自从美国社交网络巨头脸书被爆泄露用户数据之后,在大数据时代的个人隐私安全成为全球关注的热点话题。而近日中国一位互联网大佬有关“中国人愿用隐私换便捷和效率”的说法更是引爆了中国各界对于隐私保护的讨论。在当前个人信息高度数据化的时代,个人还有真正隐私吗?从国家、社会、企业、个人等多个维度应该怎样来保护个人数据安全呢?《环球时报》记者就此专访了多位国内信息安全领域知名专家。
大数据时代,我们都在“裸奔”?
在大数据高速发展的时代,隐私似乎正在成为一个细思极恐的话题,正如网上一个很著名的说法:大数据时代,人人都在“裸奔”。那位国内互联网大佬的说法虽然在互联网上引起中国网民的强烈反弹,但某种程度上也反映了隐私保护的部分现状。
新加坡《联合早报》网28日《从“泄露门”到“隐私论”》一文的作者表示,来到中国一年,日常生活中是手机上点外卖、打车、导航、购物等功能的高效运作和无缝衔接。虽然每次输入个人信息前总有一丝犹豫,但一想到可以坐沙发摇着脚等晚餐送上门,仿佛就不必过多思索,一五一十地输入个人资料就是了。该文章称,在科技的巨大便利面前,个人隐私确实贬值了。不难想象,当无现金支付、刷脸等绑定个人信息的科技越来越无孔不入,只要用户所享的便利大于输入个人资料的繁琐,一般民众也难有太大的抵抗力。
中国网络空间战略研究所所长秦安对《环球时报》记者表示,这次脸书暴露出的安全隐患,在世界范围内普遍存在,国内也相当严峻。目前具代表性的安全现状,就是个人信息掌握在关键企业手中,既缺少国家层面的保障,也缺少法律层面的措施。网络隐私权法律专家王铖对《环球时报》记者表示,个人隐私的概念已经和从前不一样了,需要受到保护的范围在变化,过去认为需要保护的信息其实已经没法保护,而应该要保护的重点可能没有保护到。
秦安认为,要对个人隐私有全新认识,比如个人的姓名、电话、QQ号很可能通过各种途径公开,但与个人关联的银行卡号码、衣食住行信息则是必须保护的隐私。
王铖认为,数据采集在日常生活中无处不在,浏览网页、摄像头、面部识别等。其中危害性大的是生物特征的收集与滥用。与密码不同,指纹、虹膜以及DNA等数据是无法更改的,因此它们一旦被泄露和滥用,危害无可挽回。同时,他也认为,有人可能患有高血压、糖尿病等疾病,这些隐私是可以通过你的购物、位置等信息被收集者判断出来的,甚至还会被企业进行针对性营销。某些信息可能会降低社会对个人的评价,但目前我国法律对此还缺乏相应保护。
保护隐私,个人真的无能为力?
在面对强大的大数据采集与分析能力时,个人信息安全变得非常脆弱,那我们每个人能做点什么呢?
比如记者在手机上安装一个应用程序时,往往要求提供几乎所有的权限,比如位置信息、读取短信、调用通讯录、开启摄像头等。然而软件开发者并没有明确说明这些权限的使用用途。
中国知名信息安全专家、360首席隐私官谭晓生28日对《环球时报》记者表示,这可能存在几种可能性,一种可能是开发人员为了方便就很粗暴地一次性把所有权限都要到,为今后程序升级与功能增加预留可能涉及的权限;另一种情况是开发者有意要多收集用户信息,因为数据可以用来进行大数据分析,数据量越大进行用户画像的准确率就越高,所以就可能为了商业利益去收集业务不需要的客户数据。比如一款订餐软件,要求使用用户的位置信息是合理的,这可以帮助用户查找周边餐馆,并方便为用户送餐。但其他权限在产品服务过程中未必是必需的,比如读取短信、使用通讯录等都值得商榷。那是否可以通过每次使用时确认权限等方式来保护个人数据呢?谭晓生认为,这可能会带来用户体验与便利性的极大下降,可能不是最理想的解决方案。
一位不愿透露姓名的知名中国信息安全专家对《环球时报》记者表示,在个人隐私保护中,用户确实比较无能为力。如果是单一用户,无法和技术高深的黑客、拥有数据的互联网大公司对抗。他认为,从用户群体角度看,群体是可以参与制定规则的。国家越来越重视个人信息保护就反映了大众呼声。
专家为隐私保护支招
前文中提到的匿名专家认为,未来数据一定会被更多的采集,数据未来会应用在医疗、教育、社会治理等各个方面。数据本身无罪。问题不在于数据是否被采集,而是数据使用时是否侵犯隐私,能否找到合适的方式让大数据在被应用时有效保护个人隐私。
他认为,在信息采集阶段靠用户知情同意不一定是最佳方法。信息采集只是第一关,后期用户应该有权利对采集方提出要求,哪些可以用,哪些可以怎么用,这样才能根据不同人对隐私的理解做出分类处理。他认为,数据安全领域需要处理的重点在数据采集后的环节:应用、共享、销毁等。例如,数据存储在互联网公司中,即使有权限的人也不能滥用,只有在用户提出请求时才可以访问。可以通过第三方监督,使非法利用数据的行为无法隐藏。此外,精准营销等大数据加工分析中,整体方案也需要审核。比如,技术上可以针对用户精准营销,但后台没法看到具体用户的信息。
王铖认为,由于网络购物、移动支付的发展,中国大数据领域走在全球最前端,我国的相关立法已刻不容缓。目前第一步是要在生物特征保护方面加强立法,比如手机的指纹识别技术,指纹信息是否会上传回厂商、是否得到妥善保管、是否会被利用,这些都需要有规定。一旦违反,必须严惩。其次,需要加强对个人网络数据的保护立法。法律应明确规定,哪些能采集,哪些不能采集,哪些能保存,哪些不能保存。
秦安认为,目前个人隐私的保护主要是国家立法,企业自律和个人防护三位一体。从国家层面来看,中国去年生效的《网络安全法》是一个基本法、总框架,关于数据的跨境流动、数据基础设施的保护等法律都在制定中。国家要加大对企业的处罚力度,让企业为自己的行为付出代价。此外,还要加强个人网络安全意识的培养,我国个人网络安全的教育普遍缺乏。