2017年9月21日,安徽省阜陽市公安局網路安全保衛支隊的民警在該市清河廣場上設立的諮詢臺前向群眾講解如何應對常見網路安全風險。王 彪攝(人民視覺)
新技術孕育新風險 新形勢呼喚新措施
今天,個人該怎樣保護隱私
最近,臉書掌門人扎克伯格一點都不好受。在國會面臨數十名參眾議員的輪番盤問,還不能有半點閃失。事件起因是2013年英國康橋大學的一位研究員在臉書上創建了一個心理測試應用,獲得了30萬用戶以及他們的臉書好友的社交數據,實際涉及用戶總數達到了8700萬人。而後這位研究員卻私下把這些用戶數據賣給了數字行銷公司,被用來進行精準行銷。保護用戶數據不力,把臉書拖入危機。
發生在四川成都的“摔狗”事件也在近期塵埃落定,但事件中未經允許私自公佈他人的個人資訊和隱私的行為引起了廣泛的關注。
根據中國網際網路絡資訊中心發佈的第41次《中國網際網路絡發展狀況統計報告》顯示,截至2017年12月,中國的網民規模達到7.72億,超過了中國總人口的一半。基數龐大的網民,産生的數據總量也是空前的。
這些數據中有個人的姓名、性別、生日等資訊,還有在網際網路上的行為軌跡等等,很多都屬於個人隱私。如果按照嚴格保護隱私的要求,絕大部分數據會無法得到使用,那麼大數據産業發展就會受到限制。但如果保護不力,像臉書一樣洩露數據,又會造成不良的社會影響。因此,在大數據時代,隱私是什麼?怎麼保護?這是所有人都回避不了的兩大問題。記者對此進行了採訪。
■ 網際網路催生個人資訊保護
保護隱私,首先要厘清什麼是隱私。經常會想起小時候的場景,自己的日記如果被家長看了,就會和家長吵鬧,理由就是家長侵犯了自己的隱私。隱私,那時候,直白來説,就是不想讓他人知道的資訊。
在理論上,隱私權關涉個人的人格尊嚴。在傳統社會裏,保障個人私有領域不受侵犯、不被刺探,側重點在於保護私人生活安寧和私人資訊秘密。
進入網際網路時代之後,隱私的範圍擴大,內涵增多,對隱私也就越來越難以界定。
中國並未在法律上對網路空間中的隱私進行明確的界定,使用更多的概念是“個人資訊”這個詞。北京大學網際網路法律中心主任張平表示,在對網際網路個人資訊專門立法保護的國家裏,有的使用隱私一詞,也有的使用個人數據、電腦資料、資訊隱私等不同稱謂,中國目前是在諸多部門法里加以保護,統一使用了“個人資訊”一詞。
“由於個人資訊中很多類型均涉及隱私,對個人資訊的保護就是對隱私的保護。因此,在實踐中,有時‘個人資訊’‘個人隱私’二者並沒有非常明顯的界限。”泰和泰律師事務所首席合夥人程守太表示。
對於個人資訊的界定,中國不同的法律法規也給出了相應的解釋。
“可識別性”是認定個人資訊的重要標準,只有能夠識別某一特定自然人的資訊,才能被認定為個人資訊。2017年12月29日發佈的《個人資訊安全規範》作為個人資訊保護的國家標準,明確判定某項資訊是否屬於個人資訊,應考慮以下兩條路徑:一是識別,即從資訊到個人,由資訊本身的特殊性識別出特定自然人,個人資訊應有助於識別出特定個人;二是關聯,即從個人到資訊,如已知特定自然人,則由該特定自然人在其活動中産生的資訊(如個人位置資訊、個人通話記錄、個人瀏覽記錄等)即為個人資訊。符合上述兩種情形之一的資訊,均應判定為個人資訊。
《中華人民共和國網路安全法》第七十六條第(五)項規定:個人資訊,是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。
《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》第一條規定,個人資訊還包括通訊聯繫方式、賬號密碼、財産狀況、行蹤軌跡(比如在網際網路上的位置數據和日誌資訊)等。此外,種族、宗教信仰、個人健康和醫療資訊等敏感資訊也屬於個人資訊範疇。
■ 大數據時代如何保護利用
中國的網民規模龐大,網民在網路上的個人資訊組成了規模更大的數據。而數據具有雙重屬性,既有隱私屬性,同時有價值屬性。在移動網際網路時代,數據的隱私屬性越來越強,尤其是社交網站中經常會分享照片、位置等等,這些內容都需要被保護。但隨著數字經濟的興起,數據成為了競爭力,依靠數據可以獲取更好的發展。
中國資訊通信研究院安全研究所副所長謝瑋在接受採訪時表示,“在大數據時代,我們可以利用大數據技術手段,將分散在各個方面的個人資訊收集起來,形成個人的清晰畫像,進一步干預或影響個人的生活。”因此她認為,大數據時代談個人隱私,實際上要談的是個人資訊如何使用和保護,如何在維護個人隱私權和數據利用之間保持平衡,而不再是就隱私而談隱私。
