专家撰文析大数据时代:将个人信息风险推到极致
图为伦敦奥运会期间,英国一家科技公司在伦敦街头安放的智能垃圾箱
●在模拟和小数据时代,能够大量掌控公民个人数据的机构只能是持有公权力的政府机构,但现在许多企业和某些个人也能拥有海量数据,甚至在某些方面超过政府机构。
●大数据时代到来,传统线下企业的数据保护方式失效了,只要用户使用智能手机,他就必须将自己的个人数据所有权转移给服务商。更复杂的是,经过多重交易和多个第三方渠道的介入,个人数据的权利边界消失了。
●无论是通过微博、微信等社交平台“晒”心情,或是关注、评论他人,都存在泄露个人信息的可能性。你因此常会受到推销信息和垃圾短信的骚扰,甚至被伪装成好友的犯罪分子诈骗。
●我国的个人信息保护法律,需要在操作层面上完善,还要在法学基础理论研究中有所突破,为数据保护法律体系的完善提供理论支持。
在2012年伦敦奥运会期间,英国一家科技公司在伦敦街头安放了200个智能垃圾箱。这种建造成本高达3万英镑的垃圾箱当然不光是用来让路人投弃垃圾的。智能垃圾箱采用防弹材料制作,具有网络连接功能,还安装了Wi-Fi设备和两块液晶显示屏,分别用于搜集手机用户信息与播放商业广告,广告显示内容可以实时更新。
令人吃惊的是,智能垃圾箱所采用的无线局域网定位技术可确定路人所携带智能手机的具体型号与特定M A C地址。经过一周时间试验后,这家公司得到了400多万个智能手机用户的数据,并确认了其中53万部手机的惟一用户信息。
智能垃圾箱并非用来展示高科技的神奇,开发者利用处在激烈竞争中的公司企业急于抓住商机的心理,希望相关企业能利用其所搜集的手机用户数据抓住小众市场,以便直接向收入较高的专业白领人员投放相关广告。例如,某家咖啡店通过跟踪马路过客携带的苹果iPhone,即可判断出这些人为了早餐通常在上午八点驻足,购买咖啡和面包。如用户改变了消费习惯,转向其他竞争对手购买咖啡早餐,受影响的商家就会购买智能垃圾箱播放的广告时段。当特定手机用户路过垃圾箱周边时,系统会从储存的数据中匹配对号,自动向特定用户推送忠实顾客奖励计划或打折优惠方案。
大数据对个人隐私保护提出严峻挑战
互联网技术的高速发展正在将社会强行推入一个“大数据”的时代,不管人们是否愿意,我们的个人数据正在不经意之间被动地被企业、个人搜集并使用。随着互联网、智能手机、传感器、个人穿戴式设备等新技术的不断普及,个人数据的网络化和透明化已经或即将成为不可阻挡的大趋势。在模拟和小数据时代,能够大量掌控公民个人数据的机构只能是持有公权力的政府机构,但现在许多企业和某些个人也能拥有海量数据,甚至在某些方面超过政府机构,从而对公民个人的隐私保护提出了严峻的挑战。
一个以云计算为标志的大数据时代已经来临。依靠云计算的数据处理能力,人们不再对浩如烟海的信息一筹莫展,相反,数据成了有价值的资产,成了极富增值潜力的“金矿”。
网络已成为我们日常生活的一部分,但它背后总有一只“看不见的手”在无时无刻地盯住个人数据,它通过用户的网页浏览、网购偏好、社交网络交友信息、微博关注、手机位置服务等日常应用搜索各种数据,其目的无非是利用这些数据攫取商业利益。例如,当用户浏览网页或使用搜索引擎时,他访问的网站和搜索引擎会记录并锁定相应数据,然后有针对性地向其推荐与之相关的目标广告。曾有用户好奇搜索了“棺材”一词,于是他微博的广告位置就连续出现了数十天的棺材、寿衣广告。
手机位置服务是一种基于手机物理位置的计算机定位程序。除了G PS导航、个性化天气预报、手机位置查询等常见应用外,手机位置服务还在社交媒体上得到了广泛应用,如微信中的公众账号和微博的地理定位功能。手机位置服务的另一项重要功能是移动商业广告,即通过确定移动客户端用户的地理位置,广告服务商向目标客户推介精准化的商业广告。
在目前技术条件下,即便用户不使用智能手机,或主动关闭G PS定位和无线上网功能,服务商也能依据手机与基站的连接时序确定手机位置。如果把手机用户的位置信息与其通话记录、上网习惯等数据加以整合,即可得到基本准确的更多用户信息。如用户热衷于社交媒体互动,那么他就可以得到更多、更精确的定向广告内容。一些移动社交媒体网站多具有签到功能(C heckin),当手机用户通过客户端软件在某家饭馆、酒店或商家签到后,网站会自动发送周边商户的电子优惠券和其他打折优惠促销信息。既然垃圾箱可以智能化,路灯杆、广告牌、读报栏、摄像头当然也可以安装智能芯片,成为商家和广告商搜集用户数据的新端口。
