银联智惠信息服务(上海)有限公司 上海 200125

随着信息搜集、分析、存储的日趋便捷，工具和技术愈发先进，产出和投入愈加悬殊，越来越多的企业跻身开发、利用数据隐私的行列之中。大量的公民数据隐私信息被某些人用于盈利。而在许多时候，公民(用户)的数据隐私由自己泄露或被他人泄露却毫不知情，信息严重不对称。公民事先无法防范数据隐私被套、被窃、被泄，受侵行为发生后，或浑然不觉，或求助无门，处于弱势地位。

个人隐私信息是指一种与公共利益、群众利益无关的，当事人不愿他人干涉的个人私事，或当事人不愿他人侵入或不便侵入的个人领域，主要包括个人身份信息、财务信息、偏好信息、家庭信息、社会信息等。在互联网和大数据时代下，人们的上网痕迹、身处的地理位置等信息也被归入个人隐私信息的范畴。在传统的纸质时代，由于物理距离的限制，个人信息得到了较好的保护[1]。在大数据时代，隐私权因所处环境的虚拟化，使之内容与传统隐私权发生了显著差别。本文所提的数据隐私，特指个人隐私信息。

1 互联网遇上大数据，公民的数据隐私受到严峻挑战

1.1 侵犯公民隐私权的行为产生许多新变，形势更加严峻

在现实生活中，由于网络和大数据的原因，公民在隐私权被侵犯方面，出现了四个“越来越”：1)使用网络不留痕迹变得“越来越困难”；2)行为不轨者窃取公民隐私信息变得“越来越容易”；3)公民隐私信息泄露变得“越来越普遍”；4)窃取公民隐私信息的案件情节变得“越来越严重”。

在互联网条件下，传统的隐私保护法律和策略不能说已经失效，但有时难免捉襟见肘，这也是无可否认的事实。人们普遍感到自己与大数据相联系的隐私安全受到严重威胁。

美国是一个有着尊重个人隐私权传统的国家。但公民个人数据隐私的保护并非没有问题。美国《消费者报告》发布的一项调查显示，2013年1/7美国人曾被告知个人数据泄露。此外，62%的美国人没有采取任何措施来保护在线隐私。《消费者报告》估计：2013年，1 120万美国人曾遭遇了电子邮件钓鱼欺诈，而29%的美国网民的家用计算机感染了恶意软件。

1.2 公民数据隐私安全普遍受到威胁和侵害的原因有多种

1)某些企业和个人以贩卖公民数据隐私为手段非法获利。在我国，出现了以获取和贩卖公民数据隐私以赚取钱财的行当。某些企业和个人存在以公民数据隐私非法获利的主观故意。

2009年，央视“3·15晚会”曝光过如下案例：海量信息科技网公开叫卖个人信息。买主以人民币100元，就能购得1000条全国各地私家车车主、各大银行用户及证券公司股民的信息(包括姓名、手机号码、身份证号码等)。2010年，Process Monitor曾报360的危险行为：贩卖用户隐私是常态。2011年，北京警方于9月19日宣布，一个专门在网上买卖公民个人信息的犯罪团伙被警方抓获，在犯罪嫌疑人的电脑中，警方发现上千万条公民个人信息。2013年，张家口市公安局破获“4·23”贩卖个人信息案，查获被贩卖的各类公民个人信息1 000多万条。

以上案例说明：一些企业和个人利用职务和技术之便，蓄意搜集公民个人数据隐私，然后出售给有需要的客户，达到自己赚钱的目的，或由自己直接实施欺诈行为以获利；购买他人数据隐私信息者，则利用购得的信息发送广告，进行产品推广，或者进行诈骗等犯罪活动[2]。公民数据隐私信息贩卖情况如图1所示。

