“我感覺自己像是在裸奔!”
大數據時代,人們在享受大數據帶來便利的同時,個人數據卻也越來越透明化和網絡化。不管是國外Facebook數據洩露事件,還是國内近期外賣訂餐平台美團用戶信息洩露風波,個人信息洩露風險都時刻給我們敲響警鐘。
5月起,《信息安全技術個人信息安全規範》作為國家推薦标準正式實施。這部由33位專家共同起草、曆經兩年多博弈的《規範》,被認為在軟法層面填補了諸多規則空白,為提升公民意識、企業合規和政府調節水平提供了新的業務參照和行為指引。
但我們仍然要清醒地認識到,個人隐私數據的保護還有很長的路要走。
巨大商機背後也蘊藏着巨大風險
打一個房産咨詢電話,第二天開始各個中介的電話就接踵而至;辦張銀行卡或會員卡後,就能接到準确叫出你名字的陌生電話;下載APP要求享有“監聽電話”“讀取聯系人”等相關權限;一些互聯網公司以“默認勾選”等隐蔽方式收集用戶信息;有的平台采取“一攬子”協議的做法,用戶隻要點擊“同意”,就意味着對該平台的所有應用開放了信息……
山東準大學生徐玉玉因為個人隐私信息洩露而被騙子精準把控,緻使其被騙後傷心欲絕,最終不幸離世的事件,至今令人心寒。
無疑,随着計算機大數據與雲計算的加入,個人信息保護不再是簡單地保護個人身份信息、家庭住址等。一組組數據背後暴露的是個人消費習慣和行為習慣等,這其中隐藏着巨大商機,但也蘊藏着巨大的風險。
據《中國個人信息安全和隐私保護報告》統計,超過七成受訪者認為個人信息洩露問題嚴重;多達81%的人收到過對方知道自己姓名或單位等個人信息的陌生來電;53%的人因網頁搜索、浏覽後洩露個人信息,被某類廣告持續騷擾;在租房、購房、購車、考試和升學等個人信息洩露後,受到營銷騷擾或詐騙的高達36%。
5月15日,銀聯官網發布安全提示稱,2018年以來,電信詐騙案、盜竊銀行卡、非法套現、冒用他人銀行卡、網絡消費詐騙案件仍然多發。從作案手法來看,電信詐騙形勢依然嚴峻,其中超過90%是由于個人信息洩露引緻,已成為犯罪主要源頭。
騰訊守護者計劃安全專家馬瑞凱表示,人們在網絡上的一舉一動都能被數據化。“個人信息可用于精準詐騙,提高犯罪成功率,不法分子采取五花八門的手段非法獲取個人信息,隻要‘有心’,就可能成功。”
在中國政法大學傳播法研究中心副主任朱巍看來,個人信息洩露導緻的典型案例有共性,即盜取手段精細化,犯罪主體組織化,信息需求、盜取、交易形成了一條完整的黑色鍊條,不法分子分工專業、配合高效,流竄在各個論壇、微信群等,隐蔽性很強。
《人民日報》曾報道,據推測,目前我國網絡非法從業人員已超150萬人,相關産業市場規模已達到千億元級别。
亟需專門的個人信息保護法
面對日益嚴重的個人信息洩露和安全威脅,人們開始呼籲相關法律和制度的建設。事實上,近年來我國也正在逐漸填補信息保護的制度空白,相關法律體系也日漸完善。
2017年6月1日起正式實施的《網絡安全法》,除總則、附則外,直接涉及用戶個人信息保護的條款有10餘處,對嚴防個人信息洩露、濫用以及層出不窮的新型網絡詐騙犯罪作出了規定。《信息安全技術個人信息安全規範》于2018年5月1日起正式實施,對目前互聯網行業取得用戶個人信息時發生的“默認勾選”“最小化原則”以及“跨界融合”三大常見問題進行了詳細規定,企業有了可以參照的标準。
然而,不少業内人士認為,《網絡安全法》解決的主要是與網絡安全相關的問題,涉及面比較廣泛,雖然網絡安全法中有專門針對個人信息安全保護的章節,但由于立法目的不同,可能對個人信息的保護并不全面。《規範》為數據控制方提供了一系列既遵循《網絡安全法》,又切實可行的做法,但其法律效力卻并不高,無強制力。因此,出台一部專門的個人信息保護法迫在眉睫。
今年5月25日,商讨4年的歐盟一般數據保護條例GDPR(一般數據保護條例)正式施行,要求不論是政府或是民間組織,都有義務保護其所收集、處理、利用的個人數據。一旦違反該條例,将被處以高額的行政罰款,違規行為還包括純粹程序性的違規行為。其罰款範圍是1000萬到2000萬歐元,或企業全球年營業額的2%到4%,并且以較大數額為準。
北京師範大學刑科院暨法學院副教授、中國互聯網協會研究中心秘書長吳沈括告訴《中國報道》記者,這則最嚴厲的數據保護法,為大數據時代“裸奔”的大衆穿上了衣服。可以預見的是,對個人隐私數據執行嚴厲的保護法案也可能成為未來的趨勢,預計類似GDPR的法案也會迅速波及歐盟以外的其他地區。
4月27日,第五屆首都網絡安全日在北京展覽館開幕,市民現場學習網絡安全知識。監管要采取責任倒逼機制
有業内技術人員告訴記者,企業尤其是互聯網企業之所以會洩露個人信息,問題主要出在兩個方面:一是技術層面,比如API(應用程序編程接口)沒有做認證,網絡入侵者可以根據訂單序列号“爬取”用戶信息;或者公司沒有及時更新與升級信息保護手段,建立有效的防護機制等。二是人的問題,比如企業内部人員洩露或盜賣個人信息等。
大數據時代,用戶希望“我的信息我做主”。上海财經大學商學院教研部主任鐘鴻鈞認為,隐私保護應該具體問題具體分析。“跟蹤技術使得商家可以推測消費者偏好,更加容易實施差别定價。另外,消費者難以完整理解或預期個人信息被交易/保護的後果,個體有關隐私的決策也未必是理性的。而且,技術和社會變遷對監管的影響要遠高于其他方面的監管。基于這幾個原因,隐私監管難以構建統一的監管框架,而适用個性化和微調的方法。”鐘鴻鈞告訴《中國報道》記者。
實際上,因信息洩露造成的影響,越來越多的企業也開始發力個人信息保護。比如滴滴采取的“号碼保護”,利用虛拟中間号的技術,保障司機、乘客手機号碼彼此不公開,訂單結束,“虛拟号碼”就會失效。京東日前發布的《京東隐私政策》,對用戶的隐私保護做到了具體化和透明化。
北京大學法學院教授薛軍認為,需要采取技術與管理手段來防範“内鬼”。同時應采取責任倒逼機制,通過嚴格追究平台責任來促使平台采取嚴格的内部管理和内控約束機制。
事實上,除了國家相關法律制度的制定以及相關企業的積極努力,個人也應繃緊信息安全這根弦。正如湖北省消費者委員會所提示的那樣,我們每個人都應該提高自我防範意識,在源頭上避免個人信息洩露,進而壓縮個人信息非法利用空間。