个人隐私有望告别“裸奔时代”
离开银行不久,手机收信箱里就堆满了理财推销的信息;刚报名了课外培训班,盈利机构的邀约电话一个接着一个;打开朋友圈,昵称是A开头的微商们的推销广告铺天盖地......
生活在高度信息化时代的我们像是在裸奔,毫无隐私可言。
自2012年起,315晚会已连续七年提及信息安全隐患问题,今年则再次点名曝光了一条通过“探针盒子”构建的高科技灰色产业链。RSA Security发布的“2019年数据隐私和安全报告”显示,只有48%的消费者认为公司可以通过道德方式使用他们的数据。
只有法律,才能堵上这些个人信息的“漏勺”。
所幸,这一回,它终于出手了。
噩梦重演
朋友圈里啥都晒,个人信息随意留,网上支付不小心......观察下来,对这些涉及到数据运营与管理的企业机构一直疏于监管,导致部分不合规业务“野蛮生长”,侵害他人合法权益的事件层出不穷。
不如就从今年说起。
2020开年以来,疫情打压众多传统行业的同时,也为线上办公及电商云服务等赛道带去前所未有的契机。然而,随之而来的还有一系列的数据安全和隐私泄露事件。
2月,有安全研究人员表示,化妆品公司雅诗兰黛将一个缺乏保护措施的数据库暴露在互联网上,该数据库存储了4.4亿条记录。此次泄露事件总共涉及超四亿条记录,其中包含大量的审计日志和邮件地址。
3月,有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元。其中绑定手机数据包括用户ID和手机号,账号基本信息包括昵称、头像、粉丝数、所在地等。
4月,任天堂发现大约有16万个账号被非法登录,结合之前该公司的泄露事件,前后相加,大约有30万个帐号ID里所包含的出生日期、邮件地址等信息可能存在被泄露的风险。
5月,脱口秀艺人池子微博发布长文,表示自己在处理与上海笑果文化传媒有限公司的合约纠纷时,收到来自对方的案件材料,中信银行在未经本人允许的情况下,为“配合大客户的需要”,泄露了他的个人信息,严重侵犯客户个人隐私。
6月,科技巨头甲骨文公司的数据管理平台BlueKai因为在服务器上不加密码从而泄露了全球数十亿人的数据记录,数据来源包括不少有影响力的媒体网站,如亚马逊、纽约时报等。
数据安全事件频发,社会各界议论纷纷,更多的是不满与担忧:不是已经整治好了吗?怎么又开始了?
自2017年5月开始,监管部门对于违法开展数据活动行为的严厉打击就从未停止,风浪最大的时候,被调查的公司名单高达30多家。不止是独立的第三方数据公司,那些基因里带有“高度倚赖数据”的企业可能都正战战兢兢地游走在“是与非”的边缘。
特别是互联网金融行业,从企业到消费者,都对2019年针对现金贷、P2P、暴力催收等业务身后的爬虫公司清理行动记忆犹新。亿欧金融也曾对这次的行业“大清洗”做出报道,得数据者“失”天下,金融大数据连环爆复盘。
公开资料显示,公安部开展的“净网 2019”专项行动,共查处违法违规采集个人信息的 APP 共 683 款。诚然,这场被称为“史上最严监管”有力地推着行业向正规化道路上迈了一大步。
但历史经验表面,在利益的诱惑下,想要实现“完全净化”,并非易事。阵痛过后,大数据行业的“连环爆”却并未告终,糟糕的情况如多米诺骨牌一般,不断坍塌。
大数据产业发展进入下半场,此时,仅靠事后的严惩修复,已然不能从根本上去除病因。
源头,还在于立法的缺失。
蔚然成风的隐私保护
2019年10月初发布的《2019全国网民网络安全满意度调查统计报告》显示,这一年里我国网民的网络总体安全感有所提升,个人信息保护成为关注热点,其中网民对个人信息保护和网络平台责任加强立法的诉求再次被拔高。
公安部第三研究所网络安全法律研究中心主任黄道丽曾在演讲中表示,我国在大数据发展和应用方面呈现技术利用程度不高、行业发展不充分、政府监管偏失等不足,尤其在数据安全方面,“个人信息遭受泄露、披露或公开或是被不当使用、非法使用的风险也是相当高。”
“大多数人面对数据滥用、信息泄露时,选择忍耐和消极抵抗。”中国政法大学互联网金融法律研究院院长、中国政法大学大数据与法制研究中心主任李爱君观察到,大部分人收到电话骚扰时选择列入拒接名单或挂掉电话,但在遭受财产损失后,仍有45.15%的受访者没有采取任何维权措施。
2019年9月17日,在国家网络安全周大数据安全分论坛上,中国工程院院士沈昌祥提到,”杀病毒、防火墙、入侵检测的传统’老三样’难以应对人为攻击,且容易被攻击者利用;找漏洞、打补丁的传统思路不利于整体安全。”
“要更多关注隐私政策内容本身。”中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲表示,在大部分人的理解中,现有隐私政策是一揽子、强迫用户同意,粗暴地弹一个窗口问是否同意,不同意就退出。
2019年7月13日,第四届北大互联网法律媒体研讨班上,相关行业专家提出,中国现有的个人信息保护基本法律法规框架总体是分散的,没有统一的个人信息保护法,目前最综合的法规是《网络安全法》,但其中只有几条个人信息保护相关条款,处理此类事件还是依赖部门规章。
长期以来,个人信息保护领域的很多问题尚未有定论,比如个人信息的权属问题、关于征得同意的方式方法问题等等。同时正是因为这些争议,也造成了立法本身的难度增加。
上至监管层,下至千万家,蔚然成风的隐私保护愈加强烈。
