大數據時代，個人信息如何保護

原載於《人民郵電報》2015年05月19日，作者王融時任中國信息通信研究院政策經濟所

當前，互聯網新技術新業務正改變著個人信息的收集和使用方式，對個人信息保護帶來巨大挑戰。雲計算讓個人信息遠離個人終端，用戶對於個人信息的控制能力大大降低，個人甚至並不清楚其數據的存儲位置；移動互聯網更讓信息收集變得無處不在，且所收集的信息高度個人化，比如通訊錄、照片、郵件、App應用的使用信息等。如果說雲計算、移動互聯網只是從量的層面加劇了個人信息保護的難度，那麼大數據的出現則是從質的層面衝擊了個人信息保護制度存在的基礎，對個人信息保護規則帶來深遠影響。

大數據帶來「個人信息」界定困境

大數據帶來了「個人信息」的界定困境。個人信息是個人信息保護法中的核心概念。法律適用的基本前提是所涉及的信息是否為個人信息。如果不是，則不會構成對個人權利的侵害，也無適用法律規範的必要。傳統的個人信息保護法對於個人信息的界定，一般以「識別」為核心標準，它是指與個人相關的，能夠直接或間接識別特定自然人的信息。「可識別性」是個人信息最為重要的特徵。儘管這是一個開放式的法律界定，但從個人信息保護法誕生的上世紀70年代看，具有「身份識別性」的信息是有限的。比如個人的姓名、家庭住址、電話號碼等。

然而互聯網技術業務的快速發展，已經將個人信息保護法的適用環境徹底改造。大數據的出現更是進一步模糊了個人信息與非個人信息的邊界。如果缺乏其他的數據源，很多信息將保持匿名的狀態。但是，在今天的網路新世界，有無數可以利用的數據源。企業甚至是普通個人都越來越容易獲得有關個人的大量信息。此外，軟體演算法和分析學的發展使得大量數據更易被關聯和聚合，大大增強了人們將非個人信息轉化為個人信息的能力。獲取信息以及將信息恢復身份屬性的成本正在急速下降。那麼問題來了，如果個人信息保護法固守傳統，僅適用於嚴格界定的「個人信息」，那麼在大數據環境下，數據利用的安全風險又如何被規制？如果個人信息保護法擴張個人信息的邊界，那麼在又將擴張到何種程度，才能在法律上重新找到保護公民個人權利與促進技術發展之間的新的平衡點？

此外，大數據也大大刺激了企業收集信息的動機。大數據的出現使得信息成為戰略級資源。今天收集的信息未必在當下就可以被利用，它所蘊含的價值可待未來發掘。在大數據的刺激之下，個人信息保護法中的基本原則——收集信息的限制和必要原則在實踐中不斷被突破，企業不僅收集實現業務目的所必須的信息，也會收集無關的信息。這也是移動互聯網中普遍存在APP超出業務目的、超出範圍收集用戶個人信息現象的重要原因。並且在雲計算技術的支撐下，企業可以更為長久地保存這些信息，以待日後挖掘。這意味著大量的個人信息不僅可能在今天被濫用，在幾年甚至幾十年後仍然可能被濫用。為提供此類收集行為的合法性，互聯網企業的隱私政策也越來越多地採取格式條款方式，對用戶的各類信息進行「一攬子」打包，賦予企業進行讀取、收集的權利。

個人信息保護制度面臨變革

在各類新技術業務特別是大數據帶來的巨大衝擊面前，個人信息保護制度將無可避免地面臨變革。激進的觀點認為：在當前的網路環境下，隱私已經消亡，個人信息保護政策已到了退出歷史舞台的時刻。從更遠的未來看，筆者並不否認這種論斷的可能性。因為技術本身對於價值觀念、法律制度的改造能力總是超乎人們的想像。就比如「00後」與「80後」在隱私觀念上已經有了顯著的變化，更年輕的一代更加積極主動地擁抱網路，將自己的生活狀態甚至心情感悟等日常生活的點點滴滴都公佈於網路，並從中獲得分享樂趣。不可否認，新技術新業務正在以「春雨潤物細無聲」的方式，默默地影響甚至改造著人們的隱私觀念。然而雖然這是一個變革的趨勢，但並不意味著當下的我們就可以輕鬆地丟棄隱私保護。相反，在日益強大的技術能力面前，現實中更多的呼聲是如何加強對個人信息的保護，如何對個人信息保護法加以改革，以適應技術變革帶來的新挑戰和問題。

四項措施保護個人信息安全

2014年5月，美國白宮發布了《大數據：抓住機遇，堅守價值》報告。報告指出：大數據分析所擁有的潛力，將逐步侵蝕我們長久以來在公民權利保護方面形成的價值基石。但在挑戰面前，人與數據的關係應當擴展，而不是壓縮。一方面，大數據技術能夠提高政府的監控能力，提升企業的市場洞察力，但大數據本身也蘊藏著解決信任、隱私、公民權利保護問題等方面的潛力。如果運用得當，大數據將成為社會進步的助推器。如果說上述論斷是一個「頂層設計」式的指導方針，那麼在這一方針之下，還需要制定更具體的措施：

一、提升數據處理活動的透明度。個人數據如何被企業收集以及在企業之間共享應當對消費者透明。開展大數據分析的企業應當在其網站設置專欄，列明參與數據收集和分享的公司名單，介紹其數據活動，並為消費者提供更好地控制其信息被收集和使用的方法。

二、建立更具有實際意義、更富有效率的用戶個人信息保護機制。儘管「知情同意」制度在很多場合下仍然有效，但顯然已不能滿足大數據應用場景。個人信息保護機制應當朝更有意義、更可執行、更與個人相關的方向改革。比如要求企業以更加簡潔易懂的方式告知用戶個人數據利用帶來的好處和弊端，而不是僅僅提供一個冗長複雜的隱私政策；要求企業遵循「隱私保護設計」原則，在產品的設計、研發、推廣、使用、市場退出等每個環節考慮用戶隱私保護要求，為用戶提供數據的全生命周期保護。

三、更加關注數據使用環節的安全風險。當前的個人信息保護法注重於用戶在個人信息「收集」環節的控制力。然而在新的網路環境下，隨著信息收集的日益普遍，以及信息收集與業務使用之間的緊密依賴關係，事前的控制力相對來說已經不再那麼重要。更重要的是用戶的信息在被使用的過程中，如何防止被濫用。比如針對大數據應用，企業要分析其相應的安全風險並提出與之匹配的保護措施。此外，「數據泄露通知」制度正在被更廣泛的引入立法，也反映了個人信息保護從注重事前知情同意到事後安全保障轉換的趨勢。

四、加強問責。對於在大數據應用中獲益的企業應當加強對其在個人信息保護方面的問責。這種問責不僅可以通過個人信息保護法律本身來追究，還可以通過合同機制進行傳導。因為在大數據應用產業鏈上，收集、處理數據的企業主體會更加繁多，數據的市場化交易也更加頻繁，更需要通過合同來約束相關方的數據處理行為。

推薦閱讀：