大数据时代“眼睛”无处不在,想保护个人信息?难!
移动互联网让网络变得无处不在,也在每个人背后增加了许多窥视的眼睛。用户的身份、位置、银行账号……所有这些敏感信息都可以被各形各色的采集者获取,而且大多是合法的。合法获取与滥用、泄漏的风险并不矛盾,在大数据时代,个人信息保护遇到了困境。
中国已经进入了真正意义上的移动互联网时代,终端的便携性决定了移动互联网和PC时代互联网本质的不同。手机、Pad、可穿戴设备等便携智能终端与人寸步不离,随着人的移动而移动,网络因而变得无处不在。
移动互联网时代改变了人们的生活习惯和行为模式——今天,人们已经习惯在移动终端上看新闻、聊微信和逛淘宝。
目前,手机在中国的普及率已经超过了百分之百,平均每个人拥有一部以上的手机。如果再加上Pad、可穿戴设备、笔记本电脑,全国范围内可以登录移动互联网的设备数量将是一个天文数字。
同时,OTT的兴起使得互联网业务如雨后春笋层出不穷。这些业务除了获取用户的身份、位置、银行账号等个人信息以外,本身还会产生大量个人信息,比如使用服务的日志信息和内容信息。
移动互联网的负外部性:谁都可以获取你的个人信息
移动互联网的无处不在,使得个人信息的收集和利用行为无处不在。海量的智能终端设备和业务应用,则进一步增加了个人信息保护的难度。在移动互联网时代,个人信息的保护正遭受着严峻的挑战。
电信运营商和互联网服务提供者为了向用户提供通信和各种各样的互联网服务,每时每刻都要获取海量的来自终端和用户的信息。
比如,电信运营商需要实时采集每一台接入网络的智能终端的使用行为,包括设备的识别编码、此时此刻的位置和移动轨迹、正在进行的通话或者正在使用的互联网服务、使用的IP地址和浏览网站的IP地址、发生的数据流量等等。不采集这些信息,用户就无法使用通信服务。如果对这些实时数据和历史数据进行适当的分析,便不难发现用户规律性的行动轨迹、经常使用的APP种类、不同终端在位置和时间上的耦合关系等,进而对用户的工作单位、生活习惯、兴趣爱好、职业特点、消费偏好乃至身份关系在一定程度上作出推断。例如一个用户经常使用同花顺的软件,他有很大概率是一个股民。
相较电信运营商而言,互联网服务提供者获取用户信息的途径更加多样化,获取的信息内容也更加丰富。
比如支付宝等第三方支付应用可以获取用户的银行账号和密码,并掌握通过该软件发生的每一笔账务往来信息;一款地图导航软件甚至在用户不使用导航服务时也可以持续获取用户的位置信息,只要用户曾经使用过它并且没有取消提供位置信息的许可。
越来越多的软件要求绑定手机号码、银行账户、身份证号码等个人信息。尽管工信部出台的《电信和互联网服务用户个人信息保护规定》里要求获取用户信息必须以“提供服务所必需”为限,但互联网服务的可拓展性使得“必需”的标准变得动态而宽泛。
实践中,大量的软件都通过征得用户同意来合法获取为提供当前服务所不必要的用户个人信息。比如一个阅读软件也会要求获取用户的位置信息,部分软件甚至还将用户是否提供不必要的个人信息作为能否使用服务的前提条件。
实际上,移动互联网时代能够获取用户个人信息的主体远不止电信运营商和互联网服务提供者。 随着人们生活方式和社会组织运行方式的互联网化,通过互联网获取个人信息的主体也越来越多样化。
比如手机的操作系统会将很多信息实时或者定期地提供给它的制造商或者操作系统开发者。
又比如在一个简单的网购行为中,除了电信运营商和网购平台之外,能获取个人信息的至少还包括卖家、物流公司,甚至包括保险公司。
从行业来看,包括电信和互联网、商贸流通、物流配送、金融保险;从企业性质来看,可能包括国企、外企、民企甚至个体工商户。
上面的例子有一个共同的特点,就是这些个人信息都是采集方合法获取、经过用户同意的。其中大部分都是服务所必需的,不获取这些信息将无法为用户提供服务。
然而,在巨大的商业利益诱惑面前,通过第三方插件、恶意程序、非法后门、商业购买等手段非法获取个人信息的情况更是比比皆是、屡禁不止。
可见,在移动互联网时代,个人信息安全保护形势异常严峻。移动互联网时代的生活便利是以个人隐私和财产的安全风险为代价。这是移动互联网发展带来的负外部性,不以人的意志为转移。
去身份化?面对大数据也许只是徒劳
应对这种情况,我们首先想到的会是信息的去身份化。很多国家的法律也是主要从去身份化入手规范个人信息利用的。但实践中,去身份化的努力正在政策、业务和技术三个层面受到冲击,其中尤以大数据时代的技术冲击最为深刻、猛烈。
首先,在政策上,手机和部分互联网业务的实名制使得终端和业务与个人身份绑定的基础越来越牢固。
其次,在业务上,第三方支付等应用的兴起绑定了越来越多的银行账号,存款实名制二十多年的实施成果和人们对财产利益的关注,使电信和互联网业务由形式实名迅速转向实质实名。
最后,也是最重要的,大数据时代的海量数据和高度发达的数据分析技术,使得去身份化的信息经过不同分析、对比、组合能够重新恢复身份化,并识别出更多的内容。
这三个方面的变化不仅冲击着去身份化的努力,也从整体上对大数据时代的个人信息保护法律构成了挑战。
本文是作者在2014年12月22日在上海交通大学凯原法学院的演讲《大数据时代的个人信息保护悖论与法律调整》的第一部分,由该院硕士生高振翔同学根据录音整理,原载于《互联网金融法律评论》(第二期)。作者谨向高振翔同学表示感谢!