大数据时代隐私保护及其治理分析
2019-01-07李哲雅
李哲雅
摘 要:大数据技術的发展是当今时代不可逆转的趋势,它虽会对社会治理带来很大的冲击和改变,对个人隐私安全造成了极大威胁,但数据技术对生活方式智能化、决策科学化、服务个性化等方面的提升起到的作用也是不容忽视的。当前,由于法律体系不健全、个人隐私保护意识薄弱、从业机构管理不规范等原因,信息安全受侵害的案件时有发生。文章通过文献搜集、案例分析等方法,研究了大数据时代隐私保护领域的现存问题及隐私泄露的原因,提出加强立法监管、提高公民安全防范意识、制定机构从业准则等治理方法。
关键词:大数据时代;数据技术;隐私权利;隐私保护
自从我国实现“互联网+”战略以后,我国大数据技术飞速发展,不仅解决了科技领域的众多难题,还同样被运用到社会领域和公共领域,发挥着巨大的作用。但大数据技术在为我们提供便利的同时也滋生了许多问题。
一 研究背景及意义
大数据技术的收集整理和预测等功能,为政府部门提供了新的管理工具,同时数据化的治理也对政府治理提出的新要求,政府有必要了解并运用新的治理手段。云计算、电子商务等技术的发展使商业公司可以为用户提供精准化、个性化的服务,使其获得更多的经济利益。并且,大数据技术拓宽了获取信息的渠道,优化了人们对事物的认识、分析、决策的方法,使生活更加便利。
由于大数据时代的到来仅为2012年以后的事情,这一行业的飞快发展一方面使得国家、企业层面的管理制度还未跟上,另一方面,从业人员和普通公民的隐私保护意识也未得到更新和发展,社会个人信息保护的氛围不浓厚,因此在数据采集、使用等过程中难免会发生用户隐私权得不到保护的问题。近年来,全球性、地区性的数据安全危机事件多有发生,预示着大数据时代下隐私保护问题的重要性和迫切性。
(一)核心概念
对个人隐私权的保护需要放在当下大数据时代的环境下去考虑,并借鉴其他国家的立法及举措。
1数据与大数据时代
现代社会是信息社会,随着网络信息技术的高速发展,海量的各种数据化信息被不停地生产、收集、存储、整理与使用,人类由此进入了大数据时代。大数据技术不但带来了技术革命,更引发了人们思想观念的巨大变革,带来了大数据时代“自由、开放、分享”的精神。[1]大数据时代的数据蕴涵着巨大经济价值和战略价值,其不仅成为企业的重要资产,也是国家的战略资源。
《网络安全法》第76条第5项将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。[2]北京市经济和信息化局在今年5月份发布的《北京市公共数据管理办法(征求意见稿)》中所划分的公共数据,是北京市各级行政机关和公共服务企业在履行职责和提供服务过程中获取和制作的,以电子化形式记录和保存的数据。
本文中个人数据采用的概念界定为单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据。
2隐私权与隐私权利
要研究大数据时代的隐私保护,首先要了解什么是隐私权。对于隐私权的概念,国内外学者各自发表了诸多不同的见解。迄今为止,就隐私权的概念学界尚无统一定义。
国外理论中有“信息说”、“接触说”和“综合说”等。[3]在学术领域,认为现代意义中的隐私权概念最早产生于美国。[4]1890年,哈佛大学法学院教授路易斯与缪尔发表了著名文章《论隐私权》,指出每个人都有权决定自己的事情是否对外公布,并不受任何人的干扰。自这篇文章发表以后,隐私权理论正式诞生,为后来隐私权的发展提供了基础理论依据。
依据国内外对隐私权的定义,隐私一般指的是个人不愿他人干涉与侵入的私人领域,与人的私密方面相关,本文采用的隐私权概念是指与公共利益无关的个人信息,且享有独立的人格权。而隐私权利作为个体政治权利的一种,社会成员有权要求并且得到政治权力确认和保障其保护隐私的资格,使之成为权利的基本主体,享有个人权利。
