一、大數(shù)據(jù)時(shí)代個(gè)人隱私數(shù)據(jù)泄露已成為全球重大的社會(huì)問題

隨著信息技術(shù)的飛速發(fā)展，“數(shù)據(jù)化生存”已逐漸成為人類社會(huì)運(yùn)行的常態(tài)，數(shù)據(jù)在公共管理、科學(xué)研究、企業(yè)營銷等領(lǐng)域發(fā)揮著重要作用。

疫情發(fā)生以來，利用大數(shù)據(jù)技術(shù)分析疫情擴(kuò)散情況，為政府精準(zhǔn)決策、科學(xué)防治疫情提供了數(shù)據(jù)支撐。以阿里巴巴、百度為代表的互聯(lián)網(wǎng)企業(yè)，運(yùn)用數(shù)據(jù)挖掘和分析技術(shù)對(duì)消費(fèi)者購買行為和瀏覽偏好進(jìn)行預(yù)測(cè)分析，生成更有針對(duì)性的內(nèi)容推送和營銷策略。

但是，數(shù)據(jù)在帶來信息時(shí)代福利的同時(shí)亦會(huì)引發(fā)數(shù)據(jù)濫用、個(gè)人隱私泄露、企業(yè)商業(yè)秘密受侵犯等諸多問題。

縱觀全球，隱私數(shù)據(jù)泄露的案例比比皆是，據(jù)統(tǒng)計(jì)，2020年互聯(lián)網(wǎng)數(shù)據(jù)泄露總條數(shù)約為360億條，數(shù)據(jù)泄露事件給企業(yè)造成的平均損失高達(dá)386萬美元。2018年，F(xiàn)acebook上億用戶數(shù)據(jù)泄露事件引發(fā)世界輿論的關(guān)注。今年7月，Amazon因違反歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)條例，被歐盟隱私監(jiān)管機(jī)構(gòu)處以7.46億歐元罰款，這也是歐盟有史以來最大的數(shù)據(jù)隱私泄露罰款。

在我國，隱私數(shù)據(jù)泄露所涉及的范圍日益擴(kuò)大，陷入困境的行業(yè)、企業(yè)也越來越多。如美團(tuán)、餓了么等外賣平臺(tái)曾被爆出用戶資料遭泄露、倒賣，最低不到一毛錢每條的數(shù)據(jù)，精確到了用戶訂餐內(nèi)容、地址等私密信息;萬豪集團(tuán)旗下喜達(dá)屋酒店客房預(yù)定數(shù)據(jù)庫遭黑客入侵，約5億名客人的信息被泄露。

從以上的案例可以看出，在大數(shù)據(jù)時(shí)代，互聯(lián)網(wǎng)平臺(tái)大規(guī)模采集用戶數(shù)據(jù)，并將用戶的個(gè)人信息長期集中化儲(chǔ)存，而數(shù)據(jù)一旦泄露就是大規(guī)模的群體事件，不僅侵犯用戶的隱私權(quán)、侵害公民生命財(cái)產(chǎn)安全，還將對(duì)互聯(lián)網(wǎng)企業(yè)自身造成不可預(yù)估的經(jīng)濟(jì)損失，數(shù)據(jù)泄露后對(duì)企業(yè)聲譽(yù)的負(fù)面影響也很難消除。

目前，面對(duì)個(gè)人隱私數(shù)據(jù)泄露的重大社會(huì)問題，許多國家、地區(qū)都出臺(tái)了相關(guān)法律法規(guī)，試圖從宏觀角度，對(duì)數(shù)據(jù)隱私的保護(hù)提供強(qiáng)有力的支持。我國對(duì)個(gè)人信息保護(hù)的法律法規(guī)在近些年陸續(xù)出臺(tái)，如《個(gè)人信息保護(hù)法》已于今年11月1日起施行，強(qiáng)調(diào)在嚴(yán)格保護(hù)個(gè)人信息的基礎(chǔ)上，規(guī)范數(shù)據(jù)的利用與流通，《個(gè)人信息保護(hù)法》也與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》一起構(gòu)筑起我國網(wǎng)絡(luò)空間活動(dòng)監(jiān)管的三大基石。

筆者認(rèn)為，我國數(shù)據(jù)監(jiān)管環(huán)境趨嚴(yán)對(duì)互聯(lián)網(wǎng)企業(yè)既是挑戰(zhàn)也是機(jī)遇：新法在正式實(shí)施后具有權(quán)威性，處罰將有法可依;不過這也為鼓勵(lì)科技企業(yè)站在更專業(yè)的角度去測(cè)評(píng)和整改現(xiàn)有平臺(tái)數(shù)據(jù)保護(hù)的模式提供了機(jī)會(huì)。

