6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行。網(wǎng)絡(luò)安全其實(shí)是全方位的概念，既包括國(guó)家安全、社會(huì)安全，也包括個(gè)人信息的安全。這部法律和之前一個(gè)公眾千呼萬(wàn)喚的《個(gè)人信息保護(hù)法》其實(shí)有交叉性的內(nèi)容。

中國(guó)信息安全研究院副院長(zhǎng)左曉棟透露，為落實(shí)《網(wǎng)絡(luò)安全法》中對(duì)個(gè)人信息保護(hù)的原則和要求，國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》已經(jīng)報(bào)批，即將出臺(tái)。同時(shí)，個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法也已經(jīng)征求意見(jiàn)，近期就會(huì)發(fā)布。

面對(duì)鋪天蓋地的所謂“大數(shù)據(jù)營(yíng)銷(xiāo)”、“數(shù)據(jù)化驅(qū)動(dòng)”，怎么保護(hù)公民正當(dāng)?shù)男畔?quán)利不被濫用、侵犯？怎么保證企業(yè)對(duì)公民的數(shù)據(jù)不動(dòng)歪腦筯？怎么平衡公民權(quán)利和企業(yè)的數(shù)據(jù)利益？

據(jù)介紹，這次《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定，明確了個(gè)人信息保護(hù)包括責(zé)任原則；目的明確原則；最少夠用原則；同意和選擇原則；開(kāi)放透明原則等8個(gè)原則。

這讓我想到了2012年，工信部直屬的中國(guó)軟件測(cè)評(píng)聯(lián)合30多家單位起草過(guò)《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，當(dāng)時(shí)這部國(guó)家“指南”，也明確了個(gè)人信息的保護(hù)原則包括：目的明確、最少使用、公開(kāi)告知、個(gè)人同意、質(zhì)量保證、安全保障、誠(chéng)信履行和責(zé)任明確等八項(xiàng)。比如，一些網(wǎng)站讓用戶填寫(xiě)家庭住址、手機(jī)號(hào)等很多信息，這就不符合“最少使用”原則。“指南”還規(guī)定“用后即刪”機(jī)制，即，在收集個(gè)人信息階段告知的“使用目的”達(dá)到后，應(yīng)立即刪除個(gè)人信息。

客觀地說(shuō)，5年來(lái)，這份國(guó)家“指南”實(shí)際還是沒(méi)有管住IT企業(yè)甚至很多不知所謂企業(yè)、事業(yè)單位攫取、吞噬公民信息的問(wèn)題。說(shuō)到底，它是沒(méi)有“牙齒”的，作為行業(yè)推薦規(guī)范，就算電信、銀行、網(wǎng)站承諾采納這套國(guó)標(biāo)，也無(wú)法評(píng)估體制企業(yè)是否做到了“最少使用”、“用后即刪”。事實(shí)上，這兩年“大數(shù)據(jù)”方興未艾，一些倒賣(mài)公民個(gè)人信息的違法行為，卻堂而皇之地冠上了“大數(shù)據(jù)”、“數(shù)據(jù)驅(qū)動(dòng)營(yíng)銷(xiāo)”、“用戶畫(huà)像”的高科技名頭。這是渾水摸魚(yú)，也歪曲了“大數(shù)據(jù)”的本義。

正規(guī)的“大數(shù)據(jù)分析”，必須以保護(hù)用戶隱私權(quán)為基礎(chǔ)，在進(jìn)行“用戶畫(huà)像”等數(shù)據(jù)使用之前，必須對(duì)原始數(shù)據(jù)進(jìn)行“脫敏處理”：水印(對(duì)局部信息的掩遮)、泛化(對(duì)數(shù)據(jù)進(jìn)行更概括、更抽象的描述)、加密(應(yīng)用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝)、失真(采用添加噪聲等方法對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)處置，但要保持原有的數(shù)據(jù)統(tǒng)計(jì)方面的性質(zhì)不變)、歸并等。從信息的程序保障來(lái)說(shuō)，保證數(shù)據(jù)從采集開(kāi)始直至輸出，任何數(shù)據(jù)的訪問(wèn)、使用，都必須經(jīng)過(guò)特定的審批流程。

所以“大數(shù)據(jù)技術(shù)”絕對(duì)不是賣(mài)原始數(shù)據(jù)。這次的《網(wǎng)絡(luò)安全法》也將這種“經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的”信息，排除在了個(gè)人信息保護(hù)的范圍之外。

現(xiàn)在的問(wèn)題是怎么去用事前監(jiān)督、事后懲罰，來(lái)防范企業(yè)違規(guī)收集、濫用公民信息。那就應(yīng)該把一些客觀性的程序規(guī)則、事后處罰明確的規(guī)定出來(lái)，不能讓企業(yè)憑心情、按良心來(lái)自己執(zhí)行。

比如，現(xiàn)在很多A pp的做法是“一次同意，頻繁收集”，用戶只同意了一次，A pp就可以頻繁地收集用戶的位置信息，明顯就超越了征求用戶同意時(shí)的“使用目的”，這就會(huì)異化成為信息勒索，這又回到了之前大家熟悉的那個(gè)“分粥者”的比喻，多少信息才是夠用？不能由企業(yè)單方面說(shuō)了算。

《網(wǎng)絡(luò)安全法》明確的個(gè)人信息保護(hù)8項(xiàng)原則，看起來(lái)很美，但是如何讓陽(yáng)光照入現(xiàn)實(shí)，如何避免5年前工信部那個(gè)“指南”的教訓(xùn)？說(shuō)到底，還是要讓《網(wǎng)絡(luò)信息安全法》《個(gè)人信息安全規(guī)范》長(zhǎng)出“牙齒”，更多賦權(quán)于公民積極維護(hù)自身的信息權(quán)利，使用舉證責(zé)任倒置、懲罰性賠償?shù)贡破髽I(yè)不敢在個(gè)人信息方面做惡。