个人信息保护,我们还缺什么?
当你下载APP时,一路点击授权对通讯录、地理位置、日历、麦克风、照片等数据的访问时,是否想过在享受打车软件、地图服务、社交软件便利的同时,存在隐私被泄露的风险?你是否愿意接受这种以让渡安全性换取的便捷性服务?
在大数据风起云涌的时代,云计算等互联网技术突破为征信系统带来了深刻变革。无论是国家监管部门还是普通民众,个人信息保护问题都受到了密切关注。如何在个人信息保护的制度建设上与时俱进、切实推动隐私保护与数据安全?中国金融四十人论坛(CF40)及上海新金融研究院(SFI)特地邀请了四位专家共同探讨以上问题。
2016年12月10日,网传疑似京东12GB用户数据被明码标价售卖,被泄露的数据包括用户名、密码、邮箱、电话号码、身份证等多个维度,数据多达数千万条。
在大量网友的质疑声中,12月11日,京东在其官方微信公众号“ 京东黑板报”上发布了题为《关于有媒体报道京东数据安全问题的声明》,确认了数据泄露的真实性。京东表示,经信息安全部门依据报道内容初步判断,此次数据泄露源于2013年Struts2的安全漏洞问题,已经完成了系统修复。同时针对可能存在信息安全风险的用户进行了安全升级提示。此外,京东还建议用户高度重视信息安全和隐私保护,运用高强度密码等提高账户安全等级。
针对京东数据泄露事件,上海资信有限公司副总裁李奕从微观角度提出了两个立法原则:“举证责任倒置”与“信息泄露通知”。李奕认为,“个人信息主体往往是弱势一方,一旦发生个人信息权益被侵害的情况,个人信息主体在维权时应该把举证责任归到信息处理者。只有这样,才能把个人信息权利真正还给信息主体本人”。同时,他也认为,“这类信息泄露应得到及时披露或通知,包括通知信息主体本人和监管部门”。
在此基础上,李奕进一步建议应予以建立相应的“信息处理者准入制度”。他强调,“在立法上,应该对处理一定规模数据(比如一千条或者一万条数据,这可以由立法专家来确定)的机构实行牌照制,其他小于这个规模的信息处理者也要备案,这样才能真正地让监管落地。
北京瑞天欣实数据科学有限公司首席科学家杨子君对此表示赞同:“我认为现在中国相关法规还比较欠缺,但是目前对于数据使用的需求又是巨大的,需要相关部门在短时间内建立一个相对完整和完善的数据监管规范。”
在谈到欧盟数据保护新规中“要求雇员在250人以上的大型企业必须设立数据保护官”时,李奕表示,我国也应建立相应机制。杨子君则指出了目前中国金融业因信息保护不足而存在的巨大风险,即:随着我国金融产品的多元化和资产证券化的发展,如果拥有大量数据而又监管不力,那么最大可能受损的是金融行业。
CF40成员、国家统计局副局长郑京平提议,中国不妨分析并借鉴一下其他发展中大国(比如印度和巴西)的相关经验,可能对进一步的决策更有说服力。
郑京平表示,除了强调行业自律外,提高公民自身对个人信息的保护意识亦十分重要,“信息买卖是双方的事,而信息的所有者——公民是不希望自己的信息被泄露(出卖),非法出卖者和购买使用者都要严格自律,不能违法买卖个人信息。公民自身也要加强个人信息的保护意识,在向他人提供个人信息时,一定要有(合同)约定,制止个人信息泄露或用作他用。”
李奕也指出,当今社会上有相当多的机构实质上在从事征信业务,但是为了规避监管,他们并不备案或者没有申请牌照,造成监管的盲点。因此,对从事个人信息处理的行为应该采用“穿透式监管”的方法,并且实行信息处理者的准入制度,只有这样,个人信息保护才能真正起到落到实处。
大数据时代,分户(分企业或个人)微观数据开放已成为趋势,社会需求极大。一方面,官方机构、准官方机构、企业社会组织和公司总是希望信息越透明越多越好;另一方面,公民个人则希望信息受到更为充分的保护。二者的平衡关系需要技术手段。
郑京平以自己在曼谷参加联合国亚太经社会统计委员会第五次会议为例,指出:世界银行正在使用一套名为“数据公开管理(statistical disclosure control)”的软件对分户微观数据进行匿名化处理,经过处理输出的这组新数据已经完全不具有原始数据的身份信息,但却保持了原始数据组的基本统计特征,可供用户开发利用。“随着社会进步和科技发展,我们需要进一步关注和利用技术发展对于个人信息保护的作用”,他说。
天云融创数据技有限公司CEO雷涛则为“大数据”正名。他表示,“提到技术对个人信息保护的贡献,很多人会联想到大数据,并妖魔化地将其看作是获取隐私的思路和方式。但实际上大数据的运用对个人信息而言是矛和盾的存在,其不完全只是获取信息的手段,也可以建立一个防火墙保护个人隐私,在保护和透明之间找到合适的界定。”
以iPnone7使用的ios10以上系统为例,雷涛认为苹果公司通过公开采集所有输入方法、把隐私和个体之间割裂开来的差分隐私方法,使用了人工智能技术,把物理实体人和虚拟世界完全割裂开,而且采用科技手段进行不可逆的设定。“这种方法解决了以前我们只能关注群体的问题,而其能够用科技手段推动对个体的服务,同时解决个体隐私难题。这种把实体和虚拟体之间割裂开的AI手段,无疑可以作为我们的盾去防范隐私暴露的风险。”他这样解释道。
此外,雷涛认为可以通过“界定技术”的方法来限制敏感信息的使用。在此意义上,科技不完全是获取信息的手段,也可以用来建立一个防火墙保护个人隐私,精确地在保护和透明之间找到一个定价的方式。
近期文章精选: