聚焦大数据，破题隐私争夺战

在互联网时代，用户为了方便使用手机和电脑，越来越多地被*迫放弃隐私已成为既定事实。社交、约车、购物、外卖、导航等APP已成为手机里不可或缺的工具，与此同时，用户的微信昵称、头像、位置、通讯录、电子邮箱、QQ账号，甚至身份证号码、银行账户等隐私信息也处于“裸奔”状态，被互联网公司收集到海量数据中，用于其他商业行为。

虽然网信办已于2016年发布《移动互联网应用程序服务管理规定》和《移动智能终端应用软件预置和分发管理暂行规定》，提出建立健全用户信息安全保护机制、禁止智能终端应用软件擅自调用与所提供服务无关的终端功能，但仍未阻止隐私变现、泄露、资源滥用情况的屡屡发生。

2017年末百度App因涉嫌违法获取消费者个人信息被江苏省消费者权益保护委员会提起诉讼。2018年初支付宝年度账单事件被众多网友刷屏，央行支付司要求支付宝对此纠正并致歉。近期，工信部信息通信管理局针对手机应用软件存在侵犯用户个人隐私问题，约谈了北京百度网讯科技有限公司、蚂蚁金服集团公司（支付宝）、北京字节跳动科技有限公司（今日头条），认为三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况，要求基于充分保障用户知情权和选择权的原则立即进行整改。

事实上，网络隐私泄露事件层出不穷，水滴直播事件、携程取消默认勾选事件，都曾掀起舆*论风波，大数据时代下新生的“线上用户杀熟”现象，更是令人心惊。互联网厂商利用用户数据，对老用户实行价格歧视，在用户全然不知情的情况下，已被商家进行了区别定价。一些企业利用“格式条款”将诸多索权隐匿在连篇累牍的用户协议中，这样的做法也已是行业内“公开的秘密”。

“用户更愿意用隐私换便利”，无论是百度CEO的高调宣称，还是脸书（Facebook）隐私泄露事件的不断发酵，都让人感受到信息裸奔的严重程度，在数据掘金的前夜，如何构建隐私和商业的平衡，依旧是个待解的问题。

当下，个人隐私保护主要面临的问题表现为以下几个方面：一是主体对隐私的控制权不足，个人并不了解自己的数据被他人的掌控程度；二是数据垄断不断强化，形成数据寡头；三是垄断导致的安全风险和监控风险增加；四是“知晓-同意”规则难以有效执行。

互联网企业将线上用户视为大数据掠夺的重要资源，超范围攫取用户隐私成为行业潜规则。例如每个线上注册参与者都被要求填写个人信息，这些信息内容的详尽程度远超出身份证记载范围；又如通过“获取设备安装软件列表”权限了解用户手机同时安装了哪些软件，这样既可以了解竞争对手产品的市场占有率，还可以实现对该用户标签化。

在互联网世界中，服务提供者与用户之间，存在着极大的“技术不平等”。表面上看，各项服务都在以用户为中心、拼命取悦用户，实际上用户根本就是“待宰的羔羊”。即便许多服务可实现所谓的“自愿勾选”，但如不同意，该项服务根本无法使用，用户只能答应此类“游戏规则”。

企业通过索权在取得用户信息后，数据的保存和利用却存在安全隐患。一些企业的数据库缺乏有力的安全防护，在遭遇网络攻击时容易造成数据泄露，近年来也多次出现知名互联网企业“内鬼”泄露用户隐私事件。

《中华人民共和国政府信息公开条例》已施行近10年，条例对涉及国家秘密、商业秘密、个人隐私的政府信息公开做了限制。2016年公布的《国务院关于加快推进“互联网+政务服务”工作的指导意见》提出，建立健全保密审查制度，加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度；2017年出台的《政府网站发展指引》再次要求，严禁涉密信息上网，不得泄露个人隐私和商业秘密。

然而多地政府专项工作网站被曝出在信息公开工作中存在泄露公民个人隐私的情况，这些公示未对相关人员的身份证号码、手机号码等信息作出必要处理。如某市政府网站发布的市医疗救助对象花名册中，居民住址、联系电话，个人病情等隐私赫然在列；某政府门户网站关于发放创业补贴的文件里，除创业者姓名、项目名称、补贴金额等信息外，身份证号、家庭住址等隐私也被过度公开……要更好地完成互联网时代的政务公开工作，需要平衡好政务公开与个人隐私保护的关系。

在全球范围，公民隐私和数据保护方面呈现出了两种趋势，以俄罗斯、澳大利亚、英国为代表的国家不断加强对互联网以及电子设备的管控，而德国、土耳其、菲律宾等国家则致力于不断完善隐私法的修改，为保护公民隐私提供法律基础。

欧盟的基本模式是以政府为主导来实现个人数据资料的保护，除了英国外，欧盟大多数国家属于大陆法系的国家，强调的是明文规定，把每条法则落实，重视具体法规的制定和遵守。

欧盟于2016年通过了被称为“史上最严格数据保护条例”《一般数据保护条例》（GDPR），取代先前制定的《个人数据保护指令》。该条例是近三十年来数据保护立法的最大变动，引发了全球的关注。GDPR规定同意书将仍是处理个人数据的一个要求，GDPR还建立了“删除权”和“移植权”两项新的个人隐私权，让个人有权要求删除其个人数据，个人可以要求将其数据从一个供应商转移到另一个供应商。

