·科技工作大家谈·
个人数据的大数据应用需要构建溯源机制

大数据正在开启一次重大的时代变革,正改变人们的生活、 工作与思维。此变革伊始,个人数据便成为一项重要的资源,为 企业的产品设计、营销等活动提供战略指导,为政府的政策、制 度制定提供价值考量,也为科研活动提供证据支撑。同时,正因 为个人数据所蕴藏的巨大价值日益凸显,各种类型的个人数据 交易活动空前活跃。频繁的交易活动将个人隐私置于随时泄露 的危险境地。近年来个人数据隐私泄露事件时有发生,严重威 胁着个人的隐私安全。在对个人造成不同类型、程度损害的同 时,也动摇着网络乃至整个社会的信用体系。为了充分发挥大 数据的创新功能,需要前瞻性地研究个人数据隐私保护问题。 受市场需求、隐私安全需要、数据追踪溯源技术发展及政府深度 参与等因素驱动,个人数据溯源管理已具备条件。

1 个人数据可追溯性

大数据时代,个人数据具有产品与数据的双重属性。产品 属性是指个人数据能被企业、政府等主体使用并满足其特定的 需求,既包括未被加工的原始个人数据,也包括被挖掘加工后形 成的数据产品;数据属性是个人数据的本来属性,指个人数据作 为价值信息的载体,以数据的形式被收集、加工和销售。因此, 个人数据的可追溯性有产品可追溯性及数据可追溯性2 层含义。

国际标准组织(ISO)1994 年将可追溯性(traceability)定义 为“通过被记录的标志追溯一个实体的过去、用途与位置等信息 的能力”。产品层面的可追溯性,表现为对某一产品的运动或路 径追溯的能力。通过记录个人数据在市场交易活动中的每一次 运动和运动路径信息,追踪个人数据的所处状态及用途,以及在 个人数据隐私泄露事件发生后,溯源个人数据运动路径,完全具 备找出隐私泄露源头的能力。

数据可追溯性有数据起源、数据世系及数据溯源等中文表 示,意思基本相同,英文均为“data provenance”,在此统称为数 据溯源。由于数据具有易复制、易扩散等特性,溯源具有一定的 难度,或者说溯源成本较大。但是,数据溯源技术上是可行的。

综上所述,根据个人数据运动产生的数据流信息,在面临个 人数据隐私泄露溯源等需要时,重现个人数据的历史演变路径 的溯源过程,从而确定泄漏源以及攻击者身份、位置等信息,是 可行的。这就是个人数据可追溯性。

2 溯源机制主要内容

溯源机制应以个人数据流为基础,建立溯源技术标准体系、 个人数据产品信息登记制度、溯源监管制度和溯源奖惩制度,通 过溯源信息流,保证溯源活动的顺利进行。

1)溯源技术标准体系。该体系是为了实现个人数据隐私泄 露溯源在技术上的可行性。个人数据产品和其他数字化产品有 一定相似性,其知识产权的保护技术可以应用于个人数据产品 的溯源技术体系。目前有多种先进技术用于知识产权保护,如 加密技术、认证技术、数字水印、电子签名等。可以在这些技术 的基础上开发一套溯源技术体系,并将其设为行业标准,进行推广和普及。

2)产品信息登记制度。该制度是为了对个人数据产品的每 一次交易进行跟踪,让溯源有迹可循。在个人数据产业链中,各 环节应记录、保存、传递、录入相关信息,提交溯源网络系统备 案。对于数据采集企业,从个人数据产品收集环节开始就要强 制记录信息,在销售之前登记备案。没有按照规定程序登记备 案的产品,禁止销售。对于数据加工企业,没有登记备案的产 品,应禁止购买,否则买卖双方同时受罚。对于最终产品使用 方,如果没有产业链前端企业的登记信息,应禁止使用。在个人 数据产品信息登记的基础上,规范个人数据产业链主要参与者 提供信息的行为,确保个人数据产品信息的真实、全面及可靠 性。一旦出现信息不真实的情况,相应的产品应该停止销售、撤 出市场,相关责任主体承担全部责任。一旦产品信息登记发现 问题,先及时控制隐私泄露风险,再彻查原因,并追究责任。

3)溯源监管制度。该制度是溯源机制发挥实效的重要保 障,包括实施过程的监管与溯源过程的监管。实施过程的监管 是为保证溯源机制切实执行,只有当个人数据产品交易利益相 关者时刻面临监督检测,才不会做出违背溯源机制要求的投机 行为,从而确保个人数据产品信息泄露溯源机制发挥长效作 用。监管部门可以应用先进的检测技术,对产业链各环节所提 供信息的真实性和全面性进行复检,凡提供的信息不符合要求, 不够全面的,一律退出市场,补齐后再入市;凡提供的信息不真 实的,没收其产品并追究责任,严重者取消其销售许可。溯源过 程的监管则是确保溯源活动有效、高效地开展,实现溯源机制的 最终目的,即终止隐私泄露、保护个人数据隐私、落实侵权赔偿 等。

4)溯源信息奖惩制度。该制度旨在强化溯源机制的威慑强 制作用。和其他市场一样,信誉对于个人数据交易市场也至关 重要。政府作为监管主体,可以利用信誉来激励个人数据产品 产业链参与者的溯源行为。对在个人数据产品交易过程中存在 溯源信息造假等行为的,在依法追究其责任的同时,将其列入 “黑名单”,并公开发布,曝光违规者的行为,使其丧失公众信 用。同时借助舆论的力量,对提供全面、真实信息的个人数据收 集企业和加工企业予以表彰,增强其产品的信誉度。这样通过 激励与约束并举来规范个人数据产品交易主体提供信息的行 为,净化个人数据交易市场。

文/王忠
作者简介  北京市社会科学研究院,助理研究员。
本栏目专门刊登就促进科学技术发展提出的意见和建议,欢迎国 内外科技工作者投稿。

编辑 祝叶华)