銀聯(lián)智惠信息服務(wù)(上海)有限公司 上海 200125

隨著信息搜集、分析、存儲的日趨便捷，工具和技術(shù)愈發(fā)先進(jìn)，產(chǎn)出和投入愈加懸殊，越來越多的企業(yè)躋身開發(fā)、利用數(shù)據(jù)隱私的行列之中。大量的公民數(shù)據(jù)隱私信息被某些人用于盈利。而在許多時候，公民(用戶)的數(shù)據(jù)隱私由自己泄露或被他人泄露卻毫不知情，信息嚴(yán)重不對稱。公民事先無法防范數(shù)據(jù)隱私被套、被竊、被泄，受侵行為發(fā)生后，或渾然不覺，或求助無門，處于弱勢地位。

個人隱私信息是指一種與公共利益、群眾利益無關(guān)的，當(dāng)事人不愿他人干涉的個人私事，或當(dāng)事人不愿他人侵入或不便侵入的個人領(lǐng)域，主要包括個人身份信息、財務(wù)信息、偏好信息、家庭信息、社會信息等。在互聯(lián)網(wǎng)和大數(shù)據(jù)時代下，人們的上網(wǎng)痕跡、身處的地理位置等信息也被歸入個人隱私信息的范疇。在傳統(tǒng)的紙質(zhì)時代，由于物理距離的限制，個人信息得到了較好的保護(hù)[1]。在大數(shù)據(jù)時代，隱私權(quán)因所處環(huán)境的虛擬化，使之內(nèi)容與傳統(tǒng)隱私權(quán)發(fā)生了顯著差別。本文所提的數(shù)據(jù)隱私，特指個人隱私信息。

1 互聯(lián)網(wǎng)遇上大數(shù)據(jù)，公民的數(shù)據(jù)隱私受到嚴(yán)峻挑戰(zhàn)

1.1 侵犯公民隱私權(quán)的行為產(chǎn)生許多新變，形勢更加嚴(yán)峻

在現(xiàn)實生活中，由于網(wǎng)絡(luò)和大數(shù)據(jù)的原因，公民在隱私權(quán)被侵犯方面，出現(xiàn)了四個“越來越”：1)使用網(wǎng)絡(luò)不留痕跡變得“越來越困難”；2)行為不軌者竊取公民隱私信息變得“越來越容易”；3)公民隱私信息泄露變得“越來越普遍”；4)竊取公民隱私信息的案件情節(jié)變得“越來越嚴(yán)重”。

在互聯(lián)網(wǎng)條件下，傳統(tǒng)的隱私保護(hù)法律和策略不能說已經(jīng)失效，但有時難免捉襟見肘，這也是無可否認(rèn)的事實。人們普遍感到自己與大數(shù)據(jù)相聯(lián)系的隱私安全受到嚴(yán)重威脅。

美國是一個有著尊重個人隱私權(quán)傳統(tǒng)的國家。但公民個人數(shù)據(jù)隱私的保護(hù)并非沒有問題。美國《消費者報告》發(fā)布的一項調(diào)查顯示，2013年1/7美國人曾被告知個人數(shù)據(jù)泄露。此外，62%的美國人沒有采取任何措施來保護(hù)在線隱私。《消費者報告》估計：2013年，1 120萬美國人曾遭遇了電子郵件釣魚欺詐，而29%的美國網(wǎng)民的家用計算機(jī)感染了惡意軟件。

1.2 公民數(shù)據(jù)隱私安全普遍受到威脅和侵害的原因有多種

1)某些企業(yè)和個人以販賣公民數(shù)據(jù)隱私為手段非法獲利。在我國，出現(xiàn)了以獲取和販賣公民數(shù)據(jù)隱私以賺取錢財?shù)男挟?dāng)。某些企業(yè)和個人存在以公民數(shù)據(jù)隱私非法獲利的主觀故意。

