隱私泄露有時(shí)是黑客的「杰作」���,但更多時(shí)候,那些被我們信任的企業(yè)����,往往成為泄露數(shù)據(jù)的源頭。
即便在涉及個(gè)人信息交易時(shí)����,我們都會(huì)謹(jǐn)慎選擇規(guī)模較大的正規(guī)企業(yè)����,最后卻像是全世界都知道了我們的隱私�����。
房屋中介詢問(wèn)租期到了要不要找出租房��,招聘網(wǎng)站詢問(wèn)要不要換工作��,網(wǎng)校詢問(wèn)要不要考注冊(cè)會(huì)計(jì)師�����,移民機(jī)構(gòu)詢問(wèn)要不要赴海外投資&helpp;&helpp;偶有詐騙電話����,情節(jié)拙劣讓人哭笑不得。
顯而易見(jiàn)�����,我們的隱私數(shù)據(jù)被他人獲取了�����,但是如何獲取,被盜或是被買賣�,該如何保護(hù)這些數(shù)據(jù),是否有法可循?對(duì)于大眾來(lái)說(shuō)�,至今仍是無(wú)解謎題。
從無(wú)到有的法律建設(shè)不久前諾頓委托獨(dú)立研究機(jī)構(gòu) The Harris Poll 對(duì)全球 16 個(gè)市場(chǎng)����,超過(guò) 16000 名 18 歲以上個(gè)人用戶進(jìn)行在線調(diào)查,發(fā)布了《2018 年諾頓網(wǎng)絡(luò)安全調(diào)查報(bào)告》��。
對(duì)中國(guó)過(guò)用戶的調(diào)查結(jié)果顯示���,2018 年有超過(guò)五分之一的中國(guó)消費(fèi)者曾遭遇身份盜竊����,近 7300 萬(wàn)人受到影響����。
在今年的 315 晚會(huì)中���,電話詐騙產(chǎn)業(yè)鏈被曝光��,涉及 APP 安裝(隱私截取)�、探針盒子(隱私下載)、大數(shù)據(jù)分析(隱私數(shù)據(jù)整理)和 AI 語(yǔ)音電話騷擾(隱私變現(xiàn))等一系列對(duì)個(gè)人信息有組織的侵犯����。
個(gè)人信息問(wèn)題首次出現(xiàn)在 315 晚會(huì)是在 2012 年,中國(guó)電信被曝群發(fā)垃圾短信出售信息通道����,之后更是多年榜上有名;2013 年,高德地圖被曝位置共享服務(wù)會(huì)違規(guī)收集用戶信息����,網(wǎng)易郵箱被曝根據(jù)用戶郵件內(nèi)容分析用戶習(xí)慣并發(fā)送精準(zhǔn)廣告;2014 年,大唐旗下高鴻等公司被曝向智能手機(jī)植入惡意程序等問(wèn)題��,不僅會(huì)惡意扣費(fèi)���,還會(huì)泄露用戶的個(gè)人信息;2015 年�����,中國(guó)移動(dòng)���、鐵通被曝為騷擾電話提供支持,招商銀行、工商銀行等銀行內(nèi)部員工被曝泄露出售客戶信息&helpp;&helpp;315晚會(huì)上對(duì)電信詐騙的報(bào)道被點(diǎn)名的企業(yè)不乏知名企業(yè)和行業(yè)巨頭���,恰如冰山一角���,過(guò)去十幾年中不為人知的對(duì)用戶數(shù)據(jù)的濫用只會(huì)更多。
這讓中國(guó)人對(duì)企業(yè)的信任不斷下降的同時(shí)�����,對(duì)隱私泄露的不安也日益提升�。
諾頓的報(bào)告顯示,50% 的中國(guó)受訪者對(duì)政府保護(hù)個(gè)人信息的能力表示信任���,對(duì)金融機(jī)構(gòu)只有 24%����,而對(duì)電商只有 11%��,社交媒體更是低至 8%���。
諾頓報(bào)告中中國(guó)受訪者對(duì)機(jī)構(gòu)的信任度雖然互聯(lián)網(wǎng)便利了人們的生活,但消費(fèi)者在獲得便利的同時(shí)�,安全感卻再在逐漸消失。
針對(duì)個(gè)人信息泄露���、騷擾信息泛濫的情況���,2014 年 3 月重新修訂的《消費(fèi)者權(quán)益保護(hù)法》���,規(guī)定了經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息的原則����。
其中第 29 條第 1 款規(guī)定:「經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息����,應(yīng)當(dāng)遵循合法、正當(dāng)�����、必要的原則�,明示收集、使用信息的目的�、方式和范圍,并經(jīng)消費(fèi)者同意��。