图1 公民数据隐私信息贩卖情况图示

在公民数据隐私信息方面，既有供货者又有购买者，既有采集者又有需求者，已形成了“产业链”。

2)由于病毒和漏洞造成数据隐私泄露。在网络条件下，公民的个人信息频遭泄露；在大数据时代，情况更是如此。截至2015年11月18日，中国最大的漏洞播报平台补天平台的统计数据表明，共有1 410个漏洞可能造成网站上的个人信息泄露，共涉及网站1 282个，可能泄露的个人信息量高达55.3亿条，较2014年的23.6亿条翻了一倍还多。按照中国网民总数6.5亿来算，仅2015年一年，平均每个中国网民至少可能被泄露8条以上的个人信息[3]。典型个案如表1所示。

以上案例有着共同之点：特定主体并非故意而为，悉数因出现漏洞而致客户(用户)数据隐私泄密，并不构成违法。

表1 近年来中国有关企业因漏洞所致公民数据隐私信息遭泄露典型个案简况表(以时间先后为序)

专家预测，2016年，随着移动互联网、云和物联网的高度融合，数据隐私信息泄密事件将呈高发态势。

3)由于黑客入侵造成公民个人数据隐私泄露。黑客入侵是近年来公民数据隐私频遭泄露的一个重要原因。

在中国，2011年12月21日，有网友爆料称，国内程序员社区CSDN的安全系统遭到黑客攻击，CSDN数据库中的600万用户的登录名及密码遭到泄漏。CSDN在微博上确认了这一事故。

2011年12月25日下午，国内知名社区网站天涯网的用户隐私遭到黑客泄漏。此次被泄漏用户数量达到4 000万。天涯被泄漏用户的密码全部以明文方式保存，数量之大令人咋舌。

在美国，2014年9月，美国国土安全部遭黑客攻击事件使得该部门2.5万名工作人员陷入恐慌。8月初，美国国土安全部(DHS)官员曾透露，一家负责提供安全背景调查的合同商遭到黑客入侵，导致该合同商收集的大量国土安全部雇员的个人信息失窃。

同样是在美国，2005年6月17日，由于黑客的木马入侵，美国信用卡系统解决方案公司违规保存且未加密的包括万事达和Visa等信用卡在内的4 000万条信用卡信息被泄露。2012年3月30日，信用卡支付中介机构美国全球支付公司系统被黑客侵入，约超过千万的万事达和Visa信用卡账户信息失窃。

在世界上的更多地方，在过去四五年间黑客利用旅馆的Wi-Fi网络入侵高管电脑窃取私密数据的事件发生频率越来越高。根据卡巴斯基实验室公布的一项报告显示：多支黑客团队专门在高管入住多的旅馆架设高危Wi-Fi网络用于窃取用户数据，日本、中国、俄罗斯、韩国等多个国家都相继发生过此类案件。

黑客防不胜防。黑客入侵，后果惨极为严重。在黑客入侵和防黑客入侵的博弈中，贯穿着智力、技术和经验的较量。如果不能抵挡黑客，那就只能束手就擒。故防黑客、反黑客已成为掌握和管理数据的机构和企业的“命门”。

2 我国目前对互联网环境中公民数据隐私的法律保护

对网络环境中数据隐私加以法律保护，我国在这一方面的立法已有一定的进展，但仍有较大的立法空间。就我国目前的现状而言，尚无关于数据隐私保护的专门性的法律规定，数据隐私受侵害者寻求法律救济仍是困难重重。我国已出台的相关法律法规如表2所示。

表2 我国已出台的与数据隐私保护有关的法律法规

除此之外，在《中华人民共和国刑事诉讼法》1)第150条、183条，《中华人民共和国行政诉讼法》2)第32条、41条、43条、54条、65条中，均不同程度地规定了隐私保护的具体措施，体现了有效保障公民的隐私权益的宗旨。

