身处大数据时代,人们在享受着互联网不断普及所带来的诸多便利的同时,也逐渐发现,个人生活被网络所渗透后,越来越多的隐私信息“飞”出了自己的视线,落入他人之手。
2016年末,中国社会科学院发布的《社会心态蓝皮书:中国社会心态研究报告》显示,食品安全和个人信息安全是目前公众较为担心的问题。
“徐玉玉事件”让人们看到了信息泄露后“精准诈骗”的危害,媒体记者花700元买到同事行踪的暗访又揭示了信息贩卖的庞大地下产业链。
在复杂的现实环境下,个人信息安全由谁来守护?政府、企业、个人又该如何行使手中的权利,承担各自的责任?两位专家带来了他们的见解。
警惕个人的“数字画像”
上观新闻:近年来,个人信息泄露引发的经济损失逐渐增多,记者花700元买到同事各种行踪隐私的消息又像一个“重磅炸弹”让人们意识到个人信息的泄露程度之深,信息之廉价,不安全感愈发强烈。甚至有人说,当你选择接入互联网,就是选择了把个人隐私交出手。您怎么看待这个观点?
蒋兴浩:(上海交通大学信息安全工程学院教授、博导):我认为这个说法并不准确,因为他把每个人的主动选择权给弱化了,而事实上网络空间和现实生活中一样存在着各种各样的陷阱和风险。在当前的情况下,网络用户再把自己仅仅看作是一个被动接受者,本身就是不合适的。
一般来说,常见的个人隐私数据的泄露途径分为三种,分别是直接遭受黑客攻击、可信任网站数据泄露以及个人数据使用不当。普通人直接遭受黑客攻击,导致手机、电脑内的数据被窃取的情况较少,网站数据批量泄露的风险也不在个人可控范围内。
大家较容易忽视、可能也不太愿意承认的一点是,一切隐私数据的源头都来自于用户,大多数的个人隐私泄露主要来源于用户平日操作中对隐私保护的疏忽和不规范。
较典型的就是过度的社交网络化。很多人已经习惯把日常活动和个人喜好统统“晒”出来,把网络空间当成自己的“移动记事本”,作为自己和亲朋好友的互动空间。但是大家不太会去关注,这些信息到底谁在看、谁能够看。
大数据时代兴起了“数字画像”,也就是一种建立在一系列真实数据之上的目标用户模型,很多企业在产品设计开发中都喜欢用这种方式。虽然企业在搜集用户信息的时候通过的是正规的渠道,但是不能排除一些不法分子恰好也试图给他们的目标用户建立了“数字画像”,人们平时随手晒出的姓名、照片、家庭状况、工作情况、常去地点等信息实则就为他们行了方便。诸如网络“钓鱼”、诈骗、广告骚扰、身份盗用之类的危害其实大家都很清楚,但出于侥幸心理,贪图一时的方便,人们常常不愿意隐去或者删除一些信息而放任不管。
舆论呼吁的提高用户自身的隐私保护意识并不是一句空话和口号,它确实是现有较好的保护个人隐私的办法。
上观新闻:所以说,每个人其实都要从自己出发,把好个人信息安全的较早道大门,让担忧和焦虑化作日常行为习惯上的改变。
蒋兴浩:是的,具体来说就是在追求更真实的用户体验的同时,养成一些良好的网络安全习惯。比如,谨慎发布个人的移动地理信息、不随意连接公共区域的无密码WIFI、不在公共计算机上收发邮件或账号登录、不在多个地方使用相同的密码以防止隐私信息被“撞库”等。
这些做起来其实并不难,关键在于大家观念的转变,把这些隐私保护的习惯当作是关窗、锁门一样顺手的事情。
内外都要防,行业待规范
上观新闻:国内外许多知名企业其实都有过用户个人信息泄露的“丑闻”,引发了较强的社会反响。在您看来,当前企业在信息安全保护上存在哪些问题?
