大数据时代下的个人信息安全保护
2017-03-11姜玲
姜玲
(上海视觉艺术学院 上海 201600)
大数据时代下的个人信息安全保护
姜玲
(上海视觉艺术学院 上海 201600)
大数据时代下,用户享受着商家为其量身打造的个性化服务,而商家则通过对用户行为活动产生的大数据进行预测,从中谋取利益。这样的局面表面上看似双赢,实际上公民的个人信息安全正受到严重的威胁。大数据时代,我国在个人信息安全保护方面存在着诸多问题,需要从完善立法、行业自制、政府监管等方面采取措施。
大数据时代 个人信息安全 措施
一、“大数据”时代对个人信息安全的威胁
1.“大数据”的概念界定。“大数据”这个词汇虽然来自互联网,但并非单纯指互联网上的海量数据。维克托·迈尔-舍恩伯格认为:“大数据”是指不用随机分析法(抽样调查)这样的捷径,而采用所有数据的方法。涂子沛在其《大数据》一书中写道:“大数据”是指那些大小已经超出了传统意义上的尺度,一般的软件工具难以捕捉、存储、管理和分析的数据。虽然,业内迄今还未对“大数据”产生一个统一的定义,但是以上概念都强调了“大数据”的数量巨大以及无法通过现行的分析软件工具对其进行处理、分析和整合的特点。
2.个人信息的概念界定。个人信息一般是指有关于个人的所有资料或数据,这些数据或资料能够指向特定个人。《关于加强网络信息保护的决定》保护的个人信息是个人身份和涉及个人隐私的电子数据。工业和信息化部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》中规定,个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。《个人信息保护法(草案)》中对于个人信息的定义则是能够识别特定个人的所有信息,包括姓名、身高、性别等所有数据[1]104。
3.“大数据”时代个人信息遭受全方位监控。互联网出现之前,如艾可飞和益百利这样的专业数据收集公司就采集、记录了全球范围内大约几百万人口的数据,而它们提供的每个人的个人数据就多达好几百份。而互联网的出现使得监视变得更容易,成本更低廉也更有用处。如今,已经不只是政府在暗中监视我们了。亚马逊监视着我们的购物习惯,谷歌监视着我们的网页浏览习惯,Twi t t er窃听到了我们心中的“TA”,Facebook似乎什么都知道,包括我们的社交关系网[2]155。随着社交网络、电子商务、物联网、云计算、移动互联网等新技术的发展,手机、电脑以及遍布地球各个角落的传感器,都在成为新的数据来源,由此得来的数据的规模正以爆发式的方式急剧增长,统计数据量以PB(1024TB)级趋势迅猛增加。在大数据时代,只要是登录了网络应用程序或者连接上网络服务的手机和电脑,都可以做到远程获取用户行为数据。例如,在开启“允许访问”的情况下,远程控制者便可以轻松获得用户手机中的通讯记录、短信记录、相册、录音、录像以及用户电脑里的文件、硬盘数据、网络访问情况等。并且通常情况下,用户对于应用软件提出的“允许访问”的请求无法拒绝。因为,一旦我们不同意应用软件提出的这类请求后,这些软件我们就无法使用了。
4.“大数据”是一把双刃剑。商家在对获取的大数据进行数据整合、数据挖掘、数据分析后,既可以推出精准营销、为消费者提供量体裁衣般的个性化服务,也可以凭此从事个人信息买卖、身份窃取、金融诈骗等非法交易。美国《连线》杂志创始人凯文·凯利曾经说过:“用户如果需要个性化服务,就必须用最大化的透明度换取最大化的个性化。如果不想透露任何信息,那就不能期待别人把自己当作有个性的个体。”但是笔者认为这并不意味着企业和机构可以对获取到的用户行为数据进行不合法的使用。大数据本身只是一个工具,好与坏要看人们怎么去用它。大数据时代下的个人信息安全问题,并不是由大数据本身造成的,而是由于在巨大的利益诱惑面前,无良商家、不法机构对大数据的非法收集和不当使用中产生的。
