一、大數(shù)據(jù)時代個人隱私數(shù)據(jù)泄露已成為全球重大的社會問題

隨著信息技術(shù)的飛速發(fā)展，“數(shù)據(jù)化生存”已逐漸成為人類社會運行的常態(tài)，數(shù)據(jù)在公共管理、科學(xué)研究、企業(yè)營銷等領(lǐng)域發(fā)揮著重要作用。

疫情發(fā)生以來，利用大數(shù)據(jù)技術(shù)分析疫情擴散情況，為政府精準(zhǔn)決策、科學(xué)防治疫情提供了數(shù)據(jù)支撐。以阿里巴巴、百度為代表的互聯(lián)網(wǎng)企業(yè)，運用數(shù)據(jù)挖掘和分析技術(shù)對消費者購買行為和瀏覽偏好進(jìn)行預(yù)測分析，生成更有針對性的內(nèi)容推送和營銷策略。

但是，數(shù)據(jù)在帶來信息時代福利的同時亦會引發(fā)數(shù)據(jù)濫用、個人隱私泄露、企業(yè)商業(yè)秘密受侵犯等諸多問題。

縱觀全球，隱私數(shù)據(jù)泄露的案例比比皆是，據(jù)統(tǒng)計，2020年互聯(lián)網(wǎng)數(shù)據(jù)泄露總條數(shù)約為360億條，數(shù)據(jù)泄露事件給企業(yè)造成的平均損失高達(dá)386萬美元。2018年，F(xiàn)acebook上億用戶數(shù)據(jù)泄露事件引發(fā)世界輿論的關(guān)注。今年7月，Amazon因違反歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)條例，被歐盟隱私監(jiān)管機構(gòu)處以7.46億歐元罰款，這也是歐盟有史以來最大的數(shù)據(jù)隱私泄露罰款。

在我國，隱私數(shù)據(jù)泄露所涉及的范圍日益擴大，陷入困境的行業(yè)、企業(yè)也越來越多。如美團、餓了么等外賣平臺曾被爆出用戶資料遭泄露、倒賣，最低不到一毛錢每條的數(shù)據(jù)，精確到了用戶訂餐內(nèi)容、地址等私密信息;萬豪集團旗下喜達(dá)屋酒店客房預(yù)定數(shù)據(jù)庫遭黑客入侵，約5億名客人的信息被泄露。

從以上的案例可以看出，在大數(shù)據(jù)時代，互聯(lián)網(wǎng)平臺大規(guī)模采集用戶數(shù)據(jù)，并將用戶的個人信息長期集中化儲存，而數(shù)據(jù)一旦泄露就是大規(guī)模的群體事件，不僅侵犯用戶的隱私權(quán)、侵害公民生命財產(chǎn)安全，還將對互聯(lián)網(wǎng)企業(yè)自身造成不可預(yù)估的經(jīng)濟損失，數(shù)據(jù)泄露后對企業(yè)聲譽的負(fù)面影響也很難消除。

目前，面對個人隱私數(shù)據(jù)泄露的重大社會問題，許多國家、地區(qū)都出臺了相關(guān)法律法規(guī)，試圖從宏觀角度，對數(shù)據(jù)隱私的保護(hù)提供強有力的支持。我國對個人信息保護(hù)的法律法規(guī)在近些年陸續(xù)出臺，如《個人信息保護(hù)法》已于今年11月1日起施行，強調(diào)在嚴(yán)格保護(hù)個人信息的基礎(chǔ)上，規(guī)范數(shù)據(jù)的利用與流通，《個人信息保護(hù)法》也與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》一起構(gòu)筑起我國網(wǎng)絡(luò)空間活動監(jiān)管的三大基石。

筆者認(rèn)為，我國數(shù)據(jù)監(jiān)管環(huán)境趨嚴(yán)對互聯(lián)網(wǎng)企業(yè)既是挑戰(zhàn)也是機遇：新法在正式實施后具有權(quán)威性，處罰將有法可依;不過這也為鼓勵科技企業(yè)站在更專業(yè)的角度去測評和整改現(xiàn)有平臺數(shù)據(jù)保護(hù)的模式提供了機會。

