大數據時代消費者隱私協同保護研究

李大元，潘 壯，肖元英

(中南大學 商學院，湖南 長沙 410083)

一、引言

人工智能時代的到來使大數據中蘊藏的價值被不斷開發與利用。每一個人既是數據的創造者，也是數據的使用者。每時每刻，有成千上萬的數據產生和更新，尤其是涉及電商平臺、網絡服務平臺、社交平臺等APP的活動數據更是以指數級增長。大數據分析作為一種新的信息技術，不僅能以超強的分析能力、優化能力、決策能力幫助掌握和處理海量的信息，還能透過龐大的數據量全面地描述事物和活動。[1-2]憑借這些優勢，大數據發展極其迅速，并在交通出行、醫療教育、社交娛樂、求職招聘等各個領域得到了廣泛應用，例如日常出行使用的智慧交通導航APP、資料存儲上傳下載使用的云端網盤、學習娛樂使用的分享社交平臺。大數據為人們的生活、學習以及工作提供了諸多便利，對人們的生活帶來了極具時代性的影響。

大數據的普及與使用，讓人們在享受大數據突出優勢的同時，也意識到了其潛在的風險[3-4]。其中，較為關注的問題之一便是數據平臺消費者隱私泄露[5]。到目前為止，重大消費者隱私泄露事件在國內外時有發生，給企業和社會帶來巨大的影響。例如2021年5月，國家互聯網信息辦公室對APP進行抽查，發現公眾大量使用的APP侵害個人信息嚴重，包括短視頻巨頭抖音、快手，瀏覽器領域如360、百度、搜狗，招聘領域如智聯招聘、前程無憂等共計105款APP，這無疑暴露了現有服務平臺對消費者隱私保護的巨大隱患。更有疫情期間，部分地區涉湖北籍人員的資料在本地社區微信群被大量轉發，致使公民信息泄露，合法權益受損，給無辜的受害者造成了很大的心理壓力和精神傷害。更為震驚的是2018年出現的“Facebook數據門”事件，私營社交平臺竟然利用大數據對2016年美國總統競選時期的選民投票進行干擾，而這一事件的持續發酵直接導致Facebook市值下跌360億美元，股價在此后相當長時間內低迷，創始人扎克伯格個人股票價值縮水60億美元。隱私保護的發展進程遠慢于大數據的發展節奏，面對隱私泄露的巨大危害，各國都應該加強對大數據時代消費者隱私的保護。根據我國現有的消費者隱私保護的現狀[6]，本文在分析我國隱私保護困境原因的基礎上，借鑒發達國家地區隱私保護實踐經驗，結合中國實際，提出相應的協同保護建議，以期更好地實現大數據時代的消費者的隱私保護。

二、我國大數據時代消費者隱私保護困境探因

(一)法制缺位困境：隱私保護的法律法規缺失

在制度上，有關消費者隱私保護的法律法規立法碎片化，對隱私保護的利益衡量不明確、表達不清晰，且行政執法部門的分工與權限不夠明確，監督和問責機構缺乏等問題依然突出。目前，有關中國隱私保護的法律法規主要為部門規章與地方法規，隱私保護的立法需進一步完善。其次，除《個人信息保護法》外，保護隱私的法律的某些細則往往需細究到《侵權責任法》《網絡安全法》《數據安全法》等其他法規條例的細則，并非自成體系。關于各條例間隱私保護的主題互相割裂，內容上更是缺乏系統性，甚至內容存在沖突。此外，大數據網絡平臺下，隱私權的侵權主體在法律規范間的認定不統一，缺乏對隱私保護的利益衡量，再加上效力層級普遍底、局限性強的特點，相關法規條例在司法實踐中很難得到廣泛引用。另外，行政執法部門存在分工與權限混亂、不明確，問責與監督不到位的情況，這讓很多消費者在面臨隱私侵權時，受到各部門“踢皮球”式互相推卸而維權無門。

(二)技術權衡困境：數據保護與隱私保護兩難

在技術上，當前的隱私保護方法面臨兩難選擇，需要平衡數據可用性的收益與隱私保護性的成本。隱私保護技術與大數據發展技術間存在較大的落差，隨著數據的發展會使個人敏感性問題的安全性降低，所以推動隱私保護技術發展的同時也要兼顧數據敏感性問題，基于大數據的隱私保護不能僅僅局限于對敏感數據的保護。通過隱私保護技術完成數據流通和數據處理，可以避免數據直接流通造成的泄露用戶隱私。目前基于擾動和基于密碼學的兩類隱私保護方案相對成熟，但是各有利弊[7]。基于擾動的方案能夠有效地保護數據隱私，計算效率高，但是數據本身的修改會降低數據精度，影響數據可用性。基于密碼學的隱私保護方案安全性高，但是效率較低，并不適合商業用途。隱私保護技術的推動更大程度上需要借助政府的關注與幫扶，以及研發投入和教育行業的支持。

