大數據時代中美保護個人隱私的對比研究

王敏+江作蘇

摘要：大數據應用可引領人類文明進步，同時也帶來新的工業污染——隱私侵犯。為了平衡個人、商業和公共利益，促進大數據產業的可持續發展，保護個人隱私的需求越發緊迫。本文歸納中關關于隱私保護的最新法規，發現雙方存三大區別：數量上存在“以一敵百”的懸殊；細則上存在八個方面的差別：理念上中國重尊嚴，美國重價值。作者還指出雙方立法中的不足，建議在法律例外處建立倫理規范，同時增強個人的自我保護意識，以“小數據”思維對抗大數據污染。

關鍵詞大數據時代；隱私侵犯；隱私保護；對比分析

一、大數據污染：隱私侵犯

2013年被稱為大數據元年，人類正式進入大數據時代（圖1）。大數據以迅雷不及掩耳之勢形成席卷全球的浪潮，在全世界范圍內成為加速經濟模式革新、優化政治體制改革、提升社會生產力、引領人類文明進步的利器。在美國，奧巴馬政府于2012年3月29日發布《大數據研究和發展計劃》，成立“大數據高級指導小組”，并于2014年5月發布全球“大數據”白皮書《大數據：抓住機遇，保存價值》；在中國，國務院于2015年9月5日發布第一份關于發展大數據的權威官方文件——《促進大數據發展行動綱要》，明確三年內（2018年底之前）建成國家政府數據統一開放平臺（圖2），正式將大數據列為國家戰略并為之布局。

然而，在大數據發展成為國家戰略的背景下，數據成為重要資源，一切個人信息都能轉化成數據，自動保存和記錄，容易被追蹤卻難以被刪除，個人處于全方位被泄密、被搜索、被監控的環境中，且極易遭受政治操控、經濟損失和精神侵害的風險和待遇。

政治方面，據中國互聯網新聞研究中心（CINC）2014年5月發布的《美國全球監聽行動記錄》披露，美國在全世界范圍內廣泛而秘密地監聽、監控，不僅涉及外國企業、全球民眾，還涉及到來自世界上35個國家的122名領導人，其中包括中國的最高領導層。美國政府通過竊取到的情報、信息和數據，對他國施加政治手腕，做到先發制人。

經濟方面，據互聯網安全中心于2015年11月發布的《現代網絡詐騙產業鏈分析報告》，中國網絡詐騙犯罪的“年產值”超過1152億元（此為不完全統計所得數據，實際值甚至在1500億以上），個人信息泄露是其主要誘因。據2016年2月發布的《加利福尼亞數據泄露報告》，在美國，信息泄露受害者中有67%的人成為詐騙案件的受害者，遭受到現實的經濟損失，僅信息泄露帶來的信用卡受騙損失就達30億美元。

法律方面，最為典型的是精神侵害如“人肉搜索”、“網絡追殺令”、“私照流傳網絡”等。此類事件多不勝舉，例如，從2006年的“銅須門”、“虐貓女”直到2013年的“埃及神廟到此一游”、“高中女生投河身亡”事件，2014年“地鐵9號線男子摸女生大腿”事件，2015年的“成都女司機被暴打”事件，都因個人隱私曝光而產生悲劇后果和惡劣影響。中國網民甚至因此被《紐約時報》等冠以“網絡暴民”的稱呼。實際上，在美國類似的事情也不鮮見，2014年9月好萊塢爆發艷照門，百余位好萊塢當紅女星的裸照被盜，通過互聯網迅速傳遍全球，給當事人造成巨大精神壓力。隨著大數據應用的深入發展和開放數據庫的廣泛建立，“人肉搜索”、“泄露私照”的“暴民”舉止必定會如虎添翼，越演愈烈。

正如鳳凰衛視董事局主席劉長樂所言：大數據時代的到來，導致一種新的工業污染的產生，即“大數據污染”。即個人信息被收集、加工、處理和利用的過程中所造成的網絡隱私問題泛濫成災，已由“隱憂”逐步演變為“明憂”，亟待解決。與傳統隱私相比，大數據時代個人隱私的保護面臨著更多的沖突和更大的挑戰，無論對中國還是美國都是個難題。本文對中美保護個人隱私的法律現狀作全面的對比研究，總結得失與啟示。