二、大數(shù)據(jù)時代個人隱私數(shù)據(jù)保護(hù)的難點與挑戰(zhàn)

1、個人使用需求與數(shù)據(jù)自我保護(hù)的矛盾

在萬物互聯(lián)的大數(shù)據(jù)時代，各類互聯(lián)網(wǎng)個性化服務(wù)和精準(zhǔn)推送都無法離開對用戶數(shù)據(jù)的采集。

比如，網(wǎng)購數(shù)據(jù)會被電商采集和識別、社交媒體使用數(shù)據(jù)會由運營商收集分析、網(wǎng)絡(luò)檢索行為數(shù)據(jù)被搜索引擎記錄等等。雖然數(shù)據(jù)采集者在某一個時間和空間上只能截取“碎片化”的個體行為數(shù)據(jù)，但經(jīng)過大數(shù)據(jù)技術(shù)對這些數(shù)據(jù)進(jìn)行整合，就可以精準(zhǔn)定位到某個個體以及與之相關(guān)的一系列隱私信息(吳衛(wèi)華，2019)。

在獲得用戶數(shù)據(jù)授權(quán)的方式上，最常見的是采用“注冊即視為同意《隱私政策》與《Cookie協(xié)議》”的默認(rèn)勾選或“一攬子”授權(quán)同意、概括式同意(葉開儒，2020)。當(dāng)有用戶在注冊階段質(zhì)疑數(shù)據(jù)的過度采集，點擊“不同意”信息被采集的按鈕以拒絕Cookie的追蹤后，結(jié)果往往是無法正常使用網(wǎng)站，并以“閃退”的方式退出網(wǎng)頁。

但是，對網(wǎng)絡(luò)平臺有強烈使用需求的用戶，他們?yōu)榱四芟硎芨鞔笃脚_提供的服務(wù)，還是會主動讓渡個人信息以獲取使用的便捷性。更重要的是，雖然隱私權(quán)政策中有說明會把個人數(shù)據(jù)提供給第三方，卻未提供第三方信息，通過格式條款使用戶同意了各種不可預(yù)見的數(shù)據(jù)處理行為。

由此可見，用戶的使用需求與數(shù)據(jù)自我保護(hù)的矛盾，是我國當(dāng)前數(shù)據(jù)隱私保護(hù)的難題之一。

2、利用數(shù)據(jù)追求利益最大化引起的數(shù)字權(quán)利濫用、數(shù)據(jù)壟斷亂象的問題

數(shù)據(jù)對于現(xiàn)代互聯(lián)網(wǎng)企業(yè)而言，可視為核心的資源優(yōu)勢和競爭優(yōu)勢，擁有大規(guī)模用戶數(shù)據(jù)將有助于企業(yè)進(jìn)行商業(yè)推廣、精準(zhǔn)營銷、產(chǎn)品迭代等業(yè)務(wù)。各大網(wǎng)絡(luò)平臺在利用數(shù)據(jù)追求利益最大化的同時，也引發(fā)了個人信息濫用程度加重、企業(yè)數(shù)據(jù)壟斷亂象頻發(fā)的數(shù)據(jù)安全風(fēng)險。

以網(wǎng)購平臺的個性化推薦技術(shù)為例，許多網(wǎng)絡(luò)用戶會發(fā)現(xiàn)，當(dāng)自己只是出于好奇或誤點了一個商品鏈接，就會被不斷地推送相似內(nèi)容的產(chǎn)品。這種精準(zhǔn)推送背后的邏輯是平臺基于算法做出的自動化決策，不透明性使用戶無法理解算法的機理，從而帶來不公平性的問題。

更為嚴(yán)重的是，大型互聯(lián)網(wǎng)企業(yè)中一旦有個別內(nèi)部員工將企業(yè)收集的用戶訂單、瀏覽、消費記錄等數(shù)據(jù)二次販賣給其他公司，使用戶數(shù)據(jù)被再次處理并作為其他公司盈利的手段，這不僅超出了用戶授權(quán)個人信息給平臺以換取便捷服務(wù)的合理預(yù)期，而且這無異于用戶在網(wǎng)絡(luò)空間中“裸奔”。

