個人信息泄密的損失分級估算方法

2012-10-20 08:52:20劉雅琦

統計與決策 2012年8期

劉雅琦，張揚

（武漢大學a.信息管理學院;b.電氣工程學院,武漢 430072）

0 引言

中國第一大同學門戶網站“中國同學錄”上9000萬個人信息被買賣，包括電話號碼、手機號碼、家庭及工作地址、MSN、QQ等聯系方式，甚至可能有婚姻狀況、犯罪記錄、銀行借貸記錄、個人財產記錄等個人信息。而早在上世紀中后期，美國征信業（Credit Bureau Industry）利用數據庫技術和存儲裝置建起的信息系統，可以跟蹤大約8千萬個美國家庭有價值的信用和財務的信息。

國內外為了防止用戶權益遭到損害，進行了大量立法，如歐盟國家保護個人信息的法律《個人數據保護指令》[1]，美國的《隱私權法》[2]等，對個人信息的數據泄露的相關刑責都進行了詳細區分。國內這方面比較零散，根據《中華人民共和國憲法》[3]中的人格權保護條款，隱私權作為一種人格權在憲法層面上得到保護。

然而，由于中國并未正式出臺《個人信息保護法》或者《隱私權保護法》，個人信息泄露和個人信息侵權，難于計算其損失，更無法給出準確的分級估算。這使得涉及個人信息案件的審理和索賠都無法可依，判罰和量刑尺度都較為模糊，因此需要一種定量的計算方法給予補充。本文提出的定量評估方法主要是針對法律責任帶來的損失（包括行政處罰責任、民事索賠責任、刑事責任）以及輿情損失等兩大部分。

個人信息對于個人而言本質上是屬于需要保密，不愿意隨意公開的信息。我們認為可以借鑒我國于2010年施行的《中華人民共和國保守國家秘密法》[4]的保密分級體系來區別對待不同的個人信息。國家秘密法的體系將國家秘密的密級分為“絕密”、“機密”、“秘密”三級?！敖^密”是最重要的國家秘密，泄露會使國家的安全和利益遭受特別嚴重的損害；“機密”是重要的國家秘密，泄露會使國家的安全和利益遭受嚴重的損害；“秘密”是一般的國家秘密，泄露會使國家的安全和利益遭受損害。因此個人信息的損害也可以參照這種分類方法進行分級。這給侵犯個人隱私的行為從法律責任的評估上來說帶來了依據。

個人信息損失最重要的因素就是隱私被公開，被他人知曉和討論，這一方面體現為輿情損失。輿論給個人生活帶來的巨大影響，這在一些轟動全球的個人信息泄密事件中得到充分體現，尤其是像“水門事件”這樣的丑聞。而該損失實際上難于計算。本文擬針對輿情傳播的特點，提出按照輿情產生、傳播、振蕩和衰減過程，并結合常用的衰減函數，分析該過程中的輿情損失；通過個人信息泄露損失的定量分析，給出某一事件的損失定量尺度，為今后的法律和經濟相關問題提供一種客觀參考。

1 泄密問題的表示

本文的定量分析方法在數學上和經濟學上屬于風險和損失評估算法，需要考慮的主要是發生概率，因此在描述一個人信息保密事件和泄密問題中，采用概率的方法。

1.1 泄密問題的時間描述

從直觀意義上說，概率是隨機事件發生的可能性的量度[5]。在統計學中，“隨機變量”一詞是眾所周知的，是人們所關心的變量。取隨機變量的樣本，對其進行統計計算，以便知道如何預測個人信息的狀態。在本文研究中，主要的隨機變量是時間t，泄密前的時間或者稱為泄密時間。然后通過分析有關時間數據的性質。這些信息用來預測個人信息造成的損失以及應當承擔的索賠損失等。

表1假設記錄了某10條個人信息的泄露前時間，也就是它們的失效前時間，或者用樣本的平均泄密時間(Aver-age Information Leakage Time,AILT)來描述。

表1 個人信息的失效前時間

則通過計算平均值，可得AILT=3248h。

1.2 泄密問題的泄密度

保密性是個人信息能夠得到有效保護的指標。本文定義保密性為“個人信息在一定的技術和規范下，能夠不遭到泄露的概率”。這個定義包含如下4個基本要點：

（1）必須預先知道該技術和規范的預定功能；

（2）必須知道要怎樣操作才能完成該功能；

（3）必須確定達到良好狀態的標準，這是由于絕對不泄密是不可能發生的，因此需要一個判據來判斷這個標準；

（4）必須知道所有規則的技術規范細節。

在數學上，保密性能夠有一個嚴格的定義，也即“在0到t的時間范圍內，設備正常工作的概率”，用隨機變量t來表示

圖1 保密函數的圖示

保密性等于時間大于T的概率。

考慮到一系列個人信息被保存到某數據庫系統中且該系統通過了安全測試，這就意味著，泄露該信息不是一個必然事件。在t=0時將其投入某數據庫中并長期保存。隨著時間的增加，能夠不泄密的內容就會逐漸減少。因為實際上所有的信息最終都會失效，這是個人信息的時效性所決定的。因此，當時間趨近于無窮大時，保密的個人信息的概率就會趨近于0。因此，保密函數起始于概率值為1的點，而終止于概率為0的點。保密函數的圖像如圖1所示。

