□文/ 张志伟
(首都经济贸易大学 北京)
[提要]在数字经济时代,大数据已经成为了企业发展的核心资产和竞争力。而对个人信息的处理与分析是大数据技术的重要基础。大数据技术广泛应用的同时,个人信息安全问题日益突出。平衡好个人信息的利用与个人信息的保护,事关经济发展与社会稳定。因此,有必要在促进数字经济健康发展的同时,保障信息主体个人信息安全,为数字社会的建设提供坚实的基础。
数字经济的核心资源——“大数据”为传统产业升级与国民经济发展提供了技术基础。大数据本身只是一个空洞的商业用语,但这并不意味着大数据没有意义,相对于不同主体而言有不同的含义。对于商家、企业来说,大数据是重要的战略资源,可以为其创造丰厚的商业价值。对于消费者、用户来说,大数据却是另外一个含义,大数据无时无刻不在收集与消费者相关的身份、财产等信息,从而实现差别化营销。区别于传统数据,大数据具有规模宏大、类型繁多、价值密度低、处理速度快的特征,这些特征为企业抢占市场先机、实现规模扩张提供了前所未有的空间与潜力。大数据背景下,以数据为核心资源的营运模式席卷各行各业。互联网行业利用大数据技术收集用户各类行为数据,以构建独一无二的“用户画像”,从而实现精准营销、个性化服务和广告投放。金融行业利用大数据对个人、企业进行消费能力、信用等级、财务状况等分析,从而实现用户管理、风险管控和运营优化。传统制造业也在利用大数据进行产品故障预测,提高优质工艺产品的产量,实现智能制造。在数字经济时代,大数据为企业带来了不可估量的商业及经济价值。从理论上说,大数据企业通过搜集用户行为,可以更好地了解消费者的需求,从而为消费者提供更为个性化的服务。以大数据技术在这些行业的应用模式来看,个人信息为大数据技术提供了重要的基础资源。然而,大数据在为数字经济发展注入强大动力的同时,也让我们的个人信息变得愈发“透明”。
探讨个人信息的价值,首先须明确个人信息的概念。目前,对于个人信息学界尚无统一定义,关于个人信息的概念散见于《网络安全法》《个人信息保护法》(草案)等法律法规中。结合相关规定,个人信息是“以电子或其他方式记录的与识别自然人有关的各种信息”,这些规定主要以“可识别性”作为个人信息的判定标准。个人信息包括但不限于信息主体的基本资料、身份信息、生物识别信息、社交平台账户信息、财产信息、教育工作信息等可以直接或间接识别自然人的信息。“直接识别”是指可以通过这些信息直接判断信息主体的身份,如生物特征、身份证号码、电话号码等都可以直接识别个体;“间接识别”是指需要结合其他信息共同判断信息主体的身份,如性别、兴趣爱好、地理位置等不能单独识别个体,但可以结合其他信息共同识别信息主体的身份。从法律属性来说,个人信息既包括个人健康、肖像、名誉等涉及人格利益的事项,也包括了著作和财产等涉及财产利益的事项。可见,个人信息是一种特殊的权利客体,兼具人格利益与财产利益。个人信息在体现信息主体人格利益的同时,还会涉及到个人的财产安全。对于民法学家来说,多关注个人信息的人格利益,而知识产权法学家更多关注个人信息的财产利益。从社会公共利益的角度看,不能仅仅因为个人信息的人格利益而放弃财产利益,也不能为个人信息的财产利益而放弃人格利益。个人信息虽与信息主体休戚相关,但对个人信息的充分利用也能增加社会福祉。
个人信息是大数据的基础,当大量信息经过大数据技术快速收集、存储、处理、分析并实现价值化连接,数据信息中所蕴含的商业价值如“滚雪球”般剧增。事实上,这是对个人信息的二次甚至多次利用。个人信息的初次使用是信息收集者和使用者第一次收集个人信息,如办理银行卡时提交个人身份证信息,注册社交网络账号时输入个人身份信息,注册电商平台账户时输入收件人及收件地址信息等。而对个人信息的二次或多次利用则是将收集到的大量个人信息进行整合、分析,从而得到企业所需要的直观数据,如消费者偏好等。以电子商务平台为例,大数据是电商行业崛起的有力推手。电商平台通过大数据搭建商家与用户沟通的桥梁,实现主营业务数据化。除此之外,电商平台还通过大数据对目标用户的个人信息进行关联化、可视化分析。比如,收集用户浏览记录、购物车中商品等信息判断用户消费偏好,从而向客户推荐其可能关注的产品与服务,实现精准营销。以客户个人喜好为出发点的营销策略,也为消费者提供了个性化服务。在这种模式下,电商平台收集到的信息越多,“用户画像”就越清晰,所带来的经济效益也呈指数型增长。这种“数据业务化”的运营方式,使大数据最大化实现价值变现。由于个人信息的价值密度低,单个主体的个人信息或片段式的个人信息难以为大数据所用,信息收集者和使用者需要收集足够多的信息才能实现价值变现。
随着网络技术的不断进步和数字经济时代的到来,大数据技术也带来诸多隐患。这些场景每天都发生在我们身边:进入公共场合扫码登记健康宝,获取地理位置信息,下载某个APP需要授权访问手机通讯录,浏览网页或电商平台时网络痕迹随时保存,付款时需要识别人脸信息……,信息收集无处不在,信息收集者和使用者同样面临着妥善保管用户信息的压力。全球数据泄露事件与日俱增,几乎所有数据泄露事件都涉及个人信息。比如下面这些著名的数据泄露案例:2016 年,互联网巨头雅虎证实有5 亿用户的账户信息遭到黑客攻击,内容涉及用户姓名、电子邮箱、出生日期和部分登录密码。2020 年,许多下榻米高梅国际度假酒店的客人的个人详细信息被公布在了一个黑客论坛上。不仅国外数据泄露事件层出不穷,国内网民遭遇信息安全事件的比例也在逐年上升。事实上,被报道的数据泄露事件只是冰山一角,尚未遭受损失或遭受损失较少的信息泄露案件并没有被媒体传播,日常生活中却随处可见个人信息被不法分子泄露。可见,个人信息安全已经成为世界各国面临的共同难题。
