从原材料到资产——数据资产化的挑战与思考

数据资产化中的隐私保护

在数据资产化过程中，隐私保护成为关键问题。数据所有权和隐私权问题长期以来都是信息产业的核心问题。隐私可视为用户对信息流通程度和方式的控制权。传统隐私保护研究较关注访问控制及数据发布前去除个人信息，并防止多个数据源融合之后恢复所去除的个人信息。而随着大数据、移动采集设备和机器学习等技术发展，在数据收集阶段进行隐私保护，是面临的一个新问题。

由于数据对于构建高效模型越来越重要，数据收集中的隐私保护应处在一种权衡取舍状态。解决隐私保护问题，并不能将其孤立地看待，而是应该放在一个更大的框架中，即在用户的隐私权利和从用户数据中获得服务与资源之间进行权衡取舍，使之在当前情境达到最优。因此，需要建立一个能支持多方双赢的隐私保护机制：一方面保障用户隐私可控而促进数据交易和流通；另一方面促进数据驱动商业模式和生态健康发展。

数据收集作为开发创新及个性化、情境化应用的关键环节，从隐私角度来看，处在“法律灰色地带”。当前，大部分应用程序只标明了其市场价格，而对收集数据的范围和粒度并没有明确的协议。例如，一个导航软件应用系统可在用户不知情的情况下，在后台持续大量收集该用户数据。以移动应用为例，91% 的 IOS 应用程序和 83% 的 Android 应用程序存在至少一种泄露用户隐私的风险行为。Facebook、Apple、Twitter、Yelp、Path 等公司都曾因被指控发布侵犯隐私的移动应用程序而成为诉讼的焦点。

应用程序（特别是移动应用）往往将数据收集信息（如类型、数量）描述的暧昧不明，虽然数据收集通常会在最终用户协议中被提及（如在 Apple App Store 中），但用户通常并不会阅读这些冗长文档，而直接选择同意该条款。况且最终用户协议中的许可声明往往语焉不详，且具误导性，实际中却大量收集用户敏感数据。而且数据收集的隐私保护并不是一个有或无的问题，而是一个程度问题。尽管部分应用程序商店（如 Google Play Store）对应用程序访问用户数据提供了一定的控制机制，但对数据访问的粒度仍然缺乏支持，在 Google Play Store 中标明了应用需要访问的数据类型，对数据收集的数量和频率并不明确，而数据的数量常常是很关键的。

隐私保护与数据效用之间需要妥协和平衡，也要在技术方案上构建一种生态环境，在这种情况下，各国政府出台了一系列政策法规。例如，欧洲的数据保护政策 General Data Protection Regulation（GDPR），已于 2018 年 5 月开始实施。Determann讨论了 GDPR 与其他国家隐私保护规范的差异。Post分析了 Google 在欧盟（西班牙）收到隐私侵犯调查及此事件带来的深远影响，以及引起欧盟后续的法律环境变化。2017 年 6 月 1 日正式实施的《中华人民共和国网络安全法》，强调了中国境内网络运营者对所收集到的个人信息所应承担的保护责任和违规处罚措施。但专项个人信息保护法现尚在制订中。