"棱镜门"被捅破,人们对于大量商业个人数据背后隐藏着的巨大经济与政治利益有了更加清晰深刻的认识.同时该事件也引发了一个新的话题:在信息爆炸的"大数据"时代,如何保证个人商业数据的安全性.
一、大数据时代
(一)大数据的涵义
许多人认为"大数据"还是个新生事物,而事实是,在物理学、生物学、环境生态学等领域以及军事、金融、通讯等行业,"大数据"的存在已有时日.对于"大数据",目前为止仍然没有一个统一的定义.但是从专家和机构的定义中,我们可以得出几个一般性的结论:首先,大数据源起于信息技术、社交网络、电子商务和物联网的发展.移动设备的普及和技术的飞跃使得人和物的所有轨迹都可以被记录,这些数据堆积就形成了海量的大数据.其次,数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产要素.最后,大数据是一种资产,其背后隐藏着大量的经济与政治利益.数据的交易链条已经初见端倪,未来数据可能成为最大的交易商品.
(二)中国的大数据市场
大数据来源纷繁复杂,获取渠道多种多样,但总的来说,大致可以分为两类:第一,结构化数据,即储存在数据库中的数据,约占大数据总量的10%.第二,非结构化数据,这类数据与人类生活密切相关,广泛存在于社交网络、物联网、电子商务中,比如邮件、视频、微博、帖子、手机呼叫、网页点击等等,这部分数据占到了大数据总量的90%.数据显示,每年诸如邮件、视频、微博、帖子、手机呼叫、网页点击等类型的非结构化数据增长率就达80%,并且这些数据里面包含了很多有价值的信息.
大数据背后的商业个人信息已经成为电子商务企业新的业务增长引擎.截止到2013年底,中国电子商务市场交易规模达10.2万亿,同比增长29.9%.其中,B2B电子商务市场交易额达8.2万亿元,同比增长31.2%.网络零售市场交易规模达18851亿元,同比增长42.8%.
电子商务的加速繁荣带来了大数据市场规模的急剧扩张.根据计世资讯(CCWResearch)研究数据,2012年中国大数据市场规模为4.5亿元,2013年增长到11.2亿元,且此后将保持每年超过100%的增长率,到2016年,中国大数据市场有望达到百亿规模.见图1.
大数据堪称一把双刃剑.一方面,通过获取与分析海量数据,我们能够获得人们的行为习惯的有效信息,从而对个体行为习惯进行推测,提供个性化和定制化的服务.广告主和电商们通过分析海量客户的购买行为能够了解客户,进行有针对的营销以提升业务.而与此同时,商业个人数据的安全边界更加难以界定,存在的信息安全隐患更多,网络用户的个人隐私也更加无处遁形.
(三)大数据时代的商业个人数据隐私保护
电子商务应用和大数据的出现使得大量信息的搜集、储存和利用变得更加快捷和低成本,但正是由于网络具有高度开放、流动和交互的特性,也使得这些商业个人数据也可能被无意泄露、传播甚至被不法分子滥用和买卖.如果不能规范这些数据的使用、保管和安全,数据的滥用和扩散必然会使消费者的个人隐私权受到极大的侵犯.同时,这也会使消费者丧失进一步参与电子商务的信心.
电子商务中的商业个人数据兼具无形财产权和人格权的双重属性,属于网络隐私权保护的内容.一般地,网络隐私权是指自然人在网上享有的与公共利益无关的个人活动领域或个人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的一种人格权;也指禁止第三人随意转载、下载、传播他人的敏感信息,包括事实、图像以及诽谤的意见等.一方面,网络隐私权的直接表现形式都是个人信息(或数据);另一方面,这些个人信息(或数据)又可能与个人的私人空间、私人活动关联.所以网络隐私包括私人信息而又不仅限于私人信息.
目前来看,由于利益的驱动,以虚拟网络为载体的电子商务中的商业个人数据正逐渐演变成商家疯狂追逐的核心竞争力,商业个人数据信息的收集、整理、贩卖已经逐渐形成一个链条.特别地,随着电子商务中的跨境交易日益活跃,跨境网络隐私权将是重要商业化规则.如何协调统一跨境交易中各国和地区的数据传输规则和标准、实现跨境电子交易中商业个人数据的有效保护已经引起广泛关注.
二、APEC跨境商业个人隐私权保护规则体系
(一)APEC跨境商业个人隐私保护规则体系的实施
2011年11月夏威夷APEC领导人非正式会议上通过建立了APEC跨境隐私保护规则体系(CBPRs),这是一项自愿的认证体系.加入CBPRs将帮助加入国与APEC成员经济体通过更加安全的方式有效地交换数据,保护消费者隐私.该体系主要包括自我评估、合规审查、认可/接受和争议解决与执行四个程序.而体系的具体实施则通过APEC和各经济体两个层面.
APEC方面,成立"APEC跨境隐私权保护规则联合监督小组",负责APEC区域内跨境隐私权保护的监督、协调和实施;建立CBPRs认证目录网站,公布APEC认可的CBPRs责任代理机构,以及CBPRs认证的商业机构名录.如果参加CBPRs的商业机构侵犯了消费者的隐私权,责任代理机构可撤销对该商业机构的认证,并从CBPRs认证目录网站中将其剔除.
各经济体方面,成立隐私权保护执行机构,具体监督落实各经济体内对个人隐私权和跨境隐私权保护规则,与其他经济体和APEC联合监督小组进行协调,处理跨境隐私权保护的问题;成立APEC认可的责任代理机构,对商业机构的隐私权保护进行审核,使其符合APEC跨境隐私权保护的规则并给予认证;建立参与APEC跨境隐私保护规则体系的认证目录网站的联络点,完成与CBPRs认证目录网站相关信息的沟通和对接.
(二)该规则实施对消费者的影响
APEC跨境商业个人隐私权保护规则为电子商务行业个人隐私保护提供了一个有效的竞争机制,能够提高整个行业对个人隐私保护的力度;另一方面,也能够增强消费者参与电子商务的信心,提高电子商务交易的效率.
首先,消费者在进行电子商务交易时,可访问CBPRs的认证目录网站,核对交易对方是否参加CBPRs,一般消费者倾向于选择参加CBPRs的商业机构,以使自己的个人数据得到有效的保护.
其次,在个人数据被非法传播、滥用导致个人隐私权受到侵犯时,消费者可向隐私权保护执行机构提起投诉.在接到投诉并核实投诉人的身份后,隐私保护执行机构首先会与投诉人和被投诉人接触,以断定投诉的表面证据是否成立.若表面证据成立,隐私保护执行机构会在投诉人与被投诉人之间进行调解.若争端无法通过调解解决,隐私保护执行机构可做出正式调查,假如调查证实材料使用者确有违反条例的规定,隐私保护执行机构可向资料使用者发出执行通知,指令其采取补救措施,或予以起诉.违反执行通知即属违法,可被判罚款及监禁.同时,也将被APEC责任代理机构剔除出CBPRs认证目录.
三、加强我国跨境商业个人数据隐私保护的建议
我国在跨境隐私保护方面起步较晚,但是也已开始了一些有益的尝试,如大连软件行业协会建立的针对使用自动或非自动处理全部或部分个人信息的单位而开展的个人信息保护能力的评价体系(PIPA).参与该体系的单位可以通过评价,得到个人信息保护合格证书和PIPA标志使用权,以证明单位的个人信息保护能力和水平,以此得到客户和消费者的信任.2008年6月19日,日本的P-MARK认证与中国的PIPA评价完成了全面互认,共用同一认证标志.这是国际上首个两国互相全面承认的个人信息保护认证体系的合作项目.
(一)积极推进加入APEC跨境商业个人隐私权保护规则体系
政府部门应积极推进中国加入APEC跨境商业个人隐私权保护规则体系,引导我国互联网交易企业走出去,进一步参与世界市场,分享利润,得到外国消费者的信任与认可.同时,参与APEC跨境隐私保护规则体系也有利于我国的电子商务与国际交流和接轨.
然而,欲加入APEC跨境隐私保护规则体系,我们还有很长的路要走.我国在个人隐私保护方面尚处于起步的阶段,参加CBPRs意味着我国需要建立规则体系规定的各项保护机制,这给我国从立法、行政等方面提出了一系列的要求.同时,也要求我国参与电子商务的商业机构从技术和制度上提高对消费者个人隐私权的保护程度.
(二)完善个人信息保护标准和法律法规
尽快建立和完善个人信息保护的专门法律法规是我国建立CBPRs规定的各项保护机制的首要任务,推动《个人信息安全保护法》的研究和制定更是重中之重.
据不完全统计,除了承担信息安全监管工作的工信部,公安部、国家保密局、国家密码管理局、卫生部、食品药品监督管理局、银监会、证监会、铁道部等部门都有规章文件涉及个人信息保护.现有的多部门交叉管理体制使得国家层面的个人信息立法工作进展缓慢.2008年9月,由中国社科院法学研究所部分专家研究起草的《中华人民共和国个人信息保护法》(专家建议稿)已经呈交国务院,但至今《中华人民共和国个人信息保护法》仍没有出台.如何将这些标准不同、侧重角度不同的部门性法规协调整合至统一框架下,形成《中华人民共和国个人信息保护法》的确仍有待时日.
立法需要时间,但是个人信息保护标准方面,我们已经有了统一的行动指南.2012年12月28日,全国人大常委会表决通过关于加强网络信息保护的决定,决定以法律形式保护公民个人及法人信息安全.2013年2月1日,中国首个个人信息保护国家标准---《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,中国个人信息保护工作正式进入"有标可依"阶段.
标准最显着的特点是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念.对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用.但对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权.
