大数据时代个人数据隐私安全保护的一个分析框架*

2021-02-01李欣恬

情报杂志 2021年1期

祝阳李欣恬

(北京邮电大学经济管理学院北京 100876)

大数据时代使数据的价值得到了前所未有的跃升，然而享受技术发展带来巨大福利的同时，日渐凸显的个人隐私安全问题也亟待解决。从“9·28特大跨国电信诈骗案”到“徐玉玉案”，一系列个人隐私泄露事件给公民的人身、财产安全乃至社会安全带来了巨大的负面影响。当前正面临着如何一方面有效保护个人隐私，一方面又能有效利用个人数据的难题。建构大数据时代的个人隐私安全保护的分析框架，探寻大数据时代个人隐私保护新思路已刻不容缓。

1 构建分析框架的理论起点：文献综述

大数据发展与个人隐私安全的关系引发广泛关注，关于大数据发展对个人隐私影响研究主要集中在3个方面。第一，分析大数据运行过程与隐私保护的关系，认为“公共数据开放”与“个人隐私保护”之间存在悖论，数据的利用分析必须以数据收集或开放为基础，这一过程不可避免会导致个人信息在互联网中的流动传播[1]；第二，集中于对隐私权在大数据时代产生的变化研究，个人隐私已经由传统的“私域”向“公域”延伸，隐私权已经成为一种复合型权利[2]，具备了财产权的属性[3]。第三，隐私保护难度的增加，大数据时代隐私侵权的主体更加多元，方式更隐蔽，影响更复杂[4]。

针对大数据时代的个人隐私安全问题也提出了相应的解决方法，主要集中在技术和管理两个层面。技术层面，国外学者提出通过制定政府数据开放与隐私风险的平衡框架实现隐私权益的保护[5]，以及利用区块链技术构建P2P分散式系统，采取技术策略保护隐私等措施[6]。管理层面，国内学者提出要坚持数据公开和授权使用等原则，使个人能够实现信息自决[7]，综合考虑各方利益平衡，法律、政策、科技、伦理共同发挥作用[8]，构建多元主体协同治理机制[9]。

综上所述，中国对大数据时代个人隐私安全问题研究尚处于起步阶段，偏重于对成功经验的梳理并对国外理论进行本土化改造。研究方向集中于大数据时代隐私权的变化，而保护策略的理论研究尚未得出体系化的建议，隐私权的法理论证较多而治理实践略显不足，没有将数据生命周期与个人信息敏感度的划分有机结合，实现精准的治理保护机制。

2 构建分析框架的实践起点：大数据产生个人数据隐私安全问题的原因

大数据时代个人隐私安全问题正在敲响警钟，各种非法盗取个人信息的行为屡禁不止，个人信息变成了可交易的产品，不断被非法收集和反复传播，拥有广大的采集、消费市场，已经形成产业链。个人隐私被侵犯将威胁到公民人身及财产安全，损害公民的知情权和信息自决权，导致公民失去对自身隐私的控制能力。美国政府也因为“棱镜门”事件陷入了侵犯个人隐私的尴尬境地，由此可见，隐私泄露导致的公民权利受损现象已经相当严重。分析大数据发展影响个人隐私安全的原因，找准问题关键，是实现大数据时代个人隐私安全保护的重要前提。

个人隐私保护问题涉及技术和管理两个层面：一方面，技术发展与隐私保护的冲突是客观存在的。大数据时代的数据收集、整合、关联等活动依靠技术手段实现，这些技术提高数据使用效率，推动数据充分利用的背后，是对个人数据的反复收集与关联分析。另一方面，管理层面分为3个主体：一是政府作为最大的信息收集者和信息资源库，承担着数据开放和数据保护的双重职责，能否兼顾两者平衡将决定着数据开放的深度和隐私保护的强度；二是信息业者作为市场的活跃参与者，其经济活动有赖于对用户信息的收集、分析及共享，行业规范和行业自律的缺失背后隐藏着巨大的安全隐患；三是公民作为个人隐私所有者，其信息自决权和数据保护意识的缺失，将导致公民难以察觉可能存在的隐私风险，也缺乏有效的维权途径。

