九月,苹果6如期推出,然而这一次“果粉”们多少有些犹豫。毕竟,刚刚曝光的奥斯卡明星艳照流出事件,令人对苹果的数据安全产生怀疑。
据了解,黑客利用苹果手机i-Cloud云端漏洞,窃取影星、歌手和名模裸照。这次事件再次给人们敲响警钟:生活在大数据时代,要时时刻刻注意保护自己的隐私,隐私泄露无处不在。
2014年5月,美国白宫发布2014年度“大数据”白皮书,其中专章解读“美国隐私法案与国际隐私法框架”以及“大数据对隐私法的启示”,意在对已有隐私法更新完善。
其实,中国关于个人数据保护的呼声要早于美国,只是到今天为止,有关个人隐私数据的保护在法律法规方面依然苍白。
早在2004年, 亚太地区城市信息化论坛第四届年会上,在中国人民大学法学院张新宝教授的《互联网发展对隐私权保护的挑战与对策》,北京科技大学管理学院梅绍祖教授的《信 息技术与个人信息保护》,中国社会科学院法学所研究员、国家信息化专家咨询委员会委员周汉华博士的《指定中国〈个人数据保护法〉的几点立法思考》等报告 中,都对这一问题给予很大关注。
2006年开始,两会不断有委员提出隐私立法提案。然而,10年过去,互联网衍生的隐私问题依然如影随形,狂野生长。受访者均表示,从“熊猫烧香”病毒入侵个人数据到“艳照门”数据,从腾讯到微信,从云计算到大数据,与隐私黑洞形成鲜明对比的,是苍白的立法滞后和缺位的顶层设计及管理。
我知道你是谁
“苹果”那被咬的一口,在向计算机之父图灵致意的同时,似乎契合其之后不断爆发的隐私泄密缺口。
“修电脑泄露艳照”的时代已然“过时”,取而代之的是“云艳照”。被曝光的女星们使用的都是iPhone,照片存储在手机后,一张拷贝同时也会进入“照片流”——“iCloud云服务”。而这一服务的技术核心就是数据库中的大数据存储、处理及搜集。
在大数据时代,不论你上不上网,有关你的各方面信息都被分散存储在互联网中。在购物网站关注过的“加湿器”,之后便梦魇般出现在所有你可能光顾的网站页面;而更令你困惑的是,仅仅在使用一个炒股软件时登记了手机号码,你的手机就会每天听到这样的来电:“你好,这里是**金融公司。”
《2013年中国网民信息安全状况研究报告》指出,74.1%的网民在过去半年时间内遇到过信息安全问题,因信息安全事件造成的个人损失达到了196.3亿元。
“有你身份证就可以挖掘你80%的信息,你不知道什么时候发上去的”,中国通信学会副理事长兼秘书长张新生告诉本刊记者,比如你玩的游戏、使用新业务的确认、你搜索的关键词等,都会留下足迹,成为大数据“小偷”的目标。
值得一提的是,这并不是大数据本身的错。麦肯锡公司的报告指出数据是一种生产资料,大数据是下一个创新、竞争、生产力提高的前沿。世界经济论坛的报告认定大数据为新财富,价值堪比石油。
追溯大数据的鼻祖,从古代出现第一次计数和农作物产量记录以来,数据收集和分析便成为社会功能改进的根本手段。2010年10月23日《卫报》利用维基解密的数据做了一篇数据可视化新闻,将伊拉克战争中所有人员伤亡情况均标注于地图之上。地图上一个红点便代表一次死伤事件,鼠标点击红点后弹出的窗口则有详细说明:伤亡人数、时间,造成伤亡的具体原因。密布的红点多达39万,显得格外触目惊心。此报道一经刊出,立即引起朝野震动,推动英国最终做出撤出驻伊拉克军队的决定。
“大数据根本是开放流动性,不开放流动不是大数据。”中国工程院院士、中国互联网协会理事长邬贺铨告诉本刊记者,当前全世界数据量快速增长,新产生数据量年增长率达40%。如果把2011年获得的全世界数据量装到iPod上,可装满575亿个iPod。把这些iPod当砖用,可垒起两座中国长城。中国人口总量位居世界首位,但数据量仅为日本的60%和北美的7%,其中一半数据未获保护。
