2018年8月28日，“5亿条个人信息疑似泄密”事件引起全社会的轩然大波。泄密范围包括全球知名酒店集团——华住集团旗下的汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等酒店，泄密内容涉及住客姓名、手机号、邮箱、身份证号、登录账号密码、开房记录等敏感信息，泄密对象涉及高达1.3亿国内外用户。有人在境外将所有数据打包售卖8个比特币，约合人民币37万元。据悉，这起近五年“国内最大最严重的个人信息泄露事件”，是由于技术人员对代码不经任何处理就上传到公共代码库所致。（《长江商报》2018年8月30日版）

面对如此令人不齿的行径，我们顺着事件背后的经济原因找出隐藏在事件背后的隐私陷阱。在强调信息共享与流通的大数据时代，信息资料越来越值钱。商家掌控的用户信息资料越多，未来做出广告营销、交易决策就会更精准、更有效率。因此，商家都倾向于收集和储存用户的所有信息资料，哪怕使用目的不明，商家也乐意提前储存信息资料以备未来之需。不过，这种做法虽然给商家、网络使用者带来收益，却让消费者陷入隐私保障的巨大陷阱。个人信息资料本身脱离本人的掌握，随时可能被他人取用、甚至是恣意流动。很多原本看似微小、无足轻重的信息资料，人们在毫无防备的情况下和商家共享，结果却在大数据技术下经过分析、拼凑，成为完整且触及个人高度私密的信息，并且被商家和其他人全面掌握。

商家最要命也是最精明的地方就是，“征得当事人本人同意才能收集”的做法完全走样。由于私人信息归属于公民本人所有，因而商家基于商业用途的信息收集依法应得到当事人的本人同意。由于大数据时代下的信息的潜在价值不可限量，商家无法在用途不明的情况下事先征得当事人同意。实践中，商家使用信息的范围大多超出其标榜收集的目的之外，例如打着交易注册的名义征得当事人同意，然后将私人信息进行二次开发和分析，并将其作为商品转卖他人用于营销。现行法律有关“未经本人同意不得收集和使用”的规制效果可谓荡然无存。

很多商家只关心数据的分享与流通，而没有动力、更没有意识加强对个人资料的尊重和保障。美国脸书（Facebook）泄密事件的始作俑者，扎克伯格甚至喊出在大数据时代“隐私已死”的口号。客户资料信息的日常安全检查，谁来强化？技术人员的信息安全意识，谁去培训？这些原本需要大量投入的商业成本，都被有意无意地省略。很多商家都把个人信息资料保护的成本甩锅给社会，把利润提升到极致。有的不惜拒绝监管支出甚至是故意躲避国家监管，省出来的监管支出都成为企业利润，以社会公共利益为代价谋取产业不当利益，致不特定多数人于危险境地。黑客盗卖和转售就是这种隐私陷阱恶性发展的必然结果，原本被寄望于肩负保障客户数据“主体责任”的一些商家、网络服务商却沦为损害公民隐私的障碍。

这起事件暴露出的商家对信息安全的淡漠、黑客对他人数据权利的觊觎，不禁让人叹息。其实近年来很多商业机构、网络平台的信息泄露不断，用户的信息已经一再“被裸奔”。那么面对大数据时代的隐私陷阱，我们应当如何应对？

第一条路径是通过民法明确公民对其个人信息的数据权利。世界发展的趋势表明，数据资源已经成为一种财产，明晰产权是建立数据流通规则和秩序的前提条件，且大数据应用不能以牺牲个人数据权利为代价。科技的发展和社会的进步，终极目标是让社会更安全、人民更幸福。2018年生效的《欧盟数据保护一般条例》规定，数据权利包括透明、告知权、可获得权、修正权与被遗忘权、异议权与拒绝自动画像权、权利受限情况。“我的数据我做主”。公民有向商家、网络服务者说“不”的权利，牺牲隐私不能成为消费者接受商家服务的必然代价。

第二条路是商家、网络运营者收集、使用公民个人信息应该及时、充分地披露其收集使用的规则以及具体实施情况。消费者有权提前知晓个人资料任由他人恣意流通的风险，也理应拥有选择“宁可放弃信息分享，也要维护个人隐私”的自由。

第三条路径是，建立健全科学严密的政府信息安全监管机制，用疏而不漏的法治高压线来扭转大数据环境下的商业趋利冲动。例如，强制设立数据脱敏程序。只有当数据经过加工无法识别与其相对应的个体和企业时，才能向社会出售、分享和流通。又如，通过《网络安全法》要求商家对收集的用户信息必须严格保密，加大对“超越收集目的”、“未经当事人授权”等使用行为的处罚力度。

“5亿条个人信息疑似泄密”事件表明，大数据时代的隐私陷阱已经到了空前严重、非治不可的地步。以2018年《网络安全法》的出台为契机，我们期待有刮骨疗伤、猛药去疴决心的政府大力完善监管体系，为广大老百姓撑起个人隐私保障的擎天巨伞。（作者为华东理工大学法学院副教授）