大數(shù)據(jù)時代下我國跨境商業(yè)個人數(shù)據(jù)隱私保護探討

徐磊　董鸝馥

摘 要隨著科技的進步，社交網(wǎng)絡、電子商務和物聯(lián)網(wǎng)的快速發(fā)展，商業(yè)數(shù)據(jù)呈現(xiàn)井噴，大數(shù)據(jù)時代已經(jīng)到來。社會因大數(shù)據(jù)使用而獲益匪淺，但隨之而來的大量個人數(shù)據(jù)信息的泄露也已經(jīng)引起各方的重視。為了增強消費者參與電子商務的信心，提高電子商務交易的效率，在電子商務領域建立跨境個人數(shù)據(jù)隱私權保護機制已經(jīng)刻不容緩。亞太經(jīng)合組織（APEC）在電子商務的跨境商業(yè)個人數(shù)據(jù)隱私保護方面做出了一系列卓有成效的工作。文章通過對APEC跨境隱私保護規(guī)則體系及其實施進行討論，并針對我國早日加入該規(guī)則體系，更加有效地保護我國電子商務中的個人數(shù)據(jù)隱私提出一些建議。

關鍵詞大數(shù)據(jù)；商業(yè)個人數(shù)據(jù)；APEC；隱私保護；電子商務

[中圖分類號]F724.6 [文獻標識碼]A [文章編號]1673-0461（2014）11-0052-04

“棱鏡門”被捅破，人們對于大量商業(yè)個人數(shù)據(jù)背后隱藏著的巨大經(jīng)濟與政治利益有了更加清晰深刻的認識。同時該事件也引發(fā)了一個新的話題：在信息爆炸的“大數(shù)據(jù)”時代，如何保證個人商業(yè)數(shù)據(jù)的安全性。

一、大數(shù)據(jù)時代

（一）大數(shù)據(jù)的涵義

許多人認為“大數(shù)據(jù)”還是個新生事物，而事實是，在物理學、生物學、環(huán)境生態(tài)學等領域以及軍事、金融、通訊等行業(yè)，“大數(shù)據(jù)”的存在已有時日。對于“大數(shù)據(jù)”，目前為止仍然沒有一個統(tǒng)一的定義。但是從專家和機構的定義中，我們可以得出幾個一般性的結論：首先，大數(shù)據(jù)源起于信息技術、社交網(wǎng)絡、電子商務和物聯(lián)網(wǎng)的發(fā)展。移動設備的普及和技術的飛躍使得人和物的所有軌跡都可以被記錄，這些數(shù)據(jù)堆積就形成了海量的大數(shù)據(jù)。其次，數(shù)據(jù)，已經(jīng)滲透到當今每一個行業(yè)和業(yè)務職能領域，成為重要的生產(chǎn)要素。最后，大數(shù)據(jù)是一種資產(chǎn)，其背后隱藏著大量的經(jīng)濟與政治利益。數(shù)據(jù)的交易鏈條已經(jīng)初見端倪，未來數(shù)據(jù)可能成為最大的交易商品。

（二）中國的大數(shù)據(jù)市場

大數(shù)據(jù)來源紛繁復雜，獲取渠道多種多樣，但總的來說，大致可以分為兩類：第一，結構化數(shù)據(jù)，即儲存在數(shù)據(jù)庫中的數(shù)據(jù)，約占大數(shù)據(jù)總量的10%。第二，非結構化數(shù)據(jù)，這類數(shù)據(jù)與人類生活密切相關，廣泛存在于社交網(wǎng)絡、物聯(lián)網(wǎng)、電子商務中，比如郵件、視頻、微博、帖子、手機呼叫、網(wǎng)頁點擊等等，這部分數(shù)據(jù)占到了大數(shù)據(jù)總量的90%。數(shù)據(jù)顯示，每年諸如郵件、視頻、微博、帖子、手機呼叫、網(wǎng)頁點擊等類型的非結構化數(shù)據(jù)增長率就達80%，并且這些數(shù)據(jù)里面包含了很多有價值的信息。[1]大數(shù)據(jù)背后的商業(yè)個人信息已經(jīng)成為電子商務企業(yè)新的業(yè)務增長引擎。

