张宏羽

数据安全治理迎来新挑战 （图/视觉中国）

近期，河南省商丘市睢阳区人民法院公开了一份裁判文书。判决书显示，受雇于黎某的逯某在家中利用自己开发的爬虫软件，通过淘宝网页接口爬取11.8亿条淘宝客户的信息，并将其中淘宝客户的手机号码提供给黎某开设的公司用于经营活动，黎某利用这些信息，建了千余个微信群，每天用机器人在群里发淘宝优惠券，赚取返利。据悉，该公司从2019年8月至2020年7月非法获利395.26万元。

近12亿条数据泄露事件让公众的目光聚焦到公民个人信息的保护上。就在2021年7月4日，国家互联网信息办公室发布消息称，根据举报，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App。

记者查阅发现，中国裁判文书网上涉及“侵犯公民个人信息”的刑事案由达2902条，民事案由达245条，近十年来，相关案件的数量呈逐年递增趋势。在大数据时代，如何更好地保护个人信息与隐私成为亟须解决的问题。如果用户的个人权益持续受到侵害，最终只会让数据变成“数惧”。以人工智能为标志的第四次产业革命已拉开序幕，破解“数惧”是当务之急，也是这场产业革命的第一步。

无序的“数据大战”

20世纪60年代末，互联网诞生，在之后的20年内，互联网迅速风靡全球。1993年，中国连入了互联网的第一根专线;1998年，中国第一笔互联网交易成功;2000年，中国移动互联网投入运行;2005年，中国的网民数量破亿……2016年，美团创始人王兴在一次分享中，提出了“互联网的下半场”概念。

当今中国已经开启了一个“互联网+”的全新时代。回眸“互联网的上半场”，是“有得也有失”，其中最大的“失”，可能便是无序的“数据大战”。一部分互联网企业在“数据大战”中，长期无征求收集、无授权使用用户的个人数据，公众的隐私未得到应有的保障，甚至给诈骗分子提供可乘之机。还有一些企业通过分析用户的数据，或是投放“数据药丸”，或是“大数据杀熟”，严重侵害用户个人权益。无序的“数据大战”后，这些互联网企业还来不及反思，便“带病”进入了“互联网的下半场”。与此同时，社会公众的“数惧”情绪也越来越强烈：个人是数据的原始提供者，却对自己的数据没有控制能力，安全感大大降低。

“互联网的下半场”刚开始，便被敲响了警钟：一位花季少年的生命永远停止在2016年那个夏天。当年8月，刚刚拿到大学录取通知书的徐玉玉，因个人信息被泄露遭遇电信诈骗，被骗走近万元学费。报案后，在回家的路上，她因郁结于心导致心脏骤停，抢救无效离世。当时舆论一片哗然，个人数据泄露问题成为公众热议的话题。可以说，“互联网的下半场”是以个人信息保护战开始的，数据治理成为关键词。

数据泄露问题也一直困扰着其他一些国家。“剑桥分析丑闻”虽已过去多年，大家对此事的讨论还未平息。此前，政治咨询公司“剑桥分析”被指控获取Facebook平台上8700万用户隐私信息。剑桥分析公司自称是“用数据驱动竞选活动的全球领导者”，美国前总统特朗普曾经雇佣剑桥分析公司从事2016年美国大选的竞选活动。

近年来，Facebook屡次陷入数据泄露风波。去年，欧盟隐私监管机构向Facebook发出一项初步命令，暂停向美国传输欧盟用户的数据。今年，Facebook在英国伦敦高级法院遭遇了有关侵犯消费者隐私权的集体诉讼，原告指控该公司未保护好英国大约100万用户的隐私。

放眼全球，数据安全为什么难以治理？全知科技创始人兼CEO方兴提到了一种可能性：很多企业都在大量收集数据、共享数据、挖掘数据、使用数据，以创造新的业务价值。数据渗透到了企业所有业务环节及整个生态链中。在这种复杂的流动中，个人信息保护其实是非常困难的。他认为，企业应当承担起一定的责任，一是合理合法采集数据，不能非法获取;二是保护数据不被泄露;三是数据要按照用户的授权合法使用;四是数据若要共享给其他的数据主体使用方，要通过合理合规的方式共享。

