大数据时代中美保护个人隐私的对比研究

王敏+江作苏

摘要：大数据应用可引领人类文明进步，同时也带来新的工业污染——隐私侵犯。为了平衡个人、商业和公共利益，促进大数据产业的可持续发展，保护个人隐私的需求越发紧迫。本文归纳中关关于隐私保护的最新法规，发现双方存三大区别：数量上存在“以一敌百”的悬殊；
细则上存在八个方面的差别：理念上中国重尊严，美国重价值。作者还指出双方立法中的不足，建议在法律例外处建立伦理规范，同时增强个人的自我保护意识，以“小数据”思维对抗大数据污染。

关键词大数据时代；
隐私侵犯；
隐私保护；
对比分析

一、大数据污染：隐私侵犯

2013年被称为大数据元年，人类正式进入大数据时代（图1）。大数据以迅雷不及掩耳之势形成席卷全球的浪潮，在全世界范围内成为加速经济模式革新、优化政治体制改革、提升社会生产力、引领人类文明进步的利器。在美国，奥巴马政府于2012年3月29日发布《大数据研究和发展计划》，成立“大数据高级指导小组”，并于2014年5月发布全球“大数据”白皮书《大数据：抓住机遇，保存价值》；
在中国，国务院于2015年9月5日发布第一份关于发展大数据的权威官方文件——《促进大数据发展行动纲要》，明确三年内（2018年底之前）建成国家政府数据统一开放平台（图2），正式将大数据列为国家战略并为之布局。

然而，在大数据发展成为国家战略的背景下，数据成为重要资源，一切个人信息都能转化成数据，自动保存和记录，容易被追踪却难以被删除，个人处于全方位被泄密、被搜索、被监控的环境中，且极易遭受政治操控、经济损失和精神侵害的风险和待遇。

政治方面，据中国互联网新闻研究中心（CINC）2014年5月发布的《美国全球监听行动记录》披露，美国在全世界范围内广泛而秘密地监听、监控，不仅涉及外国企业、全球民众，还涉及到来自世界上35个国家的122名领导人，其中包括中国的最高领导层。美国政府通过窃取到的情报、信息和数据，对他国施加政治手腕，做到先发制人。

经济方面，据互联网安全中心于2015年11月发布的《现代网络诈骗产业链分析报告》，中国网络诈骗犯罪的“年产值”超过1152亿元（此为不完全统计所得数据，实际值甚至在1500亿以上），个人信息泄露是其主要诱因。据2016年2月发布的《加利福尼亚数据泄露报告》，在美国，信息泄露受害者中有67%的人成为诈骗案件的受害者，遭受到现实的经济损失，仅信息泄露带来的信用卡受骗损失就达30亿美元。

法律方面，最为典型的是精神侵害如“人肉搜索”、“网络追杀令”、“私照流传网络”等。此类事件多不胜举，例如，从2006年的“铜须门”、“虐猫女”直到2013年的“埃及神庙到此一游”、“高中女生投河身亡”事件，2014年“地铁9号线男子摸女生大腿”事件，2015年的“成都女司机被暴打”事件，都因个人隐私曝光而产生悲剧后果和恶劣影响。中国网民甚至因此被《纽约时报》等冠以“网络暴民”的称呼。实际上，在美国类似的事情也不鲜见，2014年9月好莱坞爆发艳照门，百余位好莱坞当红女星的裸照被盗，通过互联网迅速传遍全球，给当事人造成巨大精神压力。随着大数据应用的深入发展和开放数据库的广泛建立，“人肉搜索”、“泄露私照”的“暴民”举止必定会如虎添翼，越演愈烈。

正如凤凰卫视董事局主席刘长乐所言：大数据时代的到来，导致一种新的工业污染的产生，即“大数据污染”。即个人信息被收集、加工、处理和利用的过程中所造成的网络隐私问题泛滥成灾，已由“隐忧”逐步演变为“明忧”，亟待解决。与传统隐私相比，大数据时代个人隐私的保护面临着更多的冲突和更大的挑战，无论对中国还是美国都是个难题。本文对中美保护个人隐私的法律现状作全面的对比研究，总结得失与启示。

