大数据风控与权益保护的12条原则

日前，人民网·人民数据(国家大数据灾备中心)与中国经济体制改革研究会互联网与新经济专业委员会研究数据安全与个人隐私保护典型案例，提出大数据风控与权益保护的12条原则。

(一)合法原则

即对个人数据收集、储存、加工、运输、使用等一系操作时，均要求符合法律法规及行为规范，自觉维护数据主体的合法权益。

我国《数据安全法》与《个人信息保护法》即将立法，目前对于个人数据保护的法规散落在《宪法》《民法典》《刑法》《互联网信息服务管理办法》《儿童个人信息网络保护规定》《关于加强网络信息保护的决定》《App违法违规收集使用个人信息行为认定方法》等法律法规中。在疫情推动下，我国将真正进入大数据时代，数据的运用在质和量上都会有一个飞跃，个人数据保护也会面临更多新的难题与挑战。但万变不离其宗，大数据的运用首先必须符合合法原则，这是大数据运用的最根本原则。另外，当前一些互联网企业开展全球业务时，也应注意全球数据安全的法律遵从性。

此次疫情防控，依据传染病防治法、《突发公共卫生事件应急条例》、国家及各地制定的防控预案、应急预案，在相关条款的授权下，各级政府部门及授权机构、平台可以依法收集个人相关数据。此外，为保护公民个人信息安全，国家有关部门出台多项措施，如中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》、民政部办公厅等四部门联合印发《新冠肺炎疫情社区防控工作信息化建设和应用指引》等，为规范信息收集、保管与使用，防范信息泄露提供了安全保障。随着中国社会对数据治理的高度重视和工作推进，会有更多的大数据方面的法律法规和行政规章出台，需要社会各界特别是商业平台方遵守。(舆情分析师 廖灿亮)

(二)最小范围原则

对个人数据的获取与处理应以满足业务所需的最小数据为底线，不得收集其他非必须的个人信息。在国家标准《个人信息安全规范》当中，对最小化原则进行了更为严厉的解释，规定收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，而如果没有这些收集的个人信息，“产品或服务的功能无法实现”。这可以被视为是测试最小化收集的“必要性”，或者说“最小化要求”。

业界人士曾表示对用户数据搜集应遵循“最小原则”,不需要的用户数据，企业不应该索取，把握好用户数据利用和保护之间的“度”。如何用数据最小化保护个人信息数据安全的最大化是成为企业在实际工作中值得去思考和实践的重要问题。(人民网舆情数据中心主任数据分析师 侯鑫淼)

(三)授权原则

一是授权采集。即平台管理方在获得数据提供方许可的条件下，通过规定方式将数据的使用权授予数据使用方。如果数据主体不同意的，不得对该个人数据进行任何使用或处理。任何超出原有授权范围的，均需再次告知用户。间接获取个人信息时，也必须对个人信息来源的合法性进行认证。

专家指出，大数据时代出现数据拥有权、使用权和控制权的分离，数据经常脱离数据拥有者的控制范围而活跃着，这就对数据需求合规性和用户授权合规性提出新的要求。即使数据需求遵循最小级原则，对数据的提供未超出合理范围，用户授权仍是数据服务的前提。国内外普遍要求，针对未成年人的数据采集，必须先获得监护人的事先授权同意。

二是授权存储。即存储数据前告知并获准同意，告知个人信息主体存储数据的目的和用途，不得强迫、误导个人信息主体同意其收集个人信息。数据存储方要基于“存储前防御、存储中控制、存储后可追溯”的防护理念，在获准存储数据后要采取积极的措施保护数据不受侵害，不被篡改，保护个人的隐私。

随着数据成为重要资产，数据价值不断提升，数据存储的重要性也必将进一步彰显。特别是新冠肺炎疫情加速了许多行业数字化转型，线上业务的普及带来了数据资料的快速增长。这种新形势下，要坚持数据授权存储原则，一方面要基于个人信息主体知情并同意存储的前提下，保障数据存储安全，防止数据窃取、数据滥用、数据误用。另一方面，正所谓沉睡的数据不会带来很多价值，只有把授权存储的数据，在授权的范围内服务社会治理、公众利益和个人需求，才能激发存储数据资源要素的潜力，推动数据要素市场繁荣发展。(中国经济体制改革研究会科研部负责人/互联网与新经济专委会副主任 南储鑫 人民数据研究院智库中心主任 王玫)

(四)必要原则

所谓必要原则，即要求收集的个人信息类型或打开的可收集个人信息权限与现有业务功能、服务有关，不可收集与所提供服务无关的个人信息。必要原则最早可追溯到上世纪八十年代，早在1981年,欧洲理事会就规定个人数据应出于明确、具体及合法的目的而收集；1995年欧盟进一步对必要原则进行强调,最终成为2018年《一般数据保护条例》的六项处理原则之一。

大数据时代,必要原则面临着巨大的挑战，症结在于难以判断“究竟何为必要”,或者“究竟哪些个人信息与服务相关”。鉴于此,如果事前列出与特定服务直接相连的个人信息范围，通过划定清晰范围的方式或将有助于信息收集必要原则的遵循与监管。比如，全国信息安全标准化技术委员会依照这一思路制定了《移动互联网应用基本业务功能必要信息规范(V1.0)》,明确了地图导航、网络约车、即时通讯社交、网络支付等16种服务所需的个人信息类型。(人民网新媒体智库助理研究员 朱美娟)

(五)明示原则

所谓明示原则，即采集个人信息数据时必须明示收集的目的、方式和范围，确保公众知情权。此外，采集个人信息数据应有“用户可反馈任何与个人数据隐私相关问题的”渠道。通过该渠道，个人信息数据收集者应按照用户反馈，进行相关要求的处理，如删除、注销账户等。

此次疫情期间，在采集个人相关数据时，授权的互联网APP、小程序，如“国家政务服务平台”“北京健康宝”等，均会提示收集信息的目的和范围，并经被收集者同意、授权。

值得注意的是，明示一是要在醒目位置；二是内容必须合法，诸如一些APP在用户协议中提出用户数据“不可撤销、永久、可转授权和可再许可的权利”等“霸王条款”，且“不同意就不能使用”，将对公众安全带来众多难以预测的风险。(舆情分析师 廖灿亮)

(六)比例原则

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!