大数据用户隐私第三方问责制度建设

【摘要】大数据为人们生活带来便利的同时，也造成用户隐私泄漏的隐患。用户数据或隐私信息可能因为个人信息过度曝光(如社交媒体的过度使用)、服务方安全保护措施不力(如防火墙技术落后等)、服务方主动泄露(将用户数据卖给第三方)、非法使用者主动窃取等原因造成用户隐私被侵权的情况，但用户、服务方、非法使用者到底谁应承担隐私泄露的责任，如何进行责任分配，目前是一种比较模糊的情况。文章建议建立第三方问责制度，并构建完整的制度体系，包括登记备案制度、数据监管制度、公开曝光与举报制度、奖惩制度。并建议从培养用户自身信息管理的自觉性和隐私维权意识、培养科学对待大数据的社会氛围、规范数据服务行业的诚信体系三个方面培养实施第三方问责制度的社会环境。

【关键词】大数据用户隐私第三方问责

1第三方机构对大数据用户隐私保护的必要性

大数据自2012年诞生以来，呈现出海量、非结构化、增值性、速度快、多元类型等特点。作为一种数据集合，大数据通过使用特定的数据分析工具加工处理能够实现数据内在的价值性。因此，大数据对社会机构的价值不言而喻，尤其是商业组织对用户和消费者海量大数据的分析能够为其营销、管理和市场运营提供基于事实数据的策略指导。正因如此，也吸引了一些不法商户或非法信息使用者不经用户授权或同意泄露个体隐私数据从中获取利益。大数据对用户隐私的揭示达到了一个新的高度，大数据隐私除了基础的身份信息以外，对用户的空间变换、个性、消费观念、价值观、行为习惯等都有覆盖，甚至能够非常清晰、高概率地预测一个人未来的行为及自主决策的各种可能性，对人产生全方位的监控，使得每个人的隐私在大数据技术之下变得完全公开透明，逐渐使人丧失个体的自由度和自主性［1］。用户数据或隐私信息可能因为个人信息过度曝光(如社交媒体的过度使用)、服务方安全保护措施不力(如防火墙技术落后等)、服务方主动泄露(将用户数据卖给第三方)、非法使用者主动窃取等原因造成用户隐私被侵权的情况，但用户、服务方、非法使用者到底谁应承担隐私泄露的责任，如何进行责任分配，目前是一种比较模糊的情况。虽然业界和学界就技术和法律保护提出了一定的解决途径，但用户隐私不仅仅是技术和法律问题，同时也是信任问题。这种信任可以优化组合非人格化和人格化信任，从认知性、情感性和制度性信任三个方面与用户建立隐私保护的信任机制［2］。ＲobertWeller提出“制度性信任”(institutionaltrust)，它并非指涉及社会或者国家体制的制度，而是指具体的、专门对付不诚信者所建立的制度，也就是“信用”(credit)制度［3］。在大数据面前，个体用户是渺小的、非专业的，用一己之力去抗衡交错纵横的大数据平台网络无疑是以卵击石，大数据隐私数据流转过程中的构成要素有:用户、服务方、非法使用者和政府等第三方监管机构。用户能力有限，服务方和非法使用者又受制于利益驱动，难以从用户角度保护其隐私，那么只有政府等第三方监管机构能够承担起保护大数据隐私的责任和使命。第三方机构能够以第三方身份客观地保护法律关系中的用户和服务方法律主体的相应权利，并重点监督服务主体应该承担的义务。

2第三方问责制度构成

大数据发展客观上是技术的进步，借助并行处理、海量存储、数据挖掘、云计算、数据库、机器学习等工具，能够对商业机构或非营利组织的服务对象进行精细分析与加工，发现隐藏在分散数据之间的内在联系，除了用户客观的人口数据以外，会涉及更深入的认知、情感、态度、偏好、心理等，这对市场预估、用户学习、精准营销、互动广告等具有积极的指导意义。在海量数据面前，似乎一个用户的隐私是微不足道的，大数据成为服务方泄露用户隐私的借口和盾牌。用户也因为在多个网络平台获取服务，难以清楚地记得在哪个平台留下了何种信息，更难以分辨到底是哪个服务方泄露了他的信息。甚至，某些服务方认为用户在个人社交平台上过度地泄露了个人隐私，即用户自己泄露的隐私数据就可以不需授权或同意而直接使用。这里我们需要清楚，用户在社交媒体上曝光个人的生活、工作、学习的地点、状态、心理态度等，主要是满足与朋友之间的社交需求，加深自我形象概念的表达，并不是将自己曝光在商业意图的空间中，因此，个人数据过度曝光不代表数据随意使用，任何机构或组织对个人信息挖掘同样需要授权使用。用户个人技术和法律的非专业性与服务方的商业利益驱动性，决定了二者都难以成为管理用户隐私数据的主体，在数据溯源和保护技术不断提升的基础上，必须建立独立于用户和服务方的第三方监督体系。第三方监督机构必须在政府相关部分进行资质认可，得到合法的市场准入资格，并开展相应的数据监管和保护用户隐私行为。