截止到2013年底，中國電子商務市場交易規(guī)模達10.2萬億，同比增長29.9%。其中，B2B電子商務市場交易額達8.2萬億元，同比增長31.2%。網(wǎng)絡零售市場交易規(guī)模達18 851億元，同比增長42.8%。

電子商務的加速繁榮帶來了大數(shù)據(jù)市場規(guī)模的急劇擴張。根據(jù)計世資訊（CCW Research）研究數(shù)據(jù)，2012年中國大數(shù)據(jù)市場規(guī)模為4.5億元，2013年增長到11.2億元，且此后將保持每年超過100%的增長率，到2016年，中國大數(shù)據(jù)市場有望達到百億規(guī)模。見圖1。[2]

大數(shù)據(jù)堪稱一把雙刃劍。一方面，通過獲取與分析海量數(shù)據(jù)，我們能夠獲得人們的行為習慣的有效信息，從而對個體行為習慣進行推測，提供個性化和定制化的服務。廣告主和電商們通過分析海量客戶的購買行為能夠了解客戶，進行有針對的營銷以提升業(yè)務。而與此同時，商業(yè)個人數(shù)據(jù)的安全邊界更加難以界定，存在的信息安全隱患更多，網(wǎng)絡用戶的個人隱私也更加無處遁形。

（三）大數(shù)據(jù)時代的商業(yè)個人數(shù)據(jù)隱私保護

電子商務應用和大數(shù)據(jù)的出現(xiàn)使得大量信息的搜集、儲存和利用變得更加快捷和低成本，但正是由于網(wǎng)絡具有高度開放、流動和交互的特性，也使得這些商業(yè)個人數(shù)據(jù)也可能被無意泄露、傳播甚至被不法分子濫用和買賣。如果不能規(guī)范這些數(shù)據(jù)的使用、保管和安全，數(shù)據(jù)的濫用和擴散必然會使消費者的個人隱私權受到極大的侵犯。同時，這也會使消費者喪失進一步參與電子商務的信心。

電子商務中的商業(yè)個人數(shù)據(jù)兼具無形財產(chǎn)權和人格權的雙重屬性，屬于網(wǎng)絡隱私權保護的內容。一般地，網(wǎng)絡隱私權是指自然人在網(wǎng)上享有的與公共利益無關的個人活動領域或個人信息秘密依法受到保護，不被他人非法侵擾、知悉、收集、利用和公開的一種人格權；也指禁止第三人隨意轉載、下載、傳播他人的敏感信息，包括事實、圖像以及誹謗的意見等。一方面，網(wǎng)絡隱私權的直接表現(xiàn)形式都是個人信息（或數(shù)據(jù)）；另一方面，這些個人信息（或數(shù)據(jù)）又可能與個人的私人空間、私人活動關聯(lián)。所以網(wǎng)絡隱私包括私人信息而又不僅限于私人信息。

目前來看，由于利益的驅動，以虛擬網(wǎng)絡為載體的電子商務中的商業(yè)個人數(shù)據(jù)正逐漸演變成商家瘋狂追逐的核心競爭力，商業(yè)個人數(shù)據(jù)信息的收集、整理、販賣已經(jīng)逐漸形成一個鏈條。特別地，隨著電子商務中的跨境交易日益活躍，跨境網(wǎng)絡隱私權將是重要商業(yè)化規(guī)則。如何協(xié)調統(tǒng)一跨境交易中各國和地區(qū)的數(shù)據(jù)傳輸規(guī)則和標準、實現(xiàn)跨境電子交易中商業(yè)個人數(shù)據(jù)的有效保護已經(jīng)引起廣泛關注。

二、APEC跨境商業(yè)個人隱私權保護規(guī)則體系

（一）APEC跨境商業(yè)個人隱私保護規(guī)則體系的實施

2011年11月夏威夷APEC領導人非正式會議上通過建立了APEC跨境隱私保護規(guī)則體系（CBPRs），這是一項自愿的認證體系。加入CBPRs將幫助加入國與APEC成員經(jīng)濟體通過更加安全的方式有效地交換數(shù)據(jù)，保護消費者隱私。

該體系主要包括自我評估、合規(guī)審查、認可/接受和爭議解決與執(zhí)行四個程序。而體系的具體實施則通過APEC 和各經(jīng)濟體兩個層面。

APEC方面，成立“APEC 跨境隱私權保護規(guī)則聯(lián)合監(jiān)督小組”，負責APEC區(qū)域內跨境隱私權保護的監(jiān)督、協(xié)調和實施；建立CBPRs認證目錄網(wǎng)站，公布APEC 認可的CBPRs 責任代理機構，以及CBPRs認證的商業(yè)機構名錄。如果參加CBPRs的商業(yè)機構侵犯了消費者的隱私權，責任代理機構可撤銷對該商業(yè)機構的認證，并從CBPRs認證目錄網(wǎng)站中將其剔除。endprint

各經(jīng)濟體方面，成立隱私權保護執(zhí)行機構，具體監(jiān)督落實各經(jīng)濟體內對個人隱私權和跨境隱私權保護規(guī)則，與其他經(jīng)濟體和APEC 聯(lián)合監(jiān)督小組進行協(xié)調，處理跨境隱私權保護的問題；成立APEC 認可的責任代理機構，對商業(yè)機構的隱私權保護進行審核，使其符合APEC 跨境隱私權保護的規(guī)則并給予認證；建立參與APEC跨境隱私保護規(guī)則體系的認證目錄網(wǎng)站的聯(lián)絡點，完成與CBPRs認證目錄網(wǎng)站相關信息的溝通和對接。

（二）該規(guī)則實施對消費者的影響

APEC跨境商業(yè)個人隱私權保護規(guī)則為電子商務行業(yè)個人隱私保護提供了一個有效的競爭機制，能夠提高整個行業(yè)對個人隱私保護的力度；另一方面，也能夠增強消費者參與電子商務的信心，提高電子商務交易的效率。

首先，消費者在進行電子商務交易時，可訪問CBPRs的認證目錄網(wǎng)站，核對交易對方是否參加CBPRs，一般消費者傾向于選擇參加CBPRs的商業(yè)機構，以使自己的個人數(shù)據(jù)得到有效的保護。

其次，在個人數(shù)據(jù)被非法傳播、濫用導致個人隱私權受到侵犯時，消費者可向隱私權保護執(zhí)行機構提起投訴。在接到投訴并核實投訴人的身份后，隱私保護執(zhí)行機構首先會與投訴人和被投訴人接觸，以斷定投訴的表面證據(jù)是否成立。若表面證據(jù)成立，隱私保護執(zhí)行機構會在投訴人與被投訴人之間進行調解。若爭端無法通過調解解決，隱私保護執(zhí)行機構可做出正式調查，假如調查證實材料使用者確有違反條例的規(guī)定，隱私保護執(zhí)行機構可向資料使用者發(fā)出執(zhí)行通知，指令其采取補救措施，或予以起訴。違反執(zhí)行通知即屬違法，可被判罰款及監(jiān)禁。同時，也將被APEC責任代理機構剔除出CBPRs認證目錄。

三、加強我國跨境商業(yè)個人數(shù)據(jù)隱私保護的建議

我國在跨境隱私保護方面起步較晚，但是也已開始了一些有益的嘗試，如大連軟件行業(yè)協(xié)會建立的針對使用自動或非自動處理全部或部分個人信息的單位而開展的個人信息保護能力的評價體系（PIPA）。參與該體系的單位可以通過評價，得到個人信息保護合格證書和PIPA標志使用權，以證明單位的個人信息保護能力和水平，以此得到客戶和消費者的信任。2008年6月19日，日本的P-MARK認證與中國的PIPA評價完成了全面互認，共用同一認證標志。這是國際上首個兩國互相全面承認的個人信息保護認證體系的合作項目。

（一）積極推進加入APEC跨境商業(yè)個人隱私權保護規(guī)則體系

政府部門應積極推進中國加入APEC跨境商業(yè)個人隱私權保護規(guī)則體系，引導我國互聯(lián)網(wǎng)交易企業(yè)走出去，進一步參與世界市場，分享利潤，得到外國消費者的信任與認可。同時，參與APEC跨境隱私保護規(guī)則體系也有利于我國的電子商務與國際交流和接軌。