5.“大数据”时代加剧个人信息安全问题。虽然互联网的个人信息安全问题已经由来已久,但是大数据的出现让互联网的个人信息安全问题变得格外突出。福尔摩斯可以从众多的细节中,发现案件的蛛丝马迹,从而勾勒出罪犯的特征。同样,大数据通过对海量数据进行相关分析,也可以勾勒出用户的特征,做到将一个人具象化。大数据时代,我们用手机进行的每一次定位,用电脑进行的每一次搜索都会被数据库“记录在案”。分析软件对一些不相关的词组组合进行数据分析,再辅以数据库中成千上万的调查问题,便可以将这些数据很快地与确定的个人建立联系。任何一点数据一旦与一个人的真实身份相联系,他的虚拟身份就无法再隐姓埋名[3]63。正是由于大数据的关联性,才可以准确地还原出每个人的面貌。从这个意义上说,在大数据面前每个人的形象都不再模糊,没有人可以做到完全的隐匿。
二.“大数据”时代个人信息安全保护面临的困境
1.立法方面。在我国,目前涉及个人信息保护的规范虽然不在少数,但却都散落在特定行业的管理规定中,例如《刑法》《居民身份证法》《商业银行法》《执业医师法》《邮政法》《全国人民代表大会常务委员会关于维护互联网安全的决定》等。它们虽然可以在一定程度上保护公民的个人信息安全,但是仍然存在不够具体、过于教条、操作性差等诸多问题。
第一,哪些信息属于个人信息?个人信息应当属于谁?哪些个人信息可以公开?个人信息应该如何公开?个人信息公开的透明度应该由谁掌握?谁有权利对这些个人信息进行利用?个人是否可以对利用的程度拥有选择权和控制权?以上问题本应该是在立法工作开展之前就明确的。然而,事实上是这些问题至今都颇具争议性,缺乏统一的答案。
第二,我国当前有关个人信息安全方面的法律基本都散落在某些特定行业的管理规定中,普遍缺乏与大数据时代的紧密联系。因此这些法律条文大多不能解决大数据时代背景下的个人信息安全问题。
第三,现有的法律规范大多是从事后补救的角度对公民个人信息提供保护,有关从事前监管角度对公民个人信息提供保护的法律法规还是空白。因此,难以从源头上防止个人信息被无良商家、不法机构非法使用。
第四,当公众遭遇个人信息被侵犯而诉诸法律时,按照民事诉讼法“谁主张谁举证”的原则,公民的维权行为很难获得成功。因为,在大数据环境下,不合法地使用个人信息的主体众多且他们的行为渠道大多很隐蔽,导致受害人举证难度很大。即使受害人举证成功,也很难保证最终的损失评估结果合理。因此,公民的维权行为存在举证难、成本高、赔偿金额低的问题。
2.个人方面。在大数据时代,我国公民的个人信息安全素养普遍堪忧。信息安全素养是指人们在信息化条件下对信息安全的认识,以及针对信息安全所表现出的各种综合能力。去年,上海社会科学院信息研究所特别对上海市民的信息安全素养进行了实证调查,部分调查结果如下。
第一,69.0%的受访者表示只是偶尔关注信息安全方面的知识,19.3%的受访者从来不关注这方面的知识,只有9.0%的受访者非常关注该方面的知识。
第二,65.3%的受访者表示只是偶尔关注网站和机构上的个人信息安全保护政策,22.9%的受访者从来没有关注过,只有7.2%的受访者特别关注且采取了相应措施。
第三,46.7%的受访者表示自己并不了解个人信息安全保护方面的法律法规,43.3%的受访者认为自己对此有部分了解,只有8.0%的受访者认为自己比较了解。
第四,63.9%的受访者当个人信息安全受到侵犯后选择不予理睬,21.3%的受访者选择自行解决,只有2.6%和1.7%的受访者选择向公安机关报案和进行媒体曝光[4]95。
