大數據時代下我國跨境商業個人數據隱私保護探討

徐磊　董鸝馥

摘 要隨著科技的進步，社交網絡、電子商務和物聯網的快速發展，商業數據呈現井噴，大數據時代已經到來。社會因大數據使用而獲益匪淺，但隨之而來的大量個人數據信息的泄露也已經引起各方的重視。為了增強消費者參與電子商務的信心，提高電子商務交易的效率，在電子商務領域建立跨境個人數據隱私權保護機制已經刻不容緩。亞太經合組織（APEC）在電子商務的跨境商業個人數據隱私保護方面做出了一系列卓有成效的工作。文章通過對APEC跨境隱私保護規則體系及其實施進行討論，并針對我國早日加入該規則體系，更加有效地保護我國電子商務中的個人數據隱私提出一些建議。

關鍵詞大數據；商業個人數據；APEC；隱私保護；電子商務

[中圖分類號]F724.6 [文獻標識碼]A [文章編號]1673-0461（2014）11-0052-04

“棱鏡門”被捅破，人們對于大量商業個人數據背后隱藏著的巨大經濟與政治利益有了更加清晰深刻的認識。同時該事件也引發了一個新的話題：在信息爆炸的“大數據”時代，如何保證個人商業數據的安全性。

一、大數據時代

（一）大數據的涵義

許多人認為“大數據”還是個新生事物，而事實是，在物理學、生物學、環境生態學等領域以及軍事、金融、通訊等行業，“大數據”的存在已有時日。對于“大數據”，目前為止仍然沒有一個統一的定義。但是從專家和機構的定義中，我們可以得出幾個一般性的結論：首先，大數據源起于信息技術、社交網絡、電子商務和物聯網的發展。移動設備的普及和技術的飛躍使得人和物的所有軌跡都可以被記錄，這些數據堆積就形成了海量的大數據。其次，數據，已經滲透到當今每一個行業和業務職能領域，成為重要的生產要素。最后，大數據是一種資產，其背后隱藏著大量的經濟與政治利益。數據的交易鏈條已經初見端倪，未來數據可能成為最大的交易商品。

（二）中國的大數據市場

大數據來源紛繁復雜，獲取渠道多種多樣，但總的來說，大致可以分為兩類：第一，結構化數據，即儲存在數據庫中的數據，約占大數據總量的10%。第二，非結構化數據，這類數據與人類生活密切相關，廣泛存在于社交網絡、物聯網、電子商務中，比如郵件、視頻、微博、帖子、手機呼叫、網頁點擊等等，這部分數據占到了大數據總量的90%。數據顯示，每年諸如郵件、視頻、微博、帖子、手機呼叫、網頁點擊等類型的非結構化數據增長率就達80%，并且這些數據里面包含了很多有價值的信息。[1]大數據背后的商業個人信息已經成為電子商務企業新的業務增長引擎。

截止到2013年底，中國電子商務市場交易規模達10.2萬億，同比增長29.9%。其中，B2B電子商務市場交易額達8.2萬億元，同比增長31.2%。網絡零售市場交易規模達18 851億元，同比增長42.8%。

電子商務的加速繁榮帶來了大數據市場規模的急劇擴張。根據計世資訊（CCW Research）研究數據，2012年中國大數據市場規模為4.5億元，2013年增長到11.2億元，且此后將保持每年超過100%的增長率，到2016年，中國大數據市場有望達到百億規模。見圖1。[2]

大數據堪稱一把雙刃劍。一方面，通過獲取與分析海量數據，我們能夠獲得人們的行為習慣的有效信息，從而對個體行為習慣進行推測，提供個性化和定制化的服務。廣告主和電商們通過分析海量客戶的購買行為能夠了解客戶，進行有針對的營銷以提升業務。而與此同時，商業個人數據的安全邊界更加難以界定，存在的信息安全隱患更多，網絡用戶的個人隱私也更加無處遁形。

