身處大數據時代,人們在享受著互聯網不斷普及所帶來的諸多便利的同時,也逐漸發現,個人生活被網絡所滲透后,越來越多的隱私信息“飛”出了自己的視線,落入他人之手。
2016年末,中國社會科學院發布的《社會心態藍皮書:中國社會心態研究報告》顯示,食品安全和個人信息安全是目前公眾最為擔心的問題。“徐玉玉事件”讓人們看到了信息泄露后“精準詐騙”的危害,媒體記者花700元買到同事行蹤的暗訪又揭示了信息販賣的龐大地下產業鏈。
在復雜的現實環境下,個人信息安全由誰來守護?政府、企業、個人又該如何行使手中的權利,承擔各自的責任?兩位專家帶來了他們的見解。
警惕個人的“數字畫像”
解放周一:近年來,個人信息泄露引發的經濟損失逐漸增多,記者花700元買到同事各種行蹤隱私的消息又像一個“重磅炸彈”讓人們意識到個人信息的泄露程度之深,信息之廉價,不安全感愈發強烈。甚至有人說,當你選擇接入互聯網,就是選擇了把個人隱私交出手。您怎么看待這個觀點?
蔣興浩:(上海交通大學信息安全工程學院教授、博導):我認為這個說法并不準確,因為他把每個人的主動選擇權給弱化了,而事實上網絡空間和現實生活中一樣存在著各種各樣的陷阱和風險。在當前的情況下,網絡用戶再把自己僅僅看作是一個被動接受者,本身就是不合適的。
一般來說,常見的個人隱私數據的泄露途徑分為三種,分別是直接遭受黑客攻擊、可信任網站數據泄露以及個人數據使用不當。普通人直接遭受黑客攻擊,導致手機、電腦內的數據被竊取的情況較少,網站數據批量泄露的風險也不在個人可控范圍內。
大家最容易忽視、可能也不太愿意承認的一點是,一切隱私數據的源頭都來自于用戶,大多數的個人隱私泄露主要來源于用戶平日操作中對隱私保護的疏忽和不規范。
所以說,盡管人們對于個人信息安全普遍焦慮,但由于個人信息保護的常識不足,對什么是個人信息、如何保護個人信息、怎樣降低風險損失缺乏直觀的了解,從而為不法分子留存了極大的侵害漏洞。
最典型的就是過度的社交網絡化。很多人已經習慣把日常活動和個人喜好統統“曬”出來,把網絡空間當成自己的“移動記事本”,作為自己和親朋好友的互動空間。但是大家不太會去關注,這些信息到底誰在看、誰能夠看。
大數據時代興起了“數字畫像”,也就是一種建立在一系列真實數據之上的目標用戶模型,很多企業在產品設計開發中都喜歡用這種方式。雖然企業在搜集用戶信息的時候通過的是正規的渠道,但是不能排除一些不法分子恰好也試圖給他們的目標用戶建立了“數字畫像”,人們平時隨手曬出的姓名、照片、家庭狀況、工作情況、常去地點等信息實則就為他們行了方便。諸如網絡“釣魚”、詐騙、廣告騷擾、身份盜用之類的危害其實大家都很清楚,但出于僥幸心理,貪圖一時的方便,人們常常不愿意隱去或者刪除一些信息而放任不管。
因此,信息安全并不是便捷生活的籌碼,輿論呼吁的提高用戶自身的隱私保護意識也并不是一句空話和口號,它確實是現有最好的保護個人隱私的辦法。
解放周一:所以說,每個人其實都要從自己出發,把好個人信息安全的第一道大門,讓擔憂和焦慮化作日常行為習慣上的改變。
蔣興浩:是的,具體來說就是在追求更真實的用戶體驗的同時,養成一些良好的網絡安全習慣。比如,謹慎發布個人的移動地理信息、不隨意連接公共區域的無密碼WIFI、不在公共計算機上收發郵件或賬號登錄、不在多個地方使用相同的密碼以防止隱私信息被“撞庫”等。
這些做起來其實并不難,關鍵在于大家觀念的轉變,把這些隱私保護的習慣當作是關窗、鎖門一樣順手的事情。
解放周一:國內外許多知名企業其實都有過用戶個人信息泄露的“丑聞”,引發了較強的社會反響。在您看來,當前企業在信息安全保護上存在哪些問題?