3国外隐私保护现状
目前已有二十余个国家制定了个人数据保护方面的法律。如美国已经在联邦和州两个层次上形成了较为系统、完备的隐私权法律保护体系。其中1974年制定的《隐私权法》实是一部全面保护个人隐私权的专门立法。法国于1978年通过了《数据处理、档案与自由法案》,规定收集和处理、使用个人数据,不得损害数据主体的人格和身份以及私生活。一些国家虽然没有隐私权或个人信息保护的专门法律,但在宪法、民法等法律中体现了对公民隐私权的保护。如《土耳其宪法》第20条规定:每个人都有私生活受到尊重的权利,个人生活和家庭生活的秘密不受侵犯。
4国内隐私权保护现状
考察我国现行立法,有关隐私权的法律规定还比较少,还没有形成完整的法律保护体系,对于个人数据层面的隐私保护少之又少,不利于对公民隐私权全面、充分的保护。2015年出台的《国务院关于印发促进大数据发展行动纲要的通知》,内容多强调大数据作为推动经济转型发展动力的重要作用,工作重点放在发展大数据产业以及推动政府部门数据共享上。且在此文件发布后,并未对出台相关法律法规起到明显推动作用,数据资源权益等相关立法工作也未得到有效实施。
时隔4年,北京市经济和信息化局在2019年出台的《北京市公共数据管理办法》中,开始对公共数据有了较为清晰的界定,并表明要“加强本级大数据管理平台统一身份认证、权限管理、数据加密等技术防护体系,保障公共数据资源在汇聚、共享、开放时的数据安全。”涉及明确制度、提升技术等方面,较为详细地指出了公共数据管理体制的规范方法,但相较于保护信息主体权益,该办法更多注重数据的收集汇聚与共享使用。
二 大数据时代隐私保护中的问题分析
无论是政府还是其他使用机构,在其搜集和使用数据来提供服务的过程都是搜集、储存、分析和使用,在此过程中必将直接或间接、有意或无意地涉及大量个人信息。[5]目前,在网络上留下了很多原始数据的用户,实际上很少拥有对这些自己产生的并已被他人所用的数据的相关权利。当前,个人数据隐私保护中存在的问题主要表现在以下几个方面。
(一)采集过程隐蔽不公开
目前的信息采集路径主要分为两大类:主动采集和被动采集。主动采集一般发生在政府、学校、商家要求用户填写个人信息资料等时候,此时,通常用户会被告知被采集信息的合理化用途。被动采集则又分为两种,一种为用户本人无意间留下的数据痕迹,例如在公共电脑上登陆私人账号留下的账户及密码信息、浏览网页时留下的痕迹信息等等,这些信息如果不经刻意清除或避免,极容易被不法分子获取并用于不正当的渠道;另一种为被某些组织“有意”采集,例如苹果公司曾承认在用户手机中安装插件,可以将用户的部分信息回传总部,甚至部分产品商家会直接在产品中安装小摄像头或定位装置,极大地威胁到用户的隐私安全。2013年爆发的“棱镜门”事件也印证了这一点。在采集过程中用户对象是否知情同意,成为了大数据时代隐私保护中遇到的第一个问题。
(二)使用过程二次转卖及二次挖掘
大数据时代相较于过去的一个优越之处便在于信息的长久储存功能,所有数据都是可以被长久储存并合理共享的,这极大地提高了办事人员的工作效率,但也隨之产生了很多问题。
第一是对已获取数据的使用问题。在初次收集数据时,机构可能确实获得用户的知情同意,但是因为没有针对数据用后的销毁规范,这些数据可能被会被二次利用和挖掘,导致用户隐私的泄露和不正当使用。典型的数据使用者不合法地将信息提供给第三方公司的例子是在2018年3月,全球最大的网络社交平台FACEBOOK承认,平台上至少5000万用户的个人数据遭到泄露,由一家专门为政党选举推送广告的公司获得并利用。
