大数据时代互联网电信平台个人信息保护机制研究
2017-11-23侯雷
□侯雷
(中共吉林省委党校,吉林 长春 130012)
大数据时代互联网电信平台个人信息保护机制研究
□侯雷
(中共吉林省委党校,吉林 长春130012)
近年来,随着我国信息化程度的不断提高,大数据在创造巨大经济价值的同时也产生了个人信息泄露问题,因而个人信息保护已成为保障公民人身及财产安全的重要问题之一。本文从大数据时代背景出发,梳理了个人信息的内涵及特征,在此基础上,针对我国当前个人信息保护面临的困境,从国家机关、企业组织、公民三个方面提出了保护个人信息的对策。
大数据;互联网电信平台;个人信息保护
进入21世纪以来,信息技术日新月异的发展深刻地改变着人们的生活。随着信息技术的不断提高,大数据与云计算、物联网、移动互联网等新一代信息技术不断融合发展,人们的生活也随之进入了“大数据时代”。当前,大数据引领时代发展,既给政府管理、企业营销、人们的生活带来了科技支撑并不断创造出巨大的经济价值,但随之而来的个人信息泄露、个人人身及财产安全隐患等问题也成为了当下亟待研究和解决的问题。本文探讨了大数据背景下互联网电信平台个人信息保护的现状及面临的困境,并有针对性地提出了摆脱困境的对策。
一、大数据时代的个人信息现状
(一)大数据及其特征
大数据属于新型研究领域,是信息科学、网络科学、系统科学、经济学、心理学、社会学等多学科交叉的产物,既具有学术研究价值,同时也蕴藏着巨大的经济、社会价值,已引起社会各界的广泛关注。政策制定者和学界都力图对大数据的内涵及特征进行定义和描述,以期更好地研究和发掘其价值。国内学界对于大数据的特征存在4V和5V两种观点,笔者更倾向于IBM提出的5V特征,即海量(Volume)、高速(Velocity)、多元(Variety)、价值(Value)、真实性(Veracity)。大数据的5V特征表明,其作为一种无法用常规软件工具进行捕捉和处理的数据集合,需要对海量数据进行扩展、再利用和重组分析,以使数据持有者快速地获得海量、多种类、高价值、针对性强的信息数据。正如舍恩伯格的数据创新理论认为,大数据时代的数据通过数据的再利用、重组数据、可扩展数据、数据的折旧值、数据废弃和开放数据使数据增值。[1]但在数据利用、重组、开放的背后,公民均不同程度地遭遇到个人信息泄露问题。
近年来,中国的互联网和电信用户不断增多,据2017年8月4日中国互联网络信息中心(CNNIC)发布的第40次《中国互联网络发展状况统计报告》显示,截至2017年6月,中国网民规模达7.51亿,占全球网民总数的1/5,互联网普及率达到54.3%,超过全球平均水平4.6个百分点,手机网民占比96.3%。[2]不断提高的互联网普及率使得网络已经渗透到公民生活的方方面面。互联网和电信营销主体、商户都不约而同地将其目光投向大数据、云计算、物联网等具有更高附加值的技术应用,以期走在时代前列,发掘更大的经济价值,但随之而来的便是网络信息安全和个人信息保护问题日益严峻。
(二)大数据时代个人信息安全隐患丛生
据2016年6月中国互联网协会和12321网络不良与垃圾信息举报受理中心联合发布的《中国网民权益保护调查报告2016》显示,从2015年下半年到2016年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元,人均133元,较上年人均增加9元。[3]据统计,在垃圾信息方面,我国网民平均每周收到垃圾邮件18.9封、垃圾短信20.6条、骚扰电话21.3个;在诈骗信息方面,据统计,76%的网民遇到过 “冒充银行”、互联网公司、电视台等进行中奖诈骗的网站,66%的网民曾收到过冒充10086、95533等伪基站信息,51%的网民曾收到过冒充苹果、腾讯等公司进行钓鱼、盗取账号的电子邮件。[4]
这些垃圾信息、诈骗信息得以通过短信息、电话、邮件、网页等方式进入公民生活的原因就在于公民个人信息的泄露,营销主体、诈骗分子可以通过市场交易、黑客技术等手段轻易地获取到他们想要掌握的公民个人信息。在个人信息泄露越发常态化的趋势下,骚扰信息、电话、诈骗信息、钓鱼网站等影响公民工作和生活的方式越来越多样化,公民生活受到的影响越来越严重,公民人身及财产安全的保障问题也越来越受到各方关注。因此,探讨大数据时代个人信息保护问题已迫在眉睫。