蔣興浩:毫無疑問,企業肩負著保護用戶個人信息安全的責任。值得注意的是,技術過關之外,防范措施和應對危機的制度設計至關重要。
從技術上說,任何信息系統都是存在安全漏洞的,掌握用戶數據越是多的公司,遭受攻擊后泄露程度的危害就越大。現在的問題在于,很多企業缺乏自查意識,沒有受到攻擊就自認為“太平無事”,緊急情況發生之后,反應又不夠迅速。
在韓國,政府有規定企業必須定期雇人進行滲透測試,一旦被成功侵入,反而是作為“受害者”的企業要付出相應賠償。乍一看上去有些不合理,但實際上是強調了企業必須對自身嚴格要求,不忘在經營牟利同時“未雨綢繆”。
我們的企業也需要這種緊迫感,因為隨著技術的發展,不斷會有新的漏洞被挖掘,速度也會越來越快。有一種攻擊方式叫做“零日攻擊”,通俗地講,就是安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現,這種攻擊往往有著很強的突發性和破壞性。對企業來說,首先要能拿出一整套信息安全管理響應機制,把損失降到最低;其次是要擺正姿態,不是僅僅把自己當做是“受害者”,而應公開回應黑客攻擊事件給公眾一個交代,建立理解和信任。
此外,除了日常的系統維護升級和使用性能更好的加密軟件對數據本源進行加密之外,可以設計一些防范性程序。比如,有專家建議,身份認證數據應由統一部門管理,用戶拿到唯一的密碼,再通過密碼在互聯網公司進行傳統認證,網站只能看到密碼,而不能擁有實際數據,從而避免用戶真實信息泄露。
與此同時,從近幾年的趨勢來看,企業的數據泄漏越來越多是由于“內鬼”搗亂。因此,企業在安全管理的過程中,防外也要防內。
具體來說,就是要強化企業內部的保密制度,讓“內鬼”無機可乘。現實中,也許一項業務的完成要經過多人之手,給保密工作提出了挑戰,但可以通過工作人員交叉負責、不定期考核評估、訪問權限分級管理等措施加以防范。同時,企業要肩負起對工作人員的教育責任,增強相關崗位人員的服務意識、職業道德和法律素養,設立相關懲治措施和“高壓線”,明確企業內部的規則,營造守法的氛圍。
解放周一:大企業的一舉一動往往引人矚目,但其實不論規模大小,掌握用戶個人數據的企業都需要遵守一定的行業規范。
蔣興浩:確實如此,當前市場上存在著許多不合理的行為一定程度上就是源于相關行業規范的缺失。中國互聯網協會發布《中國網民權益保護調查報告2016》 中提出,84%的網民親身感受到了由于個人信息泄露帶來的不良影響。比方說,人們手機里安裝應用的時候,多多少少都碰到過一些“霸王條款”,表面上是征求過用戶的“同意”,但實際上不點“同意”根本沒辦法使用它的服務。還有一些誘導性條款,騙取用戶點擊安裝之后,在用戶不知情的情況下獲取個人信息或加裝一些軟件。某些企業可能認為,在大數據時代就是信息采集“有理”,為了不落人后,就過度采集了許多和業務沒有直接關聯的信息。這些行為的大量泛濫,正說明了業內蔓延的不良風氣。
要矯正這種風氣,光靠用戶的自覺意識是不夠的,靠少數幾家標桿企業的努力也不是長遠之計,應該形成一個行業內的規范,厘清企業權限并配備分級的監督機制
法不缺,缺的是執法決心和維權意識
解放周一:個人信息安全受到威脅的時候,人人都期盼能夠拿起法律的武器來保護自己,我國法律目前是否提供了這方面的保護?保護到什么程度?
陸志安(復旦大學法學院副教授):應該說我國目前并不缺失個人信息安全保護相關的法律,從2012年12月全國人大常委會通過的《關于加強網絡信息保護的決定》到2014年6月最高人民法院發布 《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》,再到去年11月通過的《中華人民共和國網絡安全法》,包括一些行政法規,其實都有涉及個人信息和隱私的保護。
問題在于,首先這些法律法規呈碎片狀分散,相互之間沒有打通,規制范圍狹窄,部分法規還不具有強制性,只能靠行業協會和企業的自律。其次,法律法規過于粗線條,對于涉及的概念本身的定義不明確,對何為“合法”和“非法”行為的界定也不夠明晰,停留在原則上的定性而缺乏后續的指導。因此,公眾對于法律條款的熟悉度不夠、敏感性被削弱,權益被侵犯后,舉證過程也會“茫然四顧”,十分艱難。還有就是監管部門“九龍治水”、各說各話的情況普遍存在,缺乏統一的主管機構,就會導致“力不往一處使”的局面。
歸根結底,更重要的是后續的執行。日前,國家網信辦新聞發布會上介紹2016年以來,公安機關辦理了涉網的侵犯公民個人信息的案件1800多起,涉及犯罪嫌疑人達4200多人。這樣的成果值得肯定,但是,全國范圍內的案件是否只有這么多?對灰色產業鏈的治理是否踩到了點、治到了根?答案依然值得深思。去年幾起重大的案件的偵破過程讓我們看到,只要有破案的決心和意志,排除執行的過程中受到各種主客觀因素的干擾,有關部門相互配合,技術上是完全沒問題的。
一方面,執法部門不能畏于執法成本,另一方面,也不能讓受害個體承擔高昂的維權成本。可以通過建立快速維權通道、簡化案件取證等方式讓受害人能夠獲得專業、集中的服務,而不是迫使他們以一己之力去和某些企業或者不法分子“對抗”。同時也要加強輿論監督,避免投訴、舉報落入“雷聲大雨點小”的局面。
解放周一:個人信息安全其實是一個全球性的話題,在互聯網普及更早的西方又有哪些法律和措施值得我們借鑒?
陸志安:從上世紀60年代起,世界上一些發達國家就開始制定和頒布保護個人數據資料隱私的法律。美國于1966年制定了《情報公開法》,確立了個體對自身數據的控制權和支配權。上世紀七十年代,瑞典、加拿大、法國、挪威也先后制定了個人數據隱私保護的法律,當時,一些國家就開始觸及個人在公共信息庫中的“被遺忘權”。2014年5月13日,歐盟法院作出了確認普通公民對個人信息擁有“被遺忘權”的終審裁定,在歐盟范圍確立了“被遺忘權”,從而讓“被遺忘權”進入更多人的視野。
目前,我國也逐漸開始認識到“被遺忘權”的重要性,如果能夠在規則探索和司法實踐中加以關注,在公眾網絡安全教育中有所普及,勢必會對當下嚴峻的網絡安全形勢有所裨益。
京公網安備 11010502049343號