2013年1月27日,主题为“网络时代隐私骚扰实名何解”的中国计算机学会青年计算机科技论坛YOCSEF与第105期数字论坛于北京市翠宫饭店成功举办。
去年12月28日,全国人大三次会议通过的《关于加强网络信息保护的决定》,与会嘉宾认为,隐私跟安全这两个不是一个等号之间的关系,没有好的安全机制就没有办法保障网络隐私安全。与会嘉宾同时也对各国关于隐私保护立法历史和中国进行了横向对比。
欧美网络隐私立法
社会各国对隐私关注的加强也是一个渐序的过程,美国对隐私的关注度时间也不长,从二战以后才开始正式立法。
美国的个人隐私法律在70年代末的时候真正形成。但是与现今的法律还有大量的不同的,比如像美国保护消费者信息的相关法律,还有GLB的法案,还有关于保险的。
欧美在隐私立法上有差异,欧盟的隐私法律是基于个人人权,保护基本的个人隐私权。这是因为在欧洲的历史上对政府的信任是相对不足的。美国的立法思路跟我国立法视角比较近,它的隐私法律初衷是避免由于信息的不当使用而造成的伤害。所以欧美隐私立法的初衷还有初始是有一定的差异的,关键区别是在于基本权利和不当的使用造成伤害之间的差异性。
欧盟的隐私管理相对比较严格,欧盟制定了8个管控和处理个人信息的源。大部分成员国已经把它变成本国的法律。很多互联网公司,包括谷歌、微软在欧洲经常会受到关于隐私侵犯上的诉讼。隐私诉讼都伴随着高额的赔偿,这和别的国家往往不太一样。
在欧盟里面,它个人的信息和敏感信息是区分的,敏感的个人信息要求采用高级别的安全保护,敏感信息的处理必须获得明确的授权。比如个人信息,名字,地址,在欧盟法律中这些不是敏感信息,敏感信息是像有关个人性生活,宗教信仰,犯罪记录,等敏感的信息。欧盟法律强调获取这些信息必须有明确的授权。像我国民警查开放记录是不可以出现的。
欧盟有安全港的框架,中国也有安全港。在欧盟里面要求参与安全港框架的公司相对其他的公司被视为具有足够的数据保护。有一个条件,不是任何互联网公司就都可以享受安全港的待遇。欧盟的安全港的协议是自认证,就是在欧盟以内,确定这个公司的隐私保护能够获得认可,要获得这个认证,公司必须实现隐私原则、隐私策略,第三方数据传送等所有的条件。
亚太经济组织APEC在2005年也是采纳了这样的一个隐私数据保护要求的原则性的协议,供21个成员国共同遵守。但是目前大部分国家没有将此原则作为本国的法律,就是还没有得到落地。
中国网络隐私立法现状
中国除了截止到去年人大颁布个人隐私保护条例之前,中国没有独立的个人隐私法,也没有信息安全法。
在我国之前的《治安管理处罚条例》也有将偷窥、偷拍、窃听纳入进去。09年的刑法纠正案,第253条增加了一个非法提供个人信息罪。它规定国家机关,或者像金融、电信、交通、医疗等单位的人员,违法的将本单位掌握的公民信息出售,或者非法提供,处3年以下的有期徒刑或者拘役,并处相应的罚金。就是涉及到了单位犯罪的问题。
纵观中国互联网的历史,中国较早的互联网就是实名制。经过互联网初期的一系列事情之后,局域网的模式被互联网模式颠覆掉了。当360反流氓软件出现后,中国流氓软件表面上看少了,但是整体的乱象还存在。比如像3Q大战,整个中国互联网更像没有约束的生态。如今人大有关决定出台,各种呼吁治理互联网乱象的声音也开始崛起。
如何在安全信任和开放之间平衡?
互联网走到今天已经融入到中国社会各个层面,如今中国互联网陷入一边强调安全信任,一边又强调开放的尴尬境地。去年1月份CSDN“脱裤门”曝出来之后,网络信息安全问题展现出来。中国如果在这样的基础上搞云计算,做大数据,会产生很多的安全隐患。
中国互联网协会曾发起过《互联网行业的自律公约》,这个自律发布之后,混乱的情况并没有得到遏制。所以今天这种环境下,依靠企业自律保证互联网产业安全是靠不住的,尤其着涉及到大量用户桌面终端的系统控制权和监测标准。
安全急需未雨绸缪
现今互联网没有边界也是它自身存在的较大问题,在一个没有边界的环境下,有边界的组织和多头管理的模式很难管理好互联网生态。而管理所需要的成本负担也需要考虑到上层决策里面。中国过去严格监管的思路,将会导致真正作恶的互联网巨头管不了。小的互联网问题没有人管。
去年爆发方周大战,再现了互联网企业安全的信任危机,现今安全公司也不被大家信任,今年1月1号新刑事诉讼法正式将电子数据规定为法定证据种类之一,这是一个好的现象。对于用什么样的方法解决问题。相关人士给出四点建议,较早个规定互联网企业开源,第二个修订反垄断法,第三个隐私立法,第四个推动独立测评发展。这四个方面需要同时完善,而且较重要的要成立安全组织。我国互联网乱象才可能有所改善。
