每月都發(fā)生數據安全事件 個人信息保護形勢依然嚴峻

2018年，全球范圍內，大數據安全問題頻發(fā)。

Facebook用戶數據泄漏事件，被泄露的數據總量高達8000多萬條；喜達屋酒店用戶數據泄露事件，涉及了超過5億用戶信息；在國內，圍繞大數據殺熟的討論至今也沒有停止。可以說，平均每個月都有不同的公司發(fā)生或大或小的數據安全事件。

12月27日，在2018大數據合作與合規(guī)峰會上，中國電子技術標準化技術研究院信息安全研究中心主任劉賢剛做了上述表示。他同時告訴第一財經1℃記者，近幾年，數據處于集中爆發(fā)階段，近一年產生的數據已經是前幾年數據的總和。但數據密度價值很低，其安全性成為大數據產業(yè)發(fā)展中最重要的問題之一。個人信息保護問題，也已經到了臨界點。

在個人信息保護上，中國雖已基本建立了體系框架、安全、實施指南、安全評估等技術標準，但仍然需要更高位階的法律來規(guī)范。2018年，個人信息保護法被納入到全國人大立法規(guī)劃的第一類項目，即條件比較成熟、任期內可以擬提請審議。

在上述峰會上，騰訊發(fā)布了《騰訊隱私保護白皮書》，是首次以白皮書方式全面介紹其隱私政策的互聯網企業(yè)。騰訊在白皮書中首提“科技向善，數據有度”的隱私保護理念，同時提出了“用戶·控制·數據”的隱私保護方法論。騰訊大數據法務合規(guī)中心總經理王小夏告訴1℃記者，騰訊搭建跨部門、跨業(yè)務、跨系統(tǒng)的數據和隱私保護團隊，通過科學規(guī)范的安全管理流程和健全的安全技術體系，充分保障用戶的知情權，實現用戶對個人信息的控制。后續(xù)，還將上線隱私保護平臺網站，實現用戶對個人信息的便利管理。

隨著技術標準的日臻成熟、法律規(guī)范的落地以及部分互聯網大型企業(yè)的表率作用，2019年，數據安全和個人信息保護有望開啟一個新局面。

數據安全形勢依然嚴峻

2017年7月，中央網信辦、工業(yè)和信息化部等四部委指導開展了個人信息保護提升行動之隱私條款的專項工作，對10款數量大、與公眾生活密切相關的互聯網產品和服務的隱私條款內容、展示方式和征得用戶同意方式等進行綜合評審。

當年9月24日，這一評審的結果對外公布，包括騰訊微信在內的10款互聯網產品參加這一評審，并獲得高分數。騰訊集團法務副總裁江波對1℃記者表示，微信通過《微信隱私保護指引》，全面、客觀地展示了微信一直以來保護用戶隱私的宗旨、原則和保護路徑。尊重用戶的知情權、選擇權，通過產品設計，讓用戶能便捷、高效地管理自己的個人信息，實現自己的權益。

歷經一年多以來的整改，個人信息尤其隱私保護的局面得到一定程度上的控制，但還有很多企業(yè)在這方面依然滯后，甚至對這一工作毫不關注。南都個人信息保護研究中心主任蔣琳向1℃記者表示， 該機構在2018年11月，對娛樂、醫(yī)療、體育社交等1000款APP做了隱私政策測評，結果顯示透明度高的只有13款，均來自于知名企業(yè)旗下的APP�？傮w而言，仍有超過七成App透明度不及格，兩極分化嚴重。有一款醫(yī)療健康類APP直接盜用其他企業(yè)互聯網政策，甚至連企業(yè)的名字都沒有改。

上述結論與中國消費者協會發(fā)布的《100款App個人信息收集與隱私政策測評報告》結論相吻合。中消協報告顯示，各類型APP中小企業(yè)APP得分均顯著低于消費者常用APP，常用APP平均分為74.78，而中小企業(yè)APP是39.18。其中，微信、QQ、京東、美團、騰訊視頻、QQ郵箱等消費者常用APP獲評高分。

面對復雜的參差不齊的個人信息保護局面，2018年9月10日，全國人大公布《十三屆全國人大常委會立法規(guī)劃》，將69件法律草案列入第一類項目，即條件比較成熟、任期內可以擬提請審議，其中包括個人信息保護法。這意味著個人信息保護將迎來專門立法。

為了支持個人信息保護保護工作，除了法律法規(guī)，我國還制定了一系列技術標準，輔助法律法規(guī)的落地。劉賢剛告訴1℃記者，我國已基本建立體系框架標準、安全、實施指南、安全評估等技術標準。在標準推廣方面，一方面針對個人信息安全規(guī)范做了大量工作，包括連續(xù)兩年的隱私條款評審，通過一系列的活動，以提高國內互聯網隱私保護水平的整體水位，進而帶動二線互聯網公司重視并做好隱私保護。

大企業(yè)應該垂范

隨著互聯網尤其移動互聯網的發(fā)展，越來越多的用戶已經離不開互聯網產品。在法律法規(guī)、技術標準不斷健全的情況下，互聯網企業(yè)最應該關注如何應法律法規(guī)、技術標準的要求，建立自己的隱私政策體系，給用戶帶來好的個人信息保護體驗。大型互聯網企業(yè)更應該起到表率作用。騰訊發(fā)布的《隱私保護白皮書》，在國內首次以白皮書形式，全面介紹了該公司各類產品的隱私政策。

