大数据时代,突破个人隐私保护困境
2018-05-14陆峰
陆峰
日前,百度CEO李彦宏关于“中国用户愿意用隐私交换便捷性”的言论则令人咋舌。几乎同期,滴滴利用大数据“杀熟”一事甚嚣尘上。一时间,数据隐私保护成为业界热议的话题。
我国个人信息保护存在巨大风险
随着人工智能、新零售等行业迅速发展,数据被大规模使用,企业与用户之间的摩擦明显加剧。然而,国内企业对数据的保护和使用仍然杂乱无章,信息泄露正以无孔不入的态势入侵工作生活。利用获取信息的特权,企业搭便车过度采集信息现象非常普遍。
不可否认,在万物互联时代,数据的战略重要性与日俱增,但真正能实现商业价值的数据只是一小部分。能站在数据权力顶端的,很可能是那些能真正使用好数据的超级公司。
然而日前,百度董事长兼CEO李彦宏在中国发展高层论坛上关于中国人对隐私问题的态度更开放、用户可以用隐私来换取便利的言论,激起了网民的广泛讨论。大家发现,即使安装普通APP软件,软件要求用户同意数十项的用户隐私获取权限方可安装。被迫无奈用隐私换取便利已经成为了大众对当前我国个人隐私保护现状的共识。
随着互联网应用日益融入到大众生活中,个人信息被大量留痕在各类网络服务平台上,作为数字经济时代个人最为宝贵数字资产,加强个人信息保护,不仅事关个人权益的维护,更是关系到网络社会时代个人的幸福感和获得感。
个人信息滥采滥用现象严重
目前,国内企业采集用户信息主要存在以下问题:一是个人信息滥采现象十分严重。目前大部分APP软件在安装过程中都或多或少存在获取与软件应用功能无关的个人信息,主要包括个人通讯录、地理位置、个人相册等众多信息访问权限。以手电筒APP软件为例,除了要求获取电池和摄像头访问权限之外,还要求访问用户通讯录和地理位置等与软件功能无关的个人信息。
二是企业通过软件服务获取用户个人信息后,究竟如何使用这些个人信息,是否存在信息倒卖或者过度挖掘等行为,用户完全不知,也无法掌控。
三是用户许可协议流于形式,尽管许多软件在安装过程中都有用户许可协议步骤,但许可协议存在条款冗长难以阅读、霸王条款强迫用户等行为,甚至像支付宝一样替用户勾选等现象也大量存在。
2014年8月,微博诉脉脉抓取使用微博用户信息;2017年8月,腾讯指控华为荣耀Magic手机侵害了微信用户的数据;2017年6月,顺丰和菜鸟数据断交门等大量类似事件中,双方企业围绕用户数据的使用唇枪舌剑,但是作为数据所有者的用户却没有任何发言权。
企业间个人信息之争,普遍暴露了当前个人信息保护存在以下几点问题:一是个人信息被企业收集之后流通交易,流通情况个人是不掌握的。二是企业收集的个人信息,究竟谁能用,谁又不能用,作为主角的个人并没有发言权。三是个人信息被企业采集后开发利用,企业只关心自身利益,个人用户体验是次位的。
五大原因致个人信息泄露
法律法规不完善
《网络安全法》和《电信和互联网用户个人信息保护规定》中尽管对个人信息保护做了大量规定,但大多属于方向性约束条款,缺乏可量化、可操作的执行细则,导致企业在条款落实上有很大打插边球空间,监管部门在执法上还有很大裁量空间余地。
互联网信息服务等各类互联网行业管理办法中,对个人信息保护重视不够甚至尚未提及,导致行业主管部门在行业管理时,只盯业务行业合规性,轻视对个人信息保护。
违法成本太低,处罚力度太小,几万元、甚至几十万元的罚款处罚措施,对大型互联网平台型企业而言,其威慑力度严重不足。
标准规范缺失
个人信息范围、权属和使用权限等标准缺失,尤其是针对网络平台和大数据挖掘情况下个人信息的界定和使用,没有统一的国家或行业标准,致使很多个人信息开发利用处在灰色地段。
个人信息采集、存储、清洗、使用等环节操作流程、业务规范、防护要求等没有统一的标准,导致企业在个人信息开发、利用、保护等环节缺乏合规合法对标尺度,個人信息滥采和滥用现象十分严重,风险隐患较大。
个人信息开发利用负面清单制度缺乏,导致许多企业在个人信息采集、开发、利用和保护中,都是摸着石头过河,以试探政府和社会反应为依据,来推进个人信息开发利用创新,企业业务创新风险极大。
缺乏统一、规范、标准的个人信息采集和使用用户承诺书,导致许多企业制定用户承诺书,都是以考虑企业利益最大化为目标,无限制强化自身权利,对个体保护自身信息存在极大不公平。
安全防护措施薄弱
部分政府部门和企业在个人信息的采集、存储和使用中安全防护基础措施保障不到位,难以应对复杂网络、新技术应用、技术服务外包等各种条件下个人信息保护需求。
个人信息保护技术攻关研究和推广应用步伐滞后,尤其是针对移动互联网、云计算、大数据、物联网、人工智能等条件下,个人信息保护技术支撑能力不足,技术存在不成熟、未体系化等系列问题。
政府和企业信息系统和网络平台个人信息保护制度不完善,网络、技术、人员、外包等多个环节制度不健全、不系统、不精细,个人信息泄露和滥用风险极大。
个人信息保护透明度不高,政府部门和企业对个人信息开发、利用和保护等工作主动披露意识不强。
政府监督检查手段滞后
政府监督检查手段滞后,技术支撑保障能力不足,传统线下检查手段,难以适应对数字化、网络化和在线化服务中个人信息采集和使用监管需要。
