大数据为人们描绘出一幅信息通畅、高效便捷的美好景象,但背后的交易市场仍处于初期粗放阶段。在大数据上升为国家战略的背景下,数据交易迎来市场和政策的双重机遇,但宽松的监管、用户对隐私的忽视,使数据市场乱象丛生。如何做到管理与保护并重,是必须直面的课题。
针对大数据的管理问题,来看看中国政法大学教授、互联网金融法律研究院院长李爱君的看法吧!
你的数据安全吗?
点击“同意”,你的隐私已经泄漏
当你用手机的时候,或者是接受某种服务的时候,它都会让你点击允许或者同意,你会发现在这上面都会有一条信息,收集你的公开信息、收集你的头像、收集你的好友等等这些,如果你拒绝,你就接受不了这种服务,这样就违反了平等原则。如果这个服务没有可替代性,而且是刚需的服务(无条件兑付),我们必须牺牲我们的个人信息。这样在无形当中,我们在接受此服务的时候,是在以我们的个人信息作为代价。
这种设计的程序,它就是违法的,为什么违法?没有给客户一个选择权,我应该有选择同意的权利,也有选择拒绝的权利。还有一个是它违反了知情权,它应该告知我。即使我允许或同意,也应该事先要告知我,你所收集我的信息,要干什么?同时提供服务的主体,也没有尽到告知的义务和风险提示。而对于收集信息的主体,目前我们国家现有的法律制度,实际上都有规定,所以它就是知法犯法。
你以为的精准推送,可能是精准“杀熟”
网络社会在做营销的时候,与传统的营销场所和场景是不同的,网络营销更隐蔽了,可以一对一。首先通过数据能分析出你个人的喜好、个人的需求以及需求的欲望,以及你的财力、对价格的敏感性,都分析得非常透彻。
第二个,技术达到之后,它可以精准推送,别人不知道我推送给你的价格,你不知道我推送给别人的价格,这种现象现实当中确实是有的。比如说我的学生,他经常回家坐飞机,有一天他的手机有问题了,他就用别的学生的手机去订机票,远远比他用自己手机订机票要便宜。
第一,它感觉你经常来回坐飞机,可能你用的是公款不在乎价格多少。第二,你经常回家都这么订机票了,可能你有经济实力。第三很可能说你必须要回的就是刚性需求,根据它的判断就给你价格要高。
数据安全关乎你我的生命安全
无论是中国还是其它国家,在大数据的应用过程当中,确实出现了很多的恶性事件。比如说在我们国家,8·19徐玉玉电信诈骗案,由于个人信息的泄露,导致自己失去了宝贵的生命。另外国际上的事件,比如说Facebook事件,它用APP软件下载的方式收集数据,然后在下载的过程当中,又收集了所服务对象好友的数据,所以从2.7万多的数据发展到5000万多数据。
当这些海量的数据在存储过程当中,由于技术达不到标准,或者管理出现了漏洞,出现了数据的泄露或者数据的被盗取,那么社会的影响面会很大。这些数据当中,最主要是个人数据,个人数据里面很可能有一些敏感性数据。甚至一些敏感性数据里面,是个人隐私的数据。那么它做为海量数据里的一部分, 一旦泄露的话,对个人的安全甚至生命的安全,都会受到侵害。
无所不能的大数据
大数据发展到今天,对它的定义已经基本形成了一个共识:对海量的数据通过技术的处理,生成有价值的数据。它的特征基本是第一规模大,第二种类多,第三存取技术处理速度快,第四价值是低密度的,经过处理才能生成有价值的数据。大数据利用的领域是非常广泛的,比如 通过政府对大数据的应用,改变政府职能服务的方式,由管理型向服务型转变。
第二个就是商业上的应用,比如商业通过数据的分析,作为一种精准的营销手段,这是应用最广泛的。在商业应用当中,还可以细分金融的应用、非金融的应用。
第三,科技上面的应用,比如说现在大家都谈到的智能机器人,它作为智能技术最基础的一个支撑,就是数据的分析。
再有是医疗方面,还有环境、天气、农业等等,可以说它应用到了人类的方方面面。
“人人都在搜集数据”的时代
到了大数据时代,大家可能都在关注、收集大数据,因为都有这种大数据的意识。可以说现在只要是一个经营主体,都在通过各种方式去收集数据。很可能他都不知道数据收集来以后怎么去用,但是他就觉得这数据会有用,早晚一天会有用。或者是说我没有用,也可以卖数据获得收益,想尽一切办法收集。
数据与信息不同
现在对信息的定义实质上也是有争议的,对数据的定义也是有争议的。我们的《民法总则》里分别规定了数据和个人信息,而且把数据和虚拟财产放在同一条款当中。
但信息的定义相比数据,形成了清晰的共识。信息是要有一定内容的,举个例子,比如说身份证号,一个完整的身份证号,一看就能通过这样的一个身份证号找到对应的一个主体,这叫信息。如果说是把身份证号里边的几位拿掉,就通过这样的一段数字,你是不能够指向一个特定的自然人的。缺失几个数字的身份证号就可以叫做数据。这是信息和数据的区别。
然后是信息的载体,我们原有的信息可能是存储在,像墙上的这些图片、电视、书,都是信息的载体。数据的载体更多的是什么?比如说比特,我们说数据的时候,一定是通过比特这样的技术承载。所以 数据包括信息,它远远的大于信息量,就这样的区别。
对不起,你的数据可能不属于你
政府企业金融机构各自手握大数据
从历史的发展来看,原有数据掌握的主体,实际上是政府拥有大量的数据。第二个就是 互联网企业,因为它网上有流量,接触的社会各界覆盖面大,因此互联网企业,比如说三大BAT,他们手上有大量的数据。
再一个就是金融机构,比如说商业银行手上数据也是大量的。因为第一,金融业就是信用行业,去评估客户风险承受能力和道德风险的时候,它的风控技术就是利用数据来进行。
比如说贷款时,你所填上的信息,都是自己的基本信息和敏感信息,你的财产信息。这些信息都属于个人信息的范围之内,甚至这些信息都是敏感信息,这些就是拥有数据的主体。
你的数据属于谁至今没有定论
在中国,数据应用也属于初级阶段,无论是对技术还是应用的场景,以及在应用过程当中对各方主体权益的保护,都是起步阶段。比如说我们对现在数据的客体是什么样的权利属性,还没有达成共识。另外就是数据的归属,数据权利的归属也没有形成共识。很多在立法层面以及在运用层面,还有学术讨论、学术研究层面也没有形成共识。
我的观点是这样,首先把数据分成不同的种类,根据数据种类不同,去谈权利归属的问题。如果说这个数据是个人信息,不管你经过不经过处理,你处理后的信息能够指向一个特定的自然人,已经指向或可能指向,或者结合其它的数据能够指向,数据权利就不能归属于收集的主体或数据控制的主体,信息控制的主体。
在英国也好,欧盟也好,德国这些国家在对个人数据保护的时候,它已经避开了数据权利属性的问题,而是赋予了数据的控制主体、数据主体、数据使用主体各自承担什么样的权利和义务。它通过权利和义务进行匹配,从而去保护个人数据的安全和发展的一个平衡。
数据发展与信息保护如何平衡?
收集、存储、交易每个环节严防死守
确实我们公民对自己的个人数据、个人隐私没有一定的认知,从保护的层面意识很淡漠。在大数据时代,首先要增加自己的个人信息保护意识,因为你是信息源,这是第一道关口。因此在别人收集你信息的时候,一定要注意它收集你了什么性质的信息,然后收集你的信息会做什么用途?另外收集你信息的程序是否合法,大家要有这样的一个意识。
企业收集要合理要合法,要最小化原则,要正当性原则。在收集敏感信息的时候,一定要经过信息主体的明示同意。
收集之后还有存储,还有处理和使用,这些行为都有相应的法律规定。存储个人信息要防泄露,在技术上要加强。一旦发生泄漏,还要及时报告,如果说数据泄露指向特定的自然人,你要通知自然人与及时排除侵害。
消除数据壁垒合理共享大数据
现在大家经常会提到数据孤岛,数据壁垒。数据共享讨论的问题很多,实际上也没有形成一个共识,喊着共享的人也不希望把自己的数据让别人共享。 无论是政府部门还是社会各界,都应消除数据的壁垒,然后进行数据的共享。
法律条款散落,不代表无法可依
如果数据应用,没有法治作为支撑,不用法治建造一个良好的环境,这样的发展是不可持续的。因为当有一天每个人对数据的保护意识都处在危机状态的时候,任何部门收集你的数据都不会提供。实际上现在很多人已经达到这种状态了,一看APP需要收集什么数据大家都不点击了,我宁肯不装这个软件,甚至软件装了我都要去卸掉。这就意味着,我们的数据应用在有法不依的情况下,数据主体已经对自己封闭了。如果到这样的状况下,真的就会影响数据应用的发展。所以说一定要把数据应用回归法治的路径,法治的框架下。
我们国家现在没有《个人信息保护法》,但是在《网络安全法》里面第40条到第50条,架构了一个个人信息保护体系。比如说对个人信息的定义,收集信息要有什么样的原则,怎么去收集,怎么去使用,怎么去处理,大的规定是有的。
另外《消费者权益保护法》,明确了消费者怎么去做到个人信息保护?另外我们很多部门法里面也散落了对个人信息的保护,比如说像《商业银行法》、《保险法》、《证券法》,这些法律都有相应的条款去针对客户的信息的保护,只是散落在各个部门法里,没有一个独立的个人信息保护法。