李鲁华打开淘宝网，页面上推送出足球装备、训练器具、队服的广告。就在“双十一”前几天，他以“足球队服”为关键词进行过搜索，并把看中的队服放进了购物车。

　　数据可能比你更懂你。李鲁华是北京大数据研究院的数据分析师，他意识到，你可能会在大数据挖掘与分析中，被划分为某一类人，可能是收入过万元的单身宅男，两岁孩童的妈妈，或者像自己这样的足球爱好者。通过身份类别信息，你会收到感兴趣的产品的精准推送、被预测未来的行为，甚至被挖掘满足自己都尚未察觉的需求。

　　“我们应该认识到大数据时代的两面性，一方面是信息自由、信息分享带来的无与伦比的经济发展动力，另一方面是我们从未面临过的、严峻的信息泄露威胁和网络安全问题。尤其是个人信息的保护问题，更是在法律领域内日益凸显。”在近日举行的“大数据时代的个人信息保护”2017年中欧法学院国际学术会议上，中国政法大学中欧法学院联合管理委员会中方联席主席、司法部前部长张福森说。

　　数据之争后，更能保护个人隐私的企业会成为最终胜者

　　今年出现的几起数据争夺战引起了中国电子商务研究中心特约研究员、上海市信息安全行业协会专家委员会副主任张威的关注。

　　2月初，新浪微博与脉脉围绕数据引发纠纷。起因是脉脉未经授权，调取了非脉脉用户在新浪微博场景中的头像、职业等用户信息。虽然脉脉和微博有关于用户数据的合作协议，但脉脉因为还拿走了超出合作协议范围的教育信息、职业信息和手机号，最终被判赔偿微博200万元。

　　6月初，阿里巴巴旗下物流平台菜鸟网络控诉合作方顺丰关闭了丰巢自提柜和淘宝平台物流数据的信息回传。顺丰则指责菜鸟越权索要了顺丰上非淘宝系电商的用户消费数据。

　　“数据已经成为各大企业争夺的关键资源，但现在的竞争比较‘野蛮’。”张威说，“目前的核心问题是，企业在数据之争中必须坚持以用户为核心的隐私保护原则。”

　　张威认为，隐私保护原则首先要求适度采集原则，也就是只采集需要的信息；另一个是使用告知原则，即采集的信息用在什么范围、给哪些人，这些都要事先争得被采集人的同意；最后，是谁采集谁负责原则，采集单位须保证采集数据的安全。

　　企业间的数据争夺战已经引起了国家有关部门的重视。今年5月和7月，公安部和网信办两次集中审查了大数据企业，15家企业被询问数据来源和运营模式。

　　值得关注的是，今年7月，中央网信办、工信部、公安部、国家标准委4部委宣布，对互联网产品和服务进行个人隐私政策评审，首批选取了用户使用频率较高的10款互联网产品，包括京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图。

　　在9月24日“个人信息保护日”当天，评审成绩单揭晓。通过这次评审，10款产品和服务在隐私政策方面都有不同程度的提升，做到明示其收集、使用个人信息的规则，并征求用户的明确授权。

　　“未来保护用户信息隐私一定会成为企业的核心竞争力。”芝麻信用首席隐私官聂正军说，用户会用脚投票，让那些更能保护个人隐私的企业成为市场上的胜者。

　　500余亿条个人信息遭泄露，法律在强硬保护

　　李鲁华习惯去阅读APP软件提供服务时发出的隐私政策条款，但他发现，并不是每一个APP都能做到合规运营。一次下载某款学习英语单词的APP时，李鲁华注意到其用户授权协议中提到会收集用户的通话记录。他心里顿时打了问号：我学个英语单词，有必要提供通话记录吗？

　　作为警觉的内行人，李鲁华时常感到隐私焦虑。他现在养成的习惯是，及时删除网上浏览记录；网络购物平台的ID账号选择匿名或假名；在扔掉快递盒的同时撕碎快递单。

　　根据公安部7月份公布的数据，自今年3月公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来，全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起，抓获犯罪嫌疑人4800余名，查获各类被泄露公民个人信息500余亿条。

　　今年3月，京东公布，京东工程师郑某与外部黑客团伙勾结，盗出大量物流、交易及用户身份信息。警方介入后，发现这竟是个“职业内鬼”，曾在多家互联网公司任职，盗窃个人隐私数据达到50亿条。

　　法律对个人信息保护的力度正在加码。

　　今年6月1日，《中华人民共和国网络安全法》正式施行。其中规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。网络运营者不得泄露、篡改、毁损其收集的个人信息，未经被收集者同意，不得向他人提供个人信息。

　　民法总则第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全。根据最高法、最高检的司法解释，“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上”，即属情节严重，可入刑。

　　此外，备受关注的个人信息保护法也已列入立法议程，学者已经完成了专家建议稿。

　　在数据发展与隐私保护之间寻找平衡点

　　个人信息泄露往往从提交和让渡各类自己的信息开始。但是，信息安全行业从业者发现，用户个人信息保护意识还有待提高。比如，许多用户会无意阅读各种应用的用户授权文件，而是直接把指尖划向最底下的“我同意”。

　　“你要想一想提交的信息是不是获得某类服务所必需的，不提交是否也可以享受到这类服务。提交的那一刻要慢一秒，想一想。”聂正军建议。

　　业界普遍的观点是，对于用户来说，大数据时代下的生活方式不可避免地要让渡出一部分个人信息，但数据发展与隐私保护最终会有一个平衡点。

　　网络安全法规定，网络运营者未经收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。这被认为是为大数据产业发展“开了一个口子”，有效平衡了个人信息安全和产业发展之间的冲突。

　　企业方也在通过技术手段以寻找这种平衡点。其中，用户的个人信息在企业内部以匿名化方式存储，在不少企业已成为共识。比如支付宝前台、后台产品都集成了敏感数据的识别和脱敏技术框架。页面展示中的身份证号、银行卡号、手机号和邮箱四类敏感信息都会加密配置，防止泄密。

　　在蚂蚁金服首席战略官陈龙看来，这是数据生命周期中的最好状态，即“懂你，但不认识你”。

　　业内人士认为，大数据产业正在走向更加合规的时代。“企业要以数据为驱动去发展，必须要突破隐私保护的‘瓶颈’才行，这还需要一段时间。”张威说，“不过按互联网发展的时间来算，这段时间也就几年吧。”

【纠错】

责任编辑： 张樵苏