本文作者:苏宁金融研究院研究员李加庆,题图来自:视觉中国
如果你曾经受过垃圾电话或者垃圾信息的骚扰,那么很可能你的个人信息已经被卖了。个人隐私信息,特别是个人身份、银行账号、人脸/指纹等生物特征信息泄露的危害极大,轻则垃圾短信、垃圾邮件不断,重则诈骗/栽赃找上门。
一、你的隐私值多少钱?
据说几毛钱就能买到你在外卖平台的个人信息和账单详情,不到2元就能拿到你在网上购物的详情和偏好以及网络借贷的信息。
如果有人向你当面出价购买你的基本信息和消费记录等个人隐私数据,多高的价格你会同意出售呢?可能再高的价格也不会同意吧,甚至出价越高,越会让你感到不安。
在旅游景点或者购物中心等人员密集的地方,经常有商家免费送礼品,只要留下身份证号、手机号、姓名等信息,或者用微信扫一扫就可以拿走价值几元的礼品,这种时候往往会看到男女老少趋之若鹜的场景。
很多人态度上极为关注隐私,然而在做法上又不那么注重隐私,这个现象叫做“隐私悖论”。哈佛大学的研究员Dan Svirsky做过一项调查,当受访者被直接问及是否愿意将Facebook的个人资料以50美分到2.5美元不等的价格出售时,超过64%的人选择拒绝。然而,当Dan Svirsky改变策略,让受访者需要打开一个新的页面来确认该调查是否涉及到个人信息时,拒绝分享数据的人数下降到40%。
前些天,李开复的“口误”捅了企业数据隐私这一敏感话题的马蜂窝。在全球创业者峰会(HICOOL)的一个演讲中,李开复提到曾经在“早期帮助旷视科技寻找了合作伙伴,让他们拿到了大量人脸数据……”。这番话很快引来了热议,涉事公司很快做了澄清,李开复本人也随后在微博做了致歉。
这个事件很快在网上发酵,各种关于人脸识别应用涉及公众隐私的声讨文章,以及公众该如何注重隐私的文章,一时间如雨后春笋般出现。在共情效应以及人们回避风险的本能驱动下,每当有类似涉及隐私数据泄露的话题,公众对于隐私问题会立刻开始重视起来,并且将舆论热情冲到一个高峰。
二、隐私无价,有法律保护
我们身处一个数据时代,在我们每一天的生活当中,无时无刻不在与数据打交道,大量的数据应用围绕着我们人的行为做文章。从早上一睁眼开始,我们每个人都在产生数据,早晨的起床时间、上下班路上骑共享单车去公交地铁站的位置路线、公交地铁或者打车出行的行程信息,在公司吃饭点的外卖、饮食习惯和偏好,以及一整天刷手机的各种浏览Cookie信息等等,这些都是我们的行为产生的数据,并且被商家利用起来推送广告和服务。
正如我们开头说的“隐私悖论”,我们大部分人是不愿意出售自己的隐私信息的,讽刺的是,在移动互联网的今天,我们却坦然接受各种APP提供的免费产品和服务,同时免费奉上自己的个人信息,甚至当APP要获取手机定位权限、通讯录权限、相机权限、麦克风权限,甚至读取手机已安装APP信息的权限的时候,眼都不眨一下就点击同意了,更别提APP弹出的冗长晦涩的《用户协议和隐私保护协议》,阅读是不可能阅读的,这辈子都不可能阅读的。
移动互联网时代,每天的生活都要跟各种APP产品打交道,想要做到完全隐私,根本不可能,除非不用互联网和智能手机。在数据经济时代,单靠个人的谨慎是很难做到隐私保护的,也不能因噎废食回到没有互联网的旧时代,随着互联网、大数据、人工智能和实体经济深度融合,数据即“石油”,数据也成为很多企业发展的基础。
一条条的数据可能会被标上价格在黑市贱卖,而个人的隐私却是无价的,现在隐私数据被滥用的“代价”也的确很高。个人隐私的保护还得依赖法律法规和监管,随着2018年欧洲GDPR的出台,企业不得不正视公司运营涉及的公众隐私数据,如果管理不善可能带来巨额罚款。