二、中国对个人隐私的保护

在中国，宪法和民法对隐私权有间接保护，却无直接规定。1990年的《最高人民法院关于<中华人民共和国民法通则>若干问题的意见》第一次对公民的隐私权做出了司法解释，直到2010年7月开始实施的《侵权责任法》，在第2条和第36条分别对传统隐私权和网络隐私权的保护作了规定。另外，《中华人民共和国刑法》第253条禁止国家机构的单位或个人，或者是金融、电信、交通、教育、医疗部门非法出售、提供或公开公民个人信息。

面对社交网络的深入普及，大数据应用的迅猛发展，以及和深入普及和公民网络隐私权不断遭到侵犯的现状，全国人大常委会于2012年12月28日通过《关于加强网络信息保护的决定》（以下简称《决定》），明确而全面地提出保护公民的网络信息。《决定》共十二条，规定了侵犯个人信息的处罚办法，并对大数据时代网络服务提供者、其他企事业单位收集、使用公民电子信息的行为进行了规范。该《决定》是我国保护个人隐私信息最主要的一部法规，其主要内容如下：

一、“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息”；
二、网络服务提供者和其他企事业单位收集、使用个人信息或数据时，应遵循“合法、正当、必要”原则，“明示收集、使用信息的目的、方式和范围，并经被收集者同意”，不得违反法律规定。第二至第六条均是针对网络服务提供者收集、使用个人信息、数据行为，提出的安全、保密事项，第七至第九条是针对组织和个人的规定，第十条对主管部门提出要求，第十一条为处罚规定。

此外，一些包含相关条款的行业法律法规主要有：

1.质量监督检验检疫总局于2012年11月5日通过的《信息安全技术公共及商用服务信息系统个人信息保护指南》，被称为“数据保护总则”，于2013年2月1日起实施，比《决定》更具综合性，体现了中国数据保护法未来的发展方向；

2.工信部于2013年6月28日通过的《电信和互联网用户个人信息保护规定》，从信息收集、使用规范、安全保障、监督检查和法律责任等方面，对电信业务经营者、互联网信息服务提供者收集、使用的用户个人信息的行为作了详细规定：

3.国家工商行政管理总局于2014年1月26日通过《网络交易管理办法》，其中第十八条对于“网络商品经营者、有关服务经营者”收集、使用消费者或者经营者信息的行为进行了规制.提出了安全要求；

4.国家邮政局于2014年3月发布的《寄递服务用户个人信息安全管理规定》，加强了邮政行业寄递服务中用户个人信息安全管理；

5.中国银监会发布的《银行业金融机构信息科技外包风险监管指引》，适用于银行将信息技术服务外包的风险管控；

6.国家卫计委联合国家中医药管理局于2013年11月20日发布《医疗机构病历管理规定》，从医疗记录的保管、借阅、复制、封存与启封以及保存等方面，加强对个人医疗记录和健康信息的保护：

7.国家卫计委于2014年5月5日发布《人口健康信息管理办法》（PHI Measures），为规范人口健康信息管理，促进人口健康信息的共享利用，推动卫生、医疗科学、事业发展。

由以上行业规范性规定可知，工信部和国家工商行政管理局是保护隐私信息、个人数据的主管单位。此外，法律虽无明文定义“敏感信息”，但从各行业的规定看，特殊规则主要适用于以下几种个人数据：医疗记录、健康信息、商业银行收集的个人信息以及个人信用信息。

三、美国对个人隐私的保护

美国是世界上最先提出隐私权概念的国家，关于隐私及其保护的法律法规纷繁芜杂。进人大数据时代，美国对个人隐私的保护同样面临诸多冲突和挑战。例如，2014年9月美国好莱坞再次爆发艳照门。有外国黑客疑似利用苹果公司的iCloud云盘系统的漏洞，盗取百余位全球当红女星的裸照，并在网络论坛发布，很快在全球范围内引发轰动。相关社交网站表示已“用尽方法”封阻发布裸照的用户，但丝毫无法阻止艳照的流传速度。FBI和苹果公司联手调查也无济于事。之后，全球各地网络上出现大量以“明星艳照”、“艳照门事件合集”命名的压缩文件和手机软件，其中一些文件被植入木马，会导致手机后台私自下载软件，不仅耗费用户手机流量，还会窃取手机信息，侵害用户隐私，触发网络隐私侵权的连锁反应。在美国，隐私权的保护以行业自律为主、法律保护为辅，但由于界限不清、原则不明、利益冲突，行业自律的模式与时代潮流暂行暂远，很难解决问题和维护网络公民权利。