(三)企業逐利困境：商業帝國主義的肆意侵犯

目前，各種APP違法違規使用的現象依舊存在。不設置隱私保護政策，或者設置無效的隱私保護政策的行為更加折射出APP背后商業逐利對消費者隱私保護的傲慢。網絡服務企業以收集個人信息為前提向用戶提供服務已成業界常態，但在用戶數據隱私的保護上，采取有效措施對用戶隱私進行保護的企業寥寥無幾，更多企業在未經用戶許可下直接使用隱私數據[8]。因為缺乏統一的隱私政策法規，網絡服務企業在收集、使用、分享涉及隱私的個人信息的合法性與正當性邊界十分模糊。為了更好地規范隱私信息的收集和管理，實現整個業態良性發展，部分企業出臺了本企業的隱私條款與協議，但這些條款與協議對企業利好，對維護消費者權益而言形同虛設。截至2022年2月，工信部共通報21批侵犯用戶權益的APP，仍有107款尚未完成整改。新華社曾在《個人信息保護法》實施后進行調研，發現消費者依舊會收到大量陌生推廣與詐騙來電，“大數據殺熟”現象仍然存在。這樣無序，過度的收集，分析個人隱私信息的行為依舊充斥在國內網絡服務業，暴露了當下企業對于個人隱私信息侵犯依舊我行我素。此外，管理混亂，也是隱私侵權事件頻發的重要誘因。

(四)消費者意識困境：自身隱私保護意識薄弱

消費者在保護個人和他人隱私方面意識淺薄，在維權意識方面多抱有得過且過的心態。根據2019年南方都市報大數據研究院與南都個人信息保護研究中心聯合發布的《2019個人信息安全報告》顯示，95.02%的受訪者表示自己遭遇過信息泄露，且其中約15%的受訪者表示，從未對此采取行動。這反映了消費者關于隱私保護意識的薄弱。大數據時代下，消費者的習慣與隱私以數據為載體存在于網絡之中，商業組織可從中挖掘背后隱藏的巨大的經濟效益，一些組織和利益相關者以多種方式收集、存儲和處理個人數據。在大數據時代下，“告知和同意”這一相對公平的原則在信息數據的傳播中難以實現[9]。如果未經數據信息本人同意，就隨意私藏、存儲和處理個人信息數據，因時間滯后、信息泄露出處不明等各種原因，數據信息者就會失去對自身信息的控制，這樣就會進一步導致個人隱私信息泄露。

三、國外大數據時代消費者隱私保護經驗

為了保護消費者隱私權益，美國建立“行業自律模式”，由行業進行自我約束；歐盟采用“統一立法模式”，更加側重使用法律法規來保護盟下多個國家的消費者隱私權益；新西蘭則是通過引入第三方的職能部門“隱私專員”來全權負責隱私保護。這三種隱私保護實踐較為完善，且具有代表性，對中國建立完善的隱私保護機制具有借鑒意義[10-11]。

(一)美國：行業自律模式

20世紀90年代，美國成立了聯邦貿易委員會(簡稱 FTC，Federal Trade Commission)，該委員會旨在保護消費者個人信息與隱私利益，促進行業良性競爭。出于過度管制必然影響行業發展的邏輯，該委員會并未制定實質性隱私保護規則，而是鼓勵企業進行自我規制。由此，美國各行業陸續制定了各自所在行業的自律模式，采取行業自我約束的方式規制個人數據的搜集與使用，保障消費者隱私權。

美國的行業自律模式包含三類：建議性行業指引、網絡隱私認證和技術保護模式。建議性行業指引由美國產業聯盟發布，主要細化了個人隱私信息在行業內的保護標準，是該組織內部成員需遵守的行業原則。網絡隱私認證是針對跨行業聯盟，認證部門對不同的聯盟采用隱私認證，對符合隱私保護標準的網站授予隱私認證，方便用戶分辨網站真偽。技術保護模式則將選擇權給予消費者，一般包括定入與定出兩種制度。美國的行業自律模式已經相對完善，比如由美國航空在內的100多家國際公司和協會創建的在線隱私聯盟，旨在改善公民隱私保護，以及著名的技術保護模式個人隱私選擇平臺(P3P)等。

