孫皖湘，宋婉冰，龔芳敏，龔逐流

移動(dòng)互聯(lián)時(shí)代，“大數(shù)據(jù)”滲透在公民的日常生活中，個(gè)人數(shù)據(jù)信息幾近透明，數(shù)字化記憶構(gòu)建的隱蔽型“圓形監(jiān)獄”對人的監(jiān)控更加嚴(yán)格，不僅監(jiān)視著公眾正在進(jìn)行的行為，甚至還能預(yù)測到某些可能發(fā)生的行為，但是公眾卻不知道其信息隱私是被何人、何時(shí)、以何種方式泄露出去的。2018年的“Facebook 泄密事件”讓許多國家政府都感到震驚，劍橋分析通過購買一個(gè)App（“this is my digital life”）的數(shù)據(jù)，竊取到超過5 000萬用戶在Facebook上的數(shù)據(jù)信息，可能被用于“美國大選”這樣的政治場景的廣告投放；2018年全球超過6 500起數(shù)據(jù)泄露事件被公開，其中泄露信息人數(shù)超過1億的事件就有12起。2020年，新浪微博出現(xiàn)超話#微博泄露5億用戶信息#，有網(wǎng)友發(fā)出新京報(bào)的報(bào)道截圖，在一些外網(wǎng)交易平臺(tái)12元可購買201條微博用戶信息，更有1.72億的用戶賬號信息被明碼售價(jià)；#人臉信息0.5元一份出售#，#315晚會(huì)曝光手機(jī)竊賊插件#未經(jīng)用戶同意后臺(tái)肆意獲取用戶信息，一名欺詐者竊取消費(fèi)者信貸公司數(shù)據(jù)致使#南非出現(xiàn)重大數(shù)據(jù)泄露事故，2 400萬個(gè)人信息被竊取#，類似于這樣的泄露事件熱搜話題，在近年的微博話題榜中數(shù)見不鮮。

用戶隱私信息在暗網(wǎng)公開售賣、上市公司竊取用戶隱私牟利等事件揭示著數(shù)據(jù)泄露觸目驚心的現(xiàn)實(shí)，該黑灰產(chǎn)業(yè)鏈正向我國13.9億移動(dòng)端用戶蔓延。數(shù)據(jù)聚集開發(fā)應(yīng)用的背后，平臺(tái)收集用戶數(shù)據(jù)建立大數(shù)據(jù)庫，這已經(jīng)成為互聯(lián)網(wǎng)行業(yè)最為重要的高價(jià)值資產(chǎn)。數(shù)據(jù)的使用不僅包括“電商比自己更了解自己”[1]的商業(yè)場景，也包括“可能影響美國大選類似的重要公共生活”的政治場景。數(shù)據(jù)隱私泄密的風(fēng)險(xiǎn)突出，隱患很大，因此，社交應(yīng)用在數(shù)據(jù)的獲取、儲(chǔ)存、處理和使用等過程中，如何才能有效的保障用戶的個(gè)人數(shù)據(jù)隱私安全，已經(jīng)成為當(dāng)前各國政府和互聯(lián)網(wǎng)行業(yè)所面臨的巨大挑戰(zhàn)。

1 互聯(lián)網(wǎng)大數(shù)據(jù)現(xiàn)狀及問題分析

就目前而言，造成互聯(lián)網(wǎng)企業(yè)的用戶個(gè)人數(shù)據(jù)隱私泄露的原因主要有以下3點(diǎn)：

1.1 互聯(lián)網(wǎng)服務(wù)商越界奪權(quán)，收集用戶數(shù)據(jù)成本低廉

大數(shù)據(jù)時(shí)代下，互聯(lián)網(wǎng)企業(yè)的平臺(tái)價(jià)值正退位給數(shù)據(jù)價(jià)值。為此，多數(shù)的社交網(wǎng)絡(luò)服務(wù)商們便出現(xiàn)先向用戶索取各種非應(yīng)用必需的權(quán)限，后為用戶提供服務(wù)，拒絕授權(quán)就無法使用的強(qiáng)制手段，這使得移動(dòng)設(shè)備權(quán)限內(nèi)的用戶所有行為都轉(zhuǎn)為數(shù)據(jù)，各個(gè)網(wǎng)絡(luò)接口都能隨時(shí)隨地進(jìn)行采集，被網(wǎng)絡(luò)服務(wù)商的后臺(tái)實(shí)時(shí)監(jiān)控并儲(chǔ)存在數(shù)據(jù)庫中，后期通過數(shù)據(jù)提取、分析、處理和加工來進(jìn)一步發(fā)掘價(jià)值。部分應(yīng)用商選擇開放應(yīng)用接口引入第三方應(yīng)用與其合作，通過共享用戶的數(shù)據(jù)信息以求更高的經(jīng)濟(jì)效益，這些早已成為互聯(lián)網(wǎng)企業(yè)的慣用手段。