美国没有一部规制个人数据收集和使用的独立、综合性法律，但有20多部特殊或较为特殊的隐私数据行业法规，以及50个州与地区各自制定的数以百计的隐私数据法规，例如，仅加尼福尼亚州就有25部以上的隐私和数据安全法。多种多样、数量巨大的这类法律，相互重叠、吻合或抵触，组合成一个法律体系。此外，政府机构和行业组织出台了许多规定，尽管不具备法律效力，却构成自我管理框架的一部分，亦成为管理者（如联邦贸易委员会，FTC）频繁使用的执法工具。FTC在职权范围内规范不公平、欺诈交易，个人数据泄露成为其执法范围增长最快的领域之一。

但是，越来越多跨州、跨境的数据流动造成的隐私侵犯，与各州不同的法律规定之间构成矛盾，成为个人隐私数据保护的挑战之一。例如，2014至2015年间，美国的一些显著变化主要有：

1.一系列的数据泄露总共约影响2120万美国家庭，涉及姓名、社会安全账号（SSN）、电话号码、电子邮件、出生日期、住宅地址、储蓄和信用卡号，以及雇佣信息（薪资状况、离职补偿金和离职理由）；
2.联邦贸易委员会发布的关于物联网的报告讨论到互联汽车、互联电器、健康监控器、摄像头及其他设备对隐私和个人数据的侵犯问题；
3.白宫发布了《消费者隐私权法》的“讨论稿”；
4.联邦通讯委员会宣布对一家三次泄露数据的电信提供商处以2500万美元的罚款。

2014年至2015年间，联邦贸易委员会一直是隐私和数据安全法规的活跃执行者，主要有：

1.对一家公司提出指控。该公司跟踪消费者在店内的位置，却未提供选择性退出选项，且未向消费者告知实情。

2.指控两名数据库侵犯者。二人在网上发布未加密的电子数据表，其中包含消费者的银行账户、信用卡账户、出生日期、联系信息、雇佣者姓名、消费者借贷信息。

3.处理了一家流行的社交媒体信息平台，因其违背隐私策略收集地理位置数据，收集用户通讯录信息，并且未能较好地保护用户数据，导致460万用户账户遭黑客入侵。

2012年，与儿童隐私相关的《儿童网络隐私保护法》（COPPA）有了修订，新修改部分于2013年生效。其中，最主要的修改是扩展了个人数据的定义，将地理位置数据以及cookies包含在内。联邦卫生和公共服务部（HHS）宣布，向安克雷奇社区精神卫生服务公司处以15万美元罚款，因其没有较好地防范IT安全风险，导致个人的健康信息泄露。

2015年，美国联邦引入的隐私法案包括：

1.s.1158（《消费者隐私保护法案》）建立起数据泄露安全通知的联邦法律，受保护的数据类型涉及社会安全账号、金融账户信息、网络用户名及密码、唯一的生物识别数据（包括指纹）、关于个人的身体心理健康的信息、个人的地理位置信息以及获取个人数字照片与视频的途径。该法优先于隐私保护不足的州法律，并促使隐私保护严格的州法律发挥效力。

2.H.R.2092（《学生数字隐私与父母权利法案》）禁止网站运营商及其他网络服务商向第三方售卖学生个人信息，或者使用、公开学生的个人信息向其打广告。该法案还规定向家长公开其孩子的网上信息，允许家长修正、删除这些信息，下载有关其孩子的任何材料。

3.S.668（《数据经纪人责任以及透明法案》）要求数据经纪人采取措施，确保收集、处理和持有的个人信息的准确性；
要求数据经纪人为个人提供免费查看自己信息的途径；
允许个人对于自己信息不准确的地方向数据经纪人提出更正的书面请求。