蒋兴浩:很多企业缺乏自查意识,没有受到攻击就自认为“太平无事”,紧急情况发生之后,反应又不够迅速。
在韩国,政府有规定企业必须定期雇人进行渗透测试,一旦被成功侵入,反而是作为“受害者”的企业要付出相应赔偿。乍一看上去有些不合理,但实际上是强调了企业必须对自身严格要求,不忘在经营牟利同时“未雨绸缪”。
我们的企业也需要这种紧迫感。有一种攻击方式叫做“零日攻击”,通俗地讲,就是安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现,这种攻击往往有着很强的突发性和破坏性。
此外,有专家建议,身份认证数据应由统一部门管理,用户拿到的密码,再通过密码在互联网公司进行传统认证,网站只能看到密码,而不能拥有实际数据,从而避免用户真实信息泄露。
与此同时,从近几年的趋势来看,企业的数据泄漏越来越多是由于“内鬼”捣乱。因此,企业在安全管理的过程中,防外也要防内。
上观新闻:大企业的一举一动往往引人瞩目,但其实不论规模大小,掌握用户个人数据的企业都需要遵守一定的行业规范。
蒋兴浩:确实如此,当前市场上存在着许多不合理的行为一定程度上就是源于相关行业规范的缺失。
中国互联网协会发布《中国网民权益保护调查报告2016》中提出,84%的网民亲身感受到了由于个人信息泄露带来的不良影响。比方说,人们手机里安装应用的时候,多多少少都碰到过一些“霸王条款”,表面上是征求过用户的“同意”,但实际上不点“同意”根本没办法使用它的服务。
还有一些诱导性条款,骗取用户点击安装之后,在用户不知情的情况下获取个人信息或加装一些软件。某些企业可能认为,在大数据时代就是信息采集“有理”,为了不落人后,就过度采集了许多和业务没有直接关联的信息。这些行为的大量泛滥,正说明了业内蔓延的不良风气。
要矫正这种风气,光靠用户的自觉意识是不够的,靠少数几家标杆企业的努力也不是长远之计,应该形成一个行业内的规范,厘清企业权限并配备分级的监督机制。
法不缺,
缺的是执法决心和维权意识
上观新闻:我国法律目前是否提供了这方面的保护?保护到什么程度?
陆志安(复旦大学法学院副教授):应该说我国目前并不缺失个人信息安全保护相关的法律,从2012年12月全国人大常委会通过的《关于加强网络信息保护的决定》到2014年6月较高人民法院发布《较高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,再到去年11月通过的《中华人民共和国网络安全法》,包括一些行政法规,其实都有涉及个人信息和隐私的保护。
问题在于,首先这些法律法规呈碎片状分散,相互之间没有打通,规制范围狭窄,部分法规还不具有强制性,只能靠行业协会和企业的自律。
其次,法律法规过于粗线条,对于涉及的概念本身的定义不明确,对何为“合法”和“非法”行为的界定也不够明晰,停留在原则上的定性而缺乏后续的指导。
因此,公众对于法律条款的熟悉度不够、敏感性被削弱,权益被侵犯后,举证过程也会“茫然四顾”,十分艰难。
还有就是监管部门“九龙治水”、各说各话的情况普遍存在,缺乏统一的主管机构,就会导致“力不往一处使”的局面。
归根结底,更重要的是后续的执行。
日前,国家网信办新闻发布会上介绍2016年以来,公安机关办理了涉网的侵犯公民个人信息的案件1800多起,涉及犯罪嫌疑人达4200多人。这样的成果值得肯定,但是,全国范围内的案件是否只有这么多?对灰色产业链的治理是否踩到了点、治到了根?答案依然值得深思。
上观新闻:个人信息安全其实是一个全球性的话题,在互联网普及更早的西方又有哪些法律和措施值得我们借鉴?
陆志安:从上世纪60年代起,世界上一些发达国家就开始制定和颁布保护个人数据资料隐私的法律。美国于1966年制定了《情报公开法》,确立了个体对自身数据的控制权和支配权。上世纪七十年代,瑞典、加拿大、法国、挪威也先后制定了个人数据隐私保护的法律,当时,一些国家就开始触及个人在公共信息库中的“被遗忘权”。2014年5月13日,欧盟法院作出了确认普通公民对个人信息拥有“被遗忘权”的终审裁定,在欧盟范围确立了“被遗忘权”,从而让“被遗忘权”进入更多人的视野。
目前,我国也逐渐开始认识到“被遗忘权”的重要性,如果能够在规则探索和司法实践中加以关注,在公众网络安全教育中有所普及,势必会对当下严峻的网络安全形势有所裨益。