姜玲

（上海視覺藝術(shù)學(xué)院 上海 201600）

大數(shù)據(jù)時代下的個人信息安全保護(hù)

姜玲

（上海視覺藝術(shù)學(xué)院 上海 201600）

大數(shù)據(jù)時代下，用戶享受著商家為其量身打造的個性化服務(wù)，而商家則通過對用戶行為活動產(chǎn)生的大數(shù)據(jù)進(jìn)行預(yù)測，從中謀取利益。這樣的局面表面上看似雙贏，實(shí)際上公民的個人信息安全正受到嚴(yán)重的威脅。大數(shù)據(jù)時代，我國在個人信息安全保護(hù)方面存在著諸多問題，需要從完善立法、行業(yè)自制、政府監(jiān)管等方面采取措施。

大數(shù)據(jù)時代 個人信息安全 措施

一、“大數(shù)據(jù)”時代對個人信息安全的威脅

1.“大數(shù)據(jù)”的概念界定?！按髷?shù)據(jù)”這個詞匯雖然來自互聯(lián)網(wǎng)，但并非單純指互聯(lián)網(wǎng)上的海量數(shù)據(jù)。維克托·邁爾-舍恩伯格認(rèn)為：“大數(shù)據(jù)”是指不用隨機(jī)分析法（抽樣調(diào)查）這樣的捷徑，而采用所有數(shù)據(jù)的方法。涂子沛在其《大數(shù)據(jù)》一書中寫道：“大數(shù)據(jù)”是指那些大小已經(jīng)超出了傳統(tǒng)意義上的尺度，一般的軟件工具難以捕捉、存儲、管理和分析的數(shù)據(jù)。雖然，業(yè)內(nèi)迄今還未對“大數(shù)據(jù)”產(chǎn)生一個統(tǒng)一的定義，但是以上概念都強(qiáng)調(diào)了“大數(shù)據(jù)”的數(shù)量巨大以及無法通過現(xiàn)行的分析軟件工具對其進(jìn)行處理、分析和整合的特點(diǎn)。

2.個人信息的概念界定。個人信息一般是指有關(guān)于個人的所有資料或數(shù)據(jù)，這些數(shù)據(jù)或資料能夠指向特定個人?！蛾P(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》保護(hù)的個人信息是個人身份和涉及個人隱私的電子數(shù)據(jù)。工業(yè)和信息化部頒布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》中規(guī)定，個人信息是指可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過與其他信息結(jié)合識別該特定自然人的計算機(jī)數(shù)據(jù)?！秱€人信息保護(hù)法（草案）》中對于個人信息的定義則是能夠識別特定個人的所有信息，包括姓名、身高、性別等所有數(shù)據(jù)[1]104。

3.“大數(shù)據(jù)”時代個人信息遭受全方位監(jiān)控?；ヂ?lián)網(wǎng)出現(xiàn)之前，如艾可飛和益百利這樣的專業(yè)數(shù)據(jù)收集公司就采集、記錄了全球范圍內(nèi)大約幾百萬人口的數(shù)據(jù)，而它們提供的每個人的個人數(shù)據(jù)就多達(dá)好幾百份。而互聯(lián)網(wǎng)的出現(xiàn)使得監(jiān)視變得更容易，成本更低廉也更有用處。如今，已經(jīng)不只是政府在暗中監(jiān)視我們了。亞馬遜監(jiān)視著我們的購物習(xí)慣，谷歌監(jiān)視著我們的網(wǎng)頁瀏覽習(xí)慣，Twi t t er竊聽到了我們心中的“TA”，F(xiàn)acebook似乎什么都知道，包括我們的社交關(guān)系網(wǎng)[2]155。隨著社交網(wǎng)絡(luò)、電子商務(wù)、物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等新技術(shù)的發(fā)展，手機(jī)、電腦以及遍布地球各個角落的傳感器，都在成為新的數(shù)據(jù)來源，由此得來的數(shù)據(jù)的規(guī)模正以爆發(fā)式的方式急劇增長，統(tǒng)計數(shù)據(jù)量以PB（1024TB）級趨勢迅猛增加。在大數(shù)據(jù)時代，只要是登錄了網(wǎng)絡(luò)應(yīng)用程序或者連接上網(wǎng)絡(luò)服務(wù)的手機(jī)和電腦，都可以做到遠(yuǎn)程獲取用戶行為數(shù)據(jù)。例如，在開啟“允許訪問”的情況下，遠(yuǎn)程控制者便可以輕松獲得用戶手機(jī)中的通訊記錄、短信記錄、相冊、錄音、錄像以及用戶電腦里的文件、硬盤數(shù)據(jù)、網(wǎng)絡(luò)訪問情況等。并且通常情況下，用戶對于應(yīng)用軟件提出的“允許訪問”的請求無法拒絕。因?yàn)?，一旦我們不同意?yīng)用軟件提出的這類請求后，這些軟件我們就無法使用了。

