2018年,全球范围内,大数据安全问题频发。
Facebook用户数据泄漏事件,被泄露的数据总量高达8000多万条;喜达屋酒店用户数据泄露事件,涉及了超过5亿用户信息;在国内,围绕大数据杀熟的讨论至今也没有停止。可以说,平均每个月都有不同的公司发生或大或小的数据安全事件。
12月27日,在2018大数据合作与合规峰会上,中国电子技术标准化技术研究院信息安全研究中心主任刘贤刚做了上述表示。他同时告诉财经1℃记者,近几年,数据处于集中爆发阶段,近一年产生的数据已经是前几年数据的总和。但数据密度价值很低,其安全性成为大数据产业发展中较重要的问题之一。个人信息保护问题,也已经到了临界点。
在个人信息保护上,中国虽已基本建立了体系框架、安全、实施指南、安全评估等技术标准,但仍然需要更高位阶的法律来规范。2018年,个人信息保护法被纳入到全国人大立法规划的类项目,即条件比较成熟、任期内可以拟提请审议。
在上述峰会上,腾讯发布了《腾讯隐私保护白皮书》,是首次以白皮书方式全面介绍其隐私政策的互联网企业。腾讯在白皮书中首提“科技向善,数据有度”的隐私保护理念,同时提出了“用户·控制·数据”的隐私保护方法论。腾讯大数据法务合规中心总经理王小夏告诉1℃记者,腾讯搭建跨部门、跨业务、跨系统的数据和隐私保护团队,通过科学规范的安全管理流程和健全的安全技术体系,充分保障用户的知情权,实现用户对个人信息的控制。后续,还将上线隐私保护平台网站,实现用户对个人信息的便利管理。
随着技术标准的日臻成熟、法律规范的落地以及部分互联网大型企业的表率作用,2019年,数据安全和个人信息保护有望开启一个新局面。
数据安全形势依然严峻
2017年7月,中央网信办、工业和信息化部等四部委指导开展了个人信息保护提升行动之隐私条款的专项工作,对10款数量大、与公众生活密切相关的互联网产品和服务的隐私条款内容、展示方式和征得用户同意方式等进行综合评审。
当年9月24日,这一评审的结果对外公布,包括腾讯微信在内的10款互联网产品参加这一评审,并获得高分数。腾讯集团法务副总裁江波对1℃记者表示,微信通过《微信隐私保护指引》,全面、客观地展示了微信一直以来保护用户隐私的宗旨、原则和保护路径。尊重用户的知情权、选择权,通过产品设计,让用户能便捷、高效地管理自己的个人信息,实现自己的权益。
历经一年多以来的整改,个人信息尤其隐私保护的局面得到一定程度上的控制,但还有很多企业在这方面依然滞后,甚至对这一工作毫不关注。南都个人信息保护研究中心主任蒋琳向1℃记者表示, 该机构在2018年11月,对娱乐、医疗、体育社交等1000款APP做了隐私政策测评,结果显示透明度高的只有13款,均来自于知名企业旗下的APP。总体而言,仍有超过七成App透明度不及格,两极分化严重。有一款医疗健康类APP直接盗用其他企业互联网政策,甚至连企业的名字都没有改。
上述结论与中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》结论相吻合。中消协报告显示,各类型APP中小企业APP得分均显着低于消费者常用APP,常用APP平均分为74.78,而中小企业APP是39.18。其中,微信、QQ、京东、美团、腾讯视频、QQ邮箱等消费者常用APP获评高分。
面对复杂的参差不齐的个人信息保护局面,2018年9月10日,全国人大公布《十三届全国人大常委会立法规划》,将69件法律草案列入类项目,即条件比较成熟、任期内可以拟提请审议,其中包括个人信息保护法。这意味着个人信息保护将迎来专门立法。
为了支持个人信息保护保护工作,除了法律法规,我国还制定了一系列技术标准,辅助法律法规的落地。刘贤刚告诉1℃记者,我国已基本建立体系框架标准、安全、实施指南、安全评估等技术标准。在标准推广方面,一方面针对个人信息安全规范做了大量工作,包括连续两年的隐私条款评审,通过一系列的活动,以提高国内互联网隐私保护水平的整体水位,进而带动二线互联网公司重视并做好隐私保护。
大企业应该垂范
随着互联网尤其移动互联网的发展,越来越多的用户已经离不开互联网产品。在法律法规、技术标准不断健全的情况下,互联网企业较应该关注如何应法律法规、技术标准的要求,建立自己的隐私政策体系,给用户带来好的个人信息保护体验。大型互联网企业更应该起到表率作用。腾讯发布的《隐私保护白皮书》,在国内首次以白皮书形式,全面介绍了该公司各类产品的隐私政策。
