大數據時代用戶數據信息隱私保護路徑

孫皖湘，宋婉冰，龔芳敏，龔逐流

移動互聯時代，“大數據”滲透在公民的日常生活中，個人數據信息幾近透明，數字化記憶構建的隱蔽型“圓形監獄”對人的監控更加嚴格，不僅監視著公眾正在進行的行為，甚至還能預測到某些可能發生的行為，但是公眾卻不知道其信息隱私是被何人、何時、以何種方式泄露出去的。2018年的“Facebook 泄密事件”讓許多國家政府都感到震驚，劍橋分析通過購買一個App（“this is my digital life”）的數據，竊取到超過5 000萬用戶在Facebook上的數據信息，可能被用于“美國大選”這樣的政治場景的廣告投放；2018年全球超過6 500起數據泄露事件被公開，其中泄露信息人數超過1億的事件就有12起。2020年，新浪微博出現超話#微博泄露5億用戶信息#，有網友發出新京報的報道截圖，在一些外網交易平臺12元可購買201條微博用戶信息，更有1.72億的用戶賬號信息被明碼售價；#人臉信息0.5元一份出售#，#315晚會曝光手機竊賊插件#未經用戶同意后臺肆意獲取用戶信息，一名欺詐者竊取消費者信貸公司數據致使#南非出現重大數據泄露事故，2 400萬個人信息被竊取#，類似于這樣的泄露事件熱搜話題，在近年的微博話題榜中數見不鮮。

用戶隱私信息在暗網公開售賣、上市公司竊取用戶隱私牟利等事件揭示著數據泄露觸目驚心的現實，該黑灰產業鏈正向我國13.9億移動端用戶蔓延。數據聚集開發應用的背后，平臺收集用戶數據建立大數據庫，這已經成為互聯網行業最為重要的高價值資產。數據的使用不僅包括“電商比自己更了解自己”[1]的商業場景，也包括“可能影響美國大選類似的重要公共生活”的政治場景。數據隱私泄密的風險突出，隱患很大，因此，社交應用在數據的獲取、儲存、處理和使用等過程中，如何才能有效的保障用戶的個人數據隱私安全，已經成為當前各國政府和互聯網行業所面臨的巨大挑戰。

1 互聯網大數據現狀及問題分析

就目前而言，造成互聯網企業的用戶個人數據隱私泄露的原因主要有以下3點：

1.1 互聯網服務商越界奪權，收集用戶數據成本低廉

大數據時代下，互聯網企業的平臺價值正退位給數據價值。為此，多數的社交網絡服務商們便出現先向用戶索取各種非應用必需的權限，后為用戶提供服務，拒絕授權就無法使用的強制手段，這使得移動設備權限內的用戶所有行為都轉為數據，各個網絡接口都能隨時隨地進行采集，被網絡服務商的后臺實時監控并儲存在數據庫中，后期通過數據提取、分析、處理和加工來進一步發掘價值。部分應用商選擇開放應用接口引入第三方應用與其合作，通過共享用戶的數據信息以求更高的經濟效益，這些早已成為互聯網企業的慣用手段。

在當下收集用戶數據信息已經遠超出人們預期的大數據時代，互聯網企業獲取用戶信息的成本太低，對于收集到的數據安全就很難給予高度重視。如：BlueKai隸屬甲骨文云的數據平臺被曝出泄露了數10億條Web跟蹤數據記錄。其泄密原因為：該服務器處于不安全狀態而且完全沒有設置密碼，以至于數據被泄露到開放的Internet上，數十億條記錄可供任何人查閱。社交媒體收集的數據多數被用于應用自身的個性化廣告投放的簡單商業場景，但其數據的最終開發使用者往往都不是最初收集用戶數據的社交媒體服務商，更多的時候它們被共享或者售賣給其他機構，而當數以萬計的用戶的個人數據信息被共享和售賣輾轉至更多機構時，其安全的保障工作也因此變得更加困難[2]。

此外，很多企業都不具備“向外抵御黑客攻擊，向內嚴防泄密者”的數據安全管理能力。如目前全球最大數據泄露——雅虎30億賬戶信息泄露事件，經證實，其泄露的所有用戶賬號都是受到黑客攻擊。企業的管理漏洞，導致內部人員無意授權或利益驅使主動泄密的事件也時有發生，如美國的電信Verizon運營商600萬用戶數據遭泄露事件中，由于Nice Systems（Verizon供應商）員工不小心錯誤操作導致用戶信息公開放在了互聯網。當今公司間的人員流動性逐漸增強，互聯網企業內部人員離職導致用戶的個人數據資料信息泄密也是一個不可忽視的重要原因。根據研究結果顯示，67%的人表示他們使用前雇主的商業機密、敏感信息以及專利信息幫助其在新公司立足。70%到80%的數據泄露事件源于內部工作人員的泄密。