第二则是二次数据挖掘的问题。当海量的数据被收集、存储和利用时,可能原本已经隐去了部分有身份特征的信息字段、没有相互关联的数据,便会因为计算机强大的计算处理能力使使用者发现这些数据其中的联系,还可能会挖掘出更多更隐私的用户信息,对用户造成困扰,也就是数据的“二次挖掘”所带来的隐私泄露问题。
(三)预测过程诱导用户的行为选择
另一方面的问题在于对大数据预测能力的过度依赖。大数据技术预测功能的原理在于发现了事物的上升发展和人的行为轨迹是有规律可循的,通过收集无穷多的数据源,进而计算预测出事物的走向和用户的未来行为。例如企业将这项技术用于汽车自动驾驶领域等。但也同时存在着风险。据《纽约时报》报道,有一家购物网站通过收集网站浏览信息推测出某用户即将生育的信息,便将妇婴用品的优惠券寄到其家中。结果该用户为一名18岁高中在校女生,其父母在收到优惠券后对该公司的做法十分生气,要求网站道歉赔偿。然而经过了解,这名女生确已怀孕数月,不过朝夕相处的父母还懵然不知,而购物网站却在尚未谋面的情况下仅根据其浏览习惯就挖掘出其怀孕信息。[6]这项预测技术固然能帮助政策的制定者对政策实施后的可能性现象进行模拟,或是帮助商家预测下季度市场行情,但是它也存在着弊端,忽略了人的主观能动性。正如米奇所说的,大数据的“狂妄”之处不在于算法的成熟度,而在于人们会盲目相信坐在电脑屏幕前捣鼓数字就足以对世界有充分的了解。
(四)存储过程取舍无序
大数据时代所收集获取到的信息都是可以永久保存的,如果存储设备、软件没有发生损坏则可以储存至少100-150年,总之会长于普通的人均寿命。那么在没有规定信息用后的处理规则时,所有信息可能都不会被销毁、删除,这导致人们对那些记录自己不良行为的信息产生了担忧。例如因为交通违章收到的罚单、甚至是大学时一门课程的不及格成绩,这些信息是否都会一辈子跟随着主人呢?是否假设在人们已经“改邪归正”后,这些记录仍然不会被删除呢?如不能删除,是否这些不良信息的持久性也影响了用户的隐私。
三 大数据时代隐私保护现存问题的成因分析
由于大数据及个人数据本身具有的信息量大、信息类型多、时效性强等特点,经过数据挖掘极易产生高研究价值、服务价值或商业价值,所以在我国大数据时代发展的起步期,在各项规章制度不完善、人员自我约束不足的情况下,易导致个人隐私保护不足的问题。
(一)法律法规不完善
大数据技术是2012年后在世界上开始出现的,在中国则是2013年以后才逐渐兴起的,随着大数据技术的发展,数据与人之间关系的日益复杂和难以界定,企业行为的无法可依,就亟需政府出台完善的法律制度来进行规制。
近年来,我国公安力量增加检查力度,打击了多起信息犯罪事件,但始终不能根除的原因就在于没有完善的法律体系作为保障,对信息犯罪的惩罚不严,约束力度不足。另一方面,对于被侵权用户的权益维护,法律也没有做出明确的规定细则。个人隐私遭到泄露后,停止侵害、恢复名誉、消除影响是目前我国法律保护隐私的主要方式,而对个人带来的损失实际无法弥补,这也需要法律来制定具有可操作性的衡量、定损细则。
(二)数据使用机构对员工培训松散,对合作单位考察缺失
面对新技术的发展,使用机构内部的规章制度也未能及时更新。在对技术的管理上,缺乏对使用数据“能做什么”和“不能做什么”的明确规范,导致技术人员滥用私权,违制使用和二次使用用户信息。在对机构工作人员的管理上,缺乏对其职业道德素养的培养。
在FACEBOOK的案例中,FACEBOOK作为直接掌握用户数据的平台,应对使用用户数据的第三方履行监管责任,据悉,科根教授的APP由于收集了大量信息曾触发了平台的预警设置。但在平台向科根教授进行询问,后者回答收集信息是用于研究目的后,平台没有再追究。然而事实是科根教授发这款APP受到“剑桥分析”的资助,并且把收集到的数据分享给了该公司。FACEBOOK虽然尽到了一些监管义务,但是并不严格,只对科根教授进行了简单询问,而没有进行切实的调查或者合同约束,体现了监管漏洞。
