2017年9月21日,安徽省阜陽市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊的民警在該市清河廣場上設(shè)立的咨詢臺前向群眾講解如何應(yīng)對常見網(wǎng)絡(luò)安全風(fēng)險。王 彪攝(人民視覺)
新技術(shù)孕育新風(fēng)險 新形勢呼喚新措施
今天,個人該怎樣保護隱私
最近,臉書掌門人扎克伯格一點都不好受。在國會面臨數(shù)十名參眾議員的輪番盤問,還不能有半點閃失。事件起因是2013年英國劍橋大學(xué)的一位研究員在臉書上創(chuàng)建了一個心理測試應(yīng)用,獲得了30萬用戶以及他們的臉書好友的社交數(shù)據(jù),實際涉及用戶總數(shù)達到了8700萬人。而后這位研究員卻私下把這些用戶數(shù)據(jù)賣給了數(shù)字營銷公司,被用來進行精準(zhǔn)營銷。保護用戶數(shù)據(jù)不力,把臉書拖入危機。
發(fā)生在四川成都的“摔狗”事件也在近期塵埃落定,但事件中未經(jīng)允許私自公布他人的個人信息和隱私的行為引起了廣泛的關(guān)注。
根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第41次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示,截至2017年12月,中國的網(wǎng)民規(guī)模達到7.72億,超過了中國總?cè)丝诘囊话??;鶖?shù)龐大的網(wǎng)民,產(chǎn)生的數(shù)據(jù)總量也是空前的。
這些數(shù)據(jù)中有個人的姓名、性別、生日等信息,還有在互聯(lián)網(wǎng)上的行為軌跡等等,很多都屬于個人隱私。如果按照嚴格保護隱私的要求,絕大部分數(shù)據(jù)會無法得到使用,那么大數(shù)據(jù)產(chǎn)業(yè)發(fā)展就會受到限制。但如果保護不力,像臉書一樣泄露數(shù)據(jù),又會造成不良的社會影響。因此,在大數(shù)據(jù)時代,隱私是什么?怎么保護?這是所有人都回避不了的兩大問題。記者對此進行了采訪。
■ 互聯(lián)網(wǎng)催生個人信息保護
保護隱私,首先要厘清什么是隱私。經(jīng)常會想起小時候的場景,自己的日記如果被家長看了,就會和家長吵鬧,理由就是家長侵犯了自己的隱私。隱私,那時候,直白來說,就是不想讓他人知道的信息。
在理論上,隱私權(quán)關(guān)涉?zhèn)€人的人格尊嚴。在傳統(tǒng)社會里,保障個人私有領(lǐng)域不受侵犯、不被刺探,側(cè)重點在于保護私人生活安寧和私人信息秘密。
進入互聯(lián)網(wǎng)時代之后,隱私的范圍擴大,內(nèi)涵增多,對隱私也就越來越難以界定。
中國并未在法律上對網(wǎng)絡(luò)空間中的隱私進行明確的界定,使用更多的概念是“個人信息”這個詞。北京大學(xué)互聯(lián)網(wǎng)法律中心主任張平表示,在對互聯(lián)網(wǎng)個人信息專門立法保護的國家里,有的使用隱私一詞,也有的使用個人數(shù)據(jù)、電腦資料、信息隱私等不同稱謂,中國目前是在諸多部門法里加以保護,統(tǒng)一使用了“個人信息”一詞。
“由于個人信息中很多類型均涉及隱私,對個人信息的保護就是對隱私的保護。因此,在實踐中,有時‘個人信息’‘個人隱私’二者并沒有非常明顯的界限。”泰和泰律師事務(wù)所首席合伙人程守太表示。
對于個人信息的界定,中國不同的法律法規(guī)也給出了相應(yīng)的解釋。
“可識別性”是認定個人信息的重要標(biāo)準(zhǔn),只有能夠識別某一特定自然人的信息,才能被認定為個人信息。2017年12月29日發(fā)布的《個人信息安全規(guī)范》作為個人信息保護的國家標(biāo)準(zhǔn),明確判定某項信息是否屬于個人信息,應(yīng)考慮以下兩條路徑:一是識別,即從信息到個人,由信息本身的特殊性識別出特定自然人,個人信息應(yīng)有助于識別出特定個人;二是關(guān)聯(lián),即從個人到信息,如已知特定自然人,則由該特定自然人在其活動中產(chǎn)生的信息(如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。符合上述兩種情形之一的信息,均應(yīng)判定為個人信息。
