【个性化系统中个人信息保护的域外经验综述6800字】

个性化推荐中个人信息保护的域外经验综述目录TOC\o"1-2"\h\u15726个性化推荐中个人信息保护的域外经验综述 146031.1对网络行为信息性质的判断 1193661.1.1欧盟——明确纳入个人信息范畴 1239061.1.2美国——纳入“潜在PII”范围 2322351.2知情同意原则的保障措施 395441.2.1透明度原则的应用 3137471.2.2“请勿追踪”隐私协议 5196101.3对用户个人信息控制的保障 6236491.3.1确立“适当性使用”标准 6268211.3.2保障信息主体参与权利 81.1对网络行为信息性质的判断1.1.1欧盟——明确纳入个人信息范畴欧盟对于个性化推荐中的网络行为信息提供了较为明确的法律保护机制，具体表现如下：第一，欧盟相关立法中几乎均以直接或间接的方式认可了网络行为信息的身份识别性，并将其纳入个人信息范畴。1995年出台的《数据保护指令》（DPD）规定，个人信息指的是“任何己识别或可识别的主体相关的信息，包括直接或间接的识别，特别是通过诸如网络标识信息、ID名称或其它特定于该主体的身体、经济状况、文化程度社会身份的因素”[[]参见欧盟《数据保护指令》第二条第一款.]，可见，DPD明确以列举方式将网络标识信息、ID名称两类网络行为信息纳入了个人信息的范畴；2002年，欧盟颁布《隐私与电子通信指令》，其中指出，“网站服务提供商可能通过cookie技术访问终端设备，并由此访问用户的敏感信息，因此，网站服务提供商在将信息存储在本地cookie文件之前，必须获得用户的许可，并通知用户将使用哪些数据。”该条款说明了通过cookie访问的用户网络信息可能属于个人敏感信息，故实则以间接方式承认了网络行为信息的可识别性。2016年，GDPR出台并取代DPD成为欧盟隐私与个人信息保护的法律框架。GDPR规定的个人信息的范围比DPD更广泛，在延续DPD对个人信息定义的前提下，GDPR又在个人信息范畴中纳入了地址符等几类常见的网络行为信息；此外，GDPR首次在序言中直接明确规定了网络行为信息的可识别性——序言规定，“自然人可以与他们的设备，应用程序等提供的在线标识符相关联，例如互联网协议地址，cookie标识符等。上述信息都可能被用于创建主题画像并对自然人进行识别，特别是当其与唯一标识符和服务器接受的其他信息相结合时。”[[[]参见欧盟《数据保护指令》第二条第一款.[]参见《通用数据保护条例》（GeneralDataProtectionRegulation）序言第30条.第二，欧盟的立法与司法实践均未因网络行为信息的匿名化特征而将其排斥在个人信息的范畴之外。早在GDPR出台前，欧盟法院就曾经依据DPD明确做出解释，指出匿名信息同样可能会构成个人信息[[]参见以下欧盟法院判决：BodilLindqvist,CaseC-101/01;VolkerundMarkusScheckeandEifert,CaseC-92/09andC-93/09.]；此外，GDPR出台后亦明确指出，“个人信息匿名化可降低有关当事人的风险，并有助于信息处理者履行其保护义务。但“匿名化”并不旨在排除任何其他信息保护措施。[[]https://gdpr-info.eu/recitals/no-28/.最后访问时间：2021.3.10.]”。2017年9月11日，西班牙数据保护监管部门（AEPD）对Facebook作出120万欧元的行政处罚，理由是Facebook在未履行知情同意原则的情况下擅自对用户个人信息进行收集并将之用于个性化推荐行为。本案中，Facebook认为其仅仅收集了用户的点赞行为记录，且其已对该信息作了匿名化处理，因此其并不属于个人信息范畴；对此，AEPD认为：用户对某些内容点赞的行为已经能显示出其爱好、兴趣、取向，已经充分具备了识别具体用户的可能性，故属于个人信息范畴[[]参见以下欧盟法院判决：BodilLindqvist,CaseC-101/01;VolkerundMarkusScheckeandEifert,CaseC-92/09andC-93/09.[]https://gdpr-info.eu/recitals/no-28/.最后访问时间：2021.3.10.[]“违反数据保护法：Facebook被西班牙罚款120万欧元”.