大数据时代公民个人信息数据面临的风险及应对

大数据时代公民个人信息数据面临的风险及应对摘要:现代社会大数据已经成为影响整个国家和全体国民的重要事物，大数据在带来巨大便利和商机的同时也会对个人数据信息带来侵害的风险。之前的研究结果都倾向于认为应当通过援引民法上“隐私权”的规定保护个人数据，但是事实上“隐私权”本身尚不足以完全涵盖大数据时代的个人信息数据面临的各种风险。在大数据时代这种风险是和大数据本身相伴相随的，如何看待和认识这一风险将影响对大数据本身的价值认识和政策取向。大数据时代公民对于个人信息的知情和选择权以及处分权必须得到保障，除了技术手段和刑法保护之外，制定专门的个人信息保护规范性法律文件和确立“告知和同意原则”对应对数据化时代的个人信息安全挑战也具有重要意义。关键词:大数据;个人信息;风险;告知和同意原则1、大数据及其重要意义当今社会，不管我们是否意识到，我们已经无时无刻不处在各种类型的巨型网络之中。我们在信息网络中的每一个动作都会留下“轨迹”，我们每进行一次搜索或使用一次导航服务都会形成一定的数据并自动被系统记录下来，这些数据被汇聚成一个巨大的“数据池”，成为“大数据”。大数据是指无法在可容忍的时间内用传统IT技术和软硬件工具对其进行感知、获取、管理、处理和服务的数据集合，它指的是那些只能基于“大规模”的量而不能基于“较小的规模”的量处理的事项，它能洞悉和创造新的价值形式，改变市场营销的方法以及居民和政府间的关系。大数据之“大”是一种相对的大，可能在过去看来已经是巨量的数据信息在今天看来根本称不上大。对于大数据的确切描述是有挑战性的，需要实验装置等设施，因为电子数据是如此的易于被共享、复制和重组，他们同时提供了巨大的可重复利用的机会。大数据对整个国家和社会将带来深刻改变，它是维护国家数据主权、维护国家信息网络安全的重要工具，震惊世界的“棱镜门”事件，在让人深思数据安全威胁无处不在的同时也印证了大数据在国家安全战略中的重要位置。同时，大数据也是打造全新的商业生态环境、拓展个人数据应用、推动科研发展、提高社会服务能力的重要武器。在国外，大数据的开发和利用已经起步较早，全球连锁零售商沃尔玛就曾和知名科技企业惠普公司签订共建数据库的协议，这一容量为4PB(1PB=1024TB)的数据库能够记录沃尔玛在全球总共6000多家门店的每一笔交易记录，通过对这些交易信息的机械化研究，沃尔玛可以制定指导定价政策和广告攻略，并更好地管理存货和供应链的管理模式。年来我国商业和公共服务领域的大数据应用也开始流行。2014年1月25日晚间，央视与百度合作启用百度地图定位可视化大数据播报春节人口迁徙情况。该项目利用百度LBS定位数据进行计算分析，展现春节前后人口大迁徙轨迹与特征。百度公司通过收集汇总用户定位请求信息并加以分析处理，最终形成一种“春运人口迁徙图”，并且这张图随着时间推移的实时变化情况。这一信息能够向政府部门提供春运期间人口流动的量化数据并及时调配资源提升公共服务能力。此外百度公司还通过其地图应用进行地铁人流量测算、商圈分析和驾车导航轨迹挖掘等方式充分发掘大数据的行政管理、商业和便民服务等价值。2、大数据引发的个人信息数据危机及传统应对路径大数据在给社会带来巨大便利和商业价值并逐渐成为一项国家战略资源的同时，由其引发的各类风险也在不断增加，其中对于个人信息数据带来的威胁尤为引人关注。国外有研究表明，与用户相关的数据信息正在被逐步集中于少数几个机构，这些机构能够通过几乎所有广受欢迎的网站追踪用户的“网络足迹”，而几乎所有的防护技术都在突出问题的严重性和寻求替代性解决方法方面存在重大缺陷［。这些缺陷可能导致其对公民个人信息数据的强烈威胁。