“我感觉自己像是在裸奔!”
大数据时代,人们在享受大数据带来便利的同时,个人数据却也越来越透明化和网络化。不管是国外Facebook数据泄露事件,还是国内近期外卖订餐平台美团用户信息泄露风波,个人信息泄露风险都时刻给我们敲响警钟。
5月起,《信息安全技术个人信息安全规范》作为国家推荐标准正式实施。这部由33位专家共同起草、历经两年多博弈的《规范》,被认为在软法层面填补了诸多规则空白,为提升公民意识、企业合规和政府调节水平提供了新的业务参照和行为指引。
但我们仍然要清醒地认识到,个人隐私数据的保护还有很长的路要走。
巨大商机背后也蕴藏着巨大风险
打一个房产咨询电话,第二天开始各个中介的电话就接踵而至;办张银行卡或会员卡后,就能接到准确叫出你名字的陌生电话;下载APP要求享有“监听电话”“读取联系人”等相关权限;一些互联网公司以“默认勾选”等隐蔽方式收集用户信息;有的平台采取“一揽子”协议的做法,用户只要点击“同意”,就意味着对该平台的所有应用开放了信息……
山东准大学生徐玉玉因为个人隐私信息泄露而被骗子精准把控,致使其被骗后伤心欲绝,最终不幸离世的事件,至今令人心寒。
无疑,随着计算机大数据与云计算的加入,个人信息保护不再是简单地保护个人身份信息、家庭住址等。一组组数据背后暴露的是个人消费习惯和行为习惯等,这其中隐藏着巨大商机,但也蕴藏着巨大的风险。
据《中国个人信息安全和隐私保护报告》统计,超过七成受访者认为个人信息泄露问题严重;多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰;在租房、购房、购车、考试和升学等个人信息泄露后,受到营销骚扰或诈骗的高达36%。
5月15日,银联官网发布安全提示称,2018年以来,电信诈骗案、盗窃银行卡、非法套现、冒用他人银行卡、网络消费诈骗案件仍然多发。从作案手法来看,电信诈骗形势依然严峻,其中超过90%是由于个人信息泄露引致,已成为犯罪主要源头。
腾讯守护者计划安全专家马瑞凯表示,人们在网络上的一举一动都能被数据化。“个人信息可用于精准诈骗,提高犯罪成功率,不法分子采取五花八门的手段非法获取个人信息,只要‘有心’,就可能成功。”
在中国政法大学传播法研究中心副主任朱巍看来,个人信息泄露导致的典型案例有共性,即盗取手段精细化,犯罪主体组织化,信息需求、盗取、交易形成了一条完整的黑色链条,不法分子分工专业、配合高效,流窜在各个论坛、微信群等,隐蔽性很强。
《人民日报》曾报道,据推测,目前我国网络非法从业人员已超150万人,相关产业市场规模已达到千亿元级别。
亟需专门的个人信息保护法
面对日益严重的个人信息泄露和安全威胁,人们开始呼吁相关法律和制度的建设。事实上,近年来我国也正在逐渐填补信息保护的制度空白,相关法律体系也日渐完善。
2017年6月1日起正式实施的《网络安全法》,除总则、附则外,直接涉及用户个人信息保护的条款有10余处,对严防个人信息泄露、滥用以及层出不穷的新型网络诈骗犯罪作出了规定。《信息安全技术个人信息安全规范》于2018年5月1日起正式实施,对目前互联网行业取得用户个人信息时发生的“默认勾选”“最小化原则”以及“跨界融合”三大常见问题进行了详细规定,企业有了可以参照的标准。
然而,不少业内人士认为,《网络安全法》解决的主要是与网络安全相关的问题,涉及面比较广泛,虽然网络安全法中有专门针对个人信息安全保护的章节,但由于立法目的不同,可能对个人信息的保护并不全面。《规范》为数据控制方提供了一系列既遵循《网络安全法》,又切实可行的做法,但其法律效力却并不高,无强制力。因此,出台一部专门的个人信息保护法迫在眉睫。
今年5月25日,商讨4年的欧盟一般数据保护条例GDPR(一般数据保护条例)正式施行,要求不论是政府或是民间组织,都有义务保护其所收集、处理、利用的个人数据。一旦违反该条例,将被处以高额的行政罚款,违规行为还包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%,并且以较大数额为准。
北京师范大学刑科院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括告诉《中国报道》记者,这则最严厉的数据保护法,为大数据时代“裸奔”的大众穿上了衣服。可以预见的是,对个人隐私数据执行严厉的保护法案也可能成为未来的趋势,预计类似GDPR的法案也会迅速波及欧盟以外的其他地区。
4月27日,第五届首都网络安全日在北京展览馆开幕,市民现场学习网络安全知识。监管要采取责任倒逼机制
有业内技术人员告诉记者,企业尤其是互联网企业之所以会泄露个人信息,问题主要出在两个方面:一是技术层面,比如API(应用程序编程接口)没有做认证,网络入侵者可以根据订单序列号“爬取”用户信息;或者公司没有及时更新与升级信息保护手段,建立有效的防护机制等。二是人的问题,比如企业内部人员泄露或盗卖个人信息等。
大数据时代,用户希望“我的信息我做主”。上海财经大学商学院教研部主任钟鸿钧认为,隐私保护应该具体问题具体分析。“跟踪技术使得商家可以推测消费者偏好,更加容易实施差别定价。另外,消费者难以完整理解或预期个人信息被交易/保护的后果,个体有关隐私的决策也未必是理性的。而且,技术和社会变迁对监管的影响要远高于其他方面的监管。基于这几个原因,隐私监管难以构建统一的监管框架,而适用个性化和微调的方法。”钟鸿钧告诉《中国报道》记者。
实际上,因信息泄露造成的影响,越来越多的企业也开始发力个人信息保护。比如滴滴采取的“号码保护”,利用虚拟中间号的技术,保障司机、乘客手机号码彼此不公开,订单结束,“虚拟号码”就会失效。京东日前发布的《京东隐私政策》,对用户的隐私保护做到了具体化和透明化。
北京大学法学院教授薛军认为,需要采取技术与管理手段来防范“内鬼”。同时应采取责任倒逼机制,通过严格追究平台责任来促使平台采取严格的内部管理和内控约束机制。
事实上,除了国家相关法律制度的制定以及相关企业的积极努力,个人也应绷紧信息安全这根弦。正如湖北省消费者委员会所提示的那样,我们每个人都应该提高自我防范意识,在源头上避免个人信息泄露,进而压缩个人信息非法利用空间。