美国政府和欧盟监管机构已经对互联网公司侵犯隐私权的行为进行调查,美国联邦贸易委员对Facebook包括“英国剑桥分析公司事件”在内的侵犯隐私行为开出了50亿美元的罚款单,创造了美国政府机构企业罚款的历史最高纪录。
GDPR是欧洲通用数据保护条例的简称,出台两年多,现在已经是数据各行各业无法绕开的隐私管理规范和准则。GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响。世界各地的公司,无论在地球上哪个地方进行公司数据存储和处理,只要在欧盟成员国境内开展业务,就必须保护欧盟成员国民众的个人资料与隐私,就算公司业务范围不在欧盟境内,但只要公司有任何来自欧盟成员国的客户,也必须遵守GDPR。
GPPR保护的范围至少包括与你相关的以下类型的隐私数据:
基本的身份信息,如姓名、年龄、家庭地址和身份证号码等;
网络数据,如定位信息、IP地址、浏览器Cookie数据等;
医疗健康数据;
生物识别数据,如人脸、指纹、虹膜等;
种族或民族数据;
政治观点;
性取向。
国内对数据安全与隐私保护的重视程度也逐渐向国际接轨,在2020年4月国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》中,数据被纳入生产要素的范畴,《意见》还提到要“加强数据资源整合和安全保护”。
今年6月28日,第十三届全国人大常委会第二十次会议审议了《中华人民共和国数据安全法(草案)》(简称《数据安全法》)并随后面向社会征求了意见。《数据安全法》强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益的全面保护。数据安全已成为事关国家安全与经济社会发展的重大议题。
相较于《数据安全法》更关注数据安全对于国家安全的意义,即将在2020年10月1日实施的GB/T 35273-2020《信息安全技术 个人信息安全规范》(简称《规范》)则更侧重于对个人信息、隐私等涉及公民自身安全的保护,它是对2018年开始实施的GB/T35273-2017《信息安全技术 个人信息安全规范》的修订,除了对个人信息的收集、储存和使用做了明确的规定,还将重点打击APP的“强制索权、捆绑授权、过度索权、超范围收集”等现象。
其实,关于隐私立法早已有之,只不过在数字时代之前,隐私数据问题不突出,相关的法律体系还不成熟。欧洲国家最早开始重视隐私的保护,随着国际化和互联网技术的发展,欧盟对于隐私保护的强烈需求成为世界隐私保护的主要推手,GDPR将隐私保护推到了一个前所未有的高度,目前已经有近百个国家和地区制定了关于隐私保护的法律。
三、隐私安全:“达摩克利斯之剑”
从GPPR屡屡开出的巨额罚单,到李开复的“口误”道歉风波,无不暗示了当下隐私安全已经成为悬在企业头上的“达摩克利斯之剑”。随着大众不断觉醒的个人信息保护意识,隐私保护已经不是企业做不做的问题,而是如何做和怎么做好的问题。
人工智能、大数据、云计算和5G等新兴科技的发展正在推动很多企业进行数字化转型,数字化转型既带来机遇也带来挑战,隐私保护便是企业数字化转型之路上最严峻的挑战。隐私保护不力将会给企业带来巨大损失,轻则产品下架整改、名誉受损,重则颠覆既有商业模式,甚至导致企业主要负责人承担刑事责任。前不久,工信部便下架了23款APP,原因是侵害用户权益,且未按要求完成整改。