二、中國對個人隱私的保護

在中國，憲法和民法對隱私權有間接保護，卻無直接規定。1990年的《最高人民法院關于<中華人民共和國民法通則>若干問題的意見》第一次對公民的隱私權做出了司法解釋，直到2010年7月開始實施的《侵權責任法》，在第2條和第36條分別對傳統隱私權和網絡隱私權的保護作了規定。另外，《中華人民共和國刑法》第253條禁止國家機構的單位或個人，或者是金融、電信、交通、教育、醫療部門非法出售、提供或公開公民個人信息。

面對社交網絡的深入普及，大數據應用的迅猛發展，以及和深入普及和公民網絡隱私權不斷遭到侵犯的現狀，全國人大常委會于2012年12月28日通過《關于加強網絡信息保護的決定》（以下簡稱《決定》），明確而全面地提出保護公民的網絡信息?！稕Q定》共十二條，規定了侵犯個人信息的處罰辦法，并對大數據時代網絡服務提供者、其他企事業單位收集、使用公民電子信息的行為進行了規范。該《決定》是我國保護個人隱私信息最主要的一部法規，其主要內容如下：

一、“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息”；二、網絡服務提供者和其他企事業單位收集、使用個人信息或數據時，應遵循“合法、正當、必要”原則，“明示收集、使用信息的目的、方式和范圍，并經被收集者同意”，不得違反法律規定。第二至第六條均是針對網絡服務提供者收集、使用個人信息、數據行為，提出的安全、保密事項，第七至第九條是針對組織和個人的規定，第十條對主管部門提出要求，第十一條為處罰規定。

此外，一些包含相關條款的行業法律法規主要有：

1.質量監督檢驗檢疫總局于2012年11月5日通過的《信息安全技術公共及商用服務信息系統個人信息保護指南》，被稱為“數據保護總則”，于2013年2月1日起實施，比《決定》更具綜合性，體現了中國數據保護法未來的發展方向；

2.工信部于2013年6月28日通過的《電信和互聯網用戶個人信息保護規定》，從信息收集、使用規范、安全保障、監督檢查和法律責任等方面，對電信業務經營者、互聯網信息服務提供者收集、使用的用戶個人信息的行為作了詳細規定：

3.國家工商行政管理總局于2014年1月26日通過《網絡交易管理辦法》，其中第十八條對于“網絡商品經營者、有關服務經營者”收集、使用消費者或者經營者信息的行為進行了規制.提出了安全要求；

4.國家郵政局于2014年3月發布的《寄遞服務用戶個人信息安全管理規定》，加強了郵政行業寄遞服務中用戶個人信息安全管理；

5.中國銀監會發布的《銀行業金融機構信息科技外包風險監管指引》，適用于銀行將信息技術服務外包的風險管控；

6.國家衛計委聯合國家中醫藥管理局于2013年11月20日發布《醫療機構病歷管理規定》，從醫療記錄的保管、借閱、復制、封存與啟封以及保存等方面，加強對個人醫療記錄和健康信息的保護：

7.國家衛計委于2014年5月5日發布《人口健康信息管理辦法》（PHI Measures），為規范人口健康信息管理，促進人口健康信息的共享利用，推動衛生、醫療科學、事業發展。

由以上行業規范性規定可知，工信部和國家工商行政管理局是保護隱私信息、個人數據的主管單位。此外，法律雖無明文定義“敏感信息”，但從各行業的規定看，特殊規則主要適用于以下幾種個人數據：醫療記錄、健康信息、商業銀行收集的個人信息以及個人信用信息。

三、美國對個人隱私的保護

美國是世界上最先提出隱私權概念的國家，關于隱私及其保護的法律法規紛繁蕪雜。進人大數據時代，美國對個人隱私的保護同樣面臨諸多沖突和挑戰。例如，2014年9月美國好萊塢再次爆發艷照門。有外國黑客疑似利用蘋果公司的iCloud云盤系統的漏洞，盜取百余位全球當紅女星的裸照，并在網絡論壇發布，很快在全球范圍內引發轟動。相關社交網站表示已“用盡方法”封阻發布裸照的用戶，但絲毫無法阻止艷照的流傳速度。FBI和蘋果公司聯手調查也無濟于事。之后，全球各地網絡上出現大量以“明星艷照”、“艷照門事件合集”命名的壓縮文件和手機軟件，其中一些文件被植入木馬，會導致手機后臺私自下載軟件，不僅耗費用戶手機流量，還會竊取手機信息，侵害用戶隱私，觸發網絡隱私侵權的連鎖反應。在美國，隱私權的保護以行業自律為主、法律保護為輔，但由于界限不清、原則不明、利益沖突，行業自律的模式與時代潮流暫行暫遠，很難解決問題和維護網絡公民權利。

