个人信息泄密的损失分级估算方法

2012-10-20刘雅琦

统计与决策 2012年8期

刘雅琦，张扬

（武汉大学a.信息管理学院;b.电气工程学院,武汉 430072）

0 引言

中国第一大同学门户网站“中国同学录”上9000万个人信息被买卖，包括电话号码、手机号码、家庭及工作地址、MSN、QQ等联系方式，甚至可能有婚姻状况、犯罪记录、银行借贷记录、个人财产记录等个人信息。而早在上世纪中后期，美国征信业（Credit Bureau Industry）利用数据库技术和存储装置建起的信息系统，可以跟踪大约8千万个美国家庭有价值的信用和财务的信息。

国内外为了防止用户权益遭到损害，进行了大量立法，如欧盟国家保护个人信息的法律《个人数据保护指令》[1]，美国的《隐私权法》[2]等，对个人信息的数据泄露的相关刑责都进行了详细区分。国内这方面比较零散，根据《中华人民共和国宪法》[3]中的人格权保护条款，隐私权作为一种人格权在宪法层面上得到保护。

然而，由于中国并未正式出台《个人信息保护法》或者《隐私权保护法》，个人信息泄露和个人信息侵权，难于计算其损失，更无法给出准确的分级估算。这使得涉及个人信息案件的审理和索赔都无法可依，判罚和量刑尺度都较为模糊，因此需要一种定量的计算方法给予补充。本文提出的定量评估方法主要是针对法律责任带来的损失（包括行政处罚责任、民事索赔责任、刑事责任）以及舆情损失等两大部分。

个人信息对于个人而言本质上是属于需要保密，不愿意随意公开的信息。我们认为可以借鉴我国于2010年施行的《中华人民共和国保守国家秘密法》[4]的保密分级体系来区别对待不同的个人信息。国家秘密法的体系将国家秘密的密级分为“绝密”、“机密”、“秘密”三级。“绝密”是最重要的国家秘密，泄露会使国家的安全和利益遭受特别严重的损害；“机密”是重要的国家秘密，泄露会使国家的安全和利益遭受严重的损害；“秘密”是一般的国家秘密，泄露会使国家的安全和利益遭受损害。因此个人信息的损害也可以参照这种分类方法进行分级。这给侵犯个人隐私的行为从法律责任的评估上来说带来了依据。

个人信息损失最重要的因素就是隐私被公开，被他人知晓和讨论，这一方面体现为舆情损失。舆论给个人生活带来的巨大影响，这在一些轰动全球的个人信息泄密事件中得到充分体现，尤其是像“水门事件”这样的丑闻。而该损失实际上难于计算。本文拟针对舆情传播的特点，提出按照舆情产生、传播、振荡和衰减过程，并结合常用的衰减函数，分析该过程中的舆情损失；通过个人信息泄露损失的定量分析，给出某一事件的损失定量尺度，为今后的法律和经济相关问题提供一种客观参考。

1 泄密问题的表示

本文的定量分析方法在数学上和经济学上属于风险和损失评估算法，需要考虑的主要是发生概率，因此在描述一个人信息保密事件和泄密问题中，采用概率的方法。

1.1 泄密问题的时间描述

从直观意义上说，概率是随机事件发生的可能性的量度[5]。在统计学中，“随机变量”一词是众所周知的，是人们所关心的变量。取随机变量的样本，对其进行统计计算，以便知道如何预测个人信息的状态。在本文研究中，主要的随机变量是时间t，泄密前的时间或者称为泄密时间。然后通过分析有关时间数据的性质。这些信息用来预测个人信息造成的损失以及应当承担的索赔损失等。

表1假设记录了某10条个人信息的泄露前时间，也就是它们的失效前时间，或者用样本的平均泄密时间(Aver-age Information Leakage Time,AILT)来描述。

表1 个人信息的失效前时间

则通过计算平均值，可得AILT=3248h。

1.2 泄密问题的泄密度

保密性是个人信息能够得到有效保护的指标。本文定义保密性为“个人信息在一定的技术和规范下，能够不遭到泄露的概率”。这个定义包含如下4个基本要点：

（1）必须预先知道该技术和规范的预定功能；

（2）必须知道要怎样操作才能完成该功能；

（3）必须确定达到良好状态的标准，这是由于绝对不泄密是不可能发生的，因此需要一个判据来判断这个标准；

（4）必须知道所有规则的技术规范细节。

在数学上，保密性能够有一个严格的定义，也即“在0到t的时间范围内，设备正常工作的概率”，用随机变量t来表示

图1 保密函数的图示

保密性等于时间大于T的概率。

考虑到一系列个人信息被保存到某数据库系统中且该系统通过了安全测试，这就意味着，泄露该信息不是一个必然事件。在t=0时将其投入某数据库中并长期保存。随着时间的增加，能够不泄密的内容就会逐渐减少。因为实际上所有的信息最终都会失效，这是个人信息的时效性所决定的。因此，当时间趋近于无穷大时，保密的个人信息的概率就会趋近于0。因此，保密函数起始于概率值为1的点，而终止于概率为0的点。保密函数的图像如图1所示。

