3月22日,互联网漏洞报告平台乌云网发布了一则消息:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任何黑客读取。根据这项报告,漏洞泄露的信息包含用户姓名、身份证号码、银行卡号和类别、卡CVV码、6位卡 Bin(用于支付的6位数字)。如果有人获得了他人的上述信息,就能轻松完成信用卡支付。
消息一出,在携程网上有过信用卡消费经历的持卡人纷纷表达了自己的担忧,甚至有人主动到银行换卡。在这个大数据时代,个人隐私的相关话题成为热点。今年两会期间,全国人大代表、小米科技董事长雷军就围绕大数据时代建言:大数据时代战略涉及对个人隐私的保护,需要界定哪些数据可用,同时需加大对互联网犯罪的处罚力度。
大数据时代的泄密事件
3月23日,携程在其官方微博上承认“安全漏洞”存在的同时,也对泄露事件产生的原因作出解释,“携程的技术开发人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”
如今,大数据一词越来越多地被提及,人们用它来描述和定义信息爆炸时代产生的海量数据,并命名与之相关的技术发展与创新。大数据时代的到来,也让人们意识到自身力量的微弱,个人隐私在大数据面前变得不堪一击,关于互联网的泄密事件时有发生。
2011年12月,CSDN、世纪佳缘等多家网站的用户数据库被曝光在网络上,由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁。2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。2013年11月,圆通速递近百万条快递单个人信息在网络上被公开出售,网上甚至还出现了专门交易快递单号的网站。
“在互联网上,任何平台和系统的安全都是相对的,没有绝对的安全。几乎每家网络企业都会存在安全漏洞,这是不可避免的。”在江民科技销售部总经理郭昌盛看来,哪家企业也不会拿自己的信誉开玩笑,携程没有主动泄露用户隐私,而只是被第三方平台监测到漏洞的存在,这不是大问题,况且携程也承诺了,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
“企业主动泄露隐私肯定是违法的,不能原谅,哪怕不是主动泄露的,也应该承担责任。”DCCI互联网研究院院长、互联网专家刘兴亮表示,用户把信息放心交给企业,是因为他默认企业能保管好信息,相当于双方拟定了事实上的协议,企业就有义务保护信息的安全。
北京市盈科律师事务所高级合伙人刘宏辉律师告诉记者:“信用卡消费有时候不需要密码,只需要CVV码加身份证号就可以完成支付,CVV码就相当于支付密码,正常的网络支付平台,这种密码都是需要输入的,网络支付平台不应该知悉这个号码,不应该保存,更不应该泄露。”他认为,虽然这次隐私泄露没有造成持卡人的损失,但携程应该采取相应的补救措施。
挖掘个人隐私有一条底线
“个人隐私是一直存在的,并不是大数据时代之后才有了隐私泄露的问题。”中国传媒大学新闻学院教授、调查统计研究所所长沈浩表示,“关键在于对于个人隐私的挖掘,是不是有一个度。”他认为,商家为了更好地服务客户,需要获取客户的相关信息,这些信息怎么样不过度暴露隐私,需要把握基本的原则,这就需要政府制定相关的基本规则,企业和个人都需要遵守这个规则,明白哪些信息不能碰,这是最基本的底线。
在沈浩看来,大部分信息的采集应该是公开、公正、权威的,比如用户跟移动公司签订使用合同,移动就必须知道用户的身份证号码,移动可以分析用户什么时间发短信最多,但不能分析短信的内容。对于商家来讲,通过对相关大数据的挖掘,可能会让一些相关联的信息汇聚到一起,从而让一些个人隐私暴露出来,“比如利用我的微博,商家可以分析我微博的内容,因为内容是公开的,利用这些分析,可以挖掘出我喜欢什么类型的广告,从而推送广告,这是合法途径,但商家进入我的电子邮件,通过我电子邮件的内容分析我的行为这就是侵权行为。”沈浩认为,大数据时代对于个人隐私的保护,底线应该是大数据中分析的信息不会对消费者或用户造成伤害。
“有的企业会利用自己的客户端等手段搜集用户的行为习惯,然后向用户强推产品或广告,这种行为就是侵犯个人隐私的行为,并且这是企业的主动行为,对用户的危害最大。”郭昌盛认为,中国人的法律维权意识还不够强烈,如果在欧美国家,这种侵权行为可能会导致公司破产。
从大数据搜集信息的角度来看,刘兴亮提出,对于信息的收集除了有最基本的底线,还有个分层级、分权限管理。“什么样的信息能够公开分析,什么级别的人能接触什么样的信息需要做好详细的分层,比如携程收集的信息,不能让每个人都能够接触到。对于企业来说,肯定希望把用户信息搜集的越全越好,信息越全,对数据进行挖掘、整理的帮助就越大。”他认为,在这个过程中,企业层面的责任更大,它要搜集哪些信息,哪些部分可用,还是要通过企业自律。
此外,刘兴亮认为,对于泄露个人隐私的行为应该有处罚的标准,可以是数量的限制,比如泄露了一定条数的信息就属于处罚的范围,不能只是让企业的名誉上受点损失就完了,还需要企业付出更大代价。
保护隐私不能因噎废食
对互联网企业来讲,从用户那里收集到的信息主要包括消费习惯、行为特征、个人数据等,企业可以通过收集这些信息去开展大数据分析,进一步挖掘用户的潜在消费能力,更多元化的价值,从而为用户提供更有针对性的服务。沈浩认为,在这个前提下,消费者或用户可以让渡一定的个人隐私。
保护个人隐私不能因噎废食。“大数据时代,个人隐私问题肯定会更集中,但不能因为有风险就拒绝大数据,就像不能因为菜刀可以砍人,就不允许用了是一个道理。”刘兴亮表示,不能因为这次信用卡信息泄露的问题,就不让平台获取信用卡信息,这也不现实,应该是平台获取的信息都有限度,如果平台获得的信息超过了限度,那就由相关的执法部门来惩治。
据刘宏辉介绍,我国对互联网隐私的保护有相关法规的约束。由公安部发布的《互联网安全保护技术措施规定》第四条中规定:“互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、行政法规另有规定的除外。互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。”此外,还有《计算机信息网络国际联网安全保护管理办法》第七条中明确规定,“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”
互联网企业经常会根据用户网购的情况进行分析,比如用户浏览了手表的购物网站,再打开网站就会出现很多手表的广告。刘宏辉认为,在对用户进行了告知,不侵犯用户权利,没有造成损失的前提下,就相当于给用户的购物习惯做了一个调查报告,就像大街上做调查一样,“你的行为不会泄露给别人,企业只是进行了分析,以便更有针对性地提供服务。”
企业在用户不知情的情况下收集有限的数据,在一定程度上忽略了人的权利,刘宏辉建议,收集相关信息的互联网企业可以在其网站上发布一份公告,比如注明:“登录我们网站,你的购物习惯可能被记录,被我们进行数据采样,但保证不会泄露。”这样,用户进入网站就表明是同意收集的,也不会再发生侵犯隐私的纠纷。