2009年，央視“3·15晚會”曝光過如下案例：海量信息科技網(wǎng)公開叫賣個人信息。買主以人民幣100元，就能購得1000條全國各地私家車車主、各大銀行用戶及證券公司股民的信息(包括姓名、手機(jī)號碼、身份證號碼等)。2010年，Process Monitor曾報360的危險行為：販賣用戶隱私是常態(tài)。2011年，北京警方于9月19日宣布，一個專門在網(wǎng)上買賣公民個人信息的犯罪團(tuán)伙被警方抓獲，在犯罪嫌疑人的電腦中，警方發(fā)現(xiàn)上千萬條公民個人信息。2013年，張家口市公安局破獲“4·23”販賣個人信息案，查獲被販賣的各類公民個人信息1 000多萬條。

以上案例說明：一些企業(yè)和個人利用職務(wù)和技術(shù)之便，蓄意搜集公民個人數(shù)據(jù)隱私，然后出售給有需要的客戶，達(dá)到自己賺錢的目的，或由自己直接實施欺詐行為以獲利；購買他人數(shù)據(jù)隱私信息者，則利用購得的信息發(fā)送廣告，進(jìn)行產(chǎn)品推廣，或者進(jìn)行詐騙等犯罪活動[2]。公民數(shù)據(jù)隱私信息販賣情況如圖1所示。

圖1 公民數(shù)據(jù)隱私信息販賣情況圖示

在公民數(shù)據(jù)隱私信息方面，既有供貨者又有購買者，既有采集者又有需求者，已形成了“產(chǎn)業(yè)鏈”。

2)由于病毒和漏洞造成數(shù)據(jù)隱私泄露。在網(wǎng)絡(luò)條件下，公民的個人信息頻遭泄露；在大數(shù)據(jù)時代，情況更是如此。截至2015年11月18日，中國最大的漏洞播報平臺補(bǔ)天平臺的統(tǒng)計數(shù)據(jù)表明，共有1 410個漏洞可能造成網(wǎng)站上的個人信息泄露，共涉及網(wǎng)站1 282個，可能泄露的個人信息量高達(dá)55.3億條，較2014年的23.6億條翻了一倍還多。按照中國網(wǎng)民總數(shù)6.5億來算，僅2015年一年，平均每個中國網(wǎng)民至少可能被泄露8條以上的個人信息[3]。典型個案如表1所示。

以上案例有著共同之點：特定主體并非故意而為，悉數(shù)因出現(xiàn)漏洞而致客戶(用戶)數(shù)據(jù)隱私泄密，并不構(gòu)成違法。

表1 近年來中國有關(guān)企業(yè)因漏洞所致公民數(shù)據(jù)隱私信息遭泄露典型個案簡況表(以時間先后為序)

專家預(yù)測，2016年，隨著移動互聯(lián)網(wǎng)、云和物聯(lián)網(wǎng)的高度融合，數(shù)據(jù)隱私信息泄密事件將呈高發(fā)態(tài)勢。

3)由于黑客入侵造成公民個人數(shù)據(jù)隱私泄露。黑客入侵是近年來公民數(shù)據(jù)隱私頻遭泄露的一個重要原因。

在中國，2011年12月21日，有網(wǎng)友爆料稱，國內(nèi)程序員社區(qū)CSDN的安全系統(tǒng)遭到黑客攻擊，CSDN數(shù)據(jù)庫中的600萬用戶的登錄名及密碼遭到泄漏。CSDN在微博上確認(rèn)了這一事故。

2011年12月25日下午，國內(nèi)知名社區(qū)網(wǎng)站天涯網(wǎng)的用戶隱私遭到黑客泄漏。此次被泄漏用戶數(shù)量達(dá)到4 000萬。天涯被泄漏用戶的密碼全部以明文方式保存，數(shù)量之大令人咋舌。

