肖婷婷

2019年初，一个名为“Collection#1”的敏感信息合集文件被黑客发布到互联网上，这个被泄露文件容量超过 87GB，包含了至少7.73 亿电子邮件地址和 2122 万个唯一密码，成为“史上最大公共数据泄露事件”。

数据窃取与交易这个领域几乎是地下产业链隐藏最深的部分，有不少黑客通过数据交易来构建庞大的社工库。虽然黑客之间的私下如何交易，到底全世界有多少网站数据已经被窃取，目前仍没具体的明确评估，但通过某些半公开的渠道，可以看到很多浏览记录数据已经被明码标价，并接受各国法定货币或比特币作为支付手段。

大数据归谁管

个人数据安全已经成为整个国际社会必须共同面对的严峻挑战。目前，个人数据泄露的主要源头之一在于，许多手机应用程序需要客户开放自己的个人隐私数据。有数据显示，高达96.6%的安卓应用会获取用户手机隐私权限，iOS应用的这一数据也高达69.3%。而这其中就存在一些应用商家通过买卖个人隐私数据，在全球形成了一个庞大的“黑色产业”，年产值甚至高达上千亿元。

2018年5月25日，欧盟“通用数据保护条例”（GDPR）正式生效，条例将对所有企业强制进行史上最严厉的信息管理合规工作，覆盖了所有可以在欧盟境内使用的产品以及服务。

2019年1月21日，法国数据保护局（CNIL）宣布依据GDPR向谷歌开出了5000万欧元（约合3.8亿元人民币）巨额罚单，理由是谷歌在向用户定向发送广告时缺乏透明度、信息不足，且未获得用户有效许可。

但是，如果不充分分享数据，科技公司就无法建立用以分析精确结果的庞大数据池，用户接受服务的质量就会降低。因此如何保护个人数据隐私的安全，如何明晰数据分享和管理的边界，比如说数据到底归谁所有，怎么定价？这已经成为大数据时代亟待回答的难题。

“越界”收集用户数据现象令人担忧

2018年底，中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》显示，10类100款APP中，多达91款APP列出的权限存在涉嫌“越界”过度收集用户个人信息的问题。特别是在有关隐私条款上，报告显示当前许多手机APP存在诸如隐私条款笼统不清，不主动向用户展示或展示内容晦涩冗长，没有为用户提供访问、更正、删除个人信息的途径，大量收集与所提供服务无直接关联的个人信息等典型问题。

“在我们对安卓手机APP的检测中，可能涉及获取的隐私权限包括读取位置信息、手机号码、联系人、通话记录，打开摄像头、使用话筒录音等共16项权限。”360公司安全专家介绍，通过连续几年对手机安全生态的跟踪研究显示，对“读取联系人”权限的申请占比从2017年的3.5%攀升至2018年的29.3%，同时2018年申请录音权限的APP数量则最多，有47%的APP申请用户手机的录音权限，较2017年的28.6%出现了较大增长。

收集个人信息的“边界”在哪里，什么样的行为又算是“越界”？浙江大学光华法学院教授朱新力介绍，根据网络安全法确立的规则，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

“净网”！治理整顿，堵住违法源头

“情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。”2019年1月，中央网信办等四部委联合发布的《关于开展APP违法违规收集使用个人信息专项治理的公告》强调，有关主管部门要加强对违法违规收集使用个人信息行为的监管和处罚。2019年3月，为规范APP收集、使用用户信息特别是个人信息的行为，市场监管总局、中央网信办决定开展APP安全认证工作，并鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP。

事实上，治理整顿违规收集个人信息的行为，也是切断背后“黑灰”产业链的一剂猛药。

2018年8月，一网民出售上海某酒店集团旗下5亿条酒店会员数据，引起社会广泛关注。上海公安成立专案组开展侦查，经过12个昼夜的连续奋战，成功打掉该窃取公民个人信息并实施敲诈的职业黑客犯罪团伙。

侵犯个人信息，常常是电信诈骗、敲诈勒索、恶意注册账号等一系列违法犯罪的源头。“数据泄露会造成用户人身财产受到威胁，不法分子通过各种途径收集人们被泄露出去的个人信息，经过筛选分析用户特征，从事电信诈骗、非法讨债甚至绑架勒索等精准犯罪活动。”360安全专家表示，如果是国家重点行业、领域的数据被泄露，那不仅对企业来说是致命的，还会对国家安全造成严重威胁。

围绕侵犯公民个人信息的犯罪行为，公安部、工信部、中央网信办等部门加大与最高人民法院、最高人民检察院协作配合力度，形成治理合力。2018年以来，公安部等部门持续开展打击整治网络侵犯公民个人信息安全的“净网”专项行动，有力筑牢公民个人信息防护墙。

兼顾发展与安全，激励社会更好使用数据

从立法角度来看，关于公民个人信息保护的规定散见于网络安全法、电子商务法、民法总则、刑法等多部法律中，但尚未出台专门法律加以保护。目前，根据十三届全国人大常委会立法规划，个人信息保护法已被纳入第一类项目，即“条件比较成熟、任期内拟提请审议的法律草案”。

中央财经大学法学院教授吴韬认为，在个人数据保护标准和制度设计上不能照搬照抄，应结合我国实际情况，推进数字产业规范发展和个人数据保护立法工作，兼顾个人数据保护、创新、效率和安全几个价值目标。

朱新力认为立法应该实现发展与安全之间的平衡，在保护个人权利的同时激励社会更好地沉淀和使用数据。对此他建议，立法中可以对“个人数据”加以分类，比如以敏感或不敏感为标准，集中力量对敏感个人数据加以保护，对不敏感个人数据则侧重流通利用；也可以导入“风险”理念，根据个人数据的性质、使用场景以及产生的风险，来限定用户同意的范围和数据二次利用的风险管理机制。

对于如何正当配置数据权利，华东政法大学数据法律研究中心主任高富平表示，一个良好的数据经济基本秩序除了要防止个人数据的滥用行为，也应当确认和保护数据生產者的权利。“一方面，数据持有者对数据的财产化利用必须尊重个人权利，同时也应该激励数据持有者开放自己的数据供其他主体使用，由此实现数据高效的社会化利用。”高富平说。

资料来源：《人民日报》2019年5月30日、凤凰卫视2019年4月25日