二、大數(shù)據(jù)時(shí)代個(gè)人隱私數(shù)據(jù)保護(hù)的難點(diǎn)與挑戰(zhàn)

1、個(gè)人使用需求與數(shù)據(jù)自我保護(hù)的矛盾

在萬物互聯(lián)的大數(shù)據(jù)時(shí)代，各類互聯(lián)網(wǎng)個(gè)性化服務(wù)和精準(zhǔn)推送都無法離開對(duì)用戶數(shù)據(jù)的采集。

比如，網(wǎng)購數(shù)據(jù)會(huì)被電商采集和識(shí)別、社交媒體使用數(shù)據(jù)會(huì)由運(yùn)營商收集分析、網(wǎng)絡(luò)檢索行為數(shù)據(jù)被搜索引擎記錄等等。雖然數(shù)據(jù)采集者在某一個(gè)時(shí)間和空間上只能截取“碎片化”的個(gè)體行為數(shù)據(jù)，但經(jīng)過大數(shù)據(jù)技術(shù)對(duì)這些數(shù)據(jù)進(jìn)行整合，就可以精準(zhǔn)定位到某個(gè)個(gè)體以及與之相關(guān)的一系列隱私信息(吳衛(wèi)華，2019)。

在獲得用戶數(shù)據(jù)授權(quán)的方式上，最常見的是采用“注冊(cè)即視為同意《隱私政策》與《Cookie協(xié)議》”的默認(rèn)勾選或“一攬子”授權(quán)同意、概括式同意(葉開儒，2020)。當(dāng)有用戶在注冊(cè)階段質(zhì)疑數(shù)據(jù)的過度采集，點(diǎn)擊“不同意”信息被采集的按鈕以拒絕Cookie的追蹤后，結(jié)果往往是無法正常使用網(wǎng)站，并以“閃退”的方式退出網(wǎng)頁。

但是，對(duì)網(wǎng)絡(luò)平臺(tái)有強(qiáng)烈使用需求的用戶，他們?yōu)榱四芟硎芨鞔笃脚_(tái)提供的服務(wù)，還是會(huì)主動(dòng)讓渡個(gè)人信息以獲取使用的便捷性。更重要的是，雖然隱私權(quán)政策中有說明會(huì)把個(gè)人數(shù)據(jù)提供給第三方，卻未提供第三方信息，通過格式條款使用戶同意了各種不可預(yù)見的數(shù)據(jù)處理行為。

由此可見，用戶的使用需求與數(shù)據(jù)自我保護(hù)的矛盾，是我國當(dāng)前數(shù)據(jù)隱私保護(hù)的難題之一。

2、利用數(shù)據(jù)追求利益最大化引起的數(shù)字權(quán)利濫用、數(shù)據(jù)壟斷亂象的問題

數(shù)據(jù)對(duì)于現(xiàn)代互聯(lián)網(wǎng)企業(yè)而言，可視為核心的資源優(yōu)勢(shì)和競爭優(yōu)勢(shì)，擁有大規(guī)模用戶數(shù)據(jù)將有助于企業(yè)進(jìn)行商業(yè)推廣、精準(zhǔn)營銷、產(chǎn)品迭代等業(yè)務(wù)。各大網(wǎng)絡(luò)平臺(tái)在利用數(shù)據(jù)追求利益最大化的同時(shí)，也引發(fā)了個(gè)人信息濫用程度加重、企業(yè)數(shù)據(jù)壟斷亂象頻發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)。

以網(wǎng)購平臺(tái)的個(gè)性化推薦技術(shù)為例，許多網(wǎng)絡(luò)用戶會(huì)發(fā)現(xiàn)，當(dāng)自己只是出于好奇或誤點(diǎn)了一個(gè)商品鏈接，就會(huì)被不斷地推送相似內(nèi)容的產(chǎn)品。這種精準(zhǔn)推送背后的邏輯是平臺(tái)基于算法做出的自動(dòng)化決策，不透明性使用戶無法理解算法的機(jī)理，從而帶來不公平性的問題。

更為嚴(yán)重的是，大型互聯(lián)網(wǎng)企業(yè)中一旦有個(gè)別內(nèi)部員工將企業(yè)收集的用戶訂單、瀏覽、消費(fèi)記錄等數(shù)據(jù)二次販賣給其他公司，使用戶數(shù)據(jù)被再次處理并作為其他公司盈利的手段，這不僅超出了用戶授權(quán)個(gè)人信息給平臺(tái)以換取便捷服務(wù)的合理預(yù)期，而且這無異于用戶在網(wǎng)絡(luò)空間中“裸奔”。