4.2015年，行业自我规范法规被拓展、延伸至移动互联网环境中。

目前，已有许多管理个人数据的收集和使用的隐私相关联邦法律。一些适用于特殊的信息类别，如金融或健康信息，或电信数据；
另外一些适用于使用个人信息的活动，如电子营销和商业邮件。此外，美国还有许多广泛意义上的消费者保护法，尽管本质上不是隐私法规，但常被用于禁止涉及个人信息泄密的不公平或欺骗行为，并规定了保护个人信息的安全条款。一些最为著名的联邦隐私法律包括：

1.《联邦贸易委员会法》（FTC Act，15U.S.C.§§41-58），是一部联邦消费者保护法，禁止不公平或欺骗性交易，并适用于线下和线上的隐私与数据安全政策。同时，联邦贸易委员会（FTC）也是《儿童网络隐私保护法》（COPPA，15U.S.C.§§6501-6506）的强制执行者。COPPA适用于从网络收集儿童信息的行为，并规定了行为广告的自我规范原则。

2.《金融服务现代化法案》（GLB Act，15u.S.C.§§6801-6827）管理金融信息的收集、使用和公开。该法律广泛适用于银行、证券公司和保险公司以及其他提供金融服务和产品的公司。GLB限制非公共个人信息的公开，在一些情况下要求金融机构提供其隐私实践的通知，并允许数据主体对于是否分享其信息作“选择性退出”。此外，国家银行机构颁布的一些隐私规则，FTC颁布的《安全保障规则》（Safeguards Rule）、《处置规则》（Disposal Rule）、《红旗规则》（RedFlags Rule），都与保护和处置金融数据相关。

3.《健康保险携带和责任法案》（HIPAA，42 u.S.C.§1301 et seq.）主要管理医疗、健康信息，可广泛适用于医疗保健提供商、数据处理商、医药商及其他与医疗信息相关的实体。《个人可鉴定健康信息的隐私标准》（45 c.F.R.Parts 160and 164）适用于健康信息的收集和使用（PHI）；
《电子健康信息保护的安全标准》（45 C.F.R.160and 164）为保护医疗数据提供了标准；
《电子交易标准》（45 C.F.R.160 and 162））适用于医疗数据的电子传输。这些HIPAA标准是于2013年早期依据HIPAA“综合规则”修订而成。

4.公平信用报告法案（15 U.S.C.§1681）以及修订后的《公平与准确信用交易法案》（Pub.L.No.108-159），适用于那些提供消费者报告信息的机构，这些信息涉及消费者的信誉度、信用历史、信贷能力、个性以及对一个消费者信用或保险资格进行评估的总体声望。

5.《控制滥发色情与营销邮件法案》（15U.S.C.§§7701-7713，18 U.S.C.§1037）和《电话消费者保护法》（47 U.S.C.§227 et seq.）分别管理电子邮件地址和电话号码的收集和使用。

6.《电子通讯隐私法案》（18 U.S.C.§2510）和《计算机欺诈与滥用法案（18 U.S.C.§1030）分别管理电信监听和计算机篡改的行为。

除此之外，美国还有其他的一些法律和原则，对隐私信息的定义也因法律和规则的不同而有所区别，联邦贸易委员会认为隐私信息是“可以联系或区别一个人的信息”，同样，对“敏感信息”的定义也因行业和法律的不同而不同。一般而言，敏感信息包括个人健康数据、金融数据、信用能力、13岁以下儿童的网络信息，以及可用于身份盗窃或诈骗的信息。例如，美国国家数据安全泄密通知以及国家数据安全法律普遍包括姓名、政府身份号码、金融账户或支付卡号，在一些州，健康保险、医疗数据和生物识别数据，以及网络账户的用户名和密码等。