二、大数据时代个人信息的内涵及特征
(一)个人信息的内涵
目前,在各国的法律文件中存在着“个人信息”“个人数据”“个人资料”等不同表述。欧盟《数据保护通用条例》将个人信息定义为“能够直接或间接识别特别自然人”,美国《消费者隐私权利法案(草案)》将个人信息定义为“能够连接(link)到特定个人或设备等信息”。[5]2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过的 《中华人民共和国网络安全法》(以下简称《网络安全法》)第七章第七十六条规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。[6]无论是欧盟、美国的法律还是我国新近出台的《网络安全法》都将个人信息的关键指向了识别自然人,因此,从以上定义可以看出,个人信息的核心是将人与人区分开来的数据信息,这些个人信息是具有识别性的,可以依据其辨识出不同的人。
基于互联网和电信平台的个人信息定义则更凸显出大数据背景下信息化平台的特征,即具有数据性指向。2013年2月1日,在我国工业和信息化部发布实施的 《信息安全技术公共及商用服务信息系统个人信息保护指南》中对个人信息给予了如下定义:可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。[7]2013年7月,工业和信息化部发布的《电信和互联网用户个人信息保护规定》中第四条对个人信息进行了更为详细的定义,该《规定》指出:用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。[8]
(二)个人信息的特征
个人信息既包括自然人特征也包括社会人特征。第一,自然人特征。个人信息的自然人特征是指人生而所具有的自然属性信息,包括:DNA、性别、指纹、虹膜、肖像、年龄、民族等。个人信息的自然人属性往往是人与生俱来的、独一无二的,具有高度的辨识性,并且不会随着人的成长和社会环境的变化而变化,具有长期稳定性。第二,社会人特征。个人信息的社会人特征是指人出生以后在社会生活中被赋予的社会属性,包括:姓名、籍贯、家庭住址、身份证件号码、电话号码、宗教信仰、政治信仰等。
基于互联网和电信平台的个人信息特征还具有敏感性特征和一般性特征。个人信息的敏感性和一般性的区分往往以是否危及个人人身及财产安全作为衡量标准。第一,敏感个人信息是指一旦被泄露可能会被不法分子利用造成当事人人身或财产损失的信息,包括但不限于身份证件号码、银行卡号、房产信息、车辆信息、月收入信息、手机银行账号信息等。第二,一般个人信息是指在互联网及电信平台上与个人消费、浏览等网上活动相关的信息,这些信息一般指向个人的隐私关系、兴趣偏好、购物偏好等,包括但不限于个人社交平台 (微信、QQ、微博等)账号信息、电商平台(淘宝、京东、美团等)账号信息、其他网络账户信息。
因此,个人信息既具有自然性、社会性特征,也具有敏感性、一般性特征。由于个人信息数据之间的关联性,这些特征并不能完全截然分开,而是具有交叉复合的特征。例如:个人信息中的身份证件信息既属于社会后期赋予的信息,又属于敏感度较高的信息,而指纹、虹膜等自然性信息虽然具有高度辨识性,但其被复制或泄露的可能性较低,因此常常被用于一般性信息的安全保障 (如苹果或其它智能手机上的微信、支付宝等APP进行安全支付时可使用Touch ID指纹支付)。
三、大数据时代个人信息保护面临的困境
(一)个人信息泄露常态化
在信息化高速发展的今天,公民均不同程度地遭遇到个人信息泄露问题。个人信息泄露的渠道可以分为线上和线下两种。
线上信息泄露包括两个方面:一方面是由于各类平台通过收集甚至过度收集用户信息,通过大数据分析消费者兴趣偏好并将数据有偿或无偿地提供给信息需求主体。例如:有的公民出于好奇在手机APP上点击查看自己的个人信用状况、信用积分等信息,随后就接到信贷公司电话询问是否有贷款需求;有的消费者在浏览微信朋友圈、微博时,会接收到定向推销广告等。另一方面是因为不法分子利用黑客技术盗取用户信息,并制作成各类中奖或惊爆新闻等博人眼球的钓鱼信息、链接、网页等,引诱消费者点击,从而在手机或电脑上植入木马获取银行卡号等信息。无论是接收电话营销、线上点对点广告,还是各种钓鱼信息的收取,在公民的生活中都已呈现常态化的迹象。