除了過度利用用戶精準(zhǔn)畫像進(jìn)行個性化推薦，基于數(shù)據(jù)壟斷優(yōu)勢進(jìn)行“大數(shù)據(jù)殺熟”、“二選一”等侵犯消費者權(quán)益的行為，實際上都反映了用戶不能自主把控數(shù)據(jù)信息所形成的算法決策。雖然歐盟GDPR條例已提出算法需要具有透明性、可解釋性，但如何向用戶解釋算法仍亟待落實。

3、企業(yè)數(shù)據(jù)安全保護(hù)面臨外部攻擊的挑戰(zhàn)

當(dāng)前，數(shù)字技術(shù)促使數(shù)據(jù)應(yīng)用場景和參與主體日益多樣化,數(shù)據(jù)安全的外延不斷擴展,互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護(hù)面臨外部攻擊的風(fēng)險和挑戰(zhàn)。

首先，黑客利用互聯(lián)網(wǎng)平臺存在的安全漏洞入侵企業(yè)網(wǎng)站，竊取用戶數(shù)據(jù)庫導(dǎo)致個人隱私和企業(yè)機密泄露。特別是近幾年“爬蟲”技術(shù)的廣泛應(yīng)用，給予了很多不法人員對于數(shù)據(jù)竊取的可趁之機。

今年6月，河南商丘公開了一份判決書，顯示有網(wǎng)絡(luò)黑客對淘寶實施了長達(dá)八個月的數(shù)據(jù)爬取并盜走大量用戶數(shù)據(jù)。在阿里巴巴注意到這一問題前，已經(jīng)有超過11.8億條用戶信息遭到竊取。黑客利用這些信息建了上千個微信群，每天用機器人在群里發(fā)淘寶優(yōu)惠券，賺取返利。早期的互聯(lián)網(wǎng)和網(wǎng)絡(luò)郵件的領(lǐng)導(dǎo)者雅虎在遭到黑客攻擊后，暴露了雅虎全部用戶(超過30億)的信息，這一事件是至今全球規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄露案，最終導(dǎo)致雅虎關(guān)張。

因此，網(wǎng)站的海量用戶數(shù)據(jù)不僅是企業(yè)的核心資產(chǎn)，也是民間黑客攻擊的主要對象，大型企業(yè)的數(shù)據(jù)安全管理在大數(shù)據(jù)時代面臨更高的要求。

其次，企業(yè)在實現(xiàn)SaaS化服務(wù)過程中，會將數(shù)據(jù)與第三方機構(gòu)交換與共享，但是，當(dāng)企業(yè)對合作第三方收集使用用戶數(shù)據(jù)的監(jiān)測、管理不到位時，將會面臨潛在的第三方風(fēng)險。

在Facebook“泄密門”事件中，F(xiàn)acebook上5000萬用戶的個人信息被第三方機構(gòu)劍橋分析公司收集，隨后建立起用戶畫像，預(yù)測他們的政治傾向，并借助Facebook的廣告投放系統(tǒng)，最終影響用戶的投票行為。雖然本案的主要責(zé)任不在Facebook，但社交網(wǎng)絡(luò)平臺是劍橋分析公司在檢測數(shù)據(jù)時最重要的依仗，F(xiàn)acebook負(fù)有不可推卸的責(zé)任。

利益驅(qū)使第三方機構(gòu)非法獲取、利用個人隱私數(shù)據(jù)獲利的問題同樣也是我國互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護(hù)面臨的棘手困境之一。

三、應(yīng)對大數(shù)據(jù)時代隱私數(shù)據(jù)保護(hù)難點的措施

1、緩解個人使用需求與數(shù)據(jù)自我保護(hù)的矛盾可行路徑

首先，大數(shù)據(jù)技術(shù)提供服務(wù)，離不開對用戶數(shù)據(jù)的采集，但是，如果以一刀切的方式，拒絕提供所有的個人數(shù)據(jù)來進(jìn)行數(shù)據(jù)隱私自我保護(hù)，又與消費者尋求優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)以及規(guī)范互聯(lián)網(wǎng)行業(yè)發(fā)展的需求相悖，在當(dāng)前的互聯(lián)網(wǎng)語境下并不適用。

