告別“裸奔時代”
離開銀行不久,手機收信箱裏就堆滿了理財推銷的信息;剛報名了課外培訓班,盈利機構的邀約電話一個接着一個;打開朋友圈,暱稱是A開頭的微商們的推銷廣告鋪天蓋地......
生活在高度信息化時代的我們像是在裸奔,毫無隱私可言。
自2012年起,315晚會已連續七年提及信息安全隱患問題,今年則再次點名曝光了一條通過“探針盒子”構建的高科技灰色產業鏈。RSA Security發佈的“2019年數據隱私和安全報告”顯示,只有48%的消費者認為公司可以通過道德方式使用他們的數據。
只有法律,才能堵上這些個人信息的“漏勺”。
所幸,這一回,它終於出手了。
噩夢重演朋友圈裏啥都曬,個人信息隨意留,網上支付不小心......觀察下來,對這些涉及到數據運營與管理的企業機構一直疏於監管,導致部分不合規業務“野蠻生長”,侵害他人合法權益的事件層出不窮。
不如就從今年説起。
2020開年以來,疫情打壓眾多傳統行業的同時,也為線上辦公及電商雲服務等賽道帶去前所未有的契機。然而,隨之而來的還有一系列的數據安全和隱私泄露事件。
2月,有安全研究人員表示,化妝品公司雅詩蘭黛將一個缺乏保護措施的數據庫暴露在互聯網上,該數據庫存儲了4.4億條記錄。此次泄露事件總共涉及超四億條記錄,其中包含大量的審計日誌和郵件地址。
3月,有暗網用户發佈了一則名為“5.38億微博用户綁定手機號數據,其中1.72億有賬號基本信息”的交易信息,售價1388美元。其中綁定手機數據包括用户ID和手機號,賬號基本信息包括暱稱、頭像、粉絲數、所在地等。
4月,任天堂發現大約有16萬個賬號被非法登錄,結合之前該公司的泄露事件,前後相加,大約有30萬個帳號ID裏所包含的出生日期、郵件地址等信息可能存在被泄露的風險。
5月,脱口秀藝人池子微博發佈長文,表示自己在處理與上海笑果文化傳媒有限公司的合約糾紛時,收到來自對方的案件材料,中信銀行在未經本人允許的情況下,為“配合大客户的需要”,泄露了他的個人信息,嚴重侵犯客户個人隱私。
6月,科技巨頭甲骨文公司的數據管理平台BlueKai因為在服務器上不加密碼從而泄露了全球數十億人的數據記錄,數據來源包括不少有影響力的媒體網站,如亞馬遜、紐約時報等。
數據安全事件頻發,社會各界議論紛紛,更多的是不滿與擔憂:不是已經整治好了嗎?怎麼又開始了?
自2017年5月開始,監管部門對於違法開展數據活動行為的嚴厲打擊就從未停止,風浪最大的時候,被調查的公司名單高達30多家。不止是獨立的第三方數據公司,那些基因裏帶有“高度倚賴數據”的企業可能都正戰戰兢兢地遊走在“是與非”的邊緣。
特別是互聯網金融行業,從企業到消費者,都對2019年針對現金貸、P2P、暴力催收等業務身後的爬蟲公司清理行動記憶猶新。億歐金融也曾對這次的行業“大清洗”做出報道,得數據者“失”天下,金融大數據連環爆覆盤。
公開資料顯示,公安部開展的“淨網 2019”專項行動,共查處違法違規採集個人信息的 APP 共 683 款。誠然,這場被稱為“史上最嚴監管”有力地推着行業向正規化道路上邁了一大步。
但歷史經驗表面,在利益的誘惑下,想要實現“完全淨化”,並非易事。陣痛過後,大數據行業的“連環爆”卻並未告終,糟糕的情況如多米諾骨牌一般,不斷坍塌。
大數據產業發展進入下半場,此時,僅靠事後的嚴懲修復,已然不能從根本上去除病因。
源頭,還在於立法的缺失。
蔚然成風的隱私保護2019年10月初發布的《2019全國網民網絡安全滿意度調查統計報告》顯示,這一年裏我國網民的網絡總體安全感有所提升,個人信息保護成為關注熱點,其中網民對個人信息保護和網絡平台責任加強立法的訴求再次被拔高。