线下信息泄露也包括两个方面:一方面是信息控制者将公民个人信息有偿地提供给信息需求主体,以使其点对点地针对消费者进行推销。例如:有的消费者前一天刚签完购房合同,第二天就开始接到装修公司的骚扰电话;还有的消费者每年车险到期前几个月会不断接到车险推销电话。此类具有明确消费导向型的个人信息泄露反映出我国互联网、电信平台领域存在信息贩卖输送链条。公民的个人信息被信息控制者以相应的价格出售给各类信息需求主体,这些需求主体则通过信息数据分析有针对性地向公民兜售产品。另一方面是不法分子通过购买或者黑客技术获取公民个人信息,采用伪基站、伪装成公检法公职人员等方式实施电信诈骗。因此,无论是信息控制者主动贩卖个人信息,还是由于信息控制者对个人信息数据未能有效抵御黑客入侵从而被动地造成个人信息泄露,都使得公民在线下每天接受着广告、诈骗信息或者电话的骚扰。可见,线上和线下个人信息泄露对公民日常生活所造成的骚扰已经趋于常态化。
(二)法理困境
随着信息化进程的不断加快,个人信息泄露对公民和社会造成的危害已引起我国政府和立法机构的重视。我国已有多部法律法规涉及到个人信息保护,例如:自2017年6月1日起施行的《中华人民共和国网络安全法》以及《刑法》修正案、《消费者权益保护法》修正案、《电信与互联网用户个人信息保护规定》等都不同程度地涉及到了对公民个人信息的保护。这些法律法规的不断出台表明我国政府正致力于公民个人信息保护问题,我国已经初步建立起个人信息保护法律体系。
我国虽然出台了一系列法律法规,但个人信息泄露问题依然严峻,电信推销、诈骗等现象有增无减,这说明我国当前对个人信息的保护还面临着法理困境。法理困境既意味着现有立法的针对性不强,也意味着立法路径本身存在局限性。[9]当前,关于个人信息保护面临的法理困境表现为:一是没有出台专门针对个人信息保护的法律。上文中所提到的法律法规都是包含或涉及个人信息保护的相关条款并作出原则性的法律规范。例如:我国《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。[10]以合理、正当、必要为原则的个人信息收集和使用规范,仅是作出了法律意义上的原则性规定。在应对互联网和电信领域的网络个人信息泄露方面,缺乏明确的犯罪行为界定和量刑规定。因此,相关的法律法规存在实际操作性不强、原则性强但执行性弱等问题。二是从我国关于个人信息的现有立法来看,仍然保留着传统知情同意的架构,在互联网和电信产业中经被收集者同意这一原则显然已经陷入了操作效用困境。传统知情同意的架构已经不能很好地适应和平衡大数据发展态势下的互联网电信产业发展需求与保护公民个人信息之间的矛盾。当前的实践经验和教训表明,传统知情同意的架构已经在大数据面前陷入了窘境,如果继续沿用这一架构,将严重阻碍数据价值的发掘,制约相关产业数据经济的发展,而且也无法为公民个人信息提供实质性保护。因此,基于传统知情同意架构下的个人信息保护法律法规将面临实际操作性困难、可执行性差等问题。
(三)治理困境
当前,我国个人信息泄露问题涉及主体多、范围广、治理难度较大,个人信息泄露治理困境主要在于治理主体、治理客体和治理议题三个方面。
从治理主体来看,目前,我国互联网和电信行业主要由工信部管理,因此,治理个人信息泄露问题的行政职权属于工信部,但工信部作为政府行政部门,其行政职权的行使须依据相关法律。在我国个人信息保护立法尚不成熟的情况下,工信部对于个人信息泄露问题的治理只有原则性指导,没有一套行之有效且成熟完善的政策实施体系。从工信部近年来针对个人信息保护不断出台的行政法规来看,其保护个人信息的目的已较为明显,但困境在于实践层面缺乏可操作性。这既与立法滞后有关,也与我国政府职能转变不能完全同步于大数据产业发展速度有关。
从治理客体来看,个人信息保护既涉及政府机构、企业组织,也涉及到公民个人。政府机构既是治理主体也是治理客体。企业组织数量庞大,发展程度各异。公民这一群体更为广泛,既包括泄露信息者,也包括权利受侵犯者。因此,治理个人信息泄露问题从客体方面表现出多层次、多主体、多领域的复合交织特征,这无疑加大了治理难度。
