大數據應該有邊界嗎

肖婷婷

2019年初，一個名為“Collection#1”的敏感信息合集文件被黑客發布到互聯網上，這個被泄露文件容量超過 87GB，包含了至少7.73 億電子郵件地址和 2122 萬個唯一密碼，成為“史上最大公共數據泄露事件”。

數據竊取與交易這個領域幾乎是地下產業鏈隱藏最深的部分，有不少黑客通過數據交易來構建龐大的社工庫。雖然黑客之間的私下如何交易，到底全世界有多少網站數據已經被竊取，目前仍沒具體的明確評估，但通過某些半公開的渠道，可以看到很多瀏覽記錄數據已經被明碼標價，并接受各國法定貨幣或比特幣作為支付手段。

大數據歸誰管

個人數據安全已經成為整個國際社會必須共同面對的嚴峻挑戰。目前，個人數據泄露的主要源頭之一在于，許多手機應用程序需要客戶開放自己的個人隱私數據。有數據顯示，高達96.6%的安卓應用會獲取用戶手機隱私權限，iOS應用的這一數據也高達69.3%。而這其中就存在一些應用商家通過買賣個人隱私數據，在全球形成了一個龐大的“黑色產業”，年產值甚至高達上千億元。

2018年5月25日，歐盟“通用數據保護條例”（GDPR）正式生效，條例將對所有企業強制進行史上最嚴厲的信息管理合規工作，覆蓋了所有可以在歐盟境內使用的產品以及服務。

2019年1月21日，法國數據保護局（CNIL）宣布依據GDPR向谷歌開出了5000萬歐元（約合3.8億元人民幣）巨額罰單，理由是谷歌在向用戶定向發送廣告時缺乏透明度、信息不足，且未獲得用戶有效許可。

但是，如果不充分分享數據，科技公司就無法建立用以分析精確結果的龐大數據池，用戶接受服務的質量就會降低。因此如何保護個人數據隱私的安全，如何明晰數據分享和管理的邊界，比如說數據到底歸誰所有，怎么定價？這已經成為大數據時代亟待回答的難題。

“越界”收集用戶數據現象令人擔憂

2018年底，中國消費者協會發布的《100款APP個人信息收集與隱私政策測評報告》顯示，10類100款APP中，多達91款APP列出的權限存在涉嫌“越界”過度收集用戶個人信息的問題。特別是在有關隱私條款上，報告顯示當前許多手機APP存在諸如隱私條款籠統不清，不主動向用戶展示或展示內容晦澀冗長，沒有為用戶提供訪問、更正、刪除個人信息的途徑，大量收集與所提供服務無直接關聯的個人信息等典型問題。

“在我們對安卓手機APP的檢測中，可能涉及獲取的隱私權限包括讀取位置信息、手機號碼、聯系人、通話記錄，打開攝像頭、使用話筒錄音等共16項權限。”360公司安全專家介紹，通過連續幾年對手機安全生態的跟蹤研究顯示，對“讀取聯系人”權限的申請占比從2017年的3.5%攀升至2018年的29.3%，同時2018年申請錄音權限的APP數量則最多，有47%的APP申請用戶手機的錄音權限，較2017年的28.6%出現了較大增長。

收集個人信息的“邊界”在哪里，什么樣的行為又算是“越界”？浙江大學光華法學院教授朱新力介紹，根據網絡安全法確立的規則，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

“凈網”！治理整頓，堵住違法源頭

“情節嚴重的，依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。”2019年1月，中央網信辦等四部委聯合發布的《關于開展APP違法違規收集使用個人信息專項治理的公告》強調，有關主管部門要加強對違法違規收集使用個人信息行為的監管和處罰。2019年3月，為規范APP收集、使用用戶信息特別是個人信息的行為，市場監管總局、中央網信辦決定開展APP安全認證工作，并鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的APP。

事實上，治理整頓違規收集個人信息的行為，也是切斷背后“黑灰”產業鏈的一劑猛藥。

2018年8月，一網民出售上海某酒店集團旗下5億條酒店會員數據，引起社會廣泛關注。上海公安成立專案組開展偵查，經過12個晝夜的連續奮戰，成功打掉該竊取公民個人信息并實施敲詐的職業黑客犯罪團伙。

侵犯個人信息，常常是電信詐騙、敲詐勒索、惡意注冊賬號等一系列違法犯罪的源頭。“數據泄露會造成用戶人身財產受到威脅，不法分子通過各種途徑收集人們被泄露出去的個人信息，經過篩選分析用戶特征，從事電信詐騙、非法討債甚至綁架勒索等精準犯罪活動。”360安全專家表示，如果是國家重點行業、領域的數據被泄露，那不僅對企業來說是致命的，還會對國家安全造成嚴重威脅。

圍繞侵犯公民個人信息的犯罪行為，公安部、工信部、中央網信辦等部門加大與最高人民法院、最高人民檢察院協作配合力度，形成治理合力。2018年以來，公安部等部門持續開展打擊整治網絡侵犯公民個人信息安全的“凈網”專項行動，有力筑牢公民個人信息防護墻。

兼顧發展與安全，激勵社會更好使用數據

從立法角度來看，關于公民個人信息保護的規定散見于網絡安全法、電子商務法、民法總則、刑法等多部法律中，但尚未出臺專門法律加以保護。目前，根據十三屆全國人大常委會立法規劃，個人信息保護法已被納入第一類項目，即“條件比較成熟、任期內擬提請審議的法律草案”。

中央財經大學法學院教授吳韜認為，在個人數據保護標準和制度設計上不能照搬照抄，應結合我國實際情況，推進數字產業規范發展和個人數據保護立法工作，兼顧個人數據保護、創新、效率和安全幾個價值目標。

朱新力認為立法應該實現發展與安全之間的平衡，在保護個人權利的同時激勵社會更好地沉淀和使用數據。對此他建議，立法中可以對“個人數據”加以分類，比如以敏感或不敏感為標準，集中力量對敏感個人數據加以保護，對不敏感個人數據則側重流通利用；也可以導入“風險”理念，根據個人數據的性質、使用場景以及產生的風險，來限定用戶同意的范圍和數據二次利用的風險管理機制。

對于如何正當配置數據權利，華東政法大學數據法律研究中心主任高富平表示，一個良好的數據經濟基本秩序除了要防止個人數據的濫用行為，也應當確認和保護數據生產者的權利。“一方面，數據持有者對數據的財產化利用必須尊重個人權利，同時也應該激勵數據持有者開放自己的數據供其他主體使用，由此實現數據高效的社會化利用。”高富平說。

資料來源：《人民日報》2019年5月30日、鳳凰衛視2019年4月25日