侵犯个人信息和“大数据”,不是一回事

近日，由中国青年政治学院等机构撰写的《中国个人信息安全和隐私保护报告》正式公布。经过对全国100多万份调查问卷的分析，发现全国多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电；在购房、升学等个人信息泄露后，受到营销骚扰或诈骗的高达36%。

应该说这些数据“并不新鲜”，无非验证了公众的日常生活中被诈骗电话、推销短信骚扰的现实。自今年8月“徐玉玉被骗身亡案”之后，全社会一片对侵害公民个人信息的喊打之声，前不久通过的《网络安全法》也重点强化了保护个人信息的措施。

这两年随着“大数据”的方兴未艾，一些倒卖公民个人信息的违法行为，却堂而皇之地冠上了“大数据”“数据驱动营销”“用户画像”的高科技名头。这是浑水摸鱼，也篡改了“大数据”的本义。

其实，直接出售动辄几十万份包括了用户具体的身份证号码、手机号码、住址、工作单位信息的数据库，营销人员按照这个数据库逐个打电话，进行营销，甚至骗子拿来行骗，这并不是什么“大数据营销”，这就是泄露公民个人信息。

首先，正规的“大数据分析”，必须以保护用户隐私权为基础，在进行“用户画像”等数据使用之前，必须要对原始数据进行“脱敏处理”：水印（对局部信息的掩遮）、泛化（对数据进行更概括、更抽象的描述）、加密（应用密码技术对数据进行封装）、失真（采用添加噪声等方法对原始数据进行扰动处置，但还要保持原有的数据统计方面的性质不变）、归并等。所以“大数据技术”绝对不是卖原始数据，那是侵犯公民个人信息权的。

其次，从信息的程序保障来说，保证数据从采集开始直至输出，任何数据的访问、使用，都必须经过特定的审批流程并保留相关记录信息，避免非必要的信息接触行为。这就必须规范数据企业内部的流程。

第三，采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”。采集公民的个人信息，必须征得公民的同意，并且在采集之前就要向公民明示信息的使用目的、使用范围，而且所采集的信息必须是“必要的”，否则就是在对公民进行“信息勒索”。如果信息的后续使用需求与初始授权不匹配，必须有重新授权机制。例如，芝麻信用在对数据进行持续开发时，就会让用户直接与征信机构发生授权交互确认，以保障授权的有效性。

2015年9月，国务院印发了《促进大数据发展行动纲要》，“大数据”的应用绝对不是什么洪水猛兽，公众不能因为发生了“徐玉玉案”就因噎废食。但也要看到，现实是“大数据”行业还处于野蛮生长期，泥沙俱下，甚至倒卖公民个人信息者，也公然号称自己在从事“大数据”行业。这也给行政、司法部门执法带来了一些困扰。

在没有国家具体法律规定的情况下，第一步是强化行业的自律，建立公认的行业标准和技术规范。比如，目前芝麻信用、华道征信等大数据企业对于信息采集、脱敏各有一套自己的规范，下一步是如何形成行业标准，进而上升为国家法规。

我们期待的是“把大数据关到笼子里”，为大数据行业立下规矩，让泄露公民个人信息的违法行为，在大数据行业没有容身之地。