(三)使用机构的逐利本性缺乏约束
大数据曾被誉为21世纪取之不尽用之不竭的石油资源,因为一般资源在利用一次之后就消失了或者以另一种形式存在着,而大数据资源能够持续不断地重复二次利用,并且每次利用完之后都以原来的形态存在着。这种独特魅力导致了大数据这种资源蕴藏着巨大的价值,因为每次利用都能够产生出新价值。[7]由于大数据的无穷可挖掘性和数据长期保存的特性,使大数据资源成为人人争夺的宝贵资源。并且在掌握了用户的个人习惯、消费特点等因素后,更便于商业机构对其进行诱导消费,部分无良机构为了眼前利益,可能会出卖用户隐私信息。而用户个人的低安全保护意识也给了机构可乘之机。
(四)用户隐私安全保护意识薄弱
用户在公共场合登陆自己的个人账号后通常不会有意识地清除账户信息和浏览信息,在平时浏览网页时也很容易误点进钓鱼网站,泄露个人信息。用户自我保护意识薄弱,保护隐私能力不足,为不法分子盗取隐私提供了便利。
不仅如此,用户的低自我保护意识还会导致亲友的隐私被泄漏。虽然只有27万FACEBOOK用户与科根教授的APP签约,但是最终共有8700万的个人信息被泄露。原因为随着用户个人数据的开放,其互动轨迹、活动轨迹同时被曝光,因此这些活跃用户好友的个人信息也被获取。缺乏隐私保护意识的个人,因对平台有着充分的信任,做出了草率的决定。
四 大数据时代隐私保护治理的思考
大数据时代的网络隐私保护问题已经引起了各国的普遍关注,不同的国家有不同的应对措施。有的注重行业发展,以行业为中心强调自律为主,有的强调对尊重和保护个人权利和利益进行规章制度和监管的限制.[8]近年来,我国相对落后的网络隐私保护机制已广受诟病,同时,互联网、大数据信息产业作为我国需要大力扶持和促进的高新产业又需要更快的发展,因此亟需寻找对个人隐私保护的有效方法。
(一)政府治理
1加強立法及监管
大数据是一种新技术,我们的时代也因此迅速迈入大数据时代。但是,由于时代转型过快,原来适合小数据时代的许多概念、法律、法规面对大数据都显得无能为力。在大数据时代,对原有规范的修修补补已经满足不了需要,也不足以抑制大数据带来的风险,因此需要全新的制度规范,而不是修改原有规范的适用范围,要重新立法,重新界定概念,对各个环节都有一定的法律约束。
首先是对个人信息和个人隐私权的界定。在大数据时代下,信息的交流和控制不可避免而且非常重要,不仅有助于商业机构提高经济利润,而且为政府行使国家权力奠定了基础。这就使个人信息开始具有财产性价值,不再表现为隐私权的静止防御状态,而是具有了积极的互动性意义。其次,要完善个人隐私保护法律法规,通过民法、刑法和行政法等多种法律对个人数据的保护与利用加以规范,制定详细的法律制度并严格进行监督,对于违反法律的从业机构和工作人员要进行严厉处罚。加强对侵害公民个人隐私的犯罪行为惩罚力度,明确犯罪主体范围。最后,要制定明确的行业标准,促使数据行业健康发展,避免无序竞争和违规经营。搭建行业准则框架,应用于电子商务、电子金融、医疗教育等领域,规范技术标准、数据流动、信息处理、数据安全、隐私保护等方面。
2进行信息安全宣传,营造良好氛围
像近年来一直在强调的交通安全意识、环境保护意识一样,政府的大力宣传都已取得了良好的效果,相关政策要求深入人心,并都得到了很好的执行。信息保护意识氛围的营造也需要尽快提上议程。政府应牵头整合社会力量,做好安全教育宣传工作,尤其是银行、电子商务、从业机构等重点领域都要联合起来,扩大信息安全保护教育的宣传影响范围,增强宣传活动的效果,通过播放广告宣传片、开展线下宣传活动、悬挂条幅标语等形式,使隐私保护意识深入人心。另一方面也形成尊重隐私、保护隐私的社会氛围,让数据使用者的个人素养也得到提升。
(二)使用机构治理
1遵守法律制度,制定机构准则