美國沒有一部規制個人數據收集和使用的獨立、綜合性法律，但有20多部特殊或較為特殊的隱私數據行業法規，以及50個州與地區各自制定的數以百計的隱私數據法規，例如，僅加尼福尼亞州就有25部以上的隱私和數據安全法。多種多樣、數量巨大的這類法律，相互重疊、吻合或抵觸，組合成一個法律體系。此外，政府機構和行業組織出臺了許多規定，盡管不具備法律效力，卻構成自我管理框架的一部分，亦成為管理者（如聯邦貿易委員會，FTC）頻繁使用的執法工具。FTC在職權范圍內規范不公平、欺詐交易，個人數據泄露成為其執法范圍增長最快的領域之一。

但是，越來越多跨州、跨境的數據流動造成的隱私侵犯，與各州不同的法律規定之間構成矛盾，成為個人隱私數據保護的挑戰之一。例如，2014至2015年間，美國的一些顯著變化主要有：

1.一系列的數據泄露總共約影響2120萬美國家庭，涉及姓名、社會安全賬號（SSN）、電話號碼、電子郵件、出生日期、住宅地址、儲蓄和信用卡號，以及雇傭信息（薪資狀況、離職補償金和離職理由）；2.聯邦貿易委員會發布的關于物聯網的報告討論到互聯汽車、互聯電器、健康監控器、攝像頭及其他設備對隱私和個人數據的侵犯問題；3.白宮發布了《消費者隱私權法》的“討論稿”；4.聯邦通訊委員會宣布對一家三次泄露數據的電信提供商處以2500萬美元的罰款。

2014年至2015年間，聯邦貿易委員會一直是隱私和數據安全法規的活躍執行者，主要有：

1.對一家公司提出指控。該公司跟蹤消費者在店內的位置，卻未提供選擇性退出選項，且未向消費者告知實情。

2.指控兩名數據庫侵犯者。二人在網上發布未加密的電子數據表，其中包含消費者的銀行賬戶、信用卡賬戶、出生日期、聯系信息、雇傭者姓名、消費者借貸信息。

3.處理了一家流行的社交媒體信息平臺，因其違背隱私策略收集地理位置數據，收集用戶通訊錄信息，并且未能較好地保護用戶數據，導致460萬用戶賬戶遭黑客入侵。

2012年，與兒童隱私相關的《兒童網絡隱私保護法》（COPPA）有了修訂，新修改部分于2013年生效。其中，最主要的修改是擴展了個人數據的定義，將地理位置數據以及cookies包含在內。聯邦衛生和公共服務部（HHS）宣布，向安克雷奇社區精神衛生服務公司處以15萬美元罰款，因其沒有較好地防范IT安全風險，導致個人的健康信息泄露。

2015年，美國聯邦引入的隱私法案包括：

1.s.1158（《消費者隱私保護法案》）建立起數據泄露安全通知的聯邦法律，受保護的數據類型涉及社會安全賬號、金融賬戶信息、網絡用戶名及密碼、唯一的生物識別數據（包括指紋）、關于個人的身體心理健康的信息、個人的地理位置信息以及獲取個人數字照片與視頻的途徑。該法優先于隱私保護不足的州法律，并促使隱私保護嚴格的州法律發揮效力。

2.H.R.2092（《學生數字隱私與父母權利法案》）禁止網站運營商及其他網絡服務商向第三方售賣學生個人信息，或者使用、公開學生的個人信息向其打廣告。該法案還規定向家長公開其孩子的網上信息，允許家長修正、刪除這些信息，下載有關其孩子的任何材料。