除了過度利用用戶精準(zhǔn)畫像進(jìn)行個(gè)性化推薦，基于數(shù)據(jù)壟斷優(yōu)勢(shì)進(jìn)行“大數(shù)據(jù)殺熟”、“二選一”等侵犯消費(fèi)者權(quán)益的行為，實(shí)際上都反映了用戶不能自主把控?cái)?shù)據(jù)信息所形成的算法決策。雖然歐盟GDPR條例已提出算法需要具有透明性、可解釋性，但如何向用戶解釋算法仍亟待落實(shí)。

3、企業(yè)數(shù)據(jù)安全保護(hù)面臨外部攻擊的挑戰(zhàn)

當(dāng)前，數(shù)字技術(shù)促使數(shù)據(jù)應(yīng)用場(chǎng)景和參與主體日益多樣化,數(shù)據(jù)安全的外延不斷擴(kuò)展,互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護(hù)面臨外部攻擊的風(fēng)險(xiǎn)和挑戰(zhàn)。

首先，黑客利用互聯(lián)網(wǎng)平臺(tái)存在的安全漏洞入侵企業(yè)網(wǎng)站，竊取用戶數(shù)據(jù)庫導(dǎo)致個(gè)人隱私和企業(yè)機(jī)密泄露。特別是近幾年“爬蟲”技術(shù)的廣泛應(yīng)用，給予了很多不法人員對(duì)于數(shù)據(jù)竊取的可趁之機(jī)。

今年6月，河南商丘公開了一份判決書，顯示有網(wǎng)絡(luò)黑客對(duì)淘寶實(shí)施了長達(dá)八個(gè)月的數(shù)據(jù)爬取并盜走大量用戶數(shù)據(jù)。在阿里巴巴注意到這一問題前，已經(jīng)有超過11.8億條用戶信息遭到竊取。黑客利用這些信息建了上千個(gè)微信群，每天用機(jī)器人在群里發(fā)淘寶優(yōu)惠券，賺取返利。早期的互聯(lián)網(wǎng)和網(wǎng)絡(luò)郵件的領(lǐng)導(dǎo)者雅虎在遭到黑客攻擊后，暴露了雅虎全部用戶(超過30億)的信息，這一事件是至今全球規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄露案，最終導(dǎo)致雅虎關(guān)張。

因此，網(wǎng)站的海量用戶數(shù)據(jù)不僅是企業(yè)的核心資產(chǎn)，也是民間黑客攻擊的主要對(duì)象，大型企業(yè)的數(shù)據(jù)安全管理在大數(shù)據(jù)時(shí)代面臨更高的要求。

其次，企業(yè)在實(shí)現(xiàn)SaaS化服務(wù)過程中，會(huì)將數(shù)據(jù)與第三方機(jī)構(gòu)交換與共享，但是，當(dāng)企業(yè)對(duì)合作第三方收集使用用戶數(shù)據(jù)的監(jiān)測(cè)、管理不到位時(shí)，將會(huì)面臨潛在的第三方風(fēng)險(xiǎn)。

在Facebook“泄密門”事件中，F(xiàn)acebook上5000萬用戶的個(gè)人信息被第三方機(jī)構(gòu)劍橋分析公司收集，隨后建立起用戶畫像，預(yù)測(cè)他們的政治傾向，并借助Facebook的廣告投放系統(tǒng)，最終影響用戶的投票行為。雖然本案的主要責(zé)任不在Facebook，但社交網(wǎng)絡(luò)平臺(tái)是劍橋分析公司在檢測(cè)數(shù)據(jù)時(shí)最重要的依仗，F(xiàn)acebook負(fù)有不可推卸的責(zé)任。

利益驅(qū)使第三方機(jī)構(gòu)非法獲取、利用個(gè)人隱私數(shù)據(jù)獲利的問題同樣也是我國互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護(hù)面臨的棘手困境之一。

