该报告分析了CCPA指南中概述的三种类型的消费者权利请求：删除权（删除请求）；不出售请求；以及了解收集数据的权利（访问请求）。

第一季度，B2C客户帮助处理的数据请求中，删除请求是最受欢迎的，总请求中有39.6%来自希望删除数据的消费者。紧随其后的是不出售请求（33.3%）和访问请求（27.1%）。

此外，删除请求在1月份最高，每百万个客户记录有15个请求。相比之下，访问请求约为每百万个请求10个，不出售请求为每百万个有5个请求。

1月初出现大量的请求，这可能是由于法律生效和隐私政策更新。在本季度的最后两个月，每百万个请求中删除请求和访问请求的数量确实有所下降。但是，请勿销售请求在这段时间内始终保持稳定，预计随着时间的推移将成为主要请求。

尽管许多消费者没有意识到像CCPA和GDPR这样的法规会如何影响他们的数据安全，但预计B2C公司在2020年每百万消费者记录应该会有194次请求。这将突破到每百万个请求中有77个删除请求，每百万个请求中有66个不出售请求，每百万个请求中有51个访问请求。

数据表明，手动处理一个数据主体请求的平均成本为1406美元。B2C公司每年处理消费者请求可能花费14万-27.5万美元。

PDF版本将分享到199IT知识星球，扫描下面二维码即可！

当被要求选择三个与网络相关的领域时，最常被引用的首要任务是社交媒体参与和分析（28%）。紧随其后的是内容管理（25%）和目标定向和个性化（25%）。

超过1/3的CX（客户体验）领导者（36%）正在实时提供个性化体验。CX领导者在2020年的另一个共同优先事项是视频内容（23%）。

2020年人才和隐私引发关注

在关注主要问题时，对经济气候的担忧方面CX领导者和其他人存在很大差距。当被要求选择2020年最令人担忧的领域时，选择经济衰退担忧的CX领导者（19%）明显少于主流（29%）。

相反，CX领导者似乎最关心的是吸引和留住人才（23%），其他人（18%）不是那么优先考虑这个问题。考虑到去年约有70%的营销团队预计会扩大，对技能人才的竞争不太可能消失，特别是在营销人员定期将新技术添加到他们的流程中的情况下。为了应对人才问题，约39%的CX领导者提供面对面的专业培训。

CX领袖似乎担心的另一个领域是数据和隐私的担忧（19% vs, 16%）。

人工智能与机器学习

尽管存在对数据的担忧，但就CX领导者正在使用的先进技术而言，数据是显而易见的。简单地说，CX的领导者在人工智能和机器学习方面走在了前面。超过1/3（36%）目前正在使用这种技术，还有28%的受访者计划在2020年投资于这一领域。

PDF版本将分享到199IT交流群，支持我们发展可加入！

YouGov的最新调查发现，纯移动银行在吸引美国人的注意力方面表现出色：至少6/10的美国人（62%）知道至少一个主要的纯移动银行平台。而且，至少有1/9的消费者（13%）将在2020年使用纯移动银行服务。

纯移动银行业务的现状

纯限移动银行是传统的实体银行的替代或补充，其进入金融领域已有数年之久，目的是为了满足消费者对移动便利的需求。

他们提供的服务包括很少或不收取费用，通过智能手机进行银行服务，还有一些预算帮助以及每个应用程序的特殊待遇。

根据《福布斯》的调查，约62%的消费者知道至少有一家顶级纯移动银行，而近1/5的消费者（22%）曾使用过。另有13%的受访者表示，他们极有可能在明年使用纯移动银行。

隐私是纯移动银行的焦点，但对于用户而言，隐私问题不严重。纯移动银行服务在公众中赢得了相当多的信任：1/4的用户（25%）认为使用纯移动银行应用或服务没有缺点。

但是，隐私问题仍然是纯移动银行的三大障碍之一。从未使用或听说过纯移动银行的消费者中有1/4（25%）认为隐私问题是一个弊端。

其他主要障碍包括安全性问题（27%）、传统银行优先于替代银行（22%）和缺乏服务知识（19%）。

199IT.com原创编译自：YouGov 非授权请勿转载

数据共享悖论：尽管对共享数据有复杂的感觉,但每个人都在共享数据

消费者比2018年更频繁地分享他们的位置数据，特别是在巴西。

但是大多数受访者（3/5）在过去两三年内经历过数据被滥用的情况。这包括垃圾电子邮件、网络钓鱼，以及黑客攻击银行帐户/信用卡。

对以数字方式共享个人信息的担忧仍然很高，消费者在共享位置数据方面存在冲突。

尽管担忧，但消费者更愿意共享其数据以换取诸如增强安全性或财务奖励之类，并承认提供收益将提高他们共享数据的可能性。

信任数据控制器和处理器，以及数据使用方式的透明度：数据共享的关键

信任仍然是消费者愿意分享个人数据和位置数据的一个重要因素。人们对政府和防止滥用数据法规的信任程度仍然很低。

对数据采集器和其所在行业的熟悉程度也会影响共享数据的意愿。一半的受访者认为他们可以控制自己的数据，一半的受访者觉得自己几乎没有控制能力。精通技术的受访者更有可能觉得自己的数据处于控制之中。这种控制体现在能够设置首选项、更改权限和从应用/服务中提取位置信息。

消费者如何以及与谁共享他们的数据

2019年的消费者共享位置数据的频率高于2018年。现在，他们更愿意与某些行业分享。消费者最愿意与移动行业的数据采集器共享位置信息：

在2018年的研究中，消费者与公共交通和叫车服务分享数据的意愿上升最多。这反映了移动市场的增长。

此外，与汽车制造商共享数据的意愿也更高，这可能是联网汽车服务提高的结果。

PDF版本将分享到199IT交流群，支持我们发展可加入！

被定位太多次是一种如此令人毛骨悚然的营销活动，2/3的受访者（66%）认为这是令人讨厌的。
即使通过个性化努力让消费者感到特别，仍有4/10（41%）的受访者觉得很烦人。消费者的其他烦恼包括针对他们已购买的商品（39%）以及他们作为礼品浏览或购买的商品（37%）提供建议。

许多公司的个性化显示出积极的投资回报，因此值得研究消费者认为个性化营销毛骨悚然的原因。近3/5的受访者（57%）认为那些令人毛骨悚然的营销策略是让他们意识到自己的数据被用来向他们出售更多产品。大多数人（54%）认为，当没有退出选择时，营销是令人毛骨悚然的。

与此同时，大约有4/10的受访者认为，当品牌没有告诉他们数据将如何被使用（41%），或者当他们意识到自己的数据被跟踪时（40%），营销就会变得令人毛骨悚然。而数据保护法规（如GDPR）则试图防止此类问题。

使用AI进行交流的网站聊天弹出窗口是让消费者最反感的营销策略。在受访者提到的5种最令人毛骨悚然的营销策略中，有3种是基于推送通知的。消费者特别不喜欢有关他们以前看过的产品的推送通知，提醒他们重新购买需要随时更换的商品，或根据他们过去购买的商品推荐产品。

PDF版本将分享到199IT交流群，支持我们发展可加入！

平均每月36次通知。与一年前相比，移动应用用户增长了近17%。营销人员和发布商在全球范围内发送更多的通知，平均每月36次。

在美国，67%的手机用户选择接受通知，比例下降了0.9%，但通知的数量有所增长。

GDPR实施后，选择位置共享（location opt-ins）的欧洲用户更少了。在所研究区域中，北欧和西欧的位置共享率最低（分别为4.4%和2.1%）。这与一年前相比有了显著的下降，因为隐私敏感性已经导致更多的人拒绝分享位置信息。

北美地区选择共享位置的用户下降了25%。

用户有意识地选择共享位置。Airship的数据也反映了iOS和Android用户之间的差异。与iOS用户相比，使用Android Q版本以前的用户更频繁地屏蔽位置，而iOS用户只有在应用程序使用时才能共享位置。Android Q也采用了这种设置，这将使未来Android上的位置权限看起来更像iOS。

为什么我们要关心？随着第一方数据和工具在GDPR发布后发挥更大的作用，移动通知在全球将成为一个强大的营销和客户参与渠道。

199IT.com原创编译自：Airship 非授权请勿转载

• Facebook messenger开发者数量超过30万
• 每个月商家跟用户之间发送的消息数量超过200亿条
• 超过15亿用户使用Whatsapp来彼此连接
• Facebook date从美国市场扩大至14个国家
• 自上届F8至今（一年多的时间），超过10亿用户已经使用过FB的Spark AR体验
• 3%～4%的Facebook MAU用户可能是虚假的
• Facebook workplace 企业付费用户已经超过200万

Via：199IT整理

        大多数美国网民不相信社交网络能保护他们的个人信息。Rad Campaign于2018年5月进行的一项调查发现，61%的受访者几乎不信任社交网络。相比之下，2016年的指数为53%，2014年为57%。

        千禧一代是对社交网络最开放的一代人，但是超过一半人不相信社交网络能保护他们的数据（56%）。

        Facebook一直处于隐私和数据滥用的争论的中心，但之前的迹象表明，争议并未对其使用情况产生显著影响。路透社在Cambridge Analytica丑闻之后与益普索进行的调查发现，近一半的美国Facebook用户没有改变使用该平台的频率，约有1/4的受访者表示他们访问Facebook的次数更多了。

        但是，隐私问题已经导致用户限制他们分享的内容。

        Rad Campaign的调查发现，隐私担忧并没有让用户离开社交网络，87%的受访者使用社交媒体，比2016年增长7个百分点。

        按平台细分，约73%的受访者每天使用Facebook，和2016年（70%）比有所增长。32%的受访者每天访问Instagram，而两年前只有21%。20%的受访者每天访问Snapchat。但Twitter、LinkedIn和Tumblr的水平与之前比稍有下降。

