張茂月

(廈門大學(xué)，福建　廈門 　361000)

?

大數(shù)據(jù)時代個人信息數(shù)據(jù)安全的新威脅及其保護

張茂月

(廈門大學(xué)，福建廈門 361000)

摘要：在大數(shù)據(jù)時代，個人信息數(shù)據(jù)面臨不斷增加的知情權(quán)、安寧權(quán)、處分權(quán)和信息泄露的風(fēng)險，單純的“隱私權(quán)”本身尚不足以有效應(yīng)對各類新狀況，必須加快構(gòu)建“綜合治理模式”。除了制定專門的個人信息保護規(guī)范性法律文件外，還需要確立“告知—同意原則”作為信息收集和利用活動的基本原則，并強化技術(shù)化手段及打擊信息犯罪活動，以應(yīng)對大數(shù)據(jù)時代個人信息安全面臨的威脅。

關(guān)鍵詞：大數(shù)據(jù)；個人信息數(shù)據(jù)；隱私權(quán)；告知同意原則

1大數(shù)據(jù)的特性及其引發(fā)的個體信息數(shù)據(jù)保護危機

大數(shù)據(jù)在本質(zhì)上還是電子數(shù)據(jù)的一種，但是也有其自身獨特的特性。第一，數(shù)量巨大。早在2012年全球每天產(chǎn)生的數(shù)據(jù)就已經(jīng)達到2.5EB，這個數(shù)字還以大約每4個月翻一番的速度迅速增長[1]。第二，快速化。信息產(chǎn)生的速度常常比數(shù)量更加重要，MIT通過手機定位數(shù)據(jù)對“黑色星期五”當(dāng)天將車停在梅西停車場的消費者的數(shù)量進行推測，可以大致推斷出這一商家在當(dāng)天的營業(yè)額。第三，多樣性。大數(shù)據(jù)的形態(tài)多樣，包括了結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。此外，現(xiàn)代互聯(lián)網(wǎng)應(yīng)用呈現(xiàn)出非結(jié)構(gòu)化數(shù)據(jù)大幅增長的特點，來源形式多種多樣，包括各種信息、應(yīng)用更新、社交網(wǎng)絡(luò)的圖片、傳感器讀取的信息、手機的定位等，而且不少信息來源的重要方式都是新近才出現(xiàn)的。

但是，伴隨大數(shù)據(jù)而來的還有個人信息數(shù)據(jù)安全風(fēng)險的上升。與用戶相關(guān)的數(shù)據(jù)信息正在被逐步集中于少數(shù)幾個機構(gòu)，這些機構(gòu)能夠通過幾乎所有廣受歡迎的網(wǎng)站追蹤用戶的“網(wǎng)絡(luò)足跡”，而幾乎所有的防護技術(shù)都在突出問題的嚴(yán)重性和尋求替代性解決方法方面存在重大缺陷[2]。這些缺陷可能對公民個人信息數(shù)據(jù)造成強烈威脅，甚至那些看似無用瑣碎的信息通過不同方式的加工成為有用的信息。在數(shù)據(jù)安全的視角下，這一過程表現(xiàn)為大數(shù)據(jù)使得那些看似“安全”的數(shù)據(jù)碎片按照某種方式處理后，將重新拼接出完整的個人信息數(shù)據(jù)清單，甚至直接鎖定特定個體，從而對個人信息數(shù)據(jù)安全造成威脅。

