盜“數”空間何時休：個人隱私保護與數據安全破局

文|張楠迪揚 中國人民大學國家發展與戰略研究院研究員，公共管理學院副教授

最近，蛋殼公寓、海淘免稅店、愛又米等23款App因未按要求完成整改，由工信部根據相關規定組織下架。侵犯隱私、資訊安全等一直以來的熱議話題，再次被推到風口浪尖。

大數據時代不僅意味著爆發海量數據，更意味著我們週遭物理世界的深刻數字化轉型。任何實際存在的物理形態，都有可能在數字世界的同時存在一個孿生數字化鏡像。那麼，數據作為資源、作為資産、作為資本將引發的數據安全問題，將會提升到一個有史以來的高度。

智慧手機商城中琳瑯滿目的電子化服務産品，無時不刻在招攬潛在用戶。也許人們早已習以為常地完成下載、註冊等步驟，並可能帶著些許不耐煩，等待隱私條款閱讀倒計時結束，點擊確認。有多少人，逐字逐句仔細閱讀過這些文字內容？真正理解自己在讓渡什麼個人數據許可權？ 面對數據洩露以及個人隱私保護問題，有關數據安全的四個問題仍需要深度挖掘，制定詳細政策。

第一，數據收集範圍和邊界需要進一步界定。什麼數據可以收集？數據收集的範圍和邊界是什麼？當人們習慣性點擊隱私條款的“確定”標識，相當於默認了“不同意就不能使用服務”的規定，但隱私條款收集的數據是否合理？服務提供者到底可以收集用戶的哪些資訊？有的隱私條款表述寬泛模糊，特別是對使用用戶資訊的關鍵概念界定不清。人們很難判斷收集和使用和服務相關的個人資訊指哪些資訊，又是在什麼範圍使用。有的隱私條款規定在採集用戶個人資訊時，會將資訊提供給跟服務商有關的其他公司。但是如何界定“有關”，什麼樣的公司算是“有關的公司”，這些公司有哪些，為什麼要將用戶個人資訊提供給這些公司？這些問題的答案卻很難找到。不乏有的電子服務應用私自收集跟服務範圍無關的數據，將用戶下載使用作為數據收集渠道，用以開闢服務以外的第二業務。

2019年11月，國家網信辦、工信部、公安部、市場監管總局聯合發佈《App違法違規收集使用個人資訊行為認定方法》，列明瞭App客戶端“未公開收集使用規則”、“未明示收集使用個人資訊的目的、方式”、“未經用戶同意收集使用個人資訊”、“違反必要原則、收集與其提供的服務無關的個人資訊”、“未經同意向他人提供個人資訊”、“未按法律規定提供刪除或更正個人資訊功能”、“未公佈投訴、舉報方式等資訊”的30余個具體情況。這可以説是國家主管部門對市場違規操作迅速、有力的反應。

然而，如何判斷哪些是與服務無關的個人資訊，哪些是非必要業務，需要進一步清晰判定。如果説普通用戶能夠大概感知哪些資訊如服務無關，但哪些是必要業務，誰對必要業務具有解釋權，可能超越了普通用戶的能力範圍。另外，違法違規操作的發現機制也主要逐漸完善。暢通投訴渠道可以作為其中一種發現機制。但App資訊收集進行得悄無聲息，人們通常在個人資訊被用於其他使用途徑時，才發現事情不對。又有多少不正當操作是在資訊收集過程中就被及時識別的？用戶投訴以外，其他有效的技術監管手段應該跟上。

第二，出臺更加清晰的數據收集原則清單。隱蔽的數據收集的方式是另一個讓人頭疼的問題。服務協議、隱私條款政策篇幅較長、術語艱澀、位置隱蔽，用戶通常糊裏糊塗地就同意確認了。如何判斷一個隱私政策是難以閱讀，內容模糊不清的？在看到類似法律文書表述方式的隱私政策時，很多用戶會認為術業有專攻，而不是懷疑隱私政策沒説清楚。在其他類似場景其實也存在相似問題。究竟是正規文書為追求嚴謹的文字表述本該如此，還是“晦澀難懂”早已成為諱莫如深的商海戰術？判定晦澀與否的規則是採取用戶多數決，還是依循清晰的政策標準，這需要政策制定者充分收集既有違法違規操作方式，基於此制定清晰、有指引性的原則清單，為市場操作和用戶參考提供指引。

