1.5 服务生成数据举例
本节将明确由服务提供商所创建的数据的性质和类型。部分服务需要生成数据,否则无法确保消费者获得适当的服务质量。其他服务可用数据来强化和定制产品。还有一些具有特定的行业特征,可触发更具挑战性的隐私和数据安全的具体问题。[15]
1.5.1 电话——顾客专有网络信息
提供语音和数据服务的运营商需要收集数据为流量提供手机路由。然而,收集的数据还可支持创建有关用户电话号码、所用电信网络及手机使用位置的档案来营销附加服务并出售给广告商。这种基本数据和非必要数据的组合体现了制定规则、法规和消费者保障措施的难度。政府监管机构需要保证运营商收集和使用客户基本网络信息的权利,以提供拨号音、正确路由并收取服务费用。监管机构还需遏制运营商的动力和能力,避免将此信息用于非必要的目的,或在未告知消费者并提供可能补偿的情况下推销数据以产生额外收入。
美国联邦贸易委员会试图通过创建“禁止呼叫”清单[16]并对违规行为予以经济处罚的方式保护电话用户,未经同意不得发送商业广告(“远程营销”)。美国联邦通信委员会(“FCC”)制定了规则,限制运营商使用顾客专有网络信息(“CPNI”)。[17]委员会力求将运营商对用于流量交换、路由和计费的数据的收集和使用合法化,但限制将此类数据用于业务开发、营销和创造额外收入。此外,较之与用户缺乏直接商业关系的竞争对手,电信运营商可使用CPNI获得竞争优势。FCC制定了规则防范拥有设施的运营商利用获取CPNI的能力实现反竞争目标,包括利用用户信息增强提供增值服务的能力,向其他企业营销数据以提高缺乏CPNI访问权限的其他对手无法具备的竞争力。
1.5.2 互联网——数据挖掘的权利和责任
互联网企业同样可生成用户的相关数据,在改善服务的同时产生额外收入。前者的例子包括改进内容过滤以阻止垃圾邮件和其他有害内容,利用汇总信息来监测一般趋势和消费者偏好。后者的示例则包括使用数据来确保相对缺乏数据的其他企业的竞争优势,向愿意付费的企业提供数据以增强对特定消费者的访问和了解。
对互联网服务用户的数据挖掘多生成关于特定个体的信息。服务提供商可模糊具体身份,该过程称为匿名化,但提供商也可组合并汇总数据,形成有关消费者一般需求、愿望和兴趣的洞见。制定用户的特定档案带来了重大财务激励,广告商和数据买家可针对个人定制消息。
鉴于数据挖掘能够指向特定个体,隐私权益和数据保护要求涵盖了防止未经许可的数据收集和传播、纠正有缺陷、不完整或不正确的阐释以及在特定情况下忽略或取消数据收集和推论的明确义务。若强制实施,这些义务会给服务提供商造成巨大成本。此外,可能会对具备机会无条件、广泛收集、分析和营销消费者数据的商业计划产生不利影响[18][19]。
1.5.3 金融服务——信用卡和其他商业交易
金融服务需要生成、存储和访问数据。若没有推动互利交易的规则、程序、协议和其他合约,社会不可能从易货贸易不断向前演变。构成支付的属性和特征已从易货商品和服务等实物对象发展到象征性的受信对象、黄金和纸币,再到电汇等无形借贷。在交易演变的过程中有两个要素贯穿始终:①交易各方必须相互信任,也信任货物、服务和补偿的交换过程,②各方必须建立基础以评估交换价值、记录交易,拥有一个或多个交易融资机制。即使一个或多个参与方希望保持匿名,也无法在没有任何交换记录、备案和确认方式的情况下进行交易。
金融交易要求各方在达成具有约束力的协议时相互信任并核实。因此,数据的收集和保护是两大基本要素。当参与方确信能够获得预期利益以换取其所提供的补偿时,金融交易程序便受到信任。核实包括通过验证技术确认交易方的身份、查询数据库以确认可信度、借贷双方出入账、通过强有力且可持续的记录技术来备案和确认交易的执行。
