今天，數(shù)據(jù)正在成為隱私最大的載體。一個數(shù)據(jù)極其充沛的時代，也是一個隱私極其脆弱的時代。

人人都有免于恐懼的權(quán)利，這是信息社會最起碼的安全準(zhǔn)則。中國社會要避免出現(xiàn)更多的基于個人信息的精準(zhǔn)詐騙，就必須從基礎(chǔ)做起，從規(guī)則、法律和標(biāo)準(zhǔn)做起，做到精準(zhǔn)治理、精準(zhǔn)打擊。

涂子沛

從1946年第一臺電子計算機發(fā)明，到1989年萬維網(wǎng)誕生，再到近年來數(shù)據(jù)的爆炸，信息時代一路狂奔，還從來沒有像今天這么沉重過。2016年8月19日，因為個人信息泄露而遭遇詐騙，準(zhǔn)大學(xué)生徐玉玉病發(fā)死亡，此后各地不斷爆出信息詐騙導(dǎo)致的惡性案件；2016年8月29日，又傳出清華大學(xué)一名教師被騙1760萬元，案犯掌握信息之精準(zhǔn)、騙局之精細(xì)，令人瞠目。

一條條信息的泄露，一道道防線的失守，一次比一次更嚴(yán)重的傷害，整個社會都在追問：是誰泄露了徐玉玉等人的隱私信息，讓騙子可以按圖索驥，實現(xiàn)精準(zhǔn)詐騙？又是誰通過數(shù)據(jù)操縱篡改他人的人生，連知識精英都未能幸免？

我認(rèn)為，這些案件表明，中國社會的個人信息保護體系還未成熟，要盡快面對和化解系統(tǒng)性的危險。

原因，是多方面的。

問題一：違法成本低

很多人驚詫，在中國，地下非法信息買賣就像買賣一根蔥一樣方便，是無法可依嗎？

實際上，雖然中國尚未出臺全國性、系統(tǒng)性的個人信息保護辦法，但立法層面的基本框架已經(jīng)具備。據(jù)專業(yè)人士統(tǒng)計，中國有至少40項有關(guān)個人信息保護的法規(guī)。

在國家層面，泄露公民個人信息已經(jīng)入刑。2015年8月通過的“刑法修正案”規(guī)定：“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金……”該條款常被指責(zé)處罰力度不夠，與當(dāng)前電信詐騙的猖獗程度及其帶來的嚴(yán)重后果不匹配。

2015年3月，國家工商總局頒布了“侵害消費者權(quán)益行為處罰辦法”，此外還有“電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定”“消費者權(quán)益保護法”“網(wǎng)絡(luò)安全法”等一系列法規(guī)都有相關(guān)規(guī)定。

在地方政府層面，也有諸多嘗試。如“杭州市網(wǎng)絡(luò)交易管理暫行辦法”“山西省公共信用信息管理辦法”都有涉及這個話題。

這些法律法規(guī)看起來很多，但散落在各個部門，不成體系。這說明，從中央到地方，都意識到這是一個問題，但如何增強立法修法系統(tǒng)性、科學(xué)性，進一步強化落實已是當(dāng)務(wù)之急。

舉一個例子。2015年12月，安徽省就該省的“消費者權(quán)益保護條例”向社會公開征求意見。其中有條款規(guī)定：“經(jīng)營者非法向他人提供消費者個人信息的，應(yīng)當(dāng)給予消費者經(jīng)濟賠償”，賠償?shù)念~度為“非法提供個人信息獲取的收益”和“給消費者造成的實際損失”兩者中的較大者，“實際損失難以確定的，賠償額度不低于500元；造成嚴(yán)重精神損害的，賠償額度不低于3000元”。

我當(dāng)時就為這“500元”和“3000元”的最低額度暗暗叫好，因為這明確地標(biāo)明了違法者的風(fēng)險和成本，大大降低了執(zhí)法的難度和舉證的門檻，清晰明確，可操作性強。

但令人意外的是，2016年2月，安徽人大宣布該條例正式實施，在其最終的定稿中，“500元”和“3000元”的最低罰款額度等規(guī)定都被一一刪除了，僅僅提出了經(jīng)濟賠償和精神損害賠償，到底多少，沒有明確。

