摘要: 信息技术的高速发展,诞生了大数据技术。大数据技术一方面给人们的生活带来便利,另一方面也带来或加剧了身份困境、隐私边界、数据权利等许多伦理道德问题,其中个人隐私泄露问题最受公民大众普遍关注。个人隐私泄露问题始终贯穿在大数据技术的发展和使用过程中,平衡好保护与发展的关系是使大数据技术真正成为社会发展的抓手、每个个人真切的享受大数据时代带来的红利的关键。本文以政府、运营商和个人为对象,深入剖析三方在个人隐私保护中存在的问题,并针对各方的问题提出对策,以期为个人隐私保护提供参考。
Abstract: The rapid development of information technology has given birth to big data technology. On the one hand, big data technology has brought convenience to people’s lives, but on the other hand, it has also brought or exacerbated many ethical and moral issues, such as identity dilemma, privacy boundaries, and data rights, among which the problem of personal privacy leakage is the most concerned by citizens. The problem of personal privacy leakage has always run through the development and use of big data technology, and balancing the relationship between protection and development is the key to making big data technology truly the starting point of social development and every individual truly enjoying the dividends brought by the big data era. The government, operators and individuals are the important objects of the personal privacy protection process. Based on this, this paper deeply analyzes the problems existing in the protection of personal privacy among the three parties, and then puts forward specific suggestions, in order to provide reference for personal privacy protection.
1. 引言
互联网信息技术改变了人们的生活方式,它使社会生活中的诸多方面由线下走向线上,极大地提高了人民生活水平和社会经济发展速率,人们活跃在线上,享受着互联网带来的便利,也不知不觉留下了大量个人信息数据。近几年来,信息技术的高速发展,使得信息的采集、存储和处理变得更加便捷、廉价、迅速,由此诞生了以数据量大(Volume)、数据种类丰富(Variety)、价值密度低(Value)、处理速度快(Velocity)为特点的大数据技术[1],开启了大数据时代。大数据不断收集互联网上的信息,而后依靠海量的数据和复杂的算法进行处理,一方面使人们对于事物的发展变化有了更加清晰的认识,而另一方面用户个人信息脱离主体,不断被采集、储存和利用也给个人隐私泄露带来了隐患。处理好大数据时代个人隐私安全问题是使大数据技术真正成为社会发展的抓手、每个人都真切地能够从中获益的关键。
2. 个人隐私的界定及特点
判定个人隐私泄露首先要对个人信息与个人隐私进行界定,从现行法律的定义上看,个人信息是指以电子或其他方式记录的,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息[2]。而个人隐私是指公民个人生活中不愿为他人公开或者知悉的秘密,且这一秘密与其他人及社会利益无关。由此可以看出,个人隐私包含于个人信息中,个人隐私更加强调“不愿为他人知晓”和“与社会利益无关”这两个特性,当公民不愿意自己的某些与社会利益无关的个人信息被他人知道时,个人信息即可视为个人隐私。
大数据时代个人隐私相较传统个人隐私具有以下几个特点:
(1) 数据化。个人隐私以二进制数据的形式储存。
(2) 多元化。大数据时代的个人隐私客体范围不断扩大,其不仅包含简单的身份信息,还包含经过挖掘提取出的具有商业价值的隐私。
(3) 价值化。运营商可通过对个人隐私的分析处理来挖掘深层次的信息,获得更多的利益[3]。
(4) 控制权与主体分离。用户个人在本质上丧失了对“云端”数据的实际控制权。
(5) 泄漏后果严重化。互联网高速传播以及永久记录的特性使得个人隐私泄露具有更加不可估量、不可控制的破坏性。
3. 个人隐私泄露问题原因分析