4.“大數(shù)據(jù)”是一把雙刃劍。商家在對獲取的大數(shù)據(jù)進(jìn)行數(shù)據(jù)整合、數(shù)據(jù)挖掘、數(shù)據(jù)分析后，既可以推出精準(zhǔn)營銷、為消費(fèi)者提供量體裁衣般的個性化服務(wù)，也可以憑此從事個人信息買賣、身份竊取、金融詐騙等非法交易。美國《連線》雜志創(chuàng)始人凱文·凱利曾經(jīng)說過：“用戶如果需要個性化服務(wù)，就必須用最大化的透明度換取最大化的個性化。如果不想透露任何信息，那就不能期待別人把自己當(dāng)作有個性的個體。”但是筆者認(rèn)為這并不意味著企業(yè)和機(jī)構(gòu)可以對獲取到的用戶行為數(shù)據(jù)進(jìn)行不合法的使用。大數(shù)據(jù)本身只是一個工具，好與壞要看人們怎么去用它。大數(shù)據(jù)時代下的個人信息安全問題，并不是由大數(shù)據(jù)本身造成的，而是由于在巨大的利益誘惑面前，無良商家、不法機(jī)構(gòu)對大數(shù)據(jù)的非法收集和不當(dāng)使用中產(chǎn)生的。

5.“大數(shù)據(jù)”時代加劇個人信息安全問題。雖然互聯(lián)網(wǎng)的個人信息安全問題已經(jīng)由來已久，但是大數(shù)據(jù)的出現(xiàn)讓互聯(lián)網(wǎng)的個人信息安全問題變得格外突出。福爾摩斯可以從眾多的細(xì)節(jié)中，發(fā)現(xiàn)案件的蛛絲馬跡，從而勾勒出罪犯的特征。同樣，大數(shù)據(jù)通過對海量數(shù)據(jù)進(jìn)行相關(guān)分析，也可以勾勒出用戶的特征，做到將一個人具象化。大數(shù)據(jù)時代，我們用手機(jī)進(jìn)行的每一次定位，用電腦進(jìn)行的每一次搜索都會被數(shù)據(jù)庫“記錄在案”。分析軟件對一些不相關(guān)的詞組組合進(jìn)行數(shù)據(jù)分析，再輔以數(shù)據(jù)庫中成千上萬的調(diào)查問題，便可以將這些數(shù)據(jù)很快地與確定的個人建立聯(lián)系。任何一點(diǎn)數(shù)據(jù)一旦與一個人的真實(shí)身份相聯(lián)系，他的虛擬身份就無法再隱姓埋名[3]63。正是由于大數(shù)據(jù)的關(guān)聯(lián)性，才可以準(zhǔn)確地還原出每個人的面貌。從這個意義上說，在大數(shù)據(jù)面前每個人的形象都不再模糊，沒有人可以做到完全的隱匿。

