本文來自微信公眾號： 潛望工作室（ID：qwworkshop） ，作者：姬煜彤（中山大學哲學系博士生） ，責任編輯：張辰茜 陳思棋 夏詠琪，責任主編：倉月，原文 標題：《大數據時代個人隱私數據保護的挑戰與思考》，題圖來源：視覺中國

數據作為當今世界最為重要的資源之一，對于現代社會的發展具有難以估量的價值。但隨之而來的數據濫用、個人隱私泄露等問題卻令人擔憂。而隨著《數字安全法》《個人信息保護法》等新法的出臺和實施，我國數據監管環境日漸趨嚴對互聯網企業既是機遇也是挑戰。

一、大數據時代個人隱私數據泄露已成為全球重大的社會問題

隨著信息技術的飛速發展，“數據化生存”已逐漸成為人類社會運行的常態，數據在公共管理、科學研究、企業營銷等領域發揮著重要作用。

疫情發生以來，利用大數據技術分析疫情擴散情況，為政府精準決策、科學防治疫情提供了數據支撐。以阿里巴巴、百度為代表的互聯網企業，運用數據挖掘和分析技術對消費者購買行為和瀏覽偏好進行預測分析，生成更有針對性的內容推送和營銷策略。

但是，數據在帶來信息時代福利的同時亦會引發數據濫用、個人隱私泄露、企業商業秘密受侵犯等諸多問題。

縱觀全球，隱私數據泄露的案例比比皆是，據統計，2020年互聯網數據泄露總條數約為360億條，數據泄露事件給企業造成的平均損失高達386萬美元。2018年，Facebook上億用戶數據泄露事件引發世界輿論的關注。今年7月，Amazon因違反歐盟《一般數據保護條例》 （GDPR） 條例，被歐盟隱私監管機構處以7.46億歐元罰款，這也是歐盟有史以來最大的數據隱私泄露罰款。

在我國，隱私數據泄露所涉及的范圍日益擴大，陷入困境的行業、企業也越來越多。如美團、餓了么等外賣平臺曾被爆出用戶資料遭泄露、倒賣，最低不到一毛錢每條的數據，精確到了用戶訂餐內容、地址等私密信息；萬豪集團旗下喜達屋酒店客房預定數據庫遭黑客入侵，約5億名客人的信息被泄露。

從以上的案例可以看出， 在大數據時代，互聯網平臺大規模采集用戶數據，并將用戶的個人信息長期集中化儲存，而數據一旦泄露就是大規模的群體事件 ， 不僅侵犯用戶的隱私權、侵害公民生命財產安全，還將對互聯網企業自身造成不可預估的經濟損失，數據泄露后對企業聲譽的負面影響也很難消除。

目前，面對個人隱私數據泄露的重大社會問題，許多國家、地區都出臺了相關法律法規，試圖從宏觀角度，對數據隱私的保護提供強有力的支持。我國對個人信息保護的法律法規在近些年陸續出臺，如《個人信息保護法》已于今年11月1日起施行，強調在嚴格保護個人信息的基礎上，規范數據的利用與流通，《個人信息保護法》也與《網絡安全法》《數據安全法》一起構筑起我國網絡空間活動監管的三大基石。

筆者認為，我國數據監管環境趨嚴對互聯網企業既是挑戰也是機遇：新法在正式實施后具有權威性，處罰將有法可依；不過這也為鼓勵科技企業站在更專業的角度去測評和整改現有平臺數據保護的模式提供了機會。

二、大數據時代個人隱私數據保護的難點與挑戰

1. 個人使用需求與數據自我保護的矛盾

在萬物互聯的大數據時代，各類互聯網個性化服務和精準推送都無法離開對用戶數據的采集。

比如，網購數據會被電商采集和識別、社交媒體使用數據會由運營商收集分析、網絡檢索行為數據被搜索引擎記錄等等。雖然數據采集者在某一個時間和空間上只能截取“碎片化”的個體行為數據，但經過大數據技術對這些數據進行整合，就可以精準定位到某個個體以及與之相關的一系列隱私信息 （吳衛華，2019） 。