2.1技术：技术发展与隐私保护的悖论大数据时代进行的一系列数据处理活动必须建立在对个人信息获取的基础上，并对个人信息进行挖掘、累积、关联和分析；个人隐私包含于个人信息，在错综复杂的网络联系下，隔离和有效区分隐私数据与公共数据的难度非常大，它们之间不存在明显界限，大数据时代新兴技术的负面效应和悖论是客观存在的。个人被卷入不平等交换的互联网世界，而互联网对待任何数据“来者不拒”，记忆变得容易，遗忘却变得艰难，数据一旦进入，便被永久留存，无法摆脱自动化监视和被二次利用的命运[10]，由此带来的隐私恐惧是巨大的。

2.2政府：数据开放与隐私保护的难题政府作为个人数据最大最全的拥有者，通过政府数据开放为社会和公民服务，推动公共信息资源的充分利用和增值。然而便民利民的同时，也加大了公民隐私泄露的风险。目前，中国政府数据开放的制度体系建设还不完善，多数平台并未明确告知公民个人信息如何被收集、收集目的是什么、个人隐私是否得到保障以及如何捍卫自己的信息权等。

政府数据开放与个人隐私保护之间的矛盾，实则反映了公共利益与私人利益之间的平衡问题。一方面，公开的数据可能泄露个人隐私；另一方面，过分重视隐私保护又会限制数据公开的范围和质量。中国尚未出台专门针对个人隐私保护的法律法规，当前的政府数据开放也更加注重实现公共利益最大化，推动数据增量红利的最大化，却相对忽视了公民个人的隐私安全。

2.3信息业者：行业法规与行业自律的不足以互联网公司为代表的信息业者是市场的活跃参与者，具体业务不同的背后都离不开对用户个人信息的收集和分析，以便更好的得知用户喜好，满足用户需求，实现经济利益最大化。而中国互联网发展起步相对晚、发展速度快，互联网领域相关法律法规滞后于时代发展和技术进步，相对宽泛，尚未实现体系化。

同时，行业自律的极度缺乏加剧了大数据时代的个人隐私安全问题。看似平等接入的互联网世界实际存在着“数据霸主”和“信息寡头”，它们都实现了在某个领域巨大的信息优势，拥有并监视着大量的个人信息，庞大的信息聚合本身就存在着被攻击和泄露等风险；同时，个人为了能够享受互联网服务，不得不牺牲部分隐私，接受“霸王条款”，信息的不对称和相对垄断造成了现实的不平等[11]；更值得担忧的是，当它们进行跨平台、甚至跨国界的数据共享和交易[12]，个人只有接受这种数字霸凌，并无反抗之力。

2.4公民：自决权利与保护意识的缺失公民是个人信息的所有者，有权决定个人信息的使用去处、使用期限及使用目的，公民的知情权、信息自决权、信息控制权等个人数据主权应该得到法律法规保护。而中国当前数据产权界定依旧模糊，公民隐私被侵犯之后的上诉追责途径也有待公权力的保障。

公民自身的心理和行为也会影响个人隐私安全。整体看来，中国大部分网民的隐私保护意识较为淡薄，隐私安全问题没有得到足够的重视，呈现重享受而轻担忧的倾向，个人通常会为了获得更个性化的服务，放弃自己的隐私控制权，面对复杂的条款，选择不看或者直接同意；重分享而轻保护的倾向也十分明显[13]，个体熟练掌握并享受着信息分享功能，却没有考虑自身行为将带来的隐私安全问题，不知道自己正接受着“第三只眼的窥视”；加之大数据背景下的个人隐私安全问题通常是潜在的、长期的、隐蔽的，而眼前的利益诱惑却是直接的，人们通常不愿意为了隐私保护而做出让步和牺牲。