二.“大數(shù)據(jù)”時代個人信息安全保護(hù)面臨的困境

1.立法方面。在我國，目前涉及個人信息保護(hù)的規(guī)范雖然不在少數(shù)，但卻都散落在特定行業(yè)的管理規(guī)定中，例如《刑法》《居民身份證法》《商業(yè)銀行法》《執(zhí)業(yè)醫(yī)師法》《郵政法》《全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等。它們雖然可以在一定程度上保護(hù)公民的個人信息安全，但是仍然存在不夠具體、過于教條、操作性差等諸多問題。

第一，哪些信息屬于個人信息？個人信息應(yīng)當(dāng)屬于誰?哪些個人信息可以公開?個人信息應(yīng)該如何公開？個人信息公開的透明度應(yīng)該由誰掌握？誰有權(quán)利對這些個人信息進(jìn)行利用?個人是否可以對利用的程度擁有選擇權(quán)和控制權(quán)？以上問題本應(yīng)該是在立法工作開展之前就明確的。然而，事實(shí)上是這些問題至今都頗具爭議性，缺乏統(tǒng)一的答案。

第二，我國當(dāng)前有關(guān)個人信息安全方面的法律基本都散落在某些特定行業(yè)的管理規(guī)定中，普遍缺乏與大數(shù)據(jù)時代的緊密聯(lián)系。因此這些法律條文大多不能解決大數(shù)據(jù)時代背景下的個人信息安全問題。

第三，現(xiàn)有的法律規(guī)范大多是從事后補(bǔ)救的角度對公民個人信息提供保護(hù)，有關(guān)從事前監(jiān)管角度對公民個人信息提供保護(hù)的法律法規(guī)還是空白。因此，難以從源頭上防止個人信息被無良商家、不法機(jī)構(gòu)非法使用。

第四，當(dāng)公眾遭遇個人信息被侵犯而訴諸法律時，按照民事訴訟法“誰主張誰舉證”的原則，公民的維權(quán)行為很難獲得成功。因?yàn)?，在大?shù)據(jù)環(huán)境下，不合法地使用個人信息的主體眾多且他們的行為渠道大多很隱蔽，導(dǎo)致受害人舉證難度很大。即使受害人舉證成功，也很難保證最終的損失評估結(jié)果合理。因此，公民的維權(quán)行為存在舉證難、成本高、賠償金額低的問題。

2.個人方面。在大數(shù)據(jù)時代，我國公民的個人信息安全素養(yǎng)普遍堪憂。信息安全素養(yǎng)是指人們在信息化條件下對信息安全的認(rèn)識，以及針對信息安全所表現(xiàn)出的各種綜合能力。去年，上海社會科學(xué)院信息研究所特別對上海市民的信息安全素養(yǎng)進(jìn)行了實(shí)證調(diào)查，部分調(diào)查結(jié)果如下。

第一，69.0%的受訪者表示只是偶爾關(guān)注信息安全方面的知識，19.3%的受訪者從來不關(guān)注這方面的知識，只有9.0%的受訪者非常關(guān)注該方面的知識。

第二，65.3%的受訪者表示只是偶爾關(guān)注網(wǎng)站和機(jī)構(gòu)上的個人信息安全保護(hù)政策，22.9%的受訪者從來沒有關(guān)注過，只有7.2%的受訪者特別關(guān)注且采取了相應(yīng)措施。

第三，46.7%的受訪者表示自己并不了解個人信息安全保護(hù)方面的法律法規(guī)，43.3%的受訪者認(rèn)為自己對此有部分了解，只有8.0%的受訪者認(rèn)為自己比較了解。

第四，63.9%的受訪者當(dāng)個人信息安全受到侵犯后選擇不予理睬，21.3%的受訪者選擇自行解決，只有2.6%和1.7%的受訪者選擇向公安機(jī)關(guān)報案和進(jìn)行媒體曝光[4]95。