        199IT.com原创编译自：eMarketer 非授权请勿转载

        Janrain在2018年4月调查了1000多名美国成年消费者对数据隐私问题的态度。结果表明Cambridge Analytica违规确实成了消费者对数据隐私感受的重大转折点。

        调查显示，许多美国消费者都赞成那些能让他们更好地控制企业如何使用其个人数据的法规。78%的受访者知道Facebook数据共享丑闻。94%的消费者表示一直关注他们的数据，57%的受访者表示该丑闻使他们更加关心他们的数据隐私和安全性。

        许多美国消费者都愿意接受让他们更好地控制企业如何使用其个人数据的法规。69%的受访者希望看到类似欧盟颁布的“通用数据保护条例”（GDPR）。

        当被问及人们最希望在美国颁布GDPR的哪项规定时，38%的受访者表示希望有能力控制他们的数据的使用方式，39%的受访者则赞成“被遗忘的权利”，这要求企业删除用户数据，如果用户要求的话。

        尽管Cambridge Analytica丑闻引起强烈反响，但仍有1/3的美国人赞成使用其数据提供更个性化的广告和体验，只要网站或应用背后的业务正在保护其数据并负责任地使用它。

        问题在于信任：在那些并不想交换数据获得个性化体验的受访者中，半数不喜欢企业在线观察自己。43%的受访者认为企业在保护他们数据隐私安全方面并不够关心，73%的受访者则认为企业只是“知道很多”。

        重要的是这些看法会影响人们的行为，2/3的消费者认为这会影响他们的在线行为。

        199IT.com原创编译自：Janrain 非授权请勿转载

关于执法部门是否有权利收集手机数据，美国人一直在讨论这个问题的答案。

Morning Consult的最新调查显示，55%的美国人认为，当局需要获得搜查令，才能查阅被调查人员的个人资料和数据。相比之下，31%的受访者认为有时候可以不需要搜查令。

大多数受访者支持警方访问私人手机上的GPS和通话记录等数据，但是，前提是必须与调查有关。不过，人们对执法部门获取短信、浏览器历史记录、照片和视频等感到不舒服。49%的美国成年人认为，警方可以访问文本和聊天记录；48%的受访者对浏览器历史记录持相同看法；45%的受访者允许访问手机上的私人照片和视频。

PDF版下载可加入我们小密圈，199IT感谢您的支持！

《报告》披露：超过七成以上的人都认为个人信息泄露问题严重；多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电；53%的人因网页搜索、浏览后泄露个人信息，被某类广告持续骚扰；在租房、购房、购车、考试和升学等个人信息泄露后，受到营销骚扰或诈骗的高达36%。

　两成人曾受电信诈骗恐吓

由中国青年政治学院互联网法治研究中心和封面智库联合发布的这份《报告》显示，有26%的人每天收到2个以上的垃圾短信，20%的人近一个月来每天收到两个以上骚扰电话。

《报告》还显示，在遭遇个人信息侵害时，经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%，因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上，遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上，被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%，明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%。

此外，即便最少的数据比例，即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电话或短信诈骗信息”也达9%。

60%受访者不知如何维权

在日常生活中，证件复印件、快递单和手机是泄露个人信息的重要载体。《报告》显示：有高达55%的人将证件复印给相关机构时，从不注明用途；47%的人经常将写有个人信息的快递单直接扔掉而不加处理；超过27%的人在停用、注销手机号的时候，甚至不去银行、支付宝、网站等变更绑定的手机号。

在被问到发现个人信息泄露会采取什么行动的问题时，71%的参与调研者选择了掐断电话或不予理睬，选择拉黑及拒接的比例为63%；仅有20%左右的参与调研者选择了举报、投诉、报警等积极应对措施。

在解释未能维权的原因时，半数以上的参与调研者因不知如何维权(占60%)和没有发现经济损失(占56%)而选择了沉默。

值得关注的是，参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权，另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项，也有14%的选择比例。

　量刑过轻震慑力有限

针对此次调查发现的问题，《报告》认为，尽管目前我国针对个人信息保护存在诸多法律规定，但基本都分散在效力层次不一的各种法律法规乃至规范性文件。因此建议，应尽快通过一部统一的个人信息保护法规，对相应法律进行系统化梳理和整合。

《报告》指出，尽管当前针对个人信息的非法获取与利用的司法判决为数不少，但与个人信息泄露的普遍状况相比，并不成比例。特别是个人信息泄露与电信诈骗等犯罪活动结合之后，造成了重大的损失和巨大的社会影响，亟需加大惩处力度，增加犯罪成本，以切实起到威慑作用。

“我们做了一个案例数据库检索，只找到相关的40多个案例的判决书。而在这其中，只有5个案例是判决侵犯个人信息的罪犯是超过一年，超过两年的更是仅有两个案例。这样的比例也说明，我们刑法的量刑规定不是很高，在实践中震慑力还比较有限。这同样也印证了维权困难导致受侵害人维权意愿低下的观点。”《报告》执笔人、中国青年政治学院互联网法治研究中心执行主任刘晓春说。

中国青年政治学院副校长、互联网法治研究中心主任，最高人民法院刑一庭副庭长林维认为，应建构统一的立法框架、加大司法打击力度、确立顺畅维权渠道。“把关注的焦点从事后的惩处转移到事前的防范上来，从非法数据产业链的源头堵住数据泄露的可能性，才有希望从根本上治愈这一顽疾，迎来个人信息保护的蓝天。”

芝麻信用成实践样本

《报告》同时指出，实现健康市场秩序的具体模式，其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。

在此方面，刘晓春介绍，经过《报告》课题组专家调查研究，建议可根据芝麻信用等征信机构形成的实践样本，提高征信机构和数据信息行业的准入门槛，建立个人信息分类保护、全面落实用户授权机制、严格规范内部管控流程、完善泄露危机应急预案，让这个成为整个数据信息行业的通用标准。

例如，以手机app等软件为例，芝麻信用等企业建立内部信息采集规范，只采集与评估用户信用状况有关的信息，而不采集用户的聊天、通话等个人隐私信息，不得追踪用户在社交媒体上的言论信息。

同时，芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度，设立了外部舆情监测机制，一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时，会及时评估事件对用户信息安全造成的风险或潜在威胁，甚至决定中止或终止与合作商户的合作。

蚂蚁金服副总裁、芝麻信用总经理胡滔在会上透露，芝麻信用已通过英国标准协会权威评估认证，成为国内首家获得ISO27001:2013国际信息安全管理体系认证证书的征信机构。

“在信息安全管理方面，芝麻信用严格按照国际信息安全最佳实践要求实施，即使投入成本，改变流程，也要尽最大努力保护用户的个人信息和隐私安全，这也是我们对用户的承诺。我们也希望，芝麻信用阳光公约的相关原则和做法，能成为更多同业的共识。”她说。(来源：法制日报 记者 余瀛波)

附：《中国个人信息安全和隐私保护报告》全文

中国个人信息安全和隐私保护报告

中国青年政治学院互联网法治研究中心

&封面智库联合发布

2016年11月

报告摘要

　　我国信息化建设的推进和互联网应用的普及，推动了社会大发展和新变革的同时，也为个人信息安全带来了新挑战。

侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失，严重影响社会安定，成为社会公害。

在执法部门投入大量社会资源进行的持续高压打击之下，一系列大规模侵犯个人信息犯罪案件告破，不法分子嚣张气焰得到遏制，但仍呈现出屡打不绝的态势。

要改变公民个人信息频遭泄露侵害的社会现实，需要全方位建立个人信息安全的社会保障体系：

对于公众，需要进一步清晰个人信息泄露造成的危害、掌握有效防范技能并树立维权意识；

法制建设方面，要改变现有个人信息保护法律法规过于分散的现实，建议尽快制定统一、系统的《个人信息保护法》，为公民维权、打击犯罪提供便捷途径；

从司法实践来看，应进一步强化打击的威慑力，重点打击以侵害个人信息生利的黑色产业链；

从信息相关产业和市场的角度，个人信息保护和合法使用，需要通过市场机制、社会共治的模式，充分发挥产业界技术优势和创新能力，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段在内的多种手段惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制。

专家评述

个人信息治理应当注重事前防范

胜于事后打击

林维/中国青年政治学院副校长

互联网法治研究中心主任、最高人民法院刑一庭副庭长

　　“徐玉玉案”引发了全社会对个人信息泄露现状的高度关注和热议，但是个人信息泄露和保护问题由来已久，互联网的发展也使得个人信息的地下交易产业链更加隐蔽、难以追踪。

目前，针对个人信息泄露及其引发的电信诈骗等犯罪活动，已经引起了公安部等部门的高度重视，也投入了大量的金额和资源进行打击，近期开展的打击整治网络侵犯公民个人信息犯罪专项行动也获得了明显的成效。

但是，事后的打击和惩处依然未能根除个人信息泄露和侵害现象，民众对于自身个人信息泄露的感受依然普遍强烈，并对维权途径所知甚少、维权效果信心不足。

本次《中国个人信息安全和隐私保护报告》的撰写，是基于100余万份问卷调查反馈的信息，用大数据的方式展现了当下民众面对个人信息泄露现状的焦虑和无助。

统计数据表明，个人信息安全已成为社会普遍焦虑，个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比，公民个人信息遭侵害程度触目惊心。

而与这些相对应的，是民众防范意识不强，保护意识薄弱，维权动力不足。

对此，立法、行政和司法机关的确应该当仁不让承担起治理乱象的重任。在梳理了立法、行政和司法实践现状之后，报告建议建构统一立法框架、加大司法打击力度、确立顺畅维权渠道。

