大数据时代 个人信息保护如何觅得"良方"

虽然社会各界对个人信息保护的呼声日益强烈，许多企业仍没有完全做好准备。

几天前，“中国特供版Adobe Flash Player”被发现在用户协议中存在“允许该程序收集用户的上网信息”、“允许向第三方披露”及“免于被追究责任”等条款。随后，Adobe公司及其发行合作伙伴重橙网络均未做出正面回应，却悄悄更改了《Helper Service 服务协议》的内容，将之前的“收集用户的上网信息”改成了“记录用户如何使用本程序的信息和用户使用本程序的相关数据”，同时还去掉了将信息披露给第三方等内容。

上周，有用户反映，在使用微信等社交平台账号授权登陆大众点评后，大众点评会将用户在酒店、餐厅的各类“行踪”分享给社交平台好友，且难以取消。随后，大众点评方面回应称将整改和升级产品，相关产品功能从7月10日起上线生效。

而在刚刚过去的6月，此类事件也发生了不少。出行类App航旅纵横上线的一项“虚拟客舱”功能，在用户未主动开启功能的情况下，将含有乘客飞行地点、频率和其他隐私信息的个人主页，向同机其他用户开放，彼此间还能私聊和打标签。

我们的个人信息就这样被互联网公司搜集和使用，而大部分用户对此毫无“还手之力”，甚至根本不知情。这引起了大家的讨论:为什么许多企业在个人信息保护中并没有做好准备？在科技高速发展的未来，个人信息安全该如何保障？

7月12日，在2018中国互联网大会个人信息保护论坛上，这些问题也成为了专家学者、相关企业负责人共同关注的焦点。

“防护墙”不结实，“越界”很容易

如果说个人信息是一座有商业价值的富矿，那么相关法律就是相应的“防护墙”，甄别并防护不合理的商业开发。但是，目前这堵墙在中国还有不明晰、不完善的地方。

北京师范大学法学院院长卢建平表示，我国现有法律对“个人信息”的界定和表述还有待统一。他介绍，目前我国在个人信息保护方面，走的是一条逆常规的“刑法优先”，解决“燃眉之急”的路径。与此同时，《个人信息保护法》犹抱琵琶半遮面，尚未出台。这意味着目前用于保护用户个人信息的“防护墙”，尚没有压实，还很松散。

“防护墙”不结实，企业就很容易越界。腾讯社会研究中心联合互联网数据中心发布的《2017年度网络隐私安全及网络欺诈行为研究分析报告》指出，2017年下半年，安卓系统手机的App中有98.5%都在获取用户隐私权限，比上半年增长2%。而获取用户手机隐私权限的iOS应用在2017年下半年比例有所上升，达到81.9%，较上半年提高了12.6%。虽然绝大多数软件获取用户隐私是出于用户正常使用产品的目的。但报告也指出，有9%的安卓App在2017下半年存在越界获取用户隐私权限的现象。这是因为，安卓手机上的信息收集很大程度上是靠App权限来实现的。

超范围收集个人信息几乎已经成为业内许多公司业务员的“职业习惯”。360集团技术总裁、首席安全官谭晓生在对本公司公众服务数据中心做调查时就发现，业务部门的产品经理或者总监总是尽可能多地收集用户信息，收上来之后，却并没有真正全部用到。

超范围收集用户个人信息的行为虽然存在争议，但如果不能收集有效的、充足的数据，对企业和用户来说，也不一定是好事。

“个人信息保护难点是很多个人信息覆在一定的数据之上，例如数据的传输、数据的利用。”清华大学法学院院长申卫星认为，数据流动的需求不可避免会引起个人信息的侵害。

他认为，解决目前企业越界的问题，首先要制定一个当下文化能够接受、与经济发展水平相适应的个人隐私保护的行业标准，以此来规范所有的行业。同时，他倡导数据治理的“三个平衡”原则：个人权益保障和行业发展之间的平衡，公权力和私权利的平衡，法律与技术共同治理的平衡。