經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息���,應(yīng)當(dāng)公開(kāi)其收集��、使用規(guī)則��,不得違反法律��、法規(guī)的規(guī)定和雙方的約定收集�、使用信息��。
第 3 款規(guī)定:「經(jīng)營(yíng)者未經(jīng)消費(fèi)者同意或者請(qǐng)求���,或者消費(fèi)者明確表示拒絕的����,不得向其發(fā)送商業(yè)性信息�。
這一立法顯示,隱私保護(hù)在我國(guó)已經(jīng)成為重要的社會(huì)問(wèn)題�,民眾作為消費(fèi)者的權(quán)益受到了侵犯。
實(shí)際早在我國(guó)立法之前�,這一問(wèn)題在國(guó)際上就得到了廣泛的關(guān)注。
早在 1980 年��,經(jīng)濟(jì)合作與發(fā)展組織(OECD)就頒布了《隱私保護(hù)與個(gè)人信息跨國(guó)流通指南》,隨著信息化程度的不斷提高��,世界各國(guó)與地區(qū)也紛紛出臺(tái)相應(yīng)法律��,比如 2012 年新加坡國(guó)會(huì)發(fā)布的《個(gè)人數(shù)據(jù)保護(hù)法》�����,2013 年 4 月 25 日香港特區(qū)發(fā)布的《香港隱私保護(hù)條例》等��。
相比之下����,我國(guó)在個(gè)人信息保護(hù)方面的法律法規(guī)建設(shè)����,正從無(wú)到有,處于不斷完善的階段��,僅僅《消費(fèi)者權(quán)益保護(hù)法》的少數(shù)條款顯然不足以覆蓋范圍越來(lái)越大的隱私保護(hù)問(wèn)題����。
2017 年 6 月 1 日,我國(guó)正式實(shí)施《網(wǎng)絡(luò)安全法》��,這是我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)安全管理方面問(wèn)題的基礎(chǔ)性法律,共有 11 條條款定義個(gè)人信息保護(hù)的保護(hù)規(guī)定��。
其中第 22 條���、41 條�、44 條和 45 條���,要求網(wǎng)絡(luò)運(yùn)營(yíng)者收集����、使用個(gè)人信息時(shí)����,要向用戶明示并取得同意,不得超范圍濫用個(gè)人信息����,不得已非法方式獲取、提供和出售個(gè)人信息�。
第 43 條規(guī)定,個(gè)人有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除和更改其個(gè)人信息�。
不過(guò)《網(wǎng)絡(luò)安全法》大多只是原則性規(guī)定,且個(gè)人信息保護(hù)主要集中在第四章網(wǎng)絡(luò)信息安全���,仍有許多不足���。
而一年后實(shí)施的歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)�����,被認(rèn)為是史上最嚴(yán)苛的數(shù)據(jù)保護(hù)法案,以及隨后在 2018 年 6 月 28 日經(jīng)加州州長(zhǎng)簽署公布的《加利福尼亞州消費(fèi)者隱私保護(hù)法案》(CCPA)����,條款都更加全面和細(xì)化,為我們提供了可供參考的范本��。
對(duì)比我國(guó)《網(wǎng)安》法中相應(yīng)條款���,GDPR 和 CCPA 都對(duì)個(gè)人信息作了比較廣泛地定義�����,強(qiáng)調(diào)個(gè)用戶對(duì)個(gè)人信息的自決權(quán)�����,新增了數(shù)據(jù)可攜帶權(quán)�、刪除個(gè)人信息權(quán)等,并規(guī)范了企業(yè)處理數(shù)據(jù)的行為��,比如要求企業(yè)告知用戶收集�����、使用���、共享數(shù)據(jù)的具體信息��,強(qiáng)化了企業(yè)和數(shù)據(jù)相關(guān)的責(zé)任����,并設(shè)立較為嚴(yán)格的處罰�,但也設(shè)置了多種合規(guī)路徑,鼓勵(lì)數(shù)據(jù)以合法的途徑流通����。