由此不難看出，在大數(shù)據(jù)時代個人信息被商家盜用濫用情況的加劇，在一定程度上和公民的個人信息安全素養(yǎng)不高有著直接或間接的聯(lián)系。

3.行業(yè)方面。國內(nèi)互聯(lián)網(wǎng)市場是一個全面開放的市場，參與主體眾多。因此，個人信息安全的保護(hù)問題僅僅依靠法律約束、政府監(jiān)管是不夠的，還需要行業(yè)內(nèi)所有成員的共同參與。《大數(shù)據(jù)時代》的作者維克托·邁爾-舍恩伯格、肯尼思·庫克耶認(rèn)為：“在大數(shù)據(jù)時代，我們需要設(shè)立一個不一樣的隱私保護(hù)模式，這個模式應(yīng)該更著重于數(shù)據(jù)使用者為其行為承擔(dān)責(zé)任，而不是將重心放在收集數(shù)據(jù)之初取得個人同意上?！钡?，目前我國互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)使用者們并沒有很好地承擔(dān)起責(zé)任，行業(yè)自律仍是各自為政，尚未形成嚴(yán)格、統(tǒng)一的行業(yè)內(nèi)部自律機(jī)制。由于缺乏強(qiáng)有力的約束，企業(yè)違法現(xiàn)象普遍。有些企業(yè)因拒絕不了金錢的巨大誘惑，從而將用戶的個人信息打包出售給信息中介機(jī)構(gòu)，隨后中介機(jī)構(gòu)再將其出售給銀行、企業(yè)、詐騙集團(tuán)等。據(jù)瑞星科技等機(jī)構(gòu)調(diào)查顯示，我國互聯(lián)網(wǎng)個人信息的灰色產(chǎn)業(yè)鏈規(guī)模已達(dá)近百億，眾多黑客、中介、企業(yè)、詐騙集團(tuán)從中牟取暴利[5]3。

此外，還有些企業(yè)對大數(shù)據(jù)的重視已經(jīng)上升到了戰(zhàn)略高度，并將大數(shù)據(jù)資產(chǎn)視為現(xiàn)代商業(yè)社會的核心競爭力，這些企業(yè)采取的行動主要表現(xiàn)為全面跟蹤并儲存用戶信息。由此便出現(xiàn)了商家的大數(shù)據(jù)利用與用戶的個人信息安全之爭，文章開頭提到的Googl e在多國受到指控便是這場爭論中的一個典型案例。

4.監(jiān)管方面。在大數(shù)據(jù)時代，我國政府目前對于公民個人信息安全的監(jiān)管仍存在諸多問題和漏洞，其中最為突出的有兩點(diǎn)。

第一，雖然個人信息安全涉及面廣、監(jiān)管不易，但是目前我國并沒有成立一個專門的全國個人信息安全管理機(jī)構(gòu)。這樣就不利于統(tǒng)籌規(guī)劃全國的個人信息安全保護(hù)工作，也不利于與其他國家協(xié)調(diào)個人信息的跨境保護(hù)問題。

第二，我國對于侵犯個人信息安全行為的處罰力度過低。在由中華人民共和國工業(yè)和信息化部發(fā)布的《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》中規(guī)定：對于違反本規(guī)定的電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者可進(jìn)行警告、向社會公告以及視違規(guī)程度給予一萬元以下或者一萬元以上三萬元以下的罰款，構(gòu)成犯罪的依法追究刑事責(zé)任。這與前文提到的我國的黑客、中介、企業(yè)、詐騙集團(tuán)從互聯(lián)網(wǎng)個人信息的灰色產(chǎn)業(yè)鏈中牟取到的近百億相比，違法成本顯得過低，根本無法對犯罪分子起到威懾作用。

