近日,由中國青年政治學院等機構撰寫的《中國個人信息安全和隱私保護報告》正式公布。經過對全國100多萬份調查問卷的分析,發現全國多達81%的人收到過對方知道自己姓名或單位等個人信息的陌生來電;在購房、升學等個人信息泄露后,受到營銷騷擾或詐騙的高達36%。
應該說這些數據“并不新鮮”,無非驗證了公眾的日常生活中被詐騙電話、推銷短信騷擾的現實。自今年8月“徐玉玉被騙身亡案”之后,全社會一片對侵害公民個人信息的喊打之聲,前不久通過的《網絡安全法》也重點強化了保護個人信息的措施。
這兩年隨著“大數據”的方興未艾,一些倒賣公民個人信息的違法行為,卻堂而皇之地冠上了“大數據”“數據驅動營銷”“用戶畫像”的高科技名頭。這是渾水摸魚,也篡改了“大數據”的本義。
其實,直接出售動輒幾十萬份包括了用戶具體的身份證號碼、手機號碼、住址、工作單位信息的數據庫,營銷人員按照這個數據庫逐個打電話,進行營銷,甚至騙子拿來行騙,這并不是什么“大數據營銷”,這就是泄露公民個人信息。
首先,正規的“大數據分析”,必須以保護用戶隱私權為基礎,在進行“用戶畫像”等數據使用之前,必須要對原始數據進行“脫敏處理”:水印(對局部信息的掩遮)、泛化(對數據進行更概括、更抽象的描述)、加密(應用密碼技術對數據進行封裝)、失真(采用添加噪聲等方法對原始數據進行擾動處置,但還要保持原有的數據統計方面的性質不變)、歸并等。所以“大數據技術”絕對不是賣原始數據,那是侵犯公民個人信息權的。
其次,從信息的程序保障來說,保證數據從采集開始直至輸出,任何數據的訪問、使用,都必須經過特定的審批流程并保留相關記錄信息,避免非必要的信息接觸行為。這就必須規范數據企業內部的流程。
第三,采集、存儲、利用個人信息應當符合“目的明確原則”和“合法必要原則”。采集公民的個人信息,必須征得公民的同意,并且在采集之前就要向公民明示信息的使用目的、使用范圍,而且所采集的信息必須是“必要的”,否則就是在對公民進行“信息勒索”。如果信息的后續使用需求與初始授權不匹配,必須有重新授權機制。例如,芝麻信用在對數據進行持續開發時,就會讓用戶直接與征信機構發生授權交互確認,以保障授權的有效性。
2015年9月,國務院印發了《促進大數據發展行動綱要》,“大數據”的應用絕對不是什么洪水猛獸,公眾不能因為發生了“徐玉玉案”就因噎廢食。但也要看到,現實是“大數據”行業還處于野蠻生長期,泥沙俱下,甚至倒賣公民個人信息者,也公然號稱自己在從事“大數據”行業。這也給行政、司法部門執法帶來了一些困擾。
在沒有國家具體法律規定的情況下,第一步是強化行業的自律,建立公認的行業標準和技術規范。比如,目前芝麻信用、華道征信等大數據企業對于信息采集、脫敏各有一套自己的規范,下一步是如何形成行業標準,進而上升為國家法規。
我們期待的是“把大數據關到籠子里”,為大數據行業立下規矩,讓泄露公民個人信息的違法行為,在大數據行業沒有容身之地。
京公網安備 11010502049343號