新浪科技,/focus/detail/MTA0NDM%3D?module=cyber-security,最后访问时间：20.1.2美国——纳入“潜在PII”范围在美国个人信息保护的法律语境中，一般使用PII(PersonallyIdentifiableInformation)概念指代“与个人相关或可关联的任何信息”[[]参见NISTSP800-122.]，即具有可识别性的个人信息。因此，在美国的法律语境下，只有网络行为信息落入PII范畴，才能进一步判定收集和使用此类信息进行个性化推荐的行为是否侵犯用户的个人信息权益。然而，与欧盟不同的是，美国法律中并未对网络行为信息进行明确规定，在早期的司法实践中，法院也大多否定了网络行为信息的可识别性。例如，2014年的“Locklear诉DowJones案”中，原告TerryLocklear声称被告DowJones公司旗下App“WSJ频道”在未经用户同意的情况下向广告公司披露了其观看视频的记录及用户设备关联的序列号，违反了《视频隐私保护法案》中“禁止视频服务提供商擅自公开用户个人信息”的规定，因此起诉要求DowJones公司停止披露其个人信息。法院认为，视频浏览记录与设备序列号不足以识别到特定用户身份，因此不属于PII范畴；[[]文森特·R·约翰逊著.赵秀文等译.美国侵权法[M].北京,中国人民大学出版社.2004,89-90.]此外，在2015年的“Eichenberger诉ESPN案”中，法院也表达了类似的观点[[]ChadEichenbergerv.ESPNInc.,No.2:14-cv-00463,W.D.Wash.[]参见NISTSP800-122.[]文森特·R·约翰逊著.赵秀文等译.美国侵权法[M].北京,中国人民大学出版社.2004,89-90.[]ChadEichenbergerv.ESPNInc.,No.2:14-cv-00463,W.D.Wash.[]张璐.个人网络活动踪迹信息保护研究——兼评中国cookie隐私权纠纷第一案[J].河北法学.2019年第1期.然而，近年来，随着大数据时代下信息处理技术的发展与进步，美国对于网络行为信息的态度已经开始发生转变。数据挖掘、分析技术模糊了个人信息可识别性的界限，即便是之前不具有可识别性的匿名信息也开始产生间接识别用户的可能性。在得克萨斯州大学的一项研究调查中，其通过在线电影租赁网站Netflix中50万名用户的匿名电影评级数据识别出了部分用户，甚至推测出了这些用户的政治立场等敏感信息[[]Narayanan,Arvind,andVitalyShmatikov.Robustde-anonymizationoflargesparsedatasets[J].SecurityandPrivacy,2008.[]Narayanan,Arvind,andVitalyShmatikov.Robustde-anonymizationoflargesparsedatasets[J].SecurityandPrivacy,2008.1.2知情同意原则的保障措施1.2.1透明度原则的应用为了保护信息主体对收集、利用信息的知情同意，美国与欧盟的个人信息相关立法中均创设了“透明度”原则，并根据该原则的指引确定了应用个性化推荐技术的信息处理者在收集、处理用户时的具体义务。就美国而言，2009年，FTC针对个性化推荐中的个人信息保护问题专门制定并公布了《在线行为广告自律原则》。其中，FTC根据透明度原则对网络服务提供者的披露义务作出了具体的要求，规定网站在为定向广告收集信息时应提供一个清晰的、简洁的、用户易懂的和突出的声明，包括：（1）本网站正在进行关于消费者网上活动信息的收集，该信息将用于向消费者提供符合其兴趣的产品和服务；（2）消费者可以选择是否允许网站为此目的而进行的信息采集。同时，网站应当为消费者提供一个明确的、易于使用的、可行的方式帮助消费者行使此项选择。透明度原则在FTC的多项调查活动中也有充分体现。2010年，FTC在调查EchoMetrix公司的过程中，查明EchoMetrix在一款App中对儿童浏览器中相关信息进行了秘密跟踪，并将这些信息用于个性化推荐行为。FTC认为，EchoMetrix在没有得到用户明确同意的情形下擅自跟踪、记录儿童信息，已经违反了透明度原则的相关要求[[]参见[]参见FTC对EchoMetrix公司的调查意见：FTCv.EchoMetrix,Inc.No.CV10-5516(E.D.N.Y.Nov.30,2010).透明度原则在欧盟GDPR中也有明确体现。