三、應(yīng)對(duì)大數(shù)據(jù)時(shí)代隱私數(shù)據(jù)保護(hù)難點(diǎn)的措施

1、緩解個(gè)人使用需求與數(shù)據(jù)自我保護(hù)的矛盾可行路徑

首先，大數(shù)據(jù)技術(shù)提供服務(wù)，離不開對(duì)用戶數(shù)據(jù)的采集，但是，如果以一刀切的方式，拒絕提供所有的個(gè)人數(shù)據(jù)來進(jìn)行數(shù)據(jù)隱私自我保護(hù)，又與消費(fèi)者尋求優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)以及規(guī)范互聯(lián)網(wǎng)行業(yè)發(fā)展的需求相悖，在當(dāng)前的互聯(lián)網(wǎng)語境下并不適用。

今年9月1日正式實(shí)施的《數(shù)據(jù)安全法》中指出了數(shù)據(jù)區(qū)分的重要性，明確了數(shù)據(jù)分級(jí)分類保護(hù)的制度。進(jìn)行數(shù)據(jù)分層保護(hù)，一方面可以從用戶的身份角度考慮，綜合用戶的性別、年齡、職業(yè)等多方面維度進(jìn)行隱私分級(jí)。對(duì)于自我保護(hù)能力較弱的兒童，其個(gè)人數(shù)據(jù)應(yīng)列入敏感數(shù)據(jù)范圍之中;另一方面是從數(shù)據(jù)隱私的內(nèi)容進(jìn)行劃分，對(duì)于宗教信仰、政治觀點(diǎn)、健康數(shù)據(jù)、生物識(shí)別數(shù)據(jù)等敏感數(shù)據(jù)，在泄露后會(huì)對(duì)個(gè)人隱私產(chǎn)生嚴(yán)重危害，應(yīng)該是數(shù)據(jù)隱私自我保護(hù)的重點(diǎn)，需進(jìn)行強(qiáng)力的保護(hù)，避免被采集和濫用。

其次，平臺(tái)隱私政策在制定時(shí)需要做同時(shí)考慮平臺(tái)運(yùn)行的需要與用戶隱私感知的滿足之間的關(guān)系，如過長的隱私政策文本會(huì)造成閱讀量下降甚至客戶流失，個(gè)人數(shù)據(jù)用于新的目的還需再次提醒并征得用戶同意，可能導(dǎo)致用戶一定程度的“同意疲勞”而不經(jīng)閱讀直接給出同意(曾麗潔，2020)。

因此，我國互聯(lián)網(wǎng)平臺(tái)可以參考美國聯(lián)邦貿(mào)易委員會(huì)(FTC)《公平信息實(shí)踐準(zhǔn)則》要求下的簡化隱私政策的“最優(yōu)實(shí)踐”(BEN-SHAHAR O et al.,2016)，并且加上警示標(biāo)志增加用戶的關(guān)注度。

此外，要更充分地保障用戶的知情權(quán)，平臺(tái)可以在顯眼的位置注明Cookie的定義、如何使用 Cookie等信息，尤其是隱私權(quán)政策應(yīng)該讓用戶清楚知道自己的個(gè)人信息會(huì)在何時(shí)被商業(yè)利用。

最后，我國民眾也需要主動(dòng)學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)和隱私權(quán)方面的內(nèi)容，如定期清理離線緩存文件及Cookies文件;在使用互聯(lián)網(wǎng)軟件時(shí)應(yīng)仔細(xì)閱讀相關(guān)隱私條款，實(shí)踐中，許多用戶并未認(rèn)真閱讀用戶協(xié)議或隱私政策就直接點(diǎn)了“同意”，這就減弱了授權(quán)機(jī)制的實(shí)際警告效果;在正確判斷軟件的應(yīng)用價(jià)值和隱私泄露風(fēng)險(xiǎn)，以及權(quán)衡各種利弊后再?zèng)Q定是否同意授權(quán)個(gè)人隱私數(shù)據(jù)。

2、互聯(lián)網(wǎng)企業(yè)要謹(jǐn)慎采用個(gè)性化推薦技術(shù)，并積極參加個(gè)人信息保護(hù)的合規(guī)合作

數(shù)據(jù)作為數(shù)字營銷的核心要素，各大互聯(lián)網(wǎng)平臺(tái)通過收集用戶數(shù)據(jù)用于內(nèi)容推送、定向投放、精準(zhǔn)營銷等業(yè)務(wù)，以實(shí)現(xiàn)其利益最大化，但也由此引發(fā)了“算法歧視”、“大數(shù)據(jù)殺熟”等諸多侵犯消費(fèi)者權(quán)益的風(fēng)險(xiǎn)。

我國陸續(xù)出臺(tái)和實(shí)施的《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》，將會(huì)在一定程度上削弱部分企業(yè)的算法優(yōu)勢(shì)，給過度依賴用戶數(shù)據(jù)的企業(yè)帶來挑戰(zhàn)。比如，很多效果廣告的投資回報(bào)率可能會(huì)降低，精準(zhǔn)廣告投放會(huì)收到不小的沖擊等。

