陸峰

日前，百度CEO李彥宏關(guān)于“中國(guó)用戶愿意用隱私交換便捷性”的言論則令人咋舌。幾乎同期，滴滴利用大數(shù)據(jù)“殺熟”一事甚囂塵上。一時(shí)間，數(shù)據(jù)隱私保護(hù)成為業(yè)界熱議的話題。

我國(guó)個(gè)人信息保護(hù)存在巨大風(fēng)險(xiǎn)

隨著人工智能、新零售等行業(yè)迅速發(fā)展，數(shù)據(jù)被大規(guī)模使用，企業(yè)與用戶之間的摩擦明顯加劇。然而，國(guó)內(nèi)企業(yè)對(duì)數(shù)據(jù)的保護(hù)和使用仍然雜亂無章，信息泄露正以無孔不入的態(tài)勢(shì)入侵工作生活。利用獲取信息的特權(quán)，企業(yè)搭便車過度采集信息現(xiàn)象非常普遍。

不可否認(rèn)，在萬(wàn)物互聯(lián)時(shí)代，數(shù)據(jù)的戰(zhàn)略重要性與日俱增，但真正能實(shí)現(xiàn)商業(yè)價(jià)值的數(shù)據(jù)只是一小部分。能站在數(shù)據(jù)權(quán)力頂端的，很可能是那些能真正使用好數(shù)據(jù)的超級(jí)公司。

然而日前，百度董事長(zhǎng)兼CEO李彥宏在中國(guó)發(fā)展高層論壇上關(guān)于中國(guó)人對(duì)隱私問題的態(tài)度更開放、用戶可以用隱私來?yè)Q取便利的言論，激起了網(wǎng)民的廣泛討論。大家發(fā)現(xiàn)，即使安裝普通APP軟件，軟件要求用戶同意數(shù)十項(xiàng)的用戶隱私獲取權(quán)限方可安裝。被迫無奈用隱私換取便利已經(jīng)成為了大眾對(duì)當(dāng)前我國(guó)個(gè)人隱私保護(hù)現(xiàn)狀的共識(shí)。

隨著互聯(lián)網(wǎng)應(yīng)用日益融入到大眾生活中，個(gè)人信息被大量留痕在各類網(wǎng)絡(luò)服務(wù)平臺(tái)上，作為數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人最為寶貴數(shù)字資產(chǎn)，加強(qiáng)個(gè)人信息保護(hù)，不僅事關(guān)個(gè)人權(quán)益的維護(hù)，更是關(guān)系到網(wǎng)絡(luò)社會(huì)時(shí)代個(gè)人的幸福感和獲得感。

個(gè)人信息濫采濫用現(xiàn)象嚴(yán)重

目前，國(guó)內(nèi)企業(yè)采集用戶信息主要存在以下問題：一是個(gè)人信息濫采現(xiàn)象十分嚴(yán)重。目前大部分APP軟件在安裝過程中都或多或少存在獲取與軟件應(yīng)用功能無關(guān)的個(gè)人信息，主要包括個(gè)人通訊錄、地理位置、個(gè)人相冊(cè)等眾多信息訪問權(quán)限。以手電筒APP軟件為例，除了要求獲取電池和攝像頭訪問權(quán)限之外，還要求訪問用戶通訊錄和地理位置等與軟件功能無關(guān)的個(gè)人信息。

二是企業(yè)通過軟件服務(wù)獲取用戶個(gè)人信息后，究竟如何使用這些個(gè)人信息，是否存在信息倒賣或者過度挖掘等行為，用戶完全不知，也無法掌控。

三是用戶許可協(xié)議流于形式，盡管許多軟件在安裝過程中都有用戶許可協(xié)議步驟，但許可協(xié)議存在條款冗長(zhǎng)難以閱讀、霸王條款強(qiáng)迫用戶等行為，甚至像支付寶一樣替用戶勾選等現(xiàn)象也大量存在。