3 基于数据生命周期与个人信息敏感度的个人数据隐私安全保护分析框架

如何降低大数据的负面影响，通过行之有效的措施更好的保护个人隐私。政治领域的治理经验可以带来相关启示：多头管理、责任边界模糊等问题常导致政府部门出现“缺位、越位、错位”的现象，严重影响行政效率。与此类似，数据在互联网领域的流动有多个环节，每一环节都有不同的特点，当前保护措施存在界限不明、权责不清的状况，针对这样的复杂情况：首先，对数据在互联网中的各环节流动轨迹进行精确定位；其次，对个人信息按重要程度、私密程度进行准确的维度划分；最后，通过两者的关系分析，明确风险，提出对应保护措施。

3.1构建分析框架的维度：数据生命周期数据生命周期最早由Charalabidis等在数据管理生命周期的基础上扩展提出[14]，黄如花等人将政府数据生命周期分为五个阶段[15]。本研究将数据生命周期分为数据产生、数据传输、数据使用、数据分享及数据消除5阶段。a.数据产生即个人接入网络，留下相应的足迹，被互联网感知记录，形成数据点；b.数据传输是指获得个人信息的平台经过信息的提炼处理，使其进入本平台数据库，或指不同平台之间数据交换的过程；c.数据使用即平台将收集到的众多个人信息进行整合分析、关联印证，进行精准的客户画像，为本平台利益和目的服务，实现信息的最大化使用；d.当平台认为自身获得的信息不够充分或者巨头公司达成信息共享共识时，将会进行平台间的数据共享，实现数据的再次利用和开发，产生新的价值；e.最后，信息消除即指数据失去价值或被互联网所“遗忘”，这一环节是较难充分实现的。五个阶段对个人信息的收集方式及隐私侵犯程度存在差异，需要差别对待。

3.2构建分析框架的维度：个人信息敏感度关于个人信息的划分，学界尚无定论。根据国家标准《个人信息安全规范》，个人信息可以分为3类：隐私信息;个人敏感信息;一般个人信息。从大数据时代的个人隐私保护视角出发，按照私密程度和重要程度两大标准，将进入互联网的个人信息分为以下5种类型：a.基础身份信息，即能够直接定位到个人身份的重要信息，是个人最基础最内核信息，如姓名、身份证号等；b.独立敏感信息，即能够独立反映个人关心且不愿意泄露的隐私信息，如经济财务信息、健康信息；c.关联敏感信息，指需要通过云计算等技术，经过信息整合分析，实现属性关联时，才能得出个人隐私的敏感信息，如性别、年龄、亲属关系；d.浏览痕迹信息，指互联网时代新的信息类型，是个人接受网络服务所产生的数据足迹，如浏览网页记录、网上购物记录等；e.公开不敏感信息，即个人认为被收集传播也无关紧要的的信息类型，属于个人信息的最外围，无需特殊保护，如个人分享并授权转发的帖子等。

5种类型的个人信息敏感存在差异，从高到低依次为基础身份信息、独立敏感信息、关联敏感信息、浏览痕迹信息、公开不敏感信息。敏感度的差异也导致了个人信息价值在数据生命周期各阶段中的价值不同，敏感度越高的个人信息价值也越高，因此，除公开不敏感信息外，前4个层次个人信息均需得到差别化、不同强度的保护。

3.3基于数据生命周期与个人信息敏感度的风险分析框架大数据时代的个人隐私保护成为难题，其中重要原因之一即在于数据生命周期中不同阶段、不同个人隐私面临的风险不同，难以采取统一的保护措施。因此，结合数据生命周期和个人信息敏感度两个维度，以不同数据阶段的不同隐私类型面临的代表性风险为例，构建基于数据生命周期与个人信息敏感度的风险分析框架(见图1)。

图1 数据生命周期与个人信息敏感度的风险分析框架

a.在数据产生阶段，由于缺乏数据获取规定，浏览痕迹信息被任意收集；关联敏感信息由于公民缺乏隐私安全意识在公民不知情的情况下被获取；独立敏感信息极易遭到恶意盗取；基础身份信息面临被非法采集的风险。

b.在数据传输阶段，浏览痕迹信息缺乏保护，易被非法监听；关联敏感信息在互联网中被恶意流通；独立敏感信息传输时可能遭到非法篡改；基础身份信息的传输接口安全风险也很高。