此外，在監督和執行方面，《聯邦貿易委員會法》第5條規定，FTC有權“對欺詐性以及非公平競爭行為進行制止”。具體到個人信息保護領域，涉及三類管轄權:一是“欺騙性商業行為”，二是“不公平的商業行為”，三是監督相關法律的實施。若非正式調查階段相關內容符合社會公共利益，并有充分合理的證據表明被調查企業違法，FTC會提起指控，最后下達對違法方的判決。實踐中企業為規避判決對其企業的負面影響，多傾向于采取同意令的形式終止指控，而同意令最后又會指導企業推進個人信息的保護，成為企業乃至整個行業的規范指南。FTC自成立起，處理了上百個涉及個人數據安全的投訴，雖然平均只有每年數十例，但由于FTC對違法機構的審查時限十分漫長，近一半案件的審理期限超過20年。對被審查公司而言，需要大量時間與精力應對FTC的指控，被審查期間企業形象與聲譽也會大打折扣，因此該機構對美國公司在個人隱私保護方面極具威懾力。

(二) 歐盟：統一立法模式

歐盟采取政府主導的立法體系，重視個人隱私保護的法律規制。歐盟要求各成員國立法保護公民的個人隱私信息，并專門針對隱私保護立法，從而實現歐盟境內個人隱私信息保護體系的統一。歐盟采取嚴格的立法措施防止數據突然遺失，或者未經授權暴露、篡改和訪問個人隱私數據。同時，歐盟成員國還對技術保障和組織保障進行完善，確保個人數據信息的安全性和完整性。為將數據處理風險降到最低，歐盟致力于完善法律保障措施。1998年10月生效的《歐盟指令》嚴禁數據的跨國傳輸，指令第25條規定：除非接收國能夠保障數據傳輸的安全，否則不得將個人數據傳輸到歐盟以外的國家或地區。2001年11月，歐洲會議還通過了限制Cookies的立法草案，要求在未經客戶同意的情況下，歐盟成員國不得使用Cookies等跟蹤技術。此外，歐盟還于2018年5月25日出臺《通用數據保護條例(General Data Protection Regulation，GDPR)》，規定了用戶享有數據查看權、被遺忘權等權利，促進個人隱私保護，打擊數據濫用現象。

(三)新西蘭：隱私專員監督

1991年，《隱私專員法》在新西蘭出臺。該法規定數據隱私由隱私專員負責，監督政府部門之間的數據匹配。《隱私專員法》的精神在1993 年新出臺的《隱私法》中進一步得到了體現，并完善了隱私專員的四項職能：一是負責公民投訴；二是頒布行為準則；三是展開宣傳教育；四是開展監督審查。隱私專員需對公民投訴的事件展開調查核實，若投訴事件屬實，由隱私專員發布和說明，并由法院裁決最終結果，并將該類行為的違法性向全社會說明。在通過眾議會的審核后，隱私專員對某些具體類別的個人隱私問題制定解釋性行為準則，并上升至國家規章制度高度，為政府行政部門、商業部門及個人隱私信息保護提供依據，從而推動個人隱私保護制度體系不斷完善。隱私專員還承擔舉辦論壇、講座等活動的職責，通過宣傳教育加強公民對隱私保護相關法律法規的了解，增強公民對隱私保護的意識與關注。此外，隱私專員還采取各種措施進一步保障個人的隱私安全，例如監督個人識別號碼的使用情況，對擬頒布的個人隱私相關的法律進行審查，并對法令、法律、慣例或程序中有關威脅或侵害個人隱私的問題進行詢問查究等。隱私專員辦公室實現了對行政部門及商業部門對個人信息收集、存儲、分析、共享、使用的監督，同時也為受到隱私侵害的公民提供更便利的救濟渠道，簡化了公民上訴的程序，降低了上訴承擔的維權費用。

四、我國大數據時代消費者隱私協同保護建議

大數據時代，海量服務和產品圍繞消費者數據隱私建立，消費者享受著大數據帶來的個性化、高質量、高精度的服務的同時，卻也面臨不斷交付自身隱私高風險情境。而互聯互通的數據環境使消費者隱私多方主體聯系更為緊密，單一路徑保障難以獨當一面，還需搭建多主體保護機制，從制度、技術、行業、監管、企業、個體等全方位出發，多管齊下，實現各主體的整合與協同，“實現信息提供與使用的合作共贏”[12]。

