個(gè)人信息泄密的損失分級估算方法

劉雅琦，張 揚(yáng)

（武漢大學(xué)a.信息管理學(xué)院;b.電氣工程學(xué)院,武漢 430072）

0 引言

中國第一大同學(xué)門戶網(wǎng)站“中國同學(xué)錄”上9000萬個(gè)人信息被買賣，包括電話號碼、手機(jī)號碼、家庭及工作地址、MSN、QQ等聯(lián)系方式，甚至可能有婚姻狀況、犯罪記錄、銀行借貸記錄、個(gè)人財(cái)產(chǎn)記錄等個(gè)人信息。而早在上世紀(jì)中后期，美國征信業(yè)（Credit Bureau Industry）利用數(shù)據(jù)庫技術(shù)和存儲裝置建起的信息系統(tǒng)，可以跟蹤大約8千萬個(gè)美國家庭有價(jià)值的信用和財(cái)務(wù)的信息。

國內(nèi)外為了防止用戶權(quán)益遭到損害，進(jìn)行了大量立法，如歐盟國家保護(hù)個(gè)人信息的法律《個(gè)人數(shù)據(jù)保護(hù)指令》[1]，美國的《隱私權(quán)法》[2]等，對個(gè)人信息的數(shù)據(jù)泄露的相關(guān)刑責(zé)都進(jìn)行了詳細(xì)區(qū)分。國內(nèi)這方面比較零散，根據(jù)《中華人民共和國憲法》[3]中的人格權(quán)保護(hù)條款，隱私權(quán)作為一種人格權(quán)在憲法層面上得到保護(hù)。

然而，由于中國并未正式出臺《個(gè)人信息保護(hù)法》或者《隱私權(quán)保護(hù)法》，個(gè)人信息泄露和個(gè)人信息侵權(quán)，難于計(jì)算其損失，更無法給出準(zhǔn)確的分級估算。這使得涉及個(gè)人信息案件的審理和索賠都無法可依，判罰和量刑尺度都較為模糊，因此需要一種定量的計(jì)算方法給予補(bǔ)充。本文提出的定量評估方法主要是針對法律責(zé)任帶來的損失（包括行政處罰責(zé)任、民事索賠責(zé)任、刑事責(zé)任）以及輿情損失等兩大部分。

個(gè)人信息對于個(gè)人而言本質(zhì)上是屬于需要保密，不愿意隨意公開的信息。我們認(rèn)為可以借鑒我國于2010年施行的《中華人民共和國保守國家秘密法》[4]的保密分級體系來區(qū)別對待不同的個(gè)人信息。國家秘密法的體系將國家秘密的密級分為“絕密”、“機(jī)密”、“秘密”三級?！敖^密”是最重要的國家秘密，泄露會使國家的安全和利益遭受特別嚴(yán)重的損害；“機(jī)密”是重要的國家秘密，泄露會使國家的安全和利益遭受嚴(yán)重的損害；“秘密”是一般的國家秘密，泄露會使國家的安全和利益遭受損害。因此個(gè)人信息的損害也可以參照這種分類方法進(jìn)行分級。這給侵犯個(gè)人隱私的行為從法律責(zé)任的評估上來說帶來了依據(jù)。

個(gè)人信息損失最重要的因素就是隱私被公開，被他人知曉和討論，這一方面體現(xiàn)為輿情損失。輿論給個(gè)人生活帶來的巨大影響，這在一些轟動(dòng)全球的個(gè)人信息泄密事件中得到充分體現(xiàn)，尤其是像“水門事件”這樣的丑聞。而該損失實(shí)際上難于計(jì)算。本文擬針對輿情傳播的特點(diǎn)，提出按照輿情產(chǎn)生、傳播、振蕩和衰減過程，并結(jié)合常用的衰減函數(shù)，分析該過程中的輿情損失；通過個(gè)人信息泄露損失的定量分析，給出某一事件的損失定量尺度，為今后的法律和經(jīng)濟(jì)相關(guān)問題提供一種客觀參考。

1 泄密問題的表示

本文的定量分析方法在數(shù)學(xué)上和經(jīng)濟(jì)學(xué)上屬于風(fēng)險(xiǎn)和損失評估算法，需要考慮的主要是發(fā)生概率，因此在描述一個(gè)人信息保密事件和泄密問題中，采用概率的方法。

