個(gè)人信息安全新規(guī)五一正式實(shí)施 丁磊周鴻祎怎么看?

新浪科技綜合
佚名
2017年12月,推薦性國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(下稱《規(guī)范》)出臺,將于2018年5月1日起正式實(shí)施。 《規(guī)范》起草人之一、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心研究主管洪延青對《中國經(jīng)濟(jì)周刊》記者表示...

2017年12月,推薦性國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(下稱《規(guī)范》)出臺,將于2018年5月1日起正式實(shí)施。

《規(guī)范》起草人之一、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心研究主管洪延青對《中國經(jīng)濟(jì)周刊》記者表示,不能說如果企業(yè)的做法與《規(guī)范》不符合就一定違反了網(wǎng)絡(luò)安全法對個(gè)人信息保護(hù)的相關(guān)要求,但如果企業(yè)按照《規(guī)范》去做,達(dá)到合規(guī),則肯定會符合網(wǎng)絡(luò)安全法的規(guī)定,從守法成本上來講可降至最低。

針對《規(guī)范》的改造并不簡單輕松,但互聯(lián)網(wǎng)企業(yè)必須馬上行動起來,企業(yè)是否已經(jīng)準(zhǔn)備好?

從人力到技術(shù),企業(yè)要做好哪些準(zhǔn)備?

首先是負(fù)責(zé)個(gè)人信息安全保護(hù)的人員是否到位?!兑?guī)范》要求規(guī)模超過200人的,業(yè)務(wù)涉及用戶個(gè)人信息的企業(yè)建立專門負(fù)責(zé)個(gè)人信息安全保護(hù)的部門以及設(shè)立專門的負(fù)責(zé)人。不少企業(yè)都正在按照這一標(biāo)準(zhǔn)進(jìn)行調(diào)整。

“我們很早就有了這樣的部門,其負(fù)責(zé)人被命名為‘首席隱私官’,360的業(yè)務(wù)條線也有很多,很多部門也都希望盡可能多地收集和使用用戶個(gè)人信息,但首席隱私官所領(lǐng)導(dǎo)的部門會統(tǒng)一核準(zhǔn)該做法是否符合規(guī)范和法律法規(guī),是否符合360自身的價(jià)值觀。”360集團(tuán)董事長兼CEO周鴻祎表示,隨著國家標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的出臺并生效,行業(yè)內(nèi)部的企業(yè)肯定會按照相關(guān)要求進(jìn)行調(diào)整,以使自身行為合乎監(jiān)管原則。

丁香園創(chuàng)始人李天天告訴記者,丁香園現(xiàn)有員工超過1000人,負(fù)責(zé)信息安全的相關(guān)機(jī)構(gòu)和機(jī)構(gòu)負(fù)責(zé)人均已到位。

京東首席安全官李德浩稱:“京東安全委員會就是我們內(nèi)部專門負(fù)責(zé)信息安全事務(wù)的,我本人就是這個(gè)部門的負(fù)責(zé)人。”

其次,在技術(shù)層面,《規(guī)范》指出識別路徑和關(guān)聯(lián)路徑都應(yīng)被算作個(gè)人信息,都應(yīng)受到保護(hù)。識別路徑是指通過某一段信息(如家庭住址、身份證號碼、手機(jī)號碼等)可直接識別出某具體自然人的信息,關(guān)聯(lián)路徑則是通過某一段互聯(lián)網(wǎng)上的行為軌跡和記錄,可在一定范圍內(nèi)通過關(guān)聯(lián)作用識別出該自然人所具有的清晰特征的信息。以社交網(wǎng)絡(luò)為例,即便其將用戶個(gè)人具體信息保護(hù)到位,但用戶在網(wǎng)站上的好友名單、黑名單和其他行為軌跡也可關(guān)聯(lián)到用戶本人,而這部分信息也屬于個(gè)人信息。然而不少社交網(wǎng)站只重視前者而放松了后者,“不少社交網(wǎng)站將關(guān)聯(lián)路徑當(dāng)做網(wǎng)絡(luò)日志信息而非個(gè)人信息來處理,這是不合規(guī)的。”洪延青指出。