一般认为，个人信息包括三类:第一类是个人的基本信息，包括个人的姓名、性别、年龄、住址、职业等信息。第二类信息是消费者网络活动信息，包括消费者所浏览的网站，所搜索的商品信息以及购买记录等等，这些信息可以准确地判断出网民的消费倾向、购买习惯、个人喜好等信息，从而成为商家下一步实施精准营销的基础数据。第三类信息是消费者存储的个人信息，比如存在个人电脑硬盘中的私人照片等。在现代网络社会几乎所有的个人信息都被记录和存储于网络之中，国家机关和一些企业都有意识地通过收集和分析个人信息数据以促进管理的便利性或营销的精准化。大数据时代通过收集和利用个人信息数据能够给整个社会带来巨大便利，也为向个体提供精细化的服务打下坚实基础。但是就像一个硬币必然存在正反两面一样，大数据也必然会对个人信息数据带来威胁。从一定意义上说，大数据对于个人信息的收集和利用是必然的，而由此引发的对个人信息数据的侵害也是不可避免的。大数据本身就是一个将个人信息数据加以收集和整合的过程，数据不够大或者整合不够具体细致就无法发挥大数据的优势和价值，甚至根本就不是大数据本身了。但我们对于大数据可能带来的一系列侵犯个人权益的威胁也要引起足够的重视，对于由此引发的个人信息数据危机，也有必要清楚认识并加以有效应对。这一问题已经引发学界的关注，但是对于如何防范和应对大数据时代的个人信息风险，学界有不同的意见。主流观点主张通过援引民法中“隐私权”的规定保护个人数据。根据不同的保护对象和内容，对大数据的隐私保护还可以进一步细分为位置隐私保护、标识符匿名保护、连接关系匿名保护等。但是单纯通过隐私权的角度保护个人信息数据也存在一些问题。问题实际上不在于大数据是否增加了隐私被侵犯的危险，因为这已经是事实，而是它是否已经改变了风险的性质。因为如果只是简单的增加了风险，现有的保护隐私的法律规范还能够在大数据时代继续发挥作用，但是如果问题已经发生了质的改变，则我们必须寻求新的解决办法。大数据时代的个人信息数据的保护显然已经逐步超越了“隐私权”的范围首先，网络时代大数据的特性决定其不是简单的隐私权侵犯的问题。在大数据时代，对个人信息数据的收集和利用行为除了涉及隐私权问题外，还涉及其他一些问题。比如基于大数据对人们的行为进行预测，并依据有关结果采取相应行动，这就可能已经超出隐私权的保护范围。在美国有家名为IX+1]”的公司利用追踪技术来收集用户的网站浏览记录，形成一个记录人们上网行为的庞大数据库。虽然它不记录人们的姓名，但会将收集到的个人标识与其住房拥有情况、家庭收入、婚姻状况和常去的餐厅等众多信息进行交叉比对和汇集，然后通过统计分析，推测上网者的个人喜好。其次，在大数据时代即使确知个人数据的隐私风险，也常常无法简单通过传统的隐私权保护手段解决。在现代网络社会，微博、微信、Facebook等互联网服务商既生产数据，又存储、管理和使用数据，其服务的内容和性质决定了它们必然会接触到用户信息数据，所以无法简单通过技术手段限制其接近用户信息，也无法通过立法禁止其获得用户信息数据。再者，对于一些涉及个人数据信息交易的行为，也常常无法认定为侵犯隐私权的行为，因为网络追踪技术这种手段本身并没有问题，数据中间商分析整理获得的个人信息数据本身也不符合侵权行为的构成要件，难以认定为违法行为。3、大数据时代个人信息数据所面临的风险与表现大数据时代个人信息数据侵权行为作为一种特殊形式的“网络侵权”，在总体上反映出“网络时代”个人隐私和信息被侵犯的风险，但是作为网络侵权的新发展和新形式，这种风险又表现出一些新的特征。3.1在用户不知情的状况下收集信息的风险在信息社会，无论用户是否授权互联网服务提供商收集相关信息，这些服务的提供者都会或多或少地获取与用户相关的信息。比如地图服务提供者就会记录用户的位置信息，而O2O销售商将能够轻易获取用户的搜索信息从而推断这些潜在客户的购物需求。