在當(dāng)下收集用戶數(shù)據(jù)信息已經(jīng)遠(yuǎn)超出人們預(yù)期的大數(shù)據(jù)時(shí)代，互聯(lián)網(wǎng)企業(yè)獲取用戶信息的成本太低，對于收集到的數(shù)據(jù)安全就很難給予高度重視。如：BlueKai隸屬甲骨文云的數(shù)據(jù)平臺(tái)被曝出泄露了數(shù)10億條Web跟蹤數(shù)據(jù)記錄。其泄密原因?yàn)椋涸摲?wù)器處于不安全狀態(tài)而且完全沒有設(shè)置密碼，以至于數(shù)據(jù)被泄露到開放的Internet上，數(shù)十億條記錄可供任何人查閱。社交媒體收集的數(shù)據(jù)多數(shù)被用于應(yīng)用自身的個(gè)性化廣告投放的簡單商業(yè)場景，但其數(shù)據(jù)的最終開發(fā)使用者往往都不是最初收集用戶數(shù)據(jù)的社交媒體服務(wù)商，更多的時(shí)候它們被共享或者售賣給其他機(jī)構(gòu)，而當(dāng)數(shù)以萬計(jì)的用戶的個(gè)人數(shù)據(jù)信息被共享和售賣輾轉(zhuǎn)至更多機(jī)構(gòu)時(shí)，其安全的保障工作也因此變得更加困難[2]。

此外，很多企業(yè)都不具備“向外抵御黑客攻擊，向內(nèi)嚴(yán)防泄密者”的數(shù)據(jù)安全管理能力。如目前全球最大數(shù)據(jù)泄露——雅虎30億賬戶信息泄露事件，經(jīng)證實(shí)，其泄露的所有用戶賬號都是受到黑客攻擊。企業(yè)的管理漏洞，導(dǎo)致內(nèi)部人員無意授權(quán)或利益驅(qū)使主動(dòng)泄密的事件也時(shí)有發(fā)生，如美國的電信Verizon運(yùn)營商600萬用戶數(shù)據(jù)遭泄露事件中，由于Nice Systems（Verizon供應(yīng)商）員工不小心錯(cuò)誤操作導(dǎo)致用戶信息公開放在了互聯(lián)網(wǎng)。當(dāng)今公司間的人員流動(dòng)性逐漸增強(qiáng)，互聯(lián)網(wǎng)企業(yè)內(nèi)部人員離職導(dǎo)致用戶的個(gè)人數(shù)據(jù)資料信息泄密也是一個(gè)不可忽視的重要原因。根據(jù)研究結(jié)果顯示，67%的人表示他們使用前雇主的商業(yè)機(jī)密、敏感信息以及專利信息幫助其在新公司立足。70%到80%的數(shù)據(jù)泄露事件源于內(nèi)部工作人員的泄密。

1.2 隱私“變異”保護(hù)更難，用戶維權(quán)有待完善

我國是社交網(wǎng)絡(luò)注冊人數(shù)和用戶活躍人數(shù)的大國，而社交網(wǎng)絡(luò)中的個(gè)人隱私在傳統(tǒng)隱私的基礎(chǔ)上，產(chǎn)生了更多的新特點(diǎn)：隱私邊界擴(kuò)大化、經(jīng)濟(jì)性和精神性并存，裂變式泄露途徑，易復(fù)制和易流動(dòng)等，[3]這些特點(diǎn)都使得用戶數(shù)據(jù)信息在社交網(wǎng)絡(luò)中的復(fù)雜程度急劇加大。在數(shù)據(jù)安全事件發(fā)生后，企業(yè)無法第一時(shí)間進(jìn)行有效的控制、追溯和審計(jì)，增加了有效保障用戶數(shù)據(jù)信息安全的難度。