面對(duì)新法新規(guī)，互聯(lián)網(wǎng)企業(yè)需要對(duì)現(xiàn)有的數(shù)據(jù)主義和機(jī)器算法進(jìn)行糾偏，回歸到內(nèi)容本身上來。

因?yàn)樗惴ū旧泶嬖诤芏嗑窒?，過度運(yùn)用用戶畫像進(jìn)行個(gè)性化推薦容易導(dǎo)致數(shù)據(jù)統(tǒng)計(jì)偏差，信息出現(xiàn)同質(zhì)化;過度追求商業(yè)利益，也容易導(dǎo)致信息低俗化。

企業(yè)平臺(tái)需要解決的是如何通過程序設(shè)計(jì)來保障公平、正義的實(shí)現(xiàn)，并借助于技術(shù)程序的正當(dāng)性來強(qiáng)化只能決策系統(tǒng)的透明性和可解釋性。而在研發(fā)出可靠的計(jì)算機(jī)輔助工具進(jìn)行數(shù)據(jù)處理之前，可以通過“人工推薦+智能篩選”相結(jié)合的推送方式。

另外，互聯(lián)網(wǎng)企業(yè)要積極參加個(gè)人信息保護(hù)的合規(guī)合作，制作企業(yè)數(shù)據(jù)管理制度和操作規(guī)程，對(duì)企業(yè)內(nèi)部員工進(jìn)行安全教育和培訓(xùn)，使得數(shù)據(jù)保護(hù)能力也成為企業(yè)發(fā)展中重要的評(píng)判指標(biāo)，把對(duì)于企業(yè)的被動(dòng)監(jiān)管變?yōu)樽月梢?guī)制模式，培養(yǎng)一個(gè)良性安全的數(shù)據(jù)流動(dòng)環(huán)境。

3、互聯(lián)網(wǎng)企業(yè)需要提升數(shù)據(jù)安全防御能力，對(duì)合作機(jī)構(gòu)的合規(guī)管理及責(zé)任劃分

在數(shù)據(jù)隱私侵權(quán)主體多樣化、數(shù)據(jù)隱私侵權(quán)模式復(fù)雜化的大數(shù)據(jù)時(shí)代，潛在的黑客攻擊行為越來越多，對(duì)企業(yè)數(shù)據(jù)安全保護(hù)造成了極大挑戰(zhàn)。

騰訊云安全李濱指出，如果企業(yè)無法管理好自身擁有的數(shù)據(jù)，本身就會(huì)帶來非常大的合規(guī)治理方面的約束和風(fēng)險(xiǎn)。因此，現(xiàn)階段大型互聯(lián)網(wǎng)企業(yè)要強(qiáng)化自身技術(shù)能力以對(duì)抗數(shù)據(jù)安全的威脅，確保相關(guān)敏感、涉密數(shù)據(jù)遵循統(tǒng)一的處理策略，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期技術(shù)性檢查，防止敏感數(shù)據(jù)泄露導(dǎo)致對(duì)公司、用戶以及社會(huì)產(chǎn)生嚴(yán)重影響。

同時(shí)，對(duì)于像騰訊、阿里巴巴、百度等巨頭互聯(lián)網(wǎng)企業(yè)來講，出于技術(shù)或業(yè)務(wù)需要必須進(jìn)行數(shù)據(jù)合作時(shí)，就要十分謹(jǐn)慎地選擇第三方處理者，選擇能夠采取足夠適當(dāng)?shù)募夹g(shù)和組織措施的處理者。對(duì)內(nèi)部、外部參與各類數(shù)據(jù)處理活動(dòng)的當(dāng)事人及其角色進(jìn)行梳理、評(píng)估和劃分，區(qū)隔作為控制者與處理者各自的職責(zé)及相應(yīng)的義務(wù)(曾麗潔，2020)。對(duì)于必須共享和轉(zhuǎn)讓給第三方機(jī)構(gòu)的用戶數(shù)據(jù)，要避免共享簡化，不能事先利用“一攬子”協(xié)議將用戶所有相關(guān)授權(quán)窮盡，而應(yīng)分項(xiàng)明示。不論第三方是否采取了同樣的隱私保護(hù)政策，與之進(jìn)行匹配數(shù)據(jù)交易前，還需要堅(jiān)持用戶自愿的原則，經(jīng)過用戶的同意方可操作。