3.S.668（《數據經紀人責任以及透明法案》）要求數據經紀人采取措施，確保收集、處理和持有的個人信息的準確性；要求數據經紀人為個人提供免費查看自己信息的途徑；允許個人對于自己信息不準確的地方向數據經紀人提出更正的書面請求。

4.2015年，行業自我規范法規被拓展、延伸至移動互聯網環境中。

目前，已有許多管理個人數據的收集和使用的隱私相關聯邦法律。一些適用于特殊的信息類別，如金融或健康信息，或電信數據；另外一些適用于使用個人信息的活動，如電子營銷和商業郵件。此外，美國還有許多廣泛意義上的消費者保護法，盡管本質上不是隱私法規，但常被用于禁止涉及個人信息泄密的不公平或欺騙行為，并規定了保護個人信息的安全條款。一些最為著名的聯邦隱私法律包括：

1.《聯邦貿易委員會法》（FTC Act，15U.S.C.§§41-58），是一部聯邦消費者保護法，禁止不公平或欺騙性交易，并適用于線下和線上的隱私與數據安全政策。同時，聯邦貿易委員會（FTC）也是《兒童網絡隱私保護法》（COPPA，15U.S.C.§§6501-6506）的強制執行者。COPPA適用于從網絡收集兒童信息的行為，并規定了行為廣告的自我規范原則。

2.《金融服務現代化法案》（GLB Act，15u.S.C.§§6801-6827）管理金融信息的收集、使用和公開。該法律廣泛適用于銀行、證券公司和保險公司以及其他提供金融服務和產品的公司。GLB限制非公共個人信息的公開，在一些情況下要求金融機構提供其隱私實踐的通知，并允許數據主體對于是否分享其信息作“選擇性退出”。此外，國家銀行機構頒布的一些隱私規則，FTC頒布的《安全保障規則》（Safeguards Rule）、《處置規則》（Disposal Rule）、《紅旗規則》（RedFlags Rule），都與保護和處置金融數據相關。

3.《健康保險攜帶和責任法案》（HIPAA，42 u.S.C.§1301 et seq.）主要管理醫療、健康信息，可廣泛適用于醫療保健提供商、數據處理商、醫藥商及其他與醫療信息相關的實體?！秱€人可鑒定健康信息的隱私標準》（45 c.F.R.Parts 160and 164）適用于健康信息的收集和使用（PHI）；《電子健康信息保護的安全標準》（45 C.F.R.160and 164）為保護醫療數據提供了標準；《電子交易標準》（45 C.F.R.160 and 162））適用于醫療數據的電子傳輸。這些HIPAA標準是于2013年早期依據HIPAA“綜合規則”修訂而成。

4.公平信用報告法案（15 U.S.C.§1681）以及修訂后的《公平與準確信用交易法案》（Pub.L.No.108-159），適用于那些提供消費者報告信息的機構，這些信息涉及消費者的信譽度、信用歷史、信貸能力、個性以及對一個消費者信用或保險資格進行評估的總體聲望。

5.《控制濫發色情與營銷郵件法案》（15U.S.C.§§7701-7713，18 U.S.C.§1037）和《電話消費者保護法》（47 U.S.C.§227 et seq.）分別管理電子郵件地址和電話號碼的收集和使用。

6.《電子通訊隱私法案》（18 U.S.C.§2510）和《計算機欺詐與濫用法案（18 U.S.C.§1030）分別管理電信監聽和計算機篡改的行為。

除此之外，美國還有其他的一些法律和原則，對隱私信息的定義也因法律和規則的不同而有所區別，聯邦貿易委員會認為隱私信息是“可以聯系或區別一個人的信息”，同樣，對“敏感信息”的定義也因行業和法律的不同而不同。一般而言，敏感信息包括個人健康數據、金融數據、信用能力、13歲以下兒童的網絡信息，以及可用于身份盜竊或詐騙的信息。例如，美國國家數據安全泄密通知以及國家數據安全法律普遍包括姓名、政府身份號碼、金融賬戶或支付卡號，在一些州，健康保險、醫療數據和生物識別數據，以及網絡賬戶的用戶名和密碼等。