2014年中消协发布的《个人信息网络安全调查报告》显示,约三分之二受访者在过去一年内个人隐私曾被泄露或窃取,八成个人信息泄露的受访者受到各种形式的广告骚扰,甚至还有受访者因此遭受实际经济损失和人身伤害。2023年中消协发布的《“提振消费信心”主题调查报告》表明,个人隐私泄露问题仍然困扰着消费者,其排在各类网络问题首位。大数据时代,个人隐私泄露问题的普遍性、后果的严重性、治理的困难性显而易见,深刻剖析个人隐私泄露普遍发生的内在原因、泄露在大数据技术各个阶段中发生的位置对于实施针对性规制和制定相应对策有重要作用。
3.1. 法律法规尚不完善
3.1.1. 隐私范围模糊
《民法典》中规定隐私的“不愿为他人知晓”的这一强烈的主观特性使隐私范围十分模糊,有时应当进行保护的个人隐私无法被认定,导致个人面对侵权行为束手无策,也有时个人的一般信息被误认定为隐私,给正常行为带来一定麻烦,法律的宽泛描述使得司法实践中对隐私的认定掺杂了许多的价值判断,导致类似的案件在同省的不同地区法院都没有一致的审判标准[4],出现类案不同结果的现象,长此以往,公民的个人隐私得不到良好的保障,也损害了司法机关的公信力。
3.1.2. 个人举证责任过重
当发生个人隐私侵权纠纷时,采取“谁主张、谁举证”的传统举证责任模式[5],但当用户在运营商提供的服务中产生隐私数据,虽然表面上用户仍可以对隐私数据进行删改等操作,其实用户个人对隐私数据在哪里存储、是否被利用毫不知情,这种控制权与主体分离的特性导致个人与运营商之间掌控权利的不对称性变大,即使公民发现个人隐私被非法利用,也往往很难取得明确证据来证明侵权主体与泄露方式,尤其在私对公的案件中,个人通常无法承担足够的举证责任而败诉[6]。
3.2. 运营商违法或过失
3.2.1. 非法收集个人隐私
随着大数据技术的发展,个人隐私的经济价值和商业价值逐渐显露,运营商可以利用大数据技术对海量个人隐私的处理分析,挖掘出其中的社会价值、科研价值、经济价值等,为企业决策、预测行业形势以及识别目标用户提供依据,给运营商在网络竞争中带来巨大的优势,另外,对单个用户的隐私数据进行分析,还可以得知用户的偏好,从而对用户实现目标商品、广告等精准推送,从而获取更多的利益,而大数据技术首先需要构建具有识别性的身份信息及活动信息的数据库,所以对运营商来说,掌握越多的信息就越能精准地进行商业活动,由此产生了许多恶意、非法采集用户个人信息的不良运营商,利用信息收集的隐蔽性,用后台私自访问获取、控制手机传感器静默录音录像、以实现软件正常功能的名义强制用户授权[7]或黑色市场个人隐私买卖等方式,采集与软件功能毫不相关的,包括位置、购买记录、通讯录、甚至面部信息等用户隐私。2020年央视315晚会披露了50余款APP向用户设备中非法植入插件,窃取大量个人信息进行倒卖,而后经过调查,陆续又曝出多款APP非法采集个人信息,其中不乏人们常用的知名软件。
3.2.2. 未尽个人隐私保护义务
当个人信息被采集后进入运营商数据库存储的阶段,若运营商疏忽管理,轻视或忽视用户个人信息的保护,当数据库因软硬件及技术落后而产生漏洞或遭受黑客攻击时,就可能发生数据库泄露事件,造成用户隐私泄露、财产损失等后果。2021年某集团旗下酒店住客记录泄露,上亿条公民个人信息被非法采集并打包出售;2019年深网视界数据库泄露超过250万用户个人数据,包括人脸识别、身份证号码、照片等高敏感隐私信息等等1,诸如此类的事件层出不穷。诚然,不法分子攻击、破解运营商数据库,盗取个人隐私信息是数据库泄露的一部分原因,但更重要的是运营商的操作失误、缺乏安全意识、责任意识薄弱、未尽用户个人隐私的保护义务,2018年360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,2017年勒索病毒爆发前,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构过于自信,错误地认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。据统计,由于数据库内部漏洞而导致的数据泄露事件记录远超黑客窃取2。
3.2.3. 非法利用个人隐私
利用采集到的个人信息,通过大数据算法得到类似用户画像等有利于自身发展利益的信息是运营商的最终目的,但运营商基于这些用户个人信息进行某些分析后,在将其运用在某些商业活动时,若盲目的追求利益而忽视用户信息保护就会造成用户个人隐私泄露。例如“个性化推送”:某些网购平台为推销商品,未经用户许可将用户购买商品信息像发朋友圈一样推送给用户身边的人或亲朋好友,造成了用户个人隐私泄露。另外,出售个人信息也是常见的非法利用个人信息行为,部分运营商将采集到的个人信息打包成商品在黑色市场中出售给需要的企业或者个人,或在用户不知情的情况下与其他平台共享,以此获利。
3.3. 公民个人隐私保护意识淡薄
用户缺乏个人隐私保护意识也是个人隐私泄露的重要原因之一[8]。用户在使用应用时不加分辨地一键授权往往会导致不必要的隐私泄露;一些用户沉迷于免费的“破解版”软件,为图一时的小便宜,随意在互联网上下载未知来源的应用或在盗版网站上填写个人信息;还有一些用户在各种贷款、诈骗软件上上传个人敏感信息,给人身财产安全埋下了隐患。实际上,人们似乎在潜意识里没有赋予个人隐私太大的价值,人们往往愿意为了很小的收益而提供个人隐私信息,形成了既想保护而又乐于“出售”个人隐私的局面[9],在一项调查结果中表明,大多数网购的消费者会为了有机会获得100元的奖券而提供自己的个人隐私[7]。究其原因应是公民的个人隐私保护意识淡薄,没有真正了解到大数据技术的数据处理、推测能力,轻视个人隐私泄露带来后果的严重性,认为只要没有泄露关键隐私就可以免遭侵害,殊不知大数据技术利用个人零散、关联性较弱的隐私即可推测出如个人兴趣、偏好、可能患某种疾病、在某区域工作等高度敏感的个人隐私,所以个人隐私泄露有时也源于公民个人的“第一道防线”没有做好。
4. 个人隐私保护对策
4.1. 政府层面
4.1.1. 健全法律制度
法律是保护公民个人隐私的最直接、最有力的手段。世界上现行两种对公民个人隐私保护的模式,一种是以美国为代表的法律法规与行业自律结合的模式,美国一方面通过逐步颁布《隐私法案》《美国联邦电子通讯隐私法案》等法律,在多领域制定隐私保护规范,承认公民具有隐私权,明确公民个人隐私的重要性,另一方面提倡行业自律,通过鼓励运营商自觉维护公民个人隐私,营造良好的市场竞争氛围,引导行业进行自我约束;另一种是以欧盟为代表的重视完善法律法规的模式,2018年欧盟颁布的《通用数据保护条例》对个人信息进行全方位保护、全生命周期管理,对运营商采集、处理和利用个人信息提出了严苛的条件,被称为“史上最严条例”[10]。从现行法律来看,当前我国对公民隐私保护采用的主要是以欧盟为代表的法律法规模式[11],通过《民法典》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等多部法律,对公民个人隐私进行保护,虽然覆盖面广,但仍存在许多模糊地带,所以应当加强对法律法规的完善,可以适当参考国外经验,对隐私范围进行更加细致的明文规范,减少实践中的主观判断,当隐私纠纷中个人所拥有的权利明显与对方不对等时,应采取其他方法或适当减轻个人的举证责任,避免对个人提出较为苛刻的要求,这样才能使公民面对不法侵害时能够积极的用法律的武器维护个人权益,同时对一些铤而走险的运营商起到约束作用。另外,鼓励行业自律也是值得借鉴的模式,它在一定程度上平衡了保护与发展,起到了辅助治理的作用。法律规范与行业自律双管齐下,能够更好的保护公民个人隐私的同时,促进行业良性发展。
4.1.2. 加强执法力度
政府监管部门应积极履行监管职责,在公民个人信息的采集、储存和利用的三个阶段统一加强管理,对运营商获取公民个人信息的必要性、储存的保密性、利用的合法性进行审核,禁止或限制具有风险的应用进入互联网,营造良好的网络环境。同时加强对非法侵害公民个人隐私行为的执法打击力度,贯彻落实法律法规,及时制止侵害行为,切实保护公民个人隐私。
4.1.3. 建立信誉体系
对于以往非法收集、利用公民个人信息的运营商,多以约谈、整改的形式结束,很难对行业内其他运营商起到警示作用,应加大违法行为的处罚力度的同时,建立信用体系,对于自觉维护公民个人隐私的运营商给予较高的信誉等级,对于有非法侵害个人隐私行为的运营商降低其信誉等级,对其旗下的应用软件等产品的发行进行严格审查。同时公布运营商的信誉等级,引导用户选择高能效、低风险的软件,让用户更加安心地对软件进行授权、体验软件功能。信誉体系不仅降低了用户端隐私泄露的风险,还有助于行业自律模式的建设,对保护个人隐私有重要作用。
4.2. 运营商层面
4.2.1. 提高隐私泄露防范意识
《中华人民共和国网络安全法》明确了“谁收集,谁负责”的原则,运营商在收集储存用户个人隐私后,应积极履行保护个人隐私的义务,定期对数据库系统升级维护、修复漏洞、增强访问控制、提升安全等级,以确保数据的安全储存。
4.2.2. 自觉遵守法律法规
运营商应依法采集、使用用户个人隐私,杜绝非法窃取、买卖用户个人隐私的行为,切忌为利益最大化而侵犯个人隐私的行为,自觉遵守法律规范,才能逐渐获得用户的信任,取得更加长久的发展。
4.3. 个人层面
大数据时代,公民个人应提高隐私保护意识,认识隐私和个人信息泄露的严重性,在互联网上谨慎填写个人信息,避免不必要的隐私泄露;谨慎管理个人信息,对个人移动设备上的重要信息、隐私进行加密处理,慎重对应用软件信息采集的信任,在了解个人信息被采集的必要性后再加以授权,防止个人信息被滥用;安全使用网络和设备,不下载、安装不明来源的应用软件,不信任、不点陌生来电和链接,不使用不安全的网络,及时升级设备的安全软件,定期对设备进行安全检测,防止设备被恶意监控;主动了解法律法规及维权途径,积极学法、用法,摒弃“互联网上无隐私”的消极思想,面对隐私侵权行为采取法律手段维权,追究侵权者的法律责任,同时也要遵纪守法,规范自身在互联网上的行为,文明上网,以避免侵犯他人的隐私。
5. 结语
本文通过对大数据时代个人隐私泄露问题的深入分析,提出解决问题需要政府、运营商和个人三方的共同参与,携手直面大数据技术应用中公民个人隐私泄露的问题。随着社会的发展,隐私保护逐渐走进大众眼帘,越来越多的企业与个人意识到隐私保护的重要性,政府法律法规也在逐步完善中,相信在不久的未来,隐私泄露问题将得到有效治理,人们更加信任、自由地享受大数据技术带来的便利。
NOTES
1数据来源:GDI基金会荷兰安全研究员Victor Gevers。
2数据来源:2018年网络威胁情报公司Risk Based Security发布的各期《数据泄露快报》。