法律制度上固然应当建立起一道坚实的保护壁垒，但是，鉴于个人信息泄露的复杂性和隐匿性，把希望主要寄托在通过法律进行事后打击和治理，恐怕并非治标之良策。

个人信息侵害行为发现和查处难度明显大于传统犯罪，导致事后惩处无法产生足够的威慑力。因此，应当把关注的焦点从事后的惩处转移到事前的防范上来，从非法数据产业链的源头堵住数据泄露的可能性，才有希望从根本上治愈这一顽疾，迎来个人信息保护的蓝天。

报告的后半部分主要关注产业界数据处理的规范构建，正是这种事前防范思路的反映。在个人信息获取、存储、利用的合规化处理方面，产业界相对于政府部门，拥有更加专业化的技术能力，也具有更强的规则体系建设的驱动力。报告创新性地提出建设“基础法律规范、行业通用标准、企业最佳实践”的治理构架，并结合征信机构等行业企业的实践，在符合法律法规最基本要求的基础上，梳理并勾勒出丰富、细致、生动的产业实践，呼吁设立行业标准，确立企业最佳实践的模板，推动企业以自律的方式承担起保护个人信息的社会责任，在获取、存储、利用个人信息的各个环节，都设立并贯彻严格的自律规范，通过技术手段的提高和安全规则的完善，截断非法泄露、滥用个人信息的源头，从而建立起个人信息合规利用的良性生态，进而推动数据产业的健康、有序发展。

专家评述

以举证责任倒置破解个人信息保护难题

傅蔚冈/上海金融与法律研究院执行院长

　　个人信息安全已经成为当下中国社会最为关注的公共议题之一，尤其是自今年震惊全国的“徐玉玉案”发生后。更让人惊讶的是公安部门在此事件之后发布的相关数据。

2016年7月20日，公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。内容显示，自2012年起，公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。

最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，截至7月，全国公安机关即累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个。

230余亿条的信息固然让人惊讶，但是也与公众的印象相差不远。被垃圾短信骚扰或者陌生电话推广，几乎已经成了我们生活的日常。

如何破解个人身份信息泄露的难题？《中国个人信息安全和隐私保护报告》系统梳理了当下中国个人信息安全问题，并且提出了非常有针对性的建议，并且从个人、市场与社会；立法、执法和司法等多层次探讨了今后该努力的方向。

毫无疑问，这些建议非常有针对性。如果能得到落实，那么个人信息安全将会大幅度得以改善。不过即便如此，短期内个人身份信息泄露的状况要大幅度改善，可能还是会有很大的难度。

难度来自于举证责任。众所周知，绝大多数的个人身份信息泄露并不属于刑事责任，因此公安部门无法派遣大量的人力和资源来查办此类案件——事实上也并不经济。

在民事纠纷中，要求让泄露个人信息的机构或这个人承担民事责任也是难于上青天，因为它们会陷于法律上的举证责任难题，因此到目前为止有关的诉讼大都以原告的败诉收场。正是由于刑事上无法立案，民事上输于举证责任，因此才酿就了“徐玉玉”的悲剧——可以想象，这必定不是最后因为个人身份信息泄露的受害者。

如何解决这个困境？一个可行的举措是改变民事诉讼中的举证责任，将目前的“谁主张谁举证”改为“举证责任倒置”，即不是由原告提供证据来证明被告以不恰当的方式获得了个人身份信息；而是原告只要提供了被告联系其这一事实即可以被告非法获得身份信息为由提起民事诉讼，被告需要承担提供其合法获得原告身份信息的证明。这样一来，就会对哪些非法获得身份信息的机构和个人形成强烈的威慑效果。

正如《中国个人信息安全和隐私保护报告》所言：“由于个人信息获取、存储和利用的环节众多，线下和线上传播具有隐蔽性和复杂性，追本溯源成本很高，发现、查处难度大，处罚、赔偿力度小，同时获利空间巨大，执法现状为灰色产业链提供了巨大的投机空间。”

扭转这个乱象的关键之举就是举证责任倒置。

因为现在个人身份信息的存储无处不在，个人没有能力来约束那些获得其身份信息的机构和个人，就必须通过举证责任倒置的方式，让那些有能力获得他人身份信息的主体妥善保管他人信息，也可以最大限度让所有的机构和个人只使用来自合法渠道获得的个人信息。不仅非法获取个人身份信息要承担责任，使用非法获取的个人身份信息也要承担民事责任，这样一来，就可以在源头上切断非法个人信息。

前 言

　　近年来，侵犯公民个人信息及其所滋生的侵害事件不断发生，扰乱了社会秩序，给群众人身财产安全造成巨大威胁，严重影响社会安定。震惊全国的“徐玉玉案”等一系列案件发生后，个人信息安全已成为全社会的重大关切。

为充分了解及评估全社会对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月联合发起《你的隐私泄露了吗？——个人信息保护情况调研》问卷调查，共回收问卷1,048,575份。

问卷回执样本分析显示，个人信息安全所遭受的威胁已经引起了公众普遍重视，但由于个人信息保护能力与常识、经验的缺乏，不法之徒对公民的个人信息侵害行为仍有机可乘，且因群众维权意识和动力不足，维权能力有限，个人信息保护仍处于危机时刻。

本报告将对个人信息保护现状进行综合介绍，对造成个人信息安全危机的原因和国家政策、法律法规层面的现行应对进行梳理，并通过对104万8575份调查问卷回执样本的详细分析，显示群众对个人信息安全的关切点和社会个体在应对信息泄露时的意识和行为模式，并指出其将造成的结果和需要关注的重点方向。

本报告还将从立法和司法实践角度阐述个人信息安全的法律监管和维权现状。由于个人信息是大数据产业的重要核心，通过市场机制、社会共治实现个人信息安全、提升群众安全感也切实可行，本报告将以征信行业和代表性企业为例，详细说明行业和企业在个人信息保护中的先进模式和具体实践。

一、侵犯公民个人信息犯罪

及隐私侵害行为已成社会公害

　　我国信息化建设和大数据等信息产业的不断推进和发展，带动了各项社会服务日趋高效、便捷，群众生活水平持续提升，幸福感和获得感不断增强。但与此同时，信息的广泛应用以及人们对个人信息安全防范意识的薄弱，也给犯罪分子实施犯罪提供了便利条件。

目前，我国刑法将出售、非法提供、非法获取公民个人信息的行为认定为侵犯个人信息犯罪行为。按照公安部发布的信息，侵害公民个人信息犯罪引发的下游犯罪案件包括且不限于绑架拘禁、敲诈勒索、暴力追债、电信诈骗、网络诈骗、网络盗窃、非法调查等，甚至有不法分子利用非法掌握的个人信息以胁迫手段介入婚姻纠纷、财产继承、债务纠纷等民事诉讼。由于公民个人信息泄露导致的骚扰电话和垃圾短信更是为群众所深恶痛绝。

近年来，侵犯公民个人信息犯罪持续高发，其中以“徐玉玉被诈骗案”为代表的由于侵犯公民个人信息滋生的电信网络诈骗犯罪已给群众财产造成重大损失，严重影响社会安定。在今年8月19日召开的打击跨国电信网络诈骗案件通报会上，公安部刑侦局有关负责人介绍，2015年我国电信诈骗发案59.9万起，造成经济损失约200亿元；仅2016年上半年，电信诈骗发案就达28.7万起，造成损失80余亿元[1]。

执法机关面对侵犯公民个人信息犯罪行为从未手软。实际上，自2012年起，公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，截至7月，全国公安机即关累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个[2]。

但当前，侵犯公民个人信息犯罪呈现了屡打不绝且日趋专业化、团伙化、产业化的态势。在近日由公安部统一组织25省区市公安机关破获的一起特大侵犯公民个人信息案中，公安机关在一案中即抓获犯罪嫌疑人201名，铲除信息泄露源头42个，摧毁9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。

侵害个人信息犯罪行为的猖獗，引起了中央和国家的高度重视。近日，公安部、中央综治办、国家发展改革委、工信部等八部门联合发布《关于规范居民身份证使用管理的公告》，要求国家机关或有关单位应当建立健全公民个人信息安全管理制度，对在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息严格保密。对单位内部建立的公民个人信息存储系统，要严格设定查询权限，严格控制知悉范围；要强化技术防护措施，严防信息泄露或被窃取[3]。

2016年10月10日至11日召开的全国社会治安综合治理创新工作会议上，更是明确要求结合制定《个人信息保护条例》，加大信息源头保护力度，完善公安、教育、医疗、金融等重点行业信息安全保护体系[4]。

为进一步加强个人信息安全法律体系的建设，于11月1日提请全国人大常委会进行二次审议的民法总则草案中，增加规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。”草案力图在对个人信息应用的源头和上游给予公民法律保护。2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。

舆论认为，要遏制侵犯个人信息犯罪行为，务必须要国家法律体系的日趋缜密和执法力量的持续高压，同时，针对公民个体的普法教育和使公民切实提升个人信息安全防范意识也不可或缺。

二、百万数据调查：

公民个人信息安全意识强，

但维权动力与能力有限

　　为充分了解及评估公民对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月24日联合发起《你的隐私泄露了吗？——个人信息保护情况调研》问卷调查。覆盖全国各省、区、市，共回收问卷104万8575份。

通过对调研问卷回执的样本数据分析，本报告认为，当前人们对个人信息保护的社会现状安全感不高，超七成参与调研者认为个人信息泄露安全问题严重；民众遭受个人信息侵害程度高；个人信息安全防范意识不强为侵害行为提供可乘之机，半数参与调研者对于因证件复印和快递单造成的个人信息泄露无察觉，超六成参与调研者在更换手机和手机号时存在信息泄露隐患；个人信息侵害维权观念不强、常识不够、动力不足，仅有20%的参与调研者在发现个人信息遭受侵犯时，采取投诉、举报和报警等积极应对措施，六成参与调研者不知如何维权，近半数参与调研者认为维权困难。

（一）个人信息安全已成为社会普遍焦虑

在全部问卷回执中，针对“你觉得个人信息泄露问题严重吗”问题，有28%的参与调研者认为“没有感觉”，43%的参与调研者认为“严重”，认为“非常严重”的参与调研者占比达29%（见图1）。

图1：参与调查人群对个人信息泄露问题的整体感受

图2：不同年龄段人群对于个人信息泄露问题的整体感受

　　在参与调研者的性别和年龄比例中，对于上述问题的看法没有明显偏差（见图1、2），这也可以说明，对于个人信息安全的焦虑并非特定群体的主观性偏差，具有社会普遍性。

（二）个人信息泄露引发的骚扰密度

与社会经济和信息化发展程度成正比

垃圾短信和骚扰电话是个人信息泄露所引发的电信骚扰及诈骗行为。参与调研者中，26%每天收到2个以上的垃圾短信，20%近一个月来每天收到2个以上骚扰电话（见图3）。

图3：参与调查人群对电信骚扰的反馈情况

图4：电信骚扰地区排行

　　在全国分布角度，来自西藏、宁夏、新疆、青海、甘肃等省区的参与调研者收到垃圾短信最少，来自上海、北京、重庆、江苏、天津等省市的参与调研者收到垃圾短信最多；在骚扰电话方面，最少的省区是黑龙江、新疆、西藏、吉林、宁夏，最多的省市是上海、北京、江苏、安徽、浙江（见图4）。总体上看，越是经济发达、社会网络化、信息化程度高的地区，电信骚扰密度越高。

（三）公民个人信息遭侵害程度触目惊心

本次调研所显示出的公民个人信息遭侵害程度令人触目惊心。

问卷分析显示，在遭遇个人信息侵害时，多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电，因网页搜索和浏览时泄露个人信息的参与调研者占53%，经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%，因房屋租买、购车、考试和升学等信息泄露，和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上，遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上，被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%，明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%，最少的数据比例即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电话或短信诈骗信息”也达9%（见图5）。

图5：个人信息、隐私受侵害行为类型调查

　　（四）民众防范意识不强

为侵害行为提供可乘之机

在日常生活中，证件复印件、快递单和手机是泄露个人信息的重要载体。问卷调研显示，由于对个人信息泄露渠道的不了解，虽然大多数人意识到个人信息泄露的严重程度，但相当高比例的人群并不知道如何防范个人信息侵害，在使用个人信息的载体时疏忽大意或不知如何采取防范行动。

图6：个人信息泄露隐患之线下渠道调查

　　调研中，55%的参与调研者从不将证件复印件标明用途；47%的参与调研者经常将写有个人信息的快递单直接扔掉而不加处理（图6）。

图7：个人信息泄露隐患之移动端渠道调查

　　在通过手机使用Wi-Fi时，34%的参与调研者只希望确保手机在线，而不会对免费Wi-Fi鉴别使用；在收到陌生号码发来的短信时，26%的参与调研者会点击短信中的可能产生侵害行为的网络链接（图7）。

图8：个人信息泄露隐患行为调查之手机硬件方向

图9：个人信息泄露隐患行为调查之手机号码方向

　　在更换手机时，更能确保个人信息安全的方法是将手机恢复出厂设置或格式化后，再用无关内容将手机存储空间占满后再予处理，但仅有34%的参与调研者选择了这一选项，有17%的参与调研者选择将手机直接送人；在手机换号时，超过27%的参与调研者选择直接使用新号码，而不对旧号码采取任何措施（见图9）。

（五）个人信息侵害维权观念不强，动力不足

调研显示，在明确自身遭遇个人信息泄露并面临侵害时，相当一部分人群抱有侥幸心态，大部分人选择了较为被动的处理方式，仅有少部分人采取了积极对抗行动。在解释未能维权的原因时，半数以上的参与调研者因不知如何维权和没有发现经济损失而选择了沉默。

图10：个人信息及隐私被侵犯时的对应手段

　　在被问到发现个人信息泄露会采取什么行动的问题时，71%的参与调研者选择了掐断电话或不予理睬，选择拉黑及拒接的比例为63%；仅有20%左右的参与调研者选择了举报、投诉、报警等积极应对措施（图10）。

图11：个人信息及隐私被侵犯后未能维权原因

　　被问及被侵犯时没有维权的原因时，60%的参与调研者表示不知道怎么维权，56%的参与调研者是因资金等个人利益未受损而放弃维权，值得重视的是，参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权，另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项，也有14%的选择比例（图11）。

值得关注的是，当被问及是否“愿意提供个人信息以获得更便利的服务享受”时，更多的人选择了“愿意”（图12）。这也充分说明，信息共享带来的便利是客观存在的，多数人并不赞同为保护隐私而过分限制信息流动。

图12：更多人选择为获得便利服务而提供个人信息

　　问卷调研的结果已可以清楚显示出当前公民个体对于个人信息保护的观念、行动及能力的基本面貌：尽管人们对于个人信息安全普遍焦虑，遭受信息泄露侵害程度较高，但由于对于个人信息保护的常识不足，为不法分子留存了极大的侵害漏洞，而公民对于个人信息维权观念的缺乏和动力的不足，又客观上降低了不法分子违法犯罪行为的成本，加剧了侵犯公民个人信息犯罪的可能性。

值得关注的是，国家在政策与法规层面不断强化、在司法层面不断加大对侵犯公民个人信息犯罪的打击力度，但相当一部分社会个体在面对侵害时却保持了漠视甚至麻木的消极对应方式，而并未操起法律的武器与涉及自身的违法犯罪行为进行抗争。这一方面说明，针对个人信息安全的普法力度仍需加大，尤其是要使公民清晰掌握维权技能；另一方面也能够反映出个人信息安全维权的技术难度与不成正比的维权收益，使公民个体在维权中步履艰难。

三、法律监管与维权现状：

亟需统一立法，加大司法惩处

　　（一）立法述评

1.个人信息保护尚无统一立法，现有规定内容分散

我国目前针对个人信息保护尚未形成统一的综合法律规范，而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中，形成了一个内容分散、体系庞杂的个人信息保护模式。

2. 网络安全法关于个人信息的规定

2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。其中第七十六条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”这是首次在法律层面上确立了一般意义上“个人信息”的概念，为个人信息保护的体系化制度建设提供了起点。

《网络安全法》针对网络运营商收集、使用个人信息，规定了应当遵循合法、正当、必要的原则，公开收集、使用规则；明示收集、使用信息的目的、方式和范围，并规定公民对自己的个人信息在被使用过程中，享有知情权、删除权、更正权。

另一方面，从促进产业发展的角度，该法明确了禁止向他人提供个人信息的例外情形，即如果是经过处理无法识别特定个人，并且不能复原的信息可以合理使用，这也是对国家鼓励和推动大数据产业发展政策的回应，这一规定将进一步推动数据产业的发展。

此外，《网络安全法》规定，在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储的原则，并首次在法律层面明确了违反个人信息保护规则的行政责任。这些规定都体现了社会的最新诉求和行业的前沿实践，对构建更加完整的我国个人信息保护制度具有非常重要的意义。

3. 针对个人电子信息保护的综合规定

全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》，针对“个人电子信息”的保护作出了较为系统的规定，明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”，并对收集、使用、保存个人电子信息作出了系统性规范，还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。这个法律性质的文件为个人电子信息的保护确立了相对全面的保护，也为其他领域的法律法规提供了可供参照的样板，被认为是目前最为重要的个人信息保护规范之一。

工业与信息化部的部门规章《电信和互联网用户个人信息保护规定》，专门针对电信业务经营者、互联网信息服务提供者规定了较为全面而系统的个人信息收集和使用规范、安全保障措施以及相应的法律责任，也是一部重要的个人信息保护的专门规范。

4.经营者的个人信息保护责任

《消费者权益保护法》第29条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务，即“应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务，需要承担民事责任和行政责任。这些规定与《关于加强网络信息保护的决定》中确立的原则和规则保持一致，对于消费者个人信息的保护及于线上和线下，适用范围亦十分广泛。

除了《消费者权益保护法》对消费者个人信息提供一般的保护之外，特定行业的法律法规规章也对其经营者提出了保护个人信息的要求，比如，《旅游法》规定，旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密；《征信业管理条例》系统而全面地规定了征信机构采集、整理、保存、加工个人信息的相应规范；《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务；《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求；在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域，都有相应的法规和规章来规定个人信息保护的内容。

5.行政机关及其工作人员的个人信息保护责任

除了作为经营者的商家有可能获得消费者的个人信息之外，个人在与政府机构打交道过程中也会涉及到大量个人信息。因此，有多个法律法规针对行政机关及其工作人员规定了其保护个人信息的责任。

《居民身份证法》规定，公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密；国家机关的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，需要承担民事、行政乃至刑事责任。《护照法》对护照签发机关及其工作人员、《出入境管理法》对履行出境入境管理职责的工作人员、《社会保险法》对社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员、《统计法》对统计机构和统计人员，都规定了类似的责任。

6.民事、行政、刑事责任

根据目前的立法体系，公民对其个人信息的保护，虽然尚未在民法基础法律文件中明确其私权的地位，但是已经在事实上作为“个人信息权”得到保护了，任何人侵害个人信息的行为，都会产生民事责任，即被侵害方可以要求停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。（《消费者权益保护法》第50条）