大数据带来的整体性变革,使得个体用户很难对抗个人隐私被全面暴露的风险,谷歌公司著名的街景服务曾引发许多被摄影对象的抱怨,他们要求谷歌在街景画面中屏蔽掉自家住宅或商铺的图像,但虚化后的阴影与周边景象形成了鲜明对比,促使一些歹徒按“此地无银三百两”的提示按图索骥地登堂入室。
大数据使个人数据的权利边界消失
传统个人隐私保护方式是一种用户授权模式。
个人用户在使用金融机构、邮局、物流等企业提供服务时,要通过与服务商签订的格式合同,将个人信息提交给服务商,服务商则负有保护个人数据的责任。用户与服务商之间双方权利的边界相对清晰。
大数据时代到来后,传统线下企业的数据保护方式失效了,只要用户使用智能手机,或上网购物,或参与社交媒体互动,他就必须将自己的个人数据所有权转移给服务商。更复杂的是,经过多重交易和多个第三方渠道的介入,个人数据的权利边界消失了,或者说模糊不清了。
以网络购物为例,用户要经过网络下单、在线支付、物流配送等多个流程,其中每个环节都涉及个人数据的搜集、利用与转移。当你用搜索引擎寻找商品信息时,搜索引擎服务商和电子商务平台就导入了你的搜索信息。下单与支付等环节的契约关系看似简单,表现为用户与网商店家签订合同,但在实际生活中,电子商务平台商通过后台数据监控,可轻松地得到完整而精确的用户个人信息,比如购物偏好、个人身份和家庭地址。
在精确分析海量客户数据的基础上,电子商务平台商完全可以对用户数据进行第二次开发或再利用,或者与出价高的第三方共享用户数据。负责快递的物流企业同样有能力得到与平台商相同的用户个人数据,因为每张快递单都录有快递客户姓名、家庭住址、包裹种类和手机号码信息。如果这些数据落到不良数据中介和不法商家手中,网购者就会成为垃圾信息和商品推销的目标。最近报道的快递公司“内鬼”事件表明,一些物流企业的大量用户数据被上网销售,还能做到数据实时更新,任何人都可以方便地从网上购买这些数据。
分享是网络时代的基本特征,基于分享理念的社交媒体在当下分外走红。但分享同时意味着个人数据的分享。无论是通过微博、微信等社交平台“晒”心情或体验,或是关注、评论他人,抑或一个简单的表达,都存在泄露个人信息的可能性。一些微信用户在关注了公众账号后,常会受到推销信息和垃圾短信的骚扰。同样,即时信息通讯工具也可能被窃听或盗号,以致被伪装好友的犯罪分子用于诈骗。
大数据时代需要新的个人信息保护模式
当网络成为社会普遍的生活方式后,个人数据的流动性与暴露风险大大增加了,而大数据则将潜在的风险发展到极致。为应对前所未有的新风险,首先需要完善个人数据保护的法律体系。
去年底,全国人大常委会通过了《关于加强网络信息保护的决定》,其中规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”实施这个决定,需要在操作层面上完善与之对应的法律体系,同时还应在法学基础理论研究中有所突破,为数据保护法律体系的完善提供理论支持。
目前需要研究的理论问题有:大数据时代的数据所有权概念;数据交易与转让的法律规则;以及数据保护的基本法律。
就在几年前,一些学者还对当时刚出现的网游虚拟货币问题不以为然,觉得这只是少数人玩的虚拟空间游戏,离社会大众生活相距甚远,因而无需法律的介入与规制。但此后不久,网游中的虚拟货币就引发了大量的法律纠纷,一些大型游戏公司也无法回避虚拟货币交易,有的还开辟了交易市场,向用户提供虚拟货币交易服务,法院也不得不作出专门判决。
全国人大常委会的《决定》规定了网络信息保护的基本原则,从法律体系和操作层面看,仅有这个决定还远远不够,实施决定需要配套的法律法规以及操作性强的司法解释。目前亟须制定《信息安全法》、《反垃圾电子邮件法》《手机垃圾短信治理法》和《网络和新媒体广告法》,为个人数据保护提供全面的立法支持框架。
在用户提交个人数据后并接受约定服务后,服务商和运营商即负有保护个人数据的法定责任。在用户与服务商关系方面,用户一般处于信息不对称的弱势一方,因此,保护用户个人数据安全,既是服务商不可推卸的法律责任,也是企业的重要社会责任。
但一些企业往往利用强势者地位,强迫用户签订不利于消费者的霸王条款合同,饱受诟病的智能手机预装软件就是其中典型代表。由于手机制造商、网络运营商、销售代理商、软件制造商之间的利益输送,令人不胜其烦的预装软件充满了有限的手机内存空间。
这些预装软件不仅消耗用户的上网流量,且暗中吸费,还非法上传未经授权的用户信息。更悲哀的是,除个别通晓手机软硬件知识的发烧级高手,一般用户几乎无法自行卸载软件。为防止用户自行安装新系统,手机制造商往往在手机保修条款中强行规定:一旦用户自行更改原装操作系统,则手机不再享受保修权利。