从今年开始,对于侵害用户隐私权益的打击力度是空前的。自从工信部去年11月份发布《开展APP侵害用户权益专项整治工作的通知》以来,已经通报下架数批侵害用户权益的APP,具体下架APP的名单在工信部网站上均可以查到。目前,工信部每月开展常态化APP抽查,这些APP主要在四个方面受到工信部的审查和整治:
违规收集用户个人信息;
违规使用用户个人信息;
不合理索取用户权限;
为用户账号注销设置障碍。
APP是获取用户最直接的入口,从对APP的整治力度可以看出目前国家层面对于数据安全以及用户隐私数据的监管逐渐趋严,从国内国外看,这也是整个数据产业的大趋势。企业作为数据的收集方、使用方、存储方,隐私保护当仁不让的责任主体,为了适应监管,为将来的发展满足合规要求,企业必须提高自身的隐私风险管理能力。
四、隐私风险管理
有人将隐私问题归罪于技术,认为是人工智能、大数据等新技术创新带来了隐私泄露、滥用等问题,持这样观点的人认为解决隐私问题需要从限制技术的使用入手。这样的观点是很正常的,然而从历史的进程中我们发现,技术的创新和更迭是一个不断自我完善的过程。汽车刚出现的时候,经常出现安全事故造成人员伤亡,但是人类并没有放弃这项技术,而是通过安全气囊、红绿灯、斑马线、交通法规等技术和管理上的创新,来规避风险和减少伤亡事故。
人工智能和大数据等技术创新与隐私保护并非硬币的两面,不是对立的关系,只不过新技术的推动将以前的隐私问题从线下搬到了线上,如果回到十几年前来说隐私问题,你想到的关键词可能是偷窥、狗仔队等等,现在说隐私问题,关键词变成了数据:定位数据、消费数据、生物特征数据、浏览器Cookie数据等等。
隐私安全问题恰恰反映技术创新和管理创新的不足。新技术时代,我们对于隐私问题的认识不能停留在以前,不可能通过捂着藏着来解决隐私问题,我们也不需要回到没有互联网的旧时代。现在新技术的创新也正在隐私保护的路上不断探索。
技术的创新和迭代需要时间,隐私保护还需要从管理上进行创新,对于企业来说,隐私风险管理其实就是隐私合规风险管理,企业需要将隐私风险管理纳入企业的风险管理框架中,以提升企业的全面风险管理能力。
美国国家标准与技术协会(NIST)在今年年初发布了一个针对隐私风险管理的框架:《NIST隐私框架:通过企业风险管理来提升隐私的工具》。该框架不是法律也不是标准,它定位为一个用于企业隐私风险管理的工具,旨在帮助企业定义隐私目标,识别隐私风险,优化个人信息的使用,同时限制侵犯隐私的行为。该隐私框架可适用于各种规模的企业,不局限于特定的技术、行业、法律或司法管辖区域,框架通过采用比较通用的方法(即适用于企业数据处理生态系统中的各种角色)来帮助企业进行隐私风险管理,比如:
对于影响个人的系统、产品、服务,在设计和部署时将隐私考虑在内;
对于隐私的实践进行沟通;
鼓励企业各类人员(比如高管、法务和信息技术人员)在配置开发、实施层级选择以及成果实现的过程中进行协作。
该隐私框架分为三个部分:核心、配置以及实施层,每个部分通过业务或任务驱动、组织角色和责任以及隐私保护活动之间的联系来加强企业对于隐私风险的管理。通过沟通和协作机制,来加强企业的隐私管理流程与问责。
隐私是一个发展的概念,隐私的定义不是一成不变的,隐私始终在随着社会的进步而不断发生变化。不同的技术发展阶段,隐私的内容和形式不相同,对于隐私保护的方法也不同。随着技术手段和管理模式的不断创新,相信对于隐私的保护也越来越完善,企业也只有紧跟潮流,积极主动做好隐私风险管理,才能在“达摩克利斯剑”之下安然无恙。
本文作者:苏宁金融研究院研究员李加庆
免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。涉及到版权或其他问题,请及时联系我们。