此外，任何人侵害个人信息的行为，还会面临行政责任。比如，对网络服务提供者违反规定的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布。（《关于加强网络信息保护的决定》第11条）

侵害个人信息严重的，有可能触犯刑法，构成“侵犯个人信息罪”。根据刑法第253条规定，违反国家有关规定，窃取或者以其他方法非法获取、向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。而违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚。

7.立法现状总结与建议

尽管我国目前并没有统一的个人信息保护法，但是并不能认为个人信息保护方面的法律法规有所欠缺，恰恰相反，通过一般性规范和具体规定相结合，社会生活中包括线上和线下的绝大部分领域，都已经有了个人信息保护的法律规范，侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散，对于普通民众和商家来说，都难以形成直观的认知，尽快通过一部统一的个人信息保护法，对其进行系统化梳理和整合，无论是从立法资源的节省、立法技术的提高、规则体系的优化，还是向民众普及个人信息法律保护的常识和意识来看，都存在必要性和合理性。

具体来说，通过制定个人信息保护法，在法律层面明确线上线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准，并严格规范各类数据采集及使用主体在信息处理方面的细则，完善个人信息安全方面的保障要求与信息披露义务，以及针对个人信息权层面的相关权益保障要求，充分保障用户在信息层面的知情权、选择权、救济权、受尊重权及信息安全权在内的各项基础性权利。

（二）司法惩处力度仍须加大

针对个人信息的非法获取与利用的司法判决为数不少，但与个人信息泄露的普遍状况相比，并不成比例。由于个人信息获取、存储和利用的环节众多，线下和线上传播具有隐蔽性和复杂性，追本溯源成本很高，发现、查处难度大，处罚、赔偿力度小，同时获利空间巨大，执法现状为灰色产业链提供了巨大的投机空间。特别是个人信息泄露与电信诈骗等犯罪活动结合之后，造成了重大的损失和巨大的社会影响，亟需加大惩处力度，增加犯罪成本，以切实起到威慑作用。

1.电信诈骗：个人信息泄露的恶果

2016年8月山东考生徐玉玉被电信诈骗导致不幸离世的新闻事件，使得社会对于电信诈骗以及相关的个人信息泄露问题的关注达到顶峰。徐玉玉轻信电话内容并进行汇款的主要原因之一，就在于其申请助学金贷款的信息被流入骗子之手，使其有机会进行“精准营销”。

实际上，个人信息贩卖已成地下产业链，从源头的个人信息非法采集、黑客侵入，到非法出售、购买、转售，再到非法利用，个人信息获取、存储、利用的各个环节，都可能出现非法侵害的情况，直接或间接地成为电信诈骗等恶性犯罪的温床，都应当成为法律关注和惩处的对象。

2.侵犯个人信息罪案例：缺乏有效打击

在司法实践中，除了通过诈骗罪对电信诈骗人绳之以法之外，针对单纯的非法获取或出售个人信息行为追究刑事责任的案例也不在少数。常见的非法获取途径绝大部分是通过互联网获取、购买，内容包括电话号码、通话记录、交易订单、定位信息、身份证户籍资料、家庭地址等。但是，针对非法出售个人信息的判决却并不多见，由于刑法第253条之一规定非法出售或提供个人信息的主体限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，实践中此类人员被定罪并不多见。有法院将出售小区业主个人信息房地产公司的工作人员也列为犯罪主体[5]。单纯的侵犯个人信息罪的定罪量刑也较为轻微，大多为一年以下有期徒刑或拘役并处罚金，通常适用缓期执行。

值得关注的是，针对个人信息贩卖整个产业链展开的执法行动，通常能够实现切实效果。例如今年五月公安部督办的“5·26侵犯公民个人信息案”，打击了完整的黑色产业链，由“号主”团伙、“中间商”团伙、“出单渠道”团伙、“非法软件制作团伙”四层架构组成，其中“号主”团伙源头来自银行内部人员。

与引起巨大社会危害性的个人信息违法泄露和利用现状相比，立法上看刑法针对侵犯个人信息罪的处罚较低，执法上看，从源头堵截个人信息泄露的行动已有展开，但尚存不足，对于已形成产业链的个人信息地下产业，缺乏全面有效的打击和惩处措施。

3.个人维权困难

我国个人信息保护立法体系中规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比，民事案件的原告通常以侵害“隐私权”作为诉由，但能成功胜诉并获得赔偿者寥寥无几。例如，在消费者起诉移动通讯公司、机票预订平台等泄露个人信息的民事案件中，法院认为，被告并非掌握原告个人信息的唯一主体，无法确认被告实施了泄露原告隐私信息的侵权行为，亦即原告无法举证证明被告的泄露个人信息行为[6]。除此之外，即使在原告胜诉的案例中，由于无法证明经济损失或仅能证明极少的经济损失，原告可获得的赔偿金额很低。

个人维权还有一种途径是通过向行政机关举报，由工商行政管理部门等行政机关来进行查处。但是同样限于证据提供困难和个案的局限性，行政处罚对于贩卖个人信息形成的黑色产业链也是收效甚微。凡此种种，一方面无法对侵害人产生足够的遏制效果，另一方面，对于被侵害的个人信息持有者来说，也很难有动力去投入大量的精力和成本进行维权。

4.司法实践现状总结与建议

鉴于个人信息非法泄露与利用的普遍状况和严重危害性，目前司法实践中，无论是刑事处罚，还是民事追责，都存在着不成比例、无法匹配的现状。这与个人信息泄露本身的特殊性息息相关。从刑事打击上看，一方面立法应当加重量刑，增加威慑力；另一方面，执法行为应当向打击整个产业链倾斜，从针对某些具体个人的个别获取行为，转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击，才能起到治标治本的效果。

从民事案件来看，根据现有的举证责任难度，对于技术复杂、环节众多的个人信息侵害行为，个人维权往往只能望洋兴叹。而个体案件中如果没有造成严重的损害，个人也往往没有动力去展开成本颇高的个人维权行动。因此，对于个人而言，通过事后个案维权保护个人信息的机制，成本过高而收效极低，更为重要的是尽可能采取预防措施，实现防患于未然。产业和社会也有责任向个人提供预防性、保护性技术措施，在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。

四、用户信息安全相关行业标准

和企业自律模式——以征信行业为例

　　在大数据产业迅猛发展的浪潮中，个人信息作为数据信息的核心内容，面临着采集、存储、加工、使用各环节的规范化问题。这一命题是整个产业的问题，也同样是全社会面临的问题。司法、行政部门的执法、监管，应当作为个人信息保护的最后一道屏障而存在，如若期望公权力全面彻底治理这一社会化的大问题，并不合理，亦不现实。个人信息保护和利用的问题，需要通过市场机制、社会共治的模式，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段在内的多种手段惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制。

市场上涉及个人信息处理的行业众多，其中征信行业是以机构和个人信息作为其主营业务内容的机构。经过对于市场实践运作的调研和考察，可以观察到目前征信行业在个人信息保护方面的法规相对完善，明确规定了个人信息采集、处理、输出等方面的要求，并构建了比较全面的用户权益保障措施。而规范化经营的征信机构在个人信息保护方面的实践也走在各行业的前沿，具有很强的典型性和代表性。鉴于征信行业在个人信息处理和保护方面的典型意义和借鉴价值，本报告选取征信机构为模板来考察个人信息保护机制，对征信行业的多家机构进行了调研和访谈。其中，征信指的是“对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。”征信机构是“依法设立的，主要经营征信业务的机构”。

实现健康市场秩序的具体模式，其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。接下来选取征信行业的实践为例，进行具体展开。

（一）建立个人信息分类保护

个人信息涉及到与识别个人身份相关各个方面的信息，采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”，即范围应当仅及于业务所需之必要信息。以征信行业为例，《征信业管理条例》对于征信机构采集的个人信息，设有禁止性和限制性两类：第一类禁止采集的包括：个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息；第二类必须明确告知信息主体不良后果并取得其书面同意的信息包括：个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。

作为基础法律规范的规定，征信机构都有必要严格执行，建立技术上和管理上可行的机制，不采集禁止性信息，对于限制性信息应当自觉履行相应告知和同意获取程序。在此基础上可以发展出相应的行业标准，约束征信机构的行为。实践中，芝麻信用、华道征信等机构都遵照法律规定，对禁止性信息和限制性信息分别建立内部制度规范，使法律规则得以落地。

此外，在这两类敏感信息之外，征信机构针对用户其他个人信息，亦可基于其实践状况发展出其他自律规范，形成企业最佳实践。例如以手机app等软件为例，芝麻信用等企业建立内部信息采集规范，只采集与评估用户信用状况有关的信息，而不采集用户的聊天、通话等个人隐私信息，不得追踪用户在社交媒体上的言论信息。

（二）全面落实用户授权机制

包括《征信业管理条例》在内的众多法律法规都要求采集和利用个人信息需要经过信息主体的授权。但实践中由于存在个人信息利用的众多环节，初始采集时的授权往往不能匹配后续各种利用环节，因此法规中的原则性规定，需要有细化的行业标准和企业自律规范来加以落实。

在征信数据利用过程中，可能涉及到信息采集者、提供者（其中包括采集者）、整理加工者、存储者以及查询者、使用者。授权通常发生在信息初始采集时，但当后续使用需求与初始授权不匹配时，需要使用者启用相应的核实授权机制重新授权。例如，芝麻信用通过技术手段的持续开发，让用户直接与征信机构发生授权交互确认，保障授权的有效性。

