近日,由中国青年政治学院等机构撰写的《中国个人信息安全和隐私保护报告》正式公布。经过对全国100多万份调查问卷的分析,发现全国多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电;在购房、升学等个人信息泄露后,受到营销骚扰或诈骗的高达36%。
应该说这些数据“并不新鲜”,无非验证了公众的日常生活中被诈骗电话、推销短信骚扰的现实。自今年8月“徐玉玉被骗身亡案”之后,全社会一片对侵害公民个人信息的喊打之声,前不久通过的《网络安全法》也重点强化了保护个人信息的措施。
这两年随着“大数据”的方兴未艾,一些倒卖公民个人信息的违法行为,却堂而皇之地冠上了“大数据”“数据驱动营销”“用户画像”的高科技名头。这是浑水摸鱼,也篡改了“大数据”的本义。
其实,直接出售动辄几十万份包括了用户具体的身份证号码、手机号码、住址、工作单位信息的数据库,营销人员按照这个数据库逐个打电话,进行营销,甚至骗子拿来行骗,这并不是什么“大数据营销”,这就是泄露公民个人信息。
首先,正规的“大数据分析”,必须以保护用户隐私权为基础,在进行“用户画像”等数据使用之前,必须要对原始数据进行“脱敏处理”:水印(对局部信息的掩遮)、泛化(对数据进行更概括、更抽象的描述)、加密(应用密码技术对数据进行封装)、失真(采用添加噪声等方法对原始数据进行扰动处置,但还要保持原有的数据统计方面的性质不变)、归并等。所以“大数据技术”绝对不是卖原始数据,那是侵犯公民个人信息权的。
其次,从信息的程序保障来说,保证数据从采集开始直至输出,任何数据的访问、使用,都必须经过特定的审批流程并保留相关记录信息,避免非必要的信息接触行为。这就必须规范数据企业内部的流程。
第三,采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”。采集公民的个人信息,必须征得公民的同意,并且在采集之前就要向公民明示信息的使用目的、使用范围,而且所采集的信息必须是“必要的”,否则就是在对公民进行“信息勒索”。如果信息的后续使用需求与初始授权不匹配,必须有重新授权机制。例如,芝麻信用在对数据进行持续开发时,就会让用户直接与征信机构发生授权交互确认,以保障授权的有效性。
2015年9月,国务院印发了《促进大数据发展行动纲要》,“大数据”的应用绝对不是什么洪水猛兽,公众不能因为发生了“徐玉玉案”就因噎废食。但也要看到,现实是“大数据”行业还处于野蛮生长期,泥沙俱下,甚至倒卖公民个人信息者,也公然号称自己在从事“大数据”行业。这也给行政、司法部门执法带来了一些困扰。
在没有国家具体法律规定的情况下,第一步是强化行业的自律,建立公认的行业标准和技术规范。比如,目前芝麻信用、华道征信等大数据企业对于信息采集、脱敏各有一套自己的规范,下一步是如何形成行业标准,进而上升为国家法规。
我们期待的是“把大数据关到笼子里”,为大数据行业立下规矩,让泄露公民个人信息的违法行为,在大数据行业没有容身之地。
本文转自d1net(转载)