FCC即有权依据《1934年通信法》的相关条款对BIAS提供商进行监管。

为了更有效地监管BIAS和更好地保护用户个人信息,2016年FCC在原有规则的基础之上,提出了建立适用于BIAS提供商和其他电信运营商的隐私框架动议,并最终形成了目前FCC新规的雏形。自今年年初,针对BIAS和其他电信服务消费者的个人信息保护问题,FCC就与公共利益团体、固定和移动互联网服务运营商、广告商、APP和软件开发商、学者、政府其他部门(包括美国联邦贸易委员会)等多方展开广泛协商,并向社会各界公开征集意见。直至近日,FCC落实并公布了最终规则。

需要明确的是,考虑到与美国联邦贸易委员会的职权划分,FCC新规重点关注消费者被BIAS提供商和其他电信运营商收集到的数据(例如家用或者移动网络业务),而并不适用于就使用网站或者应用软件(比如APPs)所引起的相关隐私问题。

二、FCC新规的主要亮点

FCC新规明确了BIAS提供商和其他电信运营商应当履行保护用户信息的法定义务,旨在提高消费者在使用宽带和电信服务时个人信息保护的透明度、用户的选择权利和安全性。下文我们将对FCC新规的要点作简要介绍。

核心主旨 具体要求
透明度 Transparency 要求运营商必须让客户清楚了解信息收集的范围,以及与任何其他机构共享信息的情况
选择权利 Choice 用户有权禁止运营商使用其数据促销其他与通信相关的服务,或者将其数据分享给提供类似服务的相关公司
安全性 Security 要求运营商对用户信息采取合理的保护和风险管控措施

1.针对不同类型信息的差异化保护机制

实践中,某些特定信息的泄露将可能比其他信息的泄露后果更为严重,例如FCC新规中所列举的精确定位信息、儿童信息、健康信息、金融信息、社保号码、网页浏览历史、APP使用历史、以及短信和电子邮件相应的交流内容。因而,FCC新规将前述信息界定为“敏感信息”,并为其设定了选择性加入(Opt-in)机制。

对敏感信息而言,BIAS提供商若要进行使用或共享,则必须获得用户明确的同意。这就意味着,BIAS提供商应首先对此类信息的使用与共享设定“同意”与“不同意”的选项,唯有在用户明确选择“同意”的情况下方可对相应的敏感信息进行使用和共享。而对不属于敏感信息、但仍可能确定个人身份的信息,BIAS提供商则可以采用选择性退出(Opt-out)机制,即除非用户明确表示拒绝,BIAS可以使用该信息。

通过对用户信息不同敏感性的区分,FCC新规能对不同重要性的个人信息实施更有针对性、更为灵活的保护。FCC新规一方面能通过更为严格的选择性加入机制强制提示用户,避免用户忽略敏感信息被使用或泄露的风险,确保用户的自主选择权。另一方面,对于其他个人信息设置相对宽松的选择性退出机制,能够给予BIAS提供商更多的灵活性,在提高效率的同时减轻企业和用户的负担。

2.更高的合规要求

在界别敏感与非敏感信息的基础上,FCC新规要求BIAS提供商和其他电信运营商应保证在网页和应用软件等产品中明确提供隐私政策,使得用户能够有渠道容易地了解到相关隐私权政策。具体而言,FCC新规要求BIAS提供商和其他电信运营商将以下隐私通知的相关内容以清楚、准确的方式告知客户:

  • 收集信息的内容和范围、以及信息的使用方式;
  • 分享信息的情形与对象;
  • 隐私政策发生重大变更的具体计划。

同时,FCC新规还要求运营商根据其经营行为的性质和范围、所涉信息的敏感性、用户规模以及技术可行性等方面,采取合理、恰当的措施保护用户信息。对此FCC也表示,虽然FCC新规没有为运营商指定具体的合规要求,但FCC依然强烈建议运营商参考相关的数据安全实践指导。

此外,FCC新规还进一步对相关运营商设定了信息泄露情况下的通知义务。具体而言,除非运营商能合理地确定数据泄露不会对受影响的客户造成合理的危害风险,在发生信息数据泄露的情况下应及时通知受影响的客户、FCC、联邦调查局和特勤局。针对数据泄露的不同严重程度,FCC新规从通知对象和通知时间等方面对运营商提出了不同要求:

数据泄露 严重程度 通知受影响用户 通知相关执法机构
受影响用户多于5,000名 在无不合理延迟的情况下通知受影响的用户,不得超过30天 合理确定泄露发生后的七个工作日内通知FCC,联邦调查局和特勤局,并在通知用户前至少三日告知相应的联邦机构
受影响用户少于5,000名 合理确定泄露发生后的三十个日历日内通知FCC