1.1 泄密問題的時(shí)間描述

從直觀意義上說，概率是隨機(jī)事件發(fā)生的可能性的量度[5]。在統(tǒng)計(jì)學(xué)中，“隨機(jī)變量”一詞是眾所周知的，是人們所關(guān)心的變量。取隨機(jī)變量的樣本，對其進(jìn)行統(tǒng)計(jì)計(jì)算，以便知道如何預(yù)測個(gè)人信息的狀態(tài)。在本文研究中，主要的隨機(jī)變量是時(shí)間t，泄密前的時(shí)間或者稱為泄密時(shí)間。然后通過分析有關(guān)時(shí)間數(shù)據(jù)的性質(zhì)。這些信息用來預(yù)測個(gè)人信息造成的損失以及應(yīng)當(dāng)承擔(dān)的索賠損失等。

表1假設(shè)記錄了某10條個(gè)人信息的泄露前時(shí)間，也就是它們的失效前時(shí)間，或者用樣本的平均泄密時(shí)間(Aver-age Information Leakage Time,AILT)來描述。

表1 個(gè)人信息的失效前時(shí)間

則通過計(jì)算平均值，可得AILT=3248h。

1.2 泄密問題的泄密度

保密性是個(gè)人信息能夠得到有效保護(hù)的指標(biāo)。本文定義保密性為“個(gè)人信息在一定的技術(shù)和規(guī)范下，能夠不遭到泄露的概率”。這個(gè)定義包含如下4個(gè)基本要點(diǎn)：

（1）必須預(yù)先知道該技術(shù)和規(guī)范的預(yù)定功能；

（2）必須知道要怎樣操作才能完成該功能；

（3）必須確定達(dá)到良好狀態(tài)的標(biāo)準(zhǔn)，這是由于絕對不泄密是不可能發(fā)生的，因此需要一個(gè)判據(jù)來判斷這個(gè)標(biāo)準(zhǔn)；

（4）必須知道所有規(guī)則的技術(shù)規(guī)范細(xì)節(jié)。

在數(shù)學(xué)上，保密性能夠有一個(gè)嚴(yán)格的定義，也即“在0到t的時(shí)間范圍內(nèi)，設(shè)備正常工作的概率”，用隨機(jī)變量t來表示

圖1 保密函數(shù)的圖示

保密性等于時(shí)間大于T的概率。

考慮到一系列個(gè)人信息被保存到某數(shù)據(jù)庫系統(tǒng)中且該系統(tǒng)通過了安全測試，這就意味著，泄露該信息不是一個(gè)必然事件。在t=0時(shí)將其投入某數(shù)據(jù)庫中并長期保存。隨著時(shí)間的增加，能夠不泄密的內(nèi)容就會逐漸減少。因?yàn)閷?shí)際上所有的信息最終都會失效，這是個(gè)人信息的時(shí)效性所決定的。因此，當(dāng)時(shí)間趨近于無窮大時(shí)，保密的個(gè)人信息的概率就會趨近于0。因此，保密函數(shù)起始于概率值為1的點(diǎn)，而終止于概率為0的點(diǎn)。保密函數(shù)的圖像如圖1所示。

保密度是保密時(shí)間的函數(shù)。“個(gè)人信息的保密度是0.95”這種說法是沒有實(shí)際意義的，因?yàn)楦静恢罆r(shí)間間隔有多少?！霸诖鎯α?00個(gè)小時(shí)之后可靠度是0.98”才是有意義的說法。

對于保密法律損失的問題，更關(guān)心的是其反問題，即泄密度。泄密度是指個(gè)人信息被泄露的一個(gè)指標(biāo)。本文將其定義為“在0到t的時(shí)間間隔內(nèi)，個(gè)人信息泄密的概率?！币布幢硎緸?/p>

采用隨機(jī)變量t，泄密度等于失效時(shí)間小于或者等于工作時(shí)間的概率。由于任何個(gè)人信息都只有處于保密和泄密兩種狀態(tài)的一種，因此F(t)是R(t)的補(bǔ)，也即