企業(yè)還要做到不同應(yīng)用場景之間的個(gè)人信息不可聯(lián)結(jié)。以視頻網(wǎng)站為例,同一用戶在其他消費(fèi)場景,比如零售中的用戶畫像,對視頻網(wǎng)站也極有意義,一旦掌握其消費(fèi)習(xí)慣,可通過計(jì)算推測出其對視頻類型的偏好。“零售網(wǎng)站上的用戶畫像,視頻網(wǎng)站在背后是有相關(guān)渠道可以獲得的,這在行業(yè)中屬于灰色地帶。”一位視頻網(wǎng)站從業(yè)者向《中國經(jīng)濟(jì)周刊》記者透露說。

“類似的交易在丁香園并不存在。我認(rèn)為如果沒有用戶本人的知情同意就進(jìn)行交易,應(yīng)該算是個(gè)人信息泄露。用戶畫像在不同的互聯(lián)網(wǎng)企業(yè)之間流轉(zhuǎn),首先應(yīng)當(dāng)遵循用戶本人意愿,在合法合規(guī)的前提下進(jìn)行。”李天天對記者說,

但值得注意的是,隨著互聯(lián)網(wǎng)行業(yè)的并購不斷發(fā)生,有些零售網(wǎng)站與視頻網(wǎng)站背后有著相同的實(shí)際控制人,在組織文化和內(nèi)部管理制度上甚至趨同,背后是否有在用戶畫像信息上的來往外界不得而知?!兑?guī)范》對此有明確界定:要求企業(yè)具備透明性(數(shù)據(jù)的處理、流轉(zhuǎn)要透明)、可干預(yù)性(如果需要?jiǎng)h除或更正,需要具備溯源追究的能力)和不可聯(lián)結(jié)性(在大數(shù)據(jù)平臺中,不同場景不同目的的數(shù)據(jù)不能聯(lián)結(jié))。也就是說,即便一家互聯(lián)網(wǎng)巨頭旗下?lián)碛卸鄨鼍邦悇e的服務(wù),其也有能力將所有場景下的大數(shù)據(jù)建成統(tǒng)一平臺,但不同場景的個(gè)人信息依然要堅(jiān)持不可聯(lián)結(jié)原則,這對致力于打造全場景服務(wù)的巨頭企業(yè)至關(guān)重要。前述劍橋分析及其他程序在臉書上獲得用戶數(shù)據(jù)的行為,理論上也屬于多場景類別下的數(shù)據(jù)流轉(zhuǎn)問題,我國的《規(guī)范》對此類問題的要求較為明確:不可聯(lián)結(jié)。

對于即將生效的《規(guī)范》,搜狗CEO王小川在接受《中國經(jīng)濟(jì)周刊》記者采訪時(shí)表示,《規(guī)范》出臺對行業(yè)來說是件好事,搜狗完全支持并且一直以來都遵循了《規(guī)范》所規(guī)定的在數(shù)據(jù)存儲時(shí)間和調(diào)用數(shù)據(jù)量上的最小化原則,“搜狗一直是比較自律的,不會收集對用戶沒有幫助的數(shù)據(jù),在能實(shí)現(xiàn)功能的前提下能不調(diào)用個(gè)人信息就不調(diào)用、能少調(diào)用就少調(diào)用。”王小川說,搜狗在云安全方面也做了很多的努力,完全可以確保個(gè)人信息安全且被合規(guī)地使用,“有了相關(guān)規(guī)范,做得好的企業(yè)只會讓外界更加信任我們,搜狗很樂觀。”

數(shù)據(jù)所有權(quán)歸誰?用戶還是數(shù)據(jù)收集者?

