第三节 解决隐私悖论的新路径

一 原路径的失效

2018年6月曝光的Facebook数据泄露门已经在世界范围内掀起狂风巨浪，却不是同时期规模最大的个人数据泄露事件。仅在2018年上半年，大规模的数据泄露事件就多达十余个。例如，2018年1月，美国论坛报业集团（Tribune News Service）记者为WhatsApp上匿名卖家提供的一项出售登录凭证服务支付了500卢比。通过这项服务，记者可以检索到印度身份识别管理局（UIDAI）存储的诸多类型的公民个人数据，包括姓名、住址、照片、电话号码和电子邮箱地址等。经检验，在向卖家额外支付300卢比的费用后，任何人都可以通过该平台打印某个身份识别号码归属者的身份证。据报道，这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。[59]

2018年3月，黑客未经授权访问用于跟踪用户饮食和锻炼情况的平台MyFitnessPal。美国全国广播公司财经频道（CNBC）报道称，黑客分子获取了用户的用户名、电子邮件地址和密码，但没有暴露用户的付款信息，因为平台对这些敏感数据进行了分别处理。同时，它也没有损害社会安全号码或驾驶执照号码，因为服装制造商表示不会收集此类数据。报道还称，超过1.5亿MyFitnessPal用户的个人数据在此次数据泄露事件中受到了损害。[60]

2018年6月，总部位于佛罗里达州的市场营销和数据聚合公司Exactis将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息，其中包括数亿个美国人和数亿家企业的详细信息。Exactis未能确定受此影响的人数，但安全研究员Vinny Troia表示他能够找到近3.4亿条个人记录。Troia还向Wired证实，此事件暴露了消费者的电子邮箱地址、家庭住址、电话号码以及其他个人信息，在某些情况下包括极其敏感的细节，如孩子的个人信息。[61]

除了以上事件，2018年上半年还爆发了不少大规模数据泄露事件，详见表1.6。

表1.6 2018年上半年爆发的大规模数据泄露事件（不完全统计）

续表

由此可见，Facebook数据泄露事件并非孤立存在的案例，只是冰山一角。随着大数据和人工智能等技术的飞速发展，即便是在史上最严个人数据保护法《通用数据保护条例》的制定方欧盟，个人数据的保护也显得力有未逮。国内尚未制定综合性的个人数据保护法律，分散法规治理下的隐私保护、数据产业及市场更显混乱。例如，据《北京青年报》报道，2018年8月29日，华住酒店集团1.3亿条客户身份信息、2.4亿条开房记录等共5亿条信息（包括姓名、身份证号、手机号、银行卡号等）被标价8比特币或520门罗币（约等于37万人民币）出售。该消息迅速在各大网站和社交媒体引发舆情，此次数据泄露被称为近五年国内最大、最严重的个人信息泄露事件。[62]国内外接连曝光的数据泄露案例和不断刷新的数据泄露纪录，预示着现有数据保护法律框架的全面失效，要解决该问题亟待转向新的思路、寻求更加合理的路径。