史卫民:大数据时代个人信息保护的现实困境与路径选择(一)
摘 要:个人信息可分为一般、重要和关键信息, 不同的信息类别保护程度不同。大数据时代数据挖掘、商业智能、追溯集成等技术给个人信息保护带来了巨大挑战,加强个人信息保护在大数据时代显得尤为迫切。大数据时代我国对个人信息的保护在立法、监管、技术、行业、个人等方面仍存在不少困境。完善大数据时代个人信息保护的路径选择,应完善相关立法,健全行政监管,强化技术保护,加强行业自律,提高自我保护。
关键词: 大数据 个人信息 个人数据 个人隐私 现实困境
1 大数据时代个人信息保护的新挑战
1.1 大数据的内涵与特征 大数据是一个比较抽象的概念, 目前尚无确切、 统一、 公认的定义。维基百科对大数据的定义是:大数据是指所涉及的数据量规模巨大到无法通过目前主流软件工具,在合理时间内达到截取、管理、处理并整理成为帮助企业经营决策更积极目的的信息[1]。研究机构Gartner 给出了这样的定义:大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产[2 ]。涂子沛在《大数据》一书中这样定义大数据:指那些大小已经超出了传统意义上的尺度, 一般的软件工具难以捕捉、存储、管理和分析的数据[3]。中国工程院院士邬贺铨认为, 大数据是指没有办法在容许的时间内用常规软件工具对其内容进行抓取、管理和处理的数据集合。常规的办法要想把它分析出来是很难的[4]。总的来看,以上定义中都强调了大数据所涉及的资料量规模巨大, 无法通过常规软件工具管理和处理的数据集合。基于此, 我们认为:大数据是指基于海量、多样化的数据集合, 通过云计算的数据处理与应用模式, 快速获取、 处理、 分析等手段形成的智力资源和知识服务能力。
当前, 较为统一的认识是大数据有四个基本特征:数据规模大(Volume)、 数据种类多(Variet)、 处理速度快(Velocity )、 价值密度低( Value), 即所谓的四V 特性。
第一, 数据规模大(Volume)。大型数据集, 从TB级别, 跃升到PB 乃至ZB 级别, 其容量和规模远远超过传统数据;存储、 计算和分析技术与工具的发展, 尽
可能地确保了数据集的完整性。
第二, 数据种类多(Variety)。大数据包括不同来源、不同结构、不同媒体形态的各种数据。相对于以往便于存储的以文本为主的结构化数据, 非结构化数据越来越多,这些多类型的数据对数据的处理能力提出了更高要求。
第三, 处理速度快(Velocity)。数据生成的速度基本呈指数级增长, 而且需要快速、 持续的实时分析与处理, 以更快地满足实时性需求, 即时处理已经成为趋势之一。
第四, 价值密度低(Value)。价值密度的高低与数据总量的大小成反比, 大数据本身的价值密度是相对较低的, 需要对海量的数据进行挖掘分析才能得到真正有用的信息, 形成用户价值[5]。如何通过强大的机器算法更迅速地完成数据的价值“提纯” , 成为目前大数据背景下亟待解决的难题。
1.2大数据时代个人信息保护的挑战
在互联网出现以前,就有专业公司采集、记录个人的数据和信息。而互联网的出现使得监视更容易、 成本更低廉。大数据时代已经不只是政府在暗中监视我们了。亚马逊监视着我们的购物习惯, 谷歌监视着我们的网页浏览习惯,Twitter 窃听到了我们心中的 “TA”,facebook 似乎什么都知道, 包括我们的社交关系网。如果说在互联网时代我们的隐私受到了威胁, 那么大数据时代是否会进一步加深这种威胁呢? 答案是肯定的。大数据不但加深还会带来更多的威胁。从网络时代对个人信息的精确收集转向基于大数据样本中数据挖掘产生相关个人信息的关联集成, 这颠覆了过去隐私保护以个人为中心的思想:数据收集者必须告知个人, 他们收集了那些数据、 作何用途, 也必须在收集前征得个人同意, 即 “告知与许可” 规则。而在大数据时代, 却是一种新的对分散的相关个人信息的“二次利用或开发” ,有的数据从表面上看并不是个人数据, 但是经由大数据处理之后就可以追溯到个人了[6]。个人信息一旦被以数据化形式储存, 便掌握在政府、 非政府机构以及商业组织的数据库中, 个人实际上很难进行保护。巨大的商业利润根本无法阻止拥有数据库的单位和组织不将收集到的个人数据进行整合、 分析和利用。更让人担忧的是, 一些国家还经常以“国家安全” 为由, 通过“立法” 等合法途径对个人数据信息进行随时监控和检[7], 这是大数据时代给个人信息保护带来的巨大挑战。如今很多用户都觉得个人的信息和隐私已经受到了威胁, 当大数据变得更为普遍的时候, 情况将更加不堪设想。
1.3 大数据时代强化个人信息保护的重要意义大数据有利于整合与共享管理信息, 不论是企业还是个人, 都会因大数据的爆发受益匪浅。企业可以借助数据存储、 统计、 分析等为自身带来更多利益。个人也会享受到更方便、 更迅捷、 更个性化的服务。然而, 大数据在带来机遇和效益的同时, 也带来更多安全问题。大数据时代个人信息主动或被动的被采集, 往往被采集者用于经营的目的, 无论个人信息所有者在其个人信息被实施采集行为前是知情还是不知情, 个人信息都会面临“处理” 过程中的种种危险。有专家认为大数据在成为竞争新焦点的同时, 也带来了更多的安全风险, 大数据成为了网络攻击的显著目标, 大数据加大了隐私泄露风险, 大数据威胁现有的存储和安防措施,大数据技术成为黑客的攻击手段, 大数据成为高级可持续攻击的载体[8],这对大数据时代个人信息的安全提出了更严峻的挑战。近年来,非法获取、 泄露和贩卖公民个人信息、 网上诈骗、 网络谣言、 垃圾信息等现象层出不穷, 极大地影响着个人的生活安宁和生活秩序,有些还造成个人重大经济损失。因此, 在大数据时代,保护好个人信息对个人人身和财产的安全, 维护正常的生活秩序和社会秩序具有重要意义。
2个人信息的内涵与分类
2.1个人信息的内涵
2.1.1个人信息的内涵界定 个人信息是关于个人的一切资料、 数据, 是能够直接或者间接识别特定个人的所有信息, 包括了一个人生理的、 心理的、 智力的、个体的、 社会的、 经济的、 文化的、 家庭的等方面。这些方面包括健康情况、 犯罪记录、 性活动、 名誉等涉及人格权的事项, 也包括了著作和财产等涉及财产权的事项[9]。全国人大常务会《关于加强网络信息保护的决定》(2012)中规定:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。工业和信息化部颁布的 《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013)中规定:个人信息是指可为信息系统所处理、 与特定自然人相关、 能够单独或通过与其他信息结合识别该特定自然人的计算机数据。而《电信和互联网用户个人信息保护规定》(2013)第四条规定:本规定所称用户个人信息, 是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、 出生日期、 身份证件号码、 住址、 电话号码、 账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、 地点等信息。《个人信息保护法》(草案)中规定:所谓个人信息, 是指现实生活中 “能够识别特定个人的一切信息” , 其范围很广, 包括姓名、 年龄、 体重、 身高、 档案、 医疗记录、收入及消费和购买习惯、 婚姻状况、 教育背景、 家庭住址与电话号码等。从以上规定可以看出, 目前对个人信息的界定采取了概括加列举的模式, 重点强调可以识别, 已概括出了个人信息的内涵。
2.1.2 个人信息与个人隐私的关系 与个人信息在内容上有较多重合之处的另一个概念是个人隐私。隐私权是指自然人享有的私人生活安宁与私人生活信息依法受到保护, 不受他人侵扰、 知悉、 使用、 批露和公开的权利[10]。《侵权责任法》(2009)首次明确了隐私权的独立地位, 第2 条规定的民事权益包括了隐私权。在二者的关系上, 笔者认为个人信息包括个人隐私, 个人信息除了个人隐私外还包括其他信息,个人隐私只是个人信息的一部分。个人信息在内容上更为广泛, 涉及到个人心理、生理、 智力以及社会政治、 经济、 文化、 教育、 家庭、 财产等方方面面。而隐私权的内容主要是突出其个人不愿意公开的私生活信息和生活秘密。有些个人信息就不涉及隐私, 信息拥有者可以自己加以公开。这从全国人大常务会《关于加强网络信息保护的决定》 中个人信息是指国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息的规定中也可以得到证明。