这从技术层面来说并不困难，通过监控用户电脑的Cookie数据，可以获知用户的搜索和交易记录。Cookies能够允许用户免于键入信息就能得以再次访问特定站点并可重复利用文档资料。当用户访问一个网站时通常会产生多个HTTP请求并被发送至不同的管理处，这其中的一些请求是提供服务所必需的，但另外一些则纯粹为了寻获用过户的网络运动轨迹而存在。这其中除了一些为了回应用户请求确有必要的“追踪”外，还存在一些其他的追踪用户网络路径的活动，但是这些追踪机制通过宣称自己提高了用户体验来强调自己的正当性。个人信息的收集渠道很多，很多情况下这是由现代社会的信息化特征所导致的。但是一些机构在收集个人信息时存在过度收集的情况，这通常表现为一些机构在对外办理业务和提供服务的过程中，大量收集与本机构服务内容不相干的信息，如一些购物网站除了需要登记个人姓名和电话住址外，还会要求用户在线填写个人收入状况，教育程度以及出生时间和家庭成员等信息。而地图服务商每提供一次服务，都能通过记录用户的实时位置信息并以此形成该地点实时人流量数据，不仅可以为附近商家提供商业信息，也能获得独家精确化的人流量数据，在这个过程中每个个体的信息就被侦测并记录为海量数据信息中的一部分，也成为大数据的一部分，整个过程我们并未获得任何有效的提示和警告。此外，一些网站也开始通过允许用户“绑定”其他应用账户的方式扩大信息收集的“战果”。支付宝在2011年正式宣布推出“快捷登录”计划，用户可凭借支付宝账户登录多家电子商务网站。经用户同意后，这些电商网站亦可共享用户的收货地址等相关信息，免除用户在不同网站多次填写的麻烦，已有上千家网站完成签约并上线。这些过程中用户均未被充分告知其信息将被收集的状况，用户的知情权并未得到重视。3.2在未经同意的情况下推送信息和服务的风险可能受到侵犯的还不仅仅限于隐私信息，每当我们通过某些购物网站进行一次购物搜索或者进行过某项交易之后，下次打开其他好多网页都会显示和这些商品有关的广告。也就是当消费者在互联网上表露过某项需求并被识别后，互联网公司就可以通过从海量信息中分辨出消费者的个人信息并推断其需求，然后精确推送广告。这一过程消费者无法自主选择是否接受此类推送行为。对于具备高科技信息技术的互联网公司来说这在技术上并不困难，这在业内看来属于广告的精准投放，属于新型的市场营销方式，但对消费者来说这些推送行为未经其同意，是直接“被享受”的一项“服务”，而且这种推送活动在大数据的支持下更加隐蔽且更加精准，能够实现“定制化服务”。这些推送活动发生在各个场所，范围广泛且隐蔽，侵犯了人们“享受安宁生活的权利”。对于这种广告投送活动，用户能做的事实上很有限，这似乎是我们在浏览网页及观赏网络视频时普遍存在且不得不接受的事物，但事实上它们以一种隐蔽的方式“动了我们的奶酪”。3个人数据信息被随意共享和交易的风险在数据被秘密收集的同时，还有一项更为可怕的活动是数据被秘密的共享甚至交易。在前些年北京警方查获的一起案件中，警方抓获一家信息咨询公司的老板赵某，并在其电脑里发现装满个人信息的数据库，里面的个人信息数据有1000万条之多。这些数据还被按照一定方式分类，以便根据客户需求快捷筛选数据。此外该数据库还有搜索功能，通过输入信息对象的手机号码马上就查到对应的住址、机动车等信息。在网上违法交易个人信息组织“QQ联盟”里，有大量的“信息二道贩子”，他们虽然处于产业链低端规模却越来越庞大，却是信息倒卖的主要渠道。现实中在网上购买公民个人信息比想象的更容易，对于这些信息交易的监管面临一些难题，比如，如何界定这些信息的性质，这些信息的归谁所有?是否享有民法意义上的“所有权”?这些行为侵犯了公民的何种权利?这些问题都没有一个明确的结论对于个人信息数据的法律性质，目前学界主要存在三种学说，第一种观点认为个人资料属于隐私权的客体，持第二种观点的学者认为个人资料属于所有权的课题，第三种观点认为这些信息资料应当属于人格权的客体。个人信息数据的法律保护还存在一些模糊不清的情况，这些都急需在今后的立法和研究过程中予以清晰界定和保护的。相对于赤裸裸的交易而言，有些变相的交易则显得更加隐蔽，那就是通过不同机构之间的合作，不同机构之间共享大数据信息。2013年5月，阿里巴巴斥资2.94亿美元收购高德约28%股份，这笔交易将有助于高德建设“以导航地图数据为基础、为核心并与生活服务信息高度关联融合的大数据服务体系，建立起海量的基础地图和生活服务数据库”。而且就在同一年的4月，阿里巴巴就已经通过其全资子以5.86亿美元购入新浪微博公司全稀释摊薄后总股份的约18%。双方将在用户账户互通、数据交换、在线支付、网络营销等领域进行深入合作。阿里巴巴希望围绕购物及其延伸的泛生活领域，打造应用场景，通过用户和大数据的推动，完善整个移动互联网链条。可以想见，通过这些交易，互联网巨头之间将在用户信息和交易数据方面实现“共享”，而这些交易在整合互联网资源、繁荣互联网产业的同时，也有可能进一步增加消费者个人信息数据的“共享范围”和“暴露面”。4大数据时代个人数据面临的泄露风险互联网上的个人信息数据还随时面临黑客攻击的风险，而在大数据时代这种风险将变得更加可怕，因为信息一旦发生泄漏将产生极为恶劣的影响。黑客攻击是最常见的数据泄露风险来源。黑客们能够通过后门程序、信息炸弹、网络炸弹、D.O.S攻击以及密码破解等方式发动攻击，他们通过登上目标主机，或是使用网络监听进行攻击，甚至在入侵者们没有确定的盗取目标时，他们也会将当前用户目录项下文件系统7etc/hosts”或“/etc/pass-wd”中的内容复制回去。近些年来，黑客攻击的事件不断发生，据英国媒体《每日邮报》报道，今年9月份谷歌邮箱数据库遭受了黑客强烈攻击，数百万用户名和密码被盗，并被曝光于一家俄罗斯网站上。面对数据泄露的风险，在很多情形下数据库的运营者都未将有关情况通报给用户，用户自始至终被蒙在鼓里，致使他们无法及时采取措施防止侵害扩大，造成“二次伤害”。为了应对这一情况，各国纷纷立法加强数据库信息披露义务。在美国，虽然没有全国统一的法律规定，但是美国多达40几个州已经制定法律要求数据管理者告知本州居民其个人信息因为数据库安全缺口而被侵害的情况。欧盟的隐私权指令95/46/EC和加拿大的个人信息保护和电子文件法案(PIPEDA)均要求基于意外泄露和电子攻击造成的数据外泄必须予以披露，不得私下处理。而我国法律尚未对数据泄露的披露义务做出明确规定，这使得我国互联网用户常常无法在数据泄露或者面临泄露风险时及时采取措施。4、大数据背景下保护个人信息数据的措施面对日益严峻的个人信息侵害风险，建立或升级一个已经存在的数据管理框架是解决大数据运行问题的重要手段。针对大数据时代对公民个人信息数据侵犯的新形势，加强监管工作，通过制度化途径保护公民信息安全是我们的一项重要任务。构建一个全过程治理的“综合治理模式”对于应对这些挑战具有重要意义。“综合治理模式”要求针对数据流程进行从始至终的全面监控管理，这一全过程包括数据的形成、数据的分析整理以及数据的利用和销毁等过程。其中，加强专业化立法，确立合理的原则指导信息收集活动并通过技术化手段和强化行业组织的作用来应对数据化时代的个人信息危机等是构建这一“综合治理模式”的重要措施。1制定和完善个人信息保护法律规范纵观世界各国，加强对个人信息的立法保护是趋势。很多国家已经制定单独的个人信息保护立法。德国较早通过统一的立法保护个人数据资料，于1977年制定了统一的联邦资料保护法。