尽管消费者与隐私保护团体等组织对FCC新规持积极意见,FCC新规在征求意见阶段就受到了诸多争议。BIAS提供商和其他电信运营商普遍认为,FCC新规以运营商承担更多义务为代价,强化用户信息的安全与保护,将严重影响互联网业务中的主要盈利服务,如在线广告投放服务。目前,在线广告投放服务已然面临着提供个性化广告挽留用户与广告拦截软件之间的矛盾,更为严格的个人信息保护规则将使得个性化广告业务更加举步维艰。同时,也有人质疑,对BIAS提供商和网站及应用软件等实施不同的监管机制与标准,是否将引发新的法律争议,或使得更有可能损害用户信息安全的网站或应用软件“逍遥法外”。

然而,无论从不同利益群体的角度来看FCC新规合理与否,FCC新规的通过体现了美国对于个人信息保护的重视,也反映了个人信息保护制度趋于严格与完善的国际趋势。

三、大数据时代背景下个人信息保护的立法趋势

随着大数据产业在全球范围内的全面推进,数据作为特殊的“原材料”已经成为不可或缺的产业资源,而数据共享将成为大数据产业创新发展的必要前提。然而,与数据共享相对的,公民隐私以及个人信息保护的问题也日益凸显。传统个人信息保护框架在大数据时代正在遭遇严峻冲击,如何寻求个人信息合理有效的保护和数据共享之间的平衡成为全球各国普遍面临的难题。

为避免数据共享背后的巨大经济利益驱使经营者侵犯用户隐私、滥用用户个人信息,各国立法与执法机构也愈发关注个人信息保护规则的制定与落实。除美国FCC近期的立法举动以外,欧盟与中国也于今年先后颁布了涉及个人信息保护的新规——《数据保护通用条例》(General Data Protection Regulation,以下简称“GDPR”)和《中华人民共和国网络安全法》(以下简称“网安法”)。

欧盟经历四年多的协商,于2016年4月27日正式通过GDPR,并将于2018年5月25日全面实施。与1995年的《数据保护指令》相比,GDPR在保护范围和程度上都存在实质性突破,对个人数据实施了近乎“超大范围”的全方位保护。其中,最为突出的特点莫过于个人数据保护适用范围的扩大。此前,1995年《数据保护指令》的适用范围采取的是属地主义,即要求机构的成立地、或进行个人数据处理活动的设备位于欧盟境内。而GDPR则实现了从属地主义扩展至属人主义的突破——无论是何种行业或领域,只要在向欧盟境内个人提供产品或服务过程中涉及了个人数据的处理,该类数据处理行为都将落入GDPR的适用范围。 [1]此外,GDPR也在监管方式、数据处理要求、数据主体权利、数据控制者和处理者的责任承担、数据跨境传输机制、监管与救济等方面,实现了显著的进步与发展。[2]

我国为维护网络空间主权与社会公共利益,夯实个人信息保护的法律基础,于2016年11月7日正式通过了网安法,并将于2017年6月1日生效实施。在网安法以前,我国对于用户个人信息的保护散落在不同的法律法规和规范性文件当中,例如《侵权责任法》、工信部发布的《规范互联网信息服务市场秩序若干规定》和《全国人大常委会关于加强网络信息保护的决定》等。[3]网安法的颁布,首次成体系地从法律层面对个人信息保护的相关规则进行了梳理和确认,并强化了法律责任,为网络运营者收集、使用个人信息提出了更高的要求,例如要求关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储,[4]以及拓展了公民的信息知情权,[5]确立了泄露信息删除权和错误信息更正权。[6]

除网安法之外,我国也致力于在不同部门法中完善个人信息保护的规定。针对泄露、买卖个人信息泛滥的现象,尽管我国之前的民事法律中从未明确地将个人信息认定为民事权利,但在《民法总则(草案)》的二审稿中出现新增规定:“自然人的个人信息受法律保护,任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息”。此外,根据国务院法制办公布的送审稿,在制定过程中的《消费者权益保护法实施条例》也将对个人信息保护作出详细规定,务求进一步增强消费者个人信息的保护力度。

结语

综上,在大数据产业愈加繁荣的今天,各国立法者对个人信息和隐私的保护也愈加重视,这实质上反映了各国立法者对个人信息和隐私在大数据时代被“合法”滥用或侵犯的顾虑。如上所述,虽然美国、欧盟以及我国三大司法辖区新规定所规制的主体不尽相同,但其立法原意都在于加强个人信息保护和隐私安全。

随着大数据分析在市场经济中各个行业上更大范围、更深层次的应用,经营者在业务活动中收集的数据不仅将成为经营者提高产品和服务质量的必要分析对象,还将成为重要的产品从而获得数据交易市场的青睐。考虑到用户数据在未来经济活动中对于企业的重要性,企业将不可避免的投入更多的精力在用户数据收集、分析、应用和交易上。然而从合规角度而言,企业应对个人信息和隐私的保护问题予以充分重视,谨慎处理涉及个人信息收集和使用的经营环节,严格依据相关法律法规的规定完善用户条款与隐私政策,审慎应对数据交易、数据画像与数据跨境传输等新兴商业活动中的合规问题。我们也将和企业一同密切关注国内及其他司法辖区相关立法和执法的最新动态,确保企业对于用户数据“取之有道”而且“用之有度”。