今年9月1日正式實施的《數(shù)據(jù)安全法》中指出了數(shù)據(jù)區(qū)分的重要性，明確了數(shù)據(jù)分級分類保護(hù)的制度。進(jìn)行數(shù)據(jù)分層保護(hù)，一方面可以從用戶的身份角度考慮，綜合用戶的性別、年齡、職業(yè)等多方面維度進(jìn)行隱私分級。對于自我保護(hù)能力較弱的兒童，其個人數(shù)據(jù)應(yīng)列入敏感數(shù)據(jù)范圍之中;另一方面是從數(shù)據(jù)隱私的內(nèi)容進(jìn)行劃分，對于宗教信仰、政治觀點、健康數(shù)據(jù)、生物識別數(shù)據(jù)等敏感數(shù)據(jù)，在泄露后會對個人隱私產(chǎn)生嚴(yán)重危害，應(yīng)該是數(shù)據(jù)隱私自我保護(hù)的重點，需進(jìn)行強力的保護(hù)，避免被采集和濫用。

其次，平臺隱私政策在制定時需要做同時考慮平臺運行的需要與用戶隱私感知的滿足之間的關(guān)系，如過長的隱私政策文本會造成閱讀量下降甚至客戶流失，個人數(shù)據(jù)用于新的目的還需再次提醒并征得用戶同意，可能導(dǎo)致用戶一定程度的“同意疲勞”而不經(jīng)閱讀直接給出同意(曾麗潔，2020)。

因此，我國互聯(lián)網(wǎng)平臺可以參考美國聯(lián)邦貿(mào)易委員會(FTC)《公平信息實踐準(zhǔn)則》要求下的簡化隱私政策的“最優(yōu)實踐”(BEN-SHAHAR O et al.,2016)，并且加上警示標(biāo)志增加用戶的關(guān)注度。

此外，要更充分地保障用戶的知情權(quán)，平臺可以在顯眼的位置注明Cookie的定義、如何使用 Cookie等信息，尤其是隱私權(quán)政策應(yīng)該讓用戶清楚知道自己的個人信息會在何時被商業(yè)利用。

最后，我國民眾也需要主動學(xué)習(xí)網(wǎng)絡(luò)安全知識和隱私權(quán)方面的內(nèi)容，如定期清理離線緩存文件及Cookies文件;在使用互聯(lián)網(wǎng)軟件時應(yīng)仔細(xì)閱讀相關(guān)隱私條款，實踐中，許多用戶并未認(rèn)真閱讀用戶協(xié)議或隱私政策就直接點了“同意”，這就減弱了授權(quán)機制的實際警告效果;在正確判斷軟件的應(yīng)用價值和隱私泄露風(fēng)險，以及權(quán)衡各種利弊后再決定是否同意授權(quán)個人隱私數(shù)據(jù)。

2、互聯(lián)網(wǎng)企業(yè)要謹(jǐn)慎采用個性化推薦技術(shù)，并積極參加個人信息保護(hù)的合規(guī)合作

數(shù)據(jù)作為數(shù)字營銷的核心要素，各大互聯(lián)網(wǎng)平臺通過收集用戶數(shù)據(jù)用于內(nèi)容推送、定向投放、精準(zhǔn)營銷等業(yè)務(wù)，以實現(xiàn)其利益最大化，但也由此引發(fā)了“算法歧視”、“大數(shù)據(jù)殺熟”等諸多侵犯消費者權(quán)益的風(fēng)險。

我國陸續(xù)出臺和實施的《數(shù)據(jù)安全法》、《個人信息保護(hù)法》，將會在一定程度上削弱部分企業(yè)的算法優(yōu)勢，給過度依賴用戶數(shù)據(jù)的企業(yè)帶來挑戰(zhàn)。比如，很多效果廣告的投資回報率可能會降低，精準(zhǔn)廣告投放會收到不小的沖擊等。

面對新法新規(guī)，互聯(lián)網(wǎng)企業(yè)需要對現(xiàn)有的數(shù)據(jù)主義和機器算法進(jìn)行糾偏，回歸到內(nèi)容本身上來。

因為算法本身存在很多局限，過度運用用戶畫像進(jìn)行個性化推薦容易導(dǎo)致數(shù)據(jù)統(tǒng)計偏差，信息出現(xiàn)同質(zhì)化;過度追求商業(yè)利益，也容易導(dǎo)致信息低俗化。

企業(yè)平臺需要解決的是如何通過程序設(shè)計來保障公平、正義的實現(xiàn)，并借助于技術(shù)程序的正當(dāng)性來強化只能決策系統(tǒng)的透明性和可解釋性。而在研發(fā)出可靠的計算機輔助工具進(jìn)行數(shù)據(jù)處理之前，可以通過“人工推薦+智能篩選”相結(jié)合的推送方式。

另外，互聯(lián)網(wǎng)企業(yè)要積極參加個人信息保護(hù)的合規(guī)合作，制作企業(yè)數(shù)據(jù)管理制度和操作規(guī)程，對企業(yè)內(nèi)部員工進(jìn)行安全教育和培訓(xùn)，使得數(shù)據(jù)保護(hù)能力也成為企業(yè)發(fā)展中重要的評判指標(biāo)，把對于企業(yè)的被動監(jiān)管變?yōu)樽月梢?guī)制模式，培養(yǎng)一個良性安全的數(shù)據(jù)流動環(huán)境。

3、互聯(lián)網(wǎng)企業(yè)需要提升數(shù)據(jù)安全防御能力，對合作機構(gòu)的合規(guī)管理及責(zé)任劃分

在數(shù)據(jù)隱私侵權(quán)主體多樣化、數(shù)據(jù)隱私侵權(quán)模式復(fù)雜化的大數(shù)據(jù)時代，潛在的黑客攻擊行為越來越多，對企業(yè)數(shù)據(jù)安全保護(hù)造成了極大挑戰(zhàn)。

騰訊云安全李濱指出，如果企業(yè)無法管理好自身擁有的數(shù)據(jù)，本身就會帶來非常大的合規(guī)治理方面的約束和風(fēng)險。因此，現(xiàn)階段大型互聯(lián)網(wǎng)企業(yè)要強化自身技術(shù)能力以對抗數(shù)據(jù)安全的威脅，確保相關(guān)敏感、涉密數(shù)據(jù)遵循統(tǒng)一的處理策略，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期技術(shù)性檢查，防止敏感數(shù)據(jù)泄露導(dǎo)致對公司、用戶以及社會產(chǎn)生嚴(yán)重影響。

同時，對于像騰訊、阿里巴巴、百度等巨頭互聯(lián)網(wǎng)企業(yè)來講，出于技術(shù)或業(yè)務(wù)需要必須進(jìn)行數(shù)據(jù)合作時，就要十分謹(jǐn)慎地選擇第三方處理者，選擇能夠采取足夠適當(dāng)?shù)募夹g(shù)和組織措施的處理者。對內(nèi)部、外部參與各類數(shù)據(jù)處理活動的當(dāng)事人及其角色進(jìn)行梳理、評估和劃分，區(qū)隔作為控制者與處理者各自的職責(zé)及相應(yīng)的義務(wù)(曾麗潔，2020)。對于必須共享和轉(zhuǎn)讓給第三方機構(gòu)的用戶數(shù)據(jù)，要避免共享簡化，不能事先利用“一攬子”協(xié)議將用戶所有相關(guān)授權(quán)窮盡，而應(yīng)分項明示。不論第三方是否采取了同樣的隱私保護(hù)政策，與之進(jìn)行匹配數(shù)據(jù)交易前，還需要堅持用戶自愿的原則，經(jīng)過用戶的同意方可操作。