大数据时代用户数据信息隐私保护路径
2021-01-21孙皖湘宋婉冰龚芳敏龚逐流
孙皖湘,宋婉冰,龚芳敏,龚逐流
移动互联时代,“大数据”渗透在公民的日常生活中,个人数据信息几近透明,数字化记忆构建的隐蔽型“圆形监狱”对人的监控更加严格,不仅监视着公众正在进行的行为,甚至还能预测到某些可能发生的行为,但是公众却不知道其信息隐私是被何人、何时、以何种方式泄露出去的。2018年的“Facebook 泄密事件”让许多国家政府都感到震惊,剑桥分析通过购买一个App(“this is my digital life”)的数据,窃取到超过5 000万用户在Facebook上的数据信息,可能被用于“美国大选”这样的政治场景的广告投放;2018年全球超过6 500起数据泄露事件被公开,其中泄露信息人数超过1亿的事件就有12起。2020年,新浪微博出现超话#微博泄露5亿用户信息#,有网友发出新京报的报道截图,在一些外网交易平台12元可购买201条微博用户信息,更有1.72亿的用户账号信息被明码售价;#人脸信息0.5元一份出售#,#315晚会曝光手机窃贼插件#未经用户同意后台肆意获取用户信息,一名欺诈者窃取消费者信贷公司数据致使#南非出现重大数据泄露事故,2 400万个人信息被窃取#,类似于这样的泄露事件热搜话题,在近年的微博话题榜中数见不鲜。
用户隐私信息在暗网公开售卖、上市公司窃取用户隐私牟利等事件揭示着数据泄露触目惊心的现实,该黑灰产业链正向我国13.9亿移动端用户蔓延。数据聚集开发应用的背后,平台收集用户数据建立大数据库,这已经成为互联网行业最为重要的高价值资产。数据的使用不仅包括“电商比自己更了解自己”[1]的商业场景,也包括“可能影响美国大选类似的重要公共生活”的政治场景。数据隐私泄密的风险突出,隐患很大,因此,社交应用在数据的获取、储存、处理和使用等过程中,如何才能有效的保障用户的个人数据隐私安全,已经成为当前各国政府和互联网行业所面临的巨大挑战。
1 互联网大数据现状及问题分析
就目前而言,造成互联网企业的用户个人数据隐私泄露的原因主要有以下3点:
1.1 互联网服务商越界夺权,收集用户数据成本低廉
大数据时代下,互联网企业的平台价值正退位给数据价值。为此,多数的社交网络服务商们便出现先向用户索取各种非应用必需的权限,后为用户提供服务,拒绝授权就无法使用的强制手段,这使得移动设备权限内的用户所有行为都转为数据,各个网络接口都能随时随地进行采集,被网络服务商的后台实时监控并储存在数据库中,后期通过数据提取、分析、处理和加工来进一步发掘价值。部分应用商选择开放应用接口引入第三方应用与其合作,通过共享用户的数据信息以求更高的经济效益,这些早已成为互联网企业的惯用手段。
在当下收集用户数据信息已经远超出人们预期的大数据时代,互联网企业获取用户信息的成本太低,对于收集到的数据安全就很难给予高度重视。如:BlueKai隶属甲骨文云的数据平台被曝出泄露了数10亿条Web跟踪数据记录。其泄密原因为:该服务器处于不安全状态而且完全没有设置密码,以至于数据被泄露到开放的Internet上,数十亿条记录可供任何人查阅。社交媒体收集的数据多数被用于应用自身的个性化广告投放的简单商业场景,但其数据的最终开发使用者往往都不是最初收集用户数据的社交媒体服务商,更多的时候它们被共享或者售卖给其他机构,而当数以万计的用户的个人数据信息被共享和售卖辗转至更多机构时,其安全的保障工作也因此变得更加困难[2]。
此外,很多企业都不具备“向外抵御黑客攻击,向内严防泄密者”的数据安全管理能力。如目前全球最大数据泄露——雅虎30亿账户信息泄露事件,经证实,其泄露的所有用户账号都是受到黑客攻击。企业的管理漏洞,导致内部人员无意授权或利益驱使主动泄密的事件也时有发生,如美国的电信Verizon运营商600万用户数据遭泄露事件中,由于Nice Systems(Verizon供应商)员工不小心错误操作导致用户信息公开放在了互联网。当今公司间的人员流动性逐渐增强,互联网企业内部人员离职导致用户的个人数据资料信息泄密也是一个不可忽视的重要原因。根据研究结果显示,67%的人表示他们使用前雇主的商业机密、敏感信息以及专利信息帮助其在新公司立足。70%到80%的数据泄露事件源于内部工作人员的泄密。