在美國，2014年9月，美國國土安全部遭黑客攻擊事件使得該部門2.5萬名工作人員陷入恐慌。8月初，美國國土安全部(DHS)官員曾透露，一家負(fù)責(zé)提供安全背景調(diào)查的合同商遭到黑客入侵，導(dǎo)致該合同商收集的大量國土安全部雇員的個人信息失竊。

同樣是在美國，2005年6月17日，由于黑客的木馬入侵，美國信用卡系統(tǒng)解決方案公司違規(guī)保存且未加密的包括萬事達(dá)和Visa等信用卡在內(nèi)的4 000萬條信用卡信息被泄露。2012年3月30日，信用卡支付中介機(jī)構(gòu)美國全球支付公司系統(tǒng)被黑客侵入，約超過千萬的萬事達(dá)和Visa信用卡賬戶信息失竊。

在世界上的更多地方，在過去四五年間黑客利用旅館的Wi-Fi網(wǎng)絡(luò)入侵高管電腦竊取私密數(shù)據(jù)的事件發(fā)生頻率越來越高。根據(jù)卡巴斯基實驗室公布的一項報告顯示：多支黑客團(tuán)隊專門在高管入住多的旅館架設(shè)高危Wi-Fi網(wǎng)絡(luò)用于竊取用戶數(shù)據(jù)，日本、中國、俄羅斯、韓國等多個國家都相繼發(fā)生過此類案件。

黑客防不勝防。黑客入侵，后果慘極為嚴(yán)重。在黑客入侵和防黑客入侵的博弈中，貫穿著智力、技術(shù)和經(jīng)驗的較量。如果不能抵擋黑客，那就只能束手就擒。故防黑客、反黑客已成為掌握和管理數(shù)據(jù)的機(jī)構(gòu)和企業(yè)的“命門”。

2 我國目前對互聯(lián)網(wǎng)環(huán)境中公民數(shù)據(jù)隱私的法律保護(hù)

對網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)隱私加以法律保護(hù)，我國在這一方面的立法已有一定的進(jìn)展，但仍有較大的立法空間。就我國目前的現(xiàn)狀而言，尚無關(guān)于數(shù)據(jù)隱私保護(hù)的專門性的法律規(guī)定，數(shù)據(jù)隱私受侵害者尋求法律救濟(jì)仍是困難重重。我國已出臺的相關(guān)法律法規(guī)如表2所示。

表2 我國已出臺的與數(shù)據(jù)隱私保護(hù)有關(guān)的法律法規(guī)

除此之外，在《中華人民共和國刑事訴訟法》1)第150條、183條，《中華人民共和國行政訴訟法》2)第32條、41條、43條、54條、65條中，均不同程度地規(guī)定了隱私保護(hù)的具體措施，體現(xiàn)了有效保障公民的隱私權(quán)益的宗旨。

然而，立法和執(zhí)法的過程中，也存在一些不足。

一是關(guān)于隱私權(quán)保護(hù)，我國迄今尚無一部完整的法律，缺乏專門法，散見于各種法律法規(guī)中的規(guī)定難免給人以零碎之感。

二是保護(hù)效力還缺乏一定的權(quán)威性。在現(xiàn)行法律法規(guī)中，除《侵權(quán)責(zé)任法》的法律位階較高外，其他的位階一般都比較低，在一定程度上影響公民隱私權(quán)的保護(hù)。

三是關(guān)于數(shù)據(jù)隱私的現(xiàn)有法律條文，大抵都停留于原則性的、禁止性的規(guī)定上。由于稍嫌簡單籠統(tǒng)，在實際操作過程中難以具體落實。

四是在我國的《民法通則》中，隱私權(quán)并沒有被確認(rèn)為公民的獨立民事權(quán)利，這顯然不利于加大對公民隱私權(quán)保護(hù)的力度。