四、中美隐私保护的对比分析

中美都没有一部综合性的个人隐私保护法，但美国已经建立起一整套的法律体系，而中国在隐私立法上显得非常薄弱。中美在法规数量和细则以及立法理念上都有较大差别。

（一）法律法规的数量相差悬殊

从法律法规的数量上讲，美国有20多部特殊或较为特殊的隐私数据行业法规，以及50个州与地区各自制定的数以百计的隐私数据法规，多种多样、数量巨大的隐私相关法律相互重叠、吻合或抵触，组合成一个法律体系；
中国原则上只有一部人大常委会通过的《关于加强网络信息保护的决定》，其他7个相关部门的行政法规约为7部。其中，2013年2月开始实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》，被称为“数据保护总则”，体现了中国数据保护法的发展方向，却属于行政法规，不具有法律约束力。从这个角度看，中国人口是美国的5倍，而隐私相关法律的数量上却是“以一敌百”的悬殊，这与依法治国的理念极为不符。

（二）八类法规细则均有区别

具体而言，从敏感信息的定义、数据保护权威机构、是否设立数据保护执行官、数据收集和处理、数据传输、数据泄露通知与否、处罚措施、电子营销管理等八个方面的细则对比如下：（表1）

以上八个方面的细则囊括了立法、司法、预防侵权和侵权处罚等阶段，对比结果可以看出美国的隐私法律法规自成体系，而中国则处于初级阶段，法律体系极不完备，很多情况下都无法可依。

（三）立法理念存实质性差别

在欧洲，隐私观念是基于对个人荣誉和尊严的保护；
而在美国，隐私与市场效率和国家安全密切相关。为了提升市场效率，促进经济发展和产业升级，美国对个人隐私的保护以行业自律为主、法律保护为辅，因而没有综合性的隐私法，相关法律法规存在界限不清、原则不明、利益冲突的问题。例如，网络的全球化带来信息、数据流动的自由化、跨境化，但是美国联邦法律与部门法律、各州法律之间存在区别，州与州之间存在不同，利益也有冲突，导致司法和执法时存在较大难度。同时，法律作为辅助手段的保护模式，有利于解放和发展信息产业生产力，促进大数据应用在一定程度上的自由发展，提升企业的经济效益，促进经济的增长和结构的升级。

相比之下，中国的隐私立法理念沿袭欧盟标准，将隐私权归为“人格权”，但是，对隐私权保护的立法存在以下三方面的问题：1.立法较为分散，不成体系，并且法律位阶不高；
2.没有明确隐私权在法律中的地位，对隐私权以间接保护为主，直接保护很少，尤其是对电子隐私信息保护的法律力度不够；
3.即便是明确提出保护公民个人隐私的《关于加强网络信息保护的决定》，在相关规定上过于笼统，如对主管部门的职权范围和相关措施的规定较为模糊，对违法者的惩罚措施也没有明确提及。执法不具可操作性。

五、结语

大数据时代，开放数据可为所谓的文明进步做出巨大贡献，例如，“促进创新、经济发展和产业升级，履行政治责任，实现民主参与，提升公共服务效率”。但是，更多、更便捷的开放数据库向公众开放后，因包含着海量的个人数据，就意味着对隐私权利和个人利益产生更大的威胁。此外，信息和数据技术带来私人定制服务的流行，这直接导致大量个人敏感数据唾手可得，造成实际的隐私侵犯后果和财产损失。为了平衡个人、商业、公共和全球利益，维持数据产业的可持续发展，保护个人隐私和数据的需求越发紧迫。

保护大数据时代的隐私权，除了国家政府部门在立法方面解决各自存在的问题，确立从根本大法到普通法、专门法和特殊人群法以外，还应在法律适用的例外处建立行业自律，实行二者结合的保护模式。此外，法律、自律都非万灵丹，而且从周期和程序上讲，技术的进步比法律的推进快很多，所以，法律管不到的地方，需要伦理来规范，毕竟法律构筑于伦理之上，伦理是法律之基。更为重要的是，网民应当增强自身的维权意识，围绕着“我”的权利主体地位，以“小数据”思维维护个人隐私，明确我的信息“是谁在要，为什么要；
我想给谁，给谁什么；
是否公开，与谁分享；
怎么保护；
公开的范围；
侵权就得赔”，同时尊重他人的网络隐私权。