由此不难看出,在大数据时代个人信息被商家盗用滥用情况的加剧,在一定程度上和公民的个人信息安全素养不高有着直接或间接的联系。
3.行业方面。国内互联网市场是一个全面开放的市场,参与主体众多。因此,个人信息安全的保护问题仅仅依靠法律约束、政府监管是不够的,还需要行业内所有成员的共同参与。《大数据时代》的作者维克托·迈尔-舍恩伯格、肯尼思·库克耶认为:“在大数据时代,我们需要设立一个不一样的隐私保护模式,这个模式应该更着重于数据使用者为其行为承担责任,而不是将重心放在收集数据之初取得个人同意上。”但是,目前我国互联网行业的数据使用者们并没有很好地承担起责任,行业自律仍是各自为政,尚未形成严格、统一的行业内部自律机制。由于缺乏强有力的约束,企业违法现象普遍。有些企业因拒绝不了金钱的巨大诱惑,从而将用户的个人信息打包出售给信息中介机构,随后中介机构再将其出售给银行、企业、诈骗集团等。据瑞星科技等机构调查显示,我国互联网个人信息的灰色产业链规模已达近百亿,众多黑客、中介、企业、诈骗集团从中牟取暴利[5]3。
此外,还有些企业对大数据的重视已经上升到了战略高度,并将大数据资产视为现代商业社会的核心竞争力,这些企业采取的行动主要表现为全面跟踪并储存用户信息。由此便出现了商家的大数据利用与用户的个人信息安全之争,文章开头提到的Googl e在多国受到指控便是这场争论中的一个典型案例。
4.监管方面。在大数据时代,我国政府目前对于公民个人信息安全的监管仍存在诸多问题和漏洞,其中最为突出的有两点。
第一,虽然个人信息安全涉及面广、监管不易,但是目前我国并没有成立一个专门的全国个人信息安全管理机构。这样就不利于统筹规划全国的个人信息安全保护工作,也不利于与其他国家协调个人信息的跨境保护问题。
第二,我国对于侵犯个人信息安全行为的处罚力度过低。在由中华人民共和国工业和信息化部发布的《电信和互联网用户个人信息保护规定》中规定:对于违反本规定的电信业务经营者、互联网信息服务提供者可进行警告、向社会公告以及视违规程度给予一万元以下或者一万元以上三万元以下的罚款,构成犯罪的依法追究刑事责任。这与前文提到的我国的黑客、中介、企业、诈骗集团从互联网个人信息的灰色产业链中牟取到的近百亿相比,违法成本显得过低,根本无法对犯罪分子起到威慑作用。
三、“大数据”时代保护个人信息安全的措施
1.立法方面。2014年两会期间,全国政协委员、联想集团董事长兼CEO杨元庆呼吁政府应该加强对个人信息安全的立法工作,这一言论引起了社会各界的广泛关注。笔者认为,检验立法是否完善的标准是看现有的法律能否涵盖个人信息安全保护过程中出现的绝大多数问题。很显然,目前我国这方面的法律还不够完善。下面对我国的个人信息安全立法工作提出几点建议。
第一,现行的举证规则是“谁主张谁举证”,然而由于滥用个人信息的主体众多且行为渠道大多很隐蔽,导致被侵权人举证难度很大。笔者认为,现行的无罪推定原则在个人信息安全保护领域并不适用。因为无罪推定原则往往可以使侵权者轻松逃脱法律的制裁。为了更加有效地保护受害人的权益,也为了更好地维护法律尊严,笔者建议改变我国个人信息安全保护领域现行的举证规则。在未来可以考虑使用这样的规则,即如果侵权人无法证明自己没有对受害人造成侵权,就判定其有罪。这样便可以大大降低被侵权人的举证难度,极大地保护受害人的权益。
第二,为了使损失评估的结果更为合理,笔者建议将赔偿金额统一定为侵权人获利数额的十倍。通过大幅度提高侵权人的违法成本,产生对他们惩罚和威慑的作用。
第三,现有的法律法规大多是对在利用个人信息过程中对个人造成侵权的行为进行惩罚。然而实际上,在大数据时代,除了利用这一过程以外,在对数据进行采集、存储和销毁的过程中也会造成对个人信息安全的侵犯。因此,笔者建议相关法律法规可以将所有可能会对个人信息造成侵权的环节都考虑在内。
第四,2005年,中国社科院法学所个人数据保护法研究课题组在国务院信息办的委托下,完成并上交了近八万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但是,到目前为止,我国个人信息保护法的立法工作依然没有完成。因此,笔者建议我国的立法部门应该尽快出台个人信息保护方面的专门法,并且做到细化其中的法律条文,保证该法的可操作性。此外,该法还应紧密结合大数据的时代特征,避免就事论事脱离时代背景。
2.个人方面。首先,必须提高公民的个人信息安全意识,这就需要公民主动学习个人信息安全方面的有关知识,关注网站和机构上有关个人信息安全保护的政策,了解个人信息安全保护方面的法律法规。其次,公民还需养成良好的习惯,比如在发布个人信息之前要深思熟虑,以免泄露自己重要的信息;尽量使用复杂的网络账号密码,并最好做到定期更换。此外,在大数据环境下,用户还应当及时更新电脑和智能移动设备的安全防护软件,尽量避免在公共W IFI条件下使用移动支付,以免威胁个人的信息安全。另外,当个人信息安全遭到侵犯后,公民应该及时向公安机关报案并向媒体进行曝光,而非采取不予理睬的态度。
3.行业方面。行业自律是基于行业内部产生的一种自下而上的机制,它具有专业性、经济性和灵活性的优势。现阶段,加强行业自律机制的建设是我国目前所有个人信息安全保护措施中成本最低同时也是最有效的一种。我国可以借鉴欧美国家的经验,通过强化行业内部自律机制来弥补立法滞后的缺陷。毕竟,目前我国这方面法律法规的落后使得政府监管处于无法可依的状态,导致政府监管无法发挥出应有的作用。因此,政府可以引导我国的互联网企业建立起行业自律组织;制定行业行为准则以及本行业从业人员的职业道德规范;明确自律组织成员所承担的责任和义务;协调自律组织成员间的关系;积极受理公众投诉,力争为维护我国公众的个人信息安全作出重要贡献。
4.监管方面。我国可以借鉴欧盟及其成员国实施的个人信息处理的预先通知和预先审查制度,即从事前监督的角度对个人信息安全进行监管。预先通知制度,是指个人信息本人以外的有关主体,在对个人信息进行全部或部分处理操作前,须向行政监管部门预先通知有关情况并公开处理操作的制度。预先审查制度,是指个人信息的行政监管部门在收到处理个人信息的预先通知后,随即进行审查,从而决定是否允许其对个人信息进行处理或是否需要采取必要措施的制度。引进这类制度,有利于从源头上防止非法处理个人信息行为的发生,进而可以对公民的个人信息安全进行有效的保护。
此外,政府还可从事后监督的角度对个人信息安全进行监管。比如建立违法企业公示制度,将违法企业列入“黑名单”中,剥夺违法企业日后对个人信息进行处理的权利,从而达到遏制侵犯个人信息安全行为的效果。
[1]维克托·迈尔-舍恩伯格,肯尼斯·库克耶著;盛杨燕,周涛译.大数据时代[M].杭州:浙江人民出版社,2012.
[2]史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志,2013,32(12).
[3]刘宇晗.大数据时代个人信息的民法保护[J].中国律师,2014(2).
[4]罗力.上海市民个人信息安全素养评价研究[J].重庆大学学报(社会科学版),2013,19(3).
[5]惠志斌.大数据时代个人信息安全保护[N].社会科学报,2013-4-11.
姜玲为上海视觉艺术学院图文信息中心助理馆员。
TP309
A
2016-09-20
