大数据时代，个人信息如何保护

当前，互联网新技术新业务正改变着个人信息的收集和使用方式，对个人信息保护带来巨大挑战。云计算让个人信息远离个人终端，用户对于个人信息的控制能力大大降低，个人甚至并不清楚其数据的存储位置;移动互联网更让信息收集变得无处不在，且所收集的信息高度个人化，比如通讯录、照片、邮件、App应用的使用信息等。如果说云计算、移动互联网只是从量的层面加剧了个人信息保护的难度，那么大数据的出现则是从质的层面冲击了个人信息保护制度存在的基础，对个人信息保护规则带来深远影响。

大数据带来“个人信息”界定困境

大数据带来了“个人信息”的界定困境。个人信息是个人信息保护法中的核心概念。法律适用的基本前提是所涉及的信息是否为个人信息。如果不是，则不会构成对个人权利的侵害，也无适用法律规范的必要。传统的个人信息保护法对于个人信息的界定，一般以“识别”为核心标准，它是指与个人相关的，能够直接或间接识别特定自然人的信息。“可识别性”是个人信息最为重要的特征。尽管这是一个开放式的法律界定，但从个人信息保护法诞生的上世纪70年代看，具有“身份识别性”的信息是有限的。比如个人的姓名、家庭住址、电话号码等。

然而互联网技术业务的快速发展，已经将个人信息保护法的适用环境彻底改造。大数据的出现更是进一步模糊了个人信息与非个人信息的边界。如果缺乏其他的数据源，很多信息将保持匿名的状态。但是，在今天的网络新世界，有无数可以利用的数据源。企业甚至是普通个人都越来越容易获得有关个人的大量信息。此外，软件算法和分析学的发展使得大量数据更易被关联和聚合，大大增强了人们将非个人信息转化为个人信息的能力。获取信息以及将信息恢复身份属性的成本正在急速下降。那么问题来了，如果个人信息保护法固守传统，仅适用于严格界定的“个人信息”，那么在大数据环境下，数据利用的安全风险又如何被规制?如果个人信息保护法扩张个人信息的边界，那么在又将扩张到何种程度，才能在法律上重新找到保护公民个人权利与促进技术发展之间的新的平衡点?

此外，大数据也大大刺激了企业收集信息的动机。大数据的出现使得信息成为战略级资源。今天收集的信息未必在当下就可以被利用，它所蕴含的价值可待未来发掘。在大数据的刺激之下，个人信息保护法中的基本原则——收集信息的限制和必要原则在实践中不断被突破，企业不仅收集实现业务目的所必须的信息，也会收集无关的信息。这也是移动互联网中普遍存在APP超出业务目的、超出范围收集用户个人信息现象的重要原因。并且在云计算技术的支撑下，企业可以更为长久地保存这些信息，以待日后挖掘。这意味着大量的个人信息不仅可能在今天被滥用，在几年甚至几十年后仍然可能被滥用。为提供此类收集行为的合法性，互联网企业的隐私政策也越来越多地采取格式条款方式，对用户的各类信息进行“一揽子”打包，赋予企业进行读取、收集的权利。

个人信息保护制度面临变革

在各类新技术业务特别是大数据带来的巨大冲击面前，个人信息保护制度将无可避免地面临变革。激进的观点认为：在当前的网络环境下，隐私已经消亡，个人信息保护政策已到了退出历史舞台的时刻。从更远的未来看，笔者并不否认这种论断的可能性。因为技术本身对于价值观念、法律制度的改造能力总是超乎人们的想象。就比如“00后”与“80后”在隐私观念上已经有了显著的变化，更年轻的一代更加积极主动地拥抱网络，将自己的生活状态甚至心情感悟等日常生活的点点滴滴都公布于网络，并从中获得分享乐趣。不可否认，新技术新业务正在以“春雨润物细无声”的方式，默默地影响甚至改造着人们的隐私观念。然而虽然这是一个变革的趋势，但并不意味着当下的我们就可以轻松地丢弃隐私保护。相反，在日益强大的技术能力面前，现实中更多的呼声是如何加强对个人信息的保护，如何对个人信息保护法加以改革，以适应技术变革带来的新挑战和问题。

四项措施保护个人信息安全

2014年5月，美国白宫发布了《大数据：抓住机遇，坚守价值》报告。报告指出：大数据分析所拥有的潜力，将逐步侵蚀我们长久以来在公民权利保护方面形成的价值基石。但在挑战面前，人与数据的关系应当扩展，而不是压缩。一方面，大数据技术能够提高政府的监控能力，提升企业的市场洞察力，但大数据本身也蕴藏着解决信任、隐私、公民权利保护问题等方面的潜力。如果运用得当，大数据将成为社会进步的助推器。如果说上述论断是一个“顶层设计”式的指导方针，那么在这一方针之下，还需要制定更具体的措施：

一、提升数据处理活动的透明度。个人数据如何被企业收集以及在企业之间共享应当对消费者透明。开展大数据分析的企业应当在其网站设置专栏，列明参与数据收集和分享的公司名单，介绍其数据活动，并为消费者提供更好地控制其信息被收集和使用的方法。

二、建立更具有实际意义、更富有效率的用户个人信息保护机制。尽管“知情同意”制度在很多场合下仍然有效，但显然已不能满足大数据应用场景。个人信息保护机制应当朝更有意义、更可执行、更与个人相关的方向改革。比如要求企业以更加简洁易懂的方式告知用户个人数据利用带来的好处和弊端，而不是仅仅提供一个冗长复杂的隐私政策;要求企业遵循“隐私保护设计”原则，在产品的设计、研发、推广、使用、市场退出等每个环节考虑用户隐私保护要求，为用户提供数据的全生命周期保护。

三、更加关注数据使用环节的安全风险。当前的个人信息保护法注重于用户在个人信息“收集”环节的控制力。然而在新的网络环境下，随着信息收集的日益普遍，以及信息收集与业务使用之间的紧密依赖关系，事前的控制力相对来说已经不再那么重要。更重要的是用户的信息在被使用的过程中，如何防止被滥用。比如针对大数据应用，企业要分析其相应的安全风险并提出与之匹配的保护措施。此外，“数据泄露通知”制度正在被更广泛的引入立法，也反映了个人信息保护从注重事前知情同意到事后安全保障转换的趋势。

四、加强问责。对于在大数据应用中获益的企业应当加强对其在个人信息保护方面的问责。这种问责不仅可以通过个人信息保护法律本身来追究，还可以通过合同机制进行传导。因为在大数据应用产业链上，收集、处理数据的企业主体会更加繁多，数据的市场化交易也更加频繁，更需要通过合同来约束相关方的数据处理行为。