張丹丹
揚州大學,江蘇 揚州 225000
大數據時代隱私權保護研究
張丹丹
揚州大學,江蘇 揚州 225000
隨著大數據時代的來臨,數據的價值被不斷的挖掘和開發,導致個人信息的收集遍布生活的各個方面;信息的存儲極易受到網絡攻擊而發生大規模的個人隱私信息泄露事件;信息的利用主體不斷呈現多元化趨勢導致個人對個人隱私的控制權被不斷架空等等。傳統的隱私權保護框架不斷地受到沖擊,個人私生活領域的安寧和人身財產安全不斷的受到威脅。現有的研究成果及立法實踐已不能適應我國在大數據時代下對于公民隱私權的保護需求。本文研究當前最新關于隱私權保護的立法成果和技術措施以求探索適合我國發展需要的隱私權保護方案。
大數據;個人隱私權;安全
隱私權的價值理念在于維護人格尊嚴、個人主體性之維護及人格發展自由。隱私權的概念源自美國,Samuel Warren和Louis Brandeis兩位學者最先將隱私權作為一項法定權利進行系統闡述,他們認為隱私權保證公民享有不受侵犯的私人生活,并避免這種私人生活受到侵犯或者不正當地公開。隱私權被定義為一項免于外界侵害的典型人格權。早期隱私權保護的重心關注個人身體或者私人空間的免受侵犯或不正當地公開。隨著工業社會的發展,信息社會的形成,個人信息被越來越多的主體收集、利用,這些信息往往具有私密性質。如1974年美國的針對濫用個人信息頒布了《隱私權法》,以此來規范聯邦政府處理個人信息的行為,平衡公共利益與個人隱私權之間的矛盾;1989年日本的《關于保護行政機關計算機處理的個人信息的法律》要求行政機關確保所持有的個人信息的安全性。個人隱私權的保護范圍包括:一為私密生活不受干擾,即個人得自主決定是否及如何自公眾引退、幽居或獨處,而保有自我內在空間,可稱為空間隱私。二為信息自主,即得自主決定是否及如何公開關于其個人的資料(信息隱私)[1]
個人信息隱私安全問題是互聯網技術發展必然帶來的附加產物,而大數據技術的發展僅僅是進一步加深了這個問題。在大數據時代,我們很難界定大數據服務和隱私侵犯之間的關系,一方面大數據的發展一直在改變著個人隱私的內涵和外延,很多在我們觀念中認為是隱私的信息實際上并不是真正意義的隱私。
數據只要進行適當的分析,可以產生巨大的價值,美國政府為了最大限度的利用大數據所帶來的機遇,對大數據運用相關的研究開發投入了2億美元的巨額資金。什么是大數據?大數據是指一切都數據化了,我們平常上網瀏覽的數據,我們的醫療、交通、購物數據,統統都被記錄下來,這就是大數據的起源。在這個時候,我們每個人都成了一個數據產生者,數據貢獻者。[2]麥肯錫全球研究所給出的定義是:一種規模大到在獲取、存儲、管理、分析方面大大超出了傳統數據庫軟件工具能力范圍的數據集合,具有海量的數據規模、快速的數據流轉、多樣的數據類型和價值密度低四大特征。[3]這導致數據的收集無處不在,個人的辨識能力越來越強,個人信息的邊界越發模糊;其次,網絡數據庫一旦收集到這些信息,就可以迅速而廉價地在全球范圍內流通;更為嚴重的是,絕大多數人根本就無從得知他們的哪些信息被收集,更不知道他們的信息被作何用處。[4]對個人的隱私構成極大沖擊。太陽公司(Sun Microsystems)的創始人Scott McNealy曾經說過:“在數字時代,你不可能享有隱私……對此,我們無能為力,只得適應。”斯諾登說要保證隱私就不用Google,不用Facebook,不用云存儲。這些至少說明在現在環境下保護隱私有多困難。大數據時代,數據的過分關聯是個人隱私信息最大的威脅。
(一)個人隱私信息泄露頻發