美国虽然没有专门的立法保护公民个人信息数据，但是通过众多分散的立法文件确立了以隐私权为基础的个人资料保护法律制度，并明确了资料隐私权和自决隐私权。这些规范性文件能够在较大程度上保障其本国国民在互联网时代的数据权益不受侵犯，并在权益受到损害或者损害威胁时主张救济。此外，美国1974年隐私权法案要求政府部门向个人公布有关其信息记录的内容(theContentsofHisorHerRecords)，并对政府部门与他人或其他部门共享个体信息数据的行为严格限制。法案同时要求政府在收集和处理个人数据信息时遵循“公平信息处理条例”我国目前没有专门针对个人信息数据进行规范的法律文件，有关个人资料的保护规范散见于一些部门规章之中，例如《计算机信息网络国际联网管理暂行规定实施办法》、《计算机信息网络国际联网安全保护管理办法》等，这些规范性文件部分涉及了侵犯个人隐私和通信秘密的规定，但没有形成系统化的规范。此前，学界多主张继续通过扩大隐私权的方式保护公民的信息数据，但是一方面我国目前的民事法律规范本身对于隐私问题的保护尚不够深入，无法最大程度保护公民个人数据安全。另一方面传统的隐私权规范如何能在大数据网络时代承担起全面保护公民个人信息数据安全的任务也值得怀疑。我们认为，系统完整的个人数据保护立法对于保护个人信息数据有重要意义。为了应对大数据时代个人信息安全面临的新挑战，有必要推动专门的立法工作，采用德国式的统一立法模式，强化个人数据信息危机的法律应对。通过规定信息数据遭泄露时及时告知和信息披露的义务，强化对个人信息侵权的预防和救济制度设计，对个人信息数据给予全方位保障。2确立“告知和同意原则”作为个人信息数据收集和使用的基本原则在立法文件中确立“告知和同意原则”是保障网络用户知情权和选择权的重要途径，但是现阶段我国没有一部法律明确将该原则规定为信息收集利用的基本原则。现实中网络信息服务的提供者很少主动公开他们的秘密信息收集行为，被曝光的案例都是通过被举报和揭发而被广泛知晓的。今年7月份央视曝光苹果公司iOS系统会自动记录用户曾去过的地点，并且这些信息在系统数据文件中以未加密的日志文件的形式存在，随时有可能收集和泄露用户隐私。在这些信息收集活动中，苹果公司并未主动发布隐私风险预警，也没有向消费者明确详细告知信息收集的方式、范围、用途等内容，该情况经媒体披露后引发不满。事实上一些西方国家已经明确了该项原则在公民信息保护中的地位。美国1997年颁布的“全球电子商务政策框架”中就明确了个人隐私使用的“告知和同意原则”，并明确要求数据收集者应当告知消费者其收集的信息的类型、信息的使用方式，并向其提供限制使用和再利用个人信息的有效手段，该“框架”还指出，“告知和同意原则”的采用能够通过市场方式缓解对个人隐私信息泄露的忧虑。赋予用户知情权能够使其更好地判断个人隐私的安全状况并据以决定是否参与。根据“告知和同意”原则，消费者在基于非正当使用或披露个人信息而受到伤害时有权要求赔偿。德国宪法法院也于1983年作出了具有里程碑意义的判决，该判决确立了“个人资料自决权”，并将个人对个人信息的权利确认为宪法权利。这些事例对于我国的立法思路和司法裁决也有借鉴意义。当然，“告知和同意原则”在现实运作过程中也会面临一些问题，需要进一步予以明确。比如现今的各类网络服务提供平台虽然也会出具一些“隐私保护须知”供用户阅读，但是这类条款往往隐藏于在选项卡的某个偏远角落，或者被设计成“长篇大论”导致没人愿意看完整个内容，如何确保用户能够以最简便的方式阅读到最为关键隐私和数据使用条款并做出选择就是值得注意的问题。再比如说，数据的初次收集时尚无法预见到最具创新性的二次利用将会怎样进行时，互联网公司应当如何进行“告知”。