针对含有大量个人信息的信息系统和网络平台,缺乏专业性、系统性、针对性的个人信息保护测评和个人信息等级保护制度。
尚未依据个人信息内容和规模实行分级分类使用许可制度,导致不具备安全防护和风险管控能力,以及没有规范采集和使用流程的机构,在采集和使用个人信息,风险隐患极大。
行业自律尚未发挥作用
技术研发、应用推广等方面致力于推动企业发展的联盟很多,但属于约束企业行为的个人信息保护行业自律联盟缺乏,尽管有政府部门牵头少量企业成立,但重点企业的积极性和主动性不足。
缺乏个人信息保护行业自律公约,重点企业和重点行业在个人信息保护方面的引导和示范作用尚未发挥。
缺乏个人信息保护行业自律发展水平评估,行业个人信息保护状态缺乏摸底评估,大量企业个人信息保护透明度不高。
完善措施防止信息泄露
完善相关法律法规
加快出台《网络安全法》个人信息保护实施细则,明晰个人信息保护法律操作要求,提供操作层面示范借鉴案例集。
加快出台个人信息保护法或保护条例,明确个人信息采集、传输、存储、流通、交易、开发、利用等全流程环节权利和责任等法律要求。
将个人信息保护相关内容纳入到互联网信息服务等各类互联网行业管理办法中,明确各行业领域应用场景个人信息保护详细要求。
加大对个人信息保护相关违法行为查处和处罚力度,提高违法成本和法律震慑效应,建议处罚力度与企业经营收入、泄露信息规模等要素挂钩,对出现重大个人信息泄露或是违规利用企业,实施停业整顿或取缔营业资质。
规范个人信息收集和使用
明确个人信息范围、种类和权属,特别要明确互联网服务平台、大数据挖掘分析、大数据交易流通、政务信息资源共享、公共信息资源开放等情况下个人信息内容和权属的界定办法。
出台个人信息保护相关操作指南,明确个人信息采集、存储、传输、清洗、利用等环节资质要求、操作流程、业务规范、管理要求、防护措施等。
出台个人信息采集和使用负面清单,明确个人信息采集、流通、挖掘和使用禁区,最大限度地促进和保护个人信息开发利用创新。
规范互联网服务用户同意承诺书,制定统一的企业个人信息收集和使用用户同意承诺书通用模板,统一明确企业必要的权责,最大限度地规范和约束企业个人信息开发利用行为。
完善个人信息保护安全措施
完善政府和企业个人信息保护安全基础设施,加大入侵监测、电子认证、访问控制、安全审计等配套保障设施建设,提高安全基础设施保障能力。
加快个人信息保护技术攻关研究和推广应用步伐,加大个人信息标记、脱敏、溯源等技术研究,增强移动互联网、云计算、大数据、物联网、人工智能等融合条件下个人信息保护能力。
建立健全政府和企业个人信息保护制度,加强对网络、技术、人员、外包等各个环节个人信息保护管理力度,完善全链条个人信息保护,防止个人信息保护出现短板效应。
提高个人信息保护透明度,定期发布政府和企业个人信息保护白皮书,告知社会其在个人信息采集、开发、利用、保护等方面采取措施和取得效果,提高大众对政府和企业个人信息保护信任度。
加强个人信息保护的监督和检查
建立政府个人信息保护治理网络平台,采用网络监测、大数据挖掘、人工智能分析等各类手段,加强网络个人信息采集、传输、开发和利用全方位在线监测。
加强对重点领域、重点企业、重点网络平台的个人信息开发、利用、保护定期检查,对存储大规模个人信息的信息系统和网络平台,周期性开展第三方安全测评,对测评不达标的信息系统和网络平台,及时采取整改或清理措施。
实施个人信息应用等级保护制度,依据个人信息存储规模、系统平台重要性等指标,采取不同安全等级防护措施要求。
實施个人信息使用分级分类认证制度,依据个人信息内容性质和信息规模,采取分级分类使用许可制度,对不同级别个人信息和不同分类用户群体,提出相应个人信息采集和应用防护措施要求。
强化个人信息保护行业自律
推动电信、金融、互联网、大数据、人工智能等重点领域成立个人信息保护行业自律联盟,从技术、标准、管理、法律等角度加强个人信息保护行业研究。
发布个人信息保护行业自律公约,推动龙头企业更加重视个人信息保护,形成社会引导和示范效应,带动行业个人信息保护水平的整体提升。
依托行业自律联盟,开展行业自律动态监测,实施个人信息保护发展水平评估,定期发布个人信息保护行业自律报告。
定期开展行业自律交流,组织研讨会、经验交流会、论坛等形式,深入交流企业个人信息开发、利用、保护等经验,共同探讨行业发展存在问题和应对措施。
技术是把双刃剑,大数据技术也不例外。大数据发展给产业发展、民生保障、国家治理带来新机遇的同时,也给个人隐私保护带来了前所未有的挑战。在没有个人隐私的大数据时代,如何让个人隐私得到切实有效的保护,需要技术、产业、政策三者协同发力。
如何在个人隐私保护和促进产业发展之间寻求平衡点,欧盟和美国走了两条不同的道路,欧盟实施了严格的隐私保护政策,美国走了一般性隐私保护政策。欧美之间隐私保护政策有显著的差异,但是差异背后相同特点都是依据各自互联网产业发展程度来制定的。我国在制定个人隐私保护政策的时候,也要充分借鉴欧盟和美国的个人隐私保护政策,做到既能兼顾个人隐私保护,又能促进互联网产业发展。