(三)倡导特定行业组织通过行业自律规范确立对个人信息的保护
作为一种民间的网络个人数据隐私保护模式,行业自律规范不是法律不具有强制力,主要依赖于行业内部成员的自觉遵守.在社会信息伦理道德准则比较缺失的今天,采用行业自律进行个人信息保护收效不甚明显.但是,行业自律也有自身的优点:面对瞬息万变的技术和市场发展,企业可以随时灵活调整网络个人信息保护的政策与方法,避免法律的僵化与滞后性.
目前我国仍没有有关隐私权保护的自律机制,但行业自律规范的建设初见成效.2013年2月1日正式实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》就是一部行业自律的指导手册.根据《手册》,相关监管部门可以依据国家标准的技术支撑,规范企业对个人信息的使用,构建政府引导下的行业自律机制,形成具有我国特色的个人信息保护模式.
(四)推动成立独立的第三方安全认证机构
行业自律规范是跨境商业个人数据保护的基本准则,引入独立的第三方机构,进行数据保护的安全认证与监督监测是行业自律规范得以遵守的有力保障.
从目前来看,商业个人数据隐私保护的第三方认证机构,基本都源起于一些自律性组织.既是裁判员又是运动员的做法引发了用户对第三方认证和监测的诸多顾虑和质疑.因此,尽快将现有的第三方安全认证机构独立出来,是加强商业个人数据保护、重构客户信任的重要一环.
目前,国内首个个人信息保护自律联盟---"个人信息保护推进联盟"和第三方权威信息发布平台---"中国个人信息保护网"正在筹备和组建中.该联盟和网站与"APEC认可的责任代理机构"和"CBPRs认证目录网站"的职能相似,即对商业机构的个人数据保护进行审核,对符合个人信息保护标准和规则的企业予以认证并在网站上予以公布.政府及相关机构应进一步推动该联盟与"APEC认可的责任代理机构"、"个人信息保护网"与"APEC认可的责任代理机构"和"CBPRs认证目录网站"的对接,推动我国尽快加入APEC跨境隐私规则保护体系.
(五)加强第三方应用商店监管
随着智能移动终端的普及,移动电子商务发展迅速.与此同时,智能移动平台应用商店附带的安全问题凸显,对用户隐私造成了更大的威胁.
据复旦大学一项调查成果显示,目前市场上最热门的330个安卓应用程序中,有58%存在泄露用户隐私的情况,约8500万名安卓用户隐私遭到泄露威胁.其中第三方应用商店的用户隐私信息泄露率在六成左右.2013年第一季度安卓手机安全报告称,全球的安卓系统安全威胁中,中国大陆地区以26.7%的比例高居首位.其中以隐私信息窃取为目的的恶意软件高达24.3%,排在首位.
第三方应用商店在国内的发展刚刚起步,在审核、应用测试、版权保护以及虚拟交易等众多环节上仍存在缺陷,系统的监管机制未建立.
政府方面,应尽快出台相应的行业标准和规范,将移动应用商店纳入行业监管范畴、健全处罚与退出机制,强化其对移动应用的安全管理责任.同时进一步强化"事前准入",完善"事中监测"与"事后处置",建立贯穿应用全生命周期的管理流程.第三方应用商店自身也应积极规范管理,加大对手机安全市场的研发投入,尽快完善手机安全软件的功能,并对用户的个性化和细分化安全需求予以重视和支持,例如对手机支付账户安全的保护、对智能手机中个人私密信息的保护等,为用户创造绿色安全的使用环境.
(六)进一步规范第三方B2C平台供应商对用户的信息保护
据网络媒体报道,京东商城、当当网等B2C电子商务网站均存在用户资料泄露的情况.互联网漏洞报告平台WOOYUN称,京东商城存在用户权限控制不当的漏洞,会导致用户资料完全泄露,易被第三方获取.更有消息称,支付宝、光大银行、交通银行也卷入了"泄密门".
虽然这些B2C平台供应商和企业都纷纷发布公告试图澄清自己不存在用户资料泄露,但事件的本身还是引起了广大电商用户对第三方B2C平台供应商的质疑.第三方B2C网站涉及网民的多种个人隐私信息,包括姓名、手机、住址、爱好、银行账户等.这些信息一旦泄露,后果将十分严重.
为供需双方搭建贸易平台的同时,第三方B2C平台供应商也应从自身出发,将对用户的商业个人数据保护纳入到日常的工作中来,进一步提高信息保护技术水平,规范监督和保护程序,积极引导电商企业与在线消费者共同构建第三方电子商务平台信任机制,促进网上各交易主体建立彼此信任关系,并运用多种手段促进两者之间的良性互动,推动电子商务朝更有利的方向发展.
[参考文献]
[1]DCCI互联网数据中心.大数据时代的五个转变[R].2012-07-26.
[2]中国计算机报编辑部.大数据:市场规模达到4.5亿元[N].中国计算机报,2013(6).