然而，欲加入APEC跨境隱私保護規(guī)則體系，我們還有很長的路要走。我國在個人隱私保護方面尚處于起步的階段，參加CBPRs意味著我國需要建立規(guī)則體系規(guī)定的各項保護機制，這給我國從立法、行政等方面提出了一系列的要求。同時，也要求我國參與電子商務的商業(yè)機構從技術和制度上提高對消費者個人隱私權的保護程度。

（二）完善個人信息保護標準和法律法規(guī)

盡快建立和完善個人信息保護的專門法律法規(guī)是我國建立CBPRs規(guī)定的各項保護機制的首要任務，推動《個人信息安全保護法》的研究和制定更是重中之重。

據(jù)不完全統(tǒng)計，除了承擔信息安全監(jiān)管工作的工信部，公安部、國家保密局、國家密碼管理局、衛(wèi)生部、食品藥品監(jiān)督管理局、銀監(jiān)會、證監(jiān)會、鐵道部等部門都有規(guī)章文件涉及個人信息保護?，F(xiàn)有的多部門交叉管理體制使得國家層面的個人信息立法工作進展緩慢。2008年9月，由中國社科院法學研究所部分專家研究起草的《中華人民共和國個人信息保護法》（專家建議稿）已經(jīng)呈交國務院，但至今《中華人民共和國個人信息保護法》仍沒有出臺。如何將這些標準不同、側重角度不同的部門性法規(guī)協(xié)調整合至統(tǒng)一框架下，形成《中華人民共和國個人信息保護法》的確仍有待時日。

立法需要時間，但是個人信息保護標準方面，我們已經(jīng)有了統(tǒng)一的行動指南。2012年12月28日，全國人大常委會表決通過關于加強網(wǎng)絡信息保護的決定，決定以法律形式保護公民個人及法人信息安全。2013年2月1日，中國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》正式實施，中國個人信息保護工作正式進入“有標可依”階段。標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。但對于個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的授權。

（三）倡導特定行業(yè)組織通過行業(yè)自律規(guī)范確立對個人信息的保護

作為一種民間的網(wǎng)絡個人數(shù)據(jù)隱私保護模式，行業(yè)自律規(guī)范不是法律不具有強制力，主要依賴于行業(yè)內部成員的自覺遵守。在社會信息倫理道德準則比較缺失的今天，采用行業(yè)自律進行個人信息保護收效不甚明顯。但是，行業(yè)自律也有自身的優(yōu)點：面對瞬息萬變的技術和市場發(fā)展，企業(yè)可以隨時靈活調整網(wǎng)絡個人信息保護的政策與方法，避免法律的僵化與滯后性。

目前我國仍沒有有關隱私權保護的自律機制，但行業(yè)自律規(guī)范的建設初見成效。2013年2月1日正式實施的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》就是一部行業(yè)自律的指導手冊。根據(jù)《手冊》，相關監(jiān)管部門可以依據(jù)國家標準的技術支撐，規(guī)范企業(yè)對個人信息的使用，構建政府引導下的行業(yè)自律機制，形成具有我國特色的個人信息保護模式。

（四）推動成立獨立的第三方安全認證機構

行業(yè)自律規(guī)范是跨境商業(yè)個人數(shù)據(jù)保護的基本準則，引入獨立的第三方機構，進行數(shù)據(jù)保護的安全認證與監(jiān)督監(jiān)測是行業(yè)自律規(guī)范得以遵守的有力保障。endprint

從目前來看，商業(yè)個人數(shù)據(jù)隱私保護的第三方認證機構，基本都源起于一些自律性組織。既是裁判員又是運動員的做法引發(fā)了用戶對第三方認證和監(jiān)測的諸多顧慮和質疑。因此，盡快將現(xiàn)有的第三方安全認證機構獨立出來，是加強商業(yè)個人數(shù)據(jù)保護、重構客戶信任的重要一環(huán)。