四、中美隱私保護的對比分析

中美都沒有一部綜合性的個人隱私保護法，但美國已經建立起一整套的法律體系，而中國在隱私立法上顯得非常薄弱。中美在法規數量和細則以及立法理念上都有較大差別。

（一）法律法規的數量相差懸殊

從法律法規的數量上講，美國有20多部特殊或較為特殊的隱私數據行業法規，以及50個州與地區各自制定的數以百計的隱私數據法規，多種多樣、數量巨大的隱私相關法律相互重疊、吻合或抵觸，組合成一個法律體系；中國原則上只有一部人大常委會通過的《關于加強網絡信息保護的決定》，其他7個相關部門的行政法規約為7部。其中，2013年2月開始實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》，被稱為“數據保護總則”，體現了中國數據保護法的發展方向，卻屬于行政法規，不具有法律約束力。從這個角度看，中國人口是美國的5倍，而隱私相關法律的數量上卻是“以一敵百”的懸殊，這與依法治國的理念極為不符。

（二）八類法規細則均有區別

具體而言，從敏感信息的定義、數據保護權威機構、是否設立數據保護執行官、數據收集和處理、數據傳輸、數據泄露通知與否、處罰措施、電子營銷管理等八個方面的細則對比如下：（表1）

以上八個方面的細則囊括了立法、司法、預防侵權和侵權處罰等階段，對比結果可以看出美國的隱私法律法規自成體系，而中國則處于初級階段，法律體系極不完備，很多情況下都無法可依。

（三）立法理念存實質性差別

在歐洲，隱私觀念是基于對個人榮譽和尊嚴的保護；而在美國，隱私與市場效率和國家安全密切相關。為了提升市場效率，促進經濟發展和產業升級，美國對個人隱私的保護以行業自律為主、法律保護為輔，因而沒有綜合性的隱私法，相關法律法規存在界限不清、原則不明、利益沖突的問題。例如，網絡的全球化帶來信息、數據流動的自由化、跨境化，但是美國聯邦法律與部門法律、各州法律之間存在區別，州與州之間存在不同，利益也有沖突，導致司法和執法時存在較大難度。同時，法律作為輔助手段的保護模式，有利于解放和發展信息產業生產力，促進大數據應用在一定程度上的自由發展，提升企業的經濟效益，促進經濟的增長和結構的升級。

相比之下，中國的隱私立法理念沿襲歐盟標準，將隱私權歸為“人格權”，但是，對隱私權保護的立法存在以下三方面的問題：1.立法較為分散，不成體系，并且法律位階不高；2.沒有明確隱私權在法律中的地位，對隱私權以間接保護為主，直接保護很少，尤其是對電子隱私信息保護的法律力度不夠；3.即便是明確提出保護公民個人隱私的《關于加強網絡信息保護的決定》，在相關規定上過于籠統，如對主管部門的職權范圍和相關措施的規定較為模糊，對違法者的懲罰措施也沒有明確提及。執法不具可操作性。

五、結語

大數據時代，開放數據可為所謂的文明進步做出巨大貢獻，例如，“促進創新、經濟發展和產業升級，履行政治責任，實現民主參與，提升公共服務效率”。但是，更多、更便捷的開放數據庫向公眾開放后，因包含著海量的個人數據，就意味著對隱私權利和個人利益產生更大的威脅。此外，信息和數據技術帶來私人定制服務的流行，這直接導致大量個人敏感數據唾手可得，造成實際的隱私侵犯后果和財產損失。為了平衡個人、商業、公共和全球利益，維持數據產業的可持續發展，保護個人隱私和數據的需求越發緊迫。

保護大數據時代的隱私權，除了國家政府部門在立法方面解決各自存在的問題，確立從根本大法到普通法、專門法和特殊人群法以外，還應在法律適用的例外處建立行業自律，實行二者結合的保護模式。此外，法律、自律都非萬靈丹，而且從周期和程序上講，技術的進步比法律的推進快很多，所以，法律管不到的地方，需要倫理來規范，畢竟法律構筑于倫理之上，倫理是法律之基。更為重要的是，網民應當增強自身的維權意識，圍繞著“我”的權利主體地位，以“小數據”思維維護個人隱私，明確我的信息“是誰在要，為什么要；我想給誰，給誰什么；是否公開，與誰分享；怎么保護；公開的范圍；侵權就得賠”，同時尊重他人的網絡隱私權。