保密度是保密時間的函數?！皞€人信息的保密度是0.95”這種說法是沒有實際意義的，因為根本不知道時間間隔有多少?！霸诖鎯α?00個小時之后可靠度是0.98”才是有意義的說法。

對于保密法律損失的問題，更關心的是其反問題，即泄密度。泄密度是指個人信息被泄露的一個指標。本文將其定義為“在0到t的時間間隔內，個人信息泄密的概率。”也即表示為

采用隨機變量t，泄密度等于失效時間小于或者等于工作時間的概率。由于任何個人信息都只有處于保密和泄密兩種狀態的一種，因此F(t)是R(t)的補，也即

F(t)是一個累積分布函數，它起始于0而終止于1。

在數據庫系統運行中的任何一段時間里，發生泄密的概率能夠通過概率密度函數所給出，通過統計學，能夠知道

這可以解釋為：泄密時間t發生在工作時間T和下一個工作時間的時間間隔，也即T+ΔT之間的概率。進一步寫出表達式為

1.3 以負指數函數表示的泄密度

在保密與泄密問題上，一個很有用的概率密度是負指數分布概率密度[6]，這個密度定義為

換言之，如果個人信息具有指數衰減的泄密規律，那么他們的泄密率就是常數，常數泄密率能夠基本反應一定規范下的個人信息的保存特性，也即泄密具有衰減性。然而，在大多數情況下，常數泄密率代表了最壞的情況，因而仍然能夠被使用。

1.4 以負指數函數表示的AILT

個人信息的AILT可以由其公式推出

例如，如果某一數據庫系統的個人信息的泄密率為150FIT（1FIT=1×10-9h-1），當其被存儲1000h的時候，其保密度 R(1000)=e-0.00000015×1000=e-0.00015=0.99985 ，則

2 泄密損失的法律責任帶來的損失分級計算

2.1 泄密損失的法律責任分級

在考慮法律損失問題時，還需要注意的一個問題是，不同個人信息的損失是不同的，這是嚴重依賴于分級的，若表1中的個人信息泄密時間與泄密嚴重度有關，則可列出表2。

表2 個人信息的失效時間與密級

本小節的分級采用一般、秘密、機密、絕密四個等級，該四個等級造成的損失程度不相同，這在數據庫系統的個人信息存儲中實際上是存在的。如個人的姓名和性別屬于一般等級，個人的婚姻狀況是秘密等級，個人的身份信息等屬于機密等級，個人身份銀行賬號和密碼等屬于絕密等級，不同的泄密產生的后果差別較大本小節的保密分級與引言中提到的《中華人民共和國保守國家秘密法》是一致的。

“秘密”是一般的個人信息秘密，泄露會造成公民的利益遭到損害。這種情況下，一般認為，泄露秘密會受到行政投訴和舉報，但是較難于進行公民索賠訴訟，但是會遭到行政警告和處罰。“機密”是重要的個人信息，泄露會使得公民權利和利益遭到嚴重損失。在此種情況下，泄露秘密會受到行政問責和行政處罰，并伴隨公民的民事索賠訴訟。“絕密”是最重要的個人信息，泄露會使得公民的基本權利和利益遭到最嚴重損失。在這種情況下，泄露秘密不僅會受到行政問責和行政處罰，也會受到公民的刑事伴隨民事索賠訴訟。

2.2 法律責任帶來的損失計算公式

將上述問題進行定量分析，需要列出表格如表3。

表3 個人信息密級與損失

在表3中，C是賠償金（Compensation）的縮寫，a為行政處罰（Administration Penalty）的縮寫，c為民事訴訟（Civil Action）的縮寫，r為刑事處罰（cRiminal Penalty）的縮寫。實際上，個人信息的綜合法律損失是由這些部分構成的。

如前述理論，假設個人信息每條的泄密率或者AILT可以通過衰減估算得到，例如泄密率已知，分別為λ1、λ2、λ3、λ4代表了從一般、秘密、機密到絕密的泄密率。則可以計算出，從0到T時刻的法律損失總量期望值為

式(13)是法律損失的計算公式，也是評價個人信息法律責任的計算公式。

3 輿情造成的損失評估

3.1 輿情的生命周期及其特征：

輿情是由輿情因變事項而引發的民眾社會政治態度[7]。輿情具有正當性。輿情民意在國內當前發揮了許多正面作用，對于追求社會公平、公正和公義發揮了巨大作用，對法律本身的不足進行了補充，維護了公民的基本人權。輿情的傳播是難于定量分析的，其造成的損失目前也無成熟的方法。結合當前信息化條件下的網絡環境，輿情在其生命周期可以歸結為：開始、擴散、振蕩和衰減，如下圖2所示。