今天,数据比以往任何时候都更加深入地与我们的生活交织在一起。我们期待着用数据解决各种问题、改善福利,以及推动经济繁荣。然而,如野草般疯长的不规范的大数据采集,却在法律缺失的天空下自由起舞。
大数据到底能不能交易?受访者的回答是肯定的,作为未来石油资源的大数据,正在扮演着新的生产力角色,朝着资产的方向发展。当前急需解决的,是隐私的界定,“数据拥有者是谁”“使用者是谁”“使用权限如何定义”等。更需跟进的,是界定后的立法保护。
隐私还是安全?模糊的界定
中国通信学会近期关于大数据发展调查分析研究初步得出的结果显示,近年来,大数据已逐步由热炒阶段转入实用创新阶段。随着基础设施建设的不断完善,技术问题不再是大数据前进道路上的瓶颈,隐私安全问题渐浮出水面。
“根源上混乱,治理也混乱。”张新生告诉本刊记者,大数据的安全包括五个层面:国家的信息安全;黑客病毒对网络攻击的安全;个人隐私安全;意识形态的安全以及网络基础设施安全,大数据和以上五个层面都有关系。和个人隐私相关的主要是隐私安全和黑客病毒的攻击安全。
然而,关于个人信息隐私的界定,无论是相关的哪一部法规,显然都缺乏操作性:根据工信部24号 令《电信和互联网用户个人信息保护规定》中的“知情、同意、合理、必要”原则可以做出一个基本的、大概的隐私界定判断,但具体问题仍要具体分析;同样,尽 管新 《消费者权益保护法》,对于消费者个人隐私的保护已经有了明确规定,但有关人士指出,现有的相关法律条文还过于原则,尚需制定相应的实施细则。这样一来, 大数据时代消费者的个人隐私界定还是个问题。
美国关于个人隐私权的保护经过了3个阶段,从以住宅为中心的隐私保护,到以人为中心的隐私保护,再到以数据为中心的隐私权保护。而中国关于个人信息隐私的保护,目前尚未跟上大数据技术的发展步伐。
而相关执法人员也表示,大数据时代,相关涉案的数据服务器都在国外,而个人隐私保护问题是个很复杂的问题,甚至涉及到国家安全,执法难度很大。
解放军工程院刘鹏总结欧美的实践方向,建议对于边界的界定问题,还是需要通过以下四个立法趋势来界定:一、要求数据采集方增加透明度。即告知消费者其数据采 集行为、采集的数据的内容及用途,并在某些情况下要求数据采集方向被采集数据的消费者开放其数据。二、要求数据采集方给予消费者自愿选择的权利。消费者可 以接受也可以拒绝其个人数据被采集。三、对个人数据视其性质区别对待。欧盟的《数据保护条例》规定只有可以明确指向或可辨识个人身份的信息才属于该条例保 护的个人数据的范畴,匿名信息不在此列。美国FTC的 《消费者隐私保护报告》也开宗明义地提到其仅适用于可以联系到某个特定消费者或特定一台电脑的信息,且同意“如果数据采集人采取合理措施避免身份识别、并 承诺不识别也不允许下游的使用者或接收方通过该等信息进行身份识别,则可以不适用报告中的建议方案”。另外,欧盟和美国均区分各类个人信息,并将与健康、 宗教信仰、儿童等有关的信息视为特别敏感的信息,加以特别保护。
隐私立法:十年难磨一剑
关于隐私的呼吁,中国法律界动作并不迟钝。
十年前的2004年, 亚太地区城市信息化论坛第四届年会,网络发展中有关隐私权的保护问题,成为这一研讨会的重点。专家们认为,在中国存在严重的个人数据被非法搜集、滥用、交 易现象,与会者认为应发挥后发优势,借鉴国外的经验,建立和健全中国隐私权保护制度,并纷纷撰写研究报告,希冀得到各界关注。
2006年国务院发展研究中心李兰委员提出,应立法保护防止个人信息泄露。2008年全国 “两会”上,西昌学院法学教授王明雯提交了耗时半年写就、45名代表附议的关于制定《中华人民共和国网络隐私保护法》的议案。2012年两会期间,全国政协委员、神州数码控股有限公司董事局主席郭为在提出“个人信息保护立法”提案,得到社会各界广泛关注。