千呼万唤始出来
2020年5月25日,十三届全国人大三次会议举行第二次全体会议,在加强重要领域立法方面,工作报告指出,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法。
5月28日零点,国家互联网信息办公室发布了《数据安全管理办法》征求意见稿,其中的第二章第十六条规定,网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。
这是首次对爬虫问题进行了规定。
2020年6月28日,在北京举行的十三届全国人大常委会第二十次会议上,《数据安全法(草案)》初次提请会议审议。
草案的主要内容包括四大方面:确立数据安全保护管理各项基本制度,提升数据安全治理和数据开发利用水平,落实数据活动主体的安全保护义务与责任,建立政务数据安全管理制度和开放利用规则。
捣毁“窝点”不是重点,重点在法律上应明确如何处置违规开展数据活动的行为。同济大学区块链价值互联网创新应用实验室戴文浦表示,“高效且合规的模式,是以区块链贯通全产业链数据,基于整理有效数据集——信息,然后建立信用体系,也就是基于数据信息信用的新型社会治理机制。”
“要想推进人工智能、区块链等技术公司的快速发展,就一定要推进数据的合规发展。”链兴资本创始人张明镜表示,随着国家新基建整体法案的推出,算力和数据作为未来核心生产力被纳入到国家战略的规划中,是未来基础技术赛道的基础。
张明镜提出,“隐私计算+区块链”是数据要素自由流通、价值交换最好的解决方案。“前者能解决隐私保护和交换问题,后者能解决价值流转和审计追溯问题,将二者结合起来,将为很多创业公司提供新的方向。”
在此次的法案中,也多次针对于涉及数据管理运作业务的企业机构进行提示。
例如,草案第二十五条规定,开展数据活动的机构及企业应当建立健全全流程,并定期组织开展数据安全教育培训;该条规则还特别提到,重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。
草案第二十七条则指出,当数据安全出现缺陷、漏洞等风险时,除了要立即采取补救措施,还要及时告知用户,最大程度上降低损失。
草案第二十九条强调,任何组织或个人对于数据的使用不得超过必要的限度。
合理地应用数据这项珍贵的资产,是在企业日常的经营管理中至关重要的一个环节。一方面,要运用先进的技术水平和创新思维将数据价值最大化,另一方面,也要远离触犯个人隐私和数据安全的“红线”。
在草案的基础上,下一步,就是将这条“红线”描绘得更醒目,难以撼动。
路漫漫其修远兮
2019年G20国家数字竞争力指数评价结果表明,中国在G20国家数字竞争力指数排名中位居第二,尤其在数字经济和数字服务方面具有较强的竞争优势,相关指数排名位列G20国家首位。但数字治理与数字安全两项指数的排名却是十名开外。
全国人大代表,中国移动集团公司董事,浙江移动党委书记、董事长、总经理郑杰已经连续两年提出加快制定《数据安全法》的提案,他表示,“数据垄断不利于市场有序竞争”、公共数据的利用存在“不愿”、“不敢”和“不会”共享开放等也是目前存在的问题。此外,国家数据主权未确立,中国在数据跨境流动中处于劣势这个问题也值得关注。
放眼国外可参考的历史经验,早在1974年,美国联邦就制定了《隐私法》,2015年通过的《网络安全信息共享法》进一步规定了个人隐私、自由等私权利的保护;在此基础上,2018年,欧盟在《通用数据保护条例》(GDPR)中,首次明确了数据处理者也需要直接承担合规风险和义务。
郑杰分析,随着各国之间数据资源竞争愈发激烈,“长臂管辖”效应不断扩散,数据主权成为各方博弈的焦点。中国如不确立数据主权,将在数据跨境转移以及国际数据竞争中面临劣势。
产品设计有一个天然的“不可能三角”:廉价、便捷、隐私。
要便宜免费、要保护隐私,这其中有天生矛盾。站在企业的角度,难免喊冤,毕竟消费者所感知到的是个人信息保护外侧的内容,而无论企业花费多少财力去打造数据防护的壁垒,仍然存在被攻击的可能,此时矛头都会直接指向企业的防护措施不当、风控水平不佳上。
特别是对于囊中羞涩的中小企业,难以权衡在数据保护上的花费与成效,无奈之下只好抱着侥幸的心理钻监管的空子。
类似这样的隐性问题又该如何解决?
IDC统计结果表明,全球数据容量从2018年的33ZB到2025年将超过175ZB。我们假设让一个人以25Mb/s的速度去下载这些数据,竟需要整整18亿年。如此庞大的数据体量中,既包含用户个人隐私数据,也包含具有重大商业价值的企业数据和涉及到国家政府安全的机密数据。
多年来,我国的监管层始终像是辛勤的“消防员”,只能在每一次东窗事发后,再去力挽狂澜、起死回生,而实际上,能够未雨绸缪、防患于未然不才是更好的实践途径吗?
有法可依,算是开了一个好头。
数据隐私,这个细思极恐的话题,能否在这一次真正进入“完结篇”,我们拭目以待。
致谢:
感谢链兴资本创始人张明镜,同济大学区块链价值互联网创新应用实验室戴文浦教授,基于本文所接受的采访。
参考文献:
《公安部专家谈大数据安全与政策法规》BDTC前瞻;
《数据安全是大数据行业立法重点》中国经济网;
《中国工程院院士沈昌祥:网络安全“老三样”难以应对网络战》环球网;
《数据安全与个人信息保护的监管趋向》法制网。