从治理议题来看,个人信息泄露问题的治理还涉及到厘清个人信息是被滥用还是被盗用等问题,这就使得治理目标因此变得更为零散、琐碎。我国有84%的网民曾亲身感受到由于个人信息泄露带来的不良影响,[11]也就意味着有近8亿公民遭遇过个人信息泄露,即在互联网及电信领域存在至少8亿次信息滥用或盗用行为。个人信息泄露涉及的数量如此巨大,厘清泄露主体、途径、动机的工作显然无法一一开展。因此,个人信息泄露治理这一议题本身的复杂性就使得政府在治理过程中难以集中力量进行专项整治,治理过程也将困难重重。
四、大数据时代个人信息保护的对策
大数据时代个人信息保护是一项较为复杂且严峻的议题,需要国家机关、企业组织、公民个人自上而下的共同努力。
(一)国家机关:立法行政司法“三管齐下”
《中国网民权益保护调查报告2016》中初步定义了网民权益,包括:安宁权、接收真实信息的权利、知情权和选择权、个人信息保护的权利。[12]个人信息保护的权利即避免个人信息泄露的权利。要切实保护公民个人信息不被泄露,必须结合个人信息保护从主体到客体再到议题的高度复合交织性,由国家机关出动组合拳即立法行政司法“三管齐下”。
在立法机关方面,全国人大应根据大数据时代互联网及电信产业的发展趋势,借鉴欧盟、美国在个人信息保护立法方面的经验,改变传统知情同意的架构,广泛征求法律界、法学界及公民的意见和建议,推进全面保护个人信息的专项立法及实施细则的出台。在行政机关方面,工信部及各级政府应加大对互联网和电信领域个人信息保护的监管力度,通过大数据、云计算等先进技术精准监测网络主体动向,公安部门应加大对电信诈骗的侦测和打击力度,依法惩治贩卖个人信息的行为,打击个人信息贩卖链。实现各部门联动,做到有的放矢、有效监管。同时,应增强公务员的法律意识及责任意识,提高公务员对公民个人信息重要性的认识,防止监守自盗行为的发生。在司法机关方面,我国各级法院及检察院应依法对泄露个人信息造成公民人身及财产损失的案件进行监察和审理,以捍卫公民合法权益。
(二)企业组织:经济效益与社会责任双重担责
大数据通过数据的重组、再利用、开放数据等方式来实现数据增值,企业组织在利用大数据获得经济效益的同时,应加强对用户个人信息的保护,做到经济效益和社会责任双重担责。企业组织勇于承担社会责任是展现企业文化、打造企业品牌、提高企业效益的有效途径。互联网和电信企业对用户个人信息的保障既关系到企业组织的可持续经济效益,也关系到企业组织的信誉度。因此,应增强企业组织对保障用户个人信息不被泄露的意识,从源头上避免企业组织作出有损用户个人信息安全的行为。此外,企业组织保障用户个人信息还需要建立行业自律机制,在企业内部和行业内设立相应的监管职位或第三方监督机构。例如:我国大型互联网企业阿里巴巴集团就设立了专门的数据分析和监管职位——首席数据官,由其负责企业与数据相关的业务,在充分收集、挖掘、分析数据的同时,注重对于用户数据的保护。除了企业内部的自行监管外,还可借鉴欧美发达国家的企业联盟,通过行业协会及公约等方式,[13]加强行业内监督,从而加强对商业数据的开发与保护。
(三)公民:守法与维权并重
公民个人信息保护问题的最终主体在于公民本身,无论是国家机关还是企业组织都属于外部力量,要进一步防范个人信息泄露,保障公民合法权益,还需要公民自身增强守法意识和维权意识。
在守法方面,当前的信息滥用和盗用行为均由具体的公民操作,不论有意还是无意作出的信息泄露、贩卖等行为,均属于侵犯其他公民合法权利的违法行为。对此,公民需要时刻警醒自己要做守法公民。在维权方面,由于我国公民对于自身信息不被泄露的权利意识不强,因而需要不断增强保护个人信息的观念和意识,明晰个人信息泄露的后果,避免人身和财产安全受到侵犯。具体而言,公民在上网时应增强数据安全意识,时刻保持警惕,如:仔细阅读相关网站的隐私声明、评估可能遇到的风险;对于需要授权获取个人信息的链接或网站应查看其安全证书、评估其安全性;及时更新电脑防火墙及杀毒软件,避免木马病毒的侵害;在网络虚拟世界中尽量不要向陌生人提供自己的真实信息等。如果遭遇到个人信息泄露带来的人身及财产损失,应及时向公安机关报案,通过法律途径维护自身合法权益。
总之,人类已经步入大数据时代,大数据对于数据信息开发利用的强大功效正逐步改变着互联网和电信产业的营销理念和模式,随之而产生的个人信息保护问题已受到各国政府和公民的广泛关注。对此,相关部门应尽快出台专门的个人信息保护法,以充分保障公民基本权利;企业应加强自律,公民应增强守法和维权意识。只有多方共同努力,才能避免个人信息泄露带来的危害,保护公民个人信息安全及合法权益。
