陆峰:大数据时代个人隐私保护如何突破困境

2019-07-12 18:28:01

作为数字经济时代个人最为宝贵数字资产,加强个人信息保护,不仅事关个人权益的维护,更是关系到网络社会时代个人的幸福感和获得感

来源: 互联网经济杂志

本文作者:工信部赛迪研究院互联网研究所 副所长 陆峰博士

本文发表在2018年4月互联网经济杂志。

日前,百度董事长兼CEO李彦宏在中国发展高层论坛上关于中国人对隐私问题的态度更开放、用户可以用隐私来换取便利的的言论,激起了网上广泛的讨论。然而大家发现,即使安装普通APP软件,软件要求用户同意数十项的用户隐私获取权限方可安装。被迫无奈用隐私换取便利已经成为了大众对当前我国个人隐私保护现状的共识。随着互联网应用日益融入到大众生活中,个人信息被大量留痕在各类网络服务平台上,作为数字经济时代个人最为宝贵数字资产,加强个人信息保护,不仅事关个人权益的维护,更是关系到网络社会时代个人的幸福感和获得感。

一、国内个人信息保护存在的问题

(一)个人信息滥采滥用现象十分严重

国内,主要表现在以下几个方面:一是个人信息滥采现象十分严重,目前大部分APP软件在安装过程中都或多或少存在获取与软件应用功能无关的个人信息,主要包括个人通信录、地理位置、个人相册等众多信息访问权限。以手机电筒APP软件为例,除了要求获取电池和摄像头访问权限之外,还要求访问用户通信录和地理位置等与软件功能无关的个人信息。二是企业通过软件服务获取用户个人信息后,究竟如何使用这些个人信息,是否存在信息倒卖或者过度挖掘等行为,用户完全不知,也无法掌控。三是用户许可协议流于形式,尽管许多软件在安装过程中都有用户许可协议步骤,但许可协议存在条款冗长难以阅读、霸王条款强迫用户等行为,甚至像支付宝一样替用户勾选等现象也大量存在。

(二)个人对企业间个人信息纠纷没有发言权

2014年8微博诉脉脉抓取使用微博用户信息,2017年8月腾讯指控华为荣耀Magic手机侵害了微信用户的数据,2017年6月顺丰和菜鸟数据断交门等大量类似事件中,双方企业围绕用户数据的使用唇枪舌剑,但是作为数据所有者的用户却没有任何发言权。企业间个人信息之争,普遍暴露了当前个人信息保护存在以下几点问题:一是个人信息被企业收集之后流通交易,流通情况个人是不掌握的。二是企业收集的个人信息,究竟谁能用,谁又不能用,作为主角的个人并没有发言权。三是个人信息被企业采集后开发利用,企业只关心的自身利益,个人用户体验是次位的。

二、产生问题原因分析

(一)法律法规不完善

一是《网络安全法》和《电信和互联网用户个人信息保护规定》中尽管对个人信息保护做了大量规定,但大多属于方向性约束条块,缺乏可量化、可操作的执行细则,导致企业在条款落实上有很大打插边球空间,监管部门在执法上还有很大裁量空间余地。二是互联网信息服务等各类互联网行业管理办法中,对个人信息保护重视不够甚至尚未提及,导致行业主管部门在行业管理时,只盯业务行业合规性,轻视对个人信息保护。三是违法成本太低,处罚力度太小,几万、甚至几十万的罚款处罚措施,对大型互联网平台型企业而言,其威慑力度严重不足。

(二)标准规范缺失

一是个人信息范围、权属和使用权限等标准缺失,尤其是针对网络平台和大数据挖掘情况下个人信息的界定和使用,没有统一的国家或行业标准,致使很多个人信息开发利用处在灰色地段。二是个人信息采集、存储、清洗、使用等环节操作流程、业务规范、防护要求等没有统一的标准,导致企业在个人信息开发、利用、保护等环节缺乏合规合法对标尺度,个人信息滥采和滥用现象十分严重,风险隐患较大。三是个人信息开发利用负面清单制度缺乏,导致许多企业在个人信息采集、开发、利用和保护中,都是摸着石头过河,以试探政府和社会反应为依据,来推进个人信息开发利用创新,企业业务创新风险极大。四是缺乏统一、规范、标准的个人信息采集和使用用户承诺书,导致许多企业制定用户承诺书,都是以考虑企业利益最大化为目标,无限制强化自身权利,对个体保护自身信息存在极大不公平。

(三)安全防护措施薄弱

一是部分政府部门和企业在个人信息的采集、存储和使用中安全防护基础措施保障不到位,难以应对复杂网络、新技术应用、技术服务外包等各种条件下个人信息保护需求。二是个人信息保护技术攻关研究和推广应用步伐滞后,尤其是针对移动互联网、云计算、大数据、物联网、人工智能等条件下,个人信息保护技术支撑能力不足,技术存在不成熟、未体系化等系列问题。三是政府和企业信息系统和网络平台个人信息保护制度不完善,网络、技术、人员、外包等多个环节制度不健全、不系统、不精细,个人信息泄露和滥用风险极大。四是个人信息保护透明度不高,政府部门和企业对个人信息开发、利用和保护等工作主动披露意识不强。

(四)政府监督检查手段滞后

一是政府监督检查手段滞后,技术支撑保障能力不足,传统线下检查手段,难以适应对数字化、网络化和在线化服务中个人信息采集和使用监管需要。二是针对含有大量个人信息的信息系统和网络平台,缺乏专业性、系统性、针对性的个人信息保护测评和个人信息等级保护制度。三是尚未依据个人信息内容和规模实行分级分类使用许可制度,导致不具备安全防护和风险管控能力,以及没有规范采集和使用流程的机构,在采集和使用个人信息,风险隐患极大。