2個人信息數(shù)據(jù)保護的傳統(tǒng)路徑及其存在的問題

2.1　大數(shù)據(jù)時代個人信息安全面臨的新狀況

大數(shù)據(jù)所引發(fā)的個人信息安全危機已經(jīng)引發(fā)學(xué)界的關(guān)注，但是對于如何應(yīng)對，學(xué)界有不同的意見。最為流行的觀點主張，繼續(xù)通過擴張民法中“隱私權(quán)”的外延來保護個人數(shù)據(jù)，認(rèn)為根據(jù)不同的保護對象和內(nèi)容，對大數(shù)據(jù)的隱私保護還可以進一步細(xì)分為位置隱私保護、標(biāo)識符匿名保護、連接關(guān)系匿名保護等[3]。大數(shù)據(jù)時代社會所面臨的局面遠(yuǎn)比隱私權(quán)提出的19世紀(jì)末期要復(fù)雜得多，整個社會關(guān)系的網(wǎng)絡(luò)化鏈接已經(jīng)無處不在，社會的聯(lián)網(wǎng)甚至已經(jīng)開啟由互聯(lián)網(wǎng)向物聯(lián)網(wǎng)邁進的進程，我們的信息安全受到不同于以往的安全威脅。

在以電話為代表的模擬數(shù)據(jù)時代，個人信息的暴露面是有限的，個人信息的傳遞方式也是單向和小范圍的，能夠大規(guī)模收集、儲存、調(diào)取公民個人數(shù)據(jù)的機構(gòu)也為數(shù)不多，主要是政府部門或者少數(shù)壟斷性的運營單位。在這樣的信息存續(xù)的形態(tài)下，“隱私權(quán)”制度足以提供個體所需的信息安全保護力度。

在大數(shù)據(jù)時代，先前基于信息壟斷獲取和保存機制形成的數(shù)據(jù)安全保障模式也逐漸失效?，F(xiàn)代社會獲取信息變得異常便捷，只要個體接觸網(wǎng)絡(luò)，就必然將其個人信息數(shù)據(jù)以各種形式傳遞給服務(wù)提供商和其他網(wǎng)絡(luò)運營者，信息收集和控制不再局限于有限的組織體，而是向所有有意愿獲取和利用個人信息的機構(gòu)擴散。更復(fù)雜的是，經(jīng)過多重交易和多個第三方渠道的介入，個人數(shù)據(jù)的權(quán)利邊界消失了，無法追蹤個人信息轉(zhuǎn)移的軌跡，也無法查明個人信息被侵犯的責(zé)任主體[4]。

2.2　隱私權(quán)與個人信息數(shù)據(jù)保護

首先，從權(quán)利屬性看，隱私權(quán)主要是一種精神性的人格權(quán)，并不過分強調(diào)其財產(chǎn)價值屬性，其救濟方式也是以精神損害賠償為主。而個人信息權(quán)集人格利益與財產(chǎn)利益于一體，既包括了精神價值，也包括了財產(chǎn)價值，而且主要是財產(chǎn)價值屬性[5]。大數(shù)據(jù)時代各網(wǎng)絡(luò)組織對個人信息數(shù)據(jù)的分析和利用也主要以獲取經(jīng)濟效益為目標(biāo)，而且大數(shù)據(jù)的特色在于，通過將閑散化的信息數(shù)據(jù)加工整合之后形成新的數(shù)據(jù)價值的方式使用個人信息，那些原本呈現(xiàn)“散狀分布”的碎片化信息本身很少涉及個人隱私，或者這些信息是在本人知曉并且允許的情況下提供，就不構(gòu)成“侵犯隱私”，所以難以通過隱私權(quán)的方式全面保護個人信息數(shù)據(jù)。

其次，大數(shù)據(jù)時代對個人信息數(shù)據(jù)的利用方式展現(xiàn)出新的趨向，超出了傳統(tǒng)隱私權(quán)的保護范圍。比如基于大數(shù)據(jù)對人們的行為進行預(yù)測，并依據(jù)有關(guān)結(jié)果采取相應(yīng)行動，這些活動難以為隱私權(quán)所涵蓋。在美國有家名為“x+1”的公司，利用追蹤技術(shù)來收集用戶的網(wǎng)站瀏覽記錄并形成數(shù)據(jù)庫。雖然它不記錄人們的姓名，但會通過個人的其他各項數(shù)據(jù)進行交叉比對和匯集，然后通過統(tǒng)計分析，推測上網(wǎng)者的個人喜好[6]。再如某在線音樂網(wǎng)站進行數(shù)據(jù)挖掘，通過個體聽歌風(fēng)格的變化，來推斷其消費行為的變化。常聽流行樂的男性突然開始聽新潮女生喜歡聽的流行歌，那就有較大概率表明此人在談戀愛。這個時候給他推薦美食、玫瑰和巧克力的廣告，效果好得驚人[7]。

最后，從保護措施來看，隱私的保護注重事后救濟，且主要采用精神損害賠償?shù)拿穹ūＷo方式加以救濟。個人信息的保護則以預(yù)防為主，且通過法律衡平信息主體和信息控制者之間的利益[5]。在大數(shù)據(jù)時代即使確知個人數(shù)據(jù)的隱私風(fēng)險，也常常無法簡單通過傳統(tǒng)的隱私權(quán)保護手段解決。在現(xiàn)代網(wǎng)絡(luò)社會，微博、微信、facebook等互聯(lián)網(wǎng)服務(wù)商既生產(chǎn)數(shù)據(jù)，又存儲、管理和使用數(shù)據(jù)，其服務(wù)的內(nèi)容和性質(zhì)決定了它們必然會接觸到用戶信息數(shù)據(jù)，無法簡單通過技術(shù)或立法手段限制其接近和獲得用戶信息。

所以我們有理由相信，大數(shù)據(jù)時代個人信息數(shù)據(jù)難以通過單一的隱私權(quán)保護制度進行規(guī)制，有必要采取新措施予以應(yīng)對。實際上問題不在于大數(shù)據(jù)是否增加了隱私被侵犯的危險，因為這已經(jīng)是事實，而在于它是否已經(jīng)改變了風(fēng)險的性質(zhì)。如果只是簡單地增加了風(fēng)險，現(xiàn)有的保護隱私的法律規(guī)范還能夠在大數(shù)據(jù)時代繼續(xù)發(fā)揮作用，但是如果問題已經(jīng)發(fā)生了質(zhì)的改變，則我們必須尋求新的解決辦法[8]。

3大數(shù)據(jù)時代個人信息數(shù)據(jù)風(fēng)險的新樣態(tài)

大數(shù)據(jù)時代個人信息數(shù)據(jù)侵權(quán)行為作為“網(wǎng)絡(luò)侵權(quán)”的最新樣態(tài)，已經(jīng)不止于“簡單地增加了風(fēng)險”，而是已經(jīng)逐步開始“改變了風(fēng)險的性質(zhì)”。

3.1　信息使用的知情權(quán)風(fēng)險——在用戶不知情的狀況下收集和利用信息

收集信息只是第一步，收集的目的是為了分析和利用信息創(chuàng)造價值。傳統(tǒng)商業(yè)模式下，一些商業(yè)主體也通過各種方式收集和利用客戶的信息資料作為商業(yè)決策的參考，但是這往往需要掌握第一手資料，并且這其中大部分是在客戶知情的情況下提供的有限信息。比如商場通過吸收會員獲得消費者的有限范圍個人數(shù)據(jù)，并判斷其購物需要，向其發(fā)送促銷信息。然而在大數(shù)據(jù)時代，在電子信息技術(shù)的支持下，網(wǎng)絡(luò)技術(shù)公司已經(jīng)無需獲得“第一手”的新資料，而是能夠通過已經(jīng)獲取的碎片化的數(shù)據(jù)信息“反向定位”出消費者的個人情況。在這一過程中消費者獲得足夠的知情權(quán)，甚至部分信息的提供和披露是在其本人的授權(quán)和知情的情況下進行的，但是對數(shù)據(jù)進行進一步的加工和拼接、形成新的數(shù)據(jù)，則是他們所無法預(yù)見的。然而，這一“再造”利用在大數(shù)據(jù)時代卻廣泛存在，個人信息使用的知情權(quán)未獲得足夠重視。

3.2　信息的“安寧權(quán)”風(fēng)險——在未經(jīng)同意的情況下推送信息和服務(wù)