（三）大數據時代的商業個人數據隱私保護

電子商務應用和大數據的出現使得大量信息的搜集、儲存和利用變得更加快捷和低成本，但正是由于網絡具有高度開放、流動和交互的特性，也使得這些商業個人數據也可能被無意泄露、傳播甚至被不法分子濫用和買賣。如果不能規范這些數據的使用、保管和安全，數據的濫用和擴散必然會使消費者的個人隱私權受到極大的侵犯。同時，這也會使消費者喪失進一步參與電子商務的信心。

電子商務中的商業個人數據兼具無形財產權和人格權的雙重屬性，屬于網絡隱私權保護的內容。一般地，網絡隱私權是指自然人在網上享有的與公共利益無關的個人活動領域或個人信息秘密依法受到保護，不被他人非法侵擾、知悉、收集、利用和公開的一種人格權；也指禁止第三人隨意轉載、下載、傳播他人的敏感信息，包括事實、圖像以及誹謗的意見等。一方面，網絡隱私權的直接表現形式都是個人信息（或數據）；另一方面，這些個人信息（或數據）又可能與個人的私人空間、私人活動關聯。所以網絡隱私包括私人信息而又不僅限于私人信息。

目前來看，由于利益的驅動，以虛擬網絡為載體的電子商務中的商業個人數據正逐漸演變成商家瘋狂追逐的核心競爭力，商業個人數據信息的收集、整理、販賣已經逐漸形成一個鏈條。特別地，隨著電子商務中的跨境交易日益活躍，跨境網絡隱私權將是重要商業化規則。如何協調統一跨境交易中各國和地區的數據傳輸規則和標準、實現跨境電子交易中商業個人數據的有效保護已經引起廣泛關注。

二、APEC跨境商業個人隱私權保護規則體系

（一）APEC跨境商業個人隱私保護規則體系的實施

2011年11月夏威夷APEC領導人非正式會議上通過建立了APEC跨境隱私保護規則體系（CBPRs），這是一項自愿的認證體系。加入CBPRs將幫助加入國與APEC成員經濟體通過更加安全的方式有效地交換數據，保護消費者隱私。

該體系主要包括自我評估、合規審查、認可/接受和爭議解決與執行四個程序。而體系的具體實施則通過APEC 和各經濟體兩個層面。

APEC方面，成立“APEC 跨境隱私權保護規則聯合監督小組”，負責APEC區域內跨境隱私權保護的監督、協調和實施；建立CBPRs認證目錄網站，公布APEC 認可的CBPRs 責任代理機構，以及CBPRs認證的商業機構名錄。如果參加CBPRs的商業機構侵犯了消費者的隱私權，責任代理機構可撤銷對該商業機構的認證，并從CBPRs認證目錄網站中將其剔除。endprint

各經濟體方面，成立隱私權保護執行機構，具體監督落實各經濟體內對個人隱私權和跨境隱私權保護規則，與其他經濟體和APEC 聯合監督小組進行協調，處理跨境隱私權保護的問題；成立APEC 認可的責任代理機構，對商業機構的隱私權保護進行審核，使其符合APEC 跨境隱私權保護的規則并給予認證；建立參與APEC跨境隱私保護規則體系的認證目錄網站的聯絡點，完成與CBPRs認證目錄網站相關信息的溝通和對接。

（二）該規則實施對消費者的影響

APEC跨境商業個人隱私權保護規則為電子商務行業個人隱私保護提供了一個有效的競爭機制，能夠提高整個行業對個人隱私保護的力度；另一方面，也能夠增強消費者參與電子商務的信心，提高電子商務交易的效率。

首先，消費者在進行電子商務交易時，可訪問CBPRs的認證目錄網站，核對交易對方是否參加CBPRs，一般消費者傾向于選擇參加CBPRs的商業機構，以使自己的個人數據得到有效的保護。

其次，在個人數據被非法傳播、濫用導致個人隱私權受到侵犯時，消費者可向隱私權保護執行機構提起投訴。在接到投訴并核實投訴人的身份后，隱私保護執行機構首先會與投訴人和被投訴人接觸，以斷定投訴的表面證據是否成立。若表面證據成立，隱私保護執行機構會在投訴人與被投訴人之間進行調解。若爭端無法通過調解解決，隱私保護執行機構可做出正式調查，假如調查證實材料使用者確有違反條例的規定，隱私保護執行機構可向資料使用者發出執行通知，指令其采取補救措施，或予以起訴。違反執行通知即屬違法，可被判罰款及監禁。同時，也將被APEC責任代理機構剔除出CBPRs認證目錄。