个人信息泄露的路径之一是信息收集者和使用者内部泄露,如圆通内鬼致40 万条快递信息泄露;之二是外来黑客攻击系统漏洞获取个人信息,如Facebook 曾被黑客盗走其至少5,000 万用户的账户信息。信息泄露后对信息主体的影响主要有以下几个方面:一是垃圾短信、骚扰电话扰乱人的日常生活,当个人电话号码泄露后,房地产、教育、医疗、保险等行业的不法分子为牟取经济利益,多采用垃圾短信和骚扰电话方式向客户推销。工信部数据显示,仅2020 年第一季度12321 网络不良与垃圾信息举报受理中心受理用户关于骚扰电话、垃圾短信的投诉共计15 万件。二是不法分子可能通过这些个人身份信息骗贷套现,导致信息主体在不知情的情况下承担了巨额债务。此类案件由信用卡骗贷群体衍生而来,多发于互联网金融平台,不法分子通过盗取信息主体身份证、银行卡、手机号即可完成套现。三是公民可能会遭到诈骗,个人信息泄露是电信网络诈骗成功实施的关键因素。不法分子在掌握个人信息的前提下,准确说出信息主体的姓名、身份证号、学校名称甚至消费记录等隐私信息时,足以取得信息主体的信任,并编造出“可信度”更高的骗局,从而对信息主体进行诈骗。
“法者,治之端也。”为保证用户信息安全,确保个人隐私不被侵犯,消除信息风险,首先要应用法治思维和方式。完善的法律体系建设是实现个人信息保护的重要前提。以《民法典》为原则,《网络安全法》和即将出台的《个人信息保护法》为具体实施细则可以为个人信息保护提供更为坚实的法律保障。切实保障消费者个人信息安全,还需要监管部门、信息收集者和使用者、信息主体三方的共同努力。首先,监管部门作为相关法律的具体实施者,亟须加大监督广度和深度,提高监督质量和力度。对于消费者个人来说,尚不具备判断商家所收集个人信息必要性、合理性的能力,监管部门应当提高技术手段帮助消费者进行判断。如定期抽查信息收集者和使用者对个人信息使用情况、检测系统是否存在安全漏洞,并及时向公众反馈调查情况,对违反相关法律规定的商家采取有力的打击和必要的惩罚措施。监管部门应当对信息收集者和使用者收集个人信息行为予以规范,明确其利用和隐私保护的规范。如收集与利用个人信息时遵循正当、合法、必要、同意的原则,同时保证及时清除不再需要的用户信息。其次,目前绝大部分信息收集者和使用者行业自治规范缺位,多数行业规范约束力不足、针对性不强。各行各业应当强化企业社会责任价值观念与合规发展理念,对个人信息的收集以最小化、必要性为原则,不收集、处理他人的私密信息,保障个人信息的合理使用。完善隐私保护政策,对于用户的账户信息、浏览记录等只在协议明示的范围内使用,保障信息主体“知情——同意”的权利,这样既可以实现精准营销,针对不同消费者提供个性化服务,又可以保护用户的个人隐私,一举两得。同时,对已收集的个人信息妥善管理,定期检查系统防火墙,避免内鬼盗取或黑客攻击。信息收集者和使用者掌握着用户的个人信息与切身利益,理应强化保护用户信息安全的责任感,拒绝滥用个人信息等违法行为。最后,信息主体也要提高自我防范意识,了解关于个人信息保护的相关法律规定,在使用商家服务时仔细阅读各种条款、协议,学会利用法律手段保障个人合法权益。管理好带有个人信息的电子和纸质资料,如健康码、快递面单、车票等,不随意点开来历不明的网站和链接,避免这些信息成为不法分子的可乘之机。对于敏感的涉及资产的信息,如银行卡号、信贷资料、投资理财等应当格外关注,必要时可在有关部门检查相关机构的营业执照及资质。信息主体应学会事前保护与事后救济相结合保障个人信息,事前保护可以减少很多可以避免的信息安全问题,而事后救济则为个人权益提供更有力的保障。
2020 年,数字经济规模占GDP 比重已近四成,对GDP 贡献率近七成,在国民经济中的地位越来越突出。但如果不及时采取措施解决个人信息保护问题,所带来的损失也将更加严重。个人信息保护需要监管部门加大监管力度、信息收集者和使用者加强自我规范、信息主体提高自我保护意识,三方共同努力,以营造更好的数字经济发展环境。
主要参考文献:
[1]李延舜.大数据时代信息隐私的保护问题研究[J].河南社会科学,2017.25(04).
[2]齐爱民.个人信息保护法研究[J].河北法学,2008(04).
[3]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018.40(03).
[4]姜盼盼.大数据时代个人信息保护的理论困境与保护路径研究[J].现代情报,2019.39(06).
[5]冯洋.从隐私政策披露看网站个人信息保护——以访问量前500 的中文网站为样本[J].当代法学,2019.33(06).