1.2 隐私“变异”保护更难,用户维权有待完善
我国是社交网络注册人数和用户活跃人数的大国,而社交网络中的个人隐私在传统隐私的基础上,产生了更多的新特点:隐私边界扩大化、经济性和精神性并存,裂变式泄露途径,易复制和易流动等,[3]这些特点都使得用户数据信息在社交网络中的复杂程度急剧加大。在数据安全事件发生后,企业无法第一时间进行有效的控制、追溯和审计,增加了有效保障用户数据信息安全的难度。
政府对国家范围内的互联网企业平台具有监管职能,主要的治理手段包括行政监管执法和立法。目前,政府无法对企业平台内的所有日常活动进行直接监管。只能采用“个人信息专项治理”手段,通过制定实行相关的技术规范,接受“问题型”App举报,以及对常用应用程序进行检测评估等方式,来督促互联网企业以及社交媒体软件整改问题,并对违法违规行为进行处罚。在立法层面,2016年我国颁布了《网络安全法》,其中提出了个人信息保护的基本原则和要求,并将个人信息安全保护问题作为网络信息安全的重要内容予以规定,要求互联网企业运营者在其收集和使用用户个人信息时,应当遵守相关法律法规的要求。基于此,App运营者制定出隐私服务条款,但这些条款中存在的许多术语内容对于用户来说既宽泛又难懂,同时还存在着对使用数据信息的目的解释含糊其词的情况,用户难以认真阅读并理解,往往都是选择草率的勾选“同意并继续”。因此,当用户为自己的个人信息泄露选择法律进行维权时,其所不明不白签署的“平台的用户隐私服务条款”反而对于平台来说是一个很好的保护伞。
1.3 公民隐私保护技能不足,个人信息安全意识仍需提高
现下社交媒体用户实名制的时代,很多用户仍然停留在社交网络只是一个虚拟社区的认知当中,认为自己的数据信息除了服务商,他人无法获知。过分的信赖服务商,其影响就是用户会在有意或无意发布信息之中泄露自己的个人信息。有时用户为图便利,会在社交网络中存储重要的个人隐私,认为这样不仅可以节省自己终端的存储空间,还可以随时随地利用移动终端登录社交网络查阅,然而当个人的社交账号丢失被盗,这也会将存储在社交网络上的个人信息暴露无遗。过分信赖社交网络好友,随意打开不明链接;授予小程序昵称与位置信息采集;下载低星低评应用程序附带有不明插件对个人数据收集,这些都是用户自身行为意识与操作不当而导致的个人信息泄露的重要原因。
我国目前的网络安全教育进展比较缓慢,许多公民们仍只将银行账户密码,软件支付密码,身份证信息视作个人隐私信息,但其人脸识别记录、移动支付信息、朋友圈和微博内容、信用卡消费记录以及医疗内容等类似这些足以“定义”个体的数据信息,其实都属于公民的个人隐私范畴。用户群体对于自身的其他数据信息的防范意识缺失,网络安全技能相对薄弱,加之隐私安全的维权意识不强,这些不足之处使得互联网行业的用户数据违法收集行为的肆意与泛滥,也为自身的信息被泄露埋下隐患。
2 大数据隐私保护实效提升策略
针对上述提出的用户信息隐私安全保护的问题,建议从以下个角度采取应对措施:
2.1 加强企业数据安全管理,建立行业数据安全自律组织
企业先要建立内部完善的标准化、覆盖数据全生命周期的数据安全管理机制;加快前沿数据安全技术的研发工作,为数据安全管理技术赋能;并结合自身企业实际情况,积极部署企业数据防泄密系统,满足存储、传输、终端、云等各种应用场景下的数据泄露防护需求,同时根据实际的需求对不同的部门设置不同的加密策略及相应的控制策略。
行业可以建立由各服务商共同协商参与的互联网行业数据自律组织,立足数据安全与数据应用协同发展,引导企业参与国家大数据安全规则制定,形成行之有效的行业规范,以确保用户的数据信息安全。行业规范的内容可以参考我国首例个人信息保护的国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》中提出的以下原则:目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等[4]。不断优化数据的行业安全标准体系;开展行业数据安全治理水平评估,定期向社会公布企业保护个人数据安全的举措与成果;积极宣传数据安全法律法规,提升公众数据安全意识,为数据安全治理营造良好环境。
