當前位置:
首頁 > 最新 > 這項新規五一正式實施,馬雲、李彥宏準備好了嗎?

這項新規五一正式實施,馬雲、李彥宏準備好了嗎?

最新 04-23

中國經濟周刊微信號:ChinaEconomicWeekly

《中國經濟周刊》記者 銀昕|北京報道

責編:陳惟杉

(本文刊發於《中國經濟周刊》2018年第16期)

長久以來,互聯網時代的隱私問題就像一頭「灰犀牛」,人人都可以看到它,但大家都在有意無意地忽視它。百度公司董事長李彥宏關於中國人願意讓渡自己的隱私以獲得更多便利的發言固然刺耳,但在現實中又有多少人會在使用APP前認真閱讀其使用個人信息的協議呢?

在互聯網時代,個人信息包含的內容正在變得越來越廣泛,除了個人身份信息、個人財產信息等人們較為熟悉的內容外,還包括個人生物識別信息、網路身份標識信息、個人通信信息、聯繫人信息、個人上網記錄、個人常用設備信息、個人位置信息等等。

如今,每個人都在或主動或被動地泄露著這些個人信息:在家中陽台拍一張照片發到朋友圈可能就會泄露你的家庭住址,周末外出就餐時在APP上「打卡簽到」也會向外界透露你的行蹤……除了這些無意間泄露的信息外,為了獲取更為便捷的服務,我們將自己的大量信息交到互聯網企業手中,但卻很少考慮它們被泄露、被濫用的可能。隨著互聯網企業對我們的「畫像」越來越精準,我們在渾然不覺間已經變成了「透明人」。

但2018年以來的一連串事件卻刺痛了人們本已麻木的神經,從「支付寶年度賬單事件」到Facebook用戶數據被濫用,人們感受到自己的隱私被侵犯,在網路世界失去了安全感。但在人們的生活已經難以離開互聯網與各種APP的當下,我們又能怎麼辦?

各國的監管者也在面臨同樣的問題,如何通過法律法規與技術手段更好地保護人們的隱私?正在人們愈發關注隱私問題之時,5月1日起,推薦性國家標準《信息安全技術 個人信息安全規範》正式實施,對目前互聯網行業取得用戶個人信息時發生的「默認勾選」「最小化原則」以及「跨界融合」三大常見問題進行了詳細規定。

當企業有了可以參照的標準,接下來的問題就是距離達到標準還有多遠?那些掌握著我們個人信息的企業有能力保護好它們嗎?而一些「任性」慣了的互聯網巨頭們又願意不再「任性」地使用我們的個人信息嗎?

從支付寶到Facebook,「清算」互聯網企業「原罪」

>>信息泄露醜聞把扎克伯格拽出福布斯富豪榜前五位

4月10日、11日,Facebook首席執行官扎克伯格連續兩天參加美國國會聽證會,在10個小時的時間裡,他一個人面對議員們潮水般的問題——

Facebook是否願意改變該平台的默認設置並收集儘可能少的用戶數據?

公司是否從未登錄Facebook的設備中收集數據?

俄羅斯是否利用大量Facebook主頁在2016年總統大選期間散布假新聞?

……

扎克伯格一改往日T恤搭配牛仔褲的穿著,換上一套西裝的他說的最多的詞便是「道歉」與「責任」,這位33歲的Facebook創始人需要化解可能是公司成立以來最大的一次危機。

這場危機曝光於2018年3月,簡而言之,超過5000萬Facebook用戶的信息被一家成立於2013年,名為劍橋分析(Cambridge Analytica)的公司獲取,在用戶不知情的情況下,劍橋分析向這些用戶精準投放廣告內容,幫助特朗普在2016年競選美國總統。

Facebook用戶的數據又是如何流入劍橋分析手中的呢?其來源就是那種人們在社交媒體上經常見到,甚至樂於參與的性格測驗。劍橋大學研究人員亞歷山大·科根(Aleksandr Kogan)於2013年開發了一款性格測試的應用,截至2015年,科根不僅獲取了千萬用戶信息,同時還將這些信息分享給了劍橋分析。Facebook已於2015年屏蔽了科根關於性格測試的應用,並且敦促科根和劍橋分析刪除用戶信息,其當時應允刪除,但Facebook並未跟蹤調查其後續是否兌現允諾。2018年3月,媒體曝光劍橋分析並沒有像3年前承諾的那樣刪除幾千萬用戶的信息,同時造成了信息泄露。

在醜聞爆發後,Facebook股價3月19日、20日連續大跌,兩日市值蒸發500億美元。據測算,扎克伯格兩日財富蒸發超80億美元,他也因此跌出福布斯富豪榜前五位。

值得注意的是,此次Facebook事件的關鍵並不在於數據資產本身被盜用或泄露,問題發生在應用層,與其說是泄露,不如稱之為用戶的數據被第三方濫用。

在3月底扎克伯格對事件首次做出回應時便表示:「這嚴重觸犯了用戶對我們的信任,我十分抱歉,現在正在採取一系列措施確保其不會再次發生。」他表示,Facebook團隊已經阻止了像劍橋分析這樣的程序獲取如此多的個人信息,目前也正在減少用戶使用Facebook時被獲取的個人信息。並且,臉書目前正在調查每一個從Facebook手中得到數據的程序,「我們預計除了劍橋分析外還有其他程序,我們將阻止他們並告知所有受影響的人們。」