F(t)是一個(gè)累積分布函數(shù)，它起始于0而終止于1。

在數(shù)據(jù)庫系統(tǒng)運(yùn)行中的任何一段時(shí)間里，發(fā)生泄密的概率能夠通過概率密度函數(shù)所給出，通過統(tǒng)計(jì)學(xué)，能夠知道

這可以解釋為：泄密時(shí)間t發(fā)生在工作時(shí)間T和下一個(gè)工作時(shí)間的時(shí)間間隔，也即T+ΔT之間的概率。進(jìn)一步寫出表達(dá)式為

1.3 以負(fù)指數(shù)函數(shù)表示的泄密度

在保密與泄密問題上，一個(gè)很有用的概率密度是負(fù)指數(shù)分布概率密度[6]，這個(gè)密度定義為

換言之，如果個(gè)人信息具有指數(shù)衰減的泄密規(guī)律，那么他們的泄密率就是常數(shù)，常數(shù)泄密率能夠基本反應(yīng)一定規(guī)范下的個(gè)人信息的保存特性，也即泄密具有衰減性。然而，在大多數(shù)情況下，常數(shù)泄密率代表了最壞的情況，因而仍然能夠被使用。

1.4 以負(fù)指數(shù)函數(shù)表示的AILT

個(gè)人信息的AILT可以由其公式推出

例如，如果某一數(shù)據(jù)庫系統(tǒng)的個(gè)人信息的泄密率為150FIT（1FIT=1×10-9h-1），當(dāng)其被存儲1000h的時(shí)候，其保密度 R(1000)=e-0.00000015×1000=e-0.00015=0.99985 ，則

2 泄密損失的法律責(zé)任帶來的損失分級計(jì)算

2.1 泄密損失的法律責(zé)任分級

在考慮法律損失問題時(shí)，還需要注意的一個(gè)問題是，不同個(gè)人信息的損失是不同的，這是嚴(yán)重依賴于分級的，若表1中的個(gè)人信息泄密時(shí)間與泄密嚴(yán)重度有關(guān)，則可列出表2。

表2 個(gè)人信息的失效時(shí)間與密級

本小節(jié)的分級采用一般、秘密、機(jī)密、絕密四個(gè)等級，該四個(gè)等級造成的損失程度不相同，這在數(shù)據(jù)庫系統(tǒng)的個(gè)人信息存儲中實(shí)際上是存在的。如個(gè)人的姓名和性別屬于一般等級，個(gè)人的婚姻狀況是秘密等級，個(gè)人的身份信息等屬于機(jī)密等級，個(gè)人身份銀行賬號和密碼等屬于絕密等級，不同的泄密產(chǎn)生的后果差別較大本小節(jié)的保密分級與引言中提到的《中華人民共和國保守國家秘密法》是一致的。

“秘密”是一般的個(gè)人信息秘密，泄露會造成公民的利益遭到損害。這種情況下，一般認(rèn)為，泄露秘密會受到行政投訴和舉報(bào)，但是較難于進(jìn)行公民索賠訴訟，但是會遭到行政警告和處罰。“機(jī)密”是重要的個(gè)人信息，泄露會使得公民權(quán)利和利益遭到嚴(yán)重?fù)p失。在此種情況下，泄露秘密會受到行政問責(zé)和行政處罰，并伴隨公民的民事索賠訴訟。“絕密”是最重要的個(gè)人信息，泄露會使得公民的基本權(quán)利和利益遭到最嚴(yán)重?fù)p失。在這種情況下，泄露秘密不僅會受到行政問責(zé)和行政處罰，也會受到公民的刑事伴隨民事索賠訴訟。

2.2 法律責(zé)任帶來的損失計(jì)算公式

將上述問題進(jìn)行定量分析，需要列出表格如表3。

表3 個(gè)人信息密級與損失

在表3中，C是賠償金（Compensation）的縮寫，a為行政處罰（Administration Penalty）的縮寫，c為民事訴訟（Civil Action）的縮寫，r為刑事處罰（cRiminal Penalty）的縮寫。實(shí)際上，個(gè)人信息的綜合法律損失是由這些部分構(gòu)成的。

