陸峰賽迪智庫互聯網研究所副所長
我國個人信息保護存在巨大風險
随着人工智能、新零售等行業迅速發展,數據被大規模使用,企業與用戶之間的摩擦明顯加劇。然而,國内企業對數據的保護和使用仍然雜亂無章,信息洩露正以無孔不入的态勢入侵工作生活。利用獲取信息的特權,企業搭便車過度采集信息現象非常普遍。
不可否認,在萬物互聯時代,數據的戰略重要性與日俱增,但真正能實現商業價值的數據隻是一小部分。能站在數據權力頂端的,很可能是那些能真正使用好數據的超級公司。
然而日前,百度董事長兼CEO李彥宏在中國發展高層論壇上關于中國人對隐私問題的态度更開放、用戶可以用隐私來換取便利的言論,激起了網民的廣泛讨論。大家發現,即使安裝普通APP軟件,軟件要求用戶同意數十項的用戶隐私獲取權限方可安裝。被迫無奈用隐私換取便利已經成為了大衆對當前我國個人隐私保護現狀的共識。
随着互聯網應用日益融入到大衆生活中,個人信息被大量留痕在各類網絡服務平台上,作為數字經濟時代個人最為寶貴數字資産,加強個人信息保護,不僅事關個人權益的維護,更是關系到網絡社會時代個人的幸福感和獲得感。
個人信息濫采濫用現象嚴重
目前,國内企業采集用戶信息主要存在以下問題:一是個人信息濫采現象十分嚴重。目前大部分APP軟件在安裝過程中都或多或少存在獲取與軟件應用功能無關的個人信息,主要包括個人通訊錄、地理位置、個人相冊等衆多信息訪問權限。以手電筒APP軟件為例,除了要求獲取電池和攝像頭訪問權限之外,還要求訪問用戶通訊錄和地理位置等與軟件功能無關的個人信息。
二是企業通過軟件服務獲取用戶個人信息後,究竟如何使用這些個人信息,是否存在信息倒賣或者過度挖掘等行為,用戶完全不知,也無法掌控。
三是用戶許可協議流于形式,盡管許多軟件在安裝過程中都有用戶許可協議步驟,但許可協議存在條款冗長難以閱讀、霸王條款強迫用戶等行為,甚至像支付寶一樣替用戶勾選等現象也大量存在。
2014年8月,微博訴脈脈抓取使用微博用戶信息;2017年8月,騰訊指控華為榮耀Magic手機侵害了微信用戶的數據;2017年6月,順豐和菜鳥數據斷交門等大量類似事件中,雙方企業圍繞用戶數據的使用唇槍舌劍,但是作為數據所有者的用戶卻沒有任何發言權。
企業間個人信息之争,普遍暴露了當前個人信息保護存在以下幾點問題:一是個人信息被企業收集之後流通交易,流通情況個人是不掌握的。二是企業收集的個人信息,究竟誰能用,誰又不能用,作為主角的個人并沒有發言權。三是個人信息被企業采集後開發利用,企業隻關心自身利益,個人用戶體驗是次位的。圖1個人信息、隐私受侵害行為類型來源:《中國個人信息安全和隐私保護報告》五大原因緻個人信息洩露
法律法規不完善
《網絡安全法》和《電信和互聯網用戶個人信息保護規定》中盡管對個人信息保護做了大量規定,但大多屬于方向性約束條款,缺乏可量化、可操作的執行細則,導緻企業在條款落實上有很大打插邊球空間,監管部門在執法上還有很大裁量空間餘地。
互聯網信息服務等各類互聯網行業管理辦法中,對個人信息保護重視不夠甚至尚未提及,導緻行業主管部門在行業管理時,隻盯業務行業合規性,輕視對個人信息保護。
違法成本太低,處罰力度太小,幾萬元、甚至幾十萬元的罰款處罰措施,對大型互聯網平台型企業而言,其威懾力度嚴重不足。
标準規範缺失
個人信息範圍、權屬和使用權限等标準缺失,尤其是針對網絡平台和大數據挖掘情況下個人信息的界定和使用,沒有統一的國家或行業标準,緻使很多個人信息開發利用處在灰色地段。