征信机构在与上下游行业展开合作时，也可以通过建立相应的机制来确保授权的全面有效性。例如，芝麻信用对于上游的信息提供者进行资质审核，包括对其数据安全保护能力等方面进行评估，只选择接入符合特定条件的信息提供机构；华道征信在各项业务中对信息提供者进行合法性审查，与个人信息提供者签署的合作协议中明确约定其信息采集、使用规则和义务，如信息使用者必须对个人征信授权书中的重点内容进行了加黑、加粗处理，以起到显著性提示的作用。

对于下游的信息使用者，征信机构也可以对商户在用户信息安全保障机制及能力等各方面情况进行尽职调查，以评估是否与其合作，从而尽可能确保用户信息输出到合作商户后的用户信息安全。

企业在实践中还探索建立了各具特色的对于合作商户的监控和筛选机制。如芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度，设立了外部舆情监测机制，一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时，会及时评估事件对用户信息安全造成的风险或潜在威胁，甚至决定中止或终止与合作商户的合作。华道征信的同业征信服务系统建立了后台监测系统，实时监测信息使用客户的查询行为，对于疑似存在异常查询行为的客户及时进行重点监控，要求该客户提交若干笔查询所对应的信息主体授权书，必要时会安排现场调查。

（三）严格规范内部管控流程

征信机构在存储和加工个人信息过程中，承担着建立严格内部制度保障信息安全的法定义务。《征信业管理条例》规定，征信机构应当建立健全和严格执行保障信息安全的规章制度，并采取有效技术措施保障信息安全；应当对其工作人员查询个人信息的权限和程序作出明确规定，对工作人员查询个人信息的情况进行登记，如实记载查询工作人员的姓名，查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息，不得泄露工作中获取的信息。

法律的规定同样需要建立行业标准和企业内部管控制度，来落到实处。在实践中，芝麻信用、华道征信等机构建立了关于信息采集、加工、存储及使用等全数据生命周期的内部流程管控制度。

芝麻信用内部流程管控制度及配套的权限管理系统包括根据信息的敏感程度不同进行相应的分级管理等。保证数据从采集开始直至输出，任何数据的访问使用都有必须经过特定的审批流程并保留相关记录信息，避免非必要的用户信息接触行为。此外，机构持续根据业务实际情况，不断对上述制度及技术实现进行优化完善，以保证制度及流程的可执行性，避免实际操作与信息安全保障要求相脱节的情况发生。

华道征信成立了内部信息安全委员会，制定了相关制度及规范，细化了安全检查与审计管理制度、信息系统人员安全管理规定、信息安全培训和考核管理规定、信息系统安全事件报告和处置管理制度、应急预案管理流程等一系列安全管理制度等一系列信息安全管理制度，明确了有关部门信息安全管理工作职能，并对系统管理员、网络管理员、安全管理员、数据管理员等关键岗位制定了明确的职责分工、业务权限、操作规程，对工作人员查询个人信息的情况进行登记，确保各项制度流程有效实施。

实践中，将个人信息进行匿名化处理，是保护个人信息特定主体的重要手段。在征信机构的实践中，出现了避免输出原始可识别身份信息的策略，例如，即使在用户授权的前提下向合作商户输出信息，芝麻信用通常情况下不会直接输出用户的原始或明细信息，或者传统信用报告，而是经过加工后的信用标签或变量信息。这样的信息输出策略，尽可能避免了输出用户明细或原始信息可能给用户造成的风险，以及合作商户端万一发生信息泄露情况下，尽量降低可能对用户信息安全造成的影响，是值得称道和推广的业内重要实践。

（四）完善泄露危机应急预案

尽管法律法规并没有对危机应对作出具体规定，但是出于企业社会责任的需要，征信机构在数据泄露应急处理方面亦有可为之处。实践中，芝麻信用等机构建立了信息泄露应急处置预案，并不定期进行应急演练，从而保证在极端情况下发生信息泄露时，可能顺序定位到信息泄露的原因及问题所在，并在最短时间内进行处置与控制信息安全风险，以争取将信息泄露风险控制在最低程度。通过信息泄露的应急演练，征信机构可以不断就自己在信息安全保障方面存在潜在风险点进行不断识别、优化完善，从而提高自身信息泄露风险防御能力及水平。华道征信通过网站综合监控管理平台实时监控外部攻击和风险，定期开展漏洞扫描、挂马扫描、篡改扫描等安全监测工作。每年都邀请第三方安全机构进行专业风险评估，对于发现的漏洞和风险问题在第一时间进行修补和解决，有效降低受到外部攻击所导致的各种风险。

从征信机构的行业实践来看，在“基础法律规范、行业通用标准、企业最佳实践”的架构下，尽管基础法律规范仅仅作出原则性和目标性的规定，但是在环节繁多、技术复杂的征信行业中，要想真正将法律规范落到实处，还需要建立全面、细致、依赖先进技术手段的行业标准和企业自律规范。通过行业主体的自律行为，建构良好的个人信息处理规范，并建立快速、准确的信息披露和评价机制，使得违规者无处遁形，避免劣币驱逐良币现象，建设个人信息保护领域优胜劣汰的良性竞争环境。

五、结论

　　互联网的发展带来社会变革的同时，也为个人信息保护带来了巨大的挑战。本报告整理并总结了一百余万份调查问卷反馈数据，并针对现有的立法体系、司法现状进行了梳理和总结，探讨了个人信息保护存在的主要难点和障碍。最后，本报告把关注的焦点投向以征信行业为代表的产业实践，通过评估和总结具有代表性的企业自律规范，提出通过“基础法律规范、行业通用标准、企业最佳实践”的治理架构，来实现线上和线下的全方位、各环节共治，针对个人信息保护问题实现既治标又治本的理想目标。

（一）个人信息泄露严重、侵害程度触目惊心

根据一百余万份调查问卷的反馈数据，目前个人信息侵害体现出明显的范围广、危害大的特征，大部分受访人群都认为存在个人信息泄露的情况，而由个人信息泄露导致的恶性犯罪行为亦在舆论中不绝于耳，使得个人信息侵害成为一个普遍性的严重社会问题，近年来的泄漏事件，危害范围之广，程度之深，令人触目惊心，而且存在愈演愈烈的发展趋势。

（二）自我保护意识缺乏、维权能力动力不足

与个人信息泄露和侵害范围和危害程度恰成反比的，是普通民众的自我保护认知、维权意识和维权能力都严重偏低，对于自身个人信息的泄露途径、方式等缺乏基本知识，在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵害时，对维权行为意识淡薄，动力不足，能力低下。其中维权渠道缺乏、成本过高、难度过大、收益过小构成主要原因。因此，一方面应当针对普通民众进行大规模的个人信息保护观念、知识宣传，帮助其提高自我保护意识和能力，从源头上对个人信息泄露进行防范；另一方面，对个人信息侵害问题的治理，很难主要依靠受侵害者通过个人维权的途径得到妥善解决，而应当进行更加行之有效的制度和规则建设。

（三）采取统一立法模式、系统确立原则规则

通过对于我国目前立法现状和司法实践的考察，目前的法律框架和司法打击力度都存在改善的空间。从立法模式来看，针对个人信息保护存在诸多法律规定，但基本都分散在效力层次不一的各种法律法规乃至规范性文件。本报告认为，应尽快通过一部统一的个人信息保护法规，对相应法律进行系统化梳理和整合，这无论是从立法资源的节省、立法技术的提高、规则体系的优化，还是向民众普及个人信息法律保护的常识和意识来看，都存在必要性和合理性。

（四）加大司法惩处力度、重点打击黑色产业

针对个人信息侵害的司法打击尽管已经投入大量资源，但是现有的司法投入仍然不能对个人信息侵害造成足够的威慑，尤其是专门规定个人信息侵害行为的刑法条文量刑偏轻，而单纯针对局部环节的个人信息侵害行为进行处罚，仅能治标而无法触及根本。从源头堵截个人信息泄露的行动已有展开，但尚存不足，对于打着“大数据”之名而行非法数据利用之实的个人信息黑色产业链，缺乏全面有效的打击和惩处措施。从民事诉讼来看，由于个人信息侵害在技术上存在高度复杂性，而且环节众多，被侵害人在实践中极少有可能举证证明侵害行为究竟在哪个环节发生，以及准确的侵害主体，因此通过侵权诉讼来主张权利难度极大。这也同样印证了第一个结论中维权困难导致受侵害人维权意愿低下的观点。

本报告建议，在刑事打击领域，一方面立法应当加重量刑，增加威慑力；另一方面，执法行为应当向打击整个产业链倾斜，从针对某些具体个人的个别获取行为，转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击，才能起到治标治本的效果。

（五）实现线上线下共治、促进合规产业发展

个人信息侵害与保护，作为一个影响宽泛的社会问题，法律上的治理和打击应当作为最后一道屏障，如果希望司法和行政机关来解决全部问题，并不现实。对于个人信息侵害的治理，更加根本的方法应当是采取防御性为主的模式，通过线上和线下各环节的规范来堵住个人信息泄露的源头，防患于未然。尽管互联网成为个人信息非法传播的主要途径之一，但是个人信息泄露的某些重要环节并不一定全部在互联网上完成。从问卷反馈和实践调研数据看，相当比例的个人信息采集源头是存在于现实生活中，比如刑法条文中规制的金融、电信、交通、教育、医疗等单位，以及线下物流快递等等渠道。因此，个人信息侵害问题的治理，并非单纯互联网问题，而是需要线上与线下各个环节共同治理。对于采集、存储、处理、使用个人信息的企业而言，应当首当其冲承担保护个人信息的社会责任，在规范自身个人信息使用行为的同时，也要尽可能向个人提供预防性、保护性技术措施，在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。

对于打着“大数据”旗号而行个人信息侵害之实的黑色产业链，应当不遗余力予以打击，但是与此同时，对于获得了合法经营资格、严格守法自律的数据处理企业，应当进行充分的肯定和鼓励，并使普通民众和消费者对此获得充分了解。不能因为存在违法的数据黑色产业链就对数据行业“谈虎色变”，应当建立完善的市场信息和信誉机制，为合法合规、严于自律的企业和机构确立正面声誉，解决信息不对称问题，将其与黑色产业链明确区隔开来，从而避免劣币驱逐良币的恶性竞争，促进数据产业的健康、良性、有序发展。

（六）确立行业通用标准、倡导最佳企业实践

个人信息侵害治理面临着技术上、操作上、制度上的众多难题，需要通过社会共同治理方能治标治本。在理想的社会共治体系中，起到核心作用的还应当是从事个人信息处理的行业实践。考虑到个人信息发生泄漏后的涉及面较广，产生的危害具有持续性等特点，除建立相应的内外部管理规范外，相应企业还应当不断强化技术安全防护能力，以最新的技术手段筑造保护个人信息的铜墙铁壁。与此同时，也建议具体的行业监管部门结合企业实践，尽快出台相应行业部门规章，细化规范信息采集、处理、及披露的具体标准，推动行业标准的形成，并鼓励形成并推广企业最佳实践模板。只有涉及到个人信息采集、存储、加工、使用等行为的企业真正洁身自好，严格自律，建设完整而细致的内部和外部管理规范，才能真正破除个人信息侵害乱象，净化个人信息保护空间。

本报告以征信行业为例，深入考察了征信行业保护个人信息的企业实践与典范，倡导建立“基础法律规范、行业通用标准、企业最佳实践”的治理架构，根据芝麻信用等征信机构形成的实践样本，建立个人信息分类保护、全面落实用户授权机制、严格规范内部管控流程、完善泄露危机应急预案，建议根据行业实践推动确立行业通用标准，并推广企业最佳实践。

本报告期望，通过市场机制、社会共治的模式，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段、法律手段在内的多种方式惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制，最终实现从根本上、源头上遏制个人信息侵害的治理目标。Ω

本报告由中国青年政治学院互联网法治研究中心执行主任刘晓春、封面智库首席研究员李萌执笔，在撰写过程中得到了中国青年政治学院副校长、互联网法治研究中心主任林维，上海金融与法律研究院执行院长傅蔚冈等专家协助，在此一并致谢。

《中国个人信息安全和隐私保护报告》

制作方简介

　　中国青年政治学院互联网法治研究中心(CIL)隶属于中国青年政治学院法学院，致力于互联网法律和政策相关的前沿问题和基础理论研究，研究团队涵盖互联网知识产权、平台责任、刑法、竞争法、行政法、电子证据等专业领域，通过课题研究、产业调研、系列沙龙、开放论坛等方式与互联网理论与实务界展开合作，为立法司法、政府决策、产业发展提供研究支撑，立足于为互联网领域搭建沟通交流的平台，促进产业界、理论界以及从事政策制定、执行、司法裁判的相关机构形成持续对话、良性互动和共同研究的长期机制。

　　封面智库是封面传媒成立的思想库。封面智库立足北京，是以“一带一路”和长江经济带战略发展为主题的综合研究平台，是新媒体时态下的创新经济研究、服务平台，集聚全球权威学者、政府官员的智库网络。封面智库依托封面新闻的舆论影响力和大数据资产积累，致力于通过封面系列论坛打造高端品牌和政商影响力，发布 “一带一路投资指数报告”、企业“走出去”舆情报告、“互联网+”及“工业4.0”行业报告等综合性年度报告，旗下拥有封面系列研究报告、封面系列论坛、“封面思享+”沙龙、“智库专访”、“封面大讲堂”等品牌产品。

注释：

[1]公安部官网，《人民日报：电信诈骗既要能打，也要能防》，2016年9月21日 http://www.mps.gov.cn/n2255079/n4876594/n5104076/n5104079/c5497482/content.html

[2]公安部官网，《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》，2016年7月20日http://www.mps.gov.cn/n2253534/n2253535/n2253537/c5429869/content.html

[3]《人民公安报》，2016年10月14日 http://www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519635/content.html

[4]《法制日报》2016年10月14日http://www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519874/content.html

[5]陈某某出卖其从业过程中掌握的公民信息构成出售公民个人信息罪案，案号：（2013）吴江刑初字第0670号。

[6]朱迎光等诉中国联合网络通信有限公司连云港分公司隐私权纠纷案，案号：(2014)连民终字第0006号；庞某诉趣拿公司、东方航空侵犯隐私权案，案号：（2015）海民初字第10634号。

来源：数据观

网络隐私担忧已经成为一个热点话题，如下图显示的，61%的网民表示担心企业如何使用自己的私人数据。

按人口统计属性划分各个群体和各地这种担忧都很严重，尤其是老年群体和拉丁美洲网民。

56%的网民还表示网络侵犯个人隐私，只有半数网民表示在上网时更喜欢匿名，还有少数网民会删除cookies，使用保护隐私的浏览器，以及广告拦截技术。但是，大部分人还没有采取任何行动，除非隐私担忧问题能够完全解决否则未来几年这种状况将会改变。

199IT.com原创编译自：GWI  非授权请勿转载

        根据2014年第三季度On Device Research为Mobile Entertainment Forum (MEF) 和AVG实施的调查，应用明确说明如何使用消费者数据比以往任何时候都重要。

        全球近三分之二的受访移动媒体用户表示了解移动应用收集或分享个人信息很重要，比例年增长14个百分点。而且，2014年认为透明度“极度”重要的受访者的比例也从2013年的42%增长至52%。

        在收集数据方面不诚实的应用可能会损失大量受众。2014年10月AYTM Market Research的调查显示，70.7%的美国移动设备用户表示如果发现应用未经允许上传或储存个人信息就会停止使用。

        超过三分之一的受访者还表示不会允许应用上传或储存个人数据，即使是出于实用理由；但是，近半数受访者表示如果应用能够首先为收集数据提供良好的解释也许会动摇。

        损失用户还不是唯一的问题，信誉也会有碍应用安装。MEF 和 AVG报道缺少信誉是阻碍应用下载和购买的首要原因，34%的移动媒体用户表示会这么做，相比之下2013年的比例是30%。近半数受访者（49%）表示因为缺少信誉减少下载应用数量，和去年比上升12个百分点。

        编译自：eMarketer 译者：孙莹

        大学生分享和拍下回到校园的生活，2014年7月Sumpto的调查发现，在大学校园Snapchat是最受欢迎的社交网络。

        研究发现70%的美国大学生（18到24岁）每天都用Snapchat发布瞬时照片；Twitter排在第二位，有46%的人使用；只有11%的人每天用Facebook发照片。有趣的是，分享永久照片在学生中并不普遍，只有10%的人每天用照片分享网络Instagram。

        为什么Snapchat和Facebook的差距这么大？也许美国大学生对社交网络的信任度能够给出答案。大部分受访者（35%）表示Snapchat作为社交网络对隐私保护的最好，而Facebook只赢得了20%的大学生的信任。同时，Facebook是大学生最不信任的社交网络：45%的大学生认为Facebook是对隐私保护最不利的平台，这方面Snapchat只有11%。

        但是，结果表明信任度也不总是最重要的。尽管日使用量很低，Instagram在社交媒体信任度中排在第二位，但是使用量很高的Twitter却在信任度上排在末尾。只有7%的受访者表示Instagram对隐私保护不利，Twitter在这方面则是30%。

        编译自：eMarketer 译者：孙莹

        严格意义上来说，智能手机用户不喜欢店内追踪。2014年4月PunchTab的研究发现只有27%的美国智能手机用户表示他们允许移动店内追踪以获得相关的实时信息和报价。相比之下，50%的人不开放移动追踪，24%的人觉得两种方式都无所谓。

        受访者不允许店内追踪主要是出于信息的担忧。最大的烦恼是隐私，有51%的人选择；同时，13%的人是出于信息冗余的担忧；还有12%的人不感兴趣是因为不信任；8%的人是担心收到不相关的信息。

        受访者最能接受零售商使用店内追踪的方式是和价格有关的信息，近九成人表示可以接受优惠券和特别优惠。智能手机用户也对感兴趣的商品售罄的提示信息有兴趣。便利和缩短付款时间也很重要。

        CFI Group在2014年4月研究发现价格有关的活动是在实体店使用移动消费应用最重要的原因，如果零售商能够消除隐私顾虑，他们就能得到提高移动店内追踪选择率的好机会。近一半的受访者使用店内应用来查询其他零售商价格，如果零售商知道何时、何地提供相关、实时信息和报价，就能解决这个问题。45%的受访者表示他们使用应用获得优惠券和打折信息，38%人访问应用来管理优惠券。

        编译自：eMarketer 译者：孙莹

 大数据的潜力是无穷的-可能带来好处也可能带来坏处。一份描述大数据的变革特质的白宫新报告深入地探究了与数据相关的隐私和安全主题。

 关键的关注点：大数据正在创造大量的隐私主题需要及时处理，宜早不宜晚。

 该报告的引文说到：”本报告一个显著的发现是大数据分析将个人信息用于供房、信贷、雇用、健康、教育和商场购物，有潜力使长期存在的公民权利保护黯然失色。美国人与数据的关系，她（他）们的机会和潜力将得以扩展而不是消减”。

