信息化觀察網(wǎng)

近年來(lái)，信息安全事件層出不窮給人民的財(cái)產(chǎn)和個(gè)人隱私造成了巨大的威脅?；ヂ?lián)網(wǎng)時(shí)代，不出門(mén)知天下事，覽天下景是件好事，但隨著信息安全事件的頻發(fā)，如何加強(qiáng)信息安全意識(shí)，鞏固信息安全，是“互聯(lián)網(wǎng)+”時(shí)代下最應(yīng)該先考慮的問(wèn)題。

近日，推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱(chēng)《規(guī)范》）正式實(shí)施。這部由33位擁有政策制定、技術(shù)標(biāo)準(zhǔn)、企業(yè)實(shí)踐經(jīng)驗(yàn)的專(zhuān)家共同起草，歷經(jīng)兩年多博弈的《規(guī)范》對(duì)個(gè)人信息收集、保存、使用、流轉(zhuǎn)等環(huán)節(jié)提出要求，填補(bǔ)了國(guó)內(nèi)個(gè)人信息保護(hù)在實(shí)踐標(biāo)準(zhǔn)上的空白。

“非常明確地把《網(wǎng)絡(luò)安全法》原則性的規(guī)定給落地了。”《規(guī)范》起草組成員、中國(guó)信息安全研究院副院長(zhǎng)左曉棟表示，“讓法律可以落地”是它最重大的意義。

然而，由于起草小組成員背景、立場(chǎng)不同，《規(guī)范》起草過(guò)程中，學(xué)術(shù)專(zhuān)家和企業(yè)專(zhuān)家之間多有博弈，相互之間的妥協(xié)也令《規(guī)范》留有不少可以改進(jìn)的空間。左曉棟說(shuō)，對(duì)于個(gè)人信息的保護(hù)，我們要走的路還很長(zhǎng)。

《規(guī)范》中的“注”往往是雙方的妥協(xié)

“企業(yè)對(duì)于個(gè)人信息保護(hù)責(zé)任邊界到底在哪兒？”在《規(guī)范》起草組成員、阿里巴巴安全部總監(jiān)鄭斌記憶中，對(duì)于這個(gè)問(wèn)題，起草組討論了近一年的時(shí)間。“我們每?jī)蓚€(gè)月左右會(huì)開(kāi)一次討論會(huì)，大概討論了五六次，每一次這個(gè)問(wèn)題都會(huì)提出來(lái)。”

人們爭(zhēng)論的是個(gè)人信息在數(shù)據(jù)流轉(zhuǎn)時(shí)企業(yè)所要擔(dān)負(fù)的責(zé)任。以鄭斌為代表的企業(yè)方認(rèn)為，企業(yè)只能做到自己掌握的個(gè)人數(shù)據(jù)不出現(xiàn)泄漏、濫用等安全問(wèn)題，而在產(chǎn)業(yè)上下游協(xié)同過(guò)程中，經(jīng)過(guò)用戶授權(quán)，數(shù)據(jù)流轉(zhuǎn)到企業(yè)的合作伙伴手中出現(xiàn)問(wèn)題時(shí)，企業(yè)不該也不能為合作伙伴兜底。而學(xué)術(shù)專(zhuān)家認(rèn)為，產(chǎn)業(yè)鏈上下游協(xié)同關(guān)系是企業(yè)自己搭建的，應(yīng)該對(duì)產(chǎn)業(yè)鏈上下游協(xié)同能力進(jìn)行充分的評(píng)估，要去為合作伙伴兜底。

近期Facebook數(shù)據(jù)泄漏事件正是這兩方面爭(zhēng)論的實(shí)例。政治咨詢公司“劍橋分析” 利用Facebook上5000萬(wàn)名用戶資料進(jìn)行分析，最終向5000萬(wàn)名Facebook用戶發(fā)送“專(zhuān)屬”政治廣告，左右選民投票。由于是合作伙伴關(guān)系，F(xiàn)acebook遭到美國(guó)、歐盟等多方質(zhì)詢處理。

Facebook如此境遇給企業(yè)方敲響了警鐘，直到《規(guī)范》快要終稿時(shí)，爭(zhēng)論雙方誰(shuí)都沒(méi)說(shuō)服誰(shuí)，只能求同存異，“所以在《規(guī)范》里，并沒(méi)有很好地去解決數(shù)據(jù)流轉(zhuǎn)過(guò)程中數(shù)據(jù)保護(hù)的責(zé)任。”鄭斌說(shuō)。

類(lèi)似的博弈還有許多，左曉棟告訴中國(guó)青年報(bào)·中青在線記者，細(xì)讀《規(guī)范》中的“注”，里面往往有雙方的妥協(xié)在其中。

他舉例，在《規(guī)范》第七條對(duì)“個(gè)人信息的使用”中涉及用戶訪問(wèn)信息時(shí)有個(gè)注解：“個(gè)人信息主體提出訪問(wèn)非其主動(dòng)提供的個(gè)人信息時(shí)，個(gè)人信息控制者可在綜合考慮不響應(yīng)請(qǐng)求可能對(duì)個(gè)人信息主體合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)和損害，以及技術(shù)可行性、實(shí)現(xiàn)請(qǐng)求的成本等因素后，做出是否響應(yīng)的決定，并給出解釋說(shuō)明。”“這就是跟企業(yè)的PK中，為了尋求平衡所采取的折中辦法。”

