本文来自微信公众号:潜望工作室(ID:qwworkshop),作者:姬煜彤(中山大学哲学系博士生),责任编辑:张辰茜 陈思棋 夏咏琪,责任主编:仓月,原文标题:《大数据时代个人隐私数据保护的挑战与思考》,题图来源:视觉中国


数据作为当今世界最为重要的资源之一,对于现代社会的发展具有难以估量的价值。但随之而来的数据滥用、个人隐私泄露等问题却令人担忧。而随着《数字安全法》《个人信息保护法》等新法的出台和实施,我国数据监管环境日渐趋严对互联网企业既是机遇也是挑战。


一、大数据时代个人隐私数据泄露已成为全球重大的社会问题


随着信息技术的飞速发展,“数据化生存”已逐渐成为人类社会运行的常态,数据在公共管理、科学研究、企业营销等领域发挥着重要作用。


疫情发生以来,利用大数据技术分析疫情扩散情况,为政府精准决策、科学防治疫情提供了数据支撑。以阿里巴巴、百度为代表的互联网企业,运用数据挖掘和分析技术对消费者购买行为和浏览偏好进行预测分析,生成更有针对性的内容推送和营销策略。


但是,数据在带来信息时代福利的同时亦会引发数据滥用、个人隐私泄露、企业商业秘密受侵犯等诸多问题。


纵观全球,隐私数据泄露的案例比比皆是,据统计,2020年互联网数据泄露总条数约为360亿条,数据泄露事件给企业造成的平均损失高达386万美元。2018年,Facebook上亿用户数据泄露事件引发世界舆论的关注。今年7月,Amazon因违反欧盟《一般数据保护条例》(GDPR)条例,被欧盟隐私监管机构处以7.46亿欧元罚款,这也是欧盟有史以来最大的数据隐私泄露罚款。


在我国,隐私数据泄露所涉及的范围日益扩大,陷入困境的行业、企业也越来越多。如美团、饿了么等外卖平台曾被爆出用户资料遭泄露、倒卖,最低不到一毛钱每条的数据,精确到了用户订餐内容、地址等私密信息;万豪集团旗下喜达屋酒店客房预定数据库遭黑客入侵,约5亿名客人的信息被泄露。


从以上的案例可以看出,在大数据时代,互联网平台大规模采集用户数据,并将用户的个人信息长期集中化储存,而数据一旦泄露就是大规模的群体事件不仅侵犯用户的隐私权、侵害公民生命财产安全,还将对互联网企业自身造成不可预估的经济损失,数据泄露后对企业声誉的负面影响也很难消除。


目前,面对个人隐私数据泄露的重大社会问题,许多国家、地区都出台了相关法律法规,试图从宏观角度,对数据隐私的保护提供强有力的支持。我国对个人信息保护的法律法规在近些年陆续出台,如《个人信息保护法》已于今年11月1日起施行,强调在严格保护个人信息的基础上,规范数据的利用与流通,《个人信息保护法》也与《网络安全法》《数据安全法》一起构筑起我国网络空间活动监管的三大基石。


笔者认为,我国数据监管环境趋严对互联网企业既是挑战也是机遇:新法在正式实施后具有权威性,处罚将有法可依;不过这也为鼓励科技企业站在更专业的角度去测评和整改现有平台数据保护的模式提供了机会。


二、大数据时代个人隐私数据保护的难点与挑战


1. 个人使用需求与数据自我保护的矛盾


在万物互联的大数据时代,各类互联网个性化服务和精准推送都无法离开对用户数据的采集。


比如,网购数据会被电商采集和识别、社交媒体使用数据会由运营商收集分析、网络检索行为数据被搜索引擎记录等等。虽然数据采集者在某一个时间和空间上只能截取“碎片化”的个体行为数据,但经过大数据技术对这些数据进行整合,就可以精准定位到某个个体以及与之相关的一系列隐私信息(吴卫华,2019)


在获得用户数据授权的方式上,最常见的是采用“注册即视为同意《隐私政策》与《Cookie协议》”的默认勾选或“一揽子”授权同意、概括式同意(叶开儒,2020)。当有用户在注册阶段质疑数据的过度采集,点击“不同意”信息被采集的按钮以拒绝Cookie的追踪后,结果往往是无法正常使用网站,并以“闪退”的方式退出网页。


但是,对网络平台有强烈使用需求的用户,他们为了能享受各大平台提供的服务,还是会主动让渡个人信息以获取使用的便捷性。更重要的是,虽然隐私权政策中有说明会把个人数据提供给第三方,却未提供第三方信息,通过格式条款使用户同意了各种不可预见的数据处理行为。


由此可见,用户的使用需求与数据自我保护的矛盾,是我国当前数据隐私保护的难题之一。


2. 利用数据追求利益最大化引起的数字权利滥用、数据垄断乱象的问题


数据对于现代互联网企业而言,可视为核心的资源优势和竞争优势,拥有大规模用户数据将有助于企业进行商业推广、精准营销、产品迭代等业务。各大网络平台在利用数据追求利益最大化的同时,也引发了个人信息滥用程度加重、企业数据垄断乱象频发的数据安全风险。


以网购平台的个性化推荐技术为例,许多网络用户会发现,当自己只是出于好奇或误点了一个商品链接,就会被不断地推送相似内容的产品。这种精准推送背后的逻辑是平台基于算法做出的自动化决策,不透明性使用户无法理解算法的机理,从而带来不公平性的问题。


更为严重的是,大型互联网企业中一旦有个别内部员工将企业收集的用户订单、浏览、消费记录等数据二次贩卖给其他公司,使用户数据被再次处理并作为其他公司盈利的手段,这不仅超出了用户授权个人信息给平台以换取便捷服务的合理预期,而且这无异于用户在网络空间中“裸奔”。


除了过度利用用户精准画像进行个性化推荐,基于数据垄断优势进行“大数据杀熟”“二选一”等侵犯消费者权益的行为,实际上都反映了用户不能自主把控数据信息所形成的算法决策。虽然欧盟GDPR条例已提出算法需要具有透明性、可解释性,但如何向用户解释算法仍亟待落实。


3. 企业数据安全保护面临外部攻击的挑战


当前,数字技术促使数据应用场景和参与主体日益多样化,数据安全的外延不断扩展,互联网企业数据安全保护面临外部攻击的风险和挑战。


首先,黑客利用互联网平台存在的安全漏洞入侵企业网站,窃取用户数据库导致个人隐私和企业机密泄露。特别是近几年“爬虫”技术的广泛应用,给予了很多不法人员对于数据窃取的可趁之机。


今年6月,河南商丘公开了一份判决书,显示有网络黑客对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有超过11.8亿条用户信息遭到窃取。黑客利用这些信息建了上千个微信群,每天用机器人在群里发淘宝优惠券,赚取返利。早期的互联网和网络邮件的领导者雅虎在遭到黑客攻击后,暴露了雅虎全部用户(超过30亿)的信息,这一事件是至今全球规模最大的单一网站数据泄露案,最终导致雅虎关张。


因此,网站的海量用户数据不仅是企业的核心资产,也是民间黑客攻击的主要对象,大型企业的数据安全管理在大数据时代面临更高的要求。


其次,企业在实现SaaS化服务过程中,会将数据与第三方机构交换与共享,但是,当企业对合作第三方收集使用用户数据的监测、管理不到位时,将会面临潜在的第三方风险。


在Facebook“泄密门”事件中,Facebook上5000万用户的个人信息被第三方机构剑桥分析公司收集,随后建立起用户画像,预测他们的政治倾向,并借助Facebook的广告投放系统,最终影响用户的投票行为。虽然本案的主要责任不在Facebook,但社交网络平台是剑桥分析公司在检测数据时最重要的依仗,Facebook负有不可推卸的责任。


利益驱使第三方机构非法获取、利用个人隐私数据获利的问题同样也是我国互联网企业数据安全保护面临的棘手困境之一。


三、应对大数据时代隐私数据保护难点的措施


1. 缓解个人使用需求与数据自我保护的矛盾可行路径


首先,大数据技术提供服务,离不开对用户数据的采集,但是,如果以一刀切的方式,拒绝提供所有的个人数据来进行数据隐私自我保护,又与消费者寻求优质网络服务以及规范互联网行业发展的需求相悖,在当前的互联网语境下并不适用。


今年9月1日正式实施的《数据安全法》中指出了数据区分的重要性,明确了数据分级分类保护的制度。进行数据分层保护,一方面可以从用户的身份角度考虑,综合用户的性别、年龄、职业等多方面维度进行隐私分级。对于自我保护能力较弱的儿童,其个人数据应列入敏感数据范围之中;另一方面是从数据隐私的内容进行划分,对于宗教信仰、政治观点、健康数据、生物识别数据等敏感数据,在泄露后会对个人隐私产生严重危害,应该是数据隐私自我保护的重点,需进行强力的保护,避免被采集和滥用。


其次,平台隐私政策在制定时需要同时考虑平台运行的需要与用户隐私感知的满足之间的关系,如过长的隐私政策文本会造成阅读量下降甚至客户流失,个人数据用于新的目的还需再次提醒并征得用户同意,可能导致用户一定程度的“同意疲劳”而不经阅读直接给出同意(曾丽洁,2020)


因此,我国互联网平台可以参考美国联邦贸易委员会(FTC)《公平信息实践准则》要求下的简化隐私政策的“最优实践”(BEN-SHAHAR O et al.,2016),并且加上警示标志增加用户的关注度。


此外,要更充分地保障用户的知情权,平台可以在显眼的位置注明Cookie的定义、如何使用 Cookie等信息,尤其是隐私权政策应该让用户清楚知道自己的个人信息会在何时被商业利用。


