大数据时代如何保护个人隐私
近日曝光的80万个人保单信息泄露事件,凸现了大数据时代个人信息安全面临的前所未有的挑战。如何认识大数据时代个人信息安全保护的症结和难点,进而探索出科学可行的保护模式,是政府、企业和每个公民都亟待破解的难题。 近日曝光的80万个人保单信息泄露事件,凸现了大数据时代个人信息安全面临前所未有的挑战。早在1980年,著名未来学家阿尔文·托夫勒就曾预言大数据将是“第三次浪潮”的华彩乐章。如今,伴随电子商务、社交网络、物联网、云计算、移动互联网的全面普及,全球数据资源呈现爆发式和多样化的急剧增长,其蕴含的无限开发潜能和巨大商业价值正引领全球智慧经济的崛起。与此同时,大数据引发的个人信息安全系统性风险也已全面爆发:从2010年全球最大社交网站Facebook遭遇“泄密门”,到2011年韩国社交网站“赛我网”的3500万用户资料被窃并最终导致韩国网络实名制的取消,以及同年我国最大的程序员网站CSDN的600万个人用户信息和邮箱密码被黑客公开进而引发的连锁泄密事件,这一系列动辄百万甚至千万级的个人信息安全事故所产生的威胁、侵害和影响,已经远远超越个人范畴,成为全社会共同面临的系统性风险,并关乎整个社会经济的健康发展乃至国家的安全稳定。如何认识大数据时代个人信息安全保护的症结和难点,进而探索出科学可行的保护模式,是政府、企业和每个公民都亟待破解的难题。
巨大经济利益催生了个人信息安全的系统性风险
大数据时代针对个人信息的采集日趋便捷和全面,除了涵盖公民身份类数据外,还包括公民的交易类数据(消费与金融活动等)、互动类数据(网络言论等)、关系类数据(社会网络等)、观测类数据(地理位置等)等,各类数据的关联聚合可以准确地还原并预测个人的社会生活全貌,当数据量达到一定规模时将产生巨大的经济效益。在经济利益的驱动下,围绕个人信息采集、加工、开发、销售的庞大的数据产业链在我国悄然形成,其中,合法与非法手段混杂、线上与线下途径并存。在电信、银行、大型互联网企业等依法采集并加工公民的个人数据的同时,信息安全的保障尚未完善,信息泄露的系统性风险也随之出现;而一些企业的“内鬼”或黑客更是将海量个人信息非法窃取并打包出售给信息中介机构和个人,进而再转手贩卖给销售企业、调查公司、网络犯罪团体等。大数据的信息整合与挖掘既可以对广大消费者开展合法的精准营销、客户管理,也可以从事非法的金融诈骗、身份窃取等。根据趋势科技、瑞星科技等机构的调查显示,我国互联网个人信息安全的灰色产业链规模已达近百亿,有众多黑客、广告商、中介及诈骗团伙在从中谋取暴利。
数据权利调整导致个人信息安全保护的边界模糊
大数据时代强调全社会信息资源的开放分享和开发利用,国家、企业、个人之间的数据权利面临动态调整,如英国、美国、澳大利亚、新西兰等十多个国家已经陆续建立了政府的大数据门户网站,将以前政府专有的各类民生数据上网与公民、企业共享。而个人信息兼具社会经济资源和人格利益双重价值,其信息保护的边界也面临调整,诚如美国《连线》杂志创始人凯文·凯利所言:“大数据时代如果用户需要高质量的个性化服务,就必须用个体的透明度来换取,最大的个性化也意味着最大的透明化。”
因此,当前的核心问题是:大数据时代个人数据应当属于谁?谁有权利利用这些数据进行分析?个人是否可以对开发利用的限度予以选择?这些问题的回答都将对个人信息安全保护的范围、主体、手段等产生重大影响。一些学者对大数据时代个人信息安全保护进行了预测,认为未来的个人信息保护将是寻求动态的安全,即在合法、透明的开发利用中的安全,同时个人信息具有“被遗忘的权利”,必须对个人信息设定存储期限。总体来看,当前和未来一段时期我国个人信息安全保护的边界仍然处于探索之中,其基本要义是在确保基本的人格权不受非法侵害的基础上,促进个人信息资源的合法、合理的开发利用。
现有法律规制尚难以支撑个人信息安全保护的开展
为了改变我国在个人信息保护方面的社会意识淡薄和立法执法基础薄弱的不足,我国政府近年来加快了个人信息安全保护的立法和修法进程,《刑法修正案(七)》、《侵权责任法》、《居民身份证法(修订)》等法律相继出台,民事责任、行政责任和刑事责任三位一体的个人信息保护法律框架基本构筑。2012年12月28日,全国人大常委会通过的《关于加强网络信息保护的决定》进一步强化了以法律形式保护公民个人信息安全,明确了网络服务提供者的义务和责任,并赋予政府主管部门必要的监管手段。但这些法律法规仍然过于原则导致操作性较差,并存在规制范围狭窄、公民举证困难、缺乏统一主管机构等不足。仅以《刑法修正案(七)》为例,该法案中关于出售、非法提供、非法获取公民个人信息这三种行为入罪的关键点都是“违反国家规定”,这种模糊的表述在司法实践中为确定“非法性”带来了较大困难;该法案将犯罪主体确定为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,也难以覆盖大数据时代个人信息安全整个灰色产业链。此外,现行“谁主张、谁举证”的司法规则在大数据时代面临广泛质疑,现代信息技术环境下收集和滥用个人用户信息的主体众多、渠道隐蔽,导致个人用户的举证难度极大,即便举证成功,在请求损害赔偿时也难以评估和证明个人的实际损失。
构建立体、协同、动态的个人信息安全保障体系迫在眉睫
大数据时代个人信息安全保护面临复杂严峻的形势,任何单一固化的保护模式均难以为继,现阶段我国应在深入研判大数据技术和产业发展趋势的基础上,重点从法律体系、自律机制、管理标准、组织机构、技术应用等多个层面构建立体协同、动态发展的个人信息安全保障体系,从根本上遏制大数据时代个人信息安全的系统性风险。首先是完善个人信息安全保护的法律体系。在现有法律法规基础上,应尽快研究出台个人信息保护的专门法,规范并协调其他相关法律法规的执行。同时进一步完善个人信息安全相关法律的细则,强化个人信息处理的事前监管,加大对个人信息事后侵权的惩治,积极鼓励信息化发达地区在个人信息安全保护法律建设方面的先行先试(如《深圳经济特区互联网信息服务安全条例》)。其次是培育个人信息安全保护的自律机制。立法的稳定性要求与大数据技术快速发展之间存在矛盾,我国应积极借鉴美国、香港的“安全港”模式,通过强化自律机制弥补立法模式的缺陷,发挥行业自律的灵活性和专业化优势。现阶段我国应引导重点行业(如金融、电信、大型互联网企业等)推出相应的自律规范和公约,重点加强对企业内部可能接触海量个人信息人员的监管和教育。第三是推行个人信息安全保护的管理标准。应引导重点企业开展个人信息安全神关国际标准和国内标准的实施认证。2013年2月1日我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信毒保护指南》正式实施,该指南比较全面地规范了个人信息处理的全流程活动,规定了个人敏感信息在收集和利用之前须获得个人信息主体明确授权。但作为一个推荐性标准,其实施取决于相关行业主体的自愿配合,因此,政府应进一步研究出台标准采用的激励措施。第呻是健全个人信息安全保护的组织机构。应健全专门的个人信息安全监管和测评机构,积极推动个人信息安全保护的第三方服务机构(专业取证机构、司法援助机构等)的发展壮大,为广大公民的个人信息安全保护提供专业化服务。同时鼓励个人信息安全相关重点企业参加第三方行业组织,为其提供相应的政策和资金支持,加强重点企业个人信息安全保护的行业引导。第五是加强个人信息安全保护的技术应用。应积极鼓励个人信息保护的技术研发和创新,从技术层面保障海量的个人信息安全。在各种保护模式中,隐私保护技术应用广泛,不仅可以防止个人数据被不必要和不希望的处理,而且可以让用户知道数据存储在哪里、如何被处理、流向何方。