然而，立法和执法的过程中，也存在一些不足。

一是关于隐私权保护，我国迄今尚无一部完整的法律，缺乏专门法，散见于各种法律法规中的规定难免给人以零碎之感。

二是保护效力还缺乏一定的权威性。在现行法律法规中，除《侵权责任法》的法律位阶较高外，其他的位阶一般都比较低，在一定程度上影响公民隐私权的保护。

三是关于数据隐私的现有法律条文，大抵都停留于原则性的、禁止性的规定上。由于稍嫌简单笼统，在实际操作过程中难以具体落实。

四是在我国的《民法通则》中，隐私权并没有被确认为公民的独立民事权利，这显然不利于加大对公民隐私权保护的力度。

五是从法理上说，隐私权作为公民的一种权利，其权利边界显得相对模糊。相关的法律没有就公民隐私权与公民知情权之间的关系作出明确规定。实际上，这是两种性质完全不一样的权利，其权利主体、客体、侵害方式、侵害结果等方面都存在着显著的不同。

3 国内相关企业须从国际视野获得启发

3.1 关注国际立法趋势和立法动态

中国的金融企业、大数据和互联网公司特别是其中的领军式的企业，应当具有国际视野，关注发达国家数据隐私保护方面的立法动向，关注它们新立和拟立的法律及对原有法律的修订。

美国围绕保护公民数据隐私的立法有两个方面给人留下深刻的印象。一是将保护公民数据隐私与促进行业创新紧密结合；二是将企业及其员工的自律放到重要位置上。中国的金融企业可以从中有所借鉴，通过法律保护公民数据隐私，与促进企业创新并行不悖。良好的法治环境可以助推企业在正确轨道上创新发展。在处理保护公民数据隐私和促进行业创新发展的关系方面，美国的有关机构、有关人士破了题，但这方面的研究尚属刚刚开始，有待不断深化[4]。

欧盟对公民数据隐私的保护对中国金融企业、大数据和互联网公司也颇有启发。在法律规定的框架内，鼓励和支持个人数据信息的自由流通。在这里，显然是对个人数据作了理性的区分。可以自由流通的是个人数据中不涉及隐私和不那么敏感的部分；与此同时，对个人信息的流通方向也是有所把控的(即只在实施1995年《个人数据保护指令》的成员国和对个人隐私的保护符合要求的国度内流通)。个人数据信息绝不流通，似乎是安全了；然而，其中可以通过自由流通而利人、利己的个人数据信息也因此受阻了，这也确实是一种无形损失和因噎废食[5]。

3.2 提升对数据隐私保护的重视度

无论是美国还是欧盟，对公民数据隐私的保护及重视度都甚于中国。撇开因黑客入侵对公民数据隐私安全造成的威胁不谈，由漏洞造成的公民数据隐私泄露，其实深层次的原因在于有关主体在认识上存在严重不足，应从如下四个方面提升认识[6]。

1)深刻认识公民隐私权。隐私权是完整人权中极为重要的一部分。在现代社会中，隐私权在完整人权中的地位有不断上升的趋势。

2)深刻认识保护公民数据隐私的重要性。对保护公民数据隐私的重要性，无论怎样强调都不为过分。

3)深刻认识对公民数据隐私保护得不好可能产生的严重后果。①数据主体首当其冲，受到伤害。而他们是特定金融企业的客户，是该涉事企业的直接受害者。②涉事企业被告上法庭，抑或卷入法律纠纷，被判赔偿受害人经济损失和精神损失。③事件通过新闻传媒或社交类媒体广泛传播，长年经营赢得的美名毁于一旦。

4)深刻认识保护公民数据隐私的方略。认识有利于调动智性，智性可帮助加深认识。保护公民数据隐私，其方略有待被深刻认识，包括以下几个方面。

①得到授权的方略[7]。用户在网上留下资料(或是个人需要，或是服务商要求)时，服务商作为数据使用者就将担起对数据隐私进行保护之责。拥有数据隐私信息，是因为得到了用户的授权。在双方约定的范围内使用隐私信息，也是因为得到了用户的授权。如果服务商对收集到的个人敏感信息改变用途加以使用，一定要经数据主体授权。

②告知用途的方略。金融企业、大数据和互联网公司作为掌握用户海量信息的机构，不仅要通过合法的渠道收集信息，还需合理地使用信息，妥善地保管信息，要及时告知用户信息的使用情况，确保用户依法享有对有关企业使用自己信息的知情权。