公安部第三研究所網絡安全法律研究中心主任黃道麗曾在演講中表示,我國在大數據發展和應用方面呈現技術利用程度不高、行業發展不充分、政府監管偏失等不足,尤其在數據安全方面,“個人信息遭受泄露、披露或公開或是被不當使用、非法使用的風險也是相當高。”
“大多數人面對數據濫用、信息泄露時,選擇忍耐和消極抵抗。”中國政法大學互聯網金融法律研究院院長、中國政法大學大數據與法制研究中心主任李愛君觀察到,大部分人收到電話騷擾時選擇列入拒接名單或掛掉電話,但在遭受財產損失後,仍有45.15%的受訪者沒有采取任何維權措施。
2019年9月17日,在國家網絡安全周大數據安全分論壇上,中國工程院院士沈昌祥提到,”殺病毒、防火牆、入侵檢測的傳統’老三樣’難以應對人為攻擊,且容易被攻擊者利用;找漏洞、打補丁的傳統思路不利於整體安全。”
“要更多關注隱私政策內容本身。”中國電子技術標準化研究院信息安全研究中心審查部技術總監何延哲表示,在大部分人的理解中,現有隱私政策是一攬子、強迫用户同意,粗暴地彈一個窗口問是否同意,不同意就退出。
2019年7月13日,第四屆北大互聯網法律媒體研討班上,相關行業專家提出,中國現有的個人信息保護基本法律法規框架總體是分散的,沒有統一的個人信息保護法,目前最綜合的法規是《網絡安全法》,但其中只有幾條個人信息保護相關條款,處理此類事件還是依賴部門規章。
長期以來,個人信息保護領域的很多問題尚未有定論,比如個人信息的權屬問題、關於徵得同意的方式方法問題等等。同時正是因為這些爭議,也造成了立法本身的難度增加。
上至監管層,下至千萬家,蔚然成風的隱私保護愈加強烈。
千呼萬喚始出來2020年5月25日,十三屆全國人大三次會議舉行第二次全體會議,在加強重要領域立法方面,工作報告指出,圍繞國家安全和社會治理,制定生物安全法、個人信息保護法、數據安全法。
5月28日零點,國家互聯網信息辦公室發佈了《數據安全管理辦法》徵求意見稿,其中的第二章第十六條規定,網絡運營者採取自動化手段訪問收集網站數據,不得妨礙網站正常運行;此類行為嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。
這是首次對爬蟲問題進行了規定。
2020年6月28日,在北京舉行的十三屆全國人大常委會第二十次會議上,《數據安全法(草案)》初次提請會議審議。
草案的主要內容包括四大方面:確立數據安全保護管理各項基本制度,提升數據安全治理和數據開發利用水平,落實數據活動主體的安全保護義務與責任,建立政務數據安全管理制度和開放利用規則。
搗毀“窩點”不是重點,重點在法律上應明確如何處置違規開展數據活動的行為。同濟大學區塊鏈價值互聯網創新應用實驗室戴文浦表示,“高效且合規的模式,是以區塊鏈貫通全產業鏈數據,基於整理有效數據集——信息,然後建立信用體系,也就是基於數據信息信用的新型社會治理機制。”
“要想推進人工智能、區塊鏈等技術公司的快速發展,就一定要推進數據的合規發展。”鏈興資本創始人張明鏡表示,隨着國家新基建整體法案的推出,算力和數據作為未來核心生產力被納入到國家戰略的規劃中,是未來基礎技術賽道的基礎。
張明鏡提出,“隱私計算+區塊鏈”是數據要素自由流通、價值交換最好的解決方案。“前者能解決隱私保護和交換問題,後者能解決價值流轉和審計追溯問題,將二者結合起來,將為很多創業公司提供新的方向。”
