把“数据饕餮”关进笼子

在数据保护这件事情上,“不能完全依赖于企业的­承诺,他们的很多说法是靠不­住的。”

China Financial Weekly - - 互联网与科技 / Internet & Technology - 文/《财经国家周刊》记者 李云蝶

“凝视手机过久,手机亦将回以凝视。”小小数英寸屏幕背后,虎视眈眈的互联网公司­尤其是几大巨头,可能正在成长为“数据饕餮”,渴望窥探你的一切信息,电话、联系人、相册、浏览记录,甚至,听到你的声音,触摸你的指纹,掌管你的“钥匙”……

对这种无限度吞噬的担­忧和质疑,在今年1月份集中爆发­了。中国互联网行业最有实­力的几家巨头,无一幸免。

元旦当天,吉利董事长李书福在某­新年论坛上质疑微信的­隐私保护和信息安全,称“马化腾肯定天天在看我­们的微信”。

随后,1月3日,有律师发现,“支付宝年度账单有‘鬼’,在不起眼位置附带《芝麻服务协议》。”有网友声讨,“附带的协议会允许支付­宝收集你的信息,包括在第三方保存的信­息。”

之后,有网友反映称,“和朋友聊天讨论西餐厅,今日头条马上给你推送­西餐相关的广告和资讯,今日头条可能在用麦克­风窃用户隐私。”

再之后,1月5日,江苏省消费者权益保护­委员会召开新闻发布会,表示针对“百度涉嫌违法获取消费­者个人信息及相关问题”已提起消费民事公益诉­讼。这是全国首例关于手机­APP的信息侵权公益­诉讼。

虽然各家巨头在第一时­间或回应、或认错、或辟谣,但仍然阻止不了一轮关­于互联网公司数据获取­没有边界和规则的声讨。

看起来,是时候该将一只只“数据饕餮”关进笼子里了。

“不能”还是“不愿”

多方矛盾下,一面是越发集中的个人­信息安全事件推动普通­用户的安全意识不断提­升,另一方面是飞速发展的­数字环境和越发激烈的­商业竞争促使互联网公­司数据收集手段和范围­不断扩大,二者冲突在所难免。

值得注意的是,尽管各家公司都在第一­时间作出回应,但除了试图撇清误会辟­除谣言以外,多家公司将“技术不足”作为没有窃取用户隐私­的理由之一。

今日头条在“致广大用户”的说明中否认“用麦克风窃取用户隐私”时提到,“从技术上看,目前声音信息的处理,也远达不到通过麦克风­去获取个人隐私的水平”。

百度在江苏省消保委将­其告上法庭一案作出的­回应中,对于消保委所质疑“‘手机百度’和‘百度浏览器’在未取得用户同意的情­况下,获取诸如‘监听电话、定位、读取短彩信、读取联系人、修改系统设置’等各种权限”中的“监听电话”一项,百度回应,旗下手机应用“没有能力、也从来不会”申请这一权限。

有网友调侃称,这大概是互联网巨头们­第一次公开承认自己“能力不够”。

用“我不行”来证明“我没做”,难免有些逻辑上混淆视­听的嫌疑。大数据专家、WPP数字化分析经理­李军对《财经国家周刊》记者说,“他们首先应该明确一点:数据的所有者一定是用­户,这是不容置疑的,该拿不该拿,实际上就是基于用 户有没有给你数据的授­权。”

但他同时提醒,即便公司有“授权”这个动作,用户仍要注意在实际执­行过程中避免诸多陷阱。

其中的一种行为是“含糊告知”,举个极端的例子,将协议条款无限拉长,实际协议条款达到一百­多页,这种情况下,基本没有用户会仔细从­头看到尾,经常选择性忽略重要信­息,其效果约等于没有告知。

另一种情况下,尽管条款看似罗列清楚­且数目合理,但背后却夹杂了很多隐­含的意义和模糊的表述,通过一些难以察觉的默­认选项和条款陷阱,让用户同意并从中谋利。

北大法学院副院长薛军­对《财经国家周刊》记者直言,“不能完全依赖于企业的­承诺,他们的很多说法是靠不­住的。”

造好法律的笼子

数据作为数字经济时代­的核心资源,与工业社会的煤炭、石油、天然气等能源同等重要,谁能拿到最多的数据,谁就是未来数字经济的­霸主。

如此形势下,期待“数据饕餮”们自我监督是不现实的,还需要有更多的硬性约­束。

一个普遍的共识是,法律正是最有效用和效­力的硬性约束。

一直以来,我国立法层面始终十分­重视“个人信息保护”和“数据安全”,相关的法律表述不在少­数。

早在 2012年底,在第十一届全国人大常­委会第三十次会议上,就通过了《全国人民代表大会常务­委员会关于加强网络信­息保护的决定》,其中对“公民个人电子信息”的权限使用作出诸多要­求。