兩者間的不同之處在于,GDPR 和《網(wǎng)絡(luò)安全法》有所類似��,都是基于監(jiān)管者的立場(chǎng)�����,強(qiáng)調(diào)有關(guān)責(zé)任主體主動(dòng)規(guī)范數(shù)據(jù)處理的行為,對(duì)數(shù)據(jù)保護(hù)的規(guī)定更為全面;CCPA 更側(cè)重規(guī)范數(shù)據(jù)的商業(yè)化利用�����,基本是消費(fèi)者隱私保護(hù)的內(nèi)容���,和《消費(fèi)者權(quán)益保護(hù)法》的出發(fā)點(diǎn)類似�。
相比較之下���,GDPR 要更嚴(yán)格和全面,涉及的對(duì)象范圍也更廣�,對(duì)象是任何擁有歐盟公民個(gè)人數(shù)據(jù)的組織;CCPA 主要針對(duì)達(dá)到相應(yīng)體量(年度總收入超過(guò) 2500 萬(wàn)美元,或?yàn)樯虡I(yè)目的購(gòu)買���、出售�、分享超過(guò) 50000 個(gè)消費(fèi)者�、家庭或設(shè)備的個(gè)人信息,或通過(guò)銷售消費(fèi)者個(gè)人數(shù)據(jù)取得的年收入超過(guò)總收入 50%)的處理加州居民個(gè)人數(shù)據(jù)的營(yíng)利性實(shí)體�。
在規(guī)定企業(yè)合規(guī)使用用戶數(shù)據(jù)的界限上,GDPR 在第六條規(guī)定�����,企業(yè)需要主動(dòng)獲取數(shù)據(jù)主體即用戶的明確同意,個(gè)人對(duì)其數(shù)據(jù)有知情權(quán)���,刪除個(gè)人數(shù)據(jù)���、限制處理個(gè)人數(shù)據(jù)等相關(guān)權(quán)利,同時(shí)有「合法利益」的概念���。
在預(yù)防犯罪����、欺詐監(jiān)測(cè)��、員工背景調(diào)查和收集分析明星數(shù)據(jù)等情況下�����,證明「合法利益」的企業(yè)可以不經(jīng)同意合法處理個(gè)人數(shù)據(jù);在 CCPA 中沒(méi)有「合法利益」這一概念���,消費(fèi)者有權(quán)要求企業(yè)披露收集個(gè)人信息的類別和具體要求�����、目的以及信息共享的第三方���,并有權(quán)選擇不出售個(gè)人信息和要求企業(yè)刪除收集的個(gè)人信息等��。
對(duì)于數(shù)據(jù)跨境����,GDPR 的有嚴(yán)格的規(guī)定����,而 CCPA 沒(méi)有進(jìn)行限制,這與美國(guó)相對(duì)鼓勵(lì)數(shù)據(jù)流通有關(guān)����。
但對(duì)于違規(guī)行為�,處罰的力度都很大。
GDPR 規(guī)定企業(yè)會(huì)面臨最高 2000 萬(wàn)歐元或上一財(cái)年全球營(yíng)業(yè)額 4% 的行政處罰(以較高者為準(zhǔn));而 CCPA 規(guī)定企業(yè)會(huì)面臨支付給每位消費(fèi)者最高 750 美元的賠償金以及最高 7500 美元的罰款���。
自 GDPR 開(kāi)始執(zhí)行之后�����,F(xiàn)acebook����、Google 等巨頭都相繼收到巨額罰單,對(duì)于隱私保護(hù)的政策爭(zhēng)議也一直未停止�。
3 月下旬,阿里巴巴羅漢堂曾邀請(qǐng)全球頂尖學(xué)者進(jìn)行三天閉門(mén)的會(huì)議�,討論隱私與數(shù)據(jù)治理的問(wèn)題。
據(jù)《錢江晚報(bào)》報(bào)道��,即使是來(lái)自歐美的學(xué)者����,也普遍對(duì) GDPR 表達(dá)了一些擔(dān)心。
比如法國(guó)圖盧茲經(jīng)濟(jì)學(xué)院教授 Jean Tirole 就認(rèn)為�,GDPR 太過(guò)復(fù)雜,如果不允許收集數(shù)據(jù)����,就類似于「想倒掉洗澡水,把寶寶也潑出去了」��,甚至有學(xué)者將 150 多年前英國(guó)頒布的《紅旗法案》與之相比較����,《紅旗法案》旨在保護(hù)汽車司機(jī)和乘客的安全,卻也讓英國(guó)錯(cuò)過(guò)了汽車產(chǎn)業(yè)的騰飛�����。
美國(guó)伯克利大學(xué)教授 Jim Dempsey 則表示,現(xiàn)在針對(duì)隱私的政策大多基于假設(shè)�����,「我們現(xiàn)在缺乏足夠的經(jīng)濟(jì)學(xué)�、社會(huì)學(xué)層面對(duì)隱私問(wèn)題的研究」。