可以想象，立法過程當(dāng)中的猶豫、反復(fù)和最終的妥協(xié)。這反映了我們的立法對這種違法行為的“惡”認(rèn)識不足、決心不夠大。

徐玉玉等人的遭遇表明，放任個人隱私數(shù)據(jù)泄露、倒賣，整個社會將付出慘重的代價。今天，我們每一個人都在源源不斷地產(chǎn)生數(shù)據(jù)，這些數(shù)據(jù)表征著我們的位置、狀態(tài)、習(xí)慣、喜好和需求，一旦這些個人數(shù)據(jù)落入詐騙者手里，人人都可能成為下一個“徐玉玉”。在精心構(gòu)置的精準(zhǔn)詐騙中，騙與被騙是一種獵與被獵、吃與被吃的關(guān)系。

總結(jié)起來說，法律規(guī)定不成體系，令出多門，一旦出現(xiàn)違法的問題，消費者不知道應(yīng)該向誰投訴、無法鎖定責(zé)任、茫無頭緒，管理部門也莫衷一是、互相推諉。再加上法律條文概念化、處罰標(biāo)準(zhǔn)模糊、操作性不強，受害者就會面臨舉證困難，即使證據(jù)確鑿，對不法分子的處理也無關(guān)痛癢，犯罪分子就更加囂張。

相比較而言，也有不少國家要規(guī)范得多，他們正在不斷地拓展著個人隱私保護的外延。如歐盟即將推出一項強化個人隱私保護的政策，規(guī)定手機等電子設(shè)備可以記錄一個人曾經(jīng)停留過的地理位置，相關(guān)企業(yè)將被禁止處理這些數(shù)據(jù)，除非經(jīng)過匿名處理或得到用戶的明確允許。

此外，從文化傳統(tǒng)和個人權(quán)利意識上來說，大眾的隱私意識比較淡泊，最終導(dǎo)致分散、寬泛的法規(guī)成了擺設(shè)、硬不起來。數(shù)據(jù)表明，2015年全國電信詐騙發(fā)案近60萬起，破案率卻不到3%。大量的案件，消費者只能自認(rèn)倒霉、不了了之。中國在個人信息保護上還處于比較初級的階段。

問題二：信息過度收集

除了立法的問題，數(shù)據(jù)的收集者也存在類似問題。當(dāng)下中國社會的數(shù)據(jù)收集，是一種泛收集、過度收集，沒有科學(xué)規(guī)劃，也缺乏權(quán)利意識。

再以徐玉玉一案為例，其助學(xué)金申請表格包含了26個數(shù)據(jù)項，其中不僅包括姓名、身份證號、聯(lián)系方式、住址，還有個人照片、生日、銀行賬號、學(xué)號、家庭經(jīng)濟情況、家庭成員信息等。這些數(shù)據(jù)不僅呈現(xiàn)了申請者自身的狀況，還反映了她的社會關(guān)系網(wǎng)。悲劇發(fā)生之后，各方討論，但鮮有人認(rèn)真地問一句：申請助學(xué)金真的需要如此多的數(shù)據(jù)嗎？

過度收集的問題還在于，大部分的數(shù)據(jù)在收集后，都沒有加密保存。今天的信息技術(shù)，已經(jīng)讓數(shù)據(jù)復(fù)制、轉(zhuǎn)移的成本非常低廉、過程非常簡單快捷。沒有加密的數(shù)據(jù)，基本上就是在“裸奔”。

簡而言之，數(shù)據(jù)被大量收集起來，又沒有加密保存，非但無用，一旦落入不法分子之手，還有副作用，甚至反作用。

因此，我們應(yīng)該質(zhì)疑、反思現(xiàn)行的數(shù)據(jù)收集體制和機制，重點是其合法性、正當(dāng)性和科學(xué)性。

回到上文中提到的“侵害消費者權(quán)益行為處罰辦法”，其實對數(shù)據(jù)收集的問題也有規(guī)定:“經(jīng)營者未經(jīng)消費者同意收集、使用消費者個人信息的……或在消費者明確表示拒絕，仍向其發(fā)送商業(yè)性信息的，都將受到處罰”。但在現(xiàn)實生活中，這條法規(guī)得不到有效的實施：中國仍然存在大量未經(jīng)個人同意就收集數(shù)據(jù)的，絕大部分人也不知道自己居然有拒絕的權(quán)利。