③设置权限的方略。有权限就有责任；设置权限就是明确责任。设置权限，明确层级，便于日后问责。在企业内使用数据时，应建立严格的访问权限制，以保证敏感数据的妥善保管和合理使用。

④数据分类的方略。如前文所述，用户的信息是相对可分的：有些非常敏感，有些较为敏感，有些并不敏感。对于这些敏感度不一的信息，使用的范围、程度应该是有所区别的。

⑤尊重用户的方略。尊重用户，是所有方略中最重要的方略。把用户视为自己的衣食父母，就不可能对用户不尊重；对用户心存敬畏之心，就不可能对用户不上心。尊重用户，一切问题都将迎刃而解。

3.2 行业和企业务必加强自我约束

在公民数据隐私保护中，法律以他律的方式发挥作用，行业自律(还应包括企业自律)以主体自我约束的方式发挥作用，两者缺一不可[8]。

在公民数据隐私保护方面，美国的行业自律作用甚大。这当然和该国的制度安排密不可分。国家在立法过程中，充分考虑到为行业自律腾出空间，让行业和企业在自律中充当主角。正如一位研究者所说：“美国一直将行业自律作为立法外保护网络隐私权的补充。行业自律由政府部门与行业组织共同推动，包括设立标准、实施认证等。其中，联盟发布本行业网上隐私保护准则；跨行业联盟进行网络隐私认证，授权达到隐私标准的网站张贴其隐私认证标志，便于用户识别；实施技术保护模式，为鼓励甚至强制推行隐私权保护提供基本的技术支持。美国网络隐私认证民间机构(TRUSTe)与美国商业改进局(BBB)都发布过相应的规范。”这样的行业自律不是行业空洞的口头表态，而有具体实在的内容，有一整套规范和措施[9]。

反观我国金融行业、大数据和互联网公司，尚未形成公民数据隐私保护方面的行业、企业自律的制度和风气，在这方面应该可以大有作为。

以立法规制为主的保护模式，并不意味着不重视行业自律的辅助性作用。只有首先建立起完善的法律规制体系，才能充分发挥行业自律机制的最大作用；而自律机制(包括企业的行为准则，民间“认证制度”以及替代性争议解决机制)配合政府的执法保障，可以有效地实现保护隐私的目的[10]；因此，我们应在相关法律的基本框架和原则的指导下，建立相应的行业自律机制，实现对网络隐私权的最优化保护。

但是，应当明确的是，行业自律机制作为我国隐私权保护体系的辅助部分，从目前情况来看，其所起到的作用还不应过于夸大，还远远不能代替法律的保护作用。

参考文献

[1]万震勇.互联网隐私知多少[N/OL].[2016-08-04].http://www.cnii.com.cn/internetnews/2013-03/22/content_1114822.htm

[2]刘雅辉.大数据时代的个人隐私保护[J].计算机研究与发展,2015,52(1):22-247

[3]肖洁,袁嵩,谭天.大数据时代数据隐私安全研究[J].计算机研究与发展,2016,26(5):91-93

[4]李明.“大数据时代”的美国隐私权保护制度[R].北京大学金融法研究中心,2014

[5]孙美丽.美国和欧盟的数据隐私保护策略[J].情报科学,2004,22(10):1265-1267

[6]韩文成.网络信息隐私权法律保护研究[J].河北法学,2007,25(12):85-90

[7]齐荣.用户隐私研究综述[J].软件,2015(1):125-130

[8]Obama B. Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global. Digital Economy[J].J Priv Conf i dential, 2012,4:95-142

[9]European Commission. Proposal for a regulation of the European parliament and of the council on the protection of individuals with regardto the processing of personal data and on the free movement of such data[EB/OL].(2012-01-25)[2016-04-01].http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

[10]李军.欧盟立法保护个人数据隐私意义重大[J/OL].[2016-07-28].http://mt.sohu.com/20160201/n436501854.shtml