在制定這條標(biāo)準(zhǔn)時(shí)，左曉棟就在討論會(huì)上，參考?xì)W盟發(fā)布的“一般數(shù)據(jù)保護(hù)條例”(GDPR)規(guī)定，類(lèi)似的情況，GDPR規(guī)定企業(yè)可以收取成本，但必須向用戶提供，而在《規(guī)范》中規(guī)定企業(yè)可以拒絕提供，“這是重大退讓。”左曉棟說(shuō)，“這對(duì)保護(hù)用戶權(quán)益基本沒(méi)有意義，因?yàn)楝F(xiàn)在的問(wèn)題是，企業(yè)偷偷收集了用戶大量信息，而這部分信息，企業(yè)卻可以拒絕用戶查閱。”

問(wèn)題出在“偷偷”上，來(lái)自于企業(yè)的《規(guī)范》起草人徐然（化名）表示，企業(yè)如果按照《規(guī)范》合法地收集用戶數(shù)據(jù)，無(wú)論是使用還是分析都會(huì)經(jīng)過(guò)用戶同意授權(quán)，并不存在隱瞞用戶非法使用的行為。并且，為確保用戶的信息安全，企業(yè)可以在滿足最小夠用的前提下不留存間接獲取的個(gè)人信息。因此，上述查詢未必可行。

在徐然看來(lái)，《規(guī)范》制定中，企業(yè)談的是落地性強(qiáng)不強(qiáng)、技術(shù)上是不是可行，而許多專(zhuān)家是從監(jiān)管的角度出發(fā)的，出發(fā)點(diǎn)是希望把個(gè)人信息侵害的行為的可能性降到最低，達(dá)到最好的監(jiān)管效果。“有些（標(biāo)準(zhǔn)）對(duì)行業(yè)來(lái)說(shuō)成本太高了，可能會(huì)阻礙行業(yè)發(fā)展。”他說(shuō)。

讓《規(guī)范》發(fā)揮作用是關(guān)鍵

雖然個(gè)別條款作了讓步，但在左曉棟眼里，《規(guī)范》絕不失為一部好的標(biāo)準(zhǔn)。他說(shuō)，目前著急的不是改進(jìn)《規(guī)范》，而是如何讓《規(guī)范》發(fā)揮作用。

“沒(méi)有落實(shí)就想要變得更好沒(méi)有意義。”在這一點(diǎn)上，左曉棟與一些企業(yè)代表達(dá)成了共識(shí)，受限于國(guó)內(nèi)的實(shí)踐場(chǎng)景，在個(gè)人信息保護(hù)上，我們?nèi)鄙俜蓪?shí)踐經(jīng)驗(yàn)，只有不斷實(shí)踐，才能發(fā)現(xiàn)問(wèn)題，繼而改進(jìn)《規(guī)范》。

徐然表示，在個(gè)人信息保護(hù)領(lǐng)域，歐美國(guó)家都積累了很多年的司法判決經(jīng)驗(yàn)，相關(guān)規(guī)范規(guī)則的制定也有諸多案例參考借鑒，相比較而言，我國(guó)的相關(guān)規(guī)則體系一直以來(lái)都存在不少空白地帶。“美國(guó)是集團(tuán)訴訟，我們是個(gè)體訴訟，就導(dǎo)致案子比較小，侵權(quán)之后的損失是多少也很難判定。”他提到，在有限的個(gè)人信息侵權(quán)案中，我們的司法審判文書(shū)在遇到規(guī)則的空白時(shí)，只能引用一些專(zhuān)家的意見(jiàn)甚至是國(guó)外的標(biāo)準(zhǔn)，這也體現(xiàn)了實(shí)踐對(duì)更加全面的規(guī)則的迫切需求。

除了法律實(shí)踐經(jīng)驗(yàn)的缺乏，復(fù)雜的信息收集場(chǎng)景也令《規(guī)范》難以統(tǒng)籌兼顧。左曉棟說(shuō)，他的朋友最近做了一項(xiàng)關(guān)于100個(gè)主流App收集用戶信息場(chǎng)景的測(cè)評(píng)，結(jié)果發(fā)現(xiàn)實(shí)際的場(chǎng)景遠(yuǎn)遠(yuǎn)超出《規(guī)范》設(shè)定的場(chǎng)景，許多企業(yè)在打“擦邊球”。

“標(biāo)準(zhǔn)的規(guī)范性、強(qiáng)制性、約束性要增強(qiáng)，相關(guān)法律法規(guī)、政策合同要更加積極主動(dòng)引用標(biāo)準(zhǔn)。”左曉棟提到，《規(guī)范》是推薦性標(biāo)準(zhǔn)而非強(qiáng)制性標(biāo)準(zhǔn)，因此不具備法律強(qiáng)制力，想讓《規(guī)范》真正對(duì)企業(yè)起到監(jiān)管作用，就必須積極使用，而且要明確主管部門(mén)，讓違規(guī)行為可以追責(zé)。

左曉棟和他的技術(shù)團(tuán)隊(duì)最近正在開(kāi)發(fā)相關(guān)的技術(shù)以求監(jiān)測(cè)App的違規(guī)行為。“企業(yè)收集用戶信息后假如違反對(duì)用戶的承諾，在技術(shù)上如何去發(fā)現(xiàn)？”左曉棟認(rèn)為，目前，標(biāo)準(zhǔn)的合規(guī)還缺少技術(shù)的保障手段，只能靠企業(yè)自覺(jué)不濫用信息，數(shù)據(jù)的使用過(guò)程和數(shù)據(jù)交易過(guò)程應(yīng)該加強(qiáng)審計(jì)，“依靠企業(yè)自律是不夠的，加強(qiáng)技術(shù)的規(guī)范與保障很關(guān)鍵。”

（原標(biāo)題：《信息安全技術(shù)個(gè)人信息安全規(guī)范》出臺(tái)背后）