1.2 隱私“變異”保護更難，用戶維權有待完善

我國是社交網絡注冊人數和用戶活躍人數的大國，而社交網絡中的個人隱私在傳統隱私的基礎上，產生了更多的新特點：隱私邊界擴大化、經濟性和精神性并存，裂變式泄露途徑，易復制和易流動等，[3]這些特點都使得用戶數據信息在社交網絡中的復雜程度急劇加大。在數據安全事件發生后，企業無法第一時間進行有效的控制、追溯和審計，增加了有效保障用戶數據信息安全的難度。

政府對國家范圍內的互聯網企業平臺具有監管職能，主要的治理手段包括行政監管執法和立法。目前，政府無法對企業平臺內的所有日?；顒舆M行直接監管。只能采用“個人信息專項治理”手段，通過制定實行相關的技術規范，接受“問題型”App舉報，以及對常用應用程序進行檢測評估等方式，來督促互聯網企業以及社交媒體軟件整改問題，并對違法違規行為進行處罰。在立法層面，2016年我國頒布了《網絡安全法》，其中提出了個人信息保護的基本原則和要求，并將個人信息安全保護問題作為網絡信息安全的重要內容予以規定，要求互聯網企業運營者在其收集和使用用戶個人信息時，應當遵守相關法律法規的要求?；诖?，App運營者制定出隱私服務條款，但這些條款中存在的許多術語內容對于用戶來說既寬泛又難懂，同時還存在著對使用數據信息的目的解釋含糊其詞的情況，用戶難以認真閱讀并理解，往往都是選擇草率的勾選“同意并繼續”。因此，當用戶為自己的個人信息泄露選擇法律進行維權時，其所不明不白簽署的“平臺的用戶隱私服務條款”反而對于平臺來說是一個很好的保護傘。

1.3 公民隱私保護技能不足，個人信息安全意識仍需提高

現下社交媒體用戶實名制的時代，很多用戶仍然停留在社交網絡只是一個虛擬社區的認知當中，認為自己的數據信息除了服務商，他人無法獲知。過分的信賴服務商，其影響就是用戶會在有意或無意發布信息之中泄露自己的個人信息。有時用戶為圖便利，會在社交網絡中存儲重要的個人隱私，認為這樣不僅可以節省自己終端的存儲空間，還可以隨時隨地利用移動終端登錄社交網絡查閱，然而當個人的社交賬號丟失被盜，這也會將存儲在社交網絡上的個人信息暴露無遺。過分信賴社交網絡好友，隨意打開不明鏈接；授予小程序昵稱與位置信息采集；下載低星低評應用程序附帶有不明插件對個人數據收集，這些都是用戶自身行為意識與操作不當而導致的個人信息泄露的重要原因。

我國目前的網絡安全教育進展比較緩慢，許多公民們仍只將銀行賬戶密碼，軟件支付密碼，身份證信息視作個人隱私信息，但其人臉識別記錄、移動支付信息、朋友圈和微博內容、信用卡消費記錄以及醫療內容等類似這些足以“定義”個體的數據信息，其實都屬于公民的個人隱私范疇。用戶群體對于自身的其他數據信息的防范意識缺失，網絡安全技能相對薄弱，加之隱私安全的維權意識不強，這些不足之處使得互聯網行業的用戶數據違法收集行為的肆意與泛濫，也為自身的信息被泄露埋下隱患。

2 大數據隱私保護實效提升策略

針對上述提出的用戶信息隱私安全保護的問題，建議從以下個角度采取應對措施：

2.1 加強企業數據安全管理，建立行業數據安全自律組織

企業先要建立內部完善的標準化、覆蓋數據全生命周期的數據安全管理機制；加快前沿數據安全技術的研發工作，為數據安全管理技術賦能；并結合自身企業實際情況，積極部署企業數據防泄密系統，滿足存儲、傳輸、終端、云等各種應用場景下的數據泄露防護需求，同時根據實際的需求對不同的部門設置不同的加密策略及相應的控制策略。

行業可以建立由各服務商共同協商參與的互聯網行業數據自律組織，立足數據安全與數據應用協同發展，引導企業參與國家大數據安全規則制定，形成行之有效的行業規范，以確保用戶的數據信息安全。行業規范的內容可以參考我國首例個人信息保護的國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》中提出的以下原則：目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等[4]。不斷優化數據的行業安全標準體系；開展行業數據安全治理水平評估，定期向社會公布企業保護個人數據安全的舉措與成果；積極宣傳數據安全法律法規，提升公眾數據安全意識，為數據安全治理營造良好環境。