GDPR序言中规定，根据透明度原则的要求，处理个人信息的机构应当“使用明晰的语言，以简洁易懂的方式提供与处理过程相关的各类信息”；同时，在其第三章“信息主体权利”部分也规定了“信息、交流与模式的透明性”，要求网络服务提供者“以一种简单、易于理解和容易获取的形式”告知用户信息处理的相关事项。根据上述规定的指引，实践中应用个性化推荐技术的网络服务提供者需要承担以下几方面的义务：首先，网络服务提供者需要让自然人充分了解个性化推荐过程中其个人信息处理的规则、保障与可主张的权利，以及如何行使这些权利；尤其重要的是，个人信息处理的目的应当明确、合法，并在个人信息收集之时就己确定；其次，在技术保障措施方面，GDPR要求网络服务提供者实施符合信息保护的设计保护原则和默认保护原则的措施，包括尽量减少对个人信息的处理、保障个人信息处理功能的透明化、赋予信息主体监测数据处理行为能力等。GDPR对透明度原则的细化规定为提供个性化推荐服务的广告技术企业、网络服务提供者带来了巨大挑战。据报道，GDPR生效当天，Facebook以及谷歌就相继因滥用cookie技术侵犯隐私权被起诉；5月初，Facebook在记者会上宣布其隐私政策的重要变化：用户可以对脸书网站搜集其浏览网页信息并用于定向广告的行为表示拒绝。此外，Apple公司也于同月修改了其隐私政策，新隐私政策中涵盖了对个人信息的搜集、利用、共享等方式进行解释的相关条款[[]“GDPR“快刀”威慑广告服务商全[]“GDPR“快刀”威慑广告服务商全球互联网巨头严阵以待”,中国证券网,/xwzx/201805/t20180529_5814441.html.最后访问时间：2021.3.22.1.2.2“请勿追踪”隐私协议“请勿追踪”本质上是用户与网站之间签订的一项隐私协议，用户可以借此避免网站对其隐私或个人信息的跟踪。其操作原理为：当用户对具有“请勿追踪”功能的浏览器提出请勿追踪的请求时，浏览器会将该请求传输给用户访问网站的服务器[[]参见搜狗百科[]参见搜狗百科/item/请勿追踪/22785327?fr=aladdin.“请勿追踪”协议在美国由来已久。2009年，火狐浏览器在其开发的一款插件雏形中首次使用了“请勿追踪”头字段功能；随后，微软、Opera、Safari、谷歌等均陆续在其浏览器中提供了“请勿追踪”的功能支持[[]“隐私之争:关于DoNotTrack你所应该知道的”,果壳网./article/396923/?page=1.最后访问时间：[]“隐私之争:关于DoNotTrack你所应该知道的”,果壳网./article/396923/?page=1.最后访问时间：2020.5.29.“请勿追踪”协议最初开始实行时，确实在一定程度上保障了用户对其个人信息被收集、利用的知情权、选择权，然而好景不长，“请勿追踪”功能的开发很快引起了广告业的不满：他们指出请勿追踪功能不应由浏览器默认开启，而是应当由网络用户自愿决定是否启用。随后，美国数字广告联盟（DAA）向美国政府公开表示，只有在“请勿追踪”不被浏览器默认开启的情况下，他们才会支持该系统。在广告商的反对下，各网络经营者对于“请勿追踪”的执行情况开始逐渐向消极化转变，导致目前的“请勿追踪”协议只能被称为网站与用户之间的一个“君子协定”。具体而言，“请勿追踪”协议提供的只是一种选择机制，网站完全可以忽略该机制，继续收集用户的个人信息。2012年9月，“请勿追踪”的创始者之一罗伊·菲尔丁在HTTP服务器中加入补丁，忽略了由IE10用户发送的“请勿追踪”请求；同年10月，雅虎也声明将忽略来自IE10浏览器用户的“请勿追踪”请求。2015年4月，微软也宣布其浏览器将不会主动运行“请勿追踪”功能[[]“微软:下代浏览器将不会默认开启"请勿追踪"功能”,搜狐网.[]“微软:下代浏览器将不会默认开启"请勿追踪"功能”,搜狐网./a/9429635_115640.最后访问时间：2020.6.3.欧盟的立法实践中也涉及到了“请勿追踪”协议的相关内容。欧盟2009年修订的《电子隐私指令》中，就规定各网站在追踪用户信息前应当得到授权。然而，与美国相同的问题是，欧盟境内对于该法律规范的实际执行情况也不尽人意。实际上，能够自觉遵守“请勿追踪”协议要求的网站非常少，还有一些网站即使表面遵守“请勿追踪”协议，但实际仍在私下对用户行为进行追踪。2020年6月2日，三名网络用户对谷歌提起诉讼，称其使用GoogleChrome上网时，即使开启了无痕模式，该浏览器仍会跟踪并记录用户在网络中留下的行为信息。通常情况下，谷歌的无痕模式为默认开启，这意味着谷歌用于个性化推荐等目的的相关插件将无法从用户那里收集、利用信息。