政府對國家范圍內(nèi)的互聯(lián)網(wǎng)企業(yè)平臺(tái)具有監(jiān)管職能，主要的治理手段包括行政監(jiān)管執(zhí)法和立法。目前，政府無法對企業(yè)平臺(tái)內(nèi)的所有日?；顒?dòng)進(jìn)行直接監(jiān)管。只能采用“個(gè)人信息專項(xiàng)治理”手段，通過制定實(shí)行相關(guān)的技術(shù)規(guī)范，接受“問題型”App舉報(bào)，以及對常用應(yīng)用程序進(jìn)行檢測評估等方式，來督促互聯(lián)網(wǎng)企業(yè)以及社交媒體軟件整改問題，并對違法違規(guī)行為進(jìn)行處罰。在立法層面，2016年我國頒布了《網(wǎng)絡(luò)安全法》，其中提出了個(gè)人信息保護(hù)的基本原則和要求，并將個(gè)人信息安全保護(hù)問題作為網(wǎng)絡(luò)信息安全的重要內(nèi)容予以規(guī)定，要求互聯(lián)網(wǎng)企業(yè)運(yùn)營者在其收集和使用用戶個(gè)人信息時(shí)，應(yīng)當(dāng)遵守相關(guān)法律法規(guī)的要求。基于此，App運(yùn)營者制定出隱私服務(wù)條款，但這些條款中存在的許多術(shù)語內(nèi)容對于用戶來說既寬泛又難懂，同時(shí)還存在著對使用數(shù)據(jù)信息的目的解釋含糊其詞的情況，用戶難以認(rèn)真閱讀并理解，往往都是選擇草率的勾選“同意并繼續(xù)”。因此，當(dāng)用戶為自己的個(gè)人信息泄露選擇法律進(jìn)行維權(quán)時(shí)，其所不明不白簽署的“平臺(tái)的用戶隱私服務(wù)條款”反而對于平臺(tái)來說是一個(gè)很好的保護(hù)傘。

1.3 公民隱私保護(hù)技能不足，個(gè)人信息安全意識仍需提高

現(xiàn)下社交媒體用戶實(shí)名制的時(shí)代，很多用戶仍然停留在社交網(wǎng)絡(luò)只是一個(gè)虛擬社區(qū)的認(rèn)知當(dāng)中，認(rèn)為自己的數(shù)據(jù)信息除了服務(wù)商，他人無法獲知。過分的信賴服務(wù)商，其影響就是用戶會(huì)在有意或無意發(fā)布信息之中泄露自己的個(gè)人信息。有時(shí)用戶為圖便利，會(huì)在社交網(wǎng)絡(luò)中存儲(chǔ)重要的個(gè)人隱私，認(rèn)為這樣不僅可以節(jié)省自己終端的存儲(chǔ)空間，還可以隨時(shí)隨地利用移動(dòng)終端登錄社交網(wǎng)絡(luò)查閱，然而當(dāng)個(gè)人的社交賬號丟失被盜，這也會(huì)將存儲(chǔ)在社交網(wǎng)絡(luò)上的個(gè)人信息暴露無遺。過分信賴社交網(wǎng)絡(luò)好友，隨意打開不明鏈接；授予小程序昵稱與位置信息采集；下載低星低評應(yīng)用程序附帶有不明插件對個(gè)人數(shù)據(jù)收集，這些都是用戶自身行為意識與操作不當(dāng)而導(dǎo)致的個(gè)人信息泄露的重要原因。

我國目前的網(wǎng)絡(luò)安全教育進(jìn)展比較緩慢，許多公民們?nèi)灾粚y行賬戶密碼，軟件支付密碼，身份證信息視作個(gè)人隱私信息，但其人臉識別記錄、移動(dòng)支付信息、朋友圈和微博內(nèi)容、信用卡消費(fèi)記錄以及醫(yī)療內(nèi)容等類似這些足以“定義”個(gè)體的數(shù)據(jù)信息，其實(shí)都屬于公民的個(gè)人隱私范疇。用戶群體對于自身的其他數(shù)據(jù)信息的防范意識缺失，網(wǎng)絡(luò)安全技能相對薄弱，加之隱私安全的維權(quán)意識不強(qiáng)，這些不足之處使得互聯(lián)網(wǎng)行業(yè)的用戶數(shù)據(jù)違法收集行為的肆意與泛濫，也為自身的信息被泄露埋下隱患。