五是從法理上說，隱私權(quán)作為公民的一種權(quán)利，其權(quán)利邊界顯得相對模糊。相關(guān)的法律沒有就公民隱私權(quán)與公民知情權(quán)之間的關(guān)系作出明確規(guī)定。實際上，這是兩種性質(zhì)完全不一樣的權(quán)利，其權(quán)利主體、客體、侵害方式、侵害結(jié)果等方面都存在著顯著的不同。

3 國內(nèi)相關(guān)企業(yè)須從國際視野獲得啟發(fā)

3.1 關(guān)注國際立法趨勢和立法動態(tài)

中國的金融企業(yè)、大數(shù)據(jù)和互聯(lián)網(wǎng)公司特別是其中的領(lǐng)軍式的企業(yè)，應(yīng)當(dāng)具有國際視野，關(guān)注發(fā)達(dá)國家數(shù)據(jù)隱私保護(hù)方面的立法動向，關(guān)注它們新立和擬立的法律及對原有法律的修訂。

美國圍繞保護(hù)公民數(shù)據(jù)隱私的立法有兩個方面給人留下深刻的印象。一是將保護(hù)公民數(shù)據(jù)隱私與促進(jìn)行業(yè)創(chuàng)新緊密結(jié)合；二是將企業(yè)及其員工的自律放到重要位置上。中國的金融企業(yè)可以從中有所借鑒，通過法律保護(hù)公民數(shù)據(jù)隱私，與促進(jìn)企業(yè)創(chuàng)新并行不悖。良好的法治環(huán)境可以助推企業(yè)在正確軌道上創(chuàng)新發(fā)展。在處理保護(hù)公民數(shù)據(jù)隱私和促進(jìn)行業(yè)創(chuàng)新發(fā)展的關(guān)系方面，美國的有關(guān)機(jī)構(gòu)、有關(guān)人士破了題，但這方面的研究尚屬剛剛開始，有待不斷深化[4]。

歐盟對公民數(shù)據(jù)隱私的保護(hù)對中國金融企業(yè)、大數(shù)據(jù)和互聯(lián)網(wǎng)公司也頗有啟發(fā)。在法律規(guī)定的框架內(nèi)，鼓勵和支持個人數(shù)據(jù)信息的自由流通。在這里，顯然是對個人數(shù)據(jù)作了理性的區(qū)分。可以自由流通的是個人數(shù)據(jù)中不涉及隱私和不那么敏感的部分；與此同時，對個人信息的流通方向也是有所把控的(即只在實施1995年《個人數(shù)據(jù)保護(hù)指令》的成員國和對個人隱私的保護(hù)符合要求的國度內(nèi)流通)。個人數(shù)據(jù)信息絕不流通，似乎是安全了；然而，其中可以通過自由流通而利人、利己的個人數(shù)據(jù)信息也因此受阻了，這也確實是一種無形損失和因噎廢食[5]。

3.2 提升對數(shù)據(jù)隱私保護(hù)的重視度

無論是美國還是歐盟，對公民數(shù)據(jù)隱私的保護(hù)及重視度都甚于中國。撇開因黑客入侵對公民數(shù)據(jù)隱私安全造成的威脅不談，由漏洞造成的公民數(shù)據(jù)隱私泄露，其實深層次的原因在于有關(guān)主體在認(rèn)識上存在嚴(yán)重不足，應(yīng)從如下四個方面提升認(rèn)識[6]。

1)深刻認(rèn)識公民隱私權(quán)。隱私權(quán)是完整人權(quán)中極為重要的一部分。在現(xiàn)代社會中，隱私權(quán)在完整人權(quán)中的地位有不斷上升的趨勢。

2)深刻認(rèn)識保護(hù)公民數(shù)據(jù)隱私的重要性。對保護(hù)公民數(shù)據(jù)隱私的重要性，無論怎樣強(qiáng)調(diào)都不為過分。

