大数据时代下个人信息安全保护研究
2020-04-24黄茹萍
黄茹萍
关键词大数据时代 个人信息 原因 建议
2012年以来,“大数据”一词被越来越多地提到,人们用它来描述和定义信息爆炸时代产生的海量数据,并命名与之相关的技术发展与创新。如今可以看到,许多领域包括商业、行政、学术界对于大数据的关注度正在持续性走高,而伴随着一系列相关的技术革新如移动网络、数据处理工具等数据产生、存储、分析、传输等的快速发展,“大数据时代”渐成雏形并日益走向成熟。但是,在大数据发展的过程中,由于观念和技术上未能同步,许多问题如个人信息安全和隐私往往不能得到有效的处理。个人隐私权与大数据时代下个人信息潜在的“公共资源”属性的矛盾是大数据时代下一个亟需处理的问题,这也关系到我国“国家大数据战略”能否顺利实施。
一、大数据时代下个人信息安全现状
(一)个人信息泄露严重
随着互联网应用的普及,互联网安全问题也日益凸显,尤其是用户的个人信息泄露问题已成为社会关注的焦点。根据2018年中国消费者协会开展的App个人信息收集与隐私政策测评活动的相关报告,个人信息泄露的途径主要包括以下几种:(1)经营者未经本人同意收集个人信息,占比62.2%。(2)经营者或者不法分子故意泄露、出售或者非法向他人提供个人信息,占比60.6%。(3)网络服务系统存有漏洞,占比57.4%。(4)不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息,占比34.4%。(5)经营者收集不必要的个人信息,占比26.2%。个人信息的泄露带来了许多严重的后果,如房产推销、诈骗电话骚扰、社会恐慌和焦虑、社会信任缺失,更有甚者,部分用户的个人信息已经通过多种不法途径流向国外,扩大了信息泄露的范围,造成信息泄露程度进一步加深。
(二)个人信息安全保护供需不足
由于我国个人信息泄露情况严重,相关“黑色产业”的发展迅速,无论是给用户个人还是给相关企业、社会甚至国家都带来了严重的安全隐患和巨大的经济损失,因此客观上来说,保护公民个人信息的需求十分强烈,我国拥有着强大的潜在“需求市场”。与此相反,我国在有效提供信息安全保护措施方面的“供应市场”并不繁荣,二者存在着很大差距。在技术层面,硬件技术是最基础的网络信息安全保障,但是目前我国在电子计算机等其他通信设备的研发方面存在着诸多劣势,对外国依赖程度较高,缺乏独立性,技术工艺不成熟、漏洞多现象突出,难以有效保护用户的个人信息安全。在司法实践中,对于个人信息非法泄露的打击力度与其造成的严重后果,无论是在刑事还是在民事层面上都存在着不成比例、无法比配的现状,个人有关信息侵害的申诉往往无法得到及时的回应,司法实践无法有效保护受侵害公民的个人权益。
二、大数据时代下个人信息遭受侵犯的原因
(一)公众的个人信息安全保护意识和能力薄弱
目前,互联网是公众信息泄露的主要平台。中国互联网协会发布的《中国网民权益保护调查报告2016))显示,中国网民因为诈骗信息、个人信息泄露等遭受的总体经济损失约为915亿元。隐藏在这巨大的经济损失背后的是公民的个人信息安全保护意识和能力与网络信息挖掘技术之间存在的巨大鸿沟。就公民个人信息保护的能力来说,许多公民在使用网络时,往往不能辨明钓鱼网站和正规网站,利用杀毒软件和防火墙等安全防护能力不强,没有掌握一定的安全设置,致使黑客和病毒可以轻易盗取用户的个人信息。其次,用户的个人信息保护意识薄弱。随着手机和电脑存储空间的不断增大,很多公众会倾向于下载各种各样的软件,而其中絕大多数软件都需要访问用户的基本信息、文件、图片、位置等,甚至是要求用户的身份证信息等私密信息,公众在进行信息提供时也不能很好地辨别哪些是可以提供,而哪些是较为敏感,需要谨慎提供的,这反映了公众的权利意识和信息保护意识是相对缺乏的。信息保护意识和能力双重作用致使公众对于个人信息的保护仍然处在一个中低阶段,相较于明显的侵犯行为,不明显或者较为隐蔽的侵犯个人信息的行为仍然未被广泛察觉。
(二)国内相关立法不完善
目前,我国有关个人信息保护的法律条款在数量和属性上都存在一定的局限性。虽然2009年的《中华人民共和国刑法修正案(七)》和2015年的《中华人民共和国刑法修正案(九)》以及2016年通过的《中华人民共和国网络安全法》对个人信息犯罪行为以及当今比较普遍的网络层面侵犯个人信息的不法行为做了规定,在一定程度上弥补了个人信息保护操作层面数量上的不足,但是就整个法律体系来说,公民个人信息保护法律条款仍然存在着较大的空白。在属性上,我国目前的个人信息保护的工作多通过特定法律、一般性规范和具体规定来保障,个人信息保护法律条款呈现出分散立法的特点。2018年,个人信息保护法被列入了十三届全国人大常委会的立法规划,在个人信息保护上取得了很大的进展,但是各界对个人信息保护法的内容构成、个人信息保护法与之前立法的关系、个人数据和个人信息保护等多方面问题还存在争议,未形成统一看法,个人信息保护立法以及其完善依然任重道远。