此外，行業自律組織可以制定服務商、用戶信息擁有者和數據消費者三者之間共同認可的行業自律公約，讓數據共享的合法性得到保證。在非強迫條件下，征得用戶同意使第三方應用程序，通過接口使用社交網絡中的個人數據時，要極力保障用戶信息隱私的安全，不可私自售賣與隨意分享。加強企業內部管理，時常進行互聯網企業員工的職業道德教育，嚴防某些內部工作者利用職業便利，私自拷貝、販賣社交網絡中的用戶數據信息。

2.2 政府設立專項管理機構，服務商依法整改隱私聲明

由企業和執法者多方共同摸索，從國家層面實施合理的監管措施：強化數據安全治理的頂層設計，確立數據安全防護能力標準，實現數據安全風險總體可控；加強數據安全執法，對互聯網企業的內控機制進行專項檢查和整治行動，對違規濫用事件進行嚴厲打擊。要求企業收集用戶信息必須以實現特定目的為界，不得越界。積極推進個人信息保護立法，堅持技術發展與信息保護平衡的原則，界定個人信息合法使用的范圍，明確個人的數據權利及權利救濟途徑，通過技術標準和安全保障措施健全個人數據泄露風險防控制度。完善打擊大數據犯罪相關立法，明確數據竊取、濫用與誤用的刑事責任，加大對危害數據安全行為的懲戒力度[5]。

目前僅通過微信公眾號“App個人信息舉報”讓網民自發對違規服務商進行舉報這單一途徑，在監管與機構的方面還是存在不足。政府可以組建以同時精通網絡與法律的工作人員為核心的用戶數據信息隱私安全的專門機構，對用戶注冊人數多、使用頻繁以及與日常生活密切相聯系的App隱私聲明和用戶的數據信息收集使用情況進行不定期的隨機評估，并對有關公民的網絡數據隱私方面的事務進行服務與管理。其業務范圍可以包括:監管互聯網企業應用程序，接收公民的個人數據信息投訴，處理 “信息隱私安全” 糾紛，指示侵權人停止侵權并賠償損失，協助法院、檢察院調查取證等工作內容，有效的保障用戶隱私維權的可行性和高效性。

移動端的程序運營者可以根據2019年正式發布的《App違法違規收集使用個人信息行為認定方法》進行自查自糾，及時對旗下應用的權限作出調整，本著為用戶的信息與財產安全著想和負責的原則，極力避免因為應用越界索權而面臨約談下架整改的局面。應用程序的隱私聲明要注重實效，不能成為推卸自身責任的借口。不可強硬要求用戶提供數據進行收集和使用，尊重用戶的隱私知情權，告知用戶收集信息的情況，服務商對用戶的數據信息的使用方式和使用期限要在服務條款里進行顯著而易懂地標述。

2.3 提高用戶安全意識，堅決維護隱私安全

在享受互聯網企業和社交媒體給生活帶來溝通交流、開放分享的便利環境的同時，用戶也應該知道自己的信息容易被泄露和非法采集。政府和行業自律組織應該積極全面地開展公民網絡數據信息隱私安全教育，強化個人數據信息保護的宣傳工作，鼓勵公民維護個人隱私安全，讓公民從思想意識上高度重視社交網絡中的個人隱私保護，在實踐中養成良好的使用網絡習慣，如：經常更改登錄信息、及時關閉非必要權限、謹慎向第三方頁面或小程序提供個人信息，不再使用App時及時注銷賬號等。

用戶在使用過程中對App在個人信息隱私方面存在不滿或被侵權，可以積極向公眾號“App個人信息舉報”反應，或者尋求其他有效途徑進行解決維權，充分發揮公眾自我的監督力量，堅決維護個人信息安全，讓更多的使用者在面對應用的隱私聲明時，不糾結、不反感，在使用App時更加放心自己的隱私安全。

大數據的收集處理技術和開放共享要求，削弱了用戶對自我信息的處理權力，致使數據信息泄露的主要原因并不再僅是用戶自身，可能來自其他的多個方面。因此，數據安全的保護管理工作不可能一蹴而就、一勞永逸，要真正解決用戶信息的安全問題，就要加強企業與行業自律，嚴防黑客與“內鬼”；不斷摸索尋求商業價值和公民權益之間合理的解決方案；亟待建立科學、長效的監督管理機制與法律法規；提高公民自身的數據信息隱私保護技能和維權意識，盡最大的力量改善用戶信息隱私被肆意泄露的現狀。