数据记录、收集、存储、归档和其他功能是促进金融交易的必须手段。毫无疑问,除特定交易外,生成的数据还可额外支持热门交易,包括未经授权的交易和意外交易。当前,数据保护的目标包括保护个人身份免于失窃,保护金融账户信息,以免窃贼用以提取金钱和其他价值。若没有数据保护措施和对信用卡等信用工具被盗的财务补偿,消费者可能会对依赖高速数字网络作为金融交易渠道的各类金融技术失去信心。
隐私权益来自信任关系:与信任的人分享信息,对不信任的人隐瞒信息。尊重信任,信心便会增长,出卖信任,信心则会减少。网络生态系统中的公司需要消费者的信任,这样消费者才会持续上网、接受观察、浏览广告并购物。但这些公司也利用消费者的信任来赚钱——利用获取的信息制定个人资料,通过广告让人们购买并不真正想要或需要的东西且支付的价格存在个体差异而非统一价格。因此,最好将信任和隐私视为网络生态系统管理的公共资源池,而非消费者和卖家在市场上交换的商品。[20]
政府早在互联网交易兴起前便已介入金融服务市场,为消费者提供保护,增强信心、信任和网络的使用,推动物理上独立的个体和设备间发生的交易和其他不易确定交易地点的各类交易。
以下总结了美国主要的消费者保护法,涉及金融交易的各个方面。[21]
(1)儿童网络隐私保护,15 U.S.C.§6501-6506
该法禁止自动收集13岁以下在线用户的信息。面向儿童的互联网网站、在线服务及第三方广告网络不得故意在线收集儿童的个人信息。此外,该法还规范了以儿童为对象的行为广告,要求在收集任何地理位置信息前均需征得家长同意。
(2)电子资金转账法案(1978),15 USC 1693 et seq.
法案规定了提供电子资金转账服务的金融机构对消费者的基本权利、义务和责任。法案明确了自动柜员机、销售点终端、话费支付计划、工资直接入账等顾客账户预授权划缴服务提供商的责任。
(3)平等信用机会法案(1974),15 U.S.C.§1691 et seq
该法案禁止在信用交易中基于顾客的性别、婚姻状况、年龄、种族、宗教、肤色、国籍、是否接受公共援助资金或依据《消费者信用保护法案》行使任何权利对顾客区别对待。信用卡公司、借款公司等金融信贷提供商必须为有资格的个人提供信贷。其他要求还包括向申请失败者书面说明信贷被拒的原因,允许已婚个人在共同账户中以配偶双方的名义留存征信记录。
(4)加速资金到位法案(1987),12 U.S.C.Ch.41
该法规定了存款机构何时必须允许消费者将其存款取现。要求机构向顾客披露有关资金到位的政策。
(5)2003年公平准确信用交易法案,Pub.L.108-159
该法增强了消费者打击身份盗窃的能力,提高了消费者报告的准确性,更好地控制了消费者可收到的营销宣传的类型和数量,限制了敏感医疗信息的使用和披露,为规范消费者报告树立了统一的国家标准。
(6)1988年公平信用卡与借记卡信息披露法案,Pub.L.100-583
该法要求贷方和信用卡发卡机构披露其服务合同的关键条款,包括通过邮件发送、电话营销时同意或当面向公众提供的信用卡申请。
(7)公平信用账单法案(1974),15 U.S.C.§1601 et seq.
该法规定了债权人必须回应消费者账单投诉的情况,要求公平、及时地处理消费者的投诉。主要适用于循环费用账户和信用卡账户。
(8)公平信用报告法案(1970),15 U.S.C.§1601 et seq.