3)深刻認(rèn)識對公民數(shù)據(jù)隱私保護(hù)得不好可能產(chǎn)生的嚴(yán)重后果。①數(shù)據(jù)主體首當(dāng)其沖，受到傷害。而他們是特定金融企業(yè)的客戶，是該涉事企業(yè)的直接受害者。②涉事企業(yè)被告上法庭，抑或卷入法律糾紛，被判賠償受害人經(jīng)濟(jì)損失和精神損失。③事件通過新聞傳媒或社交類媒體廣泛傳播，長年經(jīng)營贏得的美名毀于一旦。

4)深刻認(rèn)識保護(hù)公民數(shù)據(jù)隱私的方略。認(rèn)識有利于調(diào)動智性，智性可幫助加深認(rèn)識。保護(hù)公民數(shù)據(jù)隱私，其方略有待被深刻認(rèn)識，包括以下幾個方面。

①得到授權(quán)的方略[7]。用戶在網(wǎng)上留下資料(或是個人需要，或是服務(wù)商要求)時，服務(wù)商作為數(shù)據(jù)使用者就將擔(dān)起對數(shù)據(jù)隱私進(jìn)行保護(hù)之責(zé)。擁有數(shù)據(jù)隱私信息，是因為得到了用戶的授權(quán)。在雙方約定的范圍內(nèi)使用隱私信息，也是因為得到了用戶的授權(quán)。如果服務(wù)商對收集到的個人敏感信息改變用途加以使用，一定要經(jīng)數(shù)據(jù)主體授權(quán)。

②告知用途的方略。金融企業(yè)、大數(shù)據(jù)和互聯(lián)網(wǎng)公司作為掌握用戶海量信息的機(jī)構(gòu)，不僅要通過合法的渠道收集信息，還需合理地使用信息，妥善地保管信息，要及時告知用戶信息的使用情況，確保用戶依法享有對有關(guān)企業(yè)使用自己信息的知情權(quán)。

③設(shè)置權(quán)限的方略。有權(quán)限就有責(zé)任；設(shè)置權(quán)限就是明確責(zé)任。設(shè)置權(quán)限，明確層級，便于日后問責(zé)。在企業(yè)內(nèi)使用數(shù)據(jù)時，應(yīng)建立嚴(yán)格的訪問權(quán)限制，以保證敏感數(shù)據(jù)的妥善保管和合理使用。

④數(shù)據(jù)分類的方略。如前文所述，用戶的信息是相對可分的：有些非常敏感，有些較為敏感，有些并不敏感。對于這些敏感度不一的信息，使用的范圍、程度應(yīng)該是有所區(qū)別的。

⑤尊重用戶的方略。尊重用戶，是所有方略中最重要的方略。把用戶視為自己的衣食父母，就不可能對用戶不尊重；對用戶心存敬畏之心，就不可能對用戶不上心。尊重用戶，一切問題都將迎刃而解。

3.2 行業(yè)和企業(yè)務(wù)必加強(qiáng)自我約束

在公民數(shù)據(jù)隱私保護(hù)中，法律以他律的方式發(fā)揮作用，行業(yè)自律(還應(yīng)包括企業(yè)自律)以主體自我約束的方式發(fā)揮作用，兩者缺一不可[8]。