三、“大數(shù)據(jù)”時代保護(hù)個人信息安全的措施

1.立法方面。2014年兩會期間，全國政協(xié)委員、聯(lián)想集團(tuán)董事長兼CEO楊元慶呼吁政府應(yīng)該加強(qiáng)對個人信息安全的立法工作，這一言論引起了社會各界的廣泛關(guān)注。筆者認(rèn)為，檢驗(yàn)立法是否完善的標(biāo)準(zhǔn)是看現(xiàn)有的法律能否涵蓋個人信息安全保護(hù)過程中出現(xiàn)的絕大多數(shù)問題。很顯然，目前我國這方面的法律還不夠完善。下面對我國的個人信息安全立法工作提出幾點(diǎn)建議。

第一，現(xiàn)行的舉證規(guī)則是“誰主張誰舉證”，然而由于濫用個人信息的主體眾多且行為渠道大多很隱蔽，導(dǎo)致被侵權(quán)人舉證難度很大。筆者認(rèn)為，現(xiàn)行的無罪推定原則在個人信息安全保護(hù)領(lǐng)域并不適用。因?yàn)闊o罪推定原則往往可以使侵權(quán)者輕松逃脫法律的制裁。為了更加有效地保護(hù)受害人的權(quán)益，也為了更好地維護(hù)法律尊嚴(yán)，筆者建議改變我國個人信息安全保護(hù)領(lǐng)域現(xiàn)行的舉證規(guī)則。在未來可以考慮使用這樣的規(guī)則，即如果侵權(quán)人無法證明自己沒有對受害人造成侵權(quán)，就判定其有罪。這樣便可以大大降低被侵權(quán)人的舉證難度，極大地保護(hù)受害人的權(quán)益。

第二，為了使損失評估的結(jié)果更為合理，筆者建議將賠償金額統(tǒng)一定為侵權(quán)人獲利數(shù)額的十倍。通過大幅度提高侵權(quán)人的違法成本，產(chǎn)生對他們懲罰和威懾的作用。

第三，現(xiàn)有的法律法規(guī)大多是對在利用個人信息過程中對個人造成侵權(quán)的行為進(jìn)行懲罰。然而實(shí)際上，在大數(shù)據(jù)時代，除了利用這一過程以外，在對數(shù)據(jù)進(jìn)行采集、存儲和銷毀的過程中也會造成對個人信息安全的侵犯。因此，筆者建議相關(guān)法律法規(guī)可以將所有可能會對個人信息造成侵權(quán)的環(huán)節(jié)都考慮在內(nèi)。

第四，2005年，中國社科院法學(xué)所個人數(shù)據(jù)保護(hù)法研究課題組在國務(wù)院信息辦的委托下，完成并上交了近八萬字的《中華人民共和國個人信息保護(hù)法（專家建議稿）及立法研究報告》。但是，到目前為止，我國個人信息保護(hù)法的立法工作依然沒有完成。因此，筆者建議我國的立法部門應(yīng)該盡快出臺個人信息保護(hù)方面的專門法，并且做到細(xì)化其中的法律條文，保證該法的可操作性。此外，該法還應(yīng)緊密結(jié)合大數(shù)據(jù)的時代特征，避免就事論事脫離時代背景。

2.個人方面。首先，必須提高公民的個人信息安全意識，這就需要公民主動學(xué)習(xí)個人信息安全方面的有關(guān)知識，關(guān)注網(wǎng)站和機(jī)構(gòu)上有關(guān)個人信息安全保護(hù)的政策，了解個人信息安全保護(hù)方面的法律法規(guī)。其次，公民還需養(yǎng)成良好的習(xí)慣，比如在發(fā)布個人信息之前要深思熟慮，以免泄露自己重要的信息；盡量使用復(fù)雜的網(wǎng)絡(luò)賬號密碼，并最好做到定期更換。此外，在大數(shù)據(jù)環(huán)境下，用戶還應(yīng)當(dāng)及時更新電腦和智能移動設(shè)備的安全防護(hù)軟件,盡量避免在公共W IFI條件下使用移動支付，以免威脅個人的信息安全。另外，當(dāng)個人信息安全遭到侵犯后，公民應(yīng)該及時向公安機(jī)關(guān)報案并向媒體進(jìn)行曝光，而非采取不予理睬的態(tài)度。