使用机构应在法律制度的框架下,制定符合自己企业特色的规章制度。对个人信息数据的搜集、存储、使用、传播过程都需要合法。在对个人信息的搜集、存储、使用、传播时,对其收集的用户信息严格保密,并建立健全用户信息保护制度,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息;不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。[9]
2监管技术进步
除了国家法律的约束,从业机构也要对工作人员进行监管,约束员工行为,强化内部建设。避免机构内部人员贩卖信息、滥用信息情况的发生。例如通过签订承诺书等方法订立契约。2012年,我国颁布了《互联网搜索引擎服务自律公约》,多个大型数据网络企业均签订了这份公约。公约规定,大数据网络企业应严格自律,监督企业行为,端正企业经营态度,塑造良好企业形象,避免出现用户信息泄露等不良社会现象。
其次要提高对用户数据库的安全保护,在数据的储存和管理上下功夫,建立健全的信息安全管理制度与技术措施对信息进行保护,通过提升保密加密技术、规范访问策略等方法,确保其收集的个人信息处于安全状态,并防止信息泄露、毁损、丢失,避免不法分子的入侵。
3加强机构从业人员自律意识
一切制度都是约束的手段,只有人的意识提升才是解决问题的根本方法。数据机构的从业人员要意识到尊重其他人隐私的重要性,树立尊重用户隐私的原则并严格遵守,所获数据只能用于事先约定好的事项分析,绝不能为了一己私利过度挖掘或转卖他人。用户的数据安全与否决定了企业形象和声誉的好坏,因此要改善企业内部环境,加强数据管理模式的规范,提高员工素质,真正做到转变原有的服务方式。让整个行业都形成保护个人隐私的良好风气,最终推动整个行业的发展。
(三)公民个人调整隐私观,加强安全防范意识
从公民自身的角度来看,身处在大数据时代,数据是社会保持活力的必要存在。公民的许多数据早已公开在阳光之下,因此公民要适度放开隐私观念,接受某些必要的信息采集,以配合促进政府工作的开展和社会的进步。
在适度开放隐私的同时,也要继续加强安全防范意识,培养良好的上网习惯。提高鉴别能力,辨别信息采集“陷阱”,谨慎提供个人信息,防止个人信息外泄。当签订涉及个人隐私的服务项目时,应认真阅读条款,明确信息的使用范围,监督使用机构按合同行事。当发现个人信息遭到泄露时,要及时报案寻求法律援助,维护个人权益,要求停止侵害,并尽快找到信息泄漏点,做好补救措施。
参考文献:
[1]黄欣荣.大数据技术的伦理反思[J].新疆师范大学学报(哲学社会科学版),2015,36(03):46-53+2.
[2]程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(03):102-122+207-208.
[3]张新宝.《名誉权的法律保护》[J].中国政法大学出版社.1996(6):39
[4]李德成.《网络隐私保护制度》,北京:中国方正出版社,2001:53.
[5]张毅菁.数据开放环境下个人数据权保护的研究[J].情报杂志,2016 (6): 35-39.
[6]维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代[M].杭州:浙江人民出版社,2013:16
[7]陈仕伟.大数据时代隐私保护的伦理反思[J].甘肃行政学院学报,2018(06):104-112,129.
[8]魏玉东.大数据时代国外网络隐私保护的典型模式及对我国的启示[J].沈阳工程学院学报(社会科学版),2018,14(04):456-460.
[9]张学南,张贺勋,陈远平,吴泽江,张志伟.大数据时代下如何保护个人信息[J].网络安全技术与应用,2018(03):58-59.