在公民數(shù)據(jù)隱私保護(hù)方面，美國的行業(yè)自律作用甚大。這當(dāng)然和該國的制度安排密不可分。國家在立法過程中，充分考慮到為行業(yè)自律騰出空間，讓行業(yè)和企業(yè)在自律中充當(dāng)主角。正如一位研究者所說：“美國一直將行業(yè)自律作為立法外保護(hù)網(wǎng)絡(luò)隱私權(quán)的補(bǔ)充。行業(yè)自律由政府部門與行業(yè)組織共同推動，包括設(shè)立標(biāo)準(zhǔn)、實施認(rèn)證等。其中，聯(lián)盟發(fā)布本行業(yè)網(wǎng)上隱私保護(hù)準(zhǔn)則；跨行業(yè)聯(lián)盟進(jìn)行網(wǎng)絡(luò)隱私認(rèn)證，授權(quán)達(dá)到隱私標(biāo)準(zhǔn)的網(wǎng)站張貼其隱私認(rèn)證標(biāo)志，便于用戶識別；實施技術(shù)保護(hù)模式，為鼓勵甚至強(qiáng)制推行隱私權(quán)保護(hù)提供基本的技術(shù)支持。美國網(wǎng)絡(luò)隱私認(rèn)證民間機(jī)構(gòu)(TRUSTe)與美國商業(yè)改進(jìn)局(BBB)都發(fā)布過相應(yīng)的規(guī)范?！边@樣的行業(yè)自律不是行業(yè)空洞的口頭表態(tài)，而有具體實在的內(nèi)容，有一整套規(guī)范和措施[9]。

反觀我國金融行業(yè)、大數(shù)據(jù)和互聯(lián)網(wǎng)公司，尚未形成公民數(shù)據(jù)隱私保護(hù)方面的行業(yè)、企業(yè)自律的制度和風(fēng)氣，在這方面應(yīng)該可以大有作為。

以立法規(guī)制為主的保護(hù)模式，并不意味著不重視行業(yè)自律的輔助性作用。只有首先建立起完善的法律規(guī)制體系，才能充分發(fā)揮行業(yè)自律機(jī)制的最大作用；而自律機(jī)制(包括企業(yè)的行為準(zhǔn)則，民間“認(rèn)證制度”以及替代性爭議解決機(jī)制)配合政府的執(zhí)法保障，可以有效地實現(xiàn)保護(hù)隱私的目的[10]；因此，我們應(yīng)在相關(guān)法律的基本框架和原則的指導(dǎo)下，建立相應(yīng)的行業(yè)自律機(jī)制，實現(xiàn)對網(wǎng)絡(luò)隱私權(quán)的最優(yōu)化保護(hù)。

但是，應(yīng)當(dāng)明確的是，行業(yè)自律機(jī)制作為我國隱私權(quán)保護(hù)體系的輔助部分，從目前情況來看，其所起到的作用還不應(yīng)過于夸大，還遠(yuǎn)遠(yuǎn)不能代替法律的保護(hù)作用。

參考文獻(xiàn)

[1]萬震勇.互聯(lián)網(wǎng)隱私知多少[N/OL].[2016-08-04].http://www.cnii.com.cn/internetnews/2013-03/22/content_1114822.htm

[2]劉雅輝.大數(shù)據(jù)時代的個人隱私保護(hù)[J].計算機(jī)研究與發(fā)展,2015,52(1):22-247

[3]肖潔,袁嵩,譚天.大數(shù)據(jù)時代數(shù)據(jù)隱私安全研究[J].計算機(jī)研究與發(fā)展,2016,26(5):91-93

[4]李明.“大數(shù)據(jù)時代”的美國隱私權(quán)保護(hù)制度[R].北京大學(xué)金融法研究中心,2014

[5]孫美麗.美國和歐盟的數(shù)據(jù)隱私保護(hù)策略[J].情報科學(xué),2004,22(10):1265-1267

[6]韓文成.網(wǎng)絡(luò)信息隱私權(quán)法律保護(hù)研究[J].河北法學(xué),2007,25(12):85-90

[7]齊榮.用戶隱私研究綜述[J].軟件,2015(1):125-130

[8]Obama B. Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global. Digital Economy[J].J Priv Conf i dential, 2012,4:95-142

[9]European Commission. Proposal for a regulation of the European parliament and of the council on the protection of individuals with regardto the processing of personal data and on the free movement of such data[EB/OL].(2012-01-25)[2016-04-01].http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

[10]李軍.歐盟立法保護(hù)個人數(shù)據(jù)隱私意義重大[J/OL].[2016-07-28].http://mt.sohu.com/20160201/n436501854.shtml