李大元，潘 壮，肖元英

(中南大学 商学院，湖南 长沙 410083)

一、引言

人工智能时代的到来使大数据中蕴藏的价值被不断开发与利用。每一个人既是数据的创造者，也是数据的使用者。每时每刻，有成千上万的数据产生和更新，尤其是涉及电商平台、网络服务平台、社交平台等APP的活动数据更是以指数级增长。大数据分析作为一种新的信息技术，不仅能以超强的分析能力、优化能力、决策能力帮助掌握和处理海量的信息，还能透过庞大的数据量全面地描述事物和活动。[1-2]凭借这些优势，大数据发展极其迅速，并在交通出行、医疗教育、社交娱乐、求职招聘等各个领域得到了广泛应用，例如日常出行使用的智慧交通导航APP、资料存储上传下载使用的云端网盘、学习娱乐使用的分享社交平台。大数据为人们的生活、学习以及工作提供了诸多便利，对人们的生活带来了极具时代性的影响。

大数据的普及与使用，让人们在享受大数据突出优势的同时，也意识到了其潜在的风险[3-4]。其中，较为关注的问题之一便是数据平台消费者隐私泄露[5]。到目前为止，重大消费者隐私泄露事件在国内外时有发生，给企业和社会带来巨大的影响。例如2021年5月，国家互联网信息办公室对APP进行抽查，发现公众大量使用的APP侵害个人信息严重，包括短视频巨头抖音、快手，浏览器领域如360、百度、搜狗，招聘领域如智联招聘、前程无忧等共计105款APP，这无疑暴露了现有服务平台对消费者隐私保护的巨大隐患。更有疫情期间，部分地区涉湖北籍人员的资料在本地社区微信群被大量转发，致使公民信息泄露，合法权益受损，给无辜的受害者造成了很大的心理压力和精神伤害。更为震惊的是2018年出现的“Facebook数据门”事件，私营社交平台竟然利用大数据对2016年美国总统竞选时期的选民投票进行干扰，而这一事件的持续发酵直接导致Facebook市值下跌360亿美元，股价在此后相当长时间内低迷，创始人扎克伯格个人股票价值缩水60亿美元。隐私保护的发展进程远慢于大数据的发展节奏，面对隐私泄露的巨大危害，各国都应该加强对大数据时代消费者隐私的保护。根据我国现有的消费者隐私保护的现状[6]，本文在分析我国隐私保护困境原因的基础上，借鉴发达国家地区隐私保护实践经验，结合中国实际，提出相应的协同保护建议，以期更好地实现大数据时代的消费者的隐私保护。

二、我国大数据时代消费者隐私保护困境探因

(一)法制缺位困境：隐私保护的法律法规缺失

在制度上，有关消费者隐私保护的法律法规立法碎片化，对隐私保护的利益衡量不明确、表达不清晰，且行政执法部门的分工与权限不够明确，监督和问责机构缺乏等问题依然突出。目前，有关中国隐私保护的法律法规主要为部门规章与地方法规，隐私保护的立法需进一步完善。其次，除《个人信息保护法》外，保护隐私的法律的某些细则往往需细究到《侵权责任法》《网络安全法》《数据安全法》等其他法规条例的细则，并非自成体系。关于各条例间隐私保护的主题互相割裂，内容上更是缺乏系统性，甚至内容存在冲突。此外，大数据网络平台下，隐私权的侵权主体在法律规范间的认定不统一，缺乏对隐私保护的利益衡量，再加上效力层级普遍底、局限性强的特点，相关法规条例在司法实践中很难得到广泛引用。另外，行政执法部门存在分工与权限混乱、不明确，问责与监督不到位的情况，这让很多消费者在面临隐私侵权时，受到各部门“踢皮球”式互相推卸而维权无门。

(二)技术权衡困境：数据保护与隐私保护两难

在技术上，当前的隐私保护方法面临两难选择，需要平衡数据可用性的收益与隐私保护性的成本。隐私保护技术与大数据发展技术间存在较大的落差，随着数据的发展会使个人敏感性问题的安全性降低，所以推动隐私保护技术发展的同时也要兼顾数据敏感性问题，基于大数据的隐私保护不能仅仅局限于对敏感数据的保护。通过隐私保护技术完成数据流通和数据处理，可以避免数据直接流通造成的泄露用户隐私。目前基于扰动和基于密码学的两类隐私保护方案相对成熟，但是各有利弊[7]。基于扰动的方案能够有效地保护数据隐私，计算效率高，但是数据本身的修改会降低数据精度，影响数据可用性。基于密码学的隐私保护方案安全性高，但是效率较低，并不适合商业用途。隐私保护技术的推动更大程度上需要借助政府的关注与帮扶，以及研发投入和教育行业的支持。

