大数据时代如何保护隐私安全

近日，媒体接连报道了个人大数据泄密事件：银行、社交平台泄露个人信息，大数据杀熟、酒店会员数据被黑客窃取……

在当前信息越发透明化、公开化的大数据时代背景下，面对复杂的隐私安全问题，不仅需要企业产品的不断升级迭代，也需要用户提高隐私保护意识，更需要政府从政策、监管治理等方面发力，共筑信息安全生态。

从“被遗忘权”说起

2012年1月，欧盟提出《一般数据保护条例立法提案》，正式使用“被遗忘权”的概念：“公民在其个人数据信息不再有合法之需时有要求将其删除或不再使用的权利。”

“被遗忘权”作为一种新兴的权利术语，在我国的法律语境中可归于个人信息权的范畴。目前法律对它的保护主要集中在删除不利于信息主体的信息内容。

2018年5月25日，欧洲联盟出台《通用数据保护条例》（GDPR）。相比于GDPR对“被遗忘权”的保护，我国的《网络安全法》对“删除权”的规定只能算是初具“被遗忘权”的轮廓。中国这些关于“删除”的规定，基本是以“违法或违约”为前提，而这也是其与欧盟“被遗忘权”的最大不同之处。

那么，当被遗忘权与公共利益产生冲突时该怎么办？一方面，行使被遗忘权应该有各种限制条件，在主体上严格区分公共人物和一般公民，严防政府官员等公共人物利用被遗忘权抹去过往不光彩历史，侵害公众知情权，在对象上也仅限于那些过时、冗余的、不再相关的个人信息，避免出现蓄意“改写历史”的问题。

另一方面，法律应为被遗忘权设置了各种例外，言论自由、国家安全、科学研究等都是限制被遗忘权的重要事项。被遗忘权帮助主体删除那些过时、不相关、无涉公共利益的个人信息，使得留存下来的资讯更符合主体的现行状态，减少了误导性信息，提高了信息的准确度，有利于公众知情权的维护。

总之，被遗忘权可能遭遇的各种利益冲突并不可怕，可以通过法律、政策、技术等手段予以控制和调和。

用法律捍卫权益

当前，商家作为信息的收集存储方应为用户信息保密，并建立用户信息保护制度。在个人信息收集环节，网络运营者收集个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

换言之，用户的知情同意是基本要求。同时，商家不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

与此同时，互联网用户也可以采取一些必要的措施保护自己的隐私，比如尽量使用复杂密码，及时删除订单信息，在安装和使用App的时候看清隐私条约，发现应用有强制授权、过度索权、恶意扣费等违规行为，及时卸载并举报。

根据我国法律规范的要求，对于个人信息的流转环节，商家不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。同时，用户还享有必要的维权利益，尤其是个人发现商家违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求商家删除其个人信息；发现商家收集、存储的其个人信息有错误的，有权要求商家予以更正。商家应当采取措施予以删除或者更正，并且应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

作者：吴沈括（系北京师范大学网络法治国际中心执行主任，沈春蕾整理）