 报告讨论了一系列有关隐私的主题，包括以下5个：

 1.”去识别化”并不总是有效

 机构常常采用隐私保护技术来去除与特定个人或设备数据的连接识别性。不幸的是，再识别技术又同样有效地把这些数据连接起来。

 报告提出：”综合性的多种数据可能导致某些分析师所说的”马赛克效应”，即个人可识别信息可以从甚至不包括个人识别码的数据集里衍生或推断出来，关注点在于描绘一个人的形象和她（他）们所喜欢的东西”。

 随着再识别匿名数据的技术日益强大，个人如何管理她（他）们的私人信息和身份，或者基于多种数据集信息做出决策，这逐渐变得扑朔迷离。

 2.”完美的个性化”可以有助于识别力

 报告说，不同类型非结构化数据的融合使得营销人员可以”在消费者提出要求之前就准确地把她（他）们想要的消息、产品或服务发送过去”。”可惜的是，完美的个性化也为定价、服务和机会方面精细的和不那么精细的识别力留下了空间。”

 3.”小”数据造成更大的隐私威胁

 不论对大数据潜在侵犯个人权利的言论多么汹涌，今天大多数最常见的隐私风险都与”小数据”有关，比如黑客以个人银行信息为目标实施金融诈骗。报告指出：”这些风险并不总是大量、快速或信息种类繁多的，也不隐含某种与大数据相关的复杂分析”。报告认为，小数据的保护已经由美国隐私法律、强有力的实施细则，以及全球隐私保护机制修正规范起来。即使这是事实，最近的2篇文章显示出在这个领域还有很大的改进空间。

 4.预测医学可能导致隐私混乱

 “预测医学”是一个前景远大的大数据应用，它深入挖掘病人的健康和基因信息，以预测她（他）们是否将得一种特殊的疾病，以及对具体治疗方法的接受程度。这儿数据滥用的潜力是巨大的。比如，通过”预测医学”收集来的健康信息也许就被运用于拥有类似基因的人们（比如病人的孩子们）的医疗决策中。

 报告提到：”目前覆盖信息并运用于健康的隐私框架体系并没有很好的适应处理这些新发展，或者对驱动新发展的研究起到促进作用”。

 5.相反地，隐私法律反而阻碍了某些重要的分析

 报告说：”大数据分析使得数据科学家可以积累大量的数据，包括非结构化数据，并且发现异常现象和模式”，”这个发现模型中一个关键的隐私挑战是，你不得不去大海里捞针。为了获得一定的洞察力，你就需要一定数量的数据。”

 因此难题就出来了：研究人员可以受益于获得更大量敏感的基因信息数据集，但是隐私法律却限制她（他）们获取这些数据。报告说，举个例子，布罗德研究所的一位基因研究者就未能探测与3500个精神分裂症基因数据集相关的基因变异，但却取得了35000个案例的”统计显著性”结果。

 来源：缔元信   编译：李慷

到目前为止还没有人使用可穿戴技术，根据Harris Interactive的研究——只有3%的美国网民——这个迹象没有明确指出，改进没有多大进展。

22%的男性和13%的女性表示，如果价格降到一个合理的区间，他们会考虑购买这样的设备，并且年轻的被访者也是这个想法，多数被访者表示他们不知道为什么要Goolge Glass或其他类似的设备。19%的人表示他们一点都不考虑购买。

这对仍然很模糊的可穿戴技术的感知利益并没有影响——特别是那些传统早期采用者群体之外的人。59%的男性被访者表示这种设备至少还是有一些好处的，大多数女性被访者觉得一点好处没有。对于中老年人也是如此：49岁以下的人更有可能看到一些好处——虽然很含糊——49岁及以上的人趋向于认为没有什么实用价值。总的来说，各占一半。

人们对于可穿戴技术设备最担心的问题是价格，隐私问题也是人们所关心的。Harris的调研发现28%的网民认为可穿戴技术能够让其他人更容易获得自己的个人信息——这是扩展不同年龄和性别群体的障碍。

其实威胁你的不仅仅是这些病毒，木马和蠕虫，还有很多黑客在网上寻找你身份ID的蛛丝马迹，这些信息可以用来盗取你的密码。这叫社会工程学（通常是利用大众的疏于防范的诡计,让受害者掉入陷阱.该技巧通常以交谈,欺骗,假冒或口语用字等方式,从合法用户中套取敏感的信息）。Trend Micro的Carol Carpenter表示黑客会使用像Facebook这样的社交网站来从你的页面上获取个人信息。你的娘家姓，你宠物的名称都可能让黑客们获取到重要的信息，比如银行帐号

Trend Micro科技看准了社会化媒体带来的安全漏洞和商机，于是将社交网络的防护功能加在反病毒软件中，通过对社交网站和邮件进行防护，会提醒你来自朋友的链接的不安全性，而且也会检测你的社交隐私设置，从而提醒你避免将隐私信息泄露给不必要的人。

根据Trend Micro对1000位电脑用户调研，20%的用户有过点击链接后自动发送不需要的内容到他们页面上的经历；将近一半的人不怎么修改他们的隐私设置，调研还发现60%的用户分享的信息，比如出生日期，家乡和宠物的名字等都可能引发ID被盗。

超过一半的用户认为位置服务隐私和带来的好处基本对等，但超过1/5的受访者则认为风险高过收益，这是一个品牌需要关注的顾虑，尤其是当他们打算推出移动电子商务和地理位置服务的时候。

另外，几乎1/4的受访者称他们最大的担忧是他们的信息被用作营销目的，同样比例的用户认为让陌生人知道太多的信息让他们担忧，另外21%的用户担忧个人安全，12%担心政府了解太多他们的信息。

但这些担忧并没有阻止用户对位置服务的使用，大约1/3的受访者称他们在过去1年增加了对这些服务的使用，另外1/3的用户使用该类服务的比例未变，只有10%减少了对该类服务的使用。

隐私担忧，如果睁一只眼闭一只眼，可能会潜在影响位置服务应用的可持续发展。Yankee group2012年4月份估计基于位置服务的应用市场规模2012年将达到9亿美元，并在2016年达到17亿美元。

Usamp调查了600位一周内使用几次社交网络的英国用户，发现28.2%的男性和女性受访者表示他们多少或非常对社交网站的隐私保护不放心。另外4.2%的人说他们不确定。从男女，年龄的比较来看，男性对隐私保护更加放心，除了50岁以上的男性，而该年龄段的女性却是相对比较放心。

研究还发现67.2%的用户改变过他们的默认设置来决定谁来访问他们的内容，21.9%的用户则使用社交网络的默认设置。

比较男女的差异发现，女性不喜欢分享她们的联系信息，只有4.5%的人表示她们会分享她们的住址信息，20.1%会分享一般的地理位置信息，4.1%分享她们的手机号码。而男性，则分别为11.1%，35.3%和15.1%。

男人也更愿意分享他们的政治倾向，达57.1%，而女性为50.2%。而分享个人照片时，60.7%的男性对50.9%的女性。

另外不同年龄段也不同，在18-24岁的女性中，85.7%愿意分享他们的种族或人群，而25-34岁则高达80.3%，35-49为70.8%，50岁以上为63.5%。

随着社交网络的隐私问题逐渐走热，营销业者和社交网络都希望利用更多的信息来更好的实现定向广告，但用户有权利决定自己分享什么，通过用户乐意分享的内容，如品牌或购物行为，营销业者仍然可以在不侵犯用户隐私的情况下定向受众。

但这也并不是说用户反对一切的数据收集行为。根据2010年欧洲委员会的调查，74%年龄在15以上的的欧盟用户认为个人信息的公开正变成现实生活的一部分，58%的人认同在获取一些产品或服务和个人隐私保护之间鱼与熊掌很难兼顾。29%的人说他们不在乎为了获取免费的线上服务如电子邮件而披露一些个人信息。

同时极少欧洲人认可Facebook创世人马克的力量，隐私不再是重点。在英国，2/3年龄在16岁以上的人说线上个人信息需要得到更多的保护，只有12%的人认为目前的网络用户隐私保护足够了。

在UK的社交网络用户中，担忧当今普遍，90%的受访者对公司收集他们社交网站信息的能力比较或非常担忧。

一般而言，互联网用户希望对隐私拥有更大的掌控权。来自BITKOM和forsa INstitute的调查发现，大部分14-69的德国用户称他们希望能够控制在网上的多方面的隐私设置。

来自 Posterous conducted by Harris Interactive的研究发现，多数美国社交网络用户认为家庭和个人照片适合私有分享，而状态更新以及朋友的照片则不需要那么私密。

不同社交网站的用户对隐私方面的关注略有差异。Facebook的用户比较不关注隐私问题，而谷歌+用户则比较关注这方面的问题。这可能和谷歌+新推出有关，用户仍在探索怎样使用，而且Google+号称能解决信息分享的公有和私密性的问题。

来自2011年10月 USA Today and Gallup Poll的研究也支持了这个结论，对网站的熟悉和使用程度会影响用户对隐私的感知。例如，39%的使用该社交网络少于每周一次的美国Facebook用户非常关注隐私问题，而每天都登陆使用的则只有26%。

一个可能性是对隐私的更多担忧引发了对网站较少的使用，或者对网站较高的使用导致了更熟悉和更习惯。

但我们不应该将对隐私问题淡定理解称理解隐私控制。Posterous发现32%的Facebook用户认为他们完全了解这些隐私控制。

显然，这里还有很大的改进空间，来自National Security Cyber Alliance (NSCA) and McAfee 发现21%的美国互联网用户表示不确定他们上次社交网络隐私设置修改的时间或是承认从来没有设置过隐私选项；相比之下，44%的人表示他们在上个月或上周更新过他们的隐私设置。

NCSA and McAfee 也发现46%的用户表示他们因安全的顾虑而改变了他们的社交网络使用，而同时也有50%的用户从来没有这样。