查看原文
其他

过度收集数据:徐玉玉悲剧的重要原因

2016-08-30 涂子沛 大案

正是因为数据安全千头万绪,数据管理更应该“怕简不怕繁”。


文/涂子沛(微信公号:涂子沛频道)


徐玉玉案已火速侦破,但个人信息泄露的阴霾和风险却没有散去。

 

我注意到,徐玉玉的助学金申请包含了26个数据项,其中不仅包括姓名、身份证号、联系方式、住址,还有个人照片、生日、银行账号、学号、家庭经济情况、家庭成员信息等等。

 

如同拍了张X光片,这些数据不仅呈现了申请者自身的状况,还反映了她的社会关系网。

 

申请一次助学金,真的需要提交这么多数据吗?如果少一些数据,骗子就掌握不了徐玉玉的全面情况,骗局就可能露出马脚。

 

不必要的数据只要被搜集起来,不仅没有用,还可能坏事,特别是在收集而来的数据又无法得到加密保存的情况下,它们极易泄露,而这些个人数据一旦落入不法分子之手,只能人为刀俎、我为鱼肉。

 

我认为,徐玉玉案的爆发,我们应当反思、质疑当下政府和商业机构数据收集体制、机制之合法性、正当性和科学性。


过度收集数据:成事无补、败事有余


数据收集,本是信息时代的基本特征,也是构成信息社会的基础。

 

从收集数据的过程看,人从一出生开始,就与表格、证明结下不解之缘:入学、求职、结婚、购房、看病、领取驾照、办理银行卡……有时这些表格还一式多份,时时要登记、处处要证明。



商业机构的数据收集更有过之而无不及,部分还是在消费者毫不知情的情况下进行的,这在网络上就广泛存在。匪夷所思的是,有些地方购买一张记名公交卡、会员卡、超市兑换积分也需要提交身份证复印件。这中间风险很大,为防止滥用,有律师建议在身份证复印件上加上签注。

 

政府部门当然有收集数据的权利,但我认为,“过度收集”在当下是普遍存在的。不同的部门重复收集同一种数据,甚至同一个部门因为不同的业务环节也在重复收集数据。今天办事你要填表,过段时间再去办事,又得填表。至于为什么需要这个数据,没有人告诉你原因。

 

凡事都有利弊两面。打开窗子,进来的不只是新鲜的空气,也会有苍蝇和蚊子。

 

这些数据,相当一部分都沉淀在政府部门的电脑中、尘封在文件档案库中,无人问津。但一旦因为管理不善而数据泄露,立即就构成了对公民生活安全的威胁。

 

一个人一生要在政府机构、商业机构中留下的数据,远比我们想象的要庞大。

 

1995年,美国联邦政府做过一个统计,他们一年的信息收集任务需要65亿个小时才能完成,这相当于320万人一年的工作量。也就是说,除了填表格,这320万人什么都不用做,也需要一整年的时间才能完成联邦政府下达的信息收集任务。这个数据到了2009年,已经上升到99亿小时。

 

为了规范政府的信息收集,美国政府曾经颁布《纸面工作精简法》,该法规定,任何一个部门如果要向社会收集数据,必须得到信息管制办公室(OIRA)的批准。

 

即你要收集数据,必须得到统一审批。如果上述办公室认为你的要求合理,将会授予你一个“信息收集许可号”。

 

可别小看这个“号”,它是政府收集数据的凭证,它限定了本次数据收集的范围。缺少这个号,收集就不具合法性,任何公民都有权拒绝填报。

 

公共机构的数据收集,需要公民和社会的配合,这对后者是一个负担。“有权拒绝填报”就是一种权利和保护。

 

事前许可,事中监督,事后知情。在源头上对数据收集进行限定,个人数据的风险将降至最低。

 

我建议,对于如何科学合理的收集数据,我们应当尽快出台相应的法规,明确统筹的部门,详尽规定数据收集的目的、类型、流程和使用的权限,抑制过度收集数据。

 

我相信,用法律来约束数据收集的过程,不仅可以提高数据收集的科学性,还可以减轻公民负担、减少“信息扰民”。 

 

人人都应有免于恐惧的权利

我不反对数据的收集,反对的是过度收集;特别是在数据安全没有保障情况下的过度收集。


但这恰恰就是我们的现实。

 

据我所知,我们大部分的数据在收集之后,都没有加密保存。今天的信息技术,已经让数据复制、转移的成本非常低廉、过程非常简单快捷。没有加密的数据,基本上就是在“裸奔”。

 

其实,理想的状态是,对于可以标明一个人身份的数据项,无论是静态存储,还是动态的传输,都必须加密。



在加密技术和手段没有普及的情况下,我们应该尽量减少、避免“过度收集”。

 

除了加密的技术手段,政府还应该设计完整的管理机制,例如,政府文件有绝密、机密、秘密、公开之分,相应级别的公务人员只有权力查看相应级别的文件,有关于公民隐私的个人数据也一样,要有特定的权限才能接触、查看。道理很简单,如果一份申请表,需要层层递交、审批,经手的人越多,数据泄露的风险也越高。

 

今天的社会,数据就是隐私的载体。

 

现在回头看,我们也可以认为,徐玉玉之死就是缘于一次数据填报。

 

人人都有免于恐惧的权利,这是一个信息社会中最起码的安全准则,正是因为数据安全千头万绪,数据管理更应该“怕简不怕繁”。中国社会要避免出现更多的徐玉玉悲剧,必须从基础做起、从规则和法律做起。


参考资料:

根据《中国青年报》今年5月的调查,81.8%的受访者认为网络运营者、软件开发商有过度收集用户信息行为,86.5%受访者期盼出台个人信息数据采集标准。



相关阅读:

1.涂子沛:阿里可以打假,三大运营商对电讯诈骗为什么无所作为

2.涂子沛:徐玉玉之死,当地教育部门可能是帮凶

3.涂子沛:寻“坑”背后的数据思维

4.涂子沛:里约和杭州,应该靠什么保障城市的安全?

5.涂子沛:都说收集数据很难,也许是思维错了



本文版权归“涂子沛频道”所有转载授权及其他商务合作请联系邮箱datavistaBD@163.com




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存