谁来保护个人信息
2018-08-20
在今天这样一个没有隐私可言的时代,个人信息的保护面临着严峻的考验。一方面是个人信息的大量暴露。随着各种信息采集设备、物联网设备的大规模应用,个人信息被大量收集;另一方面这些大量收集个人信息的平台又往往缺乏切实有效的保护机制,防止个人信息被泄露和滥用。
尴尬的现实
今年6月12日,国内手机生产厂商VIVO发布了新的旗舰手机NEX,这次手机行业的新品发布,不料却意外的掀开了互联网企业涉嫌偷取用户信息的遮羞布。
VIVO研发团队在设计NEX手机时,为了实现真正的全面屏,将手机的前置摄像头设计在了手机的侧上方——一个类似手机的SIM卡槽一样的伸缩装置。这个摄像头在用户需要使用前置摄像头时会自动伸出,在用完会后则会自动缩回手机内。
但是不少NEX手机的用户在使用手机的时候发现,这个内置的前置摄像头竟然会在用户没有调用的时候自己伸出来,然后又自己缩回去。在经过一番摸索后,用户发现,当手机使用特定APP程序时摄像头就会触发这种操作。例如使用“QQ浏览器”打开某些网页时,在没有调用摄像头的情况下,NEX的摄像头会做出伸出和缩回的动作。显然这是有些APP程序在获取了手机的相机权限之后,在用户不知情的情况下使用了这一权限。以往由于手机设计的原因,手机前置摄像头的开启和关闭普通人根本无法察觉,所以根本不会发现APP程序有主动行使权限的行为,但是现在NEX手机的用户却目睹了这一尴尬的事实。
想象一下,当你躺在床上,正兴致勃勃的玩着手机的时候,手机的前置摄像头自己主动伸了出来,在看了一眼周围的环境之后,然后又自己默默的缩了回去。这种场景恐怕多少有些诡异。尽管QQ官方在回应中称这是由于技术原因造成的,“手机QQ浏览器并不会采集用户任何隐私”,但是这一事件还是难免会让人们心中产生疑虑。
长期以来,以个人数据授权去换取APP使用权限在用户和互联网企业之间似乎已经达成某种默契。甚至连百度CEO李彦宏都曾公开说,“(中国人)很多时候是愿意以一定的个人数据授权使用,去换取更加便捷的服务的”。但是当人们这样做的时候,更多的是因为善意的相信企业要求获取这些权限是为了更好的为自己提供服务,这也是企业在要求获得这些权限时的说辞。但是其实在人们内心深处,或多或少都对这此抱有疑虑,“这样做真的安全吗”?
以往人们或许还心存侥幸,但一次次的数据泄露和企业对用户数据滥用的事件,已经给人们敲响了警钟,一切并没有想象中那么安全。即使企业不主动泄露数据,不滥用数据,但是事实也已经显示,大多数企业都缺乏有效的手段和机制保证用户数据的安全。从目前已经发生的个人信息泄露案件来看,一部分是来自于黑客的攻击和盗取,更大部分则是来自于企业“内鬼”的泄露和盗用。
大数据技术的应用是近几年才兴起的新鲜事物,许多企业还都缺乏这方面的管理经验。特别是在数据的存储和保护上,许多企业都缺乏有效和完善的机制来防止用户信息的泄露。尤其是在那些初创型企业、中小型企业中,更是缺乏这种机制,因此经常发生数据从内部泄露的事件。
这就是我们今天面临的现状,一方面各种设备、平台、应用都在如饥似渴的收集着用户的个人信息;另一方面这些平台自身又缺乏切实有效的保护机制,保证这些被收集的个人信息不会遭到泄露和滥用。
企业的“数据收集癖”
不幸的是,尽管许多企业并没有能力建立完善的数据管理和保护机制,但是企业对于大数据的饥渴程度,却因为商业运作的需要而异常的高。不论是大公司还是小公司,不论是从事什么领域的公司,都在争相攫取各种信息数据。这种对于大数据的恐慌性争夺,也是造成今天个人信息安全面临危机的重要原因之一。
阿里巴巴创始人马云曾将大数据比喻成“新经济的石油”,是未来最重要的资源。通过对大数据的挖掘,可以进行更为精准的商业决策,甚至可以重塑整个商业链路,大大提高商业运行的质量和效率。
“画像”是大数据技术为人所熟知的一个应用领域,即企业通过数据去为屏幕另一端的用户打上标签,在了解用户需求的前提下,进行更科学和带有前瞻性的决策。然而这一技术在现实中的应用却并没有科技所描绘的绚丽图景那般美好。
(图/东方IC)
在某次大数据技术研讨会上,一位记者曾问一位大数据技术专家,“为什么国内的互联网公司给用户推荐的广告还是一些用户并不真正感兴趣的东西,是不是我们的技术还不行”。技术专家答道:“国内的广告技术和国外已经没有差距,只不过企业投放广告是看谁给的钱多,而不是看用户喜不喜欢”。
专家的回答十分直白,虽然企业通过大数据画像可以精准的知道你的喜好,但是当有商家有足够的意愿,付出足够的金钱,将他的广告推送给你时,这些互联网企业会欣然接受这个交易。甚至当你需要A商品时,他们可以精准给你推送A的替代品,A的高仿品,甚至A的伪劣品。问题不在于你喜不喜欢、需不需要,而在于这条商业链路的另一端——金主的需求是什么。
2016年初发生的“魏则西事件”中,21岁的西安电子科技大学学生魏则西在患滑膜肉瘤后,在百度上搜索相关信息,试图寻求可靠的治疗手段。鉴于百度的推荐,最后魏则西选择了武警北京第二医院的生物免疫疗法,并在随后前往该医院治疗。但事后才了解到,该技术在美国已被淘汰。魏则西最终因为耽误治疗时间而病逝。
在这个事件中,魏则西轻信百度的搜索排行,以为排在前面的就是治疗自己的病最好的医院,殊不知,这些排在前面的医院只是以最高的价格购买了百度的搜索关键词。至于真实的医疗水平如何,平台并不考虑。
医疗类广告是百度重要的营业收入来源,在百度的营业收入中,医院在搜索引擎上的推广费用就占到营业额的70%—80%,有医院一年收入只有1.2亿元,其中1亿元就投给了搜索引擎。
如果大数据真的是新经济的石油,那么它驱动的也是企业的高效发展,然而企业的高效发展并不总是意味着用户福祉的提升。当用户利益和营业利润产生矛盾的时候企业会怎么选?