在此次的法案中,也多次針對於涉及數據管理運作業務的企業機構進行提示。
例如,草案第二十五條規定,開展數據活動的機構及企業應當建立健全全流程,並定期組織開展數據安全教育培訓;該條規則還特別提到,重要數據的處理者應當設立數據安全負責人和管理機構,落實數據安全保護責任。
草案第二十七條則指出,當數據安全出現缺陷、漏洞等風險時,除了要立即採取補救措施,還要及時告知用户,最大程度上降低損失。
草案第二十九條強調,任何組織或個人對於數據的使用不得超過必要的限度。
合理地應用數據這項珍貴的資產,是在企業日常的經營管理中至關重要的一個環節。一方面,要運用先進的技術水平和創新思維將數據價值最大化,另一方面,也要遠離觸犯個人隱私和數據安全的“紅線”。
在草案的基礎上,下一步,就是將這條“紅線”描繪得更醒目,難以撼動。
路漫漫其修遠兮2019年G20國家數字競爭力指數評價結果表明,中國在G20國家數字競爭力指數排名中位居第二,尤其在數字經濟和數字服務方面具有較強的競爭優勢,相關指數排名位列G20國家首位。但數字治理與數字安全兩項指數的排名卻是十名開外。
全國人大代表,中國移動集團公司董事,浙江移動黨委書記、董事長、總經理鄭傑已經連續兩年提出加快制定《數據安全法》的提案,他表示,“數據壟斷不利於市場有序競爭”、公共數據的利用存在“不願”、“不敢”和“不會”共享開放等也是目前存在的問題。此外,國家數據主權未確立,中國在數據跨境流動中處於劣勢這個問題也值得關注。
放眼國外可參考的歷史經驗,早在1974年,美國聯邦就制定了《隱私法》,2015年通過的《網絡安全信息共享法》進一步規定了個人隱私、自由等私權利的保護;在此基礎上,2018年,歐盟在《通用數據保護條例》(GDPR)中,首次明確了數據處理者也需要直接承擔合規風險和義務。
鄭傑分析,隨着各國之間數據資源競爭愈發激烈,“長臂管轄”效應不斷擴散,數據主權成為各方博弈的焦點。中國如不確立數據主權,將在數據跨境轉移以及國際數據競爭中面臨劣勢。
產品設計有一個天然的“不可能三角”:廉價、便捷、隱私。
要便宜免費、要保護隱私,這其中有天生矛盾。站在企業的角度,難免喊冤,畢竟消費者所感知到的是個人信息保護外側的內容,而無論企業花費多少財力去打造數據防護的壁壘,仍然存在被攻擊的可能,此時矛頭都會直接指向企業的防護措施不當、風控水平不佳上。
特別是對於囊中羞澀的中小企業,難以權衡在數據保護上的花費與成效,無奈之下只好抱着僥倖的心理鑽監管的空子。
類似這樣的隱性問題又該如何解決?
IDC統計結果表明,全球數據容量從2018年的33ZB到2025年將超過175ZB。我們假設讓一個人以25Mb/s的速度去下載這些數據,竟需要整整18億年。如此龐大的數據體量中,既包含用户個人隱私數據,也包含具有重大商業價值的企業數據和涉及到國家政府安全的機密數據。
多年來,我國的監管層始終像是辛勤的“消防員”,只能在每一次東窗事發後,再去力挽狂瀾、起死回生,而實際上,能夠未雨綢繆、防患於未然不才是更好的實踐途徑嗎?
有法可依,算是開了一個好頭。
數據隱私,這個細思極恐的話題,能否在這一次真正進入“完結篇”,我們拭目以待。
致謝:
感謝鏈興資本創始人張明鏡,同濟大學區塊鏈價值互聯網創新應用實驗室戴文浦教授,基於本文所接受的採訪。
參考文獻:
《公安部專家談大數據安全與政策法規》BDTC前瞻;
《數據安全是大數據行業立法重點》中國經濟網;
《中國工程院院士沈昌祥:網絡安全“老三樣”難以應對網絡戰》環球網;
《數據安全與個人信息保護的監管趨向》法制網。