2014年8月，微博訴脈脈抓取使用微博用戶信息；2017年8月，騰訊指控華為榮耀Magic手機(jī)侵害了微信用戶的數(shù)據(jù)；2017年6月，順豐和菜鳥數(shù)據(jù)斷交門等大量類似事件中，雙方企業(yè)圍繞用戶數(shù)據(jù)的使用唇槍舌劍，但是作為數(shù)據(jù)所有者的用戶卻沒有任何發(fā)言權(quán)。

企業(yè)間個(gè)人信息之爭(zhēng)，普遍暴露了當(dāng)前個(gè)人信息保護(hù)存在以下幾點(diǎn)問題：一是個(gè)人信息被企業(yè)收集之后流通交易，流通情況個(gè)人是不掌握的。二是企業(yè)收集的個(gè)人信息，究竟誰(shuí)能用，誰(shuí)又不能用，作為主角的個(gè)人并沒有發(fā)言權(quán)。三是個(gè)人信息被企業(yè)采集后開發(fā)利用，企業(yè)只關(guān)心自身利益，個(gè)人用戶體驗(yàn)是次位的。

五大原因致個(gè)人信息泄露

法律法規(guī)不完善

《網(wǎng)絡(luò)安全法》和《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》中盡管對(duì)個(gè)人信息保護(hù)做了大量規(guī)定，但大多屬于方向性約束條款，缺乏可量化、可操作的執(zhí)行細(xì)則，導(dǎo)致企業(yè)在條款落實(shí)上有很大打插邊球空間，監(jiān)管部門在執(zhí)法上還有很大裁量空間余地。

互聯(lián)網(wǎng)信息服務(wù)等各類互聯(lián)網(wǎng)行業(yè)管理辦法中，對(duì)個(gè)人信息保護(hù)重視不夠甚至尚未提及，導(dǎo)致行業(yè)主管部門在行業(yè)管理時(shí)，只盯業(yè)務(wù)行業(yè)合規(guī)性，輕視對(duì)個(gè)人信息保護(hù)。

違法成本太低，處罰力度太小，幾萬(wàn)元、甚至幾十萬(wàn)元的罰款處罰措施，對(duì)大型互聯(lián)網(wǎng)平臺(tái)型企業(yè)而言，其威懾力度嚴(yán)重不足。

標(biāo)準(zhǔn)規(guī)范缺失

個(gè)人信息范圍、權(quán)屬和使用權(quán)限等標(biāo)準(zhǔn)缺失，尤其是針對(duì)網(wǎng)絡(luò)平臺(tái)和大數(shù)據(jù)挖掘情況下個(gè)人信息的界定和使用，沒有統(tǒng)一的國(guó)家或行業(yè)標(biāo)準(zhǔn)，致使很多個(gè)人信息開發(fā)利用處在灰色地段。

個(gè)人信息采集、存儲(chǔ)、清洗、使用等環(huán)節(jié)操作流程、業(yè)務(wù)規(guī)范、防護(hù)要求等沒有統(tǒng)一的標(biāo)準(zhǔn)，導(dǎo)致企業(yè)在個(gè)人信息開發(fā)、利用、保護(hù)等環(huán)節(jié)缺乏合規(guī)合法對(duì)標(biāo)尺度，個(gè)人信息濫采和濫用現(xiàn)象十分嚴(yán)重，風(fēng)險(xiǎn)隱患較大。

個(gè)人信息開發(fā)利用負(fù)面清單制度缺乏，導(dǎo)致許多企業(yè)在個(gè)人信息采集、開發(fā)、利用和保護(hù)中，都是摸著石頭過河，以試探政府和社會(huì)反應(yīng)為依據(jù)，來推進(jìn)個(gè)人信息開發(fā)利用創(chuàng)新，企業(yè)業(yè)務(wù)創(chuàng)新風(fēng)險(xiǎn)極大。

缺乏統(tǒng)一、規(guī)范、標(biāo)準(zhǔn)的個(gè)人信息采集和使用用戶承諾書，導(dǎo)致許多企業(yè)制定用戶承諾書，都是以考慮企業(yè)利益最大化為目標(biāo)，無限制強(qiáng)化自身權(quán)利，對(duì)個(gè)體保護(hù)自身信息存在極大不公平。

