每月都發(fā)生數(shù)據(jù)安全事件 個人信息保護形勢依然嚴峻

2018年，全球范圍內(nèi)，大數(shù)據(jù)安全問題頻發(fā)。

Facebook用戶數(shù)據(jù)泄漏事件，被泄露的數(shù)據(jù)總量高達8000多萬條；喜達屋酒店用戶數(shù)據(jù)泄露事件，涉及了超過5億用戶信息；在國內(nèi)，圍繞大數(shù)據(jù)殺熟的討論至今也沒有停止�？梢哉f，平均每個月都有不同的公司發(fā)生或大或小的數(shù)據(jù)安全事件。

12月27日，在2018大數(shù)據(jù)合作與合規(guī)峰會上，中國電子技術(shù)標準化技術(shù)研究院信息安全研究中心主任劉賢剛做了上述表示。他同時告訴第一財經(jīng)1℃記者，近幾年，數(shù)據(jù)處于集中爆發(fā)階段，近一年產(chǎn)生的數(shù)據(jù)已經(jīng)是前幾年數(shù)據(jù)的總和。但數(shù)據(jù)密度價值很低，其安全性成為大數(shù)據(jù)產(chǎn)業(yè)發(fā)展中最重要的問題之一。個人信息保護問題，也已經(jīng)到了臨界點。

在個人信息保護上，中國雖已基本建立了體系框架、安全、實施指南、安全評估等技術(shù)標準，但仍然需要更高位階的法律來規(guī)范。2018年，個人信息保護法被納入到全國人大立法規(guī)劃的第一類項目，即條件比較成熟、任期內(nèi)可以擬提請審議。

在上述峰會上，騰訊發(fā)布了《騰訊隱私保護白皮書》，是首次以白皮書方式全面介紹其隱私政策的互聯(lián)網(wǎng)企業(yè)。騰訊在白皮書中首提“科技向善，數(shù)據(jù)有度”的隱私保護理念，同時提出了“用戶·控制·數(shù)據(jù)”的隱私保護方法論。騰訊大數(shù)據(jù)法務合規(guī)中心總經(jīng)理王小夏告訴1℃記者，騰訊搭建跨部門、跨業(yè)務、跨系統(tǒng)的數(shù)據(jù)和隱私保護團隊，通過科學規(guī)范的安全管理流程和健全的安全技術(shù)體系，充分保障用戶的知情權(quán)，實現(xiàn)用戶對個人信息的控制。后續(xù)，還將上線隱私保護平臺網(wǎng)站，實現(xiàn)用戶對個人信息的便利管理。

隨著技術(shù)標準的日臻成熟、法律規(guī)范的落地以及部分互聯(lián)網(wǎng)大型企業(yè)的表率作用，2019年，數(shù)據(jù)安全和個人信息保護有望開啟一個新局面。

數(shù)據(jù)安全形勢依然嚴峻

2017年7月，中央網(wǎng)信辦、工業(yè)和信息化部等四部委指導開展了個人信息保護提升行動之隱私條款的專項工作，對10款數(shù)量大、與公眾生活密切相關(guān)的互聯(lián)網(wǎng)產(chǎn)品和服務的隱私條款內(nèi)容、展示方式和征得用戶同意方式等進行綜合評審。

當年9月24日，這一評審的結(jié)果對外公布，包括騰訊微信在內(nèi)的10款互聯(lián)網(wǎng)產(chǎn)品參加這一評審，并獲得高分數(shù)。騰訊集團法務副總裁江波對1℃記者表示，微信通過《微信隱私保護指引》，全面、客觀地展示了微信一直以來保護用戶隱私的宗旨、原則和保護路徑。尊重用戶的知情權(quán)、選擇權(quán)，通過產(chǎn)品設計，讓用戶能便捷、高效地管理自己的個人信息，實現(xiàn)自己的權(quán)益。

歷經(jīng)一年多以來的整改，個人信息尤其隱私保護的局面得到一定程度上的控制，但還有很多企業(yè)在這方面依然滯后，甚至對這一工作毫不關(guān)注。南都個人信息保護研究中心主任蔣琳向1℃記者表示， 該機構(gòu)在2018年11月，對娛樂、醫(yī)療、體育社交等1000款APP做了隱私政策測評，結(jié)果顯示透明度高的只有13款，均來自于知名企業(yè)旗下的APP�？傮w而言，仍有超過七成App透明度不及格，兩極分化嚴重。有一款醫(yī)療健康類APP直接盜用其他企業(yè)互聯(lián)網(wǎng)政策，甚至連企業(yè)的名字都沒有改。

上述結(jié)論與中國消費者協(xié)會發(fā)布的《100款App個人信息收集與隱私政策測評報告》結(jié)論相吻合。中消協(xié)報告顯示，各類型APP中小企業(yè)APP得分均顯著低于消費者常用APP，常用APP平均分為74.78，而中小企業(yè)APP是39.18。其中，微信、QQ、京東、美團、騰訊視頻、QQ郵箱等消費者常用APP獲評高分。

面對復雜的參差不齊的個人信息保護局面，2018年9月10日，全國人大公布《十三屆全國人大常委會立法規(guī)劃》，將69件法律草案列入第一類項目，即條件比較成熟、任期內(nèi)可以擬提請審議，其中包括個人信息保護法。這意味著個人信息保護將迎來專門立法。

為了支持個人信息保護保護工作，除了法律法規(guī)，我國還制定了一系列技術(shù)標準，輔助法律法規(guī)的落地。劉賢剛告訴1℃記者，我國已基本建立體系框架標準、安全、實施指南、安全評估等技術(shù)標準。在標準推廣方面，一方面針對個人信息安全規(guī)范做了大量工作，包括連續(xù)兩年的隱私條款評審，通過一系列的活動，以提高國內(nèi)互聯(lián)網(wǎng)隱私保護水平的整體水位，進而帶動二線互聯(lián)網(wǎng)公司重視并做好隱私保護。

大企業(yè)應該垂范

隨著互聯(lián)網(wǎng)尤其移動互聯(lián)網(wǎng)的發(fā)展，越來越多的用戶已經(jīng)離不開互聯(lián)網(wǎng)產(chǎn)品。在法律法規(guī)、技術(shù)標準不斷健全的情況下，互聯(lián)網(wǎng)企業(yè)最應該關(guān)注如何應法律法規(guī)、技術(shù)標準的要求，建立自己的隱私政策體系，給用戶帶來好的個人信息保護體驗。大型互聯(lián)網(wǎng)企業(yè)更應該起到表率作用。騰訊發(fā)布的《隱私保護白皮書》，在國內(nèi)首次以白皮書形式，全面介紹了該公司各類產(chǎn)品的隱私政策。

該白皮書提出，在用戶隱私政策方面，騰訊已經(jīng)形成了隱私保護方法論——即用戶·控制·數(shù)據(jù)（P·B·D）方法論，以確保安全、透明、可控。具體而言，以用戶為中心，騰訊秉持“一切以用戶價值為依歸”的理念，充分保障用戶的知情權(quán)，增強隱私保護工作的透明度、提升用戶的感知度和參與度。騰訊通過隱私政策、隱私保護指引及服務協(xié)議告知用戶可能被收集的個人信息及具體使用情況。騰訊將隱私政策等規(guī)范文件放置在產(chǎn)品顯著位置，搭建“騰訊隱私保護平臺”讓用戶知悉騰訊隱私保護的相關(guān)事宜。

而控制力是指通過提供便利的信息管理功能，實現(xiàn)用戶對個人信息的控制力，提升用戶操作的便捷性。騰訊通過產(chǎn)品設計，將用戶對數(shù)據(jù)的控制轉(zhuǎn)化為實際的按鍵。對于用戶個人信息的管理，騰訊通過在產(chǎn)品中嵌入信息查詢、修改和刪除等功能，實現(xiàn)用戶對個人信息的控制。在用戶使用產(chǎn)品的過程中，騰訊通過彈窗提示和相應的管理頁面，確保用戶在充分知悉信息處理的情形下，進行自主選擇。例如，微信中的 “發(fā)現(xiàn)頁管理”，用戶可以開啟或關(guān)閉“朋友圈”、“附近的人”等功能。

上述白皮書全面介紹了騰訊“事前安全防御、事中安全動態(tài)監(jiān)測及事后應急響應”的保障體系。在數(shù)據(jù)收集階段，騰訊公示數(shù)據(jù)收集、處理情況，并對傳輸進行保護；在數(shù)據(jù)存儲階段，使用加密、備份等安全技術(shù)防止數(shù)據(jù)泄漏，保證數(shù)據(jù)的完整性、保密性和可用性；在數(shù)據(jù)訪問階段，通過訪問控制、身份驗證、權(quán)限分配及審批管理的流程和制度實現(xiàn)有效訪問；在數(shù)據(jù)處理階段，通過匿名化等隱私增強技術(shù)保護用戶隱私，并采取分級標準，區(qū)分敏感度，對高敏數(shù)據(jù)進行更嚴格的保護；在數(shù)據(jù)刪除階段，根據(jù)法律法規(guī)及與用戶的約定進行刪除。

王小夏告訴1℃記者，騰訊倡導“科技向善，數(shù)據(jù)有度”的隱私保護理念。用戶·控制·數(shù)據(jù)的方法論已經(jīng)應用于騰訊各款產(chǎn)品的功能設計中，有不同體現(xiàn)。以目前用戶數(shù)最大的微信為例，用戶在不同的設備登錄微信賬號時，需要驗證訪問。對于在其他設備上的登錄，騰訊會通過彈窗形式提醒，確認是否為本人操作，若非本人操作，可以修改密碼或凍結(jié)賬號。騰訊即將上線隱私保護平臺網(wǎng)站，搭建用戶窗口，讓用戶通過設置產(chǎn)品功能實現(xiàn)對個人信息的便利管理。

中國政法大學傳播法研究中心副主任朱巍十分認同“科技向善，數(shù)據(jù)有度” 的隱私保護理念。他對第一財經(jīng)1℃記者表示，從用戶角度出發(fā)，把個人信息安全和隱私保護放在優(yōu)先地位，其次是在法律法規(guī)框架下，合理正當使用數(shù)據(jù)，才能為用戶帶來更好的產(chǎn)品體驗。

新問題新趨勢

一個現(xiàn)實局面是，互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)保護依然新問題迭出且待解。

北京大學法學院教授、知識產(chǎn)權(quán)學院常務副院長張平告訴1℃記者，在個人信息保護方面，她留意到一些問題。例如，用戶信息的刪除權(quán)和被遺忘權(quán)其實依然不可實現(xiàn)，或?qū)崿F(xiàn)起來并不容易。通過和從事網(wǎng)絡安全的企業(yè)公司交流得知，目前數(shù)據(jù)溯源類公司非常發(fā)達，任何一個去識別化的數(shù)據(jù)都可被復原�；ヂ�(lián)網(wǎng)企業(yè)即使做了去識別化，但第三方公司立刻可以溯源，那么原來的公司有沒有責任？

在北京大學進行的多次測評中，發(fā)現(xiàn)很多企業(yè)將他們的數(shù)據(jù)委托境外機構(gòu)處理，比如很多制造型企業(yè)的數(shù)據(jù)就是委托境外進行處理。國內(nèi)的諸多互聯(lián)網(wǎng)巨頭都是自己處理數(shù)據(jù)，但未來會不會委托其他機構(gòu)來處理，還無法得出結(jié)論。張平認為，作為諸多用戶喜愛的互聯(lián)網(wǎng)企業(yè)，騰訊發(fā)布《隱私保護白皮書》，倡導“科技向善，數(shù)據(jù)有度” 的隱私保護理念，不僅是企業(yè)積極踐行合規(guī)意識，也是作為互聯(lián)網(wǎng)領(lǐng)軍企業(yè)的一種社會擔當。

劉賢剛也提出，從技術(shù)發(fā)展的角度，下一步在人工智能時代，個人信息保護會面臨更多新的利益性、價值觀的評估風險。目前要考慮的命題包括對隱私的侵害、不重要的數(shù)據(jù)匯集在一起對國家有什么影響等等。但人工智能時代會更復雜，且涉及倫理和對法律法規(guī)的嚴峻挑戰(zhàn)。理論上在人工智能時代應該由國家出臺相應政策，某些數(shù)據(jù)經(jīng)過審批進行相應的數(shù)據(jù)處理。隨著技術(shù)的進步，數(shù)據(jù)的價值是無法想象的，帶來的安全問題也是無法想象的。

在解決思路上，張平提出，從宏觀來說，應該統(tǒng)一協(xié)調(diào)立法。在個人信息保護的法律方面，已經(jīng)有刑法、網(wǎng)絡安全法、消費者權(quán)益保護法，可以考慮在更高層面把這幾個法統(tǒng)一起來。此外，還需要建立有效的執(zhí)行機構(gòu)、跟國際對等的專業(yè)部門、培養(yǎng)專業(yè)的人才隊伍。在企業(yè)層面，應該特別提倡企業(yè)自律，企業(yè)可以善意使用數(shù)據(jù)。個人的權(quán)益和企業(yè)產(chǎn)業(yè)的利益應該平衡，立法不可過度傾向，否則所有大公司都會被捆綁手腳，也不利于大數(shù)據(jù)產(chǎn)業(yè)的良性發(fā)展。