用户想说“不”很不容易

一方面，企业“翻墙”“越界”现象越来越多；而另一方面，许多用户对自身隐私信息的安全保障“无能为力”。

陈霜是一名司法工作人员，谈到自己下载软件的经历，她说，“如果不允许（开放权限申请）的话，有些软件就不能下载，想用的话就必须同意。”不让渡部分隐私权就无法使用App，陈霜的经历很多用户都遇到过，这也一度成为很多人无法对用户权限申请说“不”的原因。

据了解，为解决这种情况，安卓系统在6.0系统开发后，将敏感权限申请独立出来，App开发者需要某一项权限时，必须在App内动态申请。但是，这样是否就能保证用户的知情权和隐私权不被侵害呢？现实情况可能并不理想。

曾经从事过3年左右安卓系统开发工作的步耳（化名）介绍，用户一旦授权过一次，App就可以无限次使用该权限，除非用户在系统设置中，特意找到相应的App，收回该权限，但也意味着不能使用相应的功能。

申卫星在论坛中还提到一个不可忽视的现状：“现在所有的互联网企业在自己的协议里都会有告知的信息，但现在不是过去对信息告知不充分的情况，而是信息告知过于充分，信息超载，让用户不堪其烦，不得不点击同意，导致这个信息告知其实是不充分的。”

据华为终端云服务应用市场业务部部长张凡统计，现在App隐私权限申请的内容平均约为1.6万~1.7万字。他还提到，未来软件功能越来越多，交互越来越复杂，用户安装一个应用很可能需要点击更多的“同意”。

这样来看，隐私权限条款冗杂，让人眼花缭乱，一旦点击“同意”，用户权限又可能被无限次使用，用户还是不可避免会陷入“无知”和“无力”的状态中。而面对这样的问题，负责技术把关的企业，将怎样改进？

张凡对此也做出了回应，他介绍，欧盟的GDPR（《通用数据保护条例》）以及我国最新发布的《个人信息保护法（草案）2017版》有了进一步优化，一些必要的场景是不需要用户同意的，比如说涉及到国家安全、全体公民利益。他认为这样的方式值得支持。

个人信息保护没有“速效药”

那么，通过技术改进，或者专门的个人信息保护法律，是不是就能“根治”现存的问题呢？在实际操作中，或许并没有那么简单。

中国互联网协会个人信息保护工作委员会主任委员周汉华说，“个人信息保护需要有效的内部组织架构，培育良性运行外部环境，并循序渐进。如果打破次序，不是先从风险管理角度切入，由易到难，而是反其道而行之，或者一步追求最终目标，势必加大内生机制的形成难度，欲速则不达，事与愿违。”他还强调，强制性法律的实施效果普遍不理想。

中国人民大学法学院副院长杨东也指出，个人信息保护重要的不在于立法保护本身，而在于有一套保障机制体系，有一个具体的落实政策才是最关键的。吉林大学法学院院长蔡立东也有同样的观点。他认为，“个人信息的范围和个人信息的保护方式不能脱离国家治理的模式选择和国家治理能力、治理体系现代化的现实需求。”同时，他还指出，“如果所有的个人信息都上升为权利保护，权利机制一旦启动，（企业）个人信息的收集和利用将面临新的问题。”

实际上，这也是目前个人信息保护推进过程中的痛点。因为用户个人信息保护和企业数据流动之间始终存在着难以平衡的矛盾。周汉华指出，“数据时代，开发的力度越大，数据面临的风险就越大，失衡现象就愈发严重和常见。”

　　对此，申卫星提出了解决方案：“知情同意是平衡个人权利保护和行业对数据的需求发展很好的工具，但告知要充分，知情同意也要有相应的同意能力。知情同意应该有一定的例外，但例外必须有严格的限制。”