2.1.3 个人信息与个人数据的关系 在各国(地区)的立法实践和理论研究中与“个人信息” 相近的概念还有 “个人数据” 这种称呼。欧洲理事会颁布的《理事会数据保护条例》(1992)和我国台湾地区实施的《电脑处理个人资料保护法》 及《计算机处理个人数据保护法实施细则》(1995)中都采用了个人数据的提法。从内容上看, 两个概念的基本内涵是相同的。我国学者梅绍祖认为“个人信息” 和“个人数据” 可以通用[11]。笔者认为 ,“数据” 主要适用技术领域, 在法律领域较少适用。而从我国目前的立法及规章来看,基本都采用 “个人信息” 的概念,也符合当前社会信息化发展背景和大数据时代发展的需要。加之在公法领域,我们强调要 “政府信息公开”,那么在私法领域,则要强调“个人信息保护” ,因此,采取“个人信息” 这个概念较为妥当。
2.2 个人信息的分类 关于个人信息的分类, 工业和信息化部颁布的 《信息安全技术公共及商用服务信息系统个人信息保护指南》 中将其分为个人一般信息和个人敏感信息。个人敏感信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。可以包括身份证号码、 手机号码、种族、政治观点、宗教信仰、基因、指纹等。而除个人敏感信息以外的个人信息都为个人一般信息。二分法相对简单,笔者认为可以将个人信息分为个人一般信息、个人重要信息、 个人关键信息。
2.2.1 个人一般信息 指有关个人身份和财产的基本情况, 在媒体或者网上可以公开找到。如姓名、性别、 籍贯、 职业等, 这些信息也可以称为公开信息。比如一个高校老师, 在发表论文时在作者简介中公开了姓名、 出生年月、 性别、 籍贯、 单位、 研究方向等, 通过这个信息你找到了他, 这不属于非法获取。比如《福布斯》 发布2012 年中国富豪榜, 哇哈哈集团宗庆后以630 亿元人民币位列榜首, 你知道了大陆首富是谁, 有多少资产, 这不属于违法取得。
2.2.2 个人重要信息 指在特定的场合和环境小范围内公开的有关个人身份和财产的重要情况,包括联系方式、家庭住址、手机号码、身份证号码、邮箱与QQ 号等。如在办理银行卡或信用卡的时候, 您把自己的个人信息提供给了金融机构, 他们可以做你所授权的活动。但是, 如果其工作人员将这些数据卖给其他组织而从中谋利, 则变成了违法泄露个人信息,情节严重的还可以构成犯罪。
2.2.3 个人关键信息 指个人不愿公开的, 通过正常途径难以获取的, 涉及个人人身和财产安全的关键情况。如银行卡密码, 电子商务网上的交易账户信息以及交易记录等。这类信息的持有人一般会采取各种措施或不定期更改的方式来保护其信息安全。他人如通过非法途径获取、使用,或用来诈骗,情节严重的构成犯罪。个人一般信息谁都可以知悉和使用,个人重要信息、经授权可以使用,个人关键信息别人一般不得获取和使用。
参考文献:
[1]Big data[EB/OL].http://zh.wikipedia.org/wiki/big-data.
[2]Big data[EB/OL].http://www.gartner.com/it-glossary/ big-
data.
[3]涂子沛.大数据[M]. 桂林:广西师范大学出版社,2012:57.
[4]邬贺铨.大数据时代的机遇与挑战[J].求是,2013(4):47-
49.
[5]王文超,石海明,曾华锋.刍议大数据时代的国家信息安全[J].国防科技,2013(2):1-5.
[6](英)维克托·迈尔 - 舍恩伯格,肯尼斯·库克耶著;盛杨燕,周涛译.大数据时代[M].杭州:浙江人民出版社,2013:195-200.
[7]刘新年,王晓民,任博.大数据时代下,如何保护隐私权[N].检察日报,2013-08-23(5).
[8]冯伟.大数据时代信息安全面临的挑战与机遇[N].科技日报,2013-0624(1).
[9]齐爱民.个人信息保护法研究[J].河北法学,2008(4):15-33.
[10]王利明.民法(第五版) [M].北京:中国人民大学出版社,2012:515.
[11]梅绍祖.个人信息保护的基础性问题研究[J].苏州大学学报.2005(2):25-30.