[1]相丽玲,杨蕙.个人数据信息开发与保护的多学科理论[J].理论与探索,2016,(02):25.
[2]中国互联网络信息中心.第40次《中国互联网络发展状况统计报 告 》 [EB /OL].http: //www.cnnic.cn/gywm /xwzx/rdxw /201708/t2017-08-04_69449.htm.
[3][4][11][12]新闻观察:《2016中国网民权益保护调查报告》发布.搜狐网,http: //www.sohu.com /a/86086443_362254.
[5][9]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,(05):100.
[6][10]全国人民代表大会.中华人民共和国网络安全法[EB/OL].http: //www.npc.gov.cn /npc/xinwen /2016 -11 /07 /content_2001605.htm.
[7]信息安全技术公共及商用服务信息系统个人信息保护指南[EB/OL].百度百科,http://baike.baidu.com/.
[8]工信部.电信和互联网用户个人信息保护规定[EB/OL].http://www.miit.gov.cn /n1146295 /n1146557 /n1146624 /c3554785 /content.html.2013-07-16.
[13]张毅菁.数据开放环境下个人数据权保护的研究[J].情报杂志,2016,(06):39.
Research on Personal Information Protection Mechanism of Internet Telecommunication Platform in the Age of Big Data
Hou Lei
In recent years,with the rising degree of information,the disclosure of personal information has become a problem while big data is creating huge economic value,making the protection of personal information a significant issue of ensuring citizens'personal and property safety.This paper,starting from the context of the age of big data,sums up the contents and features of personal information,and on this basis,comes up with measures for personal information protection from the three aspects of public institutions,business organizations and citizens in light of the dilemma of personal information protection our country faces today.
Big Data;Internet telecommunication platform;personal information protection
D63-39
A
1007-8207(2017)12-0014-06
2017-09-02
侯雷 (1970—),女,吉林省吉林市人,中共吉林省委党校 (吉林省行政学院)公共管理教研部副教授,研究方向为公共管理、行政伦理。
本文系吉林省社会科学基金项目 (一般自选项目) “大数据背景下地方政府突发事件传播与管控机制研究”的阶段性成果,项目编号:2016B103;中共吉林省委党校一般课题 “微信舆论生态治理研究”的阶段性成果,项目编号:2017yb0002。
高 静)