在獲得用戶數據授權的方式上，最常見的是采用“注冊即視為同意《隱私政策》與《Cookie協議》”的默認勾選或“一攬子”授權同意、概括式同意 （葉開儒，2020） 。當有用戶在注冊階段質疑數據的過度采集，點擊“不同意”信息被采集的按鈕以拒絕Cookie的追蹤后，結果往往是無法正常使用網站，并以“閃退”的方式退出網頁。

但是， 對網絡平臺有強烈使用需求的用戶，他們為了能享受各大平臺提供的服務，還是會主動讓渡個人信息以獲取使用的便捷性。 更重要的是，雖然隱私權政策中有說明會把個人數據提供給第三方，卻未提供第三方信息，通過格式條款使用戶同意了各種不可預見的數據處理行為。

由此可見，用戶的使用需求與數據自我保護的矛盾，是我國當前數據隱私保護的難題之一。

2. 利用數據追求利益最大化引起的數字權利濫用、數據壟斷亂象的問題

數據對于現代互聯網企業而言，可視為核心的資源優勢和競爭優勢，擁有大規模用戶數據將有助于企業進行商業推廣、精準營銷、產品迭代等業務。各大網絡平臺在利用數據追求利益最大化的同時，也引發了個人信息濫用程度加重、企業數據壟斷亂象頻發的數據安全風險。

以網購平臺的個性化推薦技術為例，許多網絡用戶會發現，當自己只是出于好奇或誤點了一個商品鏈接，就會被不斷地推送相似內容的產品。這種精準推送背后的邏輯是平臺基于算法做出的自動化決策，不透明性使用戶無法理解算法的機理，從而帶來不公平性的問題。

更為嚴重的是，大型互聯網企業中一旦有個別內部員工將企業收集的用戶訂單、瀏覽、消費記錄等數據二次販賣給其他公司，使用戶數據被再次處理并作為其他公司盈利的手段，這不僅超出了用戶授權個人信息給平臺以換取便捷服務的合理預期，而且這無異于用戶在網絡空間中“裸奔”。

除了過度利用用戶精準畫像進行個性化推薦，基于數據壟斷優勢進行“大數據殺熟”“二選一”等侵犯消費者權益的行為，實際上都反映了用戶不能自主把控數據信息所形成的算法決策。雖然歐盟GDPR條例已提出算法需要具有透明性、可解釋性，但如何向用戶解釋算法仍亟待落實。

3. 企業數據安全保護面臨外部攻擊的挑戰

當前，數字技術促使數據應用場景和參與主體日益多樣化，數據安全的外延不斷擴展，互聯網企業數據安全保護面臨外部攻擊的風險和挑戰。

首先，黑客利用互聯網平臺存在的安全漏洞入侵企業網站，竊取用戶數據庫導致個人隱私和企業機密泄露。特別是近幾年“爬蟲”技術的廣泛應用，給予了很多不法人員對于數據竊取的可趁之機。

今年6月，河南商丘公開了一份判決書，顯示有網絡黑客對淘寶實施了長達八個月的數據爬取并盜走大量用戶數據。在阿里巴巴注意到這一問題前，已經有超過11.8億條用戶信息遭到竊取。黑客利用這些信息建了上千個微信群，每天用機器人在群里發淘寶優惠券，賺取返利。早期的互聯網和網絡郵件的領導者雅虎在遭到黑客攻擊后，暴露了雅虎全部用戶 （超過30億） 的信息，這一事件是至今全球規模最大的單一網站數據泄露案，最終導致雅虎關張。