數字治理時代，我們要面對的不僅是資訊不對稱的問題，更要面對能力不對稱。複雜的通訊資訊技術無疑在普通用戶與行家裏手之前建立了新的鴻溝。這是我們這個時代必須要面對的鴻溝。我們不能期望所有人能熟練掌握技術，順暢理解艱澀的技術術語、以及各式英文縮寫專業名詞，或者像網路偵探一樣追蹤數據軌跡。我們要做的不是奮力填平溝壑，而是要將這個普通消費者與技術專業之間的能力不對稱作為公共治理的前提。能力不對稱是已經出現的，以及未來可能出現的不正當操作的溫床，同時也是政策制定者需要集中發力的邏輯出發點。

第三，數據使用方式應根據不同服務類別，界定自用、他用、公開的場景邊界。數據使用分為自用、他用、公開三個層次。收集相關數據自用於服務供給是用戶通常需要接受的服務使用前提。“他用”用於將所蒐集的數據分享給第三方；“公開”則涉及數據向社會公開。有的時候，當我們打開一個社交平臺時，突然發現另一個社交平臺的朋友資訊被自動導入，系統甚至還幫我們自動關注了不少好友。這種莫名其妙的跨服務商數據交換難免會讓用戶有被冒犯的感覺。

近日，國家工信部開始就《通信短資訊和語音呼叫服務管理規定(徵求意見稿)》公開徵求意見。人們拍手稱快，騷擾電話看來要涼了。曾幾何時，各種騷擾電話越來越多，無休止的商業宣傳每天向不同的人和機構轟炸。大多數人沒有耐心聽完騷擾電話的內容。多聽幾句，也許會發現這些騷擾電話的內容或多或少跟自己都有些關係。你可能剛去諮詢了某理財産品，各種理財産品推銷電話蜂擁而至；或者週末閒暇去逛了逛家居用品，各种家裝電話又鋪天蓋地。於是你怪自己不該亂留電話。可是有一天，你突然收到電話問你家的房子賣不？只因為你住在了一個不錯的學區。這不禁會令人毛骨悚然。究竟是誰洩露了我們的個人數據。如果這些資訊被用於電話詐騙，後果又是多麼不寒而慄。這背後不僅是治理騷擾電話的問題，更是如何規範被採取數據使用的問題。

第四，將明確數據主體作為規範數據交易和確定責任主體的第一步。數據交易是數據的資本化使用方式。對於服務商，數據作為資源可以拓寬商業渠道；作為資産可以提升自身價值；作為資本，則可以用於投資獲利。數據交易涉及交易主體，更涉及數據主體。

我們不禁要問，大數據時代的數據主體是誰？是數據的生産者、數據收集者，還是數據的加工者？簡而言之，到底誰擁有數據，誰可以自由裁判數據的使用途徑？在各種智慧穿戴設備成為流行趨勢的今天，這些設備在24小時不間斷監測、收集著我們的生命體徵數據。當然，這些新技術可以讓我們更方便地了解自己的健康狀況。但是這些海量個人健康數據是如何被行業使用和交易的？是否意味著我們在使用這些設備的同時自動轉讓了自己的健康數據，不再作為數據所有者了？如果我們依然是數據所有者，又在何種程度上擁有這些已經被收集走的數據？

另外，過程數據、業務數據的主體又該如何定義？日常生活中，人們涉及大量業務辦理，過程中提交的數據和資訊，夾裹在業務流程中獲得了新的傳播形式。這些數據的主體和主體許可權、責任又如何確定？

《中華人民共和國數據安全法（草案）》近期剛完成了社會公開的意見徵集。這標誌著我國將數據安全治理納入立法進程。草案對數據安全、數據保護、政務數據安全與開放等多方面進行了規範，期待未來各主管部門在法律的框架下進一步細化政策，讓資訊時代的數據軌跡運作在陽光下。