在網(wǎng)絡(luò)購物時，當(dāng)我們通過某種平臺完成某項交易后，下次打開各類網(wǎng)頁時都會顯示和本次搜索相關(guān)的廣告，而且這些廣告還會隨著個人搜索興趣的轉(zhuǎn)變而轉(zhuǎn)變?？梢姰?dāng)消費者表露過某項需求信息并被識別后，互聯(lián)網(wǎng)公司就可以通過技術(shù)手段分辨出消費者的需求信息并向其精確推送廣告，即使消費者本人并未授權(quán)類似推送行為，消費者無法保障自身在網(wǎng)絡(luò)世界的信息安寧權(quán)益。對于具備高科技信息技術(shù)的互聯(lián)網(wǎng)公司來說，這在技術(shù)上并不困難。對業(yè)內(nèi)看來是一種廣告的精準(zhǔn)投放，但對消費者來說這是“被享受”的“服務(wù)”，這種推送活動在大數(shù)據(jù)的支持下更加隱蔽和精準(zhǔn)，能夠?qū)崿F(xiàn)“定制化服務(wù)”。

3.3　信息的“處分權(quán)”風(fēng)險——個人數(shù)據(jù)信息被隨意共享和交易

在數(shù)據(jù)被秘密收集的同時，還有一項更為可怕的活動是數(shù)據(jù)被秘密地共享甚至交易。在現(xiàn)實中大量個人信息數(shù)據(jù)被作為商品進行交易，但是對這些行為涉及何種違法行為卻不無爭議。而且除了一些信息“二道販子”外，一些“正規(guī)的公司”也涉足其中，比如2009年爆出的山東移動將用戶信息出售給“代理商”，并讓有發(fā)送垃圾短信需求的客戶通過該公司發(fā)送垃圾短信，嚴(yán)重?fù)p害了消費者對個人信息的支配和處分的權(quán)利[9]。但是現(xiàn)行法律對于這些交易行為未有明確定性，理論界對于信息數(shù)據(jù)的性質(zhì)也存在不同認(rèn)識。比如信息數(shù)據(jù)是否享有民法意義上的“所有權(quán)”？何種數(shù)據(jù)違法行為能夠成立侵權(quán)？這些問題都沒有一個明確的結(jié)論。

相對于赤裸裸的交易行為而言，“共享”信息顯然是一種更加公開的活動。數(shù)據(jù)庫維護者之間通過合作彼此共享信息，加大了個人信息數(shù)據(jù)的“暴露面”，信息所有者在這一過程中未被給予表達意見和做出決定的權(quán)利，他們對于自身信息數(shù)據(jù)的“處分權(quán)”未獲重視。2014年4月，阿里巴巴購入新浪微博公司18%的股份后，雙方確認(rèn)將在用戶賬戶互通、數(shù)據(jù)交換、在線支付、網(wǎng)絡(luò)營銷等領(lǐng)域進行深入合作。阿里巴巴希望通過用戶和大數(shù)據(jù)的推動，完善整個移動互聯(lián)網(wǎng)鏈條[10]。通過這些交易，互聯(lián)網(wǎng)巨頭之間將在用戶信息和交易數(shù)據(jù)方面實現(xiàn)“共享”，但是這種共享本身就是具有交易性質(zhì)的行為，而且這種共享對于個人信息數(shù)據(jù)安全的侵害在大數(shù)據(jù)時代更加值得擔(dān)憂，因為這些交易活動直接涉及大數(shù)據(jù)運用后的“成果”的交易，對方所獲得的將會是“赤裸裸”的信息數(shù)據(jù)或者直接信息數(shù)據(jù)的通道。

3.4　個人信息數(shù)據(jù)的被動風(fēng)險——信息數(shù)據(jù)的泄露危機

互聯(lián)網(wǎng)上存儲的個人信息數(shù)據(jù)還面臨著來自外部侵入的風(fēng)險，這種侵入常常使得原本隱秘的信息被廣泛泄露，這種風(fēng)險在大數(shù)據(jù)時代將非?？膳?，因為信息一旦泄露損失將難以估計。黑客攻擊是最常見的數(shù)據(jù)泄露風(fēng)險來源，黑客們通過后門程序、信息炸彈、網(wǎng)絡(luò)炸彈、D.O.S攻擊以及密碼破解等方式發(fā)動攻擊。近些年來，個人信息泄露的事件不斷發(fā)生，2014年11月27日，媒體爆出130萬學(xué)生考研信息遭泄露，包括考研者姓名、手機號碼、身份證號、家庭住址、學(xué)校、報考專業(yè)等敏感信息，引發(fā)社會憂慮[11]。

更加值得注意的是，在用戶信息被泄露后，數(shù)據(jù)庫的運營者常常拒絕將相關(guān)情況向用戶通報，致使用戶無法及時采取措施減少損失，造成信息“二次傷害”。為了應(yīng)對這一情況，各國紛紛立法加強數(shù)據(jù)庫信息披露義務(wù)。在美國，多達40幾個州制定法律，要求告知本州居民其個人信息因為數(shù)據(jù)庫安全缺口而被侵害的情況。歐盟的隱私權(quán)指令95/46/EC和加拿大的個人信息保護和電子文件法案(PIPEDA)均要求，基于意外泄露和電子攻擊造成的數(shù)據(jù)外泄必須予以披露，不得私下處理[12]。但是中國尚未做出類似規(guī)定，也使得消費者面臨更加嚴(yán)峻的信息泄露風(fēng)險。

4大數(shù)據(jù)時代個人信息數(shù)據(jù)危機的應(yīng)對

面對日益嚴(yán)峻的個人信息侵害風(fēng)險，建立或升級一個已經(jīng)存在的數(shù)據(jù)管理框架，是解決大數(shù)據(jù)運行問題的重要手段[13]。針對大數(shù)據(jù)時代下個人信息數(shù)據(jù)安全的新形勢，如何構(gòu)建一個全方位的綜合治理模式值得思考。綜合治理模式要求構(gòu)建一個包含數(shù)據(jù)形成、儲存、加工、使用和銷毀的全過程的監(jiān)控網(wǎng)絡(luò)，而完善個人信息保護法規(guī)，加強對違法犯罪行為的打擊，確立合理的指導(dǎo)原則，以及運用技術(shù)化手段應(yīng)對危機是其中重要組成部分。

4.1　制定和完善個人信息保護法規(guī)

在個人信息安全日益受到威脅的當(dāng)下，強化立法保護是應(yīng)對這一威脅的有效手段。德國出臺統(tǒng)一的立法保護個人數(shù)據(jù)資料，于1977年制定了統(tǒng)一的“聯(lián)邦資料保護法”。美國雖然沒有類似的統(tǒng)一立法文件，但是也通過眾多分散的立法文件確立了以隱私權(quán)為基礎(chǔ)的個人資料保護法律制度，確立了資料隱私權(quán)和自決隱私權(quán)[14]。美國1974年隱私權(quán)法案要求政府部門向個人公布與其相關(guān)的信息記錄內(nèi)容，并限制政府部門與他人或其他部門共享個體信息數(shù)據(jù)的行為。法案同時要求，政府在收集和處理個人數(shù)據(jù)信息時遵循“公平信息處理條例”[12]。

完善的法律制度是法律保護的前提，中國目前還沒有專門的個人信息數(shù)據(jù)保護法律文件。《個人信息保護法》作為保護個人信息權(quán)的專門法律，2005年就已經(jīng)完成專家建議稿，但是至今尚未出臺。在現(xiàn)階段有關(guān)個人資料的保護規(guī)范，主要有全國人大常委會于2012年12月通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，該規(guī)定明確國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。此外還散見于一些法規(guī)規(guī)章之中，例如《中華人民共和國電信條例》第66條,原則性地規(guī)定了電信用戶依法使用電信的自由和通信秘密受法律保護，除法律規(guī)定外，任何組織或者個人不得以任何理由對電信內(nèi)容進行檢查?！队嬎銠C信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等也僅僅原則性地規(guī)定，有關(guān)互聯(lián)網(wǎng)服務(wù)提供單位需要“為用戶提供良好、安全的服務(wù)”，而用戶“不得擅自進入未經(jīng)許可的計算機系統(tǒng)，篡改他人信息；不得在網(wǎng)絡(luò)上散發(fā)惡意信息，冒用他人名義發(fā)出信息，侵犯他人隱私；不得制造、傳播計算機病毒及從事其他侵犯網(wǎng)絡(luò)和他人合法權(quán)益的活動”。這些原則性規(guī)定能夠?qū)σ恍┥婕熬W(wǎng)絡(luò)的“違法行為”進行規(guī)則，但是卻無法應(yīng)對大數(shù)據(jù)時代一些涉網(wǎng)的“合法行為”對個人信息數(shù)據(jù)帶來的威脅。值得注意的是，2014年10月10日起施行的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(下稱《規(guī)定》)第12條規(guī)定，“網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者”公開“個人隱私和其他個人信息”的需要承擔(dān)侵權(quán)責(zé)任。同時，《規(guī)定》也確認(rèn)了以違反社會公共利益、社會公德的方式公開“自然人自行在網(wǎng)絡(luò)上公開的信息或者其他已合法公開的個人信息”和“以合法渠道獲取的個人信息”的侵權(quán)責(zé)任。但這一規(guī)定僅規(guī)定了將“公開”相關(guān)個人隱私和信息數(shù)據(jù)作為侵權(quán)行為進行規(guī)制，仍無法滿足在大數(shù)據(jù)時代個人信息數(shù)據(jù)的保護需要。

為了應(yīng)對大數(shù)據(jù)時代的信息安全挑戰(zhàn)，必須加快推動《個人信息保護法》的出臺。通過借鑒德國式的統(tǒng)一立法，提升數(shù)據(jù)立法保護，確立網(wǎng)絡(luò)服務(wù)提供者在信息數(shù)據(jù)泄露時的及時告知和信息披露的義務(wù)，增加個人信息侵權(quán)的預(yù)防和救濟措施，全方位保障個人信息安全。

4.2　確立“告知—同意原則”作為個人信息數(shù)據(jù)收集和使用的基本原則

“告知—同意原則”是國外信息安全立法和實踐領(lǐng)域通行的重要原則，是互聯(lián)網(wǎng)用戶知情權(quán)和選擇權(quán)的重要保障?，F(xiàn)實中各類主體均通過各種途徑收集個人信息，但是卻很少主動公開或者謀求社會公眾同意。美國《華盛頓郵報》于2014年11月20日發(fā)文稱，谷歌公司在人們使用其搜索引擎時，會偷窺其個人電子郵件、觀看網(wǎng)絡(luò)視頻等信息。文章舉例稱一名婦女使用谷歌搜索引擎一段時間之后，她的確切年齡、所用主要語言、涉及個人生活的電子郵件、個人喜好乃至所購置的電腦型號都會被谷歌掌握。但是谷歌并未公布這些信息收集行為，外界只能猜測其掌握用戶“提交的所有數(shù)據(jù)”[15]。

一些西方國家已經(jīng)確認(rèn),“告知—同意原則”為個人信息數(shù)據(jù)保護的重要原則。美國在其1997年頒布的《全球電子商務(wù)政策框架》(下稱《框架》)中就規(guī)定了“告知—同意原則”，該《框架》要求數(shù)據(jù)收集者應(yīng)當(dāng)告知消費者其收集的信息類型和使用方式，并提供限制使用和再利用個人信息的有效手段?！案嬷庠瓌t”通過賦予用戶知情權(quán)，使其能夠更好地判斷個人隱私的安全狀況后決定是否參與。根據(jù)這一原則，消費者在基于非正當(dāng)使用或披露個人信息而受到傷害時有權(quán)要求賠償[16]。德國憲法法院也于1983年通過判決的方式確立了“個人資料自決權(quán)”，并將個人對個人信息的權(quán)利確認(rèn)為憲法權(quán)利[14]。中國《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》也明確了網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。此外，還規(guī)定信息收集者收集、使用公民個人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。這些規(guī)定在一定程度上確立了“告知—同意原則”的要求。