因此，網站的海量用戶數據不僅是企業的核心資產，也是民間黑客攻擊的主要對象，大型企業的數據安全管理在大數據時代面臨更高的要求。

其次，企業在實現SaaS化服務過程中，會將數據與第三方機構交換與共享，但是，當企業對合作第三方收集使用用戶數據的監測、管理不到位時，將會面臨潛在的第三方風險。

在Facebook“泄密門”事件中，Facebook上5000萬用戶的個人信息被第三方機構劍橋分析公司收集，隨后建立起用戶畫像，預測他們的政治傾向，并借助Facebook的廣告投放系統，最終影響用戶的投票行為。雖然本案的主要責任不在Facebook，但社交網絡平臺是劍橋分析公司在檢測數據時最重要的依仗，Facebook負有不可推卸的責任。

利益驅使第三方機構非法獲取、利用個人隱私數據獲利的問題同樣也是我國互聯網企業數據安全保護面臨的棘手困境之一。

三、應對大數據時代隱私數據保護難點的措施

1. 緩解個人使用需求與數據自我保護的矛盾可行路徑

首先，大數據技術提供服務，離不開對用戶數據的采集，但是，如果以一刀切的方式，拒絕提供所有的個人數據來進行數據隱私自我保護，又與消費者尋求優質網絡服務以及規范互聯網行業發展的需求相悖，在當前的互聯網語境下并不適用。

今年9月1日正式實施的《數據安全法》中指出了數據區分的重要性，明確了數據分級分類保護的制度。進行數據分層保護，一方面可以從用戶的身份角度考慮，綜合用戶的性別、年齡、職業等多方面維度進行隱私分級。對于自我保護能力較弱的兒童，其個人數據應列入敏感數據范圍之中；另一方面是從數據隱私的內容進行劃分，對于宗教信仰、政治觀點、健康數據、生物識別數據等敏感數據，在泄露后會對個人隱私產生嚴重危害，應該是數據隱私自我保護的重點，需進行強力的保護，避免被采集和濫用。

其次，平臺隱私政策在制定時需要同時考慮平臺運行的需要與用戶隱私感知的滿足之間的關系，如過長的隱私政策文本會造成閱讀量下降甚至客戶流失，個人數據用于新的目的還需再次提醒并征得用戶同意，可能導致用戶一定程度的“同意疲勞”而不經閱讀直接給出同意 （曾麗潔，2020） 。

因此，我國互聯網平臺可以參考美國聯邦貿易委員會 （FTC） 《公平信息實踐準則》要求下的簡化隱私政策的“最優實踐” （BEN-SHAHAR O et al.，2016） ，并且加上警示標志增加用戶的關注度。

此外，要更充分地保障用戶的知情權，平臺可以在顯眼的位置注明Cookie的定義、如何使用 Cookie等信息，尤其是隱私權政策應該讓用戶清楚知道自己的個人信息會在何時被商業利用。

最后，我國民眾也需要主動學習網絡安全知識和隱私權方面的內容，如定期清理離線緩存文件及Cookies文件；在使用互聯網軟件時應仔細閱讀相關隱私條款，實踐中，許多用戶并未認真閱讀用戶協議或隱私政策就直接點了“同意”，這就減弱了授權機制的實際警告效果；在正確判斷軟件的應用價值和隱私泄露風險，以及權衡各種利弊后再決定是否同意授權個人隱私數據。

2. 互聯網企業要謹慎采用個性化推薦技術，并積極參加個人信息保護的合規合作

數據作為數字營銷的核心要素，各大互聯網平臺通過收集用戶數據用于內容推送、定向投放、精準營銷等業務，以實現其利益最大化，但也由此引發了“算法歧視”“大數據殺熟”等諸多侵犯消費者權益的風險。

我國陸續出臺和實施的《數據安全法》《個人信息保護法》，將會在一定程度上削弱部分企業的算法優勢，給過度依賴用戶數據的企業帶來挑戰。比如，很多效果廣告的投資回報率可能會降低，精準廣告投放會收到不小的沖擊等。