一種觀點認為,應該更加注重隱私的保護,這樣做的後果可能就是阻礙數字經濟的發展。而反對觀點則認為,應該更充分地利用數據,但這有可能導致隱私保護不力。
張平認為,大數據時代,個人資訊保護非常重要,不論是政府部門還是商業機構,在使用個人資訊時都要有相應的使用政策,徵得個人同意,特別是在用大數據分析支援共用經濟和人工智慧的發展時。同時,也應該讓每個人享受到大數據分享帶來的便利和惠益。在個人資訊的利用上,首先要保證不侵害公民的人身權,不造成對個人的精神傷害;其次在資訊的無害化傳播和利用中,可以通過惠益機制對個人加以補償。
“大數據、人工智慧産業發展一定是基於對個人資訊的深度分析與共用,絕對保護個人資訊和數據隱私已經沒有可能。個人讓渡一部分私權給社會,但也能夠從社會服務中得到生活便利和惠益。”張平對記者表示。
然而數據面臨的不僅僅是應用問題。如今,數據濫用與洩露、跨境數據存儲與傳輸已經成為十分突出的問題。醫療、金融、保險、交通、社交等領域的網路用戶個人資訊被非法收集、獲取、販賣和利用事件頻發,甚至形成了“黑色産業鏈”,讓不法分子大發橫財。
謝瑋認為,一方面,為政務管理、業務發展等需要,政府、企業等可能會對個人資訊進行收集利用和分析;另一方面,發生在個人資訊的收集、存儲、利用等環節中的不當操作和網路攻擊,極易引發數據竊取、隱私洩露等網路安全問題,不僅侵害個人隱私,也可能威脅人身和財産安全、社會穩定甚至國家安全。
“發展是安全的基礎,安全是發展的條件。既不能為了安全過度限制大數據技術的發展,也不能以犧牲安全為代價放任無序發展。”程守太對記者説道。
■ 加強隱私保護專門立法
近些年來,中國陸續頒布關於保護個人資訊的法律法規,規範政府、企業和個人在使用個人資訊方面的行為,為保護個人資訊和隱私提供法律基礎。
在民事救濟方面,2017年10月1日實施的《民法總則》第一百一十一條對個人資訊保護做出了明確規定:“自然人的個人資訊受法律保護。”在行政監管上,《網路安全法》以專門章節規定了網路資訊安全,要求網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意;而在刑事追責上,《刑法修正案(七)》和《刑法修正案(九)》都將個人資訊保護作為重要內容,規定了“出售、非法提供公民個人資訊罪”以及“非法獲取公民個人資訊罪”,並加大處罰力度。此外,《刑法修正案(九)》還新增了“數據洩露”的刑罰。“中國對‘個人資訊’、‘個人隱私’的保護已經初步形成包括民事救濟、行政監管、刑事追責的法律體系,囊括法律、行政法規、司法解釋及部門規章等。”程守太説。
謝瑋對記者表示,“當前中國保護個人資訊的立法雖多,但相關規定分散、不成體系,難以為個人資訊保護提供切實有效的法律保障,迫切需要加快個人資訊保護法立法進程,通過專門立法,進一步明確網路運營者收集用戶資訊的原則、程式,明確其對收集到的資訊的保密和保護義務,不當使用、保護不力應當承擔的責任以及監督檢查和評估措施。”張平也認為,下一步工作應該注重個人資訊和隱私保護的專門立法。
在監管上,謝瑋認為要加強建設數據安全監管手段,強化對相關企業、平臺和系統的技術檢測,通過市場調節、社會共治等模式,充分發揮行業技術優勢和創新能力,加強對違反規定的數據安全事件的監督執法。
企業是使用數據的一個重要主體,企業加強自身的制度建設和管理對保護個人資訊和隱私也很重要。程守太建議,企業應該設立專職的“數據與隱私保護官”,在日常經營中提供常規的數據與隱私規則。同時根據個人資訊保護法律法規的要求,在企業內部建立完善的數據與隱私管理制度。
此外,謝瑋希望切實推動《網路安全法》中個人資訊和隱私保護相關條款的落地實施。要通過執法實踐,督促企業主動依法依規強化管理,健全制度。例如完善數據洩露通知機制,要求企業在發生或者可能發生數據洩露、毀損、丟失的事件情況時,應通過電話、短信、郵件等方式通知可能受到影響的用戶,提醒受影響用戶採取防範措施。
作為數據生産者的公眾個人,也應該在保護個人數據和隱私上發力。
張平認為,個人要盡可能少地披露非必要資訊,對個人敏感資訊更多加以保護。
程守太則建議,應該提高隱私與個人資訊保護的意識。“在下載、安裝手機應用時,要仔細閱讀用戶協議,了解自己擁有哪些隱私權利。對自己的財産、健康生理、生物識別、身份等資訊要妥善保管。”
“當然,當個人資訊受到嚴重侵害時也要拿起法律武器維護權利。”張平説。
(責任編輯:王擎宇)