一個人一生填報的表格、提交的信息，其實非常可觀。1995年，美國聯(lián)邦政府做過統(tǒng)計，他們一年的信息收集任務(wù)需要65億個小時才能完成，這相當(dāng)于320萬人一年的工作量。也就是說，除了填表格，這320萬人什么都不用做，也需要一整年的時間才能完成美國聯(lián)邦政府下達(dá)的信息收集任務(wù)。到2009年，信息采集的時間已經(jīng)上升到99億小時。

這其中有相當(dāng)部分是重復(fù)采集，還有相當(dāng)一部分，一經(jīng)收集，可能只使用一次，便永遠(yuǎn)沉睡在檔案庫中。

過度收集會造成多方面的問題。我認(rèn)為這方面要借鑒發(fā)達(dá)國家的經(jīng)驗。美國有專門的“紙面工作精簡法”規(guī)范政府的信息收集，其規(guī)定，任何一個部門如果要向社會收集數(shù)據(jù)，必須得到信息管制辦公室（OIRA）的批準(zhǔn)。這個辦公室首先判斷該項數(shù)據(jù)在整個政府的范圍內(nèi)是否屬于重復(fù)收集，如果不重復(fù)、又要求合理，將會授予該部門一個“信息收集許可號”。這個“號”是政府收集數(shù)據(jù)的通行證，并限定了本次數(shù)據(jù)收集的范圍。缺少這個號，公民有權(quán)拒絕填報。

對于和個人身份相關(guān)的數(shù)據(jù)項，在采集之后，無論是靜態(tài)存儲還是動態(tài)傳輸，都必須加密。除了加密，政府還應(yīng)該設(shè)計完整的管理機制，例如，政府文件有絕密、機密、秘密、公開之分，相應(yīng)級別的公務(wù)人員只有權(quán)力查看相應(yīng)級別的文件。有關(guān)于公民隱私的個人數(shù)據(jù)也一樣，要有特定的權(quán)限才能接觸、查看。道理很簡單，如果一份申請表，需要層層遞交、審批，經(jīng)手的人越多，數(shù)據(jù)泄露的風(fēng)險也越高。

在加密手段尚未普及的情況下，應(yīng)該盡量減少、避免“過度收集”。這將從源頭上減少信息泄露的風(fēng)險，把個人數(shù)據(jù)的風(fēng)險降至最低。中國應(yīng)當(dāng)盡快出臺相應(yīng)的法規(guī)，明確統(tǒng)籌的部門，詳盡規(guī)定數(shù)據(jù)收集的目的、類型、流程和使用權(quán)限，抑制過度收集數(shù)據(jù)，這不僅可以提高數(shù)據(jù)收集的科學(xué)性，還可以減輕全社會的負(fù)擔(dān)、減少“信息擾民”。

問題三：數(shù)據(jù)監(jiān)管有漏洞

關(guān)于立法者、數(shù)據(jù)收集者，主要是制度建設(shè)。接下來，我想談?wù)剶?shù)據(jù)的管理者，管理得好不好，直接決定了制度的剛度。

2016年9月9日，公安部公布了徐玉玉案信息泄露的原因：嫌犯杜某利用技術(shù)手段攻擊了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”，并在網(wǎng)站植入木馬病毒，盜取了包括徐玉玉在內(nèi)的大量考生報名信息。

高考關(guān)系到千萬學(xué)子，網(wǎng)上報名系統(tǒng)如此脆弱，這令人心驚。2015年，國內(nèi)網(wǎng)絡(luò)安全界的翹楚“安恒公司”對2.6萬個教育行業(yè)網(wǎng)站進行了評估和監(jiān)測，發(fā)現(xiàn)了19.3萬個漏洞，平均每個教育網(wǎng)站漏洞7.4個。其他公共服務(wù)網(wǎng)站也同樣不容樂觀，25萬個政務(wù)網(wǎng)站有漏洞841萬個，平均每個政府網(wǎng)站漏洞34個。

也就是說，徐玉玉之案源于“外盜”，網(wǎng)站的脆弱為“外盜”打開方便之門，外盜猖狂。

但除了外盜，還有“內(nèi)盜”“監(jiān)守自盜”，更加防不勝防。

這方面我有親身經(jīng)歷。半年前，我離開阿里巴巴，在杭州注冊了自己的新公司。在走出當(dāng)?shù)毓ど叹值牡诙?，騷擾電話就來了：請問是觀數(shù)的涂總嗎？需要開發(fā)票嗎？需要購買復(fù)印機嗎？需要財務(wù)服務(wù)嗎？需要律師服務(wù)嗎……

