6月1日《中华人民共和国网络安全法》正式施行。网络安全其实是全方位的概念,既包括国家安全、社会安全,也包括个人信息的安全。这部法律和之前一个公众千呼万唤的《个人信息保护法》其实有交叉性的内容。
中国信息安全研究院副院长左晓栋透露,为落实《网络安全法》中对个人信息保护的原则和要求,国家标准《个人信息安全规范》已经报批,即将出台。同时,个人信息和重要数据出境安全评估办法也已经征求意见,近期就会发布。
面对铺天盖地的所谓“大数据营销”、“数据化驱动”,怎么保护公民正当的信息权利不被滥用、侵犯?怎么保证企业对公民的数据不动歪脑筯?怎么平衡公民权利和企业的数据利益?
据介绍,这次《网络安全法》的相关规定,明确了个人信息保护包括责任原则;目的明确原则;最少够用原则;同意和选择原则;开放透明原则等8个原则。
这让我想到了2012年,工信部直属的中国软件测评联合30多家单位起草过《信息安全技术、公共及商用服务信息系统个人信息保护指南》,当时这部国家“指南”,也明确了个人信息的保护原则包括:目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。比如,一些网站让用户填写家庭住址、手机号等很多信息,这就不符合“最少使用”原则。“指南”还规定“用后即删”机制,即,在收集个人信息阶段告知的“使用目的”达到后,应立即删除个人信息。
客观地说,5年来,这份国家“指南”实际还是没有管住IT企业甚至很多不知所谓企业、事业单位攫取、吞噬公民信息的问题。说到底,它是没有“牙齿”的,作为行业推荐规范,就算电信、银行、网站承诺采纳这套国标,也无法评估体制企业是否做到了“最少使用”、“用后即删”。事实上,这两年“大数据”方兴未艾,一些倒卖公民个人信息的违法行为,却堂而皇之地冠上了“大数据”、“数据驱动营销”、“用户画像”的高科技名头。这是浑水摸鱼,也歪曲了“大数据”的本义。
正规的“大数据分析”,必须以保护用户隐私权为基础,在进行“用户画像”等数据使用之前,必须对原始数据进行“脱敏处理”:水印(对局部信息的掩遮)、泛化(对数据进行更概括、更抽象的描述)、加密(应用密码技术对数据进行封装)、失真(采用添加噪声等方法对原始数据进行扰动处置,但要保持原有的数据统计方面的性质不变)、归并等。从信息的程序保障来说,保证数据从采集开始直至输出,任何数据的访问、使用,都必须经过特定的审批流程。
所以“大数据技术”绝对不是卖原始数据。这次的《网络安全法》也将这种“经过处理无法识别特定个人且不能复原的”信息,排除在了个人信息保护的范围之外。
现在的问题是怎么去用事前监督、事后惩罚,来防范企业违规收集、滥用公民信息。那就应该把一些客观性的程序规则、事后处罚明确的规定出来,不能让企业凭心情、按良心来自己执行。
比如,现在很多A pp的做法是“一次同意,频繁收集”,用户只同意了一次,A pp就可以频繁地收集用户的位置信息,明显就超越了征求用户同意时的“使用目的”,这就会异化成为信息勒索,这又回到了之前大家熟悉的那个“分粥者”的比喻,多少信息才是够用?不能由企业单方面说了算。
《网络安全法》明确的个人信息保护8项原则,看起来很美,但是如何让阳光照入现实,如何避免5年前工信部那个“指南”的教训?说到底,还是要让《网络信息安全法》《个人信息安全规范》长出“牙齿”,更多赋权于公民积极维护自身的信息权利,使用举证责任倒置、惩罚性赔偿倒逼企业不敢在个人信息方面做恶。
本文转自d1net(转载)