如前述理論，假設(shè)個(gè)人信息每條的泄密率或者AILT可以通過衰減估算得到，例如泄密率已知，分別為λ1、λ2、λ3、λ4代表了從一般、秘密、機(jī)密到絕密的泄密率。則可以計(jì)算出，從0到T時(shí)刻的法律損失總量期望值為

式(13)是法律損失的計(jì)算公式，也是評價(jià)個(gè)人信息法律責(zé)任的計(jì)算公式。

3 輿情造成的損失評估

3.1 輿情的生命周期及其特征：

輿情是由輿情因變事項(xiàng)而引發(fā)的民眾社會政治態(tài)度[7]。輿情具有正當(dāng)性。輿情民意在國內(nèi)當(dāng)前發(fā)揮了許多正面作用，對于追求社會公平、公正和公義發(fā)揮了巨大作用，對法律本身的不足進(jìn)行了補(bǔ)充，維護(hù)了公民的基本人權(quán)。輿情的傳播是難于定量分析的，其造成的損失目前也無成熟的方法。結(jié)合當(dāng)前信息化條件下的網(wǎng)絡(luò)環(huán)境，輿情在其生命周期可以歸結(jié)為：開始、擴(kuò)散、振蕩和衰減，如下圖2所示。

在輿情生命周期的開始具有突發(fā)性、迅速性。輿情的形成具有突發(fā)性是因?yàn)槭孪群茈y預(yù)料哪一類輿情能夠得到人們的關(guān)注，該問題的形成與當(dāng)前的價(jià)值觀、公共利益和事件本身的性質(zhì)等有較大關(guān)系。并且在網(wǎng)絡(luò)情況下，出現(xiàn)的地點(diǎn)也較難確定。輿情的發(fā)展具有迅速性是由于當(dāng)某一特定事件的輿情形成后，借助于媒體，主要是互聯(lián)網(wǎng)方便、快捷、迅速的特點(diǎn)，在短時(shí)間內(nèi)將會急速擴(kuò)散和傳播，大面積的爆發(fā)。

輿情在擴(kuò)散過程中具有非理性。民意容易受到宣傳的煽動(dòng)，并快速傳播。大部分情況下，輿情并不是理性分析與評價(jià)的結(jié)果，而是會隨著相互的碰撞出現(xiàn)非理性的各種情緒，并且由于信息的不充分和片面性，民意很容易被特定的觀點(diǎn)左右，形成大規(guī)模的輿情狀況，并進(jìn)行累積。

輿情的振蕩傳播過程中存在較強(qiáng)的波動(dòng)性。輿情的發(fā)展，伴隨著焦點(diǎn)事件的發(fā)展變化以及傳統(tǒng)媒體、政府機(jī)構(gòu)等社會組織發(fā)言人等各方面的意見的影響，網(wǎng)絡(luò)輿情產(chǎn)生發(fā)生不斷的合并和分化，因此會出現(xiàn)輿情降低和升高的波動(dòng)。

輿情的衰減過程說明輿情的演變最終會低落并且淡出公共視線。隨著時(shí)間推移，如果沒有更多新的因素加入該問題，公眾的情緒會逐漸衰減，并對自己的觀點(diǎn)以及他人的觀點(diǎn)進(jìn)行思考，并開始朝著理性的方向發(fā)展并產(chǎn)生遺忘。

3.2 輿情的開始和擴(kuò)散

圖2 輿情生命周期

輿情本文體現(xiàn)的是負(fù)面價(jià)值，也即個(gè)人信息泄露帶來的輿情的負(fù)面影響，而并不主要研究其對法制建設(shè)正面的推進(jìn)價(jià)值。本文假定在輿情發(fā)生的時(shí)間內(nèi)，外界的法律環(huán)境并不會發(fā)生重大變化（事實(shí)上也往往如此）。因此對法律進(jìn)程的正面改善價(jià)值有限，可以將其忽略掉，主要考慮的是由于輿情的非理性帶來的損失問題。

假設(shè)輿情發(fā)生的時(shí)刻為0時(shí)刻，根據(jù)輿情的突發(fā)特征和迅速性特征，可以輿情發(fā)生存在發(fā)生概率 Kp，也存在短時(shí)間（幾乎立刻發(fā)生）的一個(gè)突發(fā)規(guī)模U(0)，單位為人，如圖3所示。

