如何终结大数据产业的“裸奔”和“野蛮生长”?
伴随着互联网应用的拓展和大数据技术的进步,信息的生成、留存和传输更加便捷。在体验信息技术带来的新福利的同时,我们也要面对和解决随之而来的信息更加容易泄露、更加容易传播、不对称鸿沟加剧的新风险。
近期Facebook的用户个人信息泄露丑闻再次将个人信息保护拉到公共舆论的聚光灯下。许多原来被用户或消费者给予信任的应用和服务,可能从事着见不得阳光的个人信息不法收集和利用。这让我们再次认识到个人信息保护的艰巨性。
腾云智库专家、中国社科院文化法制研究中心研究员周辉认为,“设计更加有效的综合治理方案,实现个人信息的切实保护,是当前现实而紧迫的时代命题。”
周辉
中国社科院文化法制研究中心研究员,《网络信息法学研究》执行主编,中国法学会网络与信息法学研究会理事兼副秘书长、中国互联网协会个人信息保护工作委员会副秘书长。
1
个人信息保护是紧迫的时代命题
首先,这关乎公民的人格尊严和信息自主权。算法歧视、精准营销的背后就是信息收集基础上的挖掘利用。个人信息保护不力将使得个人从信息的主体沦为信息利用的客体。
其次,这关乎整个社会的信任度和安全感。人民的生活安宁和生命财产安全。因为个人电话泄露,我们经常受到陌生电话骚扰,进而导致许多白名单以外的陌生人联系被频频“挂断”,现代社会从熟人间的“特殊信任”向陌生人间的“普遍信任”发展受到严重干扰。随意收集、擅自使用、违规披露消费者个人信息,也严重损害了广大人民群众的生活安宁和人身财产安全。
再者,用户个人信息受损、社会信任下降,反过来也会影响整个网络信息产业的健康长远发展。数据要足够多才能发挥大数据的优势,有关的技术和应用才可能进一步成长、进步。个人信息得不到有效保护将直接挫伤整个社会的数据供给积极性。
因此,设计更加有效的综合治理方案,实现个人信息的切实保护,是当前现实而紧迫的时代命题。
2
制定有针对性的治理方案
第一,不断提高制度设计的精准性、系统性和协调性。应当区分不同社会群体、不同信息类型、不同风险程度、不同影响后果,制定有针对性的治理方案,不断提高个人信息保护的精准化、精细化水平。
对于未成年人或在校学生的信息,要制定相对于其他一般群体更加严格的保护方案;对于涉及个人基本资料的敏感信息,要采取相对于其他已经公开的普通信息更加严密的保护措施;对于安全风险较高的个人信息,在收集、存储、利用、传输过程中要设计更加稳妥的管理规程;对于泄露会造成严重不良影响的信息,要划入更高的信息安全等级进行保护。出台涉及个人信息安全的制度,也要做好影响性评估和制度配套。例如,实名制管理增加了个人信息收集的范围,就要对实名信息的留存、使用、处理作出更严格、具体的制度设计。
3
单纯强调加快立法是不足够的
第二,持续加强立法、司法、执法、普法联动。个人信息保护离不开法律的规范和保障。但是单纯强调加快立法是不足够的。
一方面,在大数据时代,个人信息处理的手段措施和个人信息利用的商业模式变化频繁,与法律要保持相对的稳定性和适当的预见性之间存在一定的张力。制定个人信息保护专门性立法,涉及利益的广泛调整,应当在对信息处理利用情况有全面、成熟认识基础上积极稳妥推进,不能操之过急。
另一方面,徒法不能以自行。我国并非没有个人信息保护方面的立法,在攻坚专门立法的同时,完全可以在既有的法律框架下强化执法。
根据《民法总则》《消费者权益保护法》《网络安全法》等法律的规定,公民的个人信息受法律保护。但是许多情况下,公民对于个人信息被收集、使用的情况并不知晓,取证索赔困难,民事维权既难以发起,也易孤掌难鸣。
加强个人信息保护行政执法正可以弥补民事救济的不足。有关主管部门对市场上经营者违法收集、使用消费者个人信息的行为,及时进行查处打击非常必要。信息保护执法上的不作为对违法犯罪的放纵可能会带来更严重的影响。除了强化执法零容忍,有效发挥能动司法作用、持续提升普法教育质效也是个人信息保护治理方案的重要组成部分。
4
多方共治理与立体监督
第三,大力推进政府、企业、社会、个人共治。个人信息保护属于社会性难题。解决这一问题,政府、企业、社会组织、广大网民都能发挥作用、都应发挥作用、都要共同参与。真正形成多方联动、齐抓共管、协同治理、良性互动的态势,除了前面提到的政府要立好规、严执法,还需要企业真合规、遵守法,行业协会等社会组织加强自律自治,新闻媒体做好监督,公民个人做好防范。