c.在数据使用阶段，关于浏览痕迹信息的使用规定模糊；关联敏感信息常在公民不知情未授权情况下被访问；对于独立敏感信息的使用情况缺乏有效的评估和追踪；基础身份信息被去匿名化使用将给公民带来巨大的隐私风险。

d.在数据共享阶段，浏览痕迹信息一旦被聚类分析，将暴露公民爱好、需求等个人隐私；关联的敏感信息被挖掘，可推知公民的其他隐私信息；对于独立敏感信息，面临着非法共享和二次利用的风险；基础身份信息的去匿名化共享，将直接威胁公民人身、财产等安全。

e.在数据清除阶段，浏览痕迹信息、关联敏感信息、独立敏感信息与基础身份信息都面临着数据残留与恶意恢复的风险。

综上所述，不同个人隐私类型在不同的数据生命周期阶段具有不同的风险，难以用模糊的、统一的方法和制度予以规范，任何技术也不具备多环节的普适性，必须实现差别化的、更为精准的管理和监督。

3.4基于数据生命周期与个人信息敏感度的保护框架隐私保护涉及面广泛，需要多元主体协同治理，更加注重强调事前防范而非事后救济、更加全面而非局部的保护。在合理借鉴欧盟《通用数据保护条例》[16]及各国探索经验的基础上，针对分析框架中各数据阶段不同个人隐私存在的风险，结合当前的立法实践，从技术手段、政府、公民权利、信息业者责任4个方面，分析技术手段和管理主体应当发挥的作用(见表1)。

3.4.1 数据产生阶段：注重事前防范事前防范是关键，要从数据源头堵住隐私安全的漏洞。政府应增强数据开放审核力度，明确数据权属[17]；公民应享有知情权、信息自决权、告知许可权[18]，保持身份匿名；信息业者在收集信息时，应明确自身使用目的[19]，最小范围采集公民信息；同时，采用数据溯源和匿名化等技术防止隐私安全问题的发生。

3.4.2 数据传输阶段：确保过程加密过程加密是重点，要确保数据流程安全可靠。对于浏览痕迹信息重点在于数据溯源和数据协议，并设置必要的加密技术保障传输安全；对于关联敏感信息，政府应制定跨境跨部门的数据流动安全制度，采用差分隐私保护和区块链等技术手段，确保数据传输有迹可循。对待独立敏感信息，政府应严厉打击非法传输个人隐私信息的行为[20]。

3.4.3 数据使用阶段：保障公民自决公民自决是基础，要保证个人数据使用合法且拥有授权。对待浏览痕迹信息，重点是政府的严格监管和平台安全系数评估，并设置必要的数字水印、电子签名等技术。关联敏感信息，需要政府建立专门的数据管理隐私保护机构[21]，实现完备的访问控制和身份认证管理，信息业者要进行去个人化的信息处理，承担法律责任。对于独立敏感信息，公民拥有绝对的知情权和自决权，政府需加大对数据非法使用的处罚力度，建立数据存储库。

3.4.4 数据共享阶段：坚持合法交换合法交换是底线，要严厉打击非法数据交换和数据买卖行为。对于浏览痕迹信息，政府应当实现跨部门合作，制定完整流程以回应公众质疑，确保公民知情且可查验。对于关联敏感信息，政府应当构建开放政府数据的框架，加强政府内部协同与监管，统一政府数据交换的平台；信息业者需要进行去个人化的信息处理，坚持行业自律，拒绝信息非法共享；技术上采用差分隐私保护技术和区块链技术构建海量交易数据库，一切交易有记录可追溯。独立敏感信息需要政府制定严格的行业规范，坚持公民知情和信息控制，综合利用反数据追踪等技术。

表1 基于数据生命周期与个人信息敏感度构建的保护框架

3.4.5 数据清除阶段：实现有效删除有效删除是手段，要保障公民的信息控制权。主要参考欧盟所提出的被遗忘权，即公民拥有编辑、删除、自主决策的权利。同时，政府应该规定服务商的数据留存期限和权限等，规范行业发展，统一行业标准。

