【背景链接】
个人数据的逆差将危及国家安全,大数据环境下,个人数据的流出就是资源的流出。在个人数据方面没有前瞻性的举措,不仅在产业方面失去优势,还将影响国家信息安全及国际竞争力,甚至会在数据资源的国际竞争中错失良机。
随着大数据技术的不断进步,数据资源的战略价值引起了普遍重视,奥巴马政府甚至将其视为“未来的新石油”。由于直接反映用户偏好,体现市场需求,个人数据尤其备受关注,其应用价值不断凸显。公共部门通过个人数据大数据挖掘,可以为政策制定提供参考,提高公共服务效率;企业部门通过个人数据大数据挖掘,可以发现市场需求、开展市场细分以及创新产品和服务。对于这一战略资源,我国在开发利用过程中存在一些问题,亟需解决。
【深度解析】
[存在问题]
一是隐私顾虑影响个人数据规模增长,隐私风险的不可控性导致个人隐私顾虑。一旦个人数据脱离主体被其他人占有,隐私风险便产生了。由于不能准确把握个人数据的来龙去脉,隐私泄露风险将潜伏于流转的各个环节,无法把握风险的控制点,很容易瞬间导致大范围扩散。
二是黑市交易猖獗加剧个人隐私顾虑。不少数据收集者记录、收集大量个人数据,并将原始或者粗加工的个人数据进入地下市场销售;个人数据需求方利用从黑市中购买而来的个人数据,为其特定的客户进行粗放式的营销与广告服务。交易产品主要为原始个人数据,停留在对个人手机号、消费商品等原始的一次数据范围内,并不存在后期的精细化加工。这种行为将在多轮的市场交易过程中得以强化,一方面,使得个人数据市场难以向更高层次进化,出现低端自锁;另一方面,使得人人自危,不敢分享其个人数据。
三是个人数据缺失使大数据发展成为无本之源。大数据技术及产业发展的前提是数据规模的不断扩大、结构的不断丰富。隐私顾虑的增加,导致数据总量或者有效数据量越来越小。
四是现有法律不利于个人数据流动。我国刑法有“出售、非法提供公民个人信息罪”,使得个人数据流动很容易步入雷池,也就使得国内规范企业不愿或不敢购买个人数据资源。数据资源的匮乏使其在国际市场竞争中处于劣势,制约创新能力的提升。
五是黑市交易增加了个人数据流动成本及风险。个人数据卖方由于考虑到黑市交易的法律惩处风险,将提高个人数据的出售价格,即风险升水。卖方将通过提高售价的方式,将风险捆绑出售,完成风险转移。对于买方而言,购买个人数据违法风险是额外开支,是其通过生产要素市场获得生产资料所支付的额外成本。该额外成本分散了企业在生产方面的投入,降低企业在产品创新方面的相对投入,影响了创新能力的提升。
[国外措施]
国外企业加快市场布局,已出现了一些较规范透明的个人数据交易市场。不但新创企业不断涌现,不少国际巨头也在探索个人数据产品交易。例如,日本富士通建立了数据交易市场“Data plaza”。目前在Data plaza买卖的数据包括购物网站上的购物记录、出租车上安装的传感器获得的交通堵塞、信息智能手机的位置信息、社交网站(SNS)的帖子等。美国的新创企业Personal公司就鼓励用户上传其数据,并能通过出售数据获利。此外,美国的新创企业Factual公司推出数据超市。
首先,国外对个人数据出境管理严格。美国、欧盟等信息服务业较发达的国家意识到个人数据的价值及风险,加强制度建设,限制个人数据出境。如欧盟1995年制定的《欧盟隐私保护指令》对“向第三国传输个人数据”进行了专门规定,只有第三国提供“充分保护”时才可传输。尤其斯诺登事件发生后,巴西、澳大利亚等国纷纷出台法律,要求本国居民的个人数据必须在本土处理,不能传输出境。
其次,美国政府积极引导境外个人数据流入,最为典型的是美欧之间的个人数据流动。美国作为信息产业领头羊,具有压倒性的优势,依据市场机制调节作用,将是个人数据净流入方。而《欧盟隐私保护指令》限制了个人数据的出境,美国为了推动欧盟个人数据的流入,积极协调,与欧盟签订了“安全港”协定。
再次,个人数据的逆差将危及国家安全,大量国民尤其是重要公务人员的个人数据,与国家信息安全息息相关。一方面个人数据的外流毫不设防,另一方面数据流入受到种种限制,个人数据逆差持续扩大。大数据环境下,个人数据的流出就是资源的流出。在个人数据方面没有前瞻性的举措,不仅在产业方面失去优势,还将影响国家信息安全及国际竞争力,甚至会在数据资源的国际竞争中错失良机。
[对策建议]
第一,建立个人数据跨境流动审查机制,出台法律确保个人数据处理本土化。由于市场开放程度日益增加,国人购买国外企业的产品和服务也越来越多,其个人数据被收集并传输到国外进行处理和应用。这不仅使国人隐私风险增加,也使国家数据处理产业竞争力被削弱,国家信息安全风险增加。应通过制定法律,强制要求个人数据处理在国内进行。
第二,设立专门的审查机构限制个人数据出境。一是借鉴欧盟经验,通过制定隐私保护标准体系,提高接收国的门槛。二是评估各行业个人数据外流的风险,对于金融、社保等关键领域的重要个人数据,应禁止传输出境。
第三,促进个人数据资源境内流动。允许匿名、化名处理的个人数据进行交易。面对强烈的市场需求,疏胜于堵,透明规范的交易比黑市交易更为有效。可以通过机制设计降低隐私风险:建立销售许可机制是从源头上控制个人数据的流出渠道,并促使企业之间形成竞争性监督;建立流转登记机制,将进行交易的个人数据产品主要信息登记在册,一旦出现隐私事故可迅速溯源,追究责任。
第四,制定匿名、化名处理标准规范。大数据环境下,仅通过移除标识符的方式发布数据无法阻止隐私泄露,攻击者仍然可以通过链接操作以很高的概率来获取用户的隐私数据。匿名或者化名处理是大数据环境下实现隐私保护的重要手段。目前,国内外不少文献对于匿名处理技术有了较为深入的研究,但对于化名处理技术研究相对薄弱。应加大力度支持相关技术的研发。在技术成熟的情况下,将其上升为国家乃至国际的标准体系,并将其应用推广。此外,根据不同行业个人数据特点,尽快制定适合行业需要的数据匿名、化名处理的标准体系。
第五,完善个人数据隐私保护机制,明确个人数据权的法律地位。个人数据兼具财产权、人格权的权利属性,经过处理后,又具有知识产权属性,并非现有的法律权利体系可以囊括的。有必要hzgwyw从法理的角度深入分析,将其提升为一种新型的权利。健全的法律法规体系是个人数据隐私保护顺利实现的最有力保证,对于规范个人数据收集、处理、交易、应用的系列行为不可或缺。
第六,传播正确隐私观念。加强隐私观念教育,消除狭隘的隐私保护意识,科学合理地分享个人数据,根据不同的情况,选择个人数据公开的范围及数据的敏感度,使公民即享受到大数据带来的便利,又能维护个人信息的安全。
第七,支持隐私保护技术创新。国家和社会各界应积极鼓励隐私保护技术的研发和创新,从技术层面来保障隐私安全。技术手段是法律措施的重要补充。应该通过国家科技计划或者产业发展基金,支持企业或者科研机构进行隐私保护技术创新,并促进其推广应用。目前,在移动智能终端上国外有不少隐私保护的产品,推出后深受用户喜爱。可以先在该领域加大资助力度,再向其他领域推广。