2 大數(shù)據(jù)隱私保護(hù)實(shí)效提升策略

針對上述提出的用戶信息隱私安全保護(hù)的問題，建議從以下個(gè)角度采取應(yīng)對措施：

2.1 加強(qiáng)企業(yè)數(shù)據(jù)安全管理，建立行業(yè)數(shù)據(jù)安全自律組織

企業(yè)先要建立內(nèi)部完善的標(biāo)準(zhǔn)化、覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理機(jī)制；加快前沿?cái)?shù)據(jù)安全技術(shù)的研發(fā)工作，為數(shù)據(jù)安全管理技術(shù)賦能；并結(jié)合自身企業(yè)實(shí)際情況，積極部署企業(yè)數(shù)據(jù)防泄密系統(tǒng)，滿足存儲(chǔ)、傳輸、終端、云等各種應(yīng)用場景下的數(shù)據(jù)泄露防護(hù)需求，同時(shí)根據(jù)實(shí)際的需求對不同的部門設(shè)置不同的加密策略及相應(yīng)的控制策略。

行業(yè)可以建立由各服務(wù)商共同協(xié)商參與的互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)自律組織，立足數(shù)據(jù)安全與數(shù)據(jù)應(yīng)用協(xié)同發(fā)展，引導(dǎo)企業(yè)參與國家大數(shù)據(jù)安全規(guī)則制定，形成行之有效的行業(yè)規(guī)范，以確保用戶的數(shù)據(jù)信息安全。行業(yè)規(guī)范的內(nèi)容可以參考我國首例個(gè)人信息保護(hù)的國家標(biāo)準(zhǔn)——《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中提出的以下原則：目的明確、最少使用、公開告知、個(gè)人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確等[4]。不斷優(yōu)化數(shù)據(jù)的行業(yè)安全標(biāo)準(zhǔn)體系；開展行業(yè)數(shù)據(jù)安全治理水平評估，定期向社會(huì)公布企業(yè)保護(hù)個(gè)人數(shù)據(jù)安全的舉措與成果；積極宣傳數(shù)據(jù)安全法律法規(guī)，提升公眾數(shù)據(jù)安全意識，為數(shù)據(jù)安全治理營造良好環(huán)境。

此外，行業(yè)自律組織可以制定服務(wù)商、用戶信息擁有者和數(shù)據(jù)消費(fèi)者三者之間共同認(rèn)可的行業(yè)自律公約，讓數(shù)據(jù)共享的合法性得到保證。在非強(qiáng)迫條件下，征得用戶同意使第三方應(yīng)用程序，通過接口使用社交網(wǎng)絡(luò)中的個(gè)人數(shù)據(jù)時(shí)，要極力保障用戶信息隱私的安全，不可私自售賣與隨意分享。加強(qiáng)企業(yè)內(nèi)部管理，時(shí)常進(jìn)行互聯(lián)網(wǎng)企業(yè)員工的職業(yè)道德教育，嚴(yán)防某些內(nèi)部工作者利用職業(yè)便利，私自拷貝、販賣社交網(wǎng)絡(luò)中的用戶數(shù)據(jù)信息。

2.2 政府設(shè)立專項(xiàng)管理機(jī)構(gòu)，服務(wù)商依法整改隱私聲明

由企業(yè)和執(zhí)法者多方共同摸索，從國家層面實(shí)施合理的監(jiān)管措施：強(qiáng)化數(shù)據(jù)安全治理的頂層設(shè)計(jì)，確立數(shù)據(jù)安全防護(hù)能力標(biāo)準(zhǔn)，實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)總體可控；加強(qiáng)數(shù)據(jù)安全執(zhí)法，對互聯(lián)網(wǎng)企業(yè)的內(nèi)控機(jī)制進(jìn)行專項(xiàng)檢查和整治行動(dòng)，對違規(guī)濫用事件進(jìn)行嚴(yán)厲打擊。要求企業(yè)收集用戶信息必須以實(shí)現(xiàn)特定目的為界，不得越界。積極推進(jìn)個(gè)人信息保護(hù)立法，堅(jiān)持技術(shù)發(fā)展與信息保護(hù)平衡的原則，界定個(gè)人信息合法使用的范圍，明確個(gè)人的數(shù)據(jù)權(quán)利及權(quán)利救濟(jì)途徑，通過技術(shù)標(biāo)準(zhǔn)和安全保障措施健全個(gè)人數(shù)據(jù)泄露風(fēng)險(xiǎn)防控制度。完善打擊大數(shù)據(jù)犯罪相關(guān)立法，明確數(shù)據(jù)竊取、濫用與誤用的刑事責(zé)任，加大對危害數(shù)據(jù)安全行為的懲戒力度[5]。