三、加強我國跨境商業個人數據隱私保護的建議

我國在跨境隱私保護方面起步較晚，但是也已開始了一些有益的嘗試，如大連軟件行業協會建立的針對使用自動或非自動處理全部或部分個人信息的單位而開展的個人信息保護能力的評價體系（PIPA）。參與該體系的單位可以通過評價，得到個人信息保護合格證書和PIPA標志使用權，以證明單位的個人信息保護能力和水平，以此得到客戶和消費者的信任。2008年6月19日，日本的P-MARK認證與中國的PIPA評價完成了全面互認，共用同一認證標志。這是國際上首個兩國互相全面承認的個人信息保護認證體系的合作項目。

（一）積極推進加入APEC跨境商業個人隱私權保護規則體系

政府部門應積極推進中國加入APEC跨境商業個人隱私權保護規則體系，引導我國互聯網交易企業走出去，進一步參與世界市場，分享利潤，得到外國消費者的信任與認可。同時，參與APEC跨境隱私保護規則體系也有利于我國的電子商務與國際交流和接軌。

然而，欲加入APEC跨境隱私保護規則體系，我們還有很長的路要走。我國在個人隱私保護方面尚處于起步的階段，參加CBPRs意味著我國需要建立規則體系規定的各項保護機制，這給我國從立法、行政等方面提出了一系列的要求。同時，也要求我國參與電子商務的商業機構從技術和制度上提高對消費者個人隱私權的保護程度。

（二）完善個人信息保護標準和法律法規

盡快建立和完善個人信息保護的專門法律法規是我國建立CBPRs規定的各項保護機制的首要任務，推動《個人信息安全保護法》的研究和制定更是重中之重。

據不完全統計，除了承擔信息安全監管工作的工信部，公安部、國家保密局、國家密碼管理局、衛生部、食品藥品監督管理局、銀監會、證監會、鐵道部等部門都有規章文件涉及個人信息保護?，F有的多部門交叉管理體制使得國家層面的個人信息立法工作進展緩慢。2008年9月，由中國社科院法學研究所部分專家研究起草的《中華人民共和國個人信息保護法》（專家建議稿）已經呈交國務院，但至今《中華人民共和國個人信息保護法》仍沒有出臺。如何將這些標準不同、側重角度不同的部門性法規協調整合至統一框架下，形成《中華人民共和國個人信息保護法》的確仍有待時日。

立法需要時間，但是個人信息保護標準方面，我們已經有了統一的行動指南。2012年12月28日，全國人大常委會表決通過關于加強網絡信息保護的決定，決定以法律形式保護公民個人及法人信息安全。2013年2月1日，中國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》正式實施，中國個人信息保護工作正式進入“有標可依”階段。標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。但對于個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的授權。

（三）倡導特定行業組織通過行業自律規范確立對個人信息的保護

作為一種民間的網絡個人數據隱私保護模式，行業自律規范不是法律不具有強制力，主要依賴于行業內部成員的自覺遵守。在社會信息倫理道德準則比較缺失的今天，采用行業自律進行個人信息保護收效不甚明顯。但是，行業自律也有自身的優點：面對瞬息萬變的技術和市場發展，企業可以隨時靈活調整網絡個人信息保護的政策與方法，避免法律的僵化與滯后性。

目前我國仍沒有有關隱私權保護的自律機制，但行業自律規范的建設初見成效。2013年2月1日正式實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》就是一部行業自律的指導手冊。根據《手冊》，相關監管部門可以依據國家標準的技術支撐，規范企業對個人信息的使用，構建政府引導下的行業自律機制，形成具有我國特色的個人信息保護模式。