一開始，這些電話來自杭州本地，一兩個星期之后，寧波、臺州等周邊地區(qū)的電話接踵而至。再接下來，河北、內(nèi)蒙古、廣東一個個跨省電話輪番轟炸。每接一個電話，我就知道，我的數(shù)據(jù)又被賣到了一個新的地方。在辦公室放下電話，望向遠(yuǎn)方，我仿佛看到一條地下數(shù)據(jù)買賣的黑色鏈條在不斷地延伸。

我在自己的微信公眾號吐槽了這段經(jīng)歷，引來了大量網(wǎng)友的共鳴：一名孕婦去醫(yī)院建卡，一回到家就接到月子中心的營銷電話；另一網(wǎng)友在人社廳報名參加一個資格考試，隨后就接到上百條買賣答案、修改成績的短信……林林總總，不一而足。

2016年8月，北京海淀法院就判處一起教育機構(gòu)“內(nèi)鬼”倒賣信息案，罪犯之一楊某先后在北京3家教育機構(gòu)工作。其間，楊某私自拷貝復(fù)制公民個人信息兩百余萬條，將這些信息分批出售，平均每條信息賣半分錢，共獲利1萬余元。

相當(dāng)一部分的個人數(shù)據(jù)泄露緣于公共機構(gòu)工作人員的監(jiān)守自盜。

立法分散、寬泛，執(zhí)法不力、管理乏力，黑客橫行、家賊難防，它們最終將徐玉玉們推向了深淵。如果數(shù)據(jù)的巨人行走在流沙之上，崩塌怎么避免？

問題四：運營責(zé)任不清

徐玉玉案暴露的另外一個重大問題，是關(guān)于電訊運營商的，作為電話、短信的平臺運營者，我認(rèn)為，其在大眾輿論中的責(zé)任也一直有模糊不清之處。

據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《2016中國網(wǎng)民權(quán)益保護調(diào)查報告》，2016年上半年，中國網(wǎng)民平均每天接到3個騷擾電話、2.9條短信。不難計算，平均一天就是十幾億個電話、十幾億條短信，不妨追問，這些業(yè)務(wù)每個月、每一年為運營商增加了多少收入？

這令我聯(lián)想到另一個社會熱點：阿里巴巴打擊“假貨”。作為中國最大的電商平臺，阿里曾因平臺上有假貨流通和欺詐行為備受批評。有人為之辯稱說，阿里巴巴只負(fù)責(zé)平臺的建設(shè)，對平臺上流通什么東西，阿里負(fù)不了責(zé)，也不用負(fù)責(zé)任。

這些論點站得住腳嗎？大家都看到了結(jié)果，從2015年下半年開始，受累于假貨，阿里的股票一跌再跌。

和阿里一樣，三大運營商也是一個平臺。電商平臺上流通的是實物，三大運營商平臺上流通的是虛擬信號。實話說，電商平臺上的實物商品千千萬萬，差異性很大，而三大運營商平臺上流通的虛擬信號相對單一，主要是短信和電話，要說打假的難度，遠(yuǎn)小于阿里。

我在阿里任職期間，對此深有體會。為減少假貨，阿里成立了2500人的專職打假隊伍，1萬多名“小二”參與；搭建了上百個模型，根據(jù)關(guān)鍵詞、照片、語義等維度進行監(jiān)控分析，一年間刪除了1.2億條涉假商品鏈接。阿里還繪制了一張展現(xiàn)了各地假貨活躍情況的“假貨地圖”，派人前往這些市場暗訪。

阿里打假的成果尚待時間檢驗，但其做法運營商應(yīng)該借鑒。

電話詐騙看似虛無，同樣有其可控的源頭。在現(xiàn)有大數(shù)據(jù)手段下，根據(jù)頻繁撥打陌生號碼、通話時間長短、是否為改號號碼等特征，甄別哪些號碼每天撥打騷擾電話、群發(fā)詐騙短信并不難。

但三大運營商是否做出足夠努力呢？

綜觀當(dāng)下電信欺詐泛濫的現(xiàn)實，我們不難發(fā)現(xiàn)，三大運營商不是管不好，而是管得不力，管得不到位。誠如工信部近日所言，“不排除個別基層電信企業(yè)為追求短期經(jīng)濟效益而罔顧社會責(zé)任。”