(三)网络服务方用户个人信息安全体系不完善
网络服务方拥有着大量的用户信息,是大数据时代的重要一环,作为一个负责的网络服务方,其必须要建立完善的用户隐私信息安全体系,但现实情况表明,网络服务方的信息安全软件开发、信息安全人员管理、信息传递、信息储存、信息安全防护等多个环节都存在着漏洞,使用户个人信息泄露与非法利用变得更容易发生。同时,一些人为因素也是导致用户信息泄露的重要原因,部分网站的设计服务人员在进行网站设计时,往往留下程序漏洞以便利个人工作,这极大地损失了网站的安全性,在此情况下,很多不法分子和程序、木马病毒便会攻击、感染网站,木马植入、钓鱼WiFi、电话监听、钓鱼网站等都是用户信息泄密的途径。此外,网站经营者个人素质参差不齐,部分人在未经客户同意、用户不知情的情况下故意泄露、出售或者非法向他人提供用户信息。
三、大数据时代下个人信息安全保护的建议
(一)增强社会各方个人信息隐私保护意识,营造良好氛围
个人层面上,社会公众应当积极顺应大数据发展潮流,增强个人信息保护意识,努力学习有关大数据的知识,提高个人安全防护软件使用能力和信息真伪辨别能力,在日常生活尤其是网络生活中不随意透露个人信息,发现不法行为应积极向有关机关举报。企业层面上,企业尤其是与网络有关的企业作为大数据时代下个人信息搜集、存储、使用和传播的主体,要注重加强企业成员道德和法律意识建设以及企业内部信息安全服务体系建设,在法律的框架内合理安排企业经营活动,互联网企业应加强自身规范制度的建立,构建合理的互联网或APP使用条例。政府部门层面上,尤其是行政部门和公共服务部门,因为其特殊属性,应该积极组织有关的个人信息保护知识普及活动,借助多种平台如微信、电视、报纸等宣传普及信息安全知识,并加紧制定出有关的规章制度,对侵害公众信息安全的不法行为进行打击,引导社会形成一个尊重个人信息安全、遵纪守法的良好氛围。
(二)加强个人信息保护立法,重视执法
一方面,我国需要建立一个更加完备、更加符合我国国情、更加展现时代特征的个人信息保护立法体系。大数据时代背景下,我国可以学习借鉴欧盟、美国等国家的个人信息保护法律如欧盟的GDPR(欧盟通用数据保护条例)、美国的《公平信息实践》(FIPs),结合其实践经验和我国的情况,梳理与分析公民个人信息保护中的共性与个性问题,为当今个人信息保护中出现的争议较大和难以处理的问题提供经验借鉴和解决路径参考。考虑到大数据时代下个人信息保护的跨时空和超国界的特点,我国需要谨慎考虑本国立法与美国、欧盟等外国在法律条文上的相关性,在确保立法具有我国特点的前提下,更多的使法律符合国际的一般要求和规范,使我国的信息保护立法做到与国际社会立法相接轨。另一方面,我国还应制定独立的个人信息保护法,把个人信息保护从间接层面转向直接层面,正确处理好新法与旧法、个人信息保护法与其他法律中的個人信息保护条款的关系,打破个人信息保护法律法规不成系统、过于零碎、操作性不强的尴尬局面,补齐当今法律体系在个人信息保护方面客观存在的诸多短板,促进我国建立一个全面的法律体系。
(三)完善大数据信息安全管理系统
大数据时代下的各种信息数量庞大、难于管理,且价值密度在不断增大,各类相关主体都需要树立风险意识和发展意识,构建完善的大数据信息安全管理系统,以技术层面上的创新来实现大数据和公民权益保护的协同发展。具体来说,信息安全管理系统主要包括数据采集、安全评估、风险分析和安全防御四个方面,完善现有的信息安全管理系统也应该从这四个方面来进行,如建立一个覆盖全局的数据安全体系、学习先进的安全技术、建立动态的以风险评估为基础的持续改进的管理方法,进一步改善安全防御的功效,为大数据时代下的信息安全提供强大的动力和支撑。此外,在完善信息安全管理系统的同时,还应做好对于收集的合法数据信息的应用,可以从宏观层面入手,对信息基于整体进行分析与管理,利用收集的信息和数据去提取、分析、预测企业的信息安全状态,以数据来服务信息安全。就国家来说,相关部门应该积极推动科技创新,加快各省、各地区之间的联系,积极推动各地互相合作,加强联动,形成一个覆盖全国的完整独立的数据安全管理体系,这有利于政府部门对于信息安全的监督和管理,更好地服务人民。