（四）推動成立獨立的第三方安全認證機構

行業自律規范是跨境商業個人數據保護的基本準則，引入獨立的第三方機構，進行數據保護的安全認證與監督監測是行業自律規范得以遵守的有力保障。endprint

從目前來看，商業個人數據隱私保護的第三方認證機構，基本都源起于一些自律性組織。既是裁判員又是運動員的做法引發了用戶對第三方認證和監測的諸多顧慮和質疑。因此，盡快將現有的第三方安全認證機構獨立出來，是加強商業個人數據保護、重構客戶信任的重要一環。

目前，國內首個個人信息保護自律聯盟——“個人信息保護推進聯盟”和第三方權威信息發布平臺——“中國個人信息保護網”正在籌備和組建中。該聯盟和網站與“APEC認可的責任代理機構”和“CBPRs認證目錄網站”的職能相似，即對商業機構的個人數據保護進行審核，對符合個人信息保護標準和規則的企業予以認證并在網站上予以公布。政府及相關機構應進一步推動該聯盟與“APEC認可的責任代理機構”、“個人信息保護網”與“APEC認可的責任代理機構”和“CBPRs認證目錄網站”的對接，推動我國盡快加入APEC跨境隱私規則保護體系。

（五）加強第三方應用商店監管

隨著智能移動終端的普及，移動電子商務發展迅速。與此同時，智能移動平臺應用商店附帶的安全問題凸顯，對用戶隱私造成了更大的威脅。據復旦大學一項調查成果顯示，目前市場上最熱門的330個安卓應用程序中，有58%存在泄露用戶隱私的情況，約8 500萬名安卓用戶隱私遭到泄露威脅。其中第三方應用商店的用戶隱私信息泄露率在六成左右。2013年第一季度安卓手機安全報告稱，全球的安卓系統安全威脅中，中國大陸地區以26.7%的比例高居首位。其中以隱私信息竊取為目的的惡意軟件高達24.3%，排在首位。第三方應用商店在國內的發展剛剛起步，在審核、應用測試、版權保護以及虛擬交易等眾多環節上仍存在缺陷，系統的監管機制未建立。

政府方面，應盡快出臺相應的行業標準和規范，將移動應用商店納入行業監管范疇、健全處罰與退出機制，強化其對移動應用的安全管理責任。同時進一步強化“事前準入”，完善“事中監測”與“事后處置”，建立貫穿應用全生命周期的管理流程。第三方應用商店自身也應積極規范管理，加大對手機安全市場的研發投入，盡快完善手機安全軟件的功能，并對用戶的個性化和細分化安全需求予以重視和支持，例如對手機支付賬戶安全的保護、對智能手機中個人私密信息的保護等，為用戶創造綠色安全的使用環境。

（六）進一步規范第三方B2C平臺供應商對用戶的信息保護

據網絡媒體報道，京東商城、當當網等B2C電子商務網站均存在用戶資料泄露的情況?；ヂ摼W漏洞報告平臺WOOYUN稱，京東商城存在用戶權限控制不當的漏洞，會導致用戶資料完全泄露，易被第三方獲取。更有消息稱，支付寶、光大銀行、交通銀行也卷入了“泄密門”。

雖然這些B2C平臺供應商和企業都紛紛發布公告試圖澄清自己不存在用戶資料泄露，但事件的本身還是引起了廣大電商用戶對第三方B2C平臺供應商的質疑。第三方B2C網站涉及網民的多種個人隱私信息，包括姓名、手機、住址、愛好、銀行賬戶等。這些信息一旦泄露，后果將十分嚴重。

為供需雙方搭建貿易平臺的同時，第三方B2C平臺供應商也應從自身出發，將對用戶的商業個人數據保護納入到日常的工作中來，進一步提高信息保護技術水平，規范監督和保護程序，積極引導電商企業與在線消費者共同構建第三方電子商務平臺信任機制，促進網上各交易主體建立彼此信任關系，并運用多種手段促進兩者之間的良性互動，推動電子商務朝更有利的方向發展。

[參考文獻]

[1] DCCI互聯網數據中心.大數據時代的五個轉變[R].2012-07-26.

[2] 中國計算機報編輯部.大數據：市場規模達到4.5億元[N].中國計算機報，2013（6）.endprint