目前僅通過微信公眾號“App個(gè)人信息舉報(bào)”讓網(wǎng)民自發(fā)對違規(guī)服務(wù)商進(jìn)行舉報(bào)這單一途徑，在監(jiān)管與機(jī)構(gòu)的方面還是存在不足。政府可以組建以同時(shí)精通網(wǎng)絡(luò)與法律的工作人員為核心的用戶數(shù)據(jù)信息隱私安全的專門機(jī)構(gòu)，對用戶注冊人數(shù)多、使用頻繁以及與日常生活密切相聯(lián)系的App隱私聲明和用戶的數(shù)據(jù)信息收集使用情況進(jìn)行不定期的隨機(jī)評估，并對有關(guān)公民的網(wǎng)絡(luò)數(shù)據(jù)隱私方面的事務(wù)進(jìn)行服務(wù)與管理。其業(yè)務(wù)范圍可以包括:監(jiān)管互聯(lián)網(wǎng)企業(yè)應(yīng)用程序，接收公民的個(gè)人數(shù)據(jù)信息投訴，處理 “信息隱私安全” 糾紛，指示侵權(quán)人停止侵權(quán)并賠償損失，協(xié)助法院、檢察院調(diào)查取證等工作內(nèi)容，有效的保障用戶隱私維權(quán)的可行性和高效性。

移動(dòng)端的程序運(yùn)營者可以根據(jù)2019年正式發(fā)布的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》進(jìn)行自查自糾，及時(shí)對旗下應(yīng)用的權(quán)限作出調(diào)整，本著為用戶的信息與財(cái)產(chǎn)安全著想和負(fù)責(zé)的原則，極力避免因?yàn)閼?yīng)用越界索權(quán)而面臨約談下架整改的局面。應(yīng)用程序的隱私聲明要注重實(shí)效，不能成為推卸自身責(zé)任的借口。不可強(qiáng)硬要求用戶提供數(shù)據(jù)進(jìn)行收集和使用，尊重用戶的隱私知情權(quán)，告知用戶收集信息的情況，服務(wù)商對用戶的數(shù)據(jù)信息的使用方式和使用期限要在服務(wù)條款里進(jìn)行顯著而易懂地標(biāo)述。

2.3 提高用戶安全意識，堅(jiān)決維護(hù)隱私安全

在享受互聯(lián)網(wǎng)企業(yè)和社交媒體給生活帶來溝通交流、開放分享的便利環(huán)境的同時(shí)，用戶也應(yīng)該知道自己的信息容易被泄露和非法采集。政府和行業(yè)自律組織應(yīng)該積極全面地開展公民網(wǎng)絡(luò)數(shù)據(jù)信息隱私安全教育，強(qiáng)化個(gè)人數(shù)據(jù)信息保護(hù)的宣傳工作，鼓勵(lì)公民維護(hù)個(gè)人隱私安全，讓公民從思想意識上高度重視社交網(wǎng)絡(luò)中的個(gè)人隱私保護(hù)，在實(shí)踐中養(yǎng)成良好的使用網(wǎng)絡(luò)習(xí)慣，如：經(jīng)常更改登錄信息、及時(shí)關(guān)閉非必要權(quán)限、謹(jǐn)慎向第三方頁面或小程序提供個(gè)人信息，不再使用App時(shí)及時(shí)注銷賬號等。

用戶在使用過程中對App在個(gè)人信息隱私方面存在不滿或被侵權(quán)，可以積極向公眾號“App個(gè)人信息舉報(bào)”反應(yīng)，或者尋求其他有效途徑進(jìn)行解決維權(quán)，充分發(fā)揮公眾自我的監(jiān)督力量，堅(jiān)決維護(hù)個(gè)人信息安全，讓更多的使用者在面對應(yīng)用的隱私聲明時(shí)，不糾結(jié)、不反感，在使用App時(shí)更加放心自己的隱私安全。

大數(shù)據(jù)的收集處理技術(shù)和開放共享要求，削弱了用戶對自我信息的處理權(quán)力，致使數(shù)據(jù)信息泄露的主要原因并不再僅是用戶自身，可能來自其他的多個(gè)方面。因此，數(shù)據(jù)安全的保護(hù)管理工作不可能一蹴而就、一勞永逸，要真正解決用戶信息的安全問題，就要加強(qiáng)企業(yè)與行業(yè)自律，嚴(yán)防黑客與“內(nèi)鬼”；不斷摸索尋求商業(yè)價(jià)值和公民權(quán)益之間合理的解決方案；亟待建立科學(xué)、長效的監(jiān)督管理機(jī)制與法律法規(guī)；提高公民自身的數(shù)據(jù)信息隱私保護(hù)技能和維權(quán)意識，盡最大的力量改善用戶信息隱私被肆意泄露的現(xiàn)狀。