“告知—同意原則”也有需要進一步明確的方面，比如信息收集者雖然也會提供類似“隱私保護須知”的項目供用戶閱讀，但是這類條款往往隱藏于選項卡的某個偏遠(yuǎn)角落，或者被設(shè)計成“長篇大論”，導(dǎo)致沒人愿意看完整個內(nèi)容，無法起到“告知”作用，也無法獲得用戶真實的“同意”。再如，數(shù)據(jù)在初次收集時無法預(yù)見到最具創(chuàng)新性的二次利用時，互聯(lián)網(wǎng)公司應(yīng)當(dāng)如何進行“告知”？在未事先告知的情形下，是否任何針對個人信息數(shù)據(jù)的分析活動都必須回頭去獲取每一位用戶的許可？這些都是“告知—同意原則”需要回答的問題[8]。過于寬松的標(biāo)準(zhǔn)無法起到保護個人信息數(shù)據(jù)的作用，但過于嚴(yán)格的告知同意義務(wù)將會限制數(shù)據(jù)潛力的發(fā)揮。

4.3　運用技術(shù)化手段應(yīng)對個人信息安全危機

運用技術(shù)手段應(yīng)對科技帶來的調(diào)整，不僅必要而且有效。在數(shù)據(jù)安全防護方面，除了使用防火墻和殺毒軟件等傳統(tǒng)方式外，用大數(shù)據(jù)技術(shù)應(yīng)對大數(shù)據(jù)時代的信息安全挑戰(zhàn)是一項有益嘗試。比如，為了應(yīng)對騷擾電話和短信，一些互聯(lián)網(wǎng)科技公司推出了基于大數(shù)據(jù)庫基礎(chǔ)上的信息攔截服務(wù)軟件。這類軟件通過建立“來電黑名單”數(shù)據(jù)庫，有效遴選和識別惡意來電和垃圾信息并進行攔截。微軟的新版IE9瀏覽器也開始允許用戶自行設(shè)置并開啟廣告攔截功能，來阻擋第三方廣告。類似的信息技術(shù)手段不僅能夠有效應(yīng)對新型數(shù)據(jù)安全威脅，更重要的是向我們展示了應(yīng)對信息安全威脅的新思路。

“匿名化”也是保護個人信息的有效手段。所謂匿名化就是將個人的身份信息從數(shù)據(jù)庫中抹去，這些個人身份信息包括姓名、地址、信用卡號碼、出生日期以及社保號碼等，剩余的數(shù)據(jù)才是可以被使用和分享的數(shù)據(jù)[8]。雖然這一措施也無法完全杜絕個人信息泄露的風(fēng)險，但是它有助于維護個人信息數(shù)據(jù)安全，是現(xiàn)階段可行的防護措施。

4.4　打擊個人信息數(shù)據(jù)相關(guān)的違法犯罪活動

中國對于個人信息安全的刑事立法并不十分完善，導(dǎo)致針對個人數(shù)據(jù)違法犯罪活動十分猖獗?；诖髷?shù)據(jù)時代信息數(shù)量的空前巨大和傳播速度的空前迅速，加強對這類犯罪活動的打擊尤為重要。中國《刑法修正案(七)》第253條規(guī)定了針對公民個人信息數(shù)據(jù)犯罪行為的刑事責(zé)任，但是該條規(guī)定略顯簡單，尚有不少需要明確之處。首先，該條規(guī)定并未對“公民個人信息”做具體的界定，現(xiàn)實中公民的個人信息內(nèi)容非常廣泛，是否都是刑法的保護范圍是有爭議的。其次，雖然該條規(guī)定的犯罪主體為一般主體，但是當(dāng)一般主體實施該項犯罪時要受到后半句中“上述規(guī)定”表述的限制。與前半段結(jié)合來理解，“上述規(guī)定”顯然應(yīng)當(dāng)指的是“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息”，其保護范圍有限，無法全面保障大數(shù)據(jù)時代個人信息數(shù)據(jù)的安全。再者，修正案規(guī)定了“情節(jié)嚴(yán)重的”才作為犯罪行為予以處罰，但是何為情節(jié)嚴(yán)重卻沒有具體規(guī)定，容易引發(fā)爭議，尚需要明確的界定。

參考文獻：

[1]Andrew McAfee,Erik Brynjolfsson.Big Data:the Management Revolution.Harvard Business Review,2012,(59-69).

