每個月都會有資料安全事件發生,個人資訊保護形勢依然嚴峻
2018年,全球範圍內,大資料安全問題頻發。
Facebook使用者資料洩漏事件,被洩露的資料總量高達8000多萬條;喜達屋酒店使用者資料洩露事件,涉及了超過5億使用者資訊;在國內,圍繞大資料殺熟的討論至今也沒有停止。可以說,平均每個月都有不同的公司發生或大或小的資料安全事件。
12月27日,在2018大資料合作與合規峰會上,中國電子技術標準化技術研究院資訊保安研究中心主任劉賢剛做了上述表示。他同時告訴第一財經1℃記者,近幾年,資料處於集中爆發階段,近一年產生的資料已經是前幾年資料的總和。但資料密度價值很低,其安全性成為大資料產業發展中最重要的問題之一。個人資訊保護問題,也已經到了臨界點。
在個人資訊保護上,中國雖已基本建立了體系框架、安全、實施指南、安全評估等技術標準,但仍然需要更高位階的法律來規範。2018年,個人資訊保護法被納入到全國人大立法規劃的第一類專案,即條件比較成熟、任期內可以擬提請審議。
在上述峰會上,騰訊釋出了《騰訊隱私保護白皮書》,是首次以白皮書方式全面介紹其隱私政策的網際網路企業。騰訊在白皮書中首提“科技向善,資料有度”的隱私保護理念,同時提出了“使用者·控制·資料”的隱私保護方法論。騰訊大資料法務合規中心總經理王小夏告訴1℃記者,騰訊搭建跨部門、跨業務、跨系統的資料和隱私保護團隊,通過科學規範的安全管理流程和健全的安全技術體系,充分保障使用者的知情權,實現使用者對個人資訊的控制。後續,還將上線隱私保護平臺網站,實現使用者對個人資訊的便利管理。
隨著技術標準的日臻成熟、法律規範的落地以及部分網際網路大型企業的表率作用,2019年,資料安全和個人資訊保護有望開啟一個新局面。
資料安全形勢依然嚴峻
2017年7月,中央網信辦、工業和資訊化部等四部委指導開展了個人資訊保護提升行動之隱私條款的專項工作,對10款數量大、與公眾生活密切相關的網際網路產品和服務的隱私條款內容、展示方式和徵得使用者同意方式等進行綜合評審。
當年9月24日,這一評審的結果對外公佈,包括騰訊微信在內的10款網際網路產品參加這一評審,並獲得高分數。騰訊集團法務副總裁江波對1℃記者表示,微信通過《微信隱私保護指引》,全面、客觀地展示了微信一直以來保護使用者隱私的宗旨、原則和保護路徑。尊重使用者的知情權、選擇權,通過產品設計,讓使用者能便捷、高效地管理自己的個人資訊,實現自己的權益。
歷經一年多以來的整改,個人資訊尤其隱私保護的局面得到一定程度上的控制,但還有很多企業在這方面依然滯後,甚至對這一工作毫不關注。南都個人資訊保護研究中心主任蔣琳向1℃記者表示, 該機構在2018年11月,對娛樂、醫療、體育社交等1000款APP做了隱私政策測評,結果顯示透明度高的只有13款,均來自於知名企業旗下的APP。總體而言,仍有超過七成App透明度不及格,兩極分化嚴重。有一款醫療健康類APP直接盜用其他企業網際網路政策,甚至連企業的名字都沒有改。
上述結論與中國消費者協會發布的《100款App個人資訊收集與隱私政策測評報告》結論相吻合。中消協報告顯示,各型別APP中小企業APP得分均顯著低於消費者常用APP,常用APP平均分為74.78,而中小企業APP是39.18。其中,微信、QQ、京東、美團、騰訊視訊、QQ郵箱等消費者常用APP獲評高分。
面對複雜的參差不齊的個人資訊保護局面,2018年9月10日,全國人大公佈《十三屆全國人大常委會立法規劃》,將69件法律草案列入第一類專案,即條件比較成熟、任期內可以擬提請審議,其中包括個人資訊保護法。這意味著個人資訊保護將迎來專門立法。
為了支援個人資訊保護保護工作,除了法律法規,我國還制定了一系列技術標準,輔助法律法規的落地。劉賢剛告訴1℃記者,我國已基本建立體系框架標準、安全、實施指南、安全評估等技術標準。在標準推廣方面,一方面針對個人資訊保安規範做了大量工作,包括連續兩年的隱私條款評審,通過一系列的活動,以提高國內網際網路隱私保護水平的整體水位,進而帶動二線網際網路公司重視並做好隱私保護。
大企業應該垂範
隨著網際網路尤其移動網際網路的發展,越來越多的使用者已經離不開網際網路產品。在法律法規、技術標準不斷健全的情況下,網際網路企業最應該關注如何應法律法規、技術標準的要求,建立自己的隱私政策體系,給使用者帶來好的個人資訊保護體驗。大型網際網路企業更應該起到表率作用。騰訊釋出的《隱私保護白皮書》,在國內首次以白皮書形式,全面介紹了該公司各類產品的隱私政策。