亞洲商業(yè)法數(shù)據(jù)隱私項(xiàng)目負(fù)責(zé)人 Clarisse Girot 說(shuō):「關(guān)于對(duì)數(shù)據(jù)的保護(hù)��,一個(gè)國(guó)家單槍匹馬是不夠的�����,我們需要所有的國(guó)家�����、所有的司法管轄區(qū)域�����,共同的相互協(xié)作����。
目前,什么叫相互協(xié)作���、相互運(yùn)作����、相互運(yùn)營(yíng)���,這些詞眼對(duì)我來(lái)說(shuō)也并不是特別清楚��,但我相信未來(lái)是清楚的�����。
博弈中曲折前進(jìn)回到國(guó)內(nèi)���,在《網(wǎng)安》法之后,我國(guó)同樣在不斷推進(jìn)相關(guān)的制度建設(shè)���。
《個(gè)人信息安全規(guī)范》就是目前主要針對(duì)個(gè)人隱私保護(hù)領(lǐng)域�����,進(jìn)展較快的標(biāo)準(zhǔn)�����。
雖然不具備強(qiáng)制性�����,但對(duì)處理個(gè)人信息和各類組織提出了具體的保護(hù)要求��,也為制定和實(shí)施個(gè)人信息保護(hù)相關(guān)法律法規(guī)奠定了基礎(chǔ)��。
今年 2 月初�����,經(jīng)過(guò)修正����,由國(guó)家市場(chǎng)監(jiān)督管理總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范(草案)》針對(duì)個(gè)人信息面臨的安全問(wèn)題,規(guī)范了個(gè)人信息控制者在收集��、保存����、使用�、共享�����、轉(zhuǎn)讓�、公開(kāi)披露等信息處理環(huán)節(jié)中的相關(guān)行為��。
在這份標(biāo)準(zhǔn)之中����,同樣充滿了利益的博弈和妥協(xié)。
從標(biāo)準(zhǔn)起草單位和主要起草人來(lái)看���,既有中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院�、清華大學(xué)�����、公安部第一研究所等政府�、學(xué)術(shù)機(jī)構(gòu),也有阿里巴巴(北京)軟件服務(wù)公司����、深圳騰訊計(jì)算機(jī)系統(tǒng)有限公司、阿里云計(jì)算有限公司��、華為技術(shù)有限公司等企業(yè)。
據(jù)《中國(guó)青年報(bào)》報(bào)道�����,「企業(yè)對(duì)于個(gè)人信息保護(hù)責(zé)任邊界到底在哪兒」���,是起草組爭(zhēng)論的核心問(wèn)題���,起草組成員、阿里巴巴安全部總監(jiān)鄭斌回憶���,這個(gè)問(wèn)題起草組討論了近一年的時(shí)間��?�!肝覀兠?jī)蓚€(gè)月左右會(huì)開(kāi)一次討論會(huì)����,大概討論了五六次����,每一次這個(gè)問(wèn)題都會(huì)提出來(lái)。」?fàn)幷摰闹攸c(diǎn)���,是個(gè)人信息在數(shù)據(jù)流轉(zhuǎn)時(shí),企業(yè)所要擔(dān)負(fù)的責(zé)任�����。
對(duì)企業(yè)來(lái)說(shuō)����,理想的結(jié)果是企業(yè)只負(fù)責(zé)自己掌握的個(gè)人數(shù)據(jù)不出現(xiàn)泄漏、濫用等安全問(wèn)題����,而經(jīng)過(guò)用戶授權(quán),流轉(zhuǎn)到第三方的數(shù)據(jù)出現(xiàn)問(wèn)題時(shí)�����,企業(yè)不承擔(dān)法律責(zé)任�����,即�,前普遍的存在授權(quán)鏈即可的觀念。
而學(xué)術(shù)專家更傾向于�����,企業(yè)應(yīng)該對(duì)自身搭建的產(chǎn)業(yè)鏈上下游協(xié)同能力進(jìn)行充分的評(píng)估,并為合作伙伴承擔(dān)責(zé)任���。
例如劍橋分析曾經(jīng)利用 Facebook 上 5000 萬(wàn)名用戶資料進(jìn)行分析并進(jìn)而影響美國(guó)大選�,F(xiàn)acebook 就因此遭到美國(guó)�、歐盟等多方質(zhì)詢。
一個(gè)現(xiàn)實(shí)是����,即使過(guò)程完全合規(guī),絕大部分用戶實(shí)際并不會(huì)去看動(dòng)輒幾千字的用戶協(xié)議���,因此「同意」并不意味著「知情」�。
北京大學(xué)金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到����,我國(guó)個(gè)人信息收集的原則是「告知—同意」規(guī)則,即信息控制者和信息處理者在收集�����、處理數(shù)據(jù)前需事先告知用戶,并得到用戶明示或默示的許可同意�����。
這一規(guī)則源于美國(guó)����,被美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)認(rèn)定為線上隱私保護(hù)的「最為重要的原則」��。
并且有告知成本低廉(只需發(fā)布統(tǒng)一的隱私條款)�����,尊重個(gè)人意愿����,監(jiān)管模式簡(jiǎn)單等優(yōu)點(diǎn)。
但實(shí)踐證明����,很少有用戶閱讀隱私條款,即使用戶閱讀了冗長(zhǎng)的隱私條款�����,也很難理解復(fù)雜的法律術(shù)語(yǔ)以及隱私條款的含義,最后�����,用戶難做出理性的判斷��。
尤其當(dāng)談判桌的另一端�����,坐著的是理性���、商業(yè)化��、法務(wù)體系健全的企業(yè)時(shí)�,看似均衡的天平就完全失衡了�。
很多消費(fèi)者甚至沒(méi)有注意到這一行字因此,讓企業(yè)承擔(dān)更多的責(zé)任���,類似在追求「結(jié)果正義」�,而對(duì)企業(yè)來(lái)說(shuō)���,這意味著更高的成本和風(fēng)險(xiǎn)��,是難以接受的���。
因此����,直到最后���,爭(zhēng)論雙方也都沒(méi)有說(shuō)服另一方����,只能在許多條款中達(dá)成妥協(xié)����。
不過(guò)即使如此���,在《規(guī)范》起草組成員�、中國(guó)信息安全研究院副院長(zhǎng)左曉棟看來(lái)���,這依舊是有著積極的意義����。
盡管《規(guī)范》是國(guó)家推薦性標(biāo)準(zhǔn),不是強(qiáng)制性標(biāo)準(zhǔn)�����,不具備法律強(qiáng)制力�,缺少實(shí)踐性,也缺少技術(shù)上的可執(zhí)行性���。
但至少填補(bǔ)了我國(guó)相應(yīng)體系的部分空白�,為判斷合規(guī)性提供了一個(gè)標(biāo)準(zhǔn)����,而且可以通過(guò)實(shí)踐不斷地改進(jìn),也為以后相關(guān)法律的起草���、發(fā)布和實(shí)施奠定基礎(chǔ)����。
中國(guó)用戶的隱私意識(shí)正在不斷覺(jué)醒��,《諾頓網(wǎng)絡(luò)安全報(bào)告》中數(shù)據(jù)顯示���,85% 的中國(guó)受訪者比以往更關(guān)注自己的個(gè)人信息安全���,90% 希望為之做些什么���,但 66% 的都不知道能怎么做。
目前缺失的�,正是相應(yīng)法律法規(guī)的建設(shè),以及企業(yè)對(duì)用戶信息保護(hù)的重視和積極參與��。
隨著整體生態(tài)的不斷改善�����,一個(gè)重視用戶隱私安全的商業(yè)環(huán)境�����,將更有利于良性的商業(yè)競(jìng)爭(zhēng)和發(fā)展����,也最終將反饋給整個(gè)社會(huì)�。
作者:【深圳維創(chuàng)推薦】文件加密軟件--為企業(yè)數(shù)據(jù)安全保駕護(hù)航!輕松實(shí)現(xiàn)企業(yè)內(nèi)部文件自動(dòng)加密和備份��,加密后的文件在企業(yè)內(nèi)部正常使用����,未經(jīng)許可私自拷貝外發(fā)出去�����,都將無(wú)法打開(kāi)使用���!對(duì)于發(fā)送給第三方的文件可實(shí)現(xiàn)控制打開(kāi)時(shí)間,打開(kāi)次數(shù)等防泄密參數(shù)�����!同時(shí)可設(shè)置對(duì)員工電腦文件自動(dòng)備份�,防止惡意刪除造成核心數(shù)據(jù)的遺失!從源頭防止企業(yè)核心文件被外泄��!
【本文關(guān)鍵詞】:加密軟件�,文件加密,文檔加密�����,圖紙加密軟件�����,防泄密軟件,CAD加密軟件�����,文件外發(fā)加密
