身处大数据时代,人们在享受着互联网不断普及所带来的诸多便利的同时,也逐渐发现,个人生活被网络所渗透后,越来越多的隐私信息“飞”出了自己的视线,落入他人之手。
2016年末,中国社会科学院发布的《社会心态蓝皮书:中国社会心态研究报告》显示,食品安全和个人信息安全是目前公众最为担心的问题。“徐玉玉事件”让人们看到了信息泄露后“精准诈骗”的危害,媒体记者花700元买到同事行踪的暗访又揭示了信息贩卖的庞大地下产业链。
在复杂的现实环境下,个人信息安全由谁来守护?*、企业、个人又该如何行使手中的权利,承担各自的责任?两位专家带来了他们的见解。
警惕个人的“数字画像”
解放周一:近年来,个人信息泄露引发的经济损失逐渐增多,记者花700元买到同事各种行踪隐私的消息又像一个“重磅炸弹”让人们意识到个人信息的泄露程度之深,信息之廉价,不安全感愈发强烈。甚至有人说,当你选择接入互联网,就是选择了把个人隐私交出手。您怎么看待这个观点?
蒋兴浩:(上海交通大学信息安全工程学院教授、博导):我认为这个说法并不准确,因为他把每个人的主动选择权给弱化了,而事实上网络空间和现实生活中一样存在着各种各样的陷阱和风险。在当前的情况下,网络用户再把自己仅仅看作是一个被动接受者,本身就是不合适的。
一般来说,常见的个人隐私数据的泄露途径分为三种,分别是直接遭受黑客攻击、可信任网站数据泄露以及个人数据使用不当。普通人直接遭受黑客攻击,导致手机、电脑内的数据被窃取的情况较少,网站数据批量泄露的风险也不在个人可控范围内。
大家最容易忽视、可能也不太愿意承认的一点是,一切隐私数据的源头都来自于用户,大多数的个人隐私泄露主要来源于用户平日操作中对隐私保护的疏忽和不规范。
所以说,尽管人们对于个人信息安全普遍焦虑,但由于个人信息保护的常识不足,对什么是个人信息、如何保护个人信息、怎样降低风险损失缺乏直观的了解,从而为不法分子留存了极大的侵害漏洞。
最典型的就是过度的社交网络化。很多人已经习惯把日常活动和个人喜好统统“晒”出来,把网络空间当成自己的“移动记事本”,作为自己和亲朋好友的互动空间。但是大家不太会去关注,这些信息到底谁在看、谁能够看。
大数据时代兴起了“数字画像”,也就是一种建立在一系列真实数据之上的目标用户模型,很多企业在产品设计开发中都喜欢用这种方式。虽然企业在搜集用户信息的时候通过的是正规的渠道,但是不能排除一些不法分子恰好也试图给他们的目标用户建立了“数字画像”,人们平时随手晒出的姓名、照片、家庭状况、工作情况、常去地点等信息实则就为他们行了方便。诸如网络“钓鱼”、诈骗、广告骚扰、身份盗用之类的危害其实大家都很清楚,但出于侥幸心理,贪图一时的方便,人们常常不愿意隐去或者删除一些信息而放任不管。
因此,信息安全并不是便捷生活的筹码,舆论呼吁的提高用户自身的隐私保护意识也并不是一句空话和口号,它确实是现有最好的保护个人隐私的办法。
解放周一:所以说,每个人其实都要从自己出发,把好个人信息安全的第一道大门,让担忧和焦虑化作日常行为习惯上的改变。
蒋兴浩:是的,具体来说就是在追求更真实的用户体验的同时,养成一些良好的网络安全习惯。比如,谨慎发布个人的移动地理信息、不随意连接公共区域的无密码WIFI、不在公共计算机上收发邮件或账号登录、不在多个地方使用相同的密码以防止隐私信息被“撞库”等。
这些做起来其实并不难,关键在于大家观念的转变,把这些隐私保护的习惯当作是关窗、锁门一样顺手的事情。
解放周一:国内外许多知名企业其实都有过用户个人信息泄露的“丑闻”,引发了较强的社会反响。在您看来,当前企业在信息安全保护上存在哪些问题?