個(gè)人信息的所有權(quán)問題也很關(guān)鍵。對于個(gè)人信息到底歸誰,業(yè)內(nèi)大致分為兩種論調(diào):一種聲音認(rèn)為,雖然個(gè)人的行為才是所有數(shù)據(jù)和信息的來源,但個(gè)人行為本身不是數(shù)據(jù),而是數(shù)據(jù)控制方的記錄等一系列技術(shù)手段將其加工成一段段數(shù)據(jù),并且用戶在提供自身數(shù)據(jù)給數(shù)據(jù)控制方的過程中享受到了個(gè)性推薦等便利,所以該信息的至少部分所有權(quán)應(yīng)歸數(shù)據(jù)控制方。

上海數(shù)據(jù)交易中心CEO湯奇峰就曾對《中國經(jīng)濟(jì)周刊》記者表示,用戶的個(gè)人行為本身不是數(shù)據(jù),正是由于數(shù)據(jù)控制方的一系列技術(shù)手段的介入才將其加工成數(shù)據(jù),才讓用戶享受到了互聯(lián)網(wǎng)服務(wù)的便利。但他同時(shí)表示,在為用戶提供便利的同時(shí),數(shù)據(jù)控制方為防范個(gè)人信息泄露和不當(dāng)使用對當(dāng)事人的隱私權(quán)造成損害,需要在網(wǎng)絡(luò)安全法框架下遵循正當(dāng)性和必要性兩個(gè)原則。

此外,另一種觀點(diǎn)則認(rèn)為,作為各項(xiàng)個(gè)人信息的源頭,用戶完全可以主張對信息所有權(quán)的完全所有權(quán)。在一些國家不乏數(shù)據(jù)提供商支付給用戶一定的價(jià)格,以作為用戶對其開放個(gè)人信息的回報(bào)。

周鴻祎便是“數(shù)據(jù)所有權(quán)歸用戶”的支持者。在今年全國兩會期間,周鴻祎對《中國經(jīng)濟(jì)周刊》記者表示,他此次參會帶來一份關(guān)于企業(yè)收集并使用個(gè)人信息應(yīng)遵循“三原則”的提案。“首先數(shù)據(jù)的所有權(quán)毫無疑問屬于用戶本人,即便是互聯(lián)網(wǎng)公司收集的,但也不能擁有所有權(quán),個(gè)人信息只是暫時(shí)托管在互聯(lián)網(wǎng)公司的服務(wù)器中。”其他兩項(xiàng)原則分別是保證用戶的知情權(quán)和選擇權(quán)以及服務(wù)過程中的信息安全。“根據(jù)每個(gè)應(yīng)用的具體情況,服務(wù)提供商做什么都要讓用戶知道,當(dāng)然不能‘一刀切’。如果需要打開麥克風(fēng)收集用戶的聲音,這種行為是否提前讓用戶知曉?是否提前告訴用戶為什么要這么做?用戶如果不同意,應(yīng)有權(quán)利選擇拒絕。此外,用戶個(gè)人信息在互聯(lián)網(wǎng)企業(yè)使用的過程中要被很好地保護(hù),不能有不明的去向以及泄露。”

周鴻祎認(rèn)為,政府如果能推動解決好這三個(gè)問題,用戶和數(shù)據(jù)控制方之間就能建立很好的信任,用戶放心地允許企業(yè)收集,企業(yè)用合規(guī)的方式賺錢。

“作為互聯(lián)網(wǎng)公司,我們收集用戶數(shù)據(jù)很少有惡意。”網(wǎng)易創(chuàng)始人丁磊對《中國經(jīng)濟(jì)周刊》記者表示,互聯(lián)網(wǎng)企業(yè)保存用戶信息的一個(gè)風(fēng)險(xiǎn)在于,有些黑色產(chǎn)業(yè)鏈條會盯上企業(yè)服務(wù)器中的個(gè)人信息并通過非法手段盜取,“我們的收集和使用本身沒有惡意;當(dāng)然,要保護(hù)個(gè)人信息在企業(yè)服務(wù)器中的安全,這是我們該做的。”

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論