據中國互聯網協會發布的《中國網民權益保護調查報告2016》,有72%的受訪網民表示身份信息(姓名、手機號、電子郵件、學歷、住址和身份證號碼等)遭到泄露;有54%的受調查網民表示網上活動信息(網購記錄、網站瀏覽痕跡、IP地址、位置信息等)遭到泄露。Verizon發布的《2015數據泄露調查報告》顯示世界500企業中超半數遭受過黑客攻擊。數字安全研究公司金雅拓發布的2016年數據泄露水平指數(Breach Level Index)報告顯示,2016年發生了約1800次數據泄露事件,造成約14億條記錄泄漏。
(二)黑色信息交易加劇信息安全風險
網絡非法獲取公民個人信息日益猖獗,涉及身份信息、電話號碼、家庭地址、擴展到網絡賬號和密碼、銀行賬號和密碼、購物記錄、出行記錄,且形成了“源頭——中間商—非法使用人員”的黑色產業,行業內鬼已經成為“黑產鏈”的重要主體。個人信息泄露產生更為嚴重的后果。
(三)個人信息自我決策失控
網絡行業在保護個人隱私信息方面大都采用隱私聲明這種做法。然而,面對繁冗復雜的格式條款絕大多數網站訪問者根本就不會閱讀,更不用說理解這些條款。其次,各類網站往往會保留更改其隱私政策的權利。“隱私聲明正在成為互聯網上默示同意的法律擬制的基礎-將給定的行為是做用戶默許的信號,并因此而推定用戶的默示同意。”[5]同時大數據應用過程中,數據在不斷的進行交換、流通,導致被多種角色用戶所接觸;會出現數據擁有者與管理者不同、數據所有權和使用權分離的情況,即數據會脫離數據所有者的控制而存在,從而會帶來數據濫用、權屬不明確、安全監管責任不清晰等安全風險,嚴重損害個人隱私權。
現階段面對大數據背景下個人信息被非法收集、傳輸、使用及轉讓等諸多問題。隱私權的保護有賴于法律規范與市場機制的共同協力。美國以行業自律為主導的隱私權保護模式,日本、歐盟實行以法律為主導的網絡隱私權保護模式。
(一)法制建設方面,制定保護個人信息的專門性法律
自信息安全被社會關注以來,加強立法被認為是解決信息安全問題的治本之策。近年來各國紛紛制定相關法律來保護個人隱私權,如2016年4月歐盟頒布的《通用數據保護條例》(GDPR),2015年3月美國白宮公布了《2015年消費者隱私權法案》草案。我國在積極推動大數據產業發展的過程中,非常關注大數據的安全問題。2015年發布的《中華人民共和國網絡安全法》,首次從事前保障的角度加強了對“網絡運營者”網絡安全保護義務的規定,是我國網絡安全領域的基礎性法律,《網絡安全法》第四章專門規定網絡信息安全保護義務。加強對公民個人信息的保護,防止公民個人信息數據被非法獲取、泄露或者非法使用。2016年出臺的《刑法修正案(九)》專門設定了一個新的罪名“拒不履行信息網絡安全管理義務罪”。加強個人數據保護,嚴厲打擊非法泄露和出賣個人數據行為,泄露個人信息的行為已經入刑。
(二)從信息相關產業和市場的方面,構建信息產業界數據處理的規范
由于立法存在滯后性,針對個人隱私信息保護的特殊性,通過法律進行事后打擊和治理顯得力不從心。“在個人信息獲取、存儲、利用的合規化處理方面,產業界相對于政府部門,擁有更加專業化的技術能力,也具有更強的規則體系建設的驅動力。個人信息保護和合法使用,需要通過市場機制、社會共治的模式,充分發揮產業界技術優勢和創新能力,通過產業界的自律和他律,促進健康有序的市場規范的形成。”[6]
