马亮:个人资料保护与利用的双重挑战

字体大小:

热点话题

在数码经济时代,我们每天都会通过各种媒介交换个人资料,并可能面临信息泄露和遭滥用的风险。新加坡政府于2012年通过并在2014年生效的《个人资料保护法令》,为避免商家恶意滥用消费者或客户的个人资料提供了法律屏障,但也使商业信息共享和利用面临发展障碍。

个人资料保护委员会拟修订该法令,意图放宽商家使用个人资料的条件,并推动商业信息共享和创新(《联合早报》2017年7月28日)。这项法律修正案势必会引发人们的广泛争议,并可能影响智慧国计划的实施进程。

无论是个人的电脑或智能手机,还是日益流行的穿戴设备,都在时刻记录我们的个人资料。易通卡、信用卡的刷卡记录,社交媒体的“签到”,这些无所不在的记录技术如果联系在一起而成为“大数据”,就可以将我们都变为“裸奔”的“透明人”。每个人的出行路线、参与的各种活动、家人朋友的交际网,都会被其“一网打尽”。

这些关联数据如果被共享和善用,可以为我们诊断健康、规划路线、优化生活等提供大量契机,并为商业创新和公共服务提升创造无限可能。但是,如果这些高度敏感的数据在关联以后被泄露或滥用,则可能酿成大祸,甚至会诱发全局性的数字安全危机。

因此个人资料保护和利用,看似只是个人隐私和财产安全问题,但是却是关乎整个社会安全和信任的重大课题。

个人资料保护的难题在于,数据是无形的或虚拟的,同商家共享之后就“神不知鬼不觉”地为商家所有,而商家如何使用个人资料就会存在种种不确定性。对于弱势群体的消费者而言,可以说毫无应对能力,而必须仰赖法律予以保护。

但是,个人资料保护与利用的两难就在于,一方面需要严格限制个人资料在不同部门之间共享,以避免泄露或滥用风险的升级。比如,许多网络诈骗都是因为犯罪分子掌握了诈骗对象的许多关联资料,才使人们信以为真并上当受骗。

另一方面,为了推动智慧国计划的实施,使大数据技术得以发展和利用,又必须促进不同部门的数据关联和共享。如果个人资料只是零散地或碎片式地分布在不同部门,那么大数据的价值就很难被挖掘。只有当不同部门的数据通过某些标识(如个人身份证或居住地)关联在一起时,才会使数据“活”起来,并为进一步的开发利用提供条件。

当前我们对大数据的理解还只是初级阶段,对其进行管制是确保数字安全的必要条件。但是,当我们对大数据该做何用及能做何用都还知之甚少时,对其妄加规定可能就会抑制其发展。拟定个人资料保护和利用的基本原则、例外事项和禁止行为,使个人资料的共享和利用能够遵循商业创新和公共利益的价值取向,可能是目前最合宜的做法。

当然,在合理利用和滥用之间,可能并不存在一条清晰而明确的分界线。这既会考验立法者的智慧,也对执法者提出了挑战。比如,一家银行内部将储蓄客户的资料同其负责理财或信用卡的下属部门共享,并为后者开展业务提供参考资料,可能就会触及这种模棱两可的问题。

再如,一家保险公司将其客户资料同医疗机构共享,并研发新的险种产品,也会遇到类似的问题。特别是当商家重组并成为集团公司或战略联盟的时候,个人资料共享的挑战就日益突出。比如谷歌的诸多跨界应用,以及中国BAT(百度、阿里巴巴和腾讯)为代表的互联网巨头,都呈现出全领域拓展和渗透的态势。它们在不同领域关联数据的潜力难以估量,并可能使个人资料保护形同虚设。

面对个人资料保护和利用的挑战,这是商业巨头既是商业创新的源泉,也是政府需要提防的风险隐患。因此,在处理个人资料保护与利用的双重挑战时,需要采取双管齐下的策略。

一方面,应拟定大数据应用的豁免原则,使商家可以在利用个人资料方面有一定的自由度。比如,对于开展具有公共利益属性的科学研究课题方面,可以在确保个人资料安全的情况下适度放宽其利用条件。

另一方面,应确定商家禁止采取的行为清单,并根据大数据技术的发展态势予以调整。与此同时,随着大数据技术的迅猛发展,过去可以允许的行为可能需要限制,而过去禁止的行为则可以适度放宽。就此而言,对个人资料的保护不应寄希望于一部法令本身,而应动态地审视其发展趋势并采取因应措施。

作者为中国人民大学公共管理学院副教授、国家发展与战略研究院研究员,文章仅代表个人观点

LIKE我们的官方脸书网页以获取更多新信息