数据科学导论课程笔记（四）：数据隐私

数据的隐私问题有不同的表现形式：对个人数据未经授权的访问，对个人敏感信息的发掘和公开，对数据进行超过合理范围的使用。隐私保护已经成为数据科学领域中一个不可或缺的环节。在中国，因为用户群体的庞大和相关法律法规的不完善，隐私保护问题的形势十分严峻。信息泄露通常有两种渠道，第一是由用户主动提供；第二是在用户不知情的情况下获取。数据隐私是一项涉及技术，伦理和法制等多个层面和学科领域的新挑战。
隐私权针对的是一种私密性的信息，比如个人的身体状况、家庭状况、婚姻状况，凡是个人不愿意公开披露并且不涉及公共利益的内容，都可以成为个人隐私。对于个人信息，虽然可能与隐私相重合，但是有很多个人信息的内容不一定是私密的，比如电话号码属于个人信息，但是经本人同意在网络上披露以后，就不属于个人隐私。这里讨论的不仅仅是隐私问题，而是范围更广的个人信息问题。大数据给个人信息保护带来的问题：第一个困境是我们通过移动互联网获取的便利是以牺牲个人隐私为代价换取来的，在获得便利的同时也就意味着牺牲了自己的部分隐私；第二个困境是，在大数据时代，对信息的“去身份化”和“去标签化”的作用正在弱化。大数据时代面临的是海量的立体数据，即使身份被“去身份化”以后，经过海量数据的分析对比组合还是能够重新恢复个人的身份信息。在数据处理时，即使把个人的身份信息都去除了，还是可以通过大量的信息对比、分析、组合，最终恢复出个人的信息。
在解决个人信息问题时，法律必须解决以下两个问题：一是法律保护范围的问题，法律首先要确定哪些信息属于被法律保护的个人信息，是不是所有的商业目的的使用都必须严格禁止，是不是必须做到个人信息不具备可识别性才可以加以利用，针对特殊群体的敏感信息是不是要加以保护；第二是法律规范的主体问题，随着移动互联网的普及，个人也跟企业和政府机构一样，逐渐成为了数据的控制者，很多个人隐私的泄露都是由于个体的行为，因此法律规范的主体也必须包括人。有关个人信息保护的两部立法和一项司法解释：2017年6月施行的《网络安全法》，《最高人民法院 最高人民检察院关于办理侵犯公民信息刑事案件适用法律若干问题解释》2017年10月1日施行的《民法总则》。
《网络安全法》针对个人信息保护有这样四个重要的规定：一、确立了网络运营者对用户信息的保护制度，对用户个人信息的收集的使用行为进行规范，保护网络用户的个人信息。它强调了网络运营者收集个人信息的边界，也就是说不得收集与其提供的服务无关的个人信息。二、明确未经同意提供和出售个人信息违法，法律规定的目标是斩断信息买卖的利益链。三、规定了发生个人信息泄露时通知制度，针对个人信息泄露时如何补救，法律规定了相应的补救措施。此前在我国的立法上，只要求企业向主管部门报告，并没有要求向用户告知。四、强调对侵害公民个人信息的惩处措施。根据规定，要对网络诈骗溯源追责，对侵害公民个人信息的网络运营者实施有效地惩处措施。
根据刑法第253条之一的规定：违反国家有关规定向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役并处或单处罚金，情节特别严重的，处三年以上七年以下有期徒刑并处罚金，对于窃取或者以其他方法非法获取公民个人信息的，按照上述规定处罚。针对侵犯个人信息罪，两高的最新司法解释第一是明确了个人信息的范围。公民个人信息是指，以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名，身份证件号码，通信、通讯联系信息，住址，账号密码，财产状况，行踪轨迹等。手机定位信息就属于刑法保护的公民个人信息。量刑依赖的标准有五个维度，一是根据信息类型。公民个人信息有多种类型，其中行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息，涉及人身安全和财产安全，被非法获取出售或者提供后，极易发生绑架、诈骗、敲诈勒索等关联犯罪，具有极大的社会危害性。因此，据不同类型的公民个人信息的重要程度，司法解释分别设置了50条以上、500条以上、5000条以上的如罪标准，以体现罪、责、刑相适应。二是根据违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，因此司法解释将违法所得5000元以上规定为情节严重。三是根据信息用途。被非法获取出售或者提供的公民个人信息用途存在不同，对权利人的侵害程度也会存在差异。正是因为这样，司法解释将非法获取、出售或者提供行踪轨迹信息被他人用于犯罪，知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供，规定为情节严重。四是根据主体身份。公民个人信息泄露案件中，不少都是内部人员作案，很多公民个人信息买卖案件中也可以见到这样的内鬼。为了切实加大对此类案件的惩治力度，司法解释明确将在履行职责或提供服务过程中获得的公民个人信息出售或者提供给他人的、认定情节严重的数、数额标准减半计算。五是根据前科情况。曾经侵犯公民个人信息受过刑事处罚或者两年内受过行政处罚又非法获取、出售或者提供公民信息的，属于行为人屡教不改，主观恶性大，司法解释将其规定为情节严重。
明法总则的第111条规定：自然人的个人信息受法律保护，任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全。不得非法收集、使用、加工传输他人个人信息；不得非法买卖、提供或者公开他人个人信息。这就意味着，公民个人信息权首次成为独立人格权写入了民法总则，这也为我国未来出台个人信息保护法做了准备。在《民法总则》正式引入个人信息权的概念前，受害人需要依赖行政机关或者检察机关向侵权人追究行政责任或刑事责任。除非受害人能够证明自己因为个人信息被侵犯而受到损害或者是名誉受到损害，否则法院不会以个人信息被侵犯为由提起诉讼。随着个人信息被纳入民法总则，任何自然人或组织均可以以个人信息被侵犯为由提起民事诉讼，这也就意味着数据中的个人信息将得到更多的法律保障。