该白皮书提出,在用户隐私政策方面,腾讯已经形成了隐私保护方法论——即用户·控制·数据(P·B·D)方法论,以确保安全、透明、可控。具体而言,以用户为中心,腾讯秉持“一切以用户价值为依归”的理念,充分保障用户的知情权,增强隐私保护工作的透明度、提升用户的感知度和参与度。腾讯通过隐私政策、隐私保护指引及服务协议告知用户可能被收集的个人信息及具体使用情况。腾讯将隐私政策等规范文件放置在产品显着位置,搭建“腾讯隐私保护平台”让用户知悉腾讯隐私保护的相关事宜。
而控制力是指通过提供便利的信息管理功能,实现用户对个人信息的控制力,提升用户操作的便捷性。腾讯通过产品设计,将用户对数据的控制转化为实际的按键。对于用户个人信息的管理,腾讯通过在产品中嵌入信息查询、修改和删除等功能,实现用户对个人信息的控制。在用户使用产品的过程中,腾讯通过弹窗提示和相应的管理页面,确保用户在充分知悉信息处理的情形下,进行自主选择。例如,微信中的 “发现页管理”,用户可以开启或关闭“朋友圈”、“附近的人”等功能。
上述白皮书全面介绍了腾讯“事前安全防御、事中安全动态监测及事后应急响应”的保障体系。在数据收集阶段,腾讯公示数据收集、处理情况,并对传输进行保护;在数据存储阶段,使用加密、备份等安全技术防止数据泄漏,保证数据的完整性、保密性和可用性;在数据访问阶段,通过访问控制、身份验证、权限分配及审批管理的流程和制度实现有效访问;在数据处理阶段,通过匿名化等隐私增强技术保护用户隐私,并采取分级标准,区分敏感度,对高敏数据进行更严格的保护;在数据删除阶段,根据法律法规及与用户的约定进行删除。
王小夏告诉1℃记者,腾讯倡导“科技向善,数据有度”的隐私保护理念。用户·控制·数据的方法论已经应用于腾讯各款产品的功能设计中,有不同体现。以目前用户数较大的微信为例,用户在不同的设备登录微信账号时,需要验证访问。对于在其他设备上的登录,腾讯会通过弹窗形式提醒,确认是否为本人操作,若非本人操作,可以修改密码或冻结账号。腾讯即将上线隐私保护平台网站,搭建用户窗口,让用户通过设置产品功能实现对个人信息的便利管理。
中国政法大学传播法研究中心副主任朱巍十分认同“科技向善,数据有度” 的隐私保护理念。他对财经1℃记者表示,从用户角度出发,把个人信息安全和隐私保护放在优先地位,其次是在法律法规框架下,合理正当使用数据,才能为用户带来更好的产品体验。
新问题新趋势
一个现实局面是,互联网行业数据保护依然新问题迭出且待解。
北京大学法学院教授、知识产权学院常务副院长张平告诉1℃记者,在个人信息保护方面,她留意到一些问题。例如,用户信息的删除权和被遗忘权其实依然不可实现,或实现起来并不容易。通过和从事网络安全的企业公司交流得知,目前数据溯源类公司非常发达,任何一个去识别化的数据都可被复原。互联网企业即使做了去识别化,但第三方公司立刻可以溯源,那么原来的公司有没有责任?
在北京大学进行的多次测评中,发现很多企业将他们的数据委托境外机构处理,比如很多制造型企业的数据就是委托境外进行处理。国内的诸多互联网巨头都是自己处理数据,但未来会不会委托其他机构来处理,还无法得出结论。张平认为,作为诸多用户喜爱的互联网企业,腾讯发布《隐私保护白皮书》,倡导“科技向善,数据有度” 的隐私保护理念,不仅是企业积极践行合规意识,也是作为互联网领军企业的一种社会担当。
刘贤刚也提出,从技术发展的角度,下一步在人工智能时代,个人信息保护会面临更多新的利益性、价值观的评估风险。目前要考虑的命题包括对隐私的侵害、不重要的数据汇集在一起对国家有什么影响等等。但人工智能时代会更复杂,且涉及伦理和对法律法规的严峻挑战。理论上在人工智能时代应该由国家出台相应政策,某些数据经过审批进行相应的数据处理。随着技术的进步,数据的价值是无法想象的,带来的安全问题也是无法想象的。
在解决思路上,张平提出,从宏观来说,应该统一协调立法。在个人信息保护的法律方面,已经有刑法、网络安全法、消费者权益保护法,可以考虑在更高层面把这几个法统一起来。此外,还需要建立有效的执行机构、跟国际对等的专业部门、培养专业的人才队伍。在企业层面,应该特别提倡企业自律,企业可以善意使用数据。个人的权益和企业产业的利益应该平衡,立法不可过度倾向,否则所有大公司都会被捆绑手脚,也不利于大数据产业的良性发展。
第二十八届CIO班招生
法国布雷斯特商学院MBA班招生 法国布雷斯特商学院硕士班招生