最近的一次是2014年两会期间,全国人大代表刘庆峰呼吁,在大数据时代,保障公民隐私不能靠相关部门拍脑袋,而要立法来保驾护航。应该制定保护措施,来维护大数据时代的个人隐 私。刘庆峰说,我国的宪法和一些法律法规中,也包括保护隐私的内容,“但这些内容是支离破碎的,不够系统。”刘庆峰建议参照美国,制定专门的个人隐私法 案。
全国政协委员马秀珍建议,应将大数据发展列入国家战略。马秀珍建议,应加快大数据安全立法,推动数据资源的开放;加速推进示范应用,特别是推进政府及大型公 共信息服务平台建设,提高政府决策的科学性和精准性,提高政府预测预警能力以及应急响应能力,降低政府运行成本;培养引进大数据人才,重点培养一批具有大 数据背景的商业分析管理人才,挖掘海量数据所蕴含的巨大商业价值,从而推动中国经济转型,使国家在“大数据浪潮”中抢占先机。
十年时间,中国互联网上陆续出现了QQ网聊、网购、云计算、物联网、移动互联、智能城市,然而,隐私保护的立法,犹如最短的那只木板,不断拷问着这个水桶的安全。
与此同时,国外在这方面动作频频,逐渐完善。
作为世界上互联网技术和电子商务最发达的国家之一,美国较为重视个人隐私权的保护。目前美国联邦层面涉及个人信息保护的法律已有近40部。其中,最为重要的是1986年颁布的《电子通讯隐私法案》,它禁止电子通信服务供应商将服务过程中产生的通讯内容提供给任何未经批准的实体。2012年,奥巴马政府就公布了隐私人权法案,号召公司在使用私人信息时将更多的控制权交给用户。欧盟也提出了一项关于“被遗忘的权力”的法案,消费者有权要求公司清除他们的个人数据,等等。
欧盟也正在推进其数据保护规则的改革进程。现有的欧盟数据保护指令仅允许欧盟公民数据享有“充分的”隐私保护法案,或向拥有有效的数据安全保护机制的国家(如美国-欧盟安全港协议)流出。在2014年1月,美国与欧盟开始协商,就如何加强安全港协议框架以确保它能继续提供有力的数据保护,并且能使其提高透明度,得到有效执行与法律上确定性三者成为可能。
“隐私要立法,不仅仅是个人,现在大数据使用的企业也怕侵犯个人的隐私。”张新生说,实际上,市场各方都有此诉求。
国 务院发展研究中心信息一处处长李广乾告诉本刊记者,中国只有针对国家秘密的国家保密法,缺少保护个人隐私和商业秘密的专门法律,有针对政府信息公开的政府 信息公开条例,以及一些部门的法规,比如统计法,但是总体来说,约束力不足,尚没有涉及个人隐私保护和商业秘密保护专门的法律。关于数据所有,数据采集、 存储、使用权责方面的法律也是空白,这些在宏观层面上直接关系到大数据应用以及大数据的数据安全。
保 护和公开是一体两面,邬贺铨院士从两方面进行呼吁。需要尽快制定“信息保护法”和“信息公开法”,既要鼓励面向群体而且服务于社会的数据挖掘,又要防止针 对个体侵犯隐私的行为,提倡数据共享又要防止数据被滥用。安全与隐私保护的隐患仍大量存在,重要的数据存储和应用不能过分依赖大数据分析技术与平台,需要 重视信息泄密的风险。
立法始终缺位,大数据应用却不能等待。与国家的苍白立法形成对比的是,企业自律已经开始了探索和尝试。
日前上海公共事业缴费机构付费通一纸终止与支付宝合作的公告引发广泛关注,付费通甚至提出了支付宝“扒数据”的说法,对此,阿里巴巴小微金融集团首席风险官胡晓明回应称:“支付宝从不担心获取数据的途径,更绝不会用不光彩的手段去获取数据。”
7月1日晚间,胡晓明首次撰文对外透露了阿里巴巴、支付宝获取数据的途径和原则,希望为大数据立下规矩。
十八届三中全会提出,要推进国家治理体系和治理能力现代化,政府治理体系和治理能力是国家治理能力的重要方面,大数据技术在政府治理能力方面蕴含着巨大的应用潜力和巨大空间。
“需要更强调数据挖掘利用,而针对目前存在的技术应用、人才、安全隐私等问题,最关键的是要有国家大数据战略,使其成为转变经济增长方式的有效抓手。”邬贺铨说。
来自:《小康》杂志社