最近,脸书掌门人扎克伯格一点都不好受。在国会面临数十名参众议员的轮番盘问,还不能有半点闪失。事件起因是2013年英国剑桥大学的一位研究员在脸书上创建了一个心理测试应用,获得了30万用户以及他们的脸书好友的社交数据,实际涉及用户总数达到了8700万人。而后这位研究员却私下把这些用户数据卖给了数字营销公司,被用来进行精准营销。保护用户数据不力,把脸书拖入危机。
发生在四川成都的“摔狗”事件也在近期尘埃落定,但事件中未经允许私自公布他人的个人信息和隐私的行为引起了广泛的关注。
根据中国互联网络信息中心发布的第41次《中国互联网络发展状况统计报告》显示,截至2017年12月,中国的网民规模达到7.72亿,超过了中国总人口的一半。基数庞大的网民,产生的数据总量也是空前的。
这些数据中有个人的姓名、性别、生日等信息,还有在互联网上的行为轨迹等等,很多都属于个人隐私。如果按照严格保护隐私的要求,绝大部分数据会无法得到使用,那么大数据产业发展就会受到限制。但如果保护不力,像脸书一样泄露数据,又会造成不良的社会影响。因此,在大数据时代,隐私是什么?怎么保护?这是所有人都回避不了的两大问题。记者对此进行了采访。
互联网催生个人信息保护
保护隐私,首先要厘清什么是隐私。经常会想起小时候的场景,自己的日记如果被家长看了,就会和家长吵闹,理由就是家长侵犯了自己的隐私。隐私,那时候,直白来说,就是不想让他人知道的信息。
在理论上,隐私权关涉个人的人格尊严。在传统社会里,保障个人私有领域不受侵犯、不被刺探,侧重点在于保护私人生活安宁和私人信息秘密。
进入互联网时代之后,隐私的范围扩大,内涵增多,对隐私也就越来越难以界定。
中国并未在法律上对网络空间中的隐私进行明确的界定,使用更多的概念是“个人信息”这个词。北京大学互联网法律中心主任张平表示,在对互联网个人信息专门立法保护的国家里,有的使用隐私一词,也有的使用个人数据、电脑资料、信息隐私等不同称谓,中国目前是在诸多部门法里加以保护,统一使用了“个人信息”一词。
“由于个人信息中很多类型均涉及隐私,对个人信息的保护就是对隐私的保护。因此,在实践中,有时‘个人信息’‘个人隐私’二者并没有非常明显的界限。”泰和泰律师事务所首席合伙人程守太表示。
对于个人信息的界定,中国不同的法律法规也给出了相应的解释。
“可识别性”是认定个人信息的重要标准,只有能够识别某一特定自然人的信息,才能被认定为个人信息。2017年12月29日发布的《个人信息安全规范》作为个人信息保护的国家标准,明确判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
《中华人民共和国网络安全法》第七十六条第(五)项规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,个人信息还包括通讯联系方式、账号密码、财产状况、行踪轨迹(比如在互联网上的位置数据和日志信息)等。此外,种族、宗教信仰、个人健康和医疗信息等敏感信息也属于个人信息范畴。
大数据时代如何保护利用
中国的网民规模庞大,网民在网络上的个人信息组成了规模更大的数据。而数据具有双重属性,既有隐私属性,同时有价值属性。在移动互联网时代,数据的隐私属性越来越强,尤其是社交网站中经常会分享照片、位置等等,这些内容都需要被保护。但随着数字经济的兴起,数据成为了竞争力,依靠数据可以获取更好的发展。
中国信息通信研究院安全研究所副所长谢玮在接受采访时表示,“在大数据时代,我们可以利用大数据技术手段,将分散在各个方面的个人信息收集起来,形成个人的清晰画像,进一步干预或影响个人的生活。”因此她认为,大数据时代谈个人隐私,实际上要谈的是个人信息如何使用和保护,如何在维护个人隐私权和数据利用之间保持平衡,而不再是就隐私而谈隐私。
一种观点认为,应该更加注重隐私的保护,这样做的后果可能就是阻碍数字经济的发展。而反对观点则认为,应该更充分地利用数据,但这有可能导致隐私保护不力。