安全防護(hù)措施薄弱

部分政府部門和企業(yè)在個(gè)人信息的采集、存儲(chǔ)和使用中安全防護(hù)基礎(chǔ)措施保障不到位，難以應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)、新技術(shù)應(yīng)用、技術(shù)服務(wù)外包等各種條件下個(gè)人信息保護(hù)需求。

個(gè)人信息保護(hù)技術(shù)攻關(guān)研究和推廣應(yīng)用步伐滯后，尤其是針對(duì)移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等條件下，個(gè)人信息保護(hù)技術(shù)支撐能力不足，技術(shù)存在不成熟、未體系化等系列問題。

政府和企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)制度不完善，網(wǎng)絡(luò)、技術(shù)、人員、外包等多個(gè)環(huán)節(jié)制度不健全、不系統(tǒng)、不精細(xì)，個(gè)人信息泄露和濫用風(fēng)險(xiǎn)極大。

個(gè)人信息保護(hù)透明度不高，政府部門和企業(yè)對(duì)個(gè)人信息開發(fā)、利用和保護(hù)等工作主動(dòng)披露意識(shí)不強(qiáng)。

政府監(jiān)督檢查手段滯后

政府監(jiān)督檢查手段滯后，技術(shù)支撐保障能力不足，傳統(tǒng)線下檢查手段，難以適應(yīng)對(duì)數(shù)字化、網(wǎng)絡(luò)化和在線化服務(wù)中個(gè)人信息采集和使用監(jiān)管需要。

針對(duì)含有大量個(gè)人信息的信息系統(tǒng)和網(wǎng)絡(luò)平臺(tái)，缺乏專業(yè)性、系統(tǒng)性、針對(duì)性的個(gè)人信息保護(hù)測(cè)評(píng)和個(gè)人信息等級(jí)保護(hù)制度。

尚未依據(jù)個(gè)人信息內(nèi)容和規(guī)模實(shí)行分級(jí)分類使用許可制度，導(dǎo)致不具備安全防護(hù)和風(fēng)險(xiǎn)管控能力，以及沒有規(guī)范采集和使用流程的機(jī)構(gòu)，在采集和使用個(gè)人信息，風(fēng)險(xiǎn)隱患極大。

行業(yè)自律尚未發(fā)揮作用

技術(shù)研發(fā)、應(yīng)用推廣等方面致力于推動(dòng)企業(yè)發(fā)展的聯(lián)盟很多，但屬于約束企業(yè)行為的個(gè)人信息保護(hù)行業(yè)自律聯(lián)盟缺乏，盡管有政府部門牽頭少量企業(yè)成立，但重點(diǎn)企業(yè)的積極性和主動(dòng)性不足。

缺乏個(gè)人信息保護(hù)行業(yè)自律公約，重點(diǎn)企業(yè)和重點(diǎn)行業(yè)在個(gè)人信息保護(hù)方面的引導(dǎo)和示范作用尚未發(fā)揮。

缺乏個(gè)人信息保護(hù)行業(yè)自律發(fā)展水平評(píng)估，行業(yè)個(gè)人信息保護(hù)狀態(tài)缺乏摸底評(píng)估，大量企業(yè)個(gè)人信息保護(hù)透明度不高。

完善措施防止信息泄露

完善相關(guān)法律法規(guī)

加快出臺(tái)《網(wǎng)絡(luò)安全法》個(gè)人信息保護(hù)實(shí)施細(xì)則，明晰個(gè)人信息保護(hù)法律操作要求，提供操作層面示范借鑒案例集。

加快出臺(tái)個(gè)人信息保護(hù)法或保護(hù)條例，明確個(gè)人信息采集、傳輸、存儲(chǔ)、流通、交易、開發(fā)、利用等全流程環(huán)節(jié)權(quán)利和責(zé)任等法律要求。

將個(gè)人信息保護(hù)相關(guān)內(nèi)容納入到互聯(lián)網(wǎng)信息服務(wù)等各類互聯(lián)網(wǎng)行業(yè)管理辦法中，明確各行業(yè)領(lǐng)域應(yīng)用場(chǎng)景個(gè)人信息保護(hù)詳細(xì)要求。

加大對(duì)個(gè)人信息保護(hù)相關(guān)違法行為查處和處罰力度，提高違法成本和法律震懾效應(yīng)，建議處罰力度與企業(yè)經(jīng)營(yíng)收入、泄露信息規(guī)模等要素掛鉤，對(duì)出現(xiàn)重大個(gè)人信息泄露或是違規(guī)利用企業(yè)，實(shí)施停業(yè)整頓或取締營(yíng)業(yè)資質(zhì)。

規(guī)范個(gè)人信息收集和使用

明確個(gè)人信息范圍、種類和權(quán)屬，特別要明確互聯(lián)網(wǎng)服務(wù)平臺(tái)、大數(shù)據(jù)挖掘分析、大數(shù)據(jù)交易流通、政務(wù)信息資源共享、公共信息資源開放等情況下個(gè)人信息內(nèi)容和權(quán)屬的界定辦法。

出臺(tái)個(gè)人信息保護(hù)相關(guān)操作指南，明確個(gè)人信息采集、存儲(chǔ)、傳輸、清洗、利用等環(huán)節(jié)資質(zhì)要求、操作流程、業(yè)務(wù)規(guī)范、管理要求、防護(hù)措施等。

出臺(tái)個(gè)人信息采集和使用負(fù)面清單，明確個(gè)人信息采集、流通、挖掘和使用禁區(qū)，最大限度地促進(jìn)和保護(hù)個(gè)人信息開發(fā)利用創(chuàng)新。

規(guī)范互聯(lián)網(wǎng)服務(wù)用戶同意承諾書，制定統(tǒng)一的企業(yè)個(gè)人信息收集和使用用戶同意承諾書通用模板，統(tǒng)一明確企業(yè)必要的權(quán)責(zé)，最大限度地規(guī)范和約束企業(yè)個(gè)人信息開發(fā)利用行為。

完善個(gè)人信息保護(hù)安全措施

完善政府和企業(yè)個(gè)人信息保護(hù)安全基礎(chǔ)設(shè)施，加大入侵監(jiān)測(cè)、電子認(rèn)證、訪問控制、安全審計(jì)等配套保障設(shè)施建設(shè)，提高安全基礎(chǔ)設(shè)施保障能力。

加快個(gè)人信息保護(hù)技術(shù)攻關(guān)研究和推廣應(yīng)用步伐，加大個(gè)人信息標(biāo)記、脫敏、溯源等技術(shù)研究，增強(qiáng)移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等融合條件下個(gè)人信息保護(hù)能力。

建立健全政府和企業(yè)個(gè)人信息保護(hù)制度，加強(qiáng)對(duì)網(wǎng)絡(luò)、技術(shù)、人員、外包等各個(gè)環(huán)節(jié)個(gè)人信息保護(hù)管理力度，完善全鏈條個(gè)人信息保護(hù)，防止個(gè)人信息保護(hù)出現(xiàn)短板效應(yīng)。

提高個(gè)人信息保護(hù)透明度，定期發(fā)布政府和企業(yè)個(gè)人信息保護(hù)白皮書，告知社會(huì)其在個(gè)人信息采集、開發(fā)、利用、保護(hù)等方面采取措施和取得效果，提高大眾對(duì)政府和企業(yè)個(gè)人信息保護(hù)信任度。

加強(qiáng)個(gè)人信息保護(hù)的監(jiān)督和檢查

建立政府個(gè)人信息保護(hù)治理網(wǎng)絡(luò)平臺(tái)，采用網(wǎng)絡(luò)監(jiān)測(cè)、大數(shù)據(jù)挖掘、人工智能分析等各類手段，加強(qiáng)網(wǎng)絡(luò)個(gè)人信息采集、傳輸、開發(fā)和利用全方位在線監(jiān)測(cè)。

加強(qiáng)對(duì)重點(diǎn)領(lǐng)域、重點(diǎn)企業(yè)、重點(diǎn)網(wǎng)絡(luò)平臺(tái)的個(gè)人信息開發(fā)、利用、保護(hù)定期檢查，對(duì)存儲(chǔ)大規(guī)模個(gè)人信息的信息系統(tǒng)和網(wǎng)絡(luò)平臺(tái)，周期性開展第三方安全測(cè)評(píng)，對(duì)測(cè)評(píng)不達(dá)標(biāo)的信息系統(tǒng)和網(wǎng)絡(luò)平臺(tái)，及時(shí)采取整改或清理措施。

實(shí)施個(gè)人信息應(yīng)用等級(jí)保護(hù)制度，依據(jù)個(gè)人信息存儲(chǔ)規(guī)模、系統(tǒng)平臺(tái)重要性等指標(biāo)，采取不同安全等級(jí)防護(hù)措施要求。

實(shí)施個(gè)人信息使用分級(jí)分類認(rèn)證制度，依據(jù)個(gè)人信息內(nèi)容性質(zhì)和信息規(guī)模，采取分級(jí)分類使用許可制度，對(duì)不同級(jí)別個(gè)人信息和不同分類用戶群體，提出相應(yīng)個(gè)人信息采集和應(yīng)用防護(hù)措施要求。

強(qiáng)化個(gè)人信息保護(hù)行業(yè)自律

推動(dòng)電信、金融、互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等重點(diǎn)領(lǐng)域成立個(gè)人信息保護(hù)行業(yè)自律聯(lián)盟，從技術(shù)、標(biāo)準(zhǔn)、管理、法律等角度加強(qiáng)個(gè)人信息保護(hù)行業(yè)研究。

發(fā)布個(gè)人信息保護(hù)行業(yè)自律公約，推動(dòng)龍頭企業(yè)更加重視個(gè)人信息保護(hù)，形成社會(huì)引導(dǎo)和示范效應(yīng)，帶動(dòng)行業(yè)個(gè)人信息保護(hù)水平的整體提升。

依托行業(yè)自律聯(lián)盟，開展行業(yè)自律動(dòng)態(tài)監(jiān)測(cè)，實(shí)施個(gè)人信息保護(hù)發(fā)展水平評(píng)估，定期發(fā)布個(gè)人信息保護(hù)行業(yè)自律報(bào)告。

定期開展行業(yè)自律交流，組織研討會(huì)、經(jīng)驗(yàn)交流會(huì)、論壇等形式，深入交流企業(yè)個(gè)人信息開發(fā)、利用、保護(hù)等經(jīng)驗(yàn)，共同探討行業(yè)發(fā)展存在問題和應(yīng)對(duì)措施。

技術(shù)是把雙刃劍，大數(shù)據(jù)技術(shù)也不例外。大數(shù)據(jù)發(fā)展給產(chǎn)業(yè)發(fā)展、民生保障、國(guó)家治理帶來新機(jī)遇的同時(shí)，也給個(gè)人隱私保護(hù)帶來了前所未有的挑戰(zhàn)。在沒有個(gè)人隱私的大數(shù)據(jù)時(shí)代，如何讓個(gè)人隱私得到切實(shí)有效的保護(hù)，需要技術(shù)、產(chǎn)業(yè)、政策三者協(xié)同發(fā)力。

如何在個(gè)人隱私保護(hù)和促進(jìn)產(chǎn)業(yè)發(fā)展之間尋求平衡點(diǎn)，歐盟和美國(guó)走了兩條不同的道路，歐盟實(shí)施了嚴(yán)格的隱私保護(hù)政策，美國(guó)走了一般性隱私保護(hù)政策。歐美之間隱私保護(hù)政策有顯著的差異，但是差異背后相同特點(diǎn)都是依據(jù)各自互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展程度來制定的。我國(guó)在制定個(gè)人隱私保護(hù)政策的時(shí)候，也要充分借鑒歐盟和美國(guó)的個(gè)人隱私保護(hù)政策，做到既能兼顧個(gè)人隱私保護(hù)，又能促進(jìn)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。