中国IDC圈1月2日报道:互联网时代,海量数据聚集和挖掘的商业价值不言而喻,然而商业价值和个人隐私保护之间如何平衡,这是所有人都将面对的问题。随着大数据相关应用的日益普及和深入,更多的各类应用程序、更多的数据采集正在不知不觉、随时随地侵入民众的工作和生活。
面对大数据汹涌而来,在顺应市场应用的热潮背后,大数据挖掘与应用的红线在哪里?作为国内在大数据领域先行先试的省份,2015年12月25日,贵州省在北京召开了大数据立法咨询会,邀请全国行业界、法律界、管理界知名专家学者为《贵州省大数据发展应用条例(草案)》把脉,率先启动大数据立法工作,探索与大数据有关的共享、开放、交换、安全等规则规范。而在近日举办的2015中国大数据技术大会上,参加大数据政策法规和标准化分论坛的专家也在观点碰撞中,表达了他们对政策与行业风向的思考。
防范与监督并行
大数据时代的到来,让数据成为站上前台的关键资源和生产要素,数据的主权、安全、保护等问题备受关注。如何从法律法规的角度来规范数据使用行为,值得探讨。
“数据具有原始性和基础性,是实现网络和信息核心技术突破的基石。在关键基础设施和重要领域信息系统中,数据安全尤为重要。”工业和信息化部电信研究院政策与经济研究所法律部主任李海英表示,随着互联网的不断发展,个人信息被储存至云端设备中,网络攻击和超级链接变得日趋复杂。一方面,网络安全受到威胁,各种网络攻击、网络监控、服务中断、未经授权的数据访问、数据泄露、数据窃取等时有发生;另一方面,制度诉求也在逐年升级,涉及网络安全防护、关键信息基础设施保护制度、设备和产品安全、安全审查制度、网络世界与真实世界的连接安全等。
2015年9月,国务院印发《促进大数据发展行动纲要》,意味着大数据已成为国家重要的基础性战略资源。李海英表示,数据资源是国家主权在网络空间领域的重要组成,对数据资源的本地存储、利用、控制、管辖等是网络空间主权的诉求。在中国,数据资源安全的相关制度诉求包括:防范网络攻击和监控,对抗无处不在的网络监控行为;增强国产网络设备和产品的竞争力,防范通过产品和设备的数据收集;加强数据资源的开发利用,实现其巨大经济价值。此外,大数据隐私保护面临着巨大的挑战。过去,在数据收集阶段,数据获取及使用目的须征求用户同意,但大数据的发展使得这种“同意”难以实现。在数据使用阶段,数据可能用于未知的目的而发掘出新的价值,因此,无法满足目的明示及不得用于服务之外目的的原则。近年来,各国在政策上对匿名化做了巨大努力,但并未起到明显效果,因为庞大的新数据时刻被采集,并有更多或更强大的工具来联系着这些数据。
“大数据时代个人信息安全保护有着基本路径。”南京邮电大学信息产业发展战略研究院院长王春晖表示,大数据时代既带来了巨大的经济潜力,又对公民个人信息安全提出了严峻的挑战。因此,大数据时代亟须加强个人信息的法律保护。他预测,未来个人信息保护将寻求动态的安全,即在合法、透明的开发利用中的安全,同时个人信息具有“被遗忘的权利”,须对个人信息设定存储期限。总体来看,当前和未来一段时期我国个人信息安全保护的边界仍在探索中,其基本要义是在确保基本的人格权和隐私权不受非法侵害的基础上,促进个人信息资源在合法、正当、必要法定原则的基础上进行合情、合理、合法的开发和利用。
此外,王春晖还提出了个人数据保护的六种模式,即收集个人数据的目的必须明确;收集与使用个人信息应当透明公开;收集个人数据应当确保数据的质量;托管数据的载体主体应确保个人数据的安全;严禁窃取和交易个人数据;采集和处理个人数据应当知情并同意。
建立规则跟进制度
据了解,《贵州省大数据发展应用条例(草案)》内容主要包括数据的发展应用、共享开放、安全管理等方面,从设立专项资金、融资支持、用地保障、人才引进、税收优惠、数据应用等,对县级以上人民政府及其部门推动大数据发展应用的职责作出了规定。条例中拟规定,公共机构已建、在建信息平台和信息系统应当实现互联互通,不得新建孤立的信息平台和信息系统,禁止设置妨碍互联互通的技术壁垒。同时对数据的采集、存储、共享、挖掘等进行了明确规定,并拟实行公共数据开放应用的负面清单制度。
“施行大数据的立法,我是赞成的。”王春晖表示,在大数据处理中,处理方法和使用规则须公开透明。因为鉴定数据的最初拥有者是否拥有自己的数据,目前仍难以界定。在他看来,大数据科学面临的首要问题是研究对象是什么,数据科学是“大海捞针”,前提是先知道有一枚“针”在海里,而海量数据的挖掘往往不知道有没有“针”。基于大数据对复杂社会系统建立规则,首先进行整体性的研究,也许将为研究复杂系统提供新的途径。
“应针对数据的收集、存储和使用环节建立规则,明确大数据生态中不同主体的责任,促进网络基础设施的发展,开放数据资源、加强网络安全与隐私保护并重。”李海英表示,应对大数据等新技术、新业务带来的网络安全问题,须与实体经济安全相结合进行统筹处理,建立关键信息基础设施安全管理制度,对互联网平台的责任予以明确。一方面,可从事前分类到事中事后风险评估转变,对数据按性质和重要性分类,并建立起数据安全风险的评估机制。另一方面,数据安全的管理,可从关注数据本身到关注数据资源整体的安全,加强对处理数据主体的关注,限制特定类型的主体从事相关数据分析。此外,还应建立大数据商业利用的原则,建立健全数据资源交易机制和定价机制,规范交易行为。可将常用于专利领域的FRAND(公平、合理、非歧视)原则引入数据商业利用领域,以避免形成数据垄断。当然,也要加强数据时代的隐私保护,加强使用前评估,对用户个人信息的新使用须评估其潜在危害,且针对潜在威胁制定相应的保障措施。加强事后追责,将关注重点从收集转向使用环节,由原有“告知与同意”框架,调整为强化原有框架基础上,更加注重事后责任的解决方案。