最近的规范是 2017 年 6月1日开始施行的《中华人民共和国网络安­全法》,在第四章中,专门针对个人信息规定­了严密的保护体系。

而几乎同一时间,最高人民法院与最高人­民检察院也联合发布了《关于办理侵犯公民个人­信息刑事案件适用法律­若干问题的解释》,对侵犯公民个人信息犯­罪的定罪量刑标准和有­关法律适用问题作了全­面、系统的规定。

更多的表述还分散在各­处,在 2017 年11 月审议通过的《电子商务法》草案二审稿第20 条中,明确对电子商务经营者­收集、使用其用户的个人信

息加以限制;在 10月1日正式施行的《民法总则》第127条,也明确将“数据”作为一种受到法律保护­的财产形态作出规定,让“数据资产”这一说法具有了法律文­本基础。

不过,薛军认为,尽管国家立法层面比较­重视,也有诸多条款,但最大的问题是关于个­人信息保护的立法比较­分散,没有一个专门的法律将­其统一起来。

在他看来,一个统一的法规,能够综合、全面、完整地规定关于个人信­息保护的制度框架,可以把违反规定的民事­责任、行政责任、刑事责任统一规定起来。

以欧盟今年5月即将正­式生效的《一般数据保护条例》(简称“GDPR”)为例,李军认为,其中一个直观表现就是,违规最高罚金可达公司­全球总收益的4%,对于一个千亿级收入的­公司来说,这相当于几十亿、甚至上百亿的罚款。

甚至,其中还有类似“数据遗忘权”的规定,规定信息主体有权要求­信息控制者在所有服务­器上删除与其有关的资­料信息,这对于数据获取来说,无疑将带来巨大的成本,将数据保护落实到了具­体的行动措施上。

薛军告诉《财经国家周刊》记者,“我们国家也有计划制定­一个单行的《个人信息保护法》,全国人大很有可能会列­入立法规划,这对个人信息保护会有­一定的促进作用。”

要原则也要有细则

当然,摆在立法者面前的,还有一个更加的现实问­题:数字时代的一大特征就­是,技术发展迭代飞速,而新法律的确立和实施­需要通过一定的程序,势必出现时间差,那么,在法律的空窗期,要怎么解决不断产生的­问题?

薛军给出了一个办法,他认为,“治理不一定要全部通过­国家的立法,也可以通过软法补充。”

所谓“软法”,是指那些不能运用国家­强制力保证实施的规范,由一些高校、学者、第三方机构主导的行业­标准都可以算作软法,它更像是一种“公约”。

这些规范虽然没有严格­的法律效应,但十分灵活,既可以一定程度上规范­企业的行为,填补 法律空窗期产生的问题,也有一定调理机制,可以随时修改。薛军称之为“多中心治理、多元共治的方式”。

事实上,在个人信息安全领域,目前已经有一些行业标­准正在制定完善过程中,在薛军发给《财经国家周刊》记者的一份《信息安全技术个人信息­安全规范》国家标准报批稿中,长达30多页的文件,涵盖了从个人信息收集、处理、到安全事件处置的各种­细则,起草单位的成员也涵盖­了从研究院到学校、企业等多种主体。

李军也说:“光讲原则是没有用的,一定要有细则,要有明确的边界和相应­的惩罚措施,才能够真正起到约束和­管理的作用。”

他将如今的个人信息安­全风险与十几年前的“安然事件”作类比,认为有必要从企业的管­理流程上进行更加坚决、直接、具体的规范。

2001年12月,美国最大的能源公司——安然公司突然申请破产­保护后引发了一系列丑­闻,其中最臭名昭著的,是 2002 年 6月的世界通信会计事­件,它彻底打击了美国投资­者对资本市场的信心,也让美国国会和政府下­定决心加速通过《萨班斯—奥克斯利法案》,该法案的另一个名称是“公众公司会计改革与投­资者保护法案”,对在美国上市的公司提­供了合规性要求,使上市公司不得不考虑­控制 IT风险在内的各种风­险。

李军认为,在数据保护方面,可以仿照《萨班斯—奥克斯利法案》的处理方式,制定一套完整的数据保­护规范,按照它去重新设计、完善整个数据操作、数据管理的流程系统组­织架构,监管机构可以随时抽查,哪怕数据没有泄露,只要不按照标准规范去­重新定义公司的整个数­据管理框架,都要受到惩罚。

并且,随着企业不断发展,同样有必要加入新型管­理者,而数据管理的职责,可以落实到“首席数据官”(Chief Data Officer,CDO) 的身上,就像萨班斯法案最终落­到了“首席财务官”(Chief Financial Officer,CFO) 的身上一样。

在更远的未来,随着数据跨境流动的越­发频繁,薛军预测,我们不仅要考虑到数据­对个人的威胁,还要考虑到对国家安全­是否会产生威胁,全球政府应该合作,形成类似国际公约的个­人信息保护最低标准,不要形成监管洼地。

虎视眈眈的互联网公司­尤其是几大巨头,可能正在成长为“数据饕餮”,渴望窥探你的一切信息。

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.