最近，蛋壳公寓、海淘免税店、爱又米等23款App因未按要求完成整改，由工信部根据相关规定组织下架。侵犯隐私、信息安全等一直以来的热议话题，再次被推到风口浪尖。

大数据时代不仅意味着爆发海量数据，更意味着我们周遭物理世界的深刻数字化转型。任何实际存在的物理形态，都有可能在数字世界的同时存在一个孪生数字化镜像。那么，数据作为资源、作为资产、作为资本将引发的数据安全问题，将会提升到一个有史以来的高度。

智能手机商城中琳琅满目的电子化服务产品，无时不刻在招揽潜在用户。也许人们早已习以为常地完成下载、注册等步骤，并可能带着些许不耐烦，等待隐私条款阅读倒计时结束，点击确认。有多少人，逐字逐句仔细阅读过这些文字内容？真正理解自己在让渡什么个人数据权限？ 面对数据泄露以及个人隐私保护问题，有关数据安全的四个问题仍需要深度挖掘，制定详细政策。

第一，数据收集范围和边界需要进一步界定。什么数据可以收集？数据收集的范围和边界是什么？当人们习惯性点击隐私条款的“确定”标识，相当于默认了“不同意就不能使用服务”的规定，但隐私条款收集的数据是否合理？服务提供者到底可以收集用户的哪些信息？有的隐私条款表述宽泛模糊，特别是对使用用户信息的关键概念界定不清。人们很难判断收集和使用和服务相关的个人信息指哪些信息，又是在什么范围使用。有的隐私条款规定在采集用户个人信息时，会将信息提供给跟服务商有关的其他公司。但是如何界定“有关”，什么样的公司算是“有关的公司”，这些公司有哪些，为什么要将用户个人信息提供给这些公司？这些问题的答案却很难找到。不乏有的电子服务应用私自收集跟服务范围无关的数据，将用户下载使用作为数据收集渠道，用以开辟服务以外的第二业务。

2019年11月，国家网信办、工信部、公安部、市场监管总局联合发布《App违法违规收集使用个人信息行为认定方法》，列明了App客户端“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式”、“未经用户同意收集使用个人信息”、“违反必要原则、收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”、“未公布投诉、举报方式等信息”的30余个具体情况。这可以说是国家主管部门对市场违规操作迅速、有力的反应。

然而，如何判断哪些是与服务无关的个人信息，哪些是非必要业务，需要进一步清晰判定。如果说普通用户能够大概感知哪些信息如服务无关，但哪些是必要业务，谁对必要业务具有解释权，可能超越了普通用户的能力范围。另外，违法违规操作的发现机制也主要逐渐完善。畅通投诉渠道可以作为其中一种发现机制。但App信息收集进行得悄无声息，人们通常在个人信息被用于其他使用途径时，才发现事情不对。又有多少不正当操作是在信息收集过程中就被及时识别的？用户投诉以外，其他有效的技术监管手段应该跟上。

第二，出台更加清晰的数据收集原则清单。隐蔽的数据收集的方式是另一个让人头疼的问题。服务协议、隐私条款政策篇幅较长、术语艰涩、位置隐蔽，用户通常糊里糊涂地就同意确认了。如何判断一个隐私政策是难以阅读，内容模糊不清的？在看到类似法律文书表述方式的隐私政策时，很多用户会认为术业有专攻，而不是怀疑隐私政策没说清楚。在其他类似场景其实也存在相似问题。究竟是正规文书为追求严谨的文字表述本该如此，还是“晦涩难懂”早已成为讳莫如深的商海战术？判定晦涩与否的规则是采取用户多数决，还是依循清晰的政策标准，这需要政策制定者充分收集既有违法违规操作方式，基于此制定清晰、有指引性的原则清单，为市场操作和用户参考提供指引。

数字治理时代，我们要面对的不仅是信息不对称的问题，更要面对能力不对称。复杂的通讯信息技术无疑在普通用户与行家里手之前建立了新的鸿沟。这是我们这个时代必须要面对的鸿沟。我们不能期望所有人能熟练掌握技术，顺畅理解艰涩的技术术语、以及各式英文缩写专业名词，或者像网络侦探一样追踪数据轨迹。我们要做的不是奋力填平沟壑，而是要将这个普通消费者与技术专业之间的能力不对称作为公共治理的前提。能力不对称是已经出现的，以及未来可能出现的不正当操作的温床，同时也是政策制定者需要集中发力的逻辑出发点。

第三，数据使用方式应根据不同服务类别，界定自用、他用、公开的场景边界。数据使用分为自用、他用、公开三个层次。收集相关数据自用于服务供给是用户通常需要接受的服务使用前提。“他用”用于将所搜集的数据分享给第三方；“公开”则涉及数据向社会公开。有的时候，当我们打开一个社交平台时，突然发现另一个社交平台的朋友信息被自动导入，系统甚至还帮我们自动关注了不少好友。这种莫名其妙的跨服务商数据交换难免会让用户有被冒犯的感觉。

近日，国家工信部开始就《通信短信息和语音呼叫服务管理规定(征求意见稿)》公开征求意见。人们拍手称快，骚扰电话看来要凉了。曾几何时，各种骚扰电话越来越多，无休止的商业宣传每天向不同的人和机构轰炸。大多数人没有耐心听完骚扰电话的内容。多听几句，也许会发现这些骚扰电话的内容或多或少跟自己都有些关系。你可能刚去咨询了某理财产品，各种理财产品推销电话蜂拥而至；或者周末闲暇去逛了逛家居用品，各种家装电话又铺天盖地。于是你怪自己不该乱留电话。可是有一天，你突然收到电话问你家的房子卖不？只因为你住在了一个不错的学区。这不禁会令人毛骨悚然。究竟是谁泄露了我们的个人数据。如果这些信息被用于电话诈骗，后果又是多么不寒而栗。这背后不仅是治理骚扰电话的问题，更是如何规范被采取数据使用的问题。

第四，将明确数据主体作为规范数据交易和确定责任主体的第一步。数据交易是数据的资本化使用方式。对于服务商，数据作为资源可以拓宽商业渠道；作为资产可以提升自身价值；作为资本，则可以用于投资获利。数据交易涉及交易主体，更涉及数据主体。

我们不禁要问，大数据时代的数据主体是谁？是数据的生产者、数据收集者，还是数据的加工者？简而言之，到底谁拥有数据，谁可以自由裁判数据的使用途径？在各种智能穿戴设备成为流行趋势的今天，这些设备在24小时不间断监测、收集着我们的生命体征数据。当然，这些新技术可以让我们更方便地了解自己的健康状况。但是这些海量个人健康数据是如何被行业使用和交易的？是否意味着我们在使用这些设备的同时自动转让了自己的健康数据，不再作为数据所有者了？如果我们依然是数据所有者，又在何种程度上拥有这些已经被收集走的数据？

另外，过程数据、业务数据的主体又该如何定义？日常生活中，人们涉及大量业务办理，过程中提交的数据和信息，夹裹在业务流程中获得了新的传播形式。这些数据的主体和主体权限、责任又如何确定？

《中华人民共和国数据安全法（草案）》近期刚完成了社会公开的意见征集。这标志着我国将数据安全治理纳入立法进程。草案对数据安全、数据保护、政务数据安全与开放等多方面进行了规范，期待未来各主管部门在法律的框架下进一步细化政策，让信息时代的数据轨迹运行在阳光下。

（作者中国人民大学国家发展与战略研究院研究员，公共管理学院副教授）

原文链接：https://m.thepaper.cn/newsDetail_forward_9187434