保密度是保密时间的函数。“个人信息的保密度是0.95”这种说法是没有实际意义的，因为根本不知道时间间隔有多少。“在存储了100个小时之后可靠度是0.98”才是有意义的说法。

对于保密法律损失的问题，更关心的是其反问题，即泄密度。泄密度是指个人信息被泄露的一个指标。本文将其定义为“在0到t的时间间隔内，个人信息泄密的概率。”也即表示为

采用随机变量t，泄密度等于失效时间小于或者等于工作时间的概率。由于任何个人信息都只有处于保密和泄密两种状态的一种，因此F(t)是R(t)的补，也即

F(t)是一个累积分布函数，它起始于0而终止于1。

在数据库系统运行中的任何一段时间里，发生泄密的概率能够通过概率密度函数所给出，通过统计学，能够知道

这可以解释为：泄密时间t发生在工作时间T和下一个工作时间的时间间隔，也即T+ΔT之间的概率。进一步写出表达式为

1.3 以负指数函数表示的泄密度

在保密与泄密问题上，一个很有用的概率密度是负指数分布概率密度[6]，这个密度定义为

换言之，如果个人信息具有指数衰减的泄密规律，那么他们的泄密率就是常数，常数泄密率能够基本反应一定规范下的个人信息的保存特性，也即泄密具有衰减性。然而，在大多数情况下，常数泄密率代表了最坏的情况，因而仍然能够被使用。

1.4 以负指数函数表示的AILT

个人信息的AILT可以由其公式推出

例如，如果某一数据库系统的个人信息的泄密率为150FIT（1FIT=1×10-9h-1），当其被存储1000h的时候，其保密度 R(1000)=e-0.00000015×1000=e-0.00015=0.99985 ，则

2 泄密损失的法律责任带来的损失分级计算

2.1 泄密损失的法律责任分级

在考虑法律损失问题时，还需要注意的一个问题是，不同个人信息的损失是不同的，这是严重依赖于分级的，若表1中的个人信息泄密时间与泄密严重度有关，则可列出表2。

表2 个人信息的失效时间与密级

本小节的分级采用一般、秘密、机密、绝密四个等级，该四个等级造成的损失程度不相同，这在数据库系统的个人信息存储中实际上是存在的。如个人的姓名和性别属于一般等级，个人的婚姻状况是秘密等级，个人的身份信息等属于机密等级，个人身份银行账号和密码等属于绝密等级，不同的泄密产生的后果差别较大本小节的保密分级与引言中提到的《中华人民共和国保守国家秘密法》是一致的。

“秘密”是一般的个人信息秘密，泄露会造成公民的利益遭到损害。这种情况下，一般认为，泄露秘密会受到行政投诉和举报，但是较难于进行公民索赔诉讼，但是会遭到行政警告和处罚。“机密”是重要的个人信息，泄露会使得公民权利和利益遭到严重损失。在此种情况下，泄露秘密会受到行政问责和行政处罚，并伴随公民的民事索赔诉讼。“绝密”是最重要的个人信息，泄露会使得公民的基本权利和利益遭到最严重损失。在这种情况下，泄露秘密不仅会受到行政问责和行政处罚，也会受到公民的刑事伴随民事索赔诉讼。

2.2 法律责任带来的损失计算公式

将上述问题进行定量分析，需要列出表格如表3。

表3 个人信息密级与损失

在表3中，C是赔偿金（Compensation）的缩写，a为行政处罚（Administration Penalty）的缩写，c为民事诉讼（Civil Action）的缩写，r为刑事处罚（cRiminal Penalty）的缩写。实际上，个人信息的综合法律损失是由这些部分构成的。

如前述理论，假设个人信息每条的泄密率或者AILT可以通过衰减估算得到，例如泄密率已知，分别为λ1、λ2、λ3、λ4代表了从一般、秘密、机密到绝密的泄密率。则可以计算出，从0到T时刻的法律损失总量期望值为

式(13)是法律损失的计算公式，也是评价个人信息法律责任的计算公式。

3 舆情造成的损失评估

3.1 舆情的生命周期及其特征：

舆情是由舆情因变事项而引发的民众社会政治态度[7]。舆情具有正当性。舆情民意在国内当前发挥了许多正面作用，对于追求社会公平、公正和公义发挥了巨大作用，对法律本身的不足进行了补充，维护了公民的基本人权。舆情的传播是难于定量分析的，其造成的损失目前也无成熟的方法。结合当前信息化条件下的网络环境，舆情在其生命周期可以归结为：开始、扩散、振荡和衰减，如下图2所示。