2.1登记备案制度

登记备案制度是第三方机构工作的基础和第一个环节，即作为提供数据服务的主体需要在国家指定或具有市场资质的第三方问责机构处进行登记备案，明确服务主体的名称与地址、LOGO或标识、服务对象或服务范围、提供数据类型和描述，并出具相关的证明文件，包括营业执照、数据来源购买或共享签署的协议、服务器购买或租用协议、数据安全防范的技术和模式等。对于没有登记备案的服务主体，则没有收集、交互和传播数据权利的市场准入资格，一旦实施数据收集与分析等行为，将受到相应的处罚。第三方问责机构要根据服务方提供的信息进行分类、归档，并就不同类型的数据服务进行专业技术分析，对常见的隐私侵权现象或变异进行归纳总结，分析其产生的原因以及具体的防范措施，包括普通用户如何进行识别等。

2.2数据监管制度

数据监管制度是第三方问责机构对服务主体的数据流动过程进行的实时监督与管理，可随时发现不正常的数据预警和异常波动，旨在发现用户隐私被侵权的苗头，提前对侵权行为进行制止;隐私侵权进行中及时进行中断和制止;侵权发生后为用户进行维权。监管过程中有各种相关数据流动的痕迹与记录，能够为侵权行为提供法律证据和责任分配依据。第三方问责机构可由政府内部涵盖信息技术、法务有关的机构联合办公，待时机成熟后可成立专门的大数据用户隐私保护部门，或者在政府相关部门指导与管理下，鼓励成立市场第三方问责机构。该机构必须具备相关的硬件、软件和技术支持，并配备熟练掌握相关领域侵权行为的技术复合型人力资源。复合型表现在学科背景的综合性，包括数据分析、法律、信息管理等学科的集成;对数据安全的管理与保护的复合性，既包括传输端安全、数据安全，还包括数据传输安全。任何一个环节都有可能存在侵权的隐患，监管人员需要对不同环节进行全方位的管控;数据监管的方法是复合型的，既有技术层面的，也有法律层面和制度层面的。

2.3公开曝光与举报制度

公开曝光是指某些服务主体在服务过程中主观上故意泄露用户隐私数据导致侵权行为发生。根据侵权的破坏力和发生频率设定曝光标准，如发生频率在3次以上，造成用户名誉严重受损，影响正常生活、学习和工作的侵权行为在行业平台、公共平台或政府平台上予以曝光，在不涉及商业机密和用户隐私再次曝光的前提下将侵权的细节进行披露，包括侵权主体、范围、内容、处理结果等。举报制度是指设置用户或其他组织检举服务主体的用户隐私侵权行为的通道，第三方问责机构应配备专门人员对举报内容进行核实，如果一经查实，则通报被检举的服务主体，并及时给予用户反馈结果。尤其在社交媒体比较盛行的今天，透明社会更需要对媒体暴力、“媒体绑架”、诽谤等行为加以规范和约束。德国于2018年初制定了《社交媒体管理法》，要求社交媒体平台清理涉及诽谤、诋毁、新纳粹和暴力煽动内容，否则将面临最高达5000万欧元的罚款。此外，社交媒体企业还需每半年报告，公示用户举报数量及其处理情况［4］。公开曝光与举报制度的目的是通过从上到下的管理、从下到上的社会监督两条渠道对数据服务主体进行规范与约束。一方面增加了失信服务主体的市场行为成本，损害企业的商业利益，反向激励服务主体主动改善服务和注意法律约束;另一方面也对用户隐私数据保护意识进行培养，形成主动监督、主动自我管理、主动防范的行为自觉。

2.4奖惩制度

对服务主体进行适度的奖励和严厉的惩罚会激励行为主体向有利方面发展，同时对社会监督主体进行适度的奖励也会促进社会环境对用户隐私数据保护氛围的形成。奖励制度主要针对服务主体和监督主体，对于积极保护用户数据的企业典范予以信息公开，并由政府等相关主管部门予以表彰，以形成示范效应，带动数据行业的良好风尚。目前，针对用户保护意识比较薄弱的现状，政府或第三方问责机构应有意识地进行社会培育和传播活动，对及时、有效的用户监督进行奖励，树立社会标杆，为用户个体自觉进行隐私保护和监督服务企业提供一定的依据。惩罚制度主要针对服务企业，除了必要的行政处罚(如禁止某些数据服务等)和经济处罚(没收因泄露用户隐私数据牟取的非法利润，并处几倍的罚款)以外，基于用户对服务主体的评价、第三方问责机构对服务主体的安全认证和用户评价信息的真实性等因素，建立数据/信息服务行业的黑名单制度和诚信系统［5］，对于多次或习惯性存在用户侵权行为的服务主体会将进入行业黑名单，并持续存在三年，任何个人都可以公开登录进行查询。即将企业名誉、声誉和利润联系起来，服务主体的失信行为将会影响企业的品牌形象，直接带来用户流失、业务量减少、利润下降，反向激励企业关注自身的技术安全设施，主动保护用户隐私数据。