各个国家和地区都越来越重视数据安全，并拿起法律的武器向个人信息泄露宣战。2018年，欧盟出台了号称“史上最严的数据保护条例”——《通用数据保护条例》。此前，爱尔兰数据保护委员会依照该条例对Twitter罚款45万欧元。此案中，Twitter因一个漏洞，在超过四年的时间里暴露了一些用户的私人推文。

近年来，中国实现数据安全的“铁拳治理”。出台实施《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》《信息安全技术个人信息安全规范》等。《民法典》就個人信息的保护进行了专门规定，实现个人信息保护法律制度的顶层设计。今年4月，《移动互联网应用程序个人信息保护管理暂行规定》公开征求意见，特别明确App应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分知情的前提下，作出自愿、明确的意思表示。应当采取非默认勾选的方式征得用户同意。

近两年，工信部对于手机App开展专项整治，定期发布通报，督促相关企业强化App个人信息保护，及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户等突出问题。此外，全国App技术检测平台管理系统上线运行，覆盖40余万款主流App，实现技管结合。

走向“算法治理”

“为什么App里的广告总是那么懂我？不会被窃听了吧！”一方面，App的精准推荐提高了用户对产品的检索效率;另一方面，精准推荐也遭受质疑，尤其是跨平台的精准推荐让人产生“细思极恐”的联想。

有业内人士表示，精准推荐借由人工智能、大数据算法等技术，让产品能够根据用户偏好推荐靶向产品或服务，本身是技术进步的表现。但不排除少数的企业对用户隐私过度窥探、对用户数据违规交易，并以此作为实现和强化精准推荐的信源基础。须采取有效措施，通过法治引领等手段，切实管好相关企业和个人。

记者注意到，《常见类型移动互联网应用程序必要个人信息范围规定》已于今年5月1日起施行，明确界定了常见App收集用户必要个人信息的范围，有力震慑了非法的“精准推荐”行为。

规范App精准推荐的背后，实际上是一场对算法的现代化治理。在“算法治理”这一语境下，“大数据杀熟”同样是社会公众热议的话题。

算法成为“算计”，用户恨“大数据杀熟”久矣。对于“大数据杀熟”，上海市消保委进行了科普：初代的“大數据杀熟”，依靠的是算法的简单判断，比较典型的场景是“熟客卖高价”。随着人工智能等新技术的运用，算法快速迭代，再加上平台对消费者个人信息的全方位收集，算法“杀熟”方式升级，转向基于被平台充分掌握个人信息的“杀熟”，比如，会根据消费者使用的手机型号等个人信息匹配相关的产品、广告或者是不同的优惠券。这是平台对算法权力的滥用，是对消费者公平交易权的侵害。上海消保委还表示，算法从接受输入数据到输出决策结果的全过程，形成外界无法获知的“黑箱”，算法“黑箱”的非透明性更导致二代“大数据杀熟”行为更加隐蔽、难以察觉。

对于算法“黑箱”这一问题，有专家表示，把算法的开发和设计列为商业机密，这无可厚非，但算法的逻辑和功效是可以公开的，包括功能描述、主要方法、输入参数、输出结果、逻辑判断等。此外，“算法说明书”的真实性也应接受专门的审查。

此前，已有《电子商务法》《反垄断法》《价格法》等多部法律法规出台，约束“大数据杀熟”行为。近期，相关部门进一步对“大数据杀熟”采取措施。今年7月2日，国家市场监督管理总局公布《价格违法行为行政处罚规定（修订征求意见稿）》，增加“新业态中的价格违法行为”的内容，对“大数据杀熟”有着更大的威慑力度。记者注意到，《深圳经济特区数据条例》已获深圳市七届人大常委会第二次会议通过，“大数据杀熟”最高可罚5000万元。

在产业革命的故事中，数据安全治理、破除公众“数惧”也许只是第一步。信息管理专家涂子沛曾在《数文明》一书中预测，数据引发的变化将会推动整个社会进入文明新状态，改变社会的全貌。他认为，随着通证经济的来临、区块链技术的日益完善，未来的个人数据可能会保存在公共的区块链上，这些企业使用数据必须经由我们授权，每一次操作将被区块链记录。我们目前所见证的数据革命，还远远没有结束，如果真要说结束，那也只是一个序曲的结束。