個人信息采集、存儲、清洗、使用等環節操作流程、業務規範、防護要求等沒有統一的标準,導緻企業在個人信息開發、利用、保護等環節缺乏合規合法對标尺度,個人信息濫采和濫用現象十分嚴重,風險隐患較大。
個人信息開發利用負面清單制度缺乏,導緻許多企業在個人信息采集、開發、利用和保護中,都是摸着石頭過河,以試探政府和社會反應為依據,來推進個人信息開發利用創新,企業業務創新風險極大。缺乏統一、規範、标準的個人信息采集和使用用戶承諾書,導緻許多企業制定用戶承諾書,都是以考慮企業利益最大化為目标,無限制強化自身權利,對個體保護自身信息存在極大不公平。圖2安卓手機APP中獲取用戶隐私權限情況來源:《網絡隐私安全及網絡欺詐行為研究分析報告(2017年一季度)》安全防護措施薄弱
部分政府部門和企業在個人信息的采集、存儲和使用中安全防護基礎措施保障不到位,難以應對複雜網絡、新技術應用、技術服務外包等各種條件下個人信息保護需求。
個人信息保護技術攻關研究和推廣應用步伐滞後,尤其是針對移動互聯網、雲計算、大數據、物聯網、人工智能等條件下,個人信息保護技術支撐能力不足,技術存在不成熟、未體系化等系列問題。
政府和企業信息系統和網絡平台個人信息保護制度不完善,網絡、技術、人員、外包等多個環節制度不健全、不系統、不精細,個人信息洩露和濫用風險極大。
個人信息保護透明度不高,政府部門和企業對個人信息開發、利用和保護等工作主動披露意識不強。
政府監督檢查手段滞後
政府監督檢查手段滞後,技術支撐保障能力不足,傳統線下檢查手段,難以适應對數字化、網絡化和在線化服務中個人信息采集和使用監管需要。
針對含有大量個人信息的信息系統和網絡平台,缺乏專業性、系統性、針對性的個人信息保護測評和個人信息等級保護制度。
尚未依據個人信息内容和規模實行分級分類使用許可制度,導緻不具備安全防護和風險管控能力,以及沒有規範采集和使用流程的機構,在采集和使用個人信息,風險隐患極大。
行業自律尚未發揮作用
技術研發、應用推廣等方面緻力于推動企業發展的聯盟很多,但屬于約束企業行為的個人信息保護行業自律聯盟缺乏,盡管有政府部門牽頭少量企業成立,但重點企業的積極性和主動性不足。
缺乏個人信息保護行業自律公約,重點企業和重點行業在個人信息保護方面的引導和示範作用尚未發揮。
缺乏個人信息保護行業自律發展水平評估,行業個人信息保護狀态缺乏摸底評估,大量企業個人信息保護透明度不高。
完善措施防止信息洩露
完善相關法律法規
加快出台《網絡安全法》個人信息保護實施細則,明晰個人信息保護法律操作要求,提供操作層面示範借鑒案例集。
加快出台個人信息保護法或保護條例,明确個人信息采集、傳輸、存儲、流通、交易、開發、利用等全流程環節權利和責任等法律要求。
将個人信息保護相關内容納入到互聯網信息服務等各類互聯網行業管理辦法中,明确各行業領域應用場景個人信息保護詳細要求。
加大對個人信息保護相關違法行為查處和處罰力度,提高違法成本和法律震懾效應,建議處罰力度與企業經營收入、洩露信息規模等要素挂鈎,對出現重大個人信息洩露或是違規利用企業,實施停業整頓或取締營業資質。
規範個人信息收集和使用
明确個人信息範圍、種類和權屬,特别要明确互聯網服務平台、大數據挖掘分析、大數據交易流通、政務信息資源共享、公共信息資源開放等情況下個人信息内容和權屬的界定辦法。
出台個人信息保護相關操作指南,明确個人信息采集、存儲、傳輸、清洗、利用等環節資質要求、操作流程、業務規範、管理要求、防護措施等。
出台個人信息采集和使用負面清單,明确個人信息采集、流通、挖掘和使用禁區,最大限度地促進和保護個人信息開發利用創新。
規範互聯網服務用戶同意承諾書,制定統一的企業個人信息收集和使用用戶同意承諾書通用模闆,統一明确企業必要的權責,最大限度地規範和約束企業個人信息開發利用行為。
完善個人信息保護安全措施
完善政府和企業個人信息保護安全基礎設施,加大入侵監測、電子認證、訪問控制、安全審計等配套保障設施建設,提高安全基礎設施保障能力。
加快個人信息保護技術攻關研究和推廣應用步伐,加大個人信息标記、脫敏、溯源等技術研究,增強移動互聯網、雲計算、大數據、物聯網、人工智能等融合條件下個人信息保護能力。
建立健全政府和企業個人信息保護制度,加強對網絡、技術、人員、外包等各個環節個人信息保護管理力度,完善全鍊條個人信息保護,防止個人信息保護出現短闆效應。
提高個人信息保護透明度,定期發布政府和企業個人信息保護白皮書,告知社會其在個人信息采集、開發、利用、保護等方面采取措施和取得效果,提高大衆對政府和企業個人信息保護信任度。
加強個人信息保護的監督和檢查
建立政府個人信息保護治理網絡平台,采用網絡監測、大數據挖掘、人工智能分析等各類手段,加強網絡個人信息采集、傳輸、開發和利用全方位在線監測。
加強對重點領域、重點企業、重點網絡平台的個人信息開發、利用、保護定期檢查,對存儲大規模個人信息的信息系統和網絡平台,周期性開展第三方安全測評,對測評不達标的信息系統和網絡平台,及時采取整改或清理措施。
實施個人信息應用等級保護制度,依據個人信息存儲規模、系統平台重要性等指标,采取不同安全等級防護措施要求。
實施個人信息使用分級分類認證制度,依據個人信息内容性質和信息規模,采取分級分類使用許可制度,對不同級别個人信息和不同分類用戶群體,提出相應個人信息采集和應用防護措施要求。
強化個人信息保護行業自律
推動電信、金融、互聯網、大數據、人工智能等重點領域成立個人信息保護行業自律聯盟,從技術、标準、管理、法律等角度加強個人信息保護行業研究。
發布個人信息保護行業自律公約,推動龍頭企業更加重視個人信息保護,形成社會引導和示範效應,帶動行業個人信息保護水平的整體提升。
依托行業自律聯盟,開展行業自律動态監測,實施個人信息保護發展水平評估,定期發布個人信息保護行業自律報告。
定期開展行業自律交流,組織研讨會、經驗交流會、論壇等形式,深入交流企業個人信息開發、利用、保護等經驗,共同探讨行業發展存在問題和應對措施。
技術是把雙刃劍,大數據技術也不例外。大數據發展給産業發展、民生保障、國家治理帶來新機遇的同時,也給個人隐私保護帶來了前所未有的挑戰。在沒有個人隐私的大數據時代,如何讓個人隐私得到切實有效的保護,需要技術、産業、政策三者協同發力。
如何在個人隐私保護和促進産業發展之間尋求平衡點,歐盟和美國走了兩條不同的道路,歐盟實施了嚴格的隐私保護政策,美國走了一般性隐私保護政策。歐美之間隐私保護政策有顯著的差異,但是差異背後相同特點都是依據各自互聯網産業發展程度來制定的。我國在制定個人隐私保護政策的時候,也要充分借鑒歐盟和美國的個人隐私保護政策,做到既能兼顧個人隐私保護,又能促進互聯網産業發展。
責任編輯:白雲