此外,行业自律组织可以制定服务商、用户信息拥有者和数据消费者三者之间共同认可的行业自律公约,让数据共享的合法性得到保证。在非强迫条件下,征得用户同意使第三方应用程序,通过接口使用社交网络中的个人数据时,要极力保障用户信息隐私的安全,不可私自售卖与随意分享。加强企业内部管理,时常进行互联网企业员工的职业道德教育,严防某些内部工作者利用职业便利,私自拷贝、贩卖社交网络中的用户数据信息。
2.2 政府设立专项管理机构,服务商依法整改隐私声明
由企业和执法者多方共同摸索,从国家层面实施合理的监管措施:强化数据安全治理的顶层设计,确立数据安全防护能力标准,实现数据安全风险总体可控;加强数据安全执法,对互联网企业的内控机制进行专项检查和整治行动,对违规滥用事件进行严厉打击。要求企业收集用户信息必须以实现特定目的为界,不得越界。积极推进个人信息保护立法,坚持技术发展与信息保护平衡的原则,界定个人信息合法使用的范围,明确个人的数据权利及权利救济途径,通过技术标准和安全保障措施健全个人数据泄露风险防控制度。完善打击大数据犯罪相关立法,明确数据窃取、滥用与误用的刑事责任,加大对危害数据安全行为的惩戒力度[5]。
目前仅通过微信公众号“App个人信息举报”让网民自发对违规服务商进行举报这单一途径,在监管与机构的方面还是存在不足。政府可以组建以同时精通网络与法律的工作人员为核心的用户数据信息隐私安全的专门机构,对用户注册人数多、使用频繁以及与日常生活密切相联系的App隐私声明和用户的数据信息收集使用情况进行不定期的随机评估,并对有关公民的网络数据隐私方面的事务进行服务与管理。其业务范围可以包括:监管互联网企业应用程序,接收公民的个人数据信息投诉,处理 “信息隐私安全” 纠纷,指示侵权人停止侵权并赔偿损失,协助法院、检察院调查取证等工作内容,有效的保障用户隐私维权的可行性和高效性。
移动端的程序运营者可以根据2019年正式发布的《App违法违规收集使用个人信息行为认定方法》进行自查自纠,及时对旗下应用的权限作出调整,本着为用户的信息与财产安全着想和负责的原则,极力避免因为应用越界索权而面临约谈下架整改的局面。应用程序的隐私声明要注重实效,不能成为推卸自身责任的借口。不可强硬要求用户提供数据进行收集和使用,尊重用户的隐私知情权,告知用户收集信息的情况,服务商对用户的数据信息的使用方式和使用期限要在服务条款里进行显著而易懂地标述。
2.3 提高用户安全意识,坚决维护隐私安全
在享受互联网企业和社交媒体给生活带来沟通交流、开放分享的便利环境的同时,用户也应该知道自己的信息容易被泄露和非法采集。政府和行业自律组织应该积极全面地开展公民网络数据信息隐私安全教育,强化个人数据信息保护的宣传工作,鼓励公民维护个人隐私安全,让公民从思想意识上高度重视社交网络中的个人隐私保护,在实践中养成良好的使用网络习惯,如:经常更改登录信息、及时关闭非必要权限、谨慎向第三方页面或小程序提供个人信息,不再使用App时及时注销账号等。
用户在使用过程中对App在个人信息隐私方面存在不满或被侵权,可以积极向公众号“App个人信息举报”反应,或者寻求其他有效途径进行解决维权,充分发挥公众自我的监督力量,坚决维护个人信息安全,让更多的使用者在面对应用的隐私声明时,不纠结、不反感,在使用App时更加放心自己的隐私安全。
大数据的收集处理技术和开放共享要求,削弱了用户对自我信息的处理权力,致使数据信息泄露的主要原因并不再仅是用户自身,可能来自其他的多个方面。因此,数据安全的保护管理工作不可能一蹴而就、一劳永逸,要真正解决用户信息的安全问题,就要加强企业与行业自律,严防黑客与“内鬼”;不断摸索寻求商业价值和公民权益之间合理的解决方案;亟待建立科学、长效的监督管理机制与法律法规;提高公民自身的数据信息隐私保护技能和维权意识,尽最大的力量改善用户信息隐私被肆意泄露的现状。