此外，欧盟还将通过统一数据和隐私条例来简化对跨国企业的监管框架，该条例的一个重要特征是新扩大的管辖权，可能会影响到欧盟以外的企业。

美国更倾向于保护言论自由、促进商业活动，倾向自律自发而非政府过多介入，更多从宪法角度对其展开讨论，但作为联邦制国家，各州并没有忽视对隐私的保护。

2018年6月，美国加利福尼亚州颁布了《2018年加州消费者隐私法案》（“CCPA”），旨在加强消费者隐私权和数据安全保护。CCPA被认为是美国国内最严格的隐私立法，将于2020年1月1日生效。根据CCPA，加州居民将获得数据访问权、数据删除权、选择不销售个人信息、禁止歧视、“不销售”链接和新隐私政策披露、未成年人同意、针对某些数据泄露的私人诉讼权等新的权利。

我国正在从网络大国向网络强国迈进，伴随发展出现的新业态、新事物、新问题越来越多，互联网在给用户带来便利的同时，弊病也凸显出来。互联网治理是个任重道远、变量颇多的漫长过程，个人隐私安全问题成为重中之重，需要各方合力解决。

翻阅我国现有法律法规，近年来，国家积极开展网络安全方面的顶层设计，从法律法规上为个人隐私“保驾护航”。从2012年全国人大常委会通过的关于加强网络信息保护决定、2013年修改的《消费者权益保护*法》，到2016年通过的《网络安全法》、2017年的《民法总则》，都对个人信息保护作出相应规定。从国家层面来看，《网络安全法》是一个基本法、总框架，关于数据的跨境流动、数据基础设施的保护等法律都在制定中。

2017年年底，全国信息安全标准化技术委员会归口的《信息安全技术：个人信息安全规范》正式发布，并作为国家推荐标准于2018年5月1日正式实施，其中明确了权责一致、选择同意、最少够用等关键性技术原则。近期，公安部制定了《公安机关互联网安全监督检查规定（征求意见稿）》，这份文件被看作去年出台的《网络安全法》的后续和实操细则。

由于网络购物、移动支付的发展，中国大数据领域走在全球最前端，未来数据采集将涉及对生物特征的收集与滥用。与密码不同，指纹、虹膜以及DNA等数据是无法更改的，一旦被泄露和滥用，危害无可挽回，某些信息可能会降低社会对个人的评价，但目前我国法律对此还缺乏相应保护。

也应当认识到，数据隐私保护*法案的制定与执行，切忌操之过急，应当充分考虑对多方的兼顾。一方面，法案的执法尺度应从商业市场的实际需求出发，做到国家监管、企业利益、个人隐私等多方的平衡；另一方面，应当在法案的制定与执行方面预留变通机制，对于特定场景与事件保留充分的商榷余地。

信息网络基础设施深刻改变了政府治理的技术环境及条件，给政府治理模式创新提供了难得的历史机遇。要积极推动信息技术与政府履职的深度融合，拓展在线政府服务，建设网上服务大厅，推行行政审批和公共服务事项全流程、“一站式”网上办事，推动业务流程优化再造；要打造电子监督平台，筑牢制度“笼子”，晒出权力清单和运行流程图，对行政事项运行的权限、条件、方式、程序、时限实现全流程电子化监管。

国务院办公厅印发《2018年政务公开工作要点》首次提出，要加强政府信息公开审查工作，对于涉及个人隐私的政府信息，公开时要去标识化处理。政府信息公开前要依法依规严格审查，特别要做好对公开内容表述、公开时机、公开方式的研判，避免发生信息发布失信、影响社会稳定等问题。要依法保护好个人隐私，除惩戒公示、强制性信息披露外，对于其他涉及个人隐私的政府信息，公开时要去标识化处理，选择恰当的方式和范围。

互联网的发展正在撬动各行各业的旧观念和旧习惯，在信息化时代，个人隐私成为国家、数据企业和个人共享的宝贵数据资源，因此，政府部门应侧重规范数据资产合理开发中个人利益和社会公共利益的平衡，应更好地发挥隐私和数据在促进个人全面发展和推动社会进步中的公共*产品作用。这也是行政监管适应大数据时代发展需求的必然选择。政府监管部门必须用新的思维和方式来应对和解决各种新的任务和问题，为构筑经济社会发展新动力保驾护航。

为摸底我国相关信息网络安全情况，2018年7月开始，相关职能部门开展为期半年的网络安全执法大检查，此次行动当中，首次针对大数据安全进行整治工作，其中包括大数据的采集、存储、应用、传输、销毁等过程。

此外，我国已发布网络安全国家标准215项，有力支撑了国际网络安全保障工作，下一步将继续推进密码算法、三元对等实体鉴别技术、大数据安全能力成熟度、生物特征识别身份认证、量子密钥分发等国际标准，为网络安全国际标准化贡献中国智慧、提出中国方案。

在互联网蓬勃发展、人工智能方兴未艾之际，企业既要有“技术的潜力是无限的”信心，更要有不能突破隐私保护底线的敬畏。根据《网络安全法》、《信息安全技术 个人信息安全规范》（GB/T 35273-2017）相关要求，在发生或者可能发生个人信息泄露的情况时，网络运营者应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

企业应尽快建立、健全关于网络安全、数据保护的合规及保障体系，对自身存在的系统漏洞及数据泄露风险进行系统性排查，及时寻求专业的数据保护解决方案及法律意见，预防并应对可能面临的因处理不当而产生的不利后果。

此外，不能让算法决定内容，不能让“劣币”驱逐“良币”，要加强内容把关，提高平台使用透明度，将信息的选择权还给用户；要坚持正确舆*论导向，强化价值引领，别被算法困在“信息茧房”，大力传播和弘扬主流价值，避免过度追求“眼球新闻”。