这其中特别重要的是,掌握个人大量信息的政府机构、电信企业、互联网企业等都要担起信息保护的主体责任,有效构建内部的公民(用户)信息安全风险防控机制和权限管理机制,防止内部人泄露信息、防范外部人窃取信息、禁止违法交易信息、控制高风险传输信息。
第四,统筹实施法规、技术、市场、信息一体化的立体监管。我们还必须认识到个人信息泄露背后的技术影响、灰色市场和信息不对称。除了构建法律规范体系,还要构建技术标准体系、市场监管体系和信息披露体系。在互联网环境下,个人的浏览记录、位置信息甚至账户信息、指纹信息,都可能被某些软件代码悄然窃取。这些信息再流入某些大数据企业进行数据挖掘。许多互联网用户对此情形,既一无所知,也无可奈何。
目前已经出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》、《信息安全技术个人信息安全规范》等技术标准具有一定的积极意义,但是面对变化发展的网络信息应用,其在内容和操作上仍难免产生很多问题。对于个人信息保护的日常实践而言,法律只能提供一个规范框架、规则体系,能否建立有效、专业的动态的行业标准引导、明确信息数据处理的规程和细节更具有现实迫切性和重要性。
终结大数据产业的“裸奔”和“野蛮生长”,有赖于从市场驱动力上根本遏制窃取和违法利用个人信息的行为。这就要在市场监管体系中,严厉打击各种灰色产业链,严防以大数据创新为名开展不法交易。
5
网络平台企业责无旁贷
第五,积极建设有效保护用户信息的网络平台生态。网络用户的信息在主要网络平台上被收集、处理、利用和传播,一方面,作为网络平台的建设者、运营者和一线管理者,保护网络用户的个人信息和隐私安全,网络平台企业责无旁贷;另一方面,作为有序、高质量数据信息生产、消费健康网络生态的直接受益者,保护用户信息是自身长远发展的必然要求,网络平台企业为此更应作出不懈努力。
首先,网络平台应当结合自身特点,制定满足合规要求且能为用户理解的隐私政策。隐私政策文本可以考虑有两个版本:一个是专业版或正式版,作为法律文件明确权利义务;另一个是大众版或解读版,以通俗易懂的文字图片或附有示例、说明的视听作品,向一般用户讲清楚、说明白网络平台及平台上的不同应用所可能涉及的信息收集、处理、利用和传播情况。
其次,网络平台企业内部要建立统一高效的信息合规风控体系。网络平台企业应当设立由公司最高决策层成员担任或兼任的首席隐私官(首席数据官)岗位,并建立由首席隐私官统一领导的信息合规机制:日常的产品和应用应当定期进行信息合规检查,新产品、新应用通过信息合规评估后才能上线;员工应该根据岗位进行定期的信息合规培训考核;根据信息安全等级,明确访问权限,监控访问行为,建立应急预案、组织应急演练;明确有力的问责机制等。
再次,网络平台企业要管理好平台上的第三方应用。既要建立第三方应用取得用户数据的严格规则,也要完备控制、限制其获取用户数据的技术措施。
最后,还有一点非常重要:充分保障用户的知情权和控制权,让用户清晰、便捷地知晓数据为何收集、被谁收集、如何收集及其可能的风险,为用户提供访问、更正、删除在其网络平台上的个人信息的友好选项。
6
专业力量填补“鸿沟”
第六,充分发挥第三方专业力量和公共舆论的监督功能。普通公众与信息收集处理单位之间的知识“鸿沟”特别是数字化“鸿沟”,需要中立、专业的机构和队伍来填补。应当鼓励科研机构和社会组织积极开展用户教育和第三方评测监督,增强用户对个人信息风险的判断力、危险的免疫力、伤害的抵抗力,及时发现、曝光侵犯个人信息的机构和行为。
2017年,中央网信办等四部委组织专家对微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横、携程网等十款网络产品和服务的隐私条款展开评审,在短短一两个月里掀起了“隐私政策”更新调整的热潮。有关产品的隐私政策在专业力量和社会公共舆论监督的触动下,得到了相当程度地改进和完善,短时间、低成本地实现了一般行政执法想实现而没有实现的治理目标。
技术不断进步,应用不断创新,风险不断变化,个人信息保护也永远在路上。针对个人信息保护的制度设计也要随着实践的变化适时调整、不断优化,始终确保个人信息保护的针对性、及时性和有效性。
XXXXXX
丨 往期回顾
| Facebook泄密启示:自力救济遏制“蚊子”式信息窃取者
| 关于FACEBOOK事件背后的大五人格研究以及科辛斯基,罗家德说出了全部