在輿情生命周期的開始具有突發性、迅速性。輿情的形成具有突發性是因為事先很難預料哪一類輿情能夠得到人們的關注，該問題的形成與當前的價值觀、公共利益和事件本身的性質等有較大關系。并且在網絡情況下，出現的地點也較難確定。輿情的發展具有迅速性是由于當某一特定事件的輿情形成后，借助于媒體，主要是互聯網方便、快捷、迅速的特點，在短時間內將會急速擴散和傳播，大面積的爆發。

輿情在擴散過程中具有非理性。民意容易受到宣傳的煽動，并快速傳播。大部分情況下，輿情并不是理性分析與評價的結果，而是會隨著相互的碰撞出現非理性的各種情緒，并且由于信息的不充分和片面性，民意很容易被特定的觀點左右，形成大規模的輿情狀況，并進行累積。

輿情的振蕩傳播過程中存在較強的波動性。輿情的發展，伴隨著焦點事件的發展變化以及傳統媒體、政府機構等社會組織發言人等各方面的意見的影響，網絡輿情產生發生不斷的合并和分化，因此會出現輿情降低和升高的波動。

輿情的衰減過程說明輿情的演變最終會低落并且淡出公共視線。隨著時間推移，如果沒有更多新的因素加入該問題，公眾的情緒會逐漸衰減，并對自己的觀點以及他人的觀點進行思考，并開始朝著理性的方向發展并產生遺忘。

3.2 輿情的開始和擴散

圖2 輿情生命周期

輿情本文體現的是負面價值，也即個人信息泄露帶來的輿情的負面影響，而并不主要研究其對法制建設正面的推進價值。本文假定在輿情發生的時間內，外界的法律環境并不會發生重大變化（事實上也往往如此）。因此對法律進程的正面改善價值有限，可以將其忽略掉，主要考慮的是由于輿情的非理性帶來的損失問題。

假設輿情發生的時刻為0時刻，根據輿情的突發特征和迅速性特征，可以輿情發生存在發生概率 Kp，也存在短時間（幾乎立刻發生）的一個突發規模U(0)，單位為人，如圖3所示。

圖3 開始階段的函數

參考控制論中的相關同樣，這是一個典型的階躍函數[8]，因此輿情形成階段用函數表示為

輿情傳播階段，根據輿情傳播特征的第4條特點，并考慮如下細節：傳播是一對多的傳播，假設一個人能夠在t到t+T時刻內傳播給μ個人。也即第一個時刻有

而擴散階段人數的初值實際上是由式（14）決定的，也即代入式（15）可得

由于輿情傳播速度很快，因此必須考慮到基準T的尺度選擇要比較合理。而輿情相關的人數不可能是無限制增大，因此還必須滿足條件

特殊情況下，如果不求精確評估，可以直接采取最大值作為N的取值。本文就采用這種方式。

3.3 輿情的振蕩和衰減

輿情的振蕩與衰減階段，實際上振蕩過程是衰減過程的一種特殊情況，因此將這兩個過程合并?？紤]輿情達到最大值后的振蕩實際情況，畫出原理圖如圖4。

也就是說，造成輿情振蕩的原因主要體現為三種不同的意見所導致的，而主流意見實際上是受到煽動性意見和消極性意見的影響。煽動性意見會增大輿情的人數，而消極性意見會減少輿情參與的人數。用v1表示主流意見人數，列出一般的振蕩與衰減的通式為[9]

圖4 輿情的振蕩與衰減的原因分析

近似的，輿情的振蕩衰減過程可表示為

根據實際輿情的持續時間，確定衰減函數的一般性質，判斷衰減強度η和振蕩強度κ，以及振蕩角頻率θ。

3.4 輿情的損失定量法

輿情由于是一種民意政治態度，但是又會直接或者間接影響到人。因此，本文采取的損失定量法，是針對輿情出現的各個階段的關注總人次，加以權衡，以判斷該事件的影響和損失大小，從而將事件分為緊急、嚴重、一般、次要事件四個等級，從而考慮界定法律責任和經濟損失。而總人數的公式，根據求和的積分公式，代入式（19），可得

則可根據表4來進行損失分級。

表4 輿情事件分級與損失額度

采用四級損失額度，這是由于輿情的特殊性所決定的。輿情損失必須含有上限和下限，而該上限和下限的決定，本文建議參考當地居民的平均收入值進行加權計算。則最終公共部門個人信息泄密的損失計算公式為

式（21）由式（20）和式（13）共同決定。

4 算例

本文以某兩位明星的個人事件為例來分析該計算方法。該事件在15天時間內被瀏覽47900余次，18天左右累計日瀏覽達到480000余次的峰值，之后在22天出現870000余次的振蕩高峰、24天出現下滑，直到45天左右淡出最熱門的事件。這一事件導致某些明星的職業生涯受到毀滅性的打擊，作為一個高度發達的城市，該城市的平均收入在亞洲排名靠前，因此本文的示例通過歐美發達國家的相關法律法規來進行，也是考慮到經濟方面與發達國家更為類似。該事件并未產生刑事訴訟和行政處分，因此考慮的更多的民事經濟責任，也即處于本文所劃分的秘密分級下。

根據歐美相關的法律，泄露他人個人信息所面臨的處罰見表5[11]。