(一)制度協同：強化建立制度保障

大數據時代下消費者隱私保護應制度先行，進一步完善相關制度設計，實現對消費者隱私制度保障。目前相關法律監管在個人隱私信息利用、保護和適當披露并無明確界限, 導致消費者隱私被用于其他目的[13]。首先應在《個人信息保護法》的基礎上進一步完善隱私制度保護體系，界定消費者隱私的內涵與外延邊界，區分消費者公共數據與敏感數據。在明確消費者所擁有對個人隱私知情、訪問、更正、刪除、限制處理、可攜帶以及拒絕等權利的基礎上，進一步在制度保障中將具體救濟方式和途徑等條款明細化，更好地保障個人信息權益。整合工業和信息化部、公安部、國家安全部各政府部門資源，明確在消費者隱私保護方面對應職權和監管職能，并加強各部門協調與配合，統一部門間監管方式，充分發揮整體協同效能。其次應考慮“個人數據采集與使用許可”制度，審查并篩選在我國境內使用消費者數據的企業，對不具備個人數據安全保障能力的企業進行規范，提升數據使用者的“準入門檻”，降低不合格企業獲取或使用個人信息的可能性。再次，建立消費者數據采集登記與流轉登記制度，強化個人數據流轉監管，規定使用主體必須建立或完善在消費者隱私數據的收集、傳輸、存儲、分析、開放等環節過程中風險評估、應急處置及事故通報等機制，將侵害消費者隱私的可能性降到最低。最后，制度設計與大數據平臺對接，實現在統一大數據平臺進行消費者隱私數據使用者之間的數據共享與交易，打破隱私數據使用者之間“數據孤島”與“數據壟斷”現象。實現數據資源充分互聯互通，使信息能力較弱的個體，也能保障其獲悉個人數據之流向的權利，為今后損害賠償權實現奠定追責基礎。

(二)技術協同：夯實隱私技術基礎

隨著AI、大數據技術迅猛發展，大量消費者隱私未經同意而被用于AI機器學習、用戶標簽分析中，侵犯消費者隱私的形式手段更加隱性[14]。實現消費者隱私權的保護任重道遠，而技術手段作為法律手段的重要補充，可有效防止消費者隱私泄露現象。完善相關技術首先應大力發展監管科技。構建消費者隱私保護事前、事中、事后全鏈條監管模式，開展消費者隱私泄露風險評級，提高大數據時代下的治理能力，在保護消費者隱私過程中進一步完善大數據及其相關管理技術。其次在數據處理過程中，發展數據加密、分布式計算邊緣計算、機器學習等多種技術的結合保護數據安全，利用差分隱私、聯盟學習以及加密運算(如多方計算、同態加密)，實現隱私數據與模型訓練解耦。再次，研發先進大數據管理技術，通過區塊鏈溯源、零知識證明、智能化脫敏與認證等，保證數據的可用性與統計性的同時，降低數據的敏感度。最后，加大5G、人工智能、區塊鏈等新技術支持力度，重視信息安全技術的研發工作，并給予政策及財政支持，鼓勵科研院校、網絡運營商等相關機構積極加入到大數據相關安全技術的研發浪潮，引導社會資源共同參與，為個人隱私保護筑牢一道堅固的“防火墻”。

(三)行業協同：完善隱私自律規范

行業自律因其監管協同機制，可對行政監管形成有益補充與有力支持。加強對現有自律組織的引導規范，是夯實商業個人數據保護、重構客戶信任的重要一環。目前，消費者數據隱私保護機構基本源自于自律性組織，通過行業自律準則，規范組織成員對用戶數據信息的窺視、轉讓、傳播、交易等行為。如2017年《中關村大數據產業聯盟行業自律公約》在京發布，從大數據行業自律、從業者行為、行業發展、企業數據治理等方面作出規定，規范會員保護公民數據隱私。2019年，國內首個APP自律聯盟成立，該聯盟遵循內容有據、收集有權、使用有度、保護有責四大倡議。在國內行業自律基礎上，我國可借鑒國外行業自律經驗，結合實際，引導重點行業制定個人信息保護的自律規范和自律公約，秉承中立、公開、透明原則，通過行業自律彌補當前法律的薄弱環節。一是推動電信、金融、互聯網、人工智能等重點領域成立個人信息保護行業自律協會，從技術準入、標準規則、管理規范等角度構建行業自律門檻。二是推動行業個人信息保護自律公約，形成以龍頭企業帶動的重視個人信息保護引導和示范效應，進而輻射到整個行業。三是依托行業自律協會，開展行業自律動態監測，實施個人信息保護發展水平評估，定期發布個人信息保護行業自律報告。四是定期贊助促進行業內部分享，以組織研討、論壇峰會等形式，分享重點行業、企業在個人信息利用、保護等方面的典型案例與經驗教訓，總結行業發展瓶頸問題，推廣優秀案例經驗。

