大数据时代用户个人信息保护策略分级分类保护

1、大数据时代用戸个人信息保护策略：分级分类保护“棱镜门”事件暴露出了用户网络行为可以被实时监控的现实。除却国家行为，互联网服务提供者跟踪、分析用户行踪的事件也是此起彼伏。网易邮箱挂马事件、安卓应用隐私泄露问题、 快递员售卖快递单事件，不断刺激着广大用户脆弱的神经。互联网进入大数据时代后，个人信息对于互联网服务提供者而言具备了更多 的商业价值，同时也面临着更大的安全威胁。大数据时代如何保护用户个人信息， 是不得不解决的关系网络发展基础的问题。保护用户个人信息， 必须立足互联网业务发展现实。对用户个人信息采用分级分类保护，是解决大数据时代用户个人信息保护的一种有效方法。、大数据时代用户个人信息商业价

2、值进一步凸显用户个人信息构成大数据的重要源泉。智能手机和可穿戴式设备的普及，个人的位置、行为，甚至生理变化，都成为可被实时记录并分析的数据资源。同时，社 交网络兴起，发表和分享信息成为重要的网络活动，用户成为互联网上各类信息的大数据商业应用深挖用户个人信息潜在价值。大数据在商业领域的典型应用体现为通过对用户行为的精准分析，提升用户体验，增强用户黏性，开展个性化营销。区分个体变得十分重要，对一定规模的关联信息的聚合分析可以还原并预测用户生 活全貌，为个性化业务提供数据支撑。互联网通过后向收费模式， 将个人信息转化为商业链的价值节点之一。技术发展为挖掘用户个人信息潜在价值提供条件。获取和存储成本的

3、降低， 使大规模信息的聚集变成可能。 数据挖掘和数据分析技术， 为用户个人信息二次开发 提供了机会和条件，信息的潜在价值得到释放。实践中，拥有丰富个人信息资源的社交、电商公司纷纷通过挖掘信息价值，创 新自身业务模式，并向第三方开放相关数据，提供数据支撑。淘宝数据魔方、百度 游戏营销平台等，均通过对用户行为的分析， 建立用户行为数据库， 向平台上的第 三方输出数据，提供决策支持。、大数据引发用户个人信息安全新挑战大数据加大了用户个人信息安全风险。在互联网时代，我们已经意识到用户个人信息的价值与安全成反比。 用户个人信息的潜在价值不断刺激着人们收集、使用的欲望，巨大的经济利益催生地下产业链非法牟利

4、，严重威胁用户个人信息安全。互联网业务创新与用户个人信息保护之间的矛盾激化。互联网服务提供者希望获取大量用户个人信息，而用户则避免公开个人信息；业务创新需要信息共享，而 用户则希望降低信息流转风险。传统上，保护用户个人信息遵循“告知和许可”原则，全国人大常委会关于加强网络信息保护的决定 和电信和互联网用户个人信息保护规定也确认了该原则。大数据背景下的业务模式对“告知和许可”原则是一种挑战。用户个人信息不再只用于收集时的用途，其潜在价值更多地源于二次开发以及在此基础上的创新 利用。信息的转移和再开发、再利用更加频繁，同时也构成风险的主要来源。“告 知和许可”原则关注用户在收集前的一揽子许可，对信

5、息转移后实际使用者的责任关注不够。可以说，“告知和许可”的管理模式在大数据时代略显狭隘。三、用户个人信息分级分类保护模式大数据时代，保护用户个人信息的重要性不言而喻，但是过度保护则会抑制网络创新，降低互联网为用户带来的整体福利。分级分类保护能够避免“一刀切”带来的失衡，实现互联网发展与个人权利的平衡。分级分类保护模式首先对用户个人信息按照内容进行分类， 再依据各类信息的价值和安全风险，给予不同程度的保护，对服务提供者提出不同的行为要求。一）依据内容的用户个人信息分类用户个人信息按照内容可以分为隐私信息、身份信息、日志信息和公开信息，需要纳入行政保护体系的主要包括身份信息和日志信息。身份信息指能

6、够单独或相互结合识别特定用户身份的信息。 主要包括身份鉴权信息（如密码）、通讯录信息、用户基本资料和虚拟身份信息。日志信息指用户使用互联网服务过程中产生的信息。主要包括用户消费信息、 服务订购关系、 终端信息、 访问信息 （如 IP 地址） 、位置信息及网络行为记录 （如 网页购物记录、搜索内容）。二）依据保护程度对用户个人信息分级在分类的基础上， 依据保护程度对各类用户个人信息进行分级， 对应不同的管 理要求。保护程度的划分主要考虑以下四方面因素： 1、是否能依据该信息直接识 别出特定用户； 2、与用户线下生活的紧密度； 3、是否能通过该信息获得其他关联 信息； 4、信息安全风险。综合以上四

7、方面因素进行保护程度分级，对身份信息的保护程度高于日志信 息。在各类身份信息中，对身份鉴权信息的保护程度最高，通讯录信息次之，用户 基本资料第三，虚拟身份信息最低。个人信息从用户流向保护程度体现为对企业在信息流转各个环节的行为要求。最终的使用者并完成一个生命周期，需要经过收集、存储、使用、转移、删除五个 环节。 其中使用环节指信息收集者自己使用信息的过程； 转移环节指信息从收集者 向第三者的流转过程， 包括向公众或特定对象公开、 合作伙伴间信息共享、 委托加 工等情形。 将转移作为单独的环节， 既迎合了大数据时代对信息分享的重视， 也体 现了对风险多发环节的特别管理。“告知和许可”的管理方式在

8、大数据时代略显狭隘， 但并不意味应彻底摒弃该 方式，收集环节依然需要严格践行这一要求， 需要加强管理的部分集中在转移环节。 此外，对企业在转移环节不同的行为要求也是分级保护的重要内容。1、身份鉴权信息严禁转移。身份鉴权信息既是用户个人信息的内容之一，也 是获得其他个人信息的钥匙， 信息价值巨大， 一旦被用于非正当目的， 就会带来重 大安全风险。2、通讯录信息经用户和特定联系人明示同意才可转移。通讯录既是拥有者的 个人信息， 也是通讯录上记载的所有联系人的个人信息， 涉及众多用户权利， 需获 得相关用户的许可。3、其他身份信息的转移需获得用户的许可，并告知用户转移的信息范围和接 收者的名称、 地址、联系方式。 信息接收者对信息的使用权限应不超过用户对收集 者的授权范围，信息接收者承担与收集者同等的安全保护义务。4、单纯的非特定用户的日志信息，如用户网络行为记录的汇总，可以自由转 移。非特定用户的日志信息的流转可以增加信息价值，促进互联网创新。同时，因