实践表明，正确使用数据有利于国家治理能力提升，因此，不能认为收集信息的行为都是对个人隐私的侵犯，必须对信息进行有效区分。如对待公开不敏感信息，应该基于公共利益优先开放，不断挖掘数据价值；基础身份信息的隐私级别最高，全过程应当实施最严格的隐私安全保护机制，法律法规规定使用权限，明确责任，加大处罚力度，信息业者需承担非法使用的法律责任，公民享有绝对的信息自决和知情权，并在事后处理中拥有上诉追责的权利，同时运用各类加密保护制度，确保基础身份信息的安全。如果隐私安全问题已经发生，也需要有相关的事后处理机制，政府公权力予以充分的保证。同时，数据生命周期的每一个阶段应当嵌入隐私分析，成立专门机构进行隐私风险评估监测，做到全过程可防可控。

4 大数据时代个人数据隐私安全保护的宏观建议

大数据时代的个人隐私安全问题，实则就是在寻求隐私安全保护与数据公开共享之间的平衡。在促进数据利用效率最大化的同时，关照个人隐私权的保护，实现互联网提高效率、服务社会的初衷。在数据生命周期每一阶段精准定位与明确权责的基础上，进一步推动大数据时代个人隐私顶层设计层面的创新，实现全过程、多保障、强有力的保护体系。从技术、政府、从业者、公民4个方面探寻对策建议：

4.1加强数据安全技术研发及技术标准制定个人隐私通过技术手段被收集、利用及共享，也应从技术手段寻找突破口。遵循前文提出的精准保护框架，对不同流程应当采用专门化的技术。在该领域，众多研究人员提出了有效的技术手段，如数据层(利用MD2算法、hash杂凑算法的研究来进行数据加密)、应用层(使用P2P架构来解决ONSs隐私问题、模糊处理由传感技术测量的位置信息的方法保护移动定位的隐私安全)、数据发布层(各种匿名化方法、PPDM的数据分布)等针对各数据层次的不同的技术手段[12]，同时还有如许可制、网络匿名保护技术、数字水印技术、差分隐私保护技术等大量研究成果，都可以为保护个人隐私提供技术支撑。

4.2制定专门的数据安全保护法律法规只有对个人隐私进行专门的法律保护，才能实现全流程精准管理的目标。中国当前没有发布和实施专门的个人数据法，仅在2013年颁布了《关于加强网络信息保护的决定》，其强制力和效力都显不足，缺乏基础性的、综合性的网络信息安全法，没有形成具有针对性和前瞻性的法律法规体系，网络个人隐私安全领域“无法可依”问题较为突出，应当加快立法步伐，保证公民对个人信息的知情权、自决权和控制权等，尽快填补领域空白。同时，政府应注重数据生命周期的隐私分析、进行隐私风险评估监测及建立预警模型，明确风险级别，辅助各项法律法规的落地实施。

4.3加强行业许可规范及行业自律大型互联网公司在信息收集和整合方面占有绝对优势，其对待个人隐私的态度和行为选择影响深远。首先，应该实现行业标准化流程，坚持权利与义务对等的原则，自觉建立健全行业自律机制和数据访问机制。政府也应尽快制定行业规范，加大泄露个人隐私的惩罚力度等，对信息收集方做出严格的限制。面对互联网公司侵犯个人隐私的现状，应要求相关企业定期公开收集个人信息的过程，加大审查力度，直接接受用户监督。从长远来看，企业应当具备保护个人隐私的前瞻性目光，主动承担数据安全的社会责任，这将是其获得个人青睐与信任、实现长期良性发展的最佳选择。

4.4加强隐私教育与培养保护意识当前我国公民对于个人隐私的保护意识不够，具体表现在两个方面。其一，习惯并依赖于互联网服务，重披露轻保护，没有对个人数据隐私予以足够的重视；其二，或许人们意识到了隐私保护的重要性，但并不愿意为保护隐私做出让步牺牲[21]。要改变这种主体意识缺乏的现状，大数据时代的个人隐私保护宣传、数据隐私观念教育与相关技能培训至关重要。当公民网络素质、保护意识和防范能力集体提升，个人隐私信息保护成为一种国民意识和整体氛围时，会大大降低治理难度。