随着网络化时代的到来,人们的沟通交流更加便捷,各类信息也都逐渐透明,信息技术在人们生活的各方面得到更加广泛的应用。大数据正在以一种前所未有的方式对海量数据进行分析,从而获得巨大价值的产品和服务。但大数据也是一把“双刃剑”,人们在因大数据受益的同时,也面临着巨大的挑战,个人隐私保护问题就是其中之一。那么如何在大数据时代下保护个人隐私?是整个社会都需要思考和关注的社会问题。
近日,中央网信办、工信部、公安部、国家标准委等四部门结束了对10款网络产品和服务的隐私条款评审。京东、支付宝等大型互联网企业也相应调整了企业产品的隐私政策,对个人信息的收集、使用和共享、删除、修改等问题均作出了相关约定。
记者了解到,最新版《京东隐私政策》已于2017年8月27日起正式生效。主要调整包括明确了京东的产品与/或服务收集、使用及共享个人信息的类型方式和用途;以增强告知或即时提示的方式在收集、使用及共享个人信息时为用户明示选择权,并在产品设置中允许用户即时撤销授权。记者也从侧面了解到,新版《京东隐私政策》更加突出了简洁性和清晰性,修改隐私政策是为了让用户容易和清晰地理解它。
更强调用户的知情权 充分保护个人隐私
大数据时代下的个人隐私权是指通过各种手段途径采集到的个人隐私信息不被非法盗用,在未得到相关当事人同意的情况下不得将为某种特定目的而提供的信息另做他用。因此,用户的个人隐私权应该包括用户的知情权、选择权、合理的访问权限以及足够的安全性。
记者深入分析京东近期调整的隐私条款发现,在个人信息收集、使用、共享和转让等问题上,调整后的描述更为清晰,并向用户告知了相关的操作路径。在隐私条款中,京东明确指出将遵循“合理、相关、必要原则”收集个人信息,不会收集法律法规禁止收集的信息。京东方面更是强调,会全面采取合理可行的措施,避免收集无关的个人信息。而在收集、使用、存储和传输用户信息的时候,京东会明确告知用户相关信息的使用目的和范围。包括如果将用户信息用于新的目的或范围将重新获取用户同意,提供如何关闭位置、通知等授权的具体操作步骤等。
众所周知,技术手段是大数据背景下个人隐私保护的有效措施,能够通过隐私保护技术的完善和创新确保个人信息的安全。记者注意到,京东在这方面也做了明确规范:京东会采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,京东会采用包括内容替换、SHA256在内多种数据脱敏技术,增强个人信息在使用中的安全性。
除此之外,不管是共享或转让用户个人信息,京东隐私政策都要求“事先获得用户明确的同意或授权”。对与京东共享个人信息的公司、组织和个人,京东会与其签署保密协定,要求他们按照京东的说明、京东隐私政策以及其他任何相关的保密和安全措施来处理个人信息。
隐私政策更明晰 提供注销账户功能和商户救援功能
记者注意到,本次更新京东做出了诸多有利于保护用户个人信息的调整:明确了京东的产品与/或服务收集、使用及共享个人信息的类型方式和用途;以增强告知或即时提示的方式在收集、使用及共享个人信息时给予用户明示选择权,并在产品设置中允许用户即时撤销授权。明确了用户查询、更正和删除其个人信息的方式。增加了用户账户的锁定/解锁和注销功能,并提供给用户了30日注销后悔期。
记者还发现,在京东新版隐私条款中,用户被赋予的权利不但更为明确,而且有所增加。大体而言,用户的权利包括访问权、更正权、删除权和注销权等。尤其在个人信息的收集、使用、共享等问题上,有了极为细化的表述。此外,为了方便用户阅读,京东的隐私政策还采用加粗或加以红字的形式标出了与用户权益相关的重要条款。
在账户被删除或注销后,京东进一步说明了对个人信息的存储期限。《京东隐私政策修改公告》称,在8月20日生效的版本中,以增强告知或即时提示的方式在收集、使用及共享个人信息时给予用户明示选择权,并在产品设置中允许用户即时撤销授权。同时明确了用户查询、更正和删除其个人信息的方式,且增加了用户账户的锁定/解锁和注销功能,并提供给用户了30日注销后悔期。在一个月的“后悔期”内,用户可以随时申请恢复已注销的账号。
京东方面对此强调,“用户开启这些权限即代表用户授权京东可以收集和使用这些个人信息来实现上述的功能,用户关闭权限即代表取消了这些授权,而京东将不再继续收集和使用这些个人信息,也无法为用户提供上述与这些授权所对应的功能。当然,用户关闭权限的决定不会影响此前基于用户的授权所进行的个人信息的处理。”
对于账户注销功能因账户注销涉及到用户账户权利的放弃,很可能影响到用户的消费者权利。因此京东做了非常审慎的设计和安排,保证注销用户的真实性,注销条件的便利性和有利于消费者维权,还给予消费者30日的后悔期。同时京东还为用户提供了两种账户救援的功能,用户担心账户安全问题,不必注销账户即可保证个人信息安全。一是账户锁定功能:用户遇到账户被盗、异常登录,可立即锁定账户,任何人将无法登录。二是账户下线功能:若手机丢失更换,公共场所登录,立即将账户下线,减少账户被盗风险。
设立个人信息保护责任部门 推进和保障个人信息安全
与此同时,记者在梳理新的条款时还发现,京东在调整的隐私条款中增设“安全事件处置”板块,并明确了相应的救济措施。这是此前国内大多数互联网企业在隐私条款中,普遍缺失的部分。
例如在新版隐私条款中,京东方面强调会从安全技术和内部管理制度上加强了对个人信息保护的力度:采取安全防护措施,如加密技术、保护机制、部署访问控制机制;加强内部管理,定期举办安全和隐私保护培训课程。这些隐私条款还明确指出,当发生个人信息安全事件后,将以邮件、电话、推送通知、公告等方式告知用户事件基本情况、可能产生的影响及补救措施等。同时,还将按照监管部门要求,主动上报个人信息安全事件的处置情况。如因产品自身原因导致用户合法权益受损,承诺将严格按照法律规定承担责任。
京东为此专门还建立了数据安全委员会,推进和保障个人信息安全。并采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。同时还会采用代码安全自动检查、数据访问日志分析技术进行个人信息安全审计。
业界专家齐表态 隐私保护重在多层面推进
针对此次四部门开展的个人信息保护专项行动,北京玺泽律师事务所高级合伙人程贞认为,“这次是个人信息保护路上的一个里程碑”,显示出在《网络安全法》出台后,有关部门对隐私保护的重视程度。而北京大学法学院教授张平也表示,隐私条款作为企业对用户的法律承诺,一方面对规范企业个人信息处理行为具有约束力,另一方面也可保障用户的知情权。对于企业和用户而言,都承担着十分重要的功能。张平教授还表示,希望通过社会中立机构促进企业完善个人信息保护政策和产品服务,寻求互联网企业的自律准则,从而动员更多的社会力量,积极应对大数据背景下的个人隐私问题,积极探究保护个人隐私的方法,适应大数据时代的发展。
另外,许多安全领域的专家在接受记者采访时也表示,在这个信息大爆炸的时代,网络上保留了我们用户太多的个人数据。云服务的兴起可能会让用户的隐秘信息因为某一安全原因而泄露,无论服务商在技术层面做了多大努力,数据的来源始终来自用户自己,因此用户要保护好自己的个人数据,才是真正的万全根本之策。