一方面是大數據時代的“數據挖掘”對企業商業模式的重構，數據處理能力逐漸成為企業的核心競爭力，另一方面是伴隨數據獲取與積累所引發的大量數據被泄露的風險。

根據《中國經營報》記者對大量TMT產業的采訪，組建大數據部門，利用大數據，更好地服務客戶、發現新商業機會、擴大新市場以及提升效率正成為這些企業重要的戰略決策，甚至有人認為，數據經濟以后將會成為每個企業的DNA，“人們將會依據一家公司是否有效地運用數據，來定義這家公司是否成功。”

全國政協委員、蘇寧云商董事長張近東就告訴本報記者：“蘇寧目前組建了有5000名研發人員組成的大數據部門，數據挖掘未來將成為蘇寧的核心競爭力。”

不僅如此，全國人大代表，騰訊董事會主席兼首席執行官馬化騰也表示：“移動互聯可以用來更好地改善民生，不管是數據開放、云平臺、提供連接，都希望把很多信息孤島能夠接入到各自的生態體系，讓各自的生態體系里的用戶很方便地使用。”馬化騰同時還提出了大數據在公共交通以及醫療領域的有效運用的前景。

不過，也恰恰是由于對海量數據進行挖掘整合背后存在巨大的商業價值，這也讓用戶的個人數據安全開始出現巨大的隱憂，數據安全“黑洞”由此曝出，其引發的風險也正日益增加。

就在此前不久，北京朝陽法院審結了一起借助“靜默插件”潛入手機來非法獲取計算機信息系統數據、非法控制計算機信息系統的案件。根據披露的鑒定資料顯示，“靜默插件”能獲取用戶手機位置，讀寫用戶存儲卡等信息，偷偷上傳手機收發短信、通話信息、通訊錄等個人信息。案發時，警方從公司查獲非法獲取的手機通訊錄達近2000萬條。

事實上，不只是“靜默插件”，大量數據信息泄露敞口的存在，都在威脅著用戶的個人安全隱私。以至于全國人大代表、中國電信湖南公司總經理廖仁斌在2015年的兩會上呼吁，大數據時代的個人信息安全已經是一個戰略問題。他建議加快建設大數據時代個人信息安全保護體系。

新技術帶來新風險：信息泄露風險日益增大

顯然，“靜默插件”是伴隨智能手機的普及而開發出來的一種幕后獲得用戶數據的軟件。

根據案件披露出來的信息顯示，“靜默插件”主要是利用用戶購買水貨手機需要刷機重新安裝操作系統時在機主并不知情的情況下安裝的，獲取手機位置、手機網絡狀態、用戶手機運行的應用軟件列表。

之所以稱作“靜默插件”，是因為“裝了它，手機就會與我們的服務器自動聯系，自動下載并安裝服務器所推廣的軟件及廣告信息，整個過程手機用戶是不知情的，用戶也不知道插件安裝在手機中。”

根據案件當事人的供述，“靜默插件”也經歷一個升級換代的過程，其操作方是希望通過推廣軟件和廣告來獲得推廣費，但后來通過升級，插件擁有了向服務器上傳手機機主個人信息的功能。

北京通達首城司法鑒定所鑒定確認，“靜默插件”能更改用戶網絡狀態，刪除用戶手機內安裝的應用軟件，安裝其他應用軟件，訪問互聯網，強制關閉正在運行的應用軟件，喚醒用戶手機，讀寫用戶存儲卡等信息，上傳手機收發短信、通話信息、通訊錄以及GPS定位信息。

更可怕的是，使用這一靜默插件進行推廣或者獲取用戶數據的公司包括了大部分知名的互聯網公司。根據案件當事人的供述，“公司推廣軟件，與合作商都簽有協議，有些并不知道我們用靜默插件做推廣，有些知道，而有些則明確提出了這種要求。”

事實上，不只是“靜默插件”，早在2013年央視就曝光網易等通過郵箱cookie收集用戶隱私的案例。

cookie，被比喻為用戶的網絡身份證。是用戶登錄某一網站時，網站會將用戶的瀏覽記錄、IP地址、網卡號、用戶名、密碼等信息，存放到用戶電腦一個叫cookie的數據包中，當用戶下次登入該網站時，網站便可以利用cookie文件自動識別用戶，是一種方便用戶上網的技術。

但是，這種技術卻被第三方公司用來對用戶進行跟蹤分析，甚至包括用戶非常隱私的郵件內容。當時接受采訪的企業負責人就表示：“就像一個蜘蛛網一樣，不管你出現在什么地方，我都可以抓到你。我們目前能捕捉到互聯網上5.7億的cookie。”

值得注意的是，跟蹤用戶上網行為不僅僅發生在國內，美國谷歌公司就因此被美國聯邦貿易委員會判罰2250萬美元，同時被要求徹底停止追蹤用戶上網習慣的侵權行為。但在國內，雖然“靜默插件”以及網絡cookie的存在已經非常普遍，被警方查獲的還僅僅是冰山一角。

2013年，網上曝出一款名為查查開房網的軟件，該軟件集成了2000萬份開房記錄，人們可以在網上免費查看，當時這款軟件的新聞角度被做成了“查查開房網是幫你了解對方是否出軌的利器”等等，但是更重要的問題也就是用戶個人隱私的問題并沒有被拋出來，而這，恰恰是數據安全黑洞的一個重要表現。

除了有意為之的情況之外，掌握大數據的行業或部門同時還面臨著信息在無意中被泄露的風險，比如最近網絡傳出的海康威視（Hikvision）的安全門事件，令數萬監控設備存在風險。

2014年11月19日，海康威視監控設備被曝嚴重漏洞，導致攻擊者可以通過弱口令進入后臺對設備進行查看或者配置。而眾所周知，監控設備的后臺往往包含大量的個人或企業隱私數據，數據泄露的風險可想而知。

目前，設備漏洞，以及網絡安全漏洞的存在正成為個人信息安全的一個重威脅。根據補天漏洞響應平臺上收錄的數據顯示，目前該平臺已知漏洞就可導致23.6億條隱私信息泄漏，包括個人隱私信息、賬號密碼、銀行卡信息、商業機密信息等。導致大量數據泄露的最主要來源是：互聯網網站、游戲以及錄入了大量身份信息的政府系統。公開信息顯示，2011年至今，已有11.27億用戶隱私信息被泄漏。

互聯網安全公司奇虎360公布的另外一組數據更加值得警惕。據測算，目前超過37%的國內網站存在漏洞，利用網站漏洞的攻擊以近5倍速增長，網站信息泄漏的風險越來越大。

2014年前11個月，360網站安全檢測平臺共掃描各類網站164.2萬個，較2013年的91.2萬個增加了80.0%。其中，存在安全漏洞的網站為61.7萬個，占掃描網站總數的37.6%。其中，存在高危安全漏洞的網站共有27.9萬個，占掃描網站總數的17.0%。2014年全年，360網站衛士共攔截各類網站漏洞攻擊7.0億次，較2013年1.21億次，增長了約4.8倍。

著名電商專家，北京泛洋律師事務所主任合伙人劉春泉也表示，“不僅是網絡安全設備本身的漏洞問題，企業在整個數據應用和管理的過程中都應該保持合理的注意義務，這包括企業的管理制度，以及如何防范個別員工對信息的泄露。”

毫無疑問，數據安全問題應該成為個人、企業以及全社會關注的重要問題。全球最大的風險代理機構達信在2015年世界經濟論壇上發布的《2015年全球風險報告》中曾表示，“從合成生物技術到人工智能，新興技術創新步伐的加快，也會帶來深遠的社會、經濟與道德影響。建立能充分適應新技術發展的監管環境，確保技術能快速發展并惠及民眾，避免技術濫用可導致的意外后果，這些都是領導者面臨的重要挑戰。”

達信(Marsh)專業咨詢全球總裁John Drzik更是指出：“我們必須預測由新興技術產生的問題，建立防御和治理體系，避免那些可被避免的災難。”

大數據時代的信息安全：立法箭在弦上

在很多人看來，大數據像一把雙刃劍，在給人們生活帶來便利的同時，也帶來對個人隱私的威脅。

在互聯網非常發達同時對個人隱私亦非常關注的美國，這一對矛盾早就暴露出來。專欄作家涂子沛在其《大數據：正在到來的數據革命》一書中就提到：1977年，美國隱私研究委員會研究指出，“我們有很多小的、獨立的信息記錄系統。這些系統，就單個而言，它們可能無關痛癢，甚至是很有用的、完全合理的。但一旦把它們通過自動化的技術整合連接起來，它們就會漸漸蠶食我們的個人自由。這才是真正的危險。”

一些美國教授也表示：“個人信息在不同時段分散零碎地在互聯網上的出現對一個人的隱私并不會形成怎樣的威脅，但是一旦把這些信息整合起來進行分析，這個人的一切就完全無法遁形。” 這也恰恰是美國中央數據銀行系統一直遲遲難以推進的一個重要原因。

但在中國，由于長期以來對個人隱私的淡漠，很多問題雖然早就暴露出來，但并沒有被提上隱私安全的高度。

劉春泉就告訴記者，“在目前企業信息保護方面，除了從商業秘密角度進行的保護之外，基本上處于立法空白。但是，伴隨互聯網時代企業對大數據的日益重視，海量數據被積累并被挖掘，企業信息的保護立法有待提上日程。因為這些企業信息里面集成了大量的個人用戶的信息，企業信息與個人信息的邊界已經日漸模糊，并存在大量交叉。”

事實上，劉春泉所說的立法空白，很重要的一個表現就是對企業服務器設置的要求，目前我國對企業服務器的放置地點并沒有什么特別的要求，而在俄羅斯以及其他一些國家，都會要求企業必須將服務器放在本國，因為這與數據安全密切相關。前面提到的“靜默插件”的案件，其服務器就是放置在了國外。

不過，劉春泉也表示，這與社會大環境有關，“在過去，人們覺得數據或者信息并不值錢，但現在，至少有一撥專家與我有一樣的見解，那就是數據就是財產，就是資產。”

顯然，這個社會大環境正在發生變化，一些領先者開始意識到數據安全與個人隱私的問題。

2014年，全國人大財經委啟動了《電子商務法》的立法工作，隨后將立法的調研課題分派給了國家工信部和地方上的上海市人大財經委，上海市人大財經委目前已經進行過一波討論，并出具了一份課題報告，而這份報告的主要執筆者就是劉春泉。

在這份報告中，劉春泉提出了“企業對信息安全應該有合理的注意義務”。

的確，“在信息時代，計算機內的每一個數據、每一片字節，都是構成一個人隱私的血肉。信息加總和數據整合，對隱私的穿透力不僅僅是‘1+1=2’的，很多時候，是大于2的。”一旦企業通過數據挖掘獲得用戶個人的大量信息，這些信息的安全性就顯得極為重要。

劉春泉表示：“最新的《消費者權益保護法》引入了對消費者的安全保障義務，而信息安全應該也是安全保障義務的應有之一。因此，消費者的信息安全一方面可以通過專門的立法進行規定，另一方面也可以對司法解釋或相關判例對其進行明示。”

同時，劉春泉也告訴記者，“網上商業信息的保護不能僅僅依靠技術，一些企業認為通過購買一些安全軟件來實現信息安全，這并不完整，企業還需要引入相關專業的法律人員進行制度上的建構，比如進行信息的安全授權等等。”

不僅如此，責任過低也是數據安全存在黑洞的重要原因，基于此，劉春泉等在有關電商立法的課題報告中提出了“遞進式懲罰賠償”的原則，“我們的立法理念一直比較限制懲罰性賠償，但對于侵犯隱私權的問題來說，卻可以出現屢禁不止的問題，因此遞進式懲罰賠償有助于制止這種屢犯的行為。”

無獨有偶，廖仁斌在兩會期間也提出了加快建設大數據時代個人信息安全保護體系的建議，廖仁斌特別指出，“對海量的信息進行分析利用后，往往有大量的碎片化個人信息數據被隨意丟棄，從而造成安全隱患，如被其他企業甚至不法分子進行廣泛收集和合成分析后變成其所用的高價值數據。”

在廖仁斌看來，造成對個人信息隨意泄露的一個重要原因，就是缺乏權威和體系化的法律規制、缺少統一監管和行業自律以及薄弱的大數據安全技術體系。

由此，廖仁斌建議：加快國家對大數據時代個人信息安全的統一立法工作，規范政府、企業、個人等大數據產業鏈參與者的行為準則；在國家層面建立統一的監管體系。而來自兩會的信息也顯示，網絡安全法已經列入相關立法計劃。