(五)行业自律尚未发挥作用

一是技术研发、应用推广等方面致力于推动企业发展的联盟很多,但属于约束企业行为的个人信息保护行业自律联盟缺乏,尽管有政府部门牵头少量企业成立,但重点企业的积极性和主动性不足。二是缺乏个人信息保护行业自律公约,重点企业和重点行业在个人信息保护方面的引导和示范作用尚未发挥。三是缺乏个人信息保护行业自律发展水平评估,行业个人信息保护状态缺乏摸底评估,大量企业个人信息保护透明度不高。

三、对策建议

(一)完善个人信息保护相关法律法规

一是加快出台《网络安全法》个人信息保护实施细则,明晰个人信息保护法律操作要求,提供操作层面示范借鉴案例集。二是加快出台个人信息保护法或保护条例,明确个人信息采集、传输、存储、流通、交易、开发、利用等全流程环节权利和责任等法律要求。三是将个人信息保护相关内容纳入到互联网信息服务等各类互联网行业管理办法中,明确各行业领域应用场景个人信息保护详细要求。四是加大对个人信息保护相关违法行为查处和处罚力度,提高违法成本和法律震慑效应,建议处罚力度与企业经营收入、泄露信息规模等要素挂钩,对出现重大个人信息泄露或是违规利用企业,实施停业整顿或取缔营业资质。

(二)规范个人信息收集和使用

一是明确个人信息范围、种类和权属,特别要明确互联网服务平台、大数据挖掘分析、大数据交易流通、政务信息资源共享、公共信息资源开放等情况下个人信息内容和权属的界定办法。二是出台个人信息保护相关操作指南,明确个人信息采集、存储、传输、清洗、利用等环节资质要求、操作流程、业务规范、管理要求、防护措施等。三是出台个人信息采集和使用负面清单,明确个人信息采集、流通、挖掘和使用禁区,最大限度促进和保护个人信息开发利用创新。四是规范互联网服务用户同意承诺书,制定统一的企业个人信息收集和使用用户同意承诺书通用模板,统一明确企业必要的权责,最大限度规范和约束企业个人信息开发利用行为。

(三)完善个人信息保护安全措施

一是完善政府和企业个人信息保护安全基础设施,加大入侵监测、电子认证、访问控制、安全审计等配套保障设施建设,提高安全基础设施保障能力。二是加快个人信息保护技术攻关研究和推广应用步伐,加大个人信息标记、脱敏、溯源等技术研究,增强移动互联网、云计算、大数据、物联网、人工智能等融合条件下个人信息保护能力。三是建立健全政府和企业个人信息保护制度,加强对网络、技术、人员、外包等各个环节个人信息保护管理力度,完善全链条个人信息保护,防止个人信息保护出现短板效应。四是提高个人信息保护透明度,定期发布政府和企业个人信息保护白皮书,告知社会其在个人信息采集、开发、利用、保护等方面采取措施和取得效果,提高大众对政府和企业个人信息保护信任度。

(四)加强个人信息保护政府监督和检查

一是建立政府个人信息保护治理网络平台,采用网络监测、大数据挖掘、人工智能分析等各类手段,加强网络个人信息采集、传输、开发和利用全方位在线监测。二是加强对重点领域、重点企业、重点网络平台的个人信息开发、利用、保护定期检查,对存储大规模个人信息的信息系统和网络平台,周期性开展第三方安全测评,对测评不达标信息系统和网络平台,及时采取整改或清理措施。三是实施个人信息应用等级保护制度,依据个人信息存储规模、系统平台重要性等指标,采取不同安全等级防护措施要求。四是实施个人信息使用分级分类认证制度,依据个人信息内容性质和信息规模,采取分级分类使用许可制度,对不同级别个人信息和不同分类用户群体,提出相应个人信息采集和应用防护措施要求。

(五)强化个人信息保护行业自律

一是推动电信、金融、互联网、大数据、人工智能等重点领域成立个人信息保护行业自律联盟,从技术、标准、管理、法律等角度加强个人信息保护行业研究。二是发布个人信息保护行业自律公约,推动龙头企业更加重视个人信息保护,形成社会引导和示范效应,带动行业个人信息保护水平的整体提升。三是依托行业自律联盟,开展行业自律动态监测,实施个人信息保护发展水平评估,定期发布个人信息保护行业自律报告。四是定期开展行业自律交流,组织研讨会、经验交流会、论坛等形式,深入交流企业个人信息开发、利用、保护等经验,共同探讨行业发展存在问题和应对措施。

技术是把双刃剑,大数据技术也不例外,大数据发展给产业发展、民生保障、国家治理带来新机遇的同时,也给个人隐私保护带来了前所未有的挑战。在没有个人隐私的大数据时代,如何让个人隐私在得到切实有效的保护,需要技术、产业、政策三者协同发力。如何在个人隐私保护和促进产业发展之间寻求平衡点,欧盟和美国走了两条不同的道路,欧盟实施了严格的隐私保护政策,美国走了一般性隐私保护政策。欧美之间隐私保护政策有显著的差异,但是差异背后相同特点都是依据各自互联网产业发展程度来制定的。我国在制定个人隐私保护政策时候,也要充分借鉴欧盟和美国的个人隐私保护政策,做到既能兼顾个人隐私保护,又能促进互联网产业发展。

标签  隐私保护  

这是一个专为移动设备优化的页面, 基于MIP(Mobile Instant Pages - 移动网页加速器)

完整版本:http://qisec.cn/a/66

黑老头(hlaotou.com), 致力于个人隐私保护

2.084ms