3.行業(yè)方面。行業(yè)自律是基于行業(yè)內(nèi)部產(chǎn)生的一種自下而上的機(jī)制，它具有專業(yè)性、經(jīng)濟(jì)性和靈活性的優(yōu)勢?，F(xiàn)階段，加強(qiáng)行業(yè)自律機(jī)制的建設(shè)是我國目前所有個人信息安全保護(hù)措施中成本最低同時也是最有效的一種。我國可以借鑒歐美國家的經(jīng)驗(yàn)，通過強(qiáng)化行業(yè)內(nèi)部自律機(jī)制來彌補(bǔ)立法滯后的缺陷。畢竟，目前我國這方面法律法規(guī)的落后使得政府監(jiān)管處于無法可依的狀態(tài)，導(dǎo)致政府監(jiān)管無法發(fā)揮出應(yīng)有的作用。因此，政府可以引導(dǎo)我國的互聯(lián)網(wǎng)企業(yè)建立起行業(yè)自律組織；制定行業(yè)行為準(zhǔn)則以及本行業(yè)從業(yè)人員的職業(yè)道德規(guī)范；明確自律組織成員所承擔(dān)的責(zé)任和義務(wù)；協(xié)調(diào)自律組織成員間的關(guān)系；積極受理公眾投訴，力爭為維護(hù)我國公眾的個人信息安全作出重要貢獻(xiàn)。

4.監(jiān)管方面。我國可以借鑒歐盟及其成員國實(shí)施的個人信息處理的預(yù)先通知和預(yù)先審查制度，即從事前監(jiān)督的角度對個人信息安全進(jìn)行監(jiān)管。預(yù)先通知制度，是指個人信息本人以外的有關(guān)主體，在對個人信息進(jìn)行全部或部分處理操作前，須向行政監(jiān)管部門預(yù)先通知有關(guān)情況并公開處理操作的制度。預(yù)先審查制度，是指個人信息的行政監(jiān)管部門在收到處理個人信息的預(yù)先通知后，隨即進(jìn)行審查，從而決定是否允許其對個人信息進(jìn)行處理或是否需要采取必要措施的制度。引進(jìn)這類制度，有利于從源頭上防止非法處理個人信息行為的發(fā)生，進(jìn)而可以對公民的個人信息安全進(jìn)行有效的保護(hù)。

此外，政府還可從事后監(jiān)督的角度對個人信息安全進(jìn)行監(jiān)管。比如建立違法企業(yè)公示制度，將違法企業(yè)列入“黑名單”中，剝奪違法企業(yè)日后對個人信息進(jìn)行處理的權(quán)利，從而達(dá)到遏制侵犯個人信息安全行為的效果。

[1]維克托·邁爾－舍恩伯格，肯尼斯·庫克耶著;盛楊燕，周濤譯.大數(shù)據(jù)時代[M].杭州：浙江人民出版社，2012.

[2]史衛(wèi)民.大數(shù)據(jù)時代個人信息保護(hù)的現(xiàn)實(shí)困境與路徑選擇[J].情報雜志,2013,32（12）.

[3]劉宇晗.大數(shù)據(jù)時代個人信息的民法保護(hù)[J].中國律師,2014（2）.

[4]羅力.上海市民個人信息安全素養(yǎng)評價研究[J].重慶大學(xué)學(xué)報（社會科學(xué)版）,2013,19（3）.

[5]惠志斌.大數(shù)據(jù)時代個人信息安全保護(hù)[N].社會科學(xué)報,2013-4-11.

姜玲為上海視覺藝術(shù)學(xué)院圖文信息中心助理館員。

TP309

A

2016-09-20