該白皮書提出，在用戶隱私政策方面，騰訊已經形成了隱私保護方法論——即用戶·控制·數據（P·B·D）方法論，以確保安全、透明、可控。具體而言，以用戶為中心，騰訊秉持“一切以用戶價值為依歸”的理念，充分保障用戶的知情權，增強隱私保護工作的透明度、提升用戶的感知度和參與度。騰訊通過隱私政策、隱私保護指引及服務協議告知用戶可能被收集的個人信息及具體使用情況。騰訊將隱私政策等規(guī)范文件放置在產品顯著位置，搭建“騰訊隱私保護平臺”讓用戶知悉騰訊隱私保護的相關事宜。

而控制力是指通過提供便利的信息管理功能，實現用戶對個人信息的控制力，提升用戶操作的便捷性。騰訊通過產品設計，將用戶對數據的控制轉化為實際的按鍵。對于用戶個人信息的管理，騰訊通過在產品中嵌入信息查詢、修改和刪除等功能，實現用戶對個人信息的控制。在用戶使用產品的過程中，騰訊通過彈窗提示和相應的管理頁面，確保用戶在充分知悉信息處理的情形下，進行自主選擇。例如，微信中的 “發(fā)現頁管理”，用戶可以開啟或關閉“朋友圈”、“附近的人”等功能。

上述白皮書全面介紹了騰訊“事前安全防御、事中安全動態(tài)監(jiān)測及事后應急響應”的保障體系。在數據收集階段，騰訊公示數據收集、處理情況，并對傳輸進行保護；在數據存儲階段，使用加密、備份等安全技術防止數據泄漏，保證數據的完整性、保密性和可用性；在數據訪問階段，通過訪問控制、身份驗證、權限分配及審批管理的流程和制度實現有效訪問；在數據處理階段，通過匿名化等隱私增強技術保護用戶隱私，并采取分級標準，區(qū)分敏感度，對高敏數據進行更嚴格的保護；在數據刪除階段，根據法律法規(guī)及與用戶的約定進行刪除。

王小夏告訴1℃記者，騰訊倡導“科技向善，數據有度”的隱私保護理念。用戶·控制·數據的方法論已經應用于騰訊各款產品的功能設計中，有不同體現。以目前用戶數最大的微信為例，用戶在不同的設備登錄微信賬號時，需要驗證訪問。對于在其他設備上的登錄，騰訊會通過彈窗形式提醒，確認是否為本人操作，若非本人操作，可以修改密碼或凍結賬號。騰訊即將上線隱私保護平臺網站，搭建用戶窗口，讓用戶通過設置產品功能實現對個人信息的便利管理。

中國政法大學傳播法研究中心副主任朱巍十分認同“科技向善，數據有度” 的隱私保護理念。他對第一財經1℃記者表示，從用戶角度出發(fā)，把個人信息安全和隱私保護放在優(yōu)先地位，其次是在法律法規(guī)框架下，合理正當使用數據，才能為用戶帶來更好的產品體驗。

新問題新趨勢

一個現實局面是，互聯網行業(yè)數據保護依然新問題迭出且待解。

北京大學法學院教授、知識產權學院常務副院長張平告訴1℃記者，在個人信息保護方面，她留意到一些問題。例如，用戶信息的刪除權和被遺忘權其實依然不可實現，或實現起來并不容易。通過和從事網絡安全的企業(yè)公司交流得知，目前數據溯源類公司非常發(fā)達，任何一個去識別化的數據都可被復原�；ヂ摼W企業(yè)即使做了去識別化，但第三方公司立刻可以溯源，那么原來的公司有沒有責任？

在北京大學進行的多次測評中，發(fā)現很多企業(yè)將他們的數據委托境外機構處理，比如很多制造型企業(yè)的數據就是委托境外進行處理。國內的諸多互聯網巨頭都是自己處理數據，但未來會不會委托其他機構來處理，還無法得出結論。張平認為，作為諸多用戶喜愛的互聯網企業(yè)，騰訊發(fā)布《隱私保護白皮書》，倡導“科技向善，數據有度” 的隱私保護理念，不僅是企業(yè)積極踐行合規(guī)意識，也是作為互聯網領軍企業(yè)的一種社會擔當。

劉賢剛也提出，從技術發(fā)展的角度，下一步在人工智能時代，個人信息保護會面臨更多新的利益性、價值觀的評估風險。目前要考慮的命題包括對隱私的侵害、不重要的數據匯集在一起對國家有什么影響等等。但人工智能時代會更復雜，且涉及倫理和對法律法規(guī)的嚴峻挑戰(zhàn)。理論上在人工智能時代應該由國家出臺相應政策，某些數據經過審批進行相應的數據處理。隨著技術的進步，數據的價值是無法想象的，帶來的安全問題也是無法想象的。

在解決思路上，張平提出，從宏觀來說，應該統(tǒng)一協調立法。在個人信息保護的法律方面，已經有刑法、網絡安全法、消費者權益保護法，可以考慮在更高層面把這幾個法統(tǒng)一起來。此外，還需要建立有效的執(zhí)行機構、跟國際對等的專業(yè)部門、培養(yǎng)專業(yè)的人才隊伍。在企業(yè)層面，應該特別提倡企業(yè)自律，企業(yè)可以善意使用數據。個人的權益和企業(yè)產業(yè)的利益應該平衡，立法不可過度傾向，否則所有大公司都會被捆綁手腳，也不利于大數據產業(yè)的良性發(fā)展。