圖3 開始階段的函數(shù)

參考控制論中的相關(guān)同樣，這是一個(gè)典型的階躍函數(shù)[8]，因此輿情形成階段用函數(shù)表示為

輿情傳播階段，根據(jù)輿情傳播特征的第4條特點(diǎn)，并考慮如下細(xì)節(jié)：傳播是一對多的傳播，假設(shè)一個(gè)人能夠在t到t+T時(shí)刻內(nèi)傳播給μ個(gè)人。也即第一個(gè)時(shí)刻有

而擴(kuò)散階段人數(shù)的初值實(shí)際上是由式（14）決定的，也即代入式（15）可得

由于輿情傳播速度很快，因此必須考慮到基準(zhǔn)T的尺度選擇要比較合理。而輿情相關(guān)的人數(shù)不可能是無限制增大，因此還必須滿足條件

特殊情況下，如果不求精確評估，可以直接采取最大值作為N的取值。本文就采用這種方式。

3.3 輿情的振蕩和衰減

輿情的振蕩與衰減階段，實(shí)際上振蕩過程是衰減過程的一種特殊情況，因此將這兩個(gè)過程合并?？紤]輿情達(dá)到最大值后的振蕩實(shí)際情況，畫出原理圖如圖4。

也就是說，造成輿情振蕩的原因主要體現(xiàn)為三種不同的意見所導(dǎo)致的，而主流意見實(shí)際上是受到煽動(dòng)性意見和消極性意見的影響。煽動(dòng)性意見會增大輿情的人數(shù)，而消極性意見會減少輿情參與的人數(shù)。用v1表示主流意見人數(shù)，列出一般的振蕩與衰減的通式為[9]

圖4 輿情的振蕩與衰減的原因分析

近似的，輿情的振蕩衰減過程可表示為

根據(jù)實(shí)際輿情的持續(xù)時(shí)間，確定衰減函數(shù)的一般性質(zhì)，判斷衰減強(qiáng)度η和振蕩強(qiáng)度κ，以及振蕩角頻率θ。

3.4 輿情的損失定量法

輿情由于是一種民意政治態(tài)度，但是又會直接或者間接影響到人。因此，本文采取的損失定量法，是針對輿情出現(xiàn)的各個(gè)階段的關(guān)注總?cè)舜危右詸?quán)衡，以判斷該事件的影響和損失大小，從而將事件分為緊急、嚴(yán)重、一般、次要事件四個(gè)等級，從而考慮界定法律責(zé)任和經(jīng)濟(jì)損失。而總?cè)藬?shù)的公式，根據(jù)求和的積分公式，代入式（19），可得

則可根據(jù)表4來進(jìn)行損失分級。

表4 輿情事件分級與損失額度

采用四級損失額度，這是由于輿情的特殊性所決定的。輿情損失必須含有上限和下限，而該上限和下限的決定，本文建議參考當(dāng)?shù)鼐用竦钠骄杖胫颠M(jìn)行加權(quán)計(jì)算。則最終公共部門個(gè)人信息泄密的損失計(jì)算公式為

式（21）由式（20）和式（13）共同決定。

4 算例

本文以某兩位明星的個(gè)人事件為例來分析該計(jì)算方法。該事件在15天時(shí)間內(nèi)被瀏覽47900余次，18天左右累計(jì)日瀏覽達(dá)到480000余次的峰值，之后在22天出現(xiàn)870000余次的振蕩高峰、24天出現(xiàn)下滑，直到45天左右淡出最熱門的事件。這一事件導(dǎo)致某些明星的職業(yè)生涯受到毀滅性的打擊，作為一個(gè)高度發(fā)達(dá)的城市，該城市的平均收入在亞洲排名靠前，因此本文的示例通過歐美發(fā)達(dá)國家的相關(guān)法律法規(guī)來進(jìn)行，也是考慮到經(jīng)濟(jì)方面與發(fā)達(dá)國家更為類似。該事件并未產(chǎn)生刑事訴訟和行政處分，因此考慮的更多的民事經(jīng)濟(jì)責(zé)任，也即處于本文所劃分的秘密分級下。

根據(jù)歐美相關(guān)的法律，泄露他人個(gè)人信息所面臨的處罰見表5[11]。

表5 歐美個(gè)人信息侵權(quán)的處罰

再考慮到輿情的影響，通過算例的數(shù)據(jù)和式（19），可得到算例的參數(shù)見表6。

表6 算例的計(jì)算參數(shù)

表6中，參數(shù)計(jì)算方法為

進(jìn)一步通過式（20），計(jì)算出

如果根據(jù)所在城市的人口，約為10，000，000余萬人口，制定表7。

表7 明星事件所在城市假設(shè)分級與損失額度

顯然，該事件的損失是極高的，綜合法律責(zé)任和輿情損失，可以得出該事件的個(gè)人信息泄密的損失極高，民事責(zé)任占主導(dǎo)。

5 分析與討論

本文的算例并沒有給出損失的具體數(shù)值，這是因?yàn)椴]有公開該城市，現(xiàn)在討論更一般的問題。

如果知道一個(gè)城市的平均收入，則要考慮輿情的影響時(shí)間和造成的長久影響做出與該城市平均收入相對應(yīng)的補(bǔ)償。這就意味著，不同城市的L值修正是不同的。

另一方面，對于V值，需要參考該城市的人口，以確定一個(gè)事件的大小，同時(shí)，也要考慮到所處的地區(qū)的人口和分布情況綜合判斷，因此要結(jié)合當(dāng)?shù)氐奶厥馇闆r。

6 結(jié)語

本文針對目前個(gè)人信息法律方面的現(xiàn)狀和不足，提出了一整套定量計(jì)算算法。該算法通過概率論和負(fù)指數(shù)分布的常見理論，采用分級方法，用泄密度等來估算泄密的函數(shù)和在泄密過程中的法律責(zé)任，并給出了較為準(zhǔn)確的計(jì)算公式，以及化簡的估算公式。

本文針對輿情的生命周期及其特征，并根據(jù)控制論中的衰減函數(shù)，提出了輿情所導(dǎo)致的相關(guān)損失，對該損失進(jìn)行了分級，確定了損失該如何分級估算。

最后，本文針對目前的一個(gè)個(gè)人信息泄露的典型案例，運(yùn)用該算法進(jìn)行了全面計(jì)算，并針對該算例中的不足進(jìn)行了分析和討論。本套算法基本上能夠較為準(zhǔn)確且較為簡便地估算出個(gè)人信息泄露所帶來的實(shí)際損失，有較廣泛的適用性。

[1]康晉穎.論英國個(gè)人信息保護(hù)制度[D].對外經(jīng)濟(jì)貿(mào)易大學(xué),2005.

[2]鄭麗華.美國隱私權(quán)法發(fā)展歷程研究[D].南開大學(xué),2005.

[3]劉雅琦.公共部門信息增值利用中的個(gè)人信息保護(hù)立法研究[J].情報(bào)理論與實(shí)踐,2011,4(34).

[4]周丹,孫培軍.國家秘密:進(jìn)退中的信息保密與公開——基于《中華人民共和國保守國家秘密法》修訂的分析[J].行政與法,2011,4(4).

[5]蔣瑞雪.地理資料信息服務(wù)產(chǎn)業(yè)化中的泄密風(fēng)險(xiǎn)與法律對策[J].情報(bào),2011,30(4).

[6]王遠(yuǎn)庫,李雪慧.科技增長與老化指數(shù)規(guī)律的統(tǒng)一及數(shù)學(xué)闡述[J].情報(bào),2003,22(11).

[7]葉香妹,溫小寧.網(wǎng)絡(luò)輿情形成發(fā)展過程及特點(diǎn)分析[J].商情,2011,4(4).

[8]胡壽松.自動(dòng)控制原理（第5版）[M].北京：科學(xué)出版社,2007.

[9]華東師范大學(xué)數(shù)學(xué)系.數(shù)學(xué)分析(下冊)(第3版)[M].北京:高等教育出版社,2001.

[10]姚維保.個(gè)人數(shù)據(jù)流動(dòng)法律問題研究.[D].武漢大學(xué),2008.