(三)企业逐利困境：商业帝国主义的肆意侵犯

目前，各种APP违法违规使用的现象依旧存在。不设置隐私保护政策，或者设置无效的隐私保护政策的行为更加折射出APP背后商业逐利对消费者隐私保护的傲慢。网络服务企业以收集个人信息为前提向用户提供服务已成业界常态，但在用户数据隐私的保护上，采取有效措施对用户隐私进行保护的企业寥寥无几，更多企业在未经用户许可下直接使用隐私数据[8]。因为缺乏统一的隐私政策法规，网络服务企业在收集、使用、分享涉及隐私的个人信息的合法性与正当性边界十分模糊。为了更好地规范隐私信息的收集和管理，实现整个业态良性发展，部分企业出台了本企业的隐私条款与协议，但这些条款与协议对企业利好，对维护消费者权益而言形同虚设。截至2022年2月，工信部共通报21批侵犯用户权益的APP，仍有107款尚未完成整改。新华社曾在《个人信息保护法》实施后进行调研，发现消费者依旧会收到大量陌生推广与诈骗来电，“大数据杀熟”现象仍然存在。这样无序，过度的收集，分析个人隐私信息的行为依旧充斥在国内网络服务业，暴露了当下企业对于个人隐私信息侵犯依旧我行我素。此外，管理混乱，也是隐私侵权事件频发的重要诱因。

(四)消费者意识困境：自身隐私保护意识薄弱

消费者在保护个人和他人隐私方面意识浅薄，在维权意识方面多抱有得过且过的心态。根据2019年南方都市报大数据研究院与南都个人信息保护研究中心联合发布的《2019个人信息安全报告》显示，95.02%的受访者表示自己遭遇过信息泄露，且其中约15%的受访者表示，从未对此采取行动。这反映了消费者关于隐私保护意识的薄弱。大数据时代下，消费者的习惯与隐私以数据为载体存在于网络之中，商业组织可从中挖掘背后隐藏的巨大的经济效益，一些组织和利益相关者以多种方式收集、存储和处理个人数据。在大数据时代下，“告知和同意”这一相对公平的原则在信息数据的传播中难以实现[9]。如果未经数据信息本人同意，就随意私藏、存储和处理个人信息数据，因时间滞后、信息泄露出处不明等各种原因，数据信息者就会失去对自身信息的控制，这样就会进一步导致个人隐私信息泄露。

三、国外大数据时代消费者隐私保护经验

为了保护消费者隐私权益，美国建立“行业自律模式”，由行业进行自我约束；欧盟采用“统一立法模式”，更加侧重使用法律法规来保护盟下多个国家的消费者隐私权益；新西兰则是通过引入第三方的职能部门“隐私专员”来全权负责隐私保护。这三种隐私保护实践较为完善，且具有代表性，对中国建立完善的隐私保护机制具有借鉴意义[10-11]。

(一)美国：行业自律模式

20世纪90年代，美国成立了联邦贸易委员会(简称 FTC，Federal Trade Commission)，该委员会旨在保护消费者个人信息与隐私利益，促进行业良性竞争。出于过度管制必然影响行业发展的逻辑，该委员会并未制定实质性隐私保护规则，而是鼓励企业进行自我规制。由此，美国各行业陆续制定了各自所在行业的自律模式，采取行业自我约束的方式规制个人数据的搜集与使用，保障消费者隐私权。

美国的行业自律模式包含三类：建议性行业指引、网络隐私认证和技术保护模式。建议性行业指引由美国产业联盟发布，主要细化了个人隐私信息在行业内的保护标准，是该组织内部成员需遵守的行业原则。网络隐私认证是针对跨行业联盟，认证部门对不同的联盟采用隐私认证，对符合隐私保护标准的网站授予隐私认证，方便用户分辨网站真伪。技术保护模式则将选择权给予消费者，一般包括定入与定出两种制度。美国的行业自律模式已经相对完善，比如由美国航空在内的100多家国际公司和协会创建的在线隐私联盟，旨在改善公民隐私保护，以及著名的技术保护模式个人隐私选择平台(P3P)等。