(四)監管協同：推進隱私獨立監督

行業自律組織自帶私有屬性，導致在處罰違反協會規定的成員時，主要為組織共同利益服務，即便在法律體制相對完善的歐美發達國家，也很難站在保護消費者的立場。歐盟在《歐盟數據保護基本條例》頒布后，要求締約國均需特設專門機構進行個人信息保護的監督，這既保障法律能夠順利實施，又為公民在個人信息保護方面維權增加途徑。我國目前商業個人數據隱私保護的第三方認證機構，大部分源自于一些自律性組織。監督機構獨立化，可有效改善由裁判員與運動員的雙重身份引發的諸多顧慮和質疑。我國可從行政角度參考歐盟個人信息保護監督機構設立方式，采取全國統一設立監管機構的方式，以專門機構從全國統一管理的層次上對個人信息保護進行監督管理，強化 “事前準入”，完善“事中監測”與 “事后處置”。加強各個行業領域、各部門法之間的協作。其次，考慮我國地區經濟發展不平衡、經濟發展程度高地區個人信息侵犯多發的特點，可在這些區域加大監管力度，總結出先進經驗推廣至全國。建立“全國統一、重點管理”的專門監督機構體系，通過監督保障個人信息保護法的實施。

(五)企業協同：擔當隱私保護責任

大數據時代下，消費者隱私保護不應是企業被動的負擔，而應是自覺的擔當。首先，企業應保證自身隱私條款的公開與透明，通過簡明易懂的方式對自身隱私條款進行說明，保證用戶知悉自身管理信息的途徑，確保用戶對企業隱私條款與協議充分了解的前提下做出選擇。其次，企業在個人信息收集利用行為中應秉持“知情同意”作為最基本原則，嚴格按照既定隱私條款與用戶協議中的目的與方式對信息進行收集與使用，防止出現替用戶做主、濫用數據、采集來歷不明的數據等現象發生。最后，企業應在技術研發投入和科技應用中體現對消費者隱私保護的擔當。只有當企業具備足夠強大的技術實力作后盾，強有力的算法以及計算能力作為保障時，才能實現有效管理海量數據，審查數據收集的合法性，支撐數據利用中的數據分級分類、敏感數據的識別、數據調用的監控以及相關風險處置全過程。最終在滿足企業的數據管理需求上，通過前沿技術的應用實現對行業層面個人數據收集利用的有效管理和風險防控，進一步提升行業整體消費者隱私數據保護水平。

(六)個體協同：提升個人隱私意識

實現消費者隱私權的保護，不僅需要完善法制保障，更需要加強大眾自我防衛的覺悟，引導樹立正確的消費觀、價值觀和技術觀，培養民眾運用法律維護自身作為消費者的隱私數據安全。一是舉辦專題講座，引導公民積極參與，全力配合。政府部門與社會組織可通過定期舉辦消費者隱私權保護相關專題講座與公開課，邀請領域內專家學者針對消費者隱私權保護相關問題進行案例分享與問題解惑，促進廣大消費者深刻認識個人信息安全的重要性，讓隱私保護的重要性理念深入人心。二是通過媒體宣傳，通過多種媒體增強消費者隱私保護意識，發揮媒體的正面效用。通過報刊、廣播、電視等傳統媒體與微信公眾號、B站、微博、短視頻等新媒體渠道發布公益視頻、印發宣傳手冊等傳遞正確隱私保護觀，提升防騙意識，尤其要增強未成年人、老年人和女性群體的隱私權保護意識，并在全社會形成一種隱私權保護風氣。三是通過創設隱私權保護專題日、圖片展覽、微信公眾號推文等形式進行宣傳，養成公眾使用APP等產品前了解隱私條款與用戶協議的習慣、掌握基本信息安全方法與技巧、個人隱私泄露救濟手段與途徑等，使公眾了解維護個人作為消費者隱私權利的法律規定與維權途徑，必要時刻拿起法律武器捍衛自己的隱私權利。