面對新法新規，互聯網企業需要對現有的數據主義和機器算法進行糾偏，回歸到內容本身上來。

因為算法本身存在很多局限，過度運用用戶畫像進行個性化推薦容易導致數據統計偏差，信息出現同質化；過度追求商業利益，也容易導致信息低俗化。

企業平臺需要解決的是如何通過程序設計來保障公平、正義的實現，并借助于技術程序的正當性來強化智能決策系統的透明性和可解釋性。而在研發出可靠的計算機輔助工具進行數據處理之前，可以通過“人工推薦+智能篩選”相結合的推送方式。

另外，互聯網企業要積極參加個人信息保護的合規合作，制作企業數據管理制度和操作規程，對企業內部員工進行安全教育和培訓，使得數據保護能力也成為企業發展中重要的評判指標，把對于企業的被動監管變為自律規制模式，培養一個良性安全的數據流動環境。

3. 互聯網企業需要提升數據安全防御能力，對合作機構的合規管理及責任劃分

在數據隱私侵權主體多樣化、數據隱私侵權模式復雜化的大數據時代，潛在的黑客攻擊行為越來越多，對企業數據安全保護造成了極大挑戰。

騰訊云安全李濱指出，如果企業無法管理好自身擁有的數據，本身就會帶來非常大的合規治理方面的約束和風險。因此，現階段大型互聯網企業要強化自身技術能力以對抗數據安全的威脅，確保相關敏感、涉密數據遵循統一的處理策略，對網絡系統進行定期技術性檢查，防止敏感數據泄露導致對公司、用戶以及社會產生嚴重影響。

同時，對于像騰訊、阿里巴巴、百度等巨頭互聯網企業來講，出于技術或業務需要必須進行數據合作時，就要十分謹慎地選擇第三方處理者，選擇能夠采取足夠適當的技術和組織措施的處理者。對內部、外部參與各類數據處理活動的當事人及其角色進行梳理、評估和劃分，區隔作為控制者與處理者各自的職責及相應的義務 （曾麗潔，2020） 。對于必須共享和轉讓給第三方機構的用戶數據，要避免共享簡化，不能事先利用“一攬子”協議將用戶所有相關授權窮盡，而應分項明示。不論第三方是否采取了同樣的隱私保護政策，與之進行匹配數據交易前，還需要堅持用戶自愿的原則，經過用戶的同意方可操作。

參考文獻：

【1】去年，360億條數據泄露！

[EB/OL].https://www.sohu.com/a/477118279_480379，2021-07-13.??

【2】亞馬遜被歐盟罰款8.88億美元：違反數據隱私法規[EB/OL].http://finance.sina.com.cn/stock/usstock/c/2021-07-30/doc-ikqciyzk8605468.shtml，2021-07-30.

【3】《中華人民共和國個人信息保護法》11月1日起正式實施 個人信息安全有了“防護鎖”[EB/OL].http://k.sina.com.cn/article_2456473762_926ad0a202001hd61.html?display=0&retcode=0，2021-09-21.??

【4】吳衛華.個人隱私保護的倫理反思與體系建構[J]. 中州學刊，2019(4):166-172.

【5】葉開儒.數據跨境流動規制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[J]. 法學評論，2020，38（01)：106-117.

【6】數據安全問題升級：關鍵領域的影響、對策與機會[EB/OL].https://www.01caijing.com/article/283550.htm，2021-08-24.??

【7】《中華人民共和國數據安全法》正式施行 筑牢數據安全之盾

[EB/OL].https://m.thepaper.cn/baijiahao_14811208，2021-10-08.??

【8】 曾麗潔.歐盟《通用數據保護條例》框架下智能傳播平臺數據合規風險防控[J]. 武漢交通職業學院學報，2020，22（03)：1-11+37.

【9】BEN-SHAHAR O，CHILTON A．Simplification of privacy disclosures: an experimental test［J］．The Journal of Legal Studies，2016，45( S2) : 41－67．

本文來自微信公眾號： 潛望工作室（ID：qwworkshop） ，作者：姬煜彤（中山大學哲學系博士生），責任編輯：張辰茜 陳思棋 夏詠琪，責任主編：倉月