在舆情生命周期的开始具有突发性、迅速性。舆情的形成具有突发性是因为事先很难预料哪一类舆情能够得到人们的关注，该问题的形成与当前的价值观、公共利益和事件本身的性质等有较大关系。并且在网络情况下，出现的地点也较难确定。舆情的发展具有迅速性是由于当某一特定事件的舆情形成后，借助于媒体，主要是互联网方便、快捷、迅速的特点，在短时间内将会急速扩散和传播，大面积的爆发。

舆情在扩散过程中具有非理性。民意容易受到宣传的煽动，并快速传播。大部分情况下，舆情并不是理性分析与评价的结果，而是会随着相互的碰撞出现非理性的各种情绪，并且由于信息的不充分和片面性，民意很容易被特定的观点左右，形成大规模的舆情状况，并进行累积。

舆情的振荡传播过程中存在较强的波动性。舆情的发展，伴随着焦点事件的发展变化以及传统媒体、政府机构等社会组织发言人等各方面的意见的影响，网络舆情产生发生不断的合并和分化，因此会出现舆情降低和升高的波动。

舆情的衰减过程说明舆情的演变最终会低落并且淡出公共视线。随着时间推移，如果没有更多新的因素加入该问题，公众的情绪会逐渐衰减，并对自己的观点以及他人的观点进行思考，并开始朝着理性的方向发展并产生遗忘。

3.2 舆情的开始和扩散

图2 舆情生命周期

舆情本文体现的是负面价值，也即个人信息泄露带来的舆情的负面影响，而并不主要研究其对法制建设正面的推进价值。本文假定在舆情发生的时间内，外界的法律环境并不会发生重大变化（事实上也往往如此）。因此对法律进程的正面改善价值有限，可以将其忽略掉，主要考虑的是由于舆情的非理性带来的损失问题。

假设舆情发生的时刻为0时刻，根据舆情的突发特征和迅速性特征，可以舆情发生存在发生概率 Kp，也存在短时间（几乎立刻发生）的一个突发规模U(0)，单位为人，如图3所示。

图3 开始阶段的函数

参考控制论中的相关同样，这是一个典型的阶跃函数[8]，因此舆情形成阶段用函数表示为

舆情传播阶段，根据舆情传播特征的第4条特点，并考虑如下细节：传播是一对多的传播，假设一个人能够在t到t+T时刻内传播给μ个人。也即第一个时刻有

而扩散阶段人数的初值实际上是由式（14）决定的，也即代入式（15）可得

由于舆情传播速度很快，因此必须考虑到基准T的尺度选择要比较合理。而舆情相关的人数不可能是无限制增大，因此还必须满足条件

特殊情况下，如果不求精确评估，可以直接采取最大值作为N的取值。本文就采用这种方式。

3.3 舆情的振荡和衰减

舆情的振荡与衰减阶段，实际上振荡过程是衰减过程的一种特殊情况，因此将这两个过程合并。考虑舆情达到最大值后的振荡实际情况，画出原理图如图4。

也就是说，造成舆情振荡的原因主要体现为三种不同的意见所导致的，而主流意见实际上是受到煽动性意见和消极性意见的影响。煽动性意见会增大舆情的人数，而消极性意见会减少舆情参与的人数。用v1表示主流意见人数，列出一般的振荡与衰减的通式为[9]

图4 舆情的振荡与衰减的原因分析

近似的，舆情的振荡衰减过程可表示为

根据实际舆情的持续时间，确定衰减函数的一般性质，判断衰减强度η和振荡强度κ，以及振荡角频率θ。

3.4 舆情的损失定量法

舆情由于是一种民意政治态度，但是又会直接或者间接影响到人。因此，本文采取的损失定量法，是针对舆情出现的各个阶段的关注总人次，加以权衡，以判断该事件的影响和损失大小，从而将事件分为紧急、严重、一般、次要事件四个等级，从而考虑界定法律责任和经济损失。而总人数的公式，根据求和的积分公式，代入式（19），可得

则可根据表4来进行损失分级。

表4 舆情事件分级与损失额度

采用四级损失额度，这是由于舆情的特殊性所决定的。舆情损失必须含有上限和下限，而该上限和下限的决定，本文建议参考当地居民的平均收入值进行加权计算。则最终公共部门个人信息泄密的损失计算公式为

式（21）由式（20）和式（13）共同决定。

4 算例

本文以某两位明星的个人事件为例来分析该计算方法。该事件在15天时间内被浏览47900余次，18天左右累计日浏览达到480000余次的峰值，之后在22天出现870000余次的振荡高峰、24天出现下滑，直到45天左右淡出最热门的事件。这一事件导致某些明星的职业生涯受到毁灭性的打击，作为一个高度发达的城市，该城市的平均收入在亚洲排名靠前，因此本文的示例通过欧美发达国家的相关法律法规来进行，也是考虑到经济方面与发达国家更为类似。该事件并未产生刑事诉讼和行政处分，因此考虑的更多的民事经济责任，也即处于本文所划分的秘密分级下。

根据欧美相关的法律，泄露他人个人信息所面临的处罚见表5[11]。