最后,我国民众也需要主动学习网络安全知识和隐私权方面的内容,如定期清理离线缓存文件及Cookies文件;在使用互联网软件时应仔细阅读相关隐私条款,实践中,许多用户并未认真阅读用户协议或隐私政策就直接点了“同意”,这就减弱了授权机制的实际警告效果;在正确判断软件的应用价值和隐私泄露风险,以及权衡各种利弊后再决定是否同意授权个人隐私数据。


2. 互联网企业要谨慎采用个性化推荐技术,并积极参加个人信息保护的合规合作


数据作为数字营销的核心要素,各大互联网平台通过收集用户数据用于内容推送、定向投放、精准营销等业务,以实现其利益最大化,但也由此引发了“算法歧视”“大数据杀熟”等诸多侵犯消费者权益的风险。


我国陆续出台和实施的《数据安全法》《个人信息保护法》,将会在一定程度上削弱部分企业的算法优势,给过度依赖用户数据的企业带来挑战。比如,很多效果广告的投资回报率可能会降低,精准广告投放会收到不小的冲击等。


面对新法新规,互联网企业需要对现有的数据主义和机器算法进行纠偏,回归到内容本身上来。


因为算法本身存在很多局限,过度运用用户画像进行个性化推荐容易导致数据统计偏差,信息出现同质化;过度追求商业利益,也容易导致信息低俗化。


企业平台需要解决的是如何通过程序设计来保障公平、正义的实现,并借助于技术程序的正当性来强化智能决策系统的透明性和可解释性。而在研发出可靠的计算机辅助工具进行数据处理之前,可以通过“人工推荐+智能筛选”相结合的推送方式。


另外,互联网企业要积极参加个人信息保护的合规合作,制作企业数据管理制度和操作规程,对企业内部员工进行安全教育和培训,使得数据保护能力也成为企业发展中重要的评判指标,把对于企业的被动监管变为自律规制模式,培养一个良性安全的数据流动环境。


3. 互联网企业需要提升数据安全防御能力,对合作机构的合规管理及责任划分


在数据隐私侵权主体多样化、数据隐私侵权模式复杂化的大数据时代,潜在的黑客攻击行为越来越多,对企业数据安全保护造成了极大挑战。


腾讯云安全李滨指出,如果企业无法管理好自身拥有的数据,本身就会带来非常大的合规治理方面的约束和风险。因此,现阶段大型互联网企业要强化自身技术能力以对抗数据安全的威胁,确保相关敏感、涉密数据遵循统一的处理策略,对网络系统进行定期技术性检查,防止敏感数据泄露导致对公司、用户以及社会产生严重影响。


同时,对于像腾讯、阿里巴巴、百度等巨头互联网企业来讲,出于技术或业务需要必须进行数据合作时,就要十分谨慎地选择第三方处理者,选择能够采取足够适当的技术和组织措施的处理者。对内部、外部参与各类数据处理活动的当事人及其角色进行梳理、评估和划分,区隔作为控制者与处理者各自的职责及相应的义务(曾丽洁,2020)。对于必须共享和转让给第三方机构的用户数据,要避免共享简化,不能事先利用“一揽子”协议将用户所有相关授权穷尽,而应分项明示。不论第三方是否采取了同样的隐私保护政策,与之进行匹配数据交易前,还需要坚持用户自愿的原则,经过用户的同意方可操作。


参考文献:

【1】去年,360亿条数据泄露!

[EB/OL].https://www.sohu.com/a/477118279_480379,2021-07-13.  

【2】亚马逊被欧盟罚款8.88亿美元:违反数据隐私法规[EB/OL].http://finance.sina.com.cn/stock/usstock/c/2021-07-30/doc-ikqciyzk8605468.shtml,2021-07-30.

【3】《中华人民共和国个人信息保护法》11月1日起正式实施 个人信息安全有了“防护锁”[EB/OL].http://k.sina.com.cn/article_2456473762_926ad0a202001hd61.html?display=0&retcode=0,2021-09-21.  

【4】吴卫华.个人隐私保护的伦理反思与体系建构[J]. 中州学刊,2019(4):166-172.

【5】叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J]. 法学评论,2020,38(01):106-117.

【6】数据安全问题升级:关键领域的影响、对策与机会[EB/OL].https://www.01caijing.com/article/283550.htm,2021-08-24.  

【7】《中华人民共和国数据安全法》正式施行 筑牢数据安全之盾

[EB/OL].https://m.thepaper.cn/baijiahao_14811208,2021-10-08.  

【8】 曾丽洁.欧盟《通用数据保护条例》框架下智能传播平台数据合规风险防控[J]. 武汉交通职业学院学报,2020,22(03):1-11+37.

【9】BEN-SHAHAR O,CHILTON A.Simplification of privacy disclosures: an experimental test[J].The Journal of Legal Studies,2016,45( S2) : 41-67.


本文来自微信公众号:潜望工作室(ID:qwworkshop),作者:姬煜彤(中山大学哲学系博士生),责任编辑:张辰茜 陈思棋 夏咏琪,责任主编:仓月