在经济学领域中有这样一个概念——“劣币驱逐良币”,指的是当一个国家同时流通两种实际价值不同而法定比价不变的货币时,实际价值高的货币或银子必然要被熔化、收藏或输出而退出流通领域,而实际价值低的货币反而充斥市场。简而言之就是好的东西被不好的东西替代。
很不幸,当今的商业世界似乎已经形成了这样一种“劣币驱逐良币”的商业逻辑,这虽然听起来有一点危言耸听,但是背后的道理十分简单。那些在法律和道德的底线上来回试探,在用户心理承受底线上步步进逼的公司,在不受规则束缚的游戏环境中,获得了比安分守己的企业更大的腾挪空间,从而获得了一种不公平的竞争优势。因此,他们比“良币”更有活力,更加具有“创新”精神。
在“用户、流量为王”的时代,这些企业使用各种捆绑、伪装的手段,尽可能多的将自己的软件、应用装到用户的电脑中去,而不管用户是否真的需要。这些被称为“流氓软件”的应用曾经在PC机时代疯狂肆虐,用户除了徒叹奈何,对它们束手无策。这些“流氓软件”中不乏已经成长为今日互联网巨头的企业。
在如今互联网进入“精耕细作”的大数据时代,用户量已经不是衡量公司价值的最重要指标,拥有多少用户数据已经成了衡量公司价值的重要指标之一。在一个市场化竞争、“法无禁止即可为”的环境中,不管大公司还是小公司,都纷纷开始向用户要数据、要权限,有些完全已经超出了其提供服务所需的范围。但是对于大数据的焦虑还是促使他们不断抓取用户的数据,即使他们自身并没有数据存储和保护的能力,即使他们自身并没有数据挖掘和分析能力,却依然难以停下对数据收集的脚步。
企业对个人信息的盲目收集是造成个人信息泄露的重要原因。在不能挖掘数据价值的情况下,收集大量的数据反而会成为企业的负担,增加企业在数据存储和保护上的成本支出。一旦这些支出不能跟上数据增长的速度,数据的安全就存在危险。实际上仅有少数公司真正具有处理大数据的能力,那些无力处理大数据的公司最后只能寻找其他方式变现,很可能就造成信息的泄露。
亟须建立完善的信息保护机制
个人信息的泄露很容易被不法分子用在实施犯罪上。在诈骗领域就衍生出了一个新的名词——精准诈骗。即诈骗者在获取用户的个人信息之后,专门设计相应的诈骗方案,进行有针对性的诈骗。例如:在徐玉玉被电信诈骗致死案中,就是因为犯罪嫌疑人杜某非法侵入山东省考试招生信息网站,窃取了64万余条高考考生信息并转售牟利。这些考生信息被不法分子利用,对徐玉玉进行了精准的诈骗,并轻易得手。
信息泄露的渠道也五花八门,而且已经形成了一条黑色的产业链。通过QQ群、微信群等进行公开售卖。一条个人用户近三个月在网上某电商平台的购物信息,包含网络ID、用户名、真实姓名、所购物品、订单金额、物流单号、联系电话、家庭住址在内的信息,在网上只要几分钱就可以买到。车主信息、股民信息、患者信息等也是网络上常见的信息贩卖品类。这些信息的泄露源头有些是黑客在网站上装了爬虫获取来的,更多的则是由于部分企业内控不严,被“内鬼”盗出用于牟利。
个人信息泄露的危害不言而喻,而个人信息的保护却缺乏专门的立法。尽管在2017年6月1日开始施行的《中华人民共和国网络安全法》中对个人信息收集做出了规范性的规定,其中第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。但是多数互联网企业依然在收集超出其提供服务所需的用户信息。
近年来,伴随着数据技术的发展,侵犯公民个人信息犯罪也呈现出高发态势,检察机关为此也开展了专项的打击行动,并收获了一定的成效。但是要想控制和减少此类犯罪的发生,除了严惩之外,还需要在全社会建立起一套完善的信息保护机制,帮助企业做好内部管控,预防此类案件发生。同时企业也要切实履行相关职责,不要过度收集用户信息,以避免个人信息大量暴露。