“当大数据进行交易的时候,目前据不完全统计80%是个人信息。这个冰山还没有浮出来,但是危害已经产生,所以在大数据交易的过程中最重要两个环节一是清洗和脱敏,脱敏又叫匿名化,但全球都尚未形成脱敏的具体标准。”
近日,在北京强国知识产权研究院与北京理工大学联合主办的2016强国知识产权论坛“互联网安全与治理模式创新”分论坛上,重庆大学法学院博士生导师齐爱民教授披露说。
脱敏标准不一致个人信息泄露
全国律师协会信息网络与高新技术委员会副主任陈际红在论坛上指出,由脱敏标准不统一造成的信息泄露问题,在大数据的跨境传输中很可能会被放大。对于已存储的个人信息,即使交易方履行了保密义务,在大数据交易时也可能存在信息泄露的风险。
“很多交易方会说为了保护个人信息将采取漂白数据的脱敏技术,而目前的数据脱敏却存在很大问题,由于没有统一的脱敏标准,对脱敏的技术程序也没有统一要求,有的数据交易中采用的是可恢复性脱敏,比如数据加密,有的则采用不可恢复性脱敏。而采取可恢复性脱敏的情况下就会存在可逆化,敏感信息的可逆将导致个人信息的泄露。”陈际红说。
陈际红进一步提出,即便数据脱敏之后不包含个人的身份信息,如果脱敏是不完整的不全面的,没有达到脱敏的要求,数据融合在一起的时候就存在识别个人身份的可能。
陈际红举例说,家庭用电量是不是个人敏感信息,但通过个人用电量这个信息,结合其他信息完全能构建出一个人生活的场景,比如什么时候下班什么时候看电视,什么时候用电量增加,这也属于个人信息的范围。
记者注意到,在2008年的“人肉搜索第一案”中,原告王菲的妻子在“死亡博客”中留下对原告出轨的日记记载后自杀,后该日记被大旗网、天涯社区等被告曝光,同时原告身份信息也在其中全部披露。法院审理认为,被告对原告个人信息的侵害和滥用,构成隐私权、名誉权等人格权的侵犯。
企业利用APP收集用户行为数据
时下,手机已经成为我们离不开的工具。今年初,猎网平台发布的《2015年网络诈骗趋势研究报告》显示,社交工具是网络诈骗信息传播的最主要途径,占59.3%。
360公司法律研究院副总监赵军告诉《法制日报》记者,设备7×24小时的联网会带来个人隐私数据的泄露。“你的行程、你的吃饭的信息、你买东西的信息可能都在手机上面体现,如果这些信息一旦泄露,个人基本是完全透明的人,隐私数据的泄露会带来非常大的威胁。无线设备增多,网络接入点多,攻击面扩大。”赵军介绍说。
北京师范大学管理学院副教授黄国彬分析说,目前关于个人数据引发的风险来源包括企业、个人和*。很多企业现在通过APP来收集个人的行为数据的存储信息,很多APP服务提供商的服务协议对个人信息和数据的处理做一些对企业更有利、对用户并不是完全有利的格式合同的规定。如果用户没有进行很好的权限管理,很多APP可以看到通信录、短信内容、摄像头,导致更多方面的个人数据被随时收集。此外,目前在在移动网络、云存储或者云服务环境下个人数据的保护方面,我国存在立法滞后和缓慢的情况。
据360互联网安全中心相关负责人介绍,目前,因使用WiFi而引起的WiFi钓鱼、挂马盗取账号、窃取隐私甚至盗用用户银行卡存款的行为时有发生。黑客实际掌握用户数据库的数量已超过1亿条,中国黑客的黑色产业链规模或高达上百亿元。
应当借鉴互联网思维群防共治
在赵军看来,在目前高危的网络安全事件频发的情况下,网络安全命运共同体已经形成,解决网络安全不仅仅靠一两家公司的问题,也不仅仅是靠*的问题,而应该群防共治。
那么,如何用法律保障网络安全命运共同体?赵军认为,应当借鉴互联网思维,推行安全众筹,一起来防范。“很多个人,尤其像白帽子黑客,这些人虽然不是正式的企业或者*的雇员,但是他对于挖掘网络漏洞防治网络漏洞有非常大的技术、优势和热情,应该发挥各个相关主体的积极性,并且给他一个相应的法律保障。”赵军说。
面对大数据跨境传输的基础性立法缺乏、执法能力不足问题,上海社科院信息研究所信息安全研究中心主任惠志斌惠志斌建议,在明确国家安全和网络安全红线的基础上,依法建立开放透明和可操作性的分类监管体系,把高风险、中等风险、低等风险、无风险的跨境数据流动作出分类,对应不同的监管手段和方法;针对重要领域的跨境数据流动进行全生命周期管理,做好跨境数据流动标准化建设;进行立体性制度机制安排,避免一刀切式的本地化存储;构建国际多边和双边机制,明确跨境企业执法协助义务。
====================================分割线================================
本文转自d1net(转载)