該白皮書提出,在使用者隱私政策方面,騰訊已經形成了隱私保護方法論——即使用者·控制·資料(P·B·D)方法論,以確保安全、透明、可控。具體而言,以使用者為中心,騰訊秉持“一切以使用者價值為依歸”的理念,充分保障使用者的知情權,增強隱私保護工作的透明度、提升使用者的感知度和參與度。騰訊通過隱私政策、隱私保護指引及服務協議告知使用者可能被收集的個人資訊及具體使用情況。騰訊將隱私政策等規範檔案放置在產品顯著位置,搭建“騰訊隱私保護平臺”讓使用者知悉騰訊隱私保護的相關事宜。
而控制力是指通過提供便利的資訊管理功能,實現使用者對個人資訊的控制力,提升使用者操作的便捷性。騰訊通過產品設計,將使用者對資料的控制轉化為實際的按鍵。對於使用者個人資訊的管理,騰訊通過在產品中嵌入資訊查詢、修改和刪除等功能,實現使用者對個人資訊的控制。在使用者使用產品的過程中,騰訊通過彈窗提示和相應的管理頁面,確保使用者在充分知悉資訊處理的情形下,進行自主選擇。例如,微信中的 “發現頁管理”,使用者可以開啟或關閉“朋友圈”、“附近的人”等功能。
上述白皮書全面介紹了騰訊“事前安全防禦、事中安全動態監測及事後應急響應”的保障體系。在資料收集階段,騰訊公示資料收集、處理情況,並對傳輸進行保護;在資料儲存階段,使用加密、備份等安全技術防止資料洩漏,保證資料的完整性、保密性和可用性;在資料訪問階段,通過訪問控制、身份驗證、許可權分配及審批管理的流程和制度實現有效訪問;在資料處理階段,通過匿名化等隱私增強技術保護使用者隱私,並採取分級標準,區分敏感度,對高敏資料進行更嚴格的保護;在資料刪除階段,根據法律法規及與使用者的約定進行刪除。
王小夏告訴1℃記者,騰訊倡導“科技向善,資料有度”的隱私保護理念。使用者·控制·資料的方法論已經應用於騰訊各款產品的功能設計中,有不同體現。以目前使用者數最大的微信為例,使用者在不同的裝置登入微信賬號時,需要驗證訪問。對於在其他裝置上的登入,騰訊會通過彈窗形式提醒,確認是否為本人操作,若非本人操作,可以修改密碼或凍結賬號。騰訊即將上線隱私保護平臺網站,搭建使用者視窗,讓使用者通過設定產品功能實現對個人資訊的便利管理。
中國政法大學傳播法研究中心副主任朱巍十分認同“科技向善,資料有度” 的隱私保護理念。他對第一財經1℃記者表示,從使用者角度出發,把個人資訊保安和隱私保護放在優先地位,其次是在法律法規框架下,合理正當使用資料,才能為使用者帶來更好的產品體驗。
新問題新趨勢
一個現實局面是,網際網路行業資料保護依然新問題迭出且待解。
北京大學法學院教授、智慧財產權學院常務副院長張平告訴1℃記者,在個人資訊保護方面,她留意到一些問題。例如,使用者資訊的刪除權和被遺忘權其實依然不可實現,或實現起來並不容易。通過和從事網路安全的企業公司交流得知,目前資料溯源類公司非常發達,任何一個去識別化的資料都可被複原。網際網路企業即使做了去識別化,但第三方公司立刻可以溯源,那麼原來的公司有沒有責任?
在北京大學進行的多次測評中,發現很多企業將他們的資料委託境外機構處理,比如很多製造型企業的資料就是委託境外進行處理。國內的諸多網際網路巨頭都是自己處理資料,但未來會不會委託其他機構來處理,還無法得出結論。張平認為,作為諸多使用者喜愛的網際網路企業,騰訊釋出《隱私保護白皮書》,倡導“科技向善,資料有度” 的隱私保護理念,不僅是企業積極踐行合規意識,也是作為網際網路領軍企業的一種社會擔當。
劉賢剛也提出,從技術發展的角度,下一步在人工智慧時代,個人資訊保護會面臨更多新的利益性、價值觀的評估風險。目前要考慮的命題包括對隱私的侵害、不重要的資料彙集在一起對國家有什麼影響等等。但人工智慧時代會更復雜,且涉及倫理和對法律法規的嚴峻挑戰。理論上在人工智慧時代應該由國家出臺相應政策,某些資料經過審批進行相應的資料處理。隨著技術的進步,資料的價值是無法想象的,帶來的安全問題也是無法想象的。
在解決思路上,張平提出,從巨集觀來說,應該統一協調立法。在個人資訊保護的法律方面,已經有刑法、網路安全法、消費者權益保護法,可以考慮在更高層面把這幾個法統一起來。此外,還需要建立有效的執行機構、跟國際對等的專業部門、培養專業的人才隊伍。在企業層面,應該特別提倡企業自律,企業可以善意使用資料。個人的權益和企業產業的利益應該平衡,立法不可過度傾向,否則所有大公司都會被捆綁手腳,也不利於大資料產業的良性發展。