企業需要建立完善的內部安全管理制度和操作規程,加強數據控制者對數據收集傳輸、存儲、共享、處理等安全活動意識,減少來自組織內部和外部的各種大數據安全風險。確定數據信息安全負責人,落實數據安全保護責任。當下首席數據官(CDO)職位正在快速崛起。他們專注于控制數據和管理數據。CDO需要負責維護客戶信息,并監控員工的訪問行為,然后將所有內容及時上報給CEO。這樣可以倒逼有關責任主體切實加強保護和防范工作。應把信息安全責任落實到相關部門和企業的負責人。歐盟也在《通用數據保護條例》中規定了必須設立數據保護官的情形,還授權成員國可以擴展必須設立數據保護官的其他情形。
其次,在技術保證措施方面。主流的數據防泄漏技術以數據加密為基礎,例如,實時透明加解密技術、包括蘋果、Twitter在內的網絡服務商推進雙重認證;結合權限管理及審計,例如,數字版權管理;以及對文件全生命周期進行管控。積極采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施。因此必須加快架構數據安全管理平臺,構建安全可控的信息技術體系,制定全面化數據保護解決方案。
(三)加大執法力度
正如《中國個人信息安全和隱私保護報告》所言:“由于個人信息獲取、存儲和利用的環節眾多,線下和線上傳播具有隱蔽性和復雜性,追本溯源成本很高,發現、查處難度大,處罰、賠償力度小,同時獲利空間巨大,執法現狀為灰色產業鏈提供了巨大的投機空間。”
相關職能部門定期開展專項活動對重點網絡產品和服務的隱私條款進行分析梳理,例如,微信、微博、淘寶、京東商城、支付寶等隱私條款。通過評審和宣傳形成社會示范效應,帶動行業整體個人信息保護水平的提升。同時開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪的專項行動,讓所有濫用隱私的企業和不法分子都受到很嚴重的懲罰。
一次又一次的數據泄漏事件,把整個社會對于信息安全的認知推向高峰。公民隱私權的保護從來就不是一個孤立的問題,如何保護個人信息安全,不僅是一個技術命題,更是一個制度命題。需要整個社會共同努力,建立起行之有效的法律秩序。[7]同時我們比以往任何時候都更需要有力的法治之盾來保障信息安全。公權力采取更積極的立法保護,個人才會有效地自主控制與保護和自己密切相關的信息。維護個人信息安全是場持久戰,也是場前所未有的遭遇戰。加快相關法律條例的研究跟進、系統配套,加強相關部門的“握指成拳”協調共治,進一步明確運營商、銀行、電商等的權責,提高對信息泄密者的處罰成本,切實保障個人信息、展開依法維權。[8]
[1]王澤鑒.法釋義學、比較法、案例研究[M].北京:北京大學出版社,2013,1:208-209.
[2]http://edu.sina.com.cn/l/2013-06-20/1410229561.shtml.
[3]張安法.大數據時代要有大數據思維[N].中國國防報,2015-6-25.
[4]論我國金融消費者信息權保護的立法完善——基于大數據時代金融信息流動的負面風險分析[J].法學論壇,2016(6).
[5]張民安主編,林泰松副主編.公開他人私人事務的隱私侵權:公開他人的醫療信息、基因信息、雇員信息、航空乘客信息及網絡的隱私侵權[M].廣州:中山大學出版社,2012.8.
[6]https://www.ishuo.cn/doc/nwdeinqf.html.
[7]論我國金融消費者信息權保護的立法完善——基于大數據時代金融信息流動的負面風險分析[J].法學論壇,2016(6).
[8]姜赟.個人信息安全,不能止于“打補丁”[N].人民日報,2016-4-14.
D923
A
2095-4379-(2017)31-0086-02
張丹丹(1989-),漢族,江蘇宿遷人,揚州大學,研究生,研究方向:民商法。