“當大數據進行交易的時候,目前據不完全統計80%是個人信息。這個冰山還沒有浮出來,但是危害已經產生,所以在大數據交易的過程中最重要兩個環節一是清洗和脫敏,脫敏又叫匿名化,但全球都尚未形成脫敏的具體標準。”
近日,在北京強國知識產權研究院與北京理工大學聯合主辦的2016強國知識產權論壇“互聯網安全與治理模式創新”分論壇上,重慶大學法學院博士生導師齊愛民教授披露說。
脫敏標準不一致個人信息泄露
全國律師協會信息網絡與高新技術委員會副主任陳際紅在論壇上指出,由脫敏標準不統一造成的信息泄露問題,在大數據的跨境傳輸中很可能會被放大。對于已存儲的個人信息,即使交易方履行了保密義務,在大數據交易時也可能存在信息泄露的風險。
“很多交易方會說為了保護個人信息將采取漂白數據的脫敏技術,而目前的數據脫敏卻存在很大問題,由于沒有統一的脫敏標準,對脫敏的技術程序也沒有統一要求,有的數據交易中采用的是可恢復性脫敏,比如數據加密,有的則采用不可恢復性脫敏。而采取可恢復性脫敏的情況下就會存在可逆化,敏感信息的可逆將導致個人信息的泄露。”陳際紅說。
陳際紅進一步提出,即便數據脫敏之后不包含個人的身份信息,如果脫敏是不完整的不全面的,沒有達到脫敏的要求,數據融合在一起的時候就存在識別個人身份的可能。
陳際紅舉例說,家庭用電量是不是個人敏感信息,但通過個人用電量這個信息,結合其他信息完全能構建出一個人生活的場景,比如什么時候下班什么時候看電視,什么時候用電量增加,這也屬于個人信息的范圍。
記者注意到,在2008年的“人肉搜索第一案”中,原告王菲的妻子在“死亡博客”中留下對原告出軌的日記記載后自殺,后該日記被大旗網、天涯社區等被告曝光,同時原告身份信息也在其中全部披露。法院審理認為,被告對原告個人信息的侵害和濫用,構成隱私權、名譽權等人格權的侵犯。
企業利用APP收集用戶行為數據
時下,手機已經成為我們離不開的工具。今年初,獵網平臺發布的《2015年網絡詐騙趨勢研究報告》顯示,社交工具是網絡詐騙信息傳播的最主要途徑,占59.3%。
360公司法律研究院副總監趙軍告訴《法制日報》記者,設備7×24小時的聯網會帶來個人隱私數據的泄露。“你的行程、你的吃飯的信息、你買東西的信息可能都在手機上面體現,如果這些信息一旦泄露,個人基本是完全透明的人,隱私數據的泄露會帶來非常大的威脅。無線設備增多,網絡接入點多,攻擊面擴大。”趙軍介紹說。
北京師范大學管理學院副教授黃國彬分析說,目前關于個人數據引發的風險來源包括企業、個人和政府。很多企業現在通過APP來收集個人的行為數據的存儲信息,很多APP服務提供商的服務協議對個人信息和數據的處理做一些對企業更有利、對用戶并不是完全有利的格式合同的規定。如果用戶沒有進行很好的權限管理,很多APP可以看到通信錄、短信內容、攝像頭,導致更多方面的個人數據被隨時收集。此外,目前在在移動網絡、云存儲或者云服務環境下個人數據的保護方面,我國存在立法滯后和緩慢的情況。
據360互聯網安全中心相關負責人介紹,目前,因使用WiFi而引起的WiFi釣魚、掛馬盜取賬號、竊取隱私甚至盜用用戶銀行卡存款的行為時有發生。黑客實際掌握用戶數據庫的數量已超過1億條,中國黑客的黑色產業鏈規模或高達上百億元。
應當借鑒互聯網思維群防共治
在趙軍看來,在目前高危的網絡安全事件頻發的情況下,網絡安全命運共同體已經形成,解決網絡安全不僅僅靠一兩家公司的問題,也不僅僅是靠政府的問題,而應該群防共治。
那么,如何用法律保障網絡安全命運共同體?趙軍認為,應當借鑒互聯網思維,推行安全眾籌,一起來防范。“很多個人,尤其像白帽子黑客,這些人雖然不是正式的企業或者政府的雇員,但是他對于挖掘網絡漏洞防治網絡漏洞有非常大的技術、優勢和熱情,應該發揮各個相關主體的積極性,并且給他一個相應的法律保障。”趙軍說。
面對大數據跨境傳輸的基礎性立法缺乏、執法能力不足問題,上海社科院信息研究所信息安全研究中心主任惠志斌惠志斌建議,在明確國家安全和網絡安全紅線的基礎上,依法建立開放透明和可操作性的分類監管體系,把高風險、中等風險、低等風險、無風險的跨境數據流動作出分類,對應不同的監管手段和方法;針對重要領域的跨境數據流動進行全生命周期管理,做好跨境數據流動標準化建設;進行立體性制度機制安排,避免一刀切式的本地化存儲;構建國際多邊和雙邊機制,明確跨境企業執法協助義務。
京公網安備 11010502049343號