数据保护应当鼓励企业先行

本篇文章1613字，读完约4分钟

据人民网报道，8月22日，蚂蚁金服发布了《隐私保护与数据安全白皮书》，强调了隐私安全的重要性，全面介绍了企业的做法，传达了“在隐私保护的道路上，只有起点，没有终点”的理念。企业很少发布安全白皮书。值得称赞的是，企业有勇气承担社会责任，积极参与数据保护。

近年来，随着互联网行业的发展，数据安全日益成为一个严重的社会问题。自2016年以来，国家警察已经截获了1475亿条泄露的公民个人信息，平均每人超过100条。在信息时代，个人信息的泄露是犯罪的源头，导致了大量的下游犯罪。2016年，徐玉玉被电信诈骗杀害，因为犯罪分子掌握了候选人的信息并实施了准确的诈骗；2018年8月，在珠海，一名犯罪嫌疑人通过他人获得受害人妻子和受害人的开房记录以及受害人工作地点的信息后，将受害人杀害。毫无疑问，数据安全关系到社会的长期稳定。

司法机关在事后积极打击的同时，也应该考虑如何提前建立防范机制，全面保护公民的个人信息。在网络社会中，数据无处不在。只有全社会采取行动，我们才能真正遏制目前大规模披露个人信息的局面。

在数据安全的联合防治中，企业处于核心地位。

一方面，在数字经济时代，企业是数据的聚集地。新的互联网企业，如英美烟草，掌握了大量的用户信息，而传统企业积累了大量的个人信息，如酒店开业记录、银行开业信息和电信通话记录。可以说，哪里有交易，哪里就有数据，哪里有数据，哪里就有个人信息泄露的风险。如果没有企业的认真参与，数据保护就是纸上谈兵。

另一方面，企业拥有尖端的数据保护技术。在人工智能时代，犯罪手段迅速升级。2017年9月，绍兴警方破获了首例利用人工智能技术侵犯公民个人信息的案件。犯罪分子利用人工智能技术识别图片验证码，然后窃取了10亿多组公民的个人信息。侵犯公民个人信息大多是非接触犯罪，传统的人群防控体系完全无效。在数据领域，获得技术的人赢得世界。企业拥有比司法机关更多的尖端技术，司法机关不仅可以利用大数据预测信息泄露的风险，还能够根据黑灰色生产的最新情况制定技术保护程序。

令人高兴的是，与传统企业的态度相比，互联网公司愿意以积极的态度保护个人信息。面对企业的主动性，政府应鼓励企业履行社会责任，并在指导政策时注意以下问题:

一是确立“用得其所，用得其所”的方针。在数据保护中，不能采用传统安全领域的隔离策略。禁止数据收集和使用当然可以防止个人信息泄露，但最大的危险是缺乏发展。数字经济极大地提高了社会效率。数据越多，信息流越快，大数据分析能力越高，通过数据分析可以发现的风险点就越多，开发新的保护产品的能力就越强，捕获侵犯个人信息的嫌疑人的速度就越快。因此，最好的保护政策是“合理使用和有效保护”，这在脱敏和隐私保护之间形成了良好的平衡。

第二是在数据保护方面防止搭便车。数据保护是全社会的一项长期整体战略。要消除木桶的缺点，必须没有当地的安全风险。如果大型互联网公司积极保护数据，但有些公司让数据泄露，仍会有大量个人信息泄露进而影响整个行业的现象，这实质上是让负责任的企业为无良企业买单。因此，在鼓励企业积极履行社会责任的同时，国家还应制定一系列强制性要求，包括数据保护官员和技术防范标准。

在信息时代，安全保护应该有一个新概念。在传统的安全领域，国家无所不能，但在互联网领域，国有企业很难拥有国际竞争优势。最好的技术和最大的数据由私营企业控制。谁来保护数据安全应该不是一个困难的选择。现代国家应该将社会力量引入数据保护，以“找到做正确事情的最佳人选”的管理理念为基础。具体来说，从概念上讲，建立数据安全是国家安全的概念，提高对个人信息的保护；在政策方面，鼓励企业履行其社会责任，并使那些拥有有效数据保护的企业受益；在措施上，我们应该扩大政府采购服务的范围，让企业的先进技术为国家服务。只有公私合作和社会共同治理才能在数据安全之战中实现发展与安全的双赢。

(高燕东是浙江大学光华法学院互联网法律研究中心主任)