建議：成立隱私保護局

幾千年來，中國社會的隱私意識向來薄弱。

今天，人類“隱私”的表現(xiàn)形式，正在經(jīng)歷大的演變。從歷史上看，人類早期的隱私集中表現(xiàn)在以住宅為中心的物理空間上，意味著個人可以在這個空間內(nèi)不受監(jiān)督、不受干涉地發(fā)展個性、決定自己的生活方式；隨著新技術(shù)的產(chǎn)生和發(fā)展，對隱私權(quán)的侵犯已經(jīng)不需要物理的、強制性的侵入，即便在公共場所，個人也有隱私，隱私從以“住宅”為中心變遷到以“人”為中心；進入信息社會，隨著政府和商業(yè)機構(gòu)大規(guī)模收集個人數(shù)據(jù)，隱私又逐漸從以“人”為中心轉(zhuǎn)變到以“數(shù)據(jù)”為中心。

今天，數(shù)據(jù)正在成為隱私最大的載體。一個數(shù)據(jù)極其充沛的時代，也是一個隱私極其脆弱的時代。

最近一兩年來，在歐美發(fā)達(dá)國家，Google、Facebook等互聯(lián)網(wǎng)巨頭登上新聞頭條，往往不是因為其技術(shù)創(chuàng)新，而是因為隱私糾紛。因為它們擁有了大量的用戶數(shù)據(jù)，時時可能侵犯個人隱私。美國的大部分互聯(lián)網(wǎng)公司，也因此設(shè)置了首席隱私官，但迄今為止，我還沒有看到中國有企業(yè)設(shè)置這個職位。

隱私保護，是一個全球的問題，我認(rèn)為，未來幾十年，它將成為全世界大數(shù)據(jù)時代的頭號社會話題。

除了在大眾層面上普及隱私的觀念和意識，我們還需要調(diào)整監(jiān)管措施、改進治理方法。我的建議，是建立個人信息保護的統(tǒng)一立法、明確標(biāo)準(zhǔn)和執(zhí)法主體，成立專門的隱私保護部門，以期對信息泄露、電信詐騙等行為進行“精準(zhǔn)打擊”

例如在政府的監(jiān)管部門——工信部設(shè)立專門的部門。

據(jù)了解，工信部下設(shè)了三十多個司局，執(zhí)行相關(guān)職能的，有“網(wǎng)絡(luò)安全管理局”和“信息通信管理局”，在網(wǎng)頁上，我看到它們的職責(zé)有：“電信網(wǎng)、互聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)和用戶信息安全保護管理工作”“監(jiān)督管理電信和互聯(lián)網(wǎng)市場競爭秩序、服務(wù)質(zhì)量、互聯(lián)互通、用戶權(quán)益和個人信息保護”等相關(guān)職能。但我認(rèn)為，當(dāng)前網(wǎng)絡(luò)安全的范疇太大，任務(wù)很重，這兩大部門互有交叉、職責(zé)不清。

我建議工信部率先成立一個專門的“個人隱私保護局”。具體名稱可再商榷，但其職責(zé)就是制定相關(guān)隱私保護政策，打擊因為個人數(shù)據(jù)泄露導(dǎo)致的詐騙行為，保護公民的隱私權(quán)益，未來的各級政府，都應(yīng)該有隱私保護的工作部門。

這是一個時代的要求。在諸多發(fā)達(dá)國家，除了正在完善相關(guān)隱私保護法律，還在著力調(diào)整行政職能、設(shè)立專門的隱私監(jiān)管部門。美國的聯(lián)邦政府，下轄有七十多個部委直屬機構(gòu)，其中絕大多數(shù)不僅設(shè)立了首席數(shù)據(jù)官，還設(shè)立了首席隱私官。

人人都有免于恐懼的權(quán)利，這是信息社會最起碼的安全準(zhǔn)則。中國社會要避免出現(xiàn)更多的基于個人信息的精準(zhǔn)詐騙，就必須從基礎(chǔ)做起，從規(guī)則、法律和標(biāo)準(zhǔn)做起，做到精準(zhǔn)治理、精準(zhǔn)打擊。

（作者為《數(shù)據(jù)之巔》作者，大數(shù)據(jù)專家）