在最近的一个活动上,一家连锁药店的运营总监向我们描述了大数据时代的一个场景:当一个客户进入他们的门店之后,药店的会员数据中心就可以告诉营业员,这个客户是一个什么样类型的人,曾经买过什么、喜欢什么、不喜欢什么等详细的数据,来针对性地为这名客户提供服务。
他甚至提出了一个更“完美”的场景:摄像头放在门口,通过人脸识别技术,用户还没进店营业员就可以获得这些信息。营业员会根据数据中心推荐的数据进行营销,在完成收款之后,所有用户的收款信息都会直接进入会员数据中心,同时也会把相关的消费信息、积分变动等推送给用户。根据用户累积的消费数据,后台会知道每一位用户的偏好,有针对性地发送一些优惠券, 甚至于健康关怀等等,完成这样一个闭环。
从商家的角度来说,这样的“闭环”看上去确实很完美,但是对用户来说,当你甚至没有跨进一家商店的门槛,自己的购物历史、习惯、偏好等信息都已经尽在商家的掌握之中,而且这还是一家连锁药店,这就非常可怕了。
从生产和销售的企业的角度来说,通过大数据预测用户的需求,然后合理地安排生产和上市,对整个社会资源配置来说是有积极意义的,药店根据用户的偏好去推荐产品也无可厚非。但是,对个人用户来说,搜集具体的某个人的个人数据就是另外一个层面的事情了。药店知道顾客的疾病情况可能更有利于向用户推荐合适的药品,然而大多数人显然并不会希望自己的疾病信息如此轻易地被人知道,即使只是被药店的销售员知道而已,即使并不是什么“隐疾”。在这个药店“完美”的场景中,用户的隐私被彻底地忽略了。
缺少法律保障
在这样一个大数据泛滥的时代,如何保护自己的隐私,如何限制企业去使用用户的个人数据是非常重要的问题。
数据显示,2016 年,全国公安机关共侦破网络侵犯公民个人信息案件2100 多起,查获公民个人信息500多亿条,抓获犯罪嫌疑人5000多人,而这可能还只是冰山一角。
最近,监管层也开始对大数据乱象出手,开始清理行动,多家大数据公司被列入调查名单。国内互联网黑色产业链一直非常发达,相对欧美国家,国内在欺诈、黑客层面因为违法犯罪成本很低,形势更为严峻。对个人用户来说,个人信息安全意识觉醒目前主要是在一二线城市少数的公民是有个人信息保护意识的,广大农村乡镇区域对此并不敏感,甚至会随意出借身份证等个人证件。
在法治层面上,中国信息安全立法也一直相对滞后。在民法中,并没有个人信息权的概念, 对个人信息的民法保护依据主要见于民法关于人格权、名誉权、隐私权以及侵权责任法等方面的规定。
在2012 年的《全国人大关于加强网络信息保护的决定》发布后,中国网络安全与信息化立法开始加速,对个人信息安全的保护也开始逐步提升。
今年5 月9 日,高人民法院和高人民检察院合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对《刑法》二百五十三条作出了详细说明,并从“公民个人信息范围”、“情节严重认定标准”、“严打内鬼”、“非法购买”、“收受个人信息获利”等方面对该条款作出详细解释。
此次发布的司法解释首先明确了“公民个人信息”的范围,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
今年6 月1 日正式实施的《网络安全法》仅仅用了两年半时间从列入立法计划到正式出台;在传统法律的制定、修订工作中,也给予网络空间前所未有关注。
如何规范使用数据
虽然目前还存在不少问题,但是大数据行业的发展却也是大势所趋,问题的关键在于大数据行业如何规范化发展。
作为征信企业,大数据被广泛应用到个人信用评价中。前海征信的一位网络安全专家告诉记者,前海征信自成立以来,在数据采集、产品加工、对外输出等业务流程中严格把控,确保其合法合规性,尤其是对数据源的采集方面, 制定并严格执行高标准的数据准入和审查标准。其中对个人信息的范畴把控,与两高对侵犯个人信息的司法解释中公民个人信息范畴一致。
作为国家着力推进发展的行业,对征信行业也有不少具体的管理措施,《征信业管理条例》(国务院令第631号)、《征信机构管理办法》(中国人民银行令〔2013〕第1号发布)、《征信机构监管指引》(银发〔2015〕336 号)等法律法规对公司的业务操作也有一套标准。前海征信在实际运作中,在数据采集方面禁止采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息, 确保业务层面的合法合规性。
在信息采集以外,机构客户如通过前海征信查询信息主体的征信信息,必须严格遵守法律法规的规定。
“对前海征信来说,保护好用户的个人隐私信息安全是底线,绝对不允许逾越。”他说。
前海征信还建立了一套内部管理策略和流程,通过《信息安全隐私标准》、《数据泄露查处办法》、《敏感信息加密指引》、《数据安全分级标准》等相关制度加强用户信息安全。前海征信成立的数据安全委员会,并在各部门设立安全管理员, 从人员上保障信息安全工作的开展。
在技术上,前海征信使用多种工具支撑,包括对终端电脑的安全技术、大数据安全技术、应用级安全技术、网络层安全技术等,从发现、防御、响应三个环节全面保障用户个人隐私安全。
对个人用户来说,前海征信的网络专家建议, 首先要有保护个人隐私安全的意识,时刻注意自己的敏感信息要保护好。
“简单举几个例子,比如通过网络购买商品时,要仔细验看登录的网址,不要轻易接收和安装不明软件,要慎重填写银行账户和密码,谨防钓鱼网站,防止个人信息泄露;妥善处置快递单、车票、购物小票等包含个人信息的单据;身份证复印件上要写明用途;简历只提供必要信息;不在微博、QQ 空间、贴吧等地泄露真实身份;微信不要加不明身份的好友,慎在微信中晒照片; 免费WiFi 易泄露隐私;注意密码安全等。”他分析道。