《中華人民共和國網(wǎng)絡(luò)安全法》第七十六條第(五)項規(guī)定:個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條規(guī)定,個人信息還包括通訊聯(lián)系方式、賬號密碼、財產(chǎn)狀況、行蹤軌跡(比如在互聯(lián)網(wǎng)上的位置數(shù)據(jù)和日志信息)等。此外,種族、宗教信仰、個人健康和醫(yī)療信息等敏感信息也屬于個人信息范疇。
■ 大數(shù)據(jù)時代如何保護利用
中國的網(wǎng)民規(guī)模龐大,網(wǎng)民在網(wǎng)絡(luò)上的個人信息組成了規(guī)模更大的數(shù)據(jù)。而數(shù)據(jù)具有雙重屬性,既有隱私屬性,同時有價值屬性。在移動互聯(lián)網(wǎng)時代,數(shù)據(jù)的隱私屬性越來越強,尤其是社交網(wǎng)站中經(jīng)常會分享照片、位置等等,這些內(nèi)容都需要被保護。但隨著數(shù)字經(jīng)濟的興起,數(shù)據(jù)成為了競爭力,依靠數(shù)據(jù)可以獲取更好的發(fā)展。
中國信息通信研究院安全研究所副所長謝瑋在接受采訪時表示,“在大數(shù)據(jù)時代,我們可以利用大數(shù)據(jù)技術(shù)手段,將分散在各個方面的個人信息收集起來,形成個人的清晰畫像,進一步干預(yù)或影響個人的生活。”因此她認為,大數(shù)據(jù)時代談個人隱私,實際上要談的是個人信息如何使用和保護,如何在維護個人隱私權(quán)和數(shù)據(jù)利用之間保持平衡,而不再是就隱私而談隱私。
一種觀點認為,應(yīng)該更加注重隱私的保護,這樣做的后果可能就是阻礙數(shù)字經(jīng)濟的發(fā)展。而反對觀點則認為,應(yīng)該更充分地利用數(shù)據(jù),但這有可能導(dǎo)致隱私保護不力。
張平認為,大數(shù)據(jù)時代,個人信息保護非常重要,不論是政府部門還是商業(yè)機構(gòu),在使用個人信息時都要有相應(yīng)的使用政策,征得個人同意,特別是在用大數(shù)據(jù)分析支持共享經(jīng)濟和人工智能的發(fā)展時。同時,也應(yīng)該讓每個人享受到大數(shù)據(jù)分享帶來的便利和惠益。在個人信息的利用上,首先要保證不侵害公民的人身權(quán),不造成對個人的精神傷害;其次在信息的無害化傳播和利用中,可以通過惠益機制對個人加以補償。
“大數(shù)據(jù)、人工智能產(chǎn)業(yè)發(fā)展一定是基于對個人信息的深度分析與共享,絕對保護個人信息和數(shù)據(jù)隱私已經(jīng)沒有可能。個人讓渡一部分私權(quán)給社會,但也能夠從社會服務(wù)中得到生活便利和惠益。”張平對記者表示。
然而數(shù)據(jù)面臨的不僅僅是應(yīng)用問題。如今,數(shù)據(jù)濫用與泄露、跨境數(shù)據(jù)存儲與傳輸已經(jīng)成為十分突出的問題。醫(yī)療、金融、保險、交通、社交等領(lǐng)域的網(wǎng)絡(luò)用戶個人信息被非法收集、獲取、販賣和利用事件頻發(fā),甚至形成了“黑色產(chǎn)業(yè)鏈”,讓不法分子大發(fā)橫財。
謝瑋認為,一方面,為政務(wù)管理、業(yè)務(wù)發(fā)展等需要,政府、企業(yè)等可能會對個人信息進行收集利用和分析;另一方面,發(fā)生在個人信息的收集、存儲、利用等環(huán)節(jié)中的不當(dāng)操作和網(wǎng)絡(luò)攻擊,極易引發(fā)數(shù)據(jù)竊取、隱私泄露等網(wǎng)絡(luò)安全問題,不僅侵害個人隱私,也可能威脅人身和財產(chǎn)安全、社會穩(wěn)定甚至國家安全。
“發(fā)展是安全的基礎(chǔ),安全是發(fā)展的條件。既不能為了安全過度限制大數(shù)據(jù)技術(shù)的發(fā)展,也不能以犧牲安全為代價放任無序發(fā)展。”程守太對記者說道。
■ 加強隱私保護專門立法
近些年來,中國陸續(xù)頒布關(guān)于保護個人信息的法律法規(guī),規(guī)范政府、企業(yè)和個人在使用個人信息方面的行為,為保護個人信息和隱私提供法律基礎(chǔ)。
在民事救濟方面,2017年10月1日實施的《民法總則》第一百一十一條對個人信息保護做出了明確規(guī)定:“自然人的個人信息受法律保護。”在行政監(jiān)管上,《網(wǎng)絡(luò)安全法》以專門章節(jié)規(guī)定了網(wǎng)絡(luò)信息安全,要求網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意;而在刑事追責(zé)上,《刑法修正案(七)》和《刑法修正案(九)》都將個人信息保護作為重要內(nèi)容,規(guī)定了“出售、非法提供公民個人信息罪”以及“非法獲取公民個人信息罪”,并加大處罰力度。此外,《刑法修正案(九)》還新增了“數(shù)據(jù)泄露”的刑罰。“中國對‘個人信息’、‘個人隱私’的保護已經(jīng)初步形成包括民事救濟、行政監(jiān)管、刑事追責(zé)的法律體系,囊括法律、行政法規(guī)、司法解釋及部門規(guī)章等。”程守太說。
謝瑋對記者表示,“當(dāng)前中國保護個人信息的立法雖多,但相關(guān)規(guī)定分散、不成體系,難以為個人信息保護提供切實有效的法律保障,迫切需要加快個人信息保護法立法進程,通過專門立法,進一步明確網(wǎng)絡(luò)運營者收集用戶信息的原則、程序,明確其對收集到的信息的保密和保護義務(wù),不當(dāng)使用、保護不力應(yīng)當(dāng)承擔(dān)的責(zé)任以及監(jiān)督檢查和評估措施。”張平也認為,下一步工作應(yīng)該注重個人信息和隱私保護的專門立法。
在監(jiān)管上,謝瑋認為要加強建設(shè)數(shù)據(jù)安全監(jiān)管手段,強化對相關(guān)企業(yè)、平臺和系統(tǒng)的技術(shù)檢測,通過市場調(diào)節(jié)、社會共治等模式,充分發(fā)揮行業(yè)技術(shù)優(yōu)勢和創(chuàng)新能力,加強對違反規(guī)定的數(shù)據(jù)安全事件的監(jiān)督執(zhí)法。
企業(yè)是使用數(shù)據(jù)的一個重要主體,企業(yè)加強自身的制度建設(shè)和管理對保護個人信息和隱私也很重要。程守太建議,企業(yè)應(yīng)該設(shè)立專職的“數(shù)據(jù)與隱私保護官”,在日常經(jīng)營中提供常規(guī)的數(shù)據(jù)與隱私規(guī)則。同時根據(jù)個人信息保護法律法規(guī)的要求,在企業(yè)內(nèi)部建立完善的數(shù)據(jù)與隱私管理制度。
此外,謝瑋希望切實推動《網(wǎng)絡(luò)安全法》中個人信息和隱私保護相關(guān)條款的落地實施。要通過執(zhí)法實踐,督促企業(yè)主動依法依規(guī)強化管理,健全制度。例如完善數(shù)據(jù)泄露通知機制,要求企業(yè)在發(fā)生或者可能發(fā)生數(shù)據(jù)泄露、毀損、丟失的事件情況時,應(yīng)通過電話、短信、郵件等方式通知可能受到影響的用戶,提醒受影響用戶采取防范措施。
作為數(shù)據(jù)生產(chǎn)者的公眾個人,也應(yīng)該在保護個人數(shù)據(jù)和隱私上發(fā)力。
張平認為,個人要盡可能少地披露非必要信息,對個人敏感信息更多加以保護。
程守太則建議,應(yīng)該提高隱私與個人信息保護的意識。“在下載、安裝手機應(yīng)用時,要仔細閱讀用戶協(xié)議,了解自己擁有哪些隱私權(quán)利。對自己的財產(chǎn)、健康生理、生物識別、身份等信息要妥善保管。”
“當(dāng)然,當(dāng)個人信息受到嚴重侵害時也要拿起法律武器維護權(quán)利。”張平說。
責(zé)任編輯: