大数据时代背景下个人信息保护行业自律面临的挑战

随着大数据时代的到来，大数据技术为经济社会发展带来了创新动力的同时，对个人信息保护带来了前所未有的挑战。本文回顾了美国隐私保护行业自律发展历程，分析了大数据时代下美国隐私保护行业自律模式衰落的原因，并总结经验，提出了我国加强个人信息保护的监管措施建议。

一、美国隐私保护行业自律的兴衰史

美国隐私保护行业自律始于1997年。1997年至2007年是美国隐私保护行业自律发展的黄金十年。这一时期，各行业明显感受到联邦层面加强隐私保护的立法趋势，为了避免受到强制性监管，隐私保护行业自律模式迅速铺开，涌现了大量行业自律组织与认证机构。

2000年前后是个人隐私保护行业自律发展的顶峰，产生了大批具有代表性的行业自律组织，包括：个人参考服务组织[1]、隐私领导倡议[2]、在线隐私联盟[3]、网络广告倡议[4]、BBBonline隐私计划[5]等。客观上来说，这一时期有限的政府资源，很难有效覆盖各行业，政府不得不依靠行业自律组织。同时，各隐私保护自律组织确实制定出台了较为完善正规的隐私保护原则、规则、标准，建立了较为健全的成员企业准入和年审机制，定期发布隐私保护审查报告，并筹措到了组织运转必要的资金支持，满足了当时的隐私保护现实需求。总之，这一时期的行业自律组织无论是质量上还是数量上，都代表了美国隐私保护行业自律发展的最高水平，行业自律的繁荣客观上弥补了政府监管能力的不足，在一定程度上降低了政府投入。

然而，2003年以后，随着联邦贸易委员会对隐私保护监管兴趣的衰退，以及相关立法政策环境变化，隐私保护行业自律开始走“下坡路”。根据美国世界隐私论坛发布的公告，截止到2011年，多数行业自律组织已经停止工作或销声匿迹。以网络广告倡议（Network Advertising Initiative）为例，到2003年成员企业只剩2家，监督和审计工作全部停滞；2008年后，联邦贸易委员会重拾隐私保护监管兴趣，但网络广告倡议组织并未因此而复兴。1999年通过的《金融服务现代化法案》使得金融行业的隐私保护行业自律失去意义，个人参考服务组织（Individual Reference Services Group）成员企业不再需要付出昂贵成本履行隐私保护自律原则和规则，IRSG成员最少时仅存两名，并于2001年宣告终止。

二、美国隐私保护行业自律衰落原因分析

回顾美国隐私保护行业自律组织的兴起与衰落，不难发现与政府监管意愿存在着千丝万缕的联系。2008年之后，随着云计算、大数据等信息技术创新发展，隐私保护面临的挑战日趋严峻，政府部门监管意愿日趋强烈，但美国隐私保护行业自律组织并没有重演2000年的繁荣复苏。分析其中原因，主要包括三个方面。

企业从经济利益考量缺乏加入行业自律组织的动力。大数据时代，数据越来越成为企业发展的重要创新动力，个人数据被赋予了经济价值。越来越多的企业通过个人数据获得经济利益，遵循隐私保护行业自律规则直接影响到企业的收入与利润。

行业自律组织缺乏对成员企业的有效约束手段。行业自律本身的自发组织性决定了其更多地依靠企业自觉履行责任和义务，行业自律组织制定的准入和年审机制也难以同政府监管手段媲美，持续性发挥作用。以TRUSTe为例，美国联邦贸易委员会（FTC）在2014年的《隐私和数据安全年终报告》中指责TRSUTe未按照其发布的认证章程履行年检责任。自2006年到2013年，超过1000家网站没有经过TRSUTe的年度复核，却依然张贴TRSUTe的认证标志。

政府强化隐私保护监管使得行业自律失去意义。美国虽然尚未设立统一的数据保护监管部门，但近年来，联邦贸易委员会、联邦通信委员会等政府部门从自身职责出发，不断强化隐私保护监管政策，加大监督执法力度。仅2015年，美国联邦贸易委员会就处理了14起涉及侵害消费者隐私或威胁个人数据安全的案件，对涉事企业处以高额罚款并向社会公示。从现实来看，美国已经逐渐意识到单纯依靠行业自律已经无法满足大数据时代下民众对隐私保护的期待，政府监管执法逐步替代行业自律成为保护体系的核心。

三、大数据时代加强个人信息保护的建议

当前，我国个人信息保护问题日趋严重，个人信息非法买卖黑色产业链日益猖獗，已成为社会关注焦点，上述美国隐私保护行业自律模式的探索经验对我国构建完善大数据时代下的个人信息保护体系有着借鉴意义。

一是立足大数据技术、业务发展现状、尽快完善个人信息保护规定。《电信和互联网用户个人信息保护规定》发布于2012年，其中内容相对原则，需要进一步细化完善，方能有效应对当前大数据应用引发的个人信息安全风险。考虑到当前个人信息保护形势严峻，应从严制定相关具体规定或条款，划定安全“红线”。

二是抓住数据利用和共享合作等关键环节，加强个人信息保护监管。美国前期主要依赖行业自律的做法不足以约束和规范企业收集、使用个人信息的行为，需要依法加强行政监管，才能切实督促企业落个人信息保护责任和义务。在实际监管过程中，可以借鉴美国应对大数据时代下用户隐私挑战的先进做法，将数据利用和共享作为监管重点，对企业的个人信息开发利用、数据外包服务的使用、数据共享合作加强安全监管。

三是加强对企业违法违规行为执法调查和处罚力度。加大对个人信息泄露等安全事件的执法调查，依法对涉事企业的违法违规行为进行处罚，并向社会公示处罚结果。综合运用通报约谈、信用体系等柔性监管手段强化个人信息保护监督和处罚力度，增加企业违法违规成本，督促企业落实个人信息保护的责任和义务。