张平认为,大数据时代,个人信息保护非常重要,不论是政府部门还是商业机构,在使用个人信息时都要有相应的使用政策,征得个人同意,特别是在用大数据分析支持共享经济和人工智能的发展时。同时,也应该让每个人享受到大数据分享带来的便利和惠益。在个人信息的利用上,首先要保证不侵害公民的人身权,不造成对个人的精神伤害;其次在信息的无害化传播和利用中,可以通过惠益机制对个人加以补偿。
“大数据、人工智能产业发展一定是基于对个人信息的深度分析与共享,绝对保护个人信息和数据隐私已经没有可能。个人让渡一部分私权给社会,但也能够从社会服务中得到生活便利和惠益。”张平对记者表示。
然而数据面临的不仅仅是应用问题。如今,数据滥用与泄露、跨境数据存储与传输已经成为十分突出的问题。医疗、金融、保险、交通、社交等领域的网络用户个人信息被非法收集、获取、贩卖和利用事件频发,甚至形成了“黑色产业链”,让不法分子大发横财。
谢玮认为,一方面,为政务管理、业务发展等需要,政府、企业等可能会对个人信息进行收集利用和分析;另一方面,发生在个人信息的收集、存储、利用等环节中的不当操作和网络攻击,极易引发数据窃取、隐私泄露等网络安全问题,不仅侵害个人隐私,也可能威胁人身和财产安全、社会稳定甚至国家安全。
“发展是安全的基础,安全是发展的条件。既不能为了安全过度限制大数据技术的发展,也不能以牺牲安全为代价放任无序发展。”程守太对记者说道。
加强隐私保护专门立法
近些年来,中国陆续颁布关于保护个人信息的法律法规,规范政府、企业和个人在使用个人信息方面的行为,为保护个人信息和隐私提供法律基础。
在民事救济方面,2017年10月1日实施的《民法总则》第一百一十一条对个人信息保护做出了明确规定:“自然人的个人信息受法律保护。”在行政监管上,《网络安全法》以专门章节规定了网络信息安全,要求网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;而在刑事追责上,《刑法修正案(七)》和《刑法修正案(九)》都将个人信息保护作为重要内容,规定了“出售、非法提供公民个人信息罪”以及“非法获取公民个人信息罪”,并加大处罚力度。此外,《刑法修正案(九)》还新增了“数据泄露”的刑罚。“中国对‘个人信息’、‘个人隐私’的保护已经初步形成包括民事救济、行政监管、刑事追责的法律体系,囊括法律、行政法规、司法解释及部门规章等。”程守太说。
谢玮对记者表示,“当前中国保护个人信息的立法虽多,但相关规定分散、不成体系,难以为个人信息保护提供切实有效的法律保障,迫切需要加快个人信息保护法立法进程,通过专门立法,进一步明确网络运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任以及监督检查和评估措施。”张平也认为,下一步工作应该注重个人信息和隐私保护的专门立法。
在监管上,谢玮认为要加强建设数据安全监管手段,强化对相关企业、平台和系统的技术检测,通过市场调节、社会共治等模式,充分发挥行业技术优势和创新能力,加强对违反规定的数据安全事件的监督执法。
企业是使用数据的一个重要主体,企业加强自身的制度建设和管理对保护个人信息和隐私也很重要。程守太建议,企业应该设立专职的“数据与隐私保护官”,在日常经营中提供常规的数据与隐私规则。同时根据个人信息保护法律法规的要求,在企业内部建立完善的数据与隐私管理制度。
此外,谢玮希望切实推动《网络安全法》中个人信息和隐私保护相关条款的落地实施。要通过执法实践,督促企业主动依法依规强化管理,健全制度。例如完善数据泄露通知机制,要求企业在发生或者可能发生数据泄露、毁损、丢失的事件情况时,应通过电话、短信、邮件等方式通知可能受到影响的用户,提醒受影响用户采取防范措施。
作为数据生产者的公众个人,也应该在保护个人数据和隐私上发力。
张平认为,个人要尽可能少地披露非必要信息,对个人敏感信息更多加以保护。
程守太则建议,应该提高隐私与个人信息保护的意识。“在下载、安装手机应用时,要仔细阅读用户协议,了解自己拥有哪些隐私权利。对自己的财产、健康生理、生物识别、身份等信息要妥善保管。”
“当然,当个人信息受到严重侵害时也要拿起法律武器维护权利。”张平说。