【環(huán)球網(wǎng)科技報道 記者 林夢雪】你遇到過這些場景嗎?走進(jìn)餐廳,需要掃一下桌面二維碼同時同意授權(quán)個人信息才能點(diǎn)餐、剛和朋友聊的某個產(chǎn)品打開電商平臺剛好它就出現(xiàn)在推薦欄里、詐騙電話里對你的身份信息了如指掌…… 大數(shù)據(jù)之下,如何保護(hù)個人隱私安全成為一個不得不提a的話題。
11月1日,《個人信息保護(hù)法》正式實(shí)施,同此前的《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》共同組成數(shù)據(jù)保護(hù)領(lǐng)域的“三駕馬車”,數(shù)據(jù)信息保護(hù)進(jìn)入一個新的時代。
據(jù)《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告》的數(shù)據(jù)顯示,截至今年6月,我國互聯(lián)網(wǎng)用戶已達(dá)10.11億,互聯(lián)網(wǎng)網(wǎng)站422萬個,應(yīng)用程序數(shù)量302萬款。移動互聯(lián)網(wǎng)的普及及使用,應(yīng)用商店上架使用的APP數(shù)量變多,隨之而來的是越來越多的違規(guī)收集使用個人信息。
《個人信息保護(hù)法》正式實(shí)施后的第二天,11月3日,工信部通報38款違規(guī)APP,涉及超范圍索取權(quán)限、過度收集用戶個人信息等問題,多家APP在列且被要求限時整改。
那么,什么樣的信息屬于個人信息?什么樣的個人信息易被收集和交易?
根據(jù)《個人信息保護(hù)法》第四條規(guī)定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
數(shù)字認(rèn)證研究院院長夏魯寧認(rèn)為,有三類信息是屬于易被交易的個人信息,第一類是可以聯(lián)系到自然人的信息,比如手機(jī)號、社交賬號等; 第二類是可以標(biāo)定自然人的信息,比如身份證號碼、住址等;第三類是對推銷或詐騙有背景作用的信息,比如購物傾向、病史等。
對于個人信息保護(hù)的難點(diǎn),夏魯寧說道:“《個人信息保護(hù)法》規(guī)定:處理個人信息的目的、方式和信息種類,要顯著、清晰易懂的告知用戶并獲取同意。但是在實(shí)踐中,告知和同意是一件不易界定的事,比如用戶很難舉證自己在未知的情況下被后臺自動標(biāo)記為同意。此外,對于個人信息處理者執(zhí)行處理行為的限制,在技術(shù)方面是很難的,例如在采集時沒有告知會用于某種處理,但實(shí)際用于了。執(zhí)法機(jī)關(guān)只能在事后發(fā)現(xiàn)了對違規(guī)的處理者進(jìn)行處罰,但是事前事中很難控制其行為。”
另外,他還提出,“個人信息保護(hù)的技術(shù)和管理難易程度,取決于個人信息被合法利用的復(fù)雜程度。某個人信息處理者使用個人信息的用途越精細(xì)、越復(fù)雜,在保護(hù)個人信息和便于使用上就越難于均衡。”
對于個人信息易被泄露的問題,網(wǎng)宿科技(300017,股吧)副總裁、首席安全官呂士表表示,“個人信息與經(jīng)濟(jì)利益密切相連,因此個人信息泄露時有發(fā)生。且個人信息保護(hù)難點(diǎn)還有很多,比如利用個人信息推薦算法的透明度,合理性都還沒有準(zhǔn)確的界定方法。”
針對快遞和外賣面單、APP和小程序等過度收集個人信息和人臉識別系統(tǒng)等個人信息保護(hù)中的熱點(diǎn)難點(diǎn)問題,數(shù)牘科技副總裁姚雪潔表示,根據(jù)《個人信息保護(hù)法》,收集個人信息,應(yīng)獲得用戶知情同意,并且限于實(shí)現(xiàn)處理目的最小范圍,處理個人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),如果消費(fèi)者不同意,應(yīng)提供不針對其個人特征的選項(xiàng)或提供便捷的拒絕方式。
針對網(wǎng)絡(luò)用戶質(zhì)疑的現(xiàn)實(shí)生活中“一攬子授權(quán)”“強(qiáng)制同意”等問題,個人信息保護(hù)法規(guī)定,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù),并賦予個人撤回同意的權(quán)利,在個人撤回同意后,個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。
“原則上我們認(rèn)為服務(wù)提供方會按照平臺隱私保護(hù)協(xié)議條款的要求對我們的個人信息進(jìn)行保護(hù),但現(xiàn)實(shí)生活中平臺數(shù)據(jù)泄露的例子時常發(fā)生,因此需要有專門的監(jiān)管機(jī)構(gòu)定期對服務(wù)平臺進(jìn)行合規(guī)審查,重點(diǎn)審查數(shù)據(jù)安全性。從技術(shù)上,可通過數(shù)據(jù)庫審計(jì)、應(yīng)用API接口監(jiān)測與審計(jì)等手段進(jìn)行合規(guī)審查。尤其應(yīng)重點(diǎn)審查平臺對外的數(shù)據(jù)接口是否符合安全性要求等。”姚雪潔說道。