目前，國內首個個人信息保護自律聯(lián)盟——“個人信息保護推進聯(lián)盟”和第三方權威信息發(fā)布平臺——“中國個人信息保護網(wǎng)”正在籌備和組建中。該聯(lián)盟和網(wǎng)站與“APEC認可的責任代理機構”和“CBPRs認證目錄網(wǎng)站”的職能相似，即對商業(yè)機構的個人數(shù)據(jù)保護進行審核，對符合個人信息保護標準和規(guī)則的企業(yè)予以認證并在網(wǎng)站上予以公布。政府及相關機構應進一步推動該聯(lián)盟與“APEC認可的責任代理機構”、“個人信息保護網(wǎng)”與“APEC認可的責任代理機構”和“CBPRs認證目錄網(wǎng)站”的對接，推動我國盡快加入APEC跨境隱私規(guī)則保護體系。

（五）加強第三方應用商店監(jiān)管

隨著智能移動終端的普及，移動電子商務發(fā)展迅速。與此同時，智能移動平臺應用商店附帶的安全問題凸顯，對用戶隱私造成了更大的威脅。據(jù)復旦大學一項調查成果顯示，目前市場上最熱門的330個安卓應用程序中，有58%存在泄露用戶隱私的情況，約8 500萬名安卓用戶隱私遭到泄露威脅。其中第三方應用商店的用戶隱私信息泄露率在六成左右。2013年第一季度安卓手機安全報告稱，全球的安卓系統(tǒng)安全威脅中，中國大陸地區(qū)以26.7%的比例高居首位。其中以隱私信息竊取為目的的惡意軟件高達24.3%，排在首位。第三方應用商店在國內的發(fā)展剛剛起步，在審核、應用測試、版權保護以及虛擬交易等眾多環(huán)節(jié)上仍存在缺陷，系統(tǒng)的監(jiān)管機制未建立。

政府方面，應盡快出臺相應的行業(yè)標準和規(guī)范，將移動應用商店納入行業(yè)監(jiān)管范疇、健全處罰與退出機制，強化其對移動應用的安全管理責任。同時進一步強化“事前準入”，完善“事中監(jiān)測”與“事后處置”，建立貫穿應用全生命周期的管理流程。第三方應用商店自身也應積極規(guī)范管理，加大對手機安全市場的研發(fā)投入，盡快完善手機安全軟件的功能，并對用戶的個性化和細分化安全需求予以重視和支持，例如對手機支付賬戶安全的保護、對智能手機中個人私密信息的保護等，為用戶創(chuàng)造綠色安全的使用環(huán)境。

（六）進一步規(guī)范第三方B2C平臺供應商對用戶的信息保護

據(jù)網(wǎng)絡媒體報道，京東商城、當當網(wǎng)等B2C電子商務網(wǎng)站均存在用戶資料泄露的情況。互聯(lián)網(wǎng)漏洞報告平臺WOOYUN稱，京東商城存在用戶權限控制不當?shù)穆┒矗瑫е掠脩糍Y料完全泄露，易被第三方獲取。更有消息稱，支付寶、光大銀行、交通銀行也卷入了“泄密門”。

雖然這些B2C平臺供應商和企業(yè)都紛紛發(fā)布公告試圖澄清自己不存在用戶資料泄露，但事件的本身還是引起了廣大電商用戶對第三方B2C平臺供應商的質疑。第三方B2C網(wǎng)站涉及網(wǎng)民的多種個人隱私信息，包括姓名、手機、住址、愛好、銀行賬戶等。這些信息一旦泄露，后果將十分嚴重。

為供需雙方搭建貿易平臺的同時，第三方B2C平臺供應商也應從自身出發(fā)，將對用戶的商業(yè)個人數(shù)據(jù)保護納入到日常的工作中來，進一步提高信息保護技術水平，規(guī)范監(jiān)督和保護程序，積極引導電商企業(yè)與在線消費者共同構建第三方電子商務平臺信任機制，促進網(wǎng)上各交易主體建立彼此信任關系，并運用多種手段促進兩者之間的良性互動，推動電子商務朝更有利的方向發(fā)展。

[參考文獻]

[1] DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心.大數(shù)據(jù)時代的五個轉變[R].2012-07-26.

[2] 中國計算機報編輯部.大數(shù)據(jù)：市場規(guī)模達到4.5億元[N].中國計算機報，2013（6）.endprint