作者:刘书硕 时间:2020-11-11
“信息自动化决策”是指通过计算机自动化的方式处理得到的数据,从而产生对数据来源主体重大影响的决策。《个人信息保护法(草案)》第二十五条对利用个人信息进行自动化决策进行规制,回应了在大数据背景下,“信息自动化决策”在为新动能添砖加瓦、为生活带来便利和智能的同时,对个人数据的保护提出了新的挑战,对数据控制者提出更高的要求。
一、日常生活中的“信息自动化决策”
(一)智能软件应用
日常使用的交互式软件,比如:某宝、某音、某团外卖、某滴打车等。在用户使用上述软件的过程中,软件会尝试获取用户个人位置、爱好、消费能力、使用软件的时间和时长等信息,精准的分类推送或引导用户购买、使用自己的产品,从而提高该软件平台的日活量、成单量,最终实现提高企业收益和市场占有率的目的。
(二)智能硬件设备
以自动驾驶为例,Google无人驾驶汽车的感知系统是由车顶安装的激光雷达来检测与车辆周边障碍物的距离,并反馈回系统创建三维地图。由安装的毫米波雷达负责检测车辆附近的障碍物和激光雷达的盲区,如在盲区发现障碍物则会报警。由安装在车窗处的相机检测车辆是否正确行驶在车道内,如发现偏离车道则会发出预警。安装在车窗处的红外线相机用于夜间检测路面情况,并在仪表盘上显示出来,尤其是障碍物会突出显现。由安装的可见光摄像机检测周围可视路面情况并形成三维图。通过以上感知系统搜集信息并传送给Google数据库,由Google的数据处理中心进行处理。无人驾驶汽车收集路面的数据信息,做出信息自动化决策。
二、“信息自动化决策”中数据控制者缺乏义务准则
(一)目的限制准则缺失
数据控制者没有明确告知数据主体收集数据的目的,在数据收集之后,数据控制者随意使用数据,利用数据主体的经济数据、个人爱好、健康状况进行与目的无关的分析、决策。
(二)不透明收集数据
数据控制者未用交互式界面显示数据实时流动的情况,用户无法看到数据上传与下载。
(三)数据最少化准则缺失
数据控制着在满足自身需要的同时,尽可能坚守对用户数据的收集和使用,数据收集主体为自身利益考量,与之相反做到尽量多收集。
三、《个人信息保护法(草案)》中的回应
《个人信息保护法(草案)》第二十五条:“利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。”
(一)数据控制者需遵守透明、公平、合理原则
该原则是指任何有关个人数据处理的信息都可被轻易获取,且语言应清晰、平实、易懂。该原则尤其重视数据主体对数据控制者身份、数据处理目的以及能确保被正当和透明处理的进一步信息的知悉。数据主体应被告知涉及其个人数据被处理的风险、具体规则、保障措施、相关权利以及在数据处理过程中如何行使个人权利。
(二)数据控制者需得到数据主体明示同意
如果数据处理行为都能获得数据主体真实的同意,则个人数据的保护将不是问题,但对于在大数据背景下的数据处理,若每次数据处理都需要经过数据主体的自由而明确的同意,显然是对数据控制者提出了较高的要求。笔者赞同维持数据主体同意的数据处理要件,并明确数据控制者必须获得“明示同意”的高标准,法条中规定明示同意的前提是对数据主体权益造成重大影响,对于重大影响的范围和标准,没有进一步的说明,期待对该条规定有明确的界定。
(三)数据控制者需给予数据主体选择权
在以往的数据运营中,数据控制者通过对自身利益的考量,在收集个人信息数据后,通过自动化决策,推送给数据主体海量信息。而作为被收集的数据主体,没有选择权利,这种权利和义务不对等的关系,在本次草案中被修正。
伴随着大数据技术发展,自动化决策对数据主体产生的影响问题日趋严重。能掌握自动化决策技术的数据控制者不外乎是大型的企业(特别是以大型互联网企业)和政府部门,他们从自身角度出发,利用最新的技术去收集、处理海量的个人数据,个人数据的滥用和泄露不可避免。与此同时,大数据技术的使用为国民经济的发展提供新动能,为人民的生产生活提供便利。总之,为积极应对大数据技术带来的机遇和挑战,应理性认识矛盾现状,在保护我国公民的信息安全和促进科学技术的发展中寻找适合的平衡点。