6月1日《中華人民共和國網絡安全法》正式施行。網絡安全其實是全方位的概念,既包括國家安全、社會安全,也包括個人信息的安全。這部法律和之前一個公眾千呼萬喚的《個人信息保護法》其實有交叉性的內容。
中國信息安全研究院副院長左曉棟透露,為落實《網絡安全法》中對個人信息保護的原則和要求,國家標準《個人信息安全規范》已經報批,即將出臺。同時,個人信息和重要數據出境安全評估辦法也已經征求意見,近期就會發布。
面對鋪天蓋地的所謂“大數據營銷”、“數據化驅動”,怎么保護公民正當的信息權利不被濫用、侵犯?怎么保證企業對公民的數據不動歪腦筯?怎么平衡公民權利和企業的數據利益?
據介紹,這次《網絡安全法》的相關規定,明確了個人信息保護包括責任原則;目的明確原則;最少夠用原則;同意和選擇原則;開放透明原則等8個原則。
這讓我想到了2012年,工信部直屬的中國軟件測評聯合30多家單位起草過《信息安全技術、公共及商用服務信息系統個人信息保護指南》,當時這部國家“指南”,也明確了個人信息的保護原則包括:目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項。比如,一些網站讓用戶填寫家庭住址、手機號等很多信息,這就不符合“最少使用”原則。“指南”還規定“用后即刪”機制,即,在收集個人信息階段告知的“使用目的”達到后,應立即刪除個人信息。
客觀地說,5年來,這份國家“指南”實際還是沒有管住IT企業甚至很多不知所謂企業、事業單位攫取、吞噬公民信息的問題。說到底,它是沒有“牙齒”的,作為行業推薦規范,就算電信、銀行、網站承諾采納這套國標,也無法評估體制企業是否做到了“最少使用”、“用后即刪”。事實上,這兩年“大數據”方興未艾,一些倒賣公民個人信息的違法行為,卻堂而皇之地冠上了“大數據”、“數據驅動營銷”、“用戶畫像”的高科技名頭。這是渾水摸魚,也歪曲了“大數據”的本義。
正規的“大數據分析”,必須以保護用戶隱私權為基礎,在進行“用戶畫像”等數據使用之前,必須對原始數據進行“脫敏處理”:水印(對局部信息的掩遮)、泛化(對數據進行更概括、更抽象的描述)、加密(應用密碼技術對數據進行封裝)、失真(采用添加噪聲等方法對原始數據進行擾動處置,但要保持原有的數據統計方面的性質不變)、歸并等。從信息的程序保障來說,保證數據從采集開始直至輸出,任何數據的訪問、使用,都必須經過特定的審批流程。
所以“大數據技術”絕對不是賣原始數據。這次的《網絡安全法》也將這種“經過處理無法識別特定個人且不能復原的”信息,排除在了個人信息保護的范圍之外。
現在的問題是怎么去用事前監督、事后懲罰,來防范企業違規收集、濫用公民信息。那就應該把一些客觀性的程序規則、事后處罰明確的規定出來,不能讓企業憑心情、按良心來自己執行。
比如,現在很多App的做法是“一次同意,頻繁收集”,用戶只同意了一次,App就可以頻繁地收集用戶的位置信息,明顯就超越了征求用戶同意時的“使用目的”,這就會異化成為信息勒索,這又回到了之前大家熟悉的那個“分粥者”的比喻,多少信息才是夠用?不能由企業單方面說了算。
《網絡安全法》明確的個人信息保護8項原則,看起來很美,但是如何讓陽光照入現實,如何避免5年前工信部那個“指南”的教訓?說到底,還是要讓《網絡信息安全法》《個人信息安全規范》長出“牙齒”,更多賦權于公民積極維護自身的信息權利,使用舉證責任倒置、懲罰性賠償倒逼企業不敢在個人信息方面做惡。
免責聲明:凡本網注明“來源:XXX(非駐馬店廣視網、駐馬店融媒、駐馬店網絡問政、掌上駐馬店、駐馬店頭條、駐馬店廣播電視臺)”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責,作品版權歸原作者所有,如有侵犯您的原創版權請告知,我們將盡快刪除相關內容。凡是本網原創的作品,拒絕任何不保留版權的轉載,如需轉載請標注來源并添加本文鏈接:http://www.czyfgj.cn/showinfo-572-217826-0.html,否則承擔相應法律后果。