但三名原告称，尽管用户开启无痕模式，谷歌仍能对用户的好友、个人偏好、购物习惯，甚至“令人尴尬的隐私信息”了如指掌[[]“因’无痕模式’泄露隐私，谷歌遭到50亿高额索赔”,新浪科技./roll/2020-06-05/doc-iirczymk5337235.shtml.最后访问时间：2020.6.7.]。由此可见，尽管“请勿追踪”协议的开发展示出了各国法律对于加强个人信息保护的不懈努力，但“请勿追踪”协议在实践中的执行情况并不理想，如果没有网络服务提供者的配合，这项协议[]“因’无痕模式’泄露隐私，谷歌遭到50亿高额索赔”,新浪科技./roll/2020-06-05/doc-iirczymk5337235.shtml.最后访问时间：20.3对用户个人信息控制的保障1.3.1确立“适当性使用”标准在个性化推荐的运行过程中，当网络服务提供者未完成对用户信息的收集时，用户是其个人信息的实际控制者；而一旦网络服务提供者结束对用户信息的收集、并开始进行信息整合与利用后，网络服务提供者便加入了对用户个人信息控制的争夺[[]梁泽宇,.个人信息保护中目的限制原则的解释与适用[J][]梁泽宇,.个人信息保护中目的限制原则的解释与适用[J].比较法研究,2018年第5期.美国在其1974年的《隐私法案》中规定了“信息正当运用原则”，其中包括“信息处理者只能为收集信息时的目的而使用信息”的内容，体现了目的限制原则的意旨。然而，由于美国对个人信息保护采取行业自治模式，且更侧重于保障信息流通价值，因此美国立法对于个人信息的再利用行为一般不予以禁止。例如1999年美国制定的《格雷姆·里奇·比利雷法案》中，就明确规定金融机构对个人信息的再利用是合法的[[]参见[]参见FTC官方网站：/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act.相对于美国而言，欧盟在个人信息使用限制方面的立法规定更为成熟，全面。1995年的《指令》曾指出，“个人信息必须基于指定的合法、具体目的进行处理，此外不得通过与上述目的不相容的途径进行其他处理。”GDPR出台后，同样保留了该规定。但从法条措辞中可见，欧盟的使用限制标准是具有弹性的——“不应与收集时确定之目的相违背”中，“不违背”不代表完全相同，也就是说，在网络经营者对个人信息进行后续处理、利用时，欧盟认为信息处理者可以增加与初始目的不完全相同的其他目的。欧盟对于使用限制的扩张解释背后，实则显示了其对个人信息保护与信息流通的法益平衡，在大数据时代下，网络技术与商业创新的发展是日新月异的，因此，无论是用户还是网络服务提供者可能都不会完全预知未来会有商业价值的其他目的，如果不允许额外目的的发生与应用，可能会导致用户信息商业价值的浪费。然而，如何判断额外目的是否与约定目的相容？针对这一问题，欧盟进一步提出了“适当性使用”标准——2014年，欧盟法院通过DigitalRightsIrelandandOthers的判决为这一标准的确立提供了重要支撑。该案中，法院对欧盟《2006/24号指令》作出判定，认为其如下规定侵犯了公民的个人信息权利，因而无效：“鉴于用户的流量与位置信息对于刑事案件的相关调查具有重要意义，因此网络服务提供者有必要对上述用户信息进行一定期限的保留。[[]周杰.比例原则下电子通信数据留存之限度——《欧盟2006/24号指令》无效案[J].苏州大学学报（法学版）2018年第5期.]”欧盟法院在判决中指出，“首先，《指令》中所收集和使用的个人信息是非常敏感的，因此处理这些信息很可能会窥探到个人的私生活内容，这将对信息主体的人格利益产生重大影响。因此，《指令》的合理性亟待严格审查；其次，虽然《指令》是出于公共利益目的而收集、利用信息，但是，它规定收集和存储的个人信息范围太广。对于大部分信息主体而言，没有证据表明其个人信息与恶性犯罪有关，其行为与犯罪之间存在的关联也极其遥远”。因此，法院认为《指令》对公民个人信息的保护已经形成了非法干涉[[[]周杰.比例原则下电子通信数据留存之限度——《欧盟2006/24号指令》无效案[J].苏州大学学报（法学版）2018年第5期.[]参见欧盟法院判决：DigitalRightsIrelandandSeitlingerandOthers，CaseC-293/12,C594/保障信息主体参与权利信息主体对信息处理过程的参与是实现个性化推荐中个人信息保护的重要途径。目前，多国立法都将个人参与原则明确列为个人信息保护的基本原则之一