蒋兴浩:毫无疑问,企业肩负着保护用户个人信息安全的责任。值得注意的是,技术过关之外,防范措施和应对危机的制度设计至关重要。
从技术上说,任何信息系统都是存在安全漏洞的,掌握用户数据越是多的公司,遭受攻击后泄露程度的危害就越大。现在的问题在于,很多企业缺乏自查意识,没有受到攻击就自认为“太平无事”,紧急情况发生之后,反应又不够迅速。
在韩国,*有规定企业必须定期雇人进行渗透测试,一旦被成功侵入,反而是作为“受害者”的企业要付出相应赔偿。乍一看上去有些不合理,但实际上是强调了企业必须对自身严格要求,不忘在经营牟利同时“未雨绸缪”。
我们的企业也需要这种紧迫感,因为随着技术的发展,不断会有新的漏洞被挖掘,速度也会越来越快。有一种攻击方式叫做“零日攻击”,通俗地讲,就是安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现,这种攻击往往有着很强的突发性和破坏性。对企业来说,首先要能拿出一整套信息安全管理响应机制,把损失降到最低;其次是要摆正姿态,不是仅仅把自己当做是“受害者”,而应公开回应黑客攻击事件给公众一个交代,建立理解和信任。
此外,除了日常的系统维护升级和使用性能更好的加密软件对数据本源进行加密之外,可以设计一些防范性程序。比如,有专家建议,身份认证数据应由统一部门管理,用户拿到唯一的密码,再通过密码在互联网公司进行传统认证,网站只能看到密码,而不能拥有实际数据,从而避免用户真实信息泄露。
与此同时,从近几年的趋势来看,企业的数据泄漏越来越多是由于“内鬼”捣乱。因此,企业在安全管理的过程中,防外也要防内。
具体来说,就是要强化企业内部的保密制度,让“内鬼”无机可乘。现实中,也许一项业务的完成要经过多人之手,给保密工作提出了挑战,但可以通过工作人员交叉负责、不定期考核评估、访问权限分级管理等措施加以防范。同时,企业要肩负起对工作人员的教育责任,增强相关岗位人员的服务意识、职业道德和法律素养,设立相关惩治措施和“高压线”,明确企业内部的规则,营造守法的氛围。
解放周一:大企业的一举一动往往引人瞩目,但其实不论规模大小,掌握用户个人数据的企业都需要遵守一定的行业规范。
蒋兴浩:确实如此,当前市场上存在着许多不合理的行为一定程度上就是源于相关行业规范的缺失。中国互联网协会发布《中国网民权益保护调查报告2016》 中提出,84%的网民亲身感受到了由于个人信息泄露带来的不良影响。比方说,人们手机里安装应用的时候,多多少少都碰到过一些“霸王条款”,表面上是征求过用户的“同意”,但实际上不点“同意”根本没办法使用它的服务。还有一些诱导性条款,骗取用户点击安装之后,在用户不知情的情况下获取个人信息或加装一些软件。某些企业可能认为,在大数据时代就是信息采集“有理”,为了不落人后,就过度采集了许多和业务没有直接关联的信息。这些行为的大量泛滥,正说明了业内蔓延的不良风气。
要矫正这种风气,光靠用户的自觉意识是不够的,靠少数几家标杆企业的努力也不是长远之计,应该形成一个行业内的规范,厘清企业权限并配备分级的监督机制
法不缺,缺的是执法决心和维权意识
解放周一:个人信息安全受到威胁的时候,人人都期盼能够拿起法律的武器来保护自己,我国法律目前是否提供了这方面的保护?保护到什么程度?
陆志安(复旦大学法学院副教授):应该说我国目前并不缺失个人信息安全保护相关的法律,从2012年12月全国人大常委会通过的《关于加强网络信息保护的决定》到2014年6月最高人民法院发布 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,再到去年11月通过的《*网络安全法》,包括一些行政法规,其实都有涉及个人信息和隐私的保护。
问题在于,首先这些法律法规呈碎片状分散,相互之间没有打通,规制范围狭窄,部分法规还不具有强制性,只能靠行业协会和企业的自律。其次,法律法规过于粗线条,对于涉及的概念本身的定义不明确,对何为“合法”和“非法”行为的界定也不够明晰,停留在原则上的定性而缺乏后续的指导。因此,公众对于法律条款的熟悉度不够、敏感性被削弱,权益被侵犯后,举证过程也会“茫然四顾”,十分艰难。还有就是监管部门“九龙治水”、各说各话的情况普遍存在,缺乏统一的主管机构,就会导致“力不往一处使”的局面。
归根结底,更重要的是后续的执行。日前,国家网信办新闻发布会上介绍2016年以来,*机关办理了涉网的侵犯公民个人信息的案件1800多起,涉及犯罪嫌疑人达4200多人。这样的成果值得肯定,但是,全国范围内的案件是否只有这么多?对灰色产业链的治理是否踩到了点、治到了根?答案依然值得深思。去年几起重大的案件的侦破过程让我们看到,只要有破案的决心和意志,排除执行的过程中受到各种主客观因素的干扰,有关部门相互配合,技术上是完全没问题的。
一方面,执法部门不能畏于执法成本,另一方面,也不能让受害个体承担高昂的维权成本。可以通过建立快速维权通道、简化案件取证等方式让受害人能够获得专业、集中的服务,而不是迫使他们以一己之力去和某些企业或者不法分子“对抗”。同时也要加强舆论监督,避免投诉、举报落入“雷声大雨点小”的局面。
解放周一:个人信息安全其实是一个全球性的话题,在互联网普及更早的西方又有哪些法律和措施值得我们借鉴?
陆志安:从上世纪60年代起,世界上一些发达国家就开始制定和颁布保护个人数据资料隐私的法律。美国于1966年制定了《情报公开法》,确立了个体对自身数据的控制权和支配权。上世纪七十年代,瑞典、加拿大、法国、挪威也先后制定了个人数据隐私保护的法律,当时,一些国家就开始触及个人在公共信息库中的“被遗忘权”。2014年5月13日,欧盟法院作出了确认普通公民对个人信息拥有“被遗忘权”的终审裁定,在欧盟范围确立了“被遗忘权”,从而让“被遗忘权”进入更多人的视野。
目前,我国也逐渐开始认识到“被遗忘权”的重要性,如果能够在规则探索和司法实践中加以关注,在公众网络安全教育中有所普及,势必会对当下严峻的网络安全形势有所裨益。
本文转自d1net(转载)