此外，在监督和执行方面，《联邦贸易委员会法》第5条规定，FTC有权“对欺诈性以及非公平竞争行为进行制止”。具体到个人信息保护领域，涉及三类管辖权:一是“欺骗性商业行为”，二是“不公平的商业行为”，三是监督相关法律的实施。若非正式调查阶段相关内容符合社会公共利益，并有充分合理的证据表明被调查企业违法，FTC会提起指控，最后下达对违法方的判决。实践中企业为规避判决对其企业的负面影响，多倾向于采取同意令的形式终止指控，而同意令最后又会指导企业推进个人信息的保护，成为企业乃至整个行业的规范指南。FTC自成立起，处理了上百个涉及个人数据安全的投诉，虽然平均只有每年数十例，但由于FTC对违法机构的审查时限十分漫长，近一半案件的审理期限超过20年。对被审查公司而言，需要大量时间与精力应对FTC的指控，被审查期间企业形象与声誉也会大打折扣，因此该机构对美国公司在个人隐私保护方面极具威慑力。

(二) 欧盟：统一立法模式

欧盟采取政府主导的立法体系，重视个人隐私保护的法律规制。欧盟要求各成员国立法保护公民的个人隐私信息，并专门针对隐私保护立法，从而实现欧盟境内个人隐私信息保护体系的统一。欧盟采取严格的立法措施防止数据突然遗失，或者未经授权暴露、篡改和访问个人隐私数据。同时，欧盟成员国还对技术保障和组织保障进行完善，确保个人数据信息的安全性和完整性。为将数据处理风险降到最低，欧盟致力于完善法律保障措施。1998年10月生效的《欧盟指令》严禁数据的跨国传输，指令第25条规定：除非接收国能够保障数据传输的安全，否则不得将个人数据传输到欧盟以外的国家或地区。2001年11月，欧洲会议还通过了限制Cookies的立法草案，要求在未经客户同意的情况下，欧盟成员国不得使用Cookies等跟踪技术。此外，欧盟还于2018年5月25日出台《通用数据保护条例(General Data Protection Regulation，GDPR)》，规定了用户享有数据查看权、被遗忘权等权利，促进个人隐私保护，打击数据滥用现象。

(三)新西兰：隐私专员监督

1991年，《隐私专员法》在新西兰出台。该法规定数据隐私由隐私专员负责，监督政府部门之间的数据匹配。《隐私专员法》的精神在1993 年新出台的《隐私法》中进一步得到了体现，并完善了隐私专员的四项职能：一是负责公民投诉；二是颁布行为准则；三是展开宣传教育；四是开展监督审查。隐私专员需对公民投诉的事件展开调查核实，若投诉事件属实，由隐私专员发布和说明，并由法院裁决最终结果，并将该类行为的违法性向全社会说明。在通过众议会的审核后，隐私专员对某些具体类别的个人隐私问题制定解释性行为准则，并上升至国家规章制度高度，为政府行政部门、商业部门及个人隐私信息保护提供依据，从而推动个人隐私保护制度体系不断完善。隐私专员还承担举办论坛、讲座等活动的职责，通过宣传教育加强公民对隐私保护相关法律法规的了解，增强公民对隐私保护的意识与关注。此外，隐私专员还采取各种措施进一步保障个人的隐私安全，例如监督个人识别号码的使用情况，对拟颁布的个人隐私相关的法律进行审查，并对法令、法律、惯例或程序中有关威胁或侵害个人隐私的问题进行询问查究等。隐私专员办公室实现了对行政部门及商业部门对个人信息收集、存储、分析、共享、使用的监督，同时也为受到隐私侵害的公民提供更便利的救济渠道，简化了公民上诉的程序，降低了上诉承担的维权费用。

四、我国大数据时代消费者隐私协同保护建议

大数据时代，海量服务和产品围绕消费者数据隐私建立，消费者享受着大数据带来的个性化、高质量、高精度的服务的同时，却也面临不断交付自身隐私高风险情境。而互联互通的数据环境使消费者隐私多方主体联系更为紧密，单一路径保障难以独当一面，还需搭建多主体保护机制，从制度、技术、行业、监管、企业、个体等全方位出发，多管齐下，实现各主体的整合与协同，“实现信息提供与使用的合作共赢”[12]。

(一)制度协同：强化建立制度保障

大数据时代下消费者隐私保护应制度先行，进一步完善相关制度设计，实现对消费者隐私制度保障。目前相关法律监管在个人隐私信息利用、保护和适当披露并无明确界限, 导致消费者隐私被用于其他目的[13]。首先应在《个人信息保护法》的基础上进一步完善隐私制度保护体系，界定消费者隐私的内涵与外延边界，区分消费者公共数据与敏感数据。在明确消费者所拥有对个人隐私知情、访问、更正、删除、限制处理、可携带以及拒绝等权利的基础上，进一步在制度保障中将具体救济方式和途径等条款明细化，更好地保障个人信息权益。整合工业和信息化部、公安部、国家安全部各政府部门资源，明确在消费者隐私保护方面对应职权和监管职能，并加强各部门协调与配合，统一部门间监管方式，充分发挥整体协同效能。其次应考虑“个人数据采集与使用许可”制度，审查并筛选在我国境内使用消费者数据的企业，对不具备个人数据安全保障能力的企业进行规范，提升数据使用者的“准入门槛”，降低不合格企业获取或使用个人信息的可能性。再次，建立消费者数据采集登记与流转登记制度，强化个人数据流转监管，规定使用主体必须建立或完善在消费者隐私数据的收集、传输、存储、分析、开放等环节过程中风险评估、应急处置及事故通报等机制，将侵害消费者隐私的可能性降到最低。最后，制度设计与大数据平台对接，实现在统一大数据平台进行消费者隐私数据使用者之间的数据共享与交易，打破隐私数据使用者之间“数据孤岛”与“数据垄断”现象。实现数据资源充分互联互通，使信息能力较弱的个体，也能保障其获悉个人数据之流向的权利，为今后损害赔偿权实现奠定追责基础。

(二)技术协同：夯实隐私技术基础

随着AI、大数据技术迅猛发展，大量消费者隐私未经同意而被用于AI机器学习、用户标签分析中，侵犯消费者隐私的形式手段更加隐性[14]。实现消费者隐私权的保护任重道远，而技术手段作为法律手段的重要补充，可有效防止消费者隐私泄露现象。完善相关技术首先应大力发展监管科技。构建消费者隐私保护事前、事中、事后全链条监管模式，开展消费者隐私泄露风险评级，提高大数据时代下的治理能力，在保护消费者隐私过程中进一步完善大数据及其相关管理技术。其次在数据处理过程中，发展数据加密、分布式计算边缘计算、机器学习等多种技术的结合保护数据安全，利用差分隐私、联盟学习以及加密运算(如多方计算、同态加密)，实现隐私数据与模型训练解耦。再次，研发先进大数据管理技术，通过区块链溯源、零知识证明、智能化脱敏与认证等，保证数据的可用性与统计性的同时，降低数据的敏感度。最后，加大5G、人工智能、区块链等新技术支持力度，重视信息安全技术的研发工作，并给予政策及财政支持，鼓励科研院校、网络运营商等相关机构积极加入到大数据相关安全技术的研发浪潮，引导社会资源共同参与，为个人隐私保护筑牢一道坚固的“防火墙”。

(三)行业协同：完善隐私自律规范

行业自律因其监管协同机制，可对行政监管形成有益补充与有力支持。加强对现有自律组织的引导规范，是夯实商业个人数据保护、重构客户信任的重要一环。目前，消费者数据隐私保护机构基本源自于自律性组织，通过行业自律准则，规范组织成员对用户数据信息的窥视、转让、传播、交易等行为。如2017年《中关村大数据产业联盟行业自律公约》在京发布，从大数据行业自律、从业者行为、行业发展、企业数据治理等方面作出规定，规范会员保护公民数据隐私。2019年，国内首个APP自律联盟成立，该联盟遵循内容有据、收集有权、使用有度、保护有责四大倡议。在国内行业自律基础上，我国可借鉴国外行业自律经验，结合实际，引导重点行业制定个人信息保护的自律规范和自律公约，秉承中立、公开、透明原则，通过行业自律弥补当前法律的薄弱环节。一是推动电信、金融、互联网、人工智能等重点领域成立个人信息保护行业自律协会，从技术准入、标准规则、管理规范等角度构建行业自律门槛。二是推动行业个人信息保护自律公约，形成以龙头企业带动的重视个人信息保护引导和示范效应，进而辐射到整个行业。三是依托行业自律协会，开展行业自律动态监测，实施个人信息保护发展水平评估，定期发布个人信息保护行业自律报告。四是定期赞助促进行业内部分享，以组织研讨、论坛峰会等形式，分享重点行业、企业在个人信息利用、保护等方面的典型案例与经验教训，总结行业发展瓶颈问题，推广优秀案例经验。

(四)监管协同：推进隐私独立监督

行业自律组织自带私有属性，导致在处罚违反协会规定的成员时，主要为组织共同利益服务，即便在法律体制相对完善的欧美发达国家，也很难站在保护消费者的立场。欧盟在《欧盟数据保护基本条例》颁布后，要求缔约国均需特设专门机构进行个人信息保护的监督，这既保障法律能够顺利实施，又为公民在个人信息保护方面维权增加途径。我国目前商业个人数据隐私保护的第三方认证机构，大部分源自于一些自律性组织。监督机构独立化，可有效改善由裁判员与运动员的双重身份引发的诸多顾虑和质疑。我国可从行政角度参考欧盟个人信息保护监督机构设立方式，采取全国统一设立监管机构的方式，以专门机构从全国统一管理的层次上对个人信息保护进行监督管理，强化 “事前准入”，完善“事中监测”与 “事后处置”。加强各个行业领域、各部门法之间的协作。其次，考虑我国地区经济发展不平衡、经济发展程度高地区个人信息侵犯多发的特点，可在这些区域加大监管力度，总结出先进经验推广至全国。建立“全国统一、重点管理”的专门监督机构体系，通过监督保障个人信息保护法的实施。

(五)企业协同：担当隐私保护责任

大数据时代下，消费者隐私保护不应是企业被动的负担，而应是自觉的担当。首先，企业应保证自身隐私条款的公开与透明，通过简明易懂的方式对自身隐私条款进行说明，保证用户知悉自身管理信息的途径，确保用户对企业隐私条款与协议充分了解的前提下做出选择。其次，企业在个人信息收集利用行为中应秉持“知情同意”作为最基本原则，严格按照既定隐私条款与用户协议中的目的与方式对信息进行收集与使用，防止出现替用户做主、滥用数据、采集来历不明的数据等现象发生。最后，企业应在技术研发投入和科技应用中体现对消费者隐私保护的担当。只有当企业具备足够强大的技术实力作后盾，强有力的算法以及计算能力作为保障时，才能实现有效管理海量数据，审查数据收集的合法性，支撑数据利用中的数据分级分类、敏感数据的识别、数据调用的监控以及相关风险处置全过程。最终在满足企业的数据管理需求上，通过前沿技术的应用实现对行业层面个人数据收集利用的有效管理和风险防控，进一步提升行业整体消费者隐私数据保护水平。

(六)个体协同：提升个人隐私意识

实现消费者隐私权的保护，不仅需要完善法制保障，更需要加强大众自我防卫的觉悟，引导树立正确的消费观、价值观和技术观，培养民众运用法律维护自身作为消费者的隐私数据安全。一是举办专题讲座，引导公民积极参与，全力配合。政府部门与社会组织可通过定期举办消费者隐私权保护相关专题讲座与公开课，邀请领域内专家学者针对消费者隐私权保护相关问题进行案例分享与问题解惑，促进广大消费者深刻认识个人信息安全的重要性，让隐私保护的重要性理念深入人心。二是通过媒体宣传，通过多种媒体增强消费者隐私保护意识，发挥媒体的正面效用。通过报刊、广播、电视等传统媒体与微信公众号、B站、微博、短视频等新媒体渠道发布公益视频、印发宣传手册等传递正确隐私保护观，提升防骗意识，尤其要增强未成年人、老年人和女性群体的隐私权保护意识，并在全社会形成一种隐私权保护风气。三是通过创设隐私权保护专题日、图片展览、微信公众号推文等形式进行宣传，养成公众使用APP等产品前了解隐私条款与用户协议的习惯、掌握基本信息安全方法与技巧、个人隐私泄露救济手段与途径等，使公众了解维护个人作为消费者隐私权利的法律规定与维权途径，必要时刻拿起法律武器捍卫自己的隐私权利。