[2]Balachander Krishnamurthy，Craig E Wills.Privacy Diffusion on the Web:a Longitudinal Perspective.[14-09-05].http://www2009.eprints.org/55/.

[3]馮登國,張敏,李昊.大數(shù)據(jù)安全與隱私保護.計算機學(xué)報,2014,(1).

[4]楊潔.大數(shù)據(jù)時代個人信息的司法保護.上海法制報,2014-08-27(B05).

[5]王利明.論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心.現(xiàn)代法學(xué),2013,(4):62-72.

[6]新華網(wǎng)：美國網(wǎng)民電腦被安裝64種追蹤技術(shù)隱私無處藏.[14-09-24].http://news.xinhuanet.com/zgjx/2010-09/06/c_13480127.htm.

[7]瑞星.大數(shù)據(jù)時代的個人安全風(fēng)險.[14-11-26].http://www.rising.com.cn/newsletter/news/2013-03-19/13371.html.

[8]Viktor Mayer-Schonberger，Kenneth Cukier.Big Data:a Revolution That Will Transform How We Live，Work and Think .New York:John Murray，2013:6.

[9]搜狐網(wǎng)：移動公司出售用戶信息十分鐘發(fā)1.5萬垃圾短信.[14-11-28].http://it.sohu.com/20090315/n262804573.shtml.

[10]新華網(wǎng).阿里巴巴5.86億美元入股新浪微博.[14-09-11].http://news.xinhuanet.com/fortune/2013-04/29/c_124648382.htm.

[11]新浪網(wǎng).考研報名信息遭泄露 1萬5買130萬用戶數(shù)據(jù).[14-11-28].http://edu.sina.com.cn/kaoyan/2014-11-28/1258445592.shtml.

[12]]June Jamrich Parson,Dan Oja.New Perspectives on Computer Concepts(Fifteenth Edition) .Singapore:Cengage Learning Asia Pte.Ltd，2013:536-537.

[12]]The White House.Building an Effective Data Governance Framework.[14-09-11].http://searchdatamanagement.techtarget.com/essentialguide/Building-an-effective-data-governance-framework#guideSection1.

[14]張楚.電子商務(wù)法教程(第2版).北京:清華大學(xué)出版社,2011:220-223.

[15]央廣網(wǎng)：美媒細(xì)述谷歌如何收集用戶信息 偷窺用戶88%行為.[14-11-29].http://tech.cnr.cn/techgd/201411/t20141121_516821065.shtml.

[16]The White House.A Framework for Global Electronic Commerce.[14-09-13].http://www.technology.gov/digeconomy/framewk.wpd.

(責(zé)任編輯沈蓉)

The New Risks of Personal Data Security in the Era of Big Data and Its Protection

Zhang Maoyue

(Xiamen University,Xiamen 361000,China)

Abstract：In the age of big data，personal data is facing the growing risks of infringement of the right to know，the right without disturbing，the right of disposition and risks of leakage of information，but“privacy”is insufficient to regulate all the risks we are facing today.So an“comprehensive management project”is needed，besides the formulation of specific personal information protection act，we should confirm“Note and Consent”as the basic principle of personal information protection，and also through means of technology and cracking down on crimes to cope with the threat personal data violation in the big data era.

Key words:Big data；Personal data；Privacy；Note and consent

中圖分類號:D913

文獻標(biāo)識碼:A

作者簡介：張茂月(1988-)，男，浙江麗水人，廈門大學(xué)法學(xué)院博士生；研究方向：法學(xué)理論、電子商務(wù)法學(xué)。

收稿日期：2014-10-08