3实施第三方问责制度的社会环境

3.1培养用户自身信息管理的自觉性和隐私维权意识

几乎和大数据同时产生的微信，截止到2017年9月，平均每天登录微信的用户超过9亿，朋友圈发表视频超过6800万次，社交媒体成为用户生活的习惯动作和必需品，大量的个人信息和数据充斥在数据海洋中，惯性行为让用户逐渐丧失了管理个人信息的警觉性和本该具有的保护意识，逐渐从主动消费社交媒体过渡到被动地消费社交媒体。Facebook的权威人士KatieHarbath指出:“被动地”消费社交媒体可能对心理健康有害［6］。研究发现在社交媒体上个人信息泄露的主要途径有:个人给予APP过多权限;个人无意识过多暴露个人或相关人员的信息;密码过于简单导致非法分子窃取;社交媒体平台数据库遭受黑客攻击致使信息泄露;社交媒体过度使用个人信息等［7］。基于个体用户的行为习惯和心理倾向，建议第三方问责机构主动介入数据交易过程，将安全使用大数据的法律法规以简单清晰的方式传达给用户，对于常见的侵权方式或以视频方式、或以文字方式、或以游戏方式让用户充分了解，不断培养用户的安全常识和法律维权意识。如仔细阅读相关服务方的注册或同意条款，对于不明确的专业术语平台应提供帮助和说明，或者由第三方机构提供在线咨询，明确个人和服务方各自的权利和责任，避免因不了解将用户的主动权交到服务方手里。对于登录密码和交易密码等安全设置要避免常见组合方式，如身份证号码、个人或家人的生日日期、手机或固定电话号码等，建议使用数字、字母和符号的组合，且长度最好在12位以上;同时，也要培养用户理性消费社交媒体的行为习惯和心理偏好，表达与彰显自我形象的途径不是没有任何底线的曝光、再曝光，相反过度的曝光反倒容易造成低品位的个人形象。

3.2科学对待大数据的社会氛围

大数据不是万能的，也不是神秘的，它只是人们改造社会过程中的产物和为人类所使用的工具，目的是让我们的生活更便利、更美好，如果我们成为它的奴役，则不要它也罢。因此，不论是国家、商业和非营利组织乃至个人都需要理性对待大数据，理性消费大数据，不能过大夸张大数据的作用，也不能对大数据引发的社会变革视而不见;不能过分地追捧，也不能避而远之;不能嗤之以鼻地高高在上，也不能俯首称臣地被其奴役，既要尊重技术的先进性，又要充分利用其先进性改善个人品质;既要看到大数据可能存在的隐患，又要将大数据的利益最大化;在利用大数据的过程中，既要对自己负责，也要对接受对象负责;既要利用展示自我的平台，又要有理、有度、有底线地公开、交流与传播;不实、虚假、侮辱的信息和数据不仅对个人存在隐患，同时对社会乃至国家都存在风险，应具备必要的风险观念和防范意识。

3.3规范数据服务行业的诚信体系

用户隐私侵权发生主体多在服务方或非法使用方，不论出于点击、关注、收藏等原因，其根本驱动力仍在于利益价值，商业组织追逐利润是正常现象，问题的关键是他们通过非法实现利润，那么这就需要法律、技术和经济的共同杠杆去平衡商业主体的利益问题。固然，我们希望在企业主体诚信价值观的基础上协同利用国家法律的强制性、第三方机构的技术举证、行政主管或行业协会的经济奖惩共同构建服务方的诚信体系。如果将侵权、泄露等行为上升到行业、政府失信行为，其损失总和大于因侵权获得的利益总和，那么企业就会衡量短期收益和长期收益的净利润，作出合理的决策。

注释

［1］李雨明，聂圣歌，西楠.大数据隐私侵权界定及其应对策略研究［J］.图书馆工作与研究，2017(S1):5－10.

［2］赵付春.大数据环境下用户隐私保护和信任构建［J］.探索与争鸣，2017(12):97－100.

［3］范可.社会信任与制度信任［N］.新华日报.2016－12－09.

［4］社交媒体整改，要斩断背后的商业利益链［EB/OL］.［2018－04－31］.

［5］朱光，杨嘉韵，丰米宁，陈叶.问责情境下的大数据隐私溯源框架研究［J］.图书馆学研究，2016(13):60，67－73.

［6］Facebook:社交媒体可能对民主有负面影响［EB/OL］.［2018－04－23］.

［7］陈俊霖.社交媒体视阈下个人信息管理的非官方联动机制研究［J］.图书馆学研究，2018(5):83－87，98.

作者：孙卓 孙福强 单位：吉林广播电视大学