針對個人信息保護(hù),呂士表提出,個人信息保護(hù)應(yīng)貫穿信息流動的全過程,包括風(fēng)險識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、事件處置等方面。相關(guān)技術(shù)手段有身份認(rèn)證/識別、數(shù)據(jù)審計(jì)、防火墻、入侵檢測、漏洞掃描、隱私計(jì)算、訪問控制等。
隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展,數(shù)字生產(chǎn)要素在經(jīng)濟(jì)發(fā)展中的作用越來越突出,數(shù)據(jù)的流通和使用過程中與信息安全保護(hù)之間的矛盾也隨著顯現(xiàn)。
ISACA中國技術(shù)委員會主任蔡俊磊認(rèn)為,“技術(shù)是解決這些矛盾的主要手段,但現(xiàn)階段相關(guān)從事人才需求較大,人才緊缺。有了合規(guī)驅(qū)動的因素,有法律的要求,可以使得我們從事數(shù)據(jù)隱私安全保護(hù)的人有更多的理由去跟董事會和管理層溝通,投入更多的資源去開展數(shù)據(jù)保護(hù)的工作。”
夏魯寧表示,“保護(hù)個人隱私信息是一件需要多方共同努力的事,除了加強(qiáng)技術(shù)手段和法制監(jiān)管外,個人對信息保護(hù)的警惕意識、社會或商業(yè)組織對個人信息警戒意識也要同步加強(qiáng)。”
隨著《個人信息保護(hù)法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》逐漸落地實(shí)施,數(shù)據(jù)保護(hù)領(lǐng)域的“三駕馬車”已經(jīng)展蹄,在數(shù)據(jù)信息安全保護(hù)上罩上“金鐘罩”,相關(guān)行業(yè)面臨新的挑戰(zhàn),與此同時,也催生了新的行業(yè)生機(jī)。
安恒信息高級副總裁、首席科學(xué)家劉博認(rèn)為,“個人信息保護(hù)法的實(shí)施,對全行業(yè)來說都是利好,對于從業(yè)者來說,有法律劃清紅線,可以明確業(yè)務(wù)范圍,在適當(dāng)?shù)囊?guī)則內(nèi)開展自身業(yè)務(wù),更加有利于各行業(yè)的良性長久發(fā)展。”
個人信息保護(hù)法出臺后,增加了個人信息買賣交易的違規(guī)成本,私下買賣個人信息的行為將會被盡可能的遏制,以保證相關(guān)行業(yè)中消費(fèi)者的個人信息私密性,讓消費(fèi)者可以放心辦理業(yè)務(wù)和消費(fèi)。
在新的機(jī)遇方面,呂士表認(rèn)為,法律法規(guī)的強(qiáng)監(jiān)管之下,利好的行業(yè)主要是網(wǎng)絡(luò)安全行業(yè),其中涉及的產(chǎn)品或服務(wù)有安全評估、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏、數(shù)據(jù)庫審計(jì)、堡壘機(jī)、數(shù)據(jù)庫防火墻等產(chǎn)品。
夏魯寧認(rèn)為,“對于數(shù)據(jù)和信息安全的強(qiáng)監(jiān)管,第一是利好涉及數(shù)據(jù)安全保護(hù)服務(wù)和數(shù)據(jù)安全技術(shù)等相關(guān)企業(yè); 第二是從事新型數(shù)據(jù)保護(hù)技術(shù)(如隱私計(jì)算)研究與產(chǎn)業(yè)化的相關(guān)單位;第三將利好安全咨詢業(yè)和相應(yīng)的測評業(yè),因?yàn)閭€人信息處理者對于數(shù)據(jù)和信息安全保護(hù)的意識逐漸提高,對于信息安全保護(hù)技術(shù)和風(fēng)險評估、咨詢等產(chǎn)品的需求就會加大。”
在挑戰(zhàn)方面,劉博表示,企業(yè)根據(jù)規(guī)模大小、服務(wù)性質(zhì)、技術(shù)水平等面臨不同監(jiān)管程度。《個人信息保護(hù)法》特殊規(guī)定,一是對于處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者;二是對于境外個人信息處理者,要求在中國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表;三是特定情形下應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估,主要是一些高風(fēng)險情形,包括處理敏感個人信息、自動化決策、委托處理、向他人/境外提供、公開個人信息等;四是規(guī)定了“守門人”義務(wù),對于提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者(可以理解為“守門人”或是大型互聯(lián)網(wǎng)平臺)還應(yīng)當(dāng)履行更高水平的義務(wù),要求成立外部獨(dú)立監(jiān)督機(jī)構(gòu)、制定平臺規(guī)則、阻斷違法活動、定期發(fā)布履責(zé)報告等。
“對于打車軟件、運(yùn)營商、電商平臺、金融銀行、學(xué)校教育機(jī)構(gòu)、互聯(lián)網(wǎng)平臺、APP開發(fā)商、跨境電商、跨境公司和商家等等,這些個人信息數(shù)量巨大的行業(yè)將會面臨更嚴(yán)格的監(jiān)管。”劉博說道。