该法保护消费者免受信用报告机构所维护的信用档案中出现不准确或误导性信息的影响。法案要求信用报告机构为申请人提供方法以纠正其信用记录,消除错误和不正确的信息。
(9)公平债务催收法案(1977),15 U.S.C.§1692-1692p
该法禁止贷款人及其代理(如收债公司)的滥用和侵犯性债务催收行为。
(10)联邦信息安全管理法案,Pub.Law 107-347
该法明确了国土安全部是联邦政府负责执行联邦行政部门民事机构的信息安全政策并监督政策合规性的主要机构。内容包括要求向个人发送联邦机构数据泄露通知,在发生重大信息安全事件和数据泄露时向国会汇报,同时每年提交年报。
(11)格雷姆·里奇·比利雷法案(1999),12 U.S.C.§78,§377;15 U.S.C.§80
该法亦称《金融服务现代化法案》,规范了财务信息的收集、使用和披露。法案适用于银行、证券公司、保险公司等金融机构以及提供金融服务和产品的其他企业。法案对非公开个人信息的披露进行了限制,在部分情况下要求金融机构告知其隐私实践并给予数据主体选择不共享其信息的机会。此外,法案还提供了若干隐私保护措施,包括企业保存、保护及在某些情况下消除个人数据的要求。
所谓的法规P规定了金融机构何时以及如何向非附属机构的第三方披露消费者的非公开个人信息,为消费者提供了有条件的退出权以制止与非附属机构的第三方共享信息,同时要求金融机构向消费者告知其隐私政策和实践。
(12)1988年住宅权益贷款消费者保护法案,Pub.L.No.100-709
该法要求债权人向消费者提供由消费者住所担保的开放式信贷计划的详细信息,包括总体描述住宅权益贷款的手册。法案还规范了住宅权益贷款的广告,限制了住宅权益贷款计划的期限。
(13)1974年隐私法案,5 U.S.C.§552
该法为联邦政府机构收集、维护、使用和传播个人信息确立了公平的信息实践准则。《隐私法案》要求各机构在《联邦公报》中向公众通报其数据收集系统。法案禁止在未经个人书面同意的情况下从记录系统中披露有关个人的记录,依法规定的十二项特例除外。法案还为个人提供了访问和修改个人记录的途径,明确了机构保存记录的要求。
(14)诚信放贷法案(1968),15 U.S.C.ch.41§1601
该法为信贷成本的计算和信贷期限的披露确立了统一方法,令借款人有权在三天内取消由其住所担保的某些贷款。法案还禁止主动发放信用卡,限制持卡人对未经授权的使用承担的责任,对费率或费用超过规定门槛的住宅权益贷款予以限制。
(15)电子通信隐私法案与计算机欺诈和滥用法案,Pub.L.99-508
此类法律条款就联邦政府对电子和数据通信的拦截进行了规定。法院已进行法律解释,说明此类规定适用于互联网服务提供商(ISP)和广告公司,对从个人计算机传输至ISP服务器的内容进行深度数据包检查的行为将受到制裁。
1.5.4 医疗保健——健康信息的创建、留存和披露
个人的健康信息是医疗保健公司定期获取、使用和分享的数据中最为私密且具有潜在伤害的内容之一。政府认识到此薄弱环节及在缺乏强制保障的情况下数据被利用的条件已驱成熟。另一方面,数据保护的要求不应妨碍数据交换的及时性和挽救生命的可能性。
美国的《健康保险便携和问责法案》(“HIPAA”)规范了医疗保健提供方、数据处理方、药房和其他能接触到医疗信息的实体对医疗信息的收集和传播。[22]法案及其实施细则为受保护的健康信息的收集、传输、分享和使用提供了可执行的标准。与其他数据保护法不同,医疗保健企业在从事以下任何活动的过程中若泄露了创建、存储、处理和分享的受保护健康信息,HIPAA要求相关实体予以:数据分析和处理;质量保证、计费、福利管理、实践管理、对商品和服务重新定价。