就當Facebook與扎克伯格因為第三方應用濫用用戶數據而備受煎熬之時,用戶隱私問題也成為國內輿論關注的焦點。

當地時間2018年4月10日,美國華盛頓,Facebook公司創始人兼CEO扎克伯格出席美國參議院商業、科學和運輸委員會及司法委員會聯席聽證會,為Facebook「泄密門」作證。(視覺中國)

>>李彥宏言論遭抨擊:誰說中國人不關注隱私問題

「我想中國人可以更加開放,對隱私問題沒有那麼敏感,如果他們願意用隱私交換便捷性,很多情況下他們是願意的,那我們就可以用數據做一些事情。」3月26日,百度公司董事長兼首席執行官李彥宏在參加中國發展高層論壇時發表了上述言論,隨即引發了對個人信息保護問題的討論。

這段事後招致猛烈抨擊的話有斷章取義的成分,李彥宏更完整的表達還包括:百度當下會更加註重隱私問題,我國也在加強法律法規的建設,「我們要遵循一定的原則,如果數據會使使用者受益,他也願意,我們就會去做。」

中國人對於隱私問題是否足夠敏感可能難以判斷,但可以肯定的是,進入2018年以來,中國的互聯網用戶比以往更加關注個人隱私問題了。

2018年1月初,江蘇省消費者保護委員會向百度提起一則民事訴訟,指百度旗下APP涉嫌「監聽電話、定位」。隨後,百度召開媒體溝通會,強調旗下APP不會、也沒有能力監聽電話,同時百度APP敏感許可權均需授權,且用戶可自由關閉。

話雖如此,但在1月11日,北京百度網訊科技有限公司、螞蟻金服集團公司(支付寶)、北京位元組跳動科技有限公司(今日頭條)3家企業由於相關手機應用軟體存在侵犯用戶個人隱私的問題被工信部信息通信管理局約談,被指對照網路安全法等有關法律法規,3家企業均存在用戶個人信息收集使用規則、使用目的告知不充分的情況,要求3家企業本著充分保障用戶知情權和選擇權的原則立即進行整改。

>>個人信息保護不力,支付寶收到央行18萬元罰單

相比於百度,今年更受輿論關注的是支付寶「年度賬單」事件。2018年元旦前後,支付寶推出了一項為用戶提供2017年用戶個性化賬單的服務,不少人都在朋友圈曬出了自己的賬單,但北京市岳成律師事務所高級合伙人岳屾山律師卻看出了其中的「漏洞」,他最初在微博上質疑稱,支付寶年度賬單首頁的「我同意《芝麻服務協議》」和此賬單的生成沒有必然聯繫,當用戶不同意該協議時,依然可以生成自己的個性化賬單,但如果用戶沒有注意到,就會直接同意這個協議,允許支付寶收集信息,包括在第三方保存的信息。

芝麻信用管理公司隨即發布「關於支付寶年度賬單首頁《芝麻服務協議》的情況說明」,對公眾表達歉意並稱已經調整頁面,取消默認勾選。

「多年來中國的互聯網企業對個人信息的保護意識不夠,可以說犯著對消費者的『原罪』一路走來,現在是時候對之前的做法進行大的調整了。」中國人民大學金融科技與互聯網安全研究中心主任楊東在支付寶「年度賬單事件」發生後對《中國經濟周刊》記者表示,該事件的轉折意義在於,社會大眾此前對自身個人信息是否被互聯網企業濫用漠不關心,只顧享受更方便的服務而無條件地提供個人信息給企業。隨著該事件的發生,消費者對個人信息安全的保護意識旋即提升。

其實,個人信息的不當使用和保護不力一直是網路經濟中的頑疾。2016年發布的《中國個人信息安全和隱私保護報告》稱,超過七成受訪者認為個人信息泄露問題嚴重;多達81%的人收到過對方知道自己姓名或單位等個人信息的陌生來電;53%的人因網頁搜索、瀏覽後泄露個人信息,被某類廣告持續騷擾;在租房、購房、購車、考試和升學等個人信息泄露後,受到營銷騷擾或詐騙的高達36%;有26%的人每天收到兩個以上的垃圾簡訊,20%的人近一個月來每天收到兩個以上的騷擾電話。

人們每天瀏覽的網頁,使用的手機APP可能正是泄露個人信息的一大源頭。

2017年12月,南都個人信息保護研究中心發布了《2017個人信息保護年度報告》,在研究了1550家網站和APP的隱私政策後得出結果,平台隱私政策透明度的分布呈陡峭的金字塔形,即透明度高的極少,透明度低的則超過總數的80%,互聯網金融類和購物類中透明度低的佔比甚至高於90%,參評平台的隱私政策普遍存在用戶權利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。

2018年3月,中國人民銀行杭州中心支行對支付寶做出行政處罰,因為在客戶權益、產品宣傳及個人信息保護等方面存在違法行為,支付寶收到18萬元罰單。

「默認勾選」「最小化原則」「跨界融合」

2018年1月10日,國家互聯網信息辦公室網路安全協調局約談「支付寶年度賬單事件」當事企業,即螞蟻金服負責人。網路安全協調局負責人指出,支付寶、芝麻信用收集使用個人信息的方式,不符合即將於5月1日實施的「個人信息安全規範」國家標準的精神,也違背了螞蟻金服與其他企業在2017年9月共同簽署的個人信息保護倡議書的承諾。

其實,彼時「個人信息安全規範」並未正式生效,但已成為有關部門監管時的重要依據。

2017年12月,推薦性國家標準《信息安全技術 個人信息安全規範》(下稱《規範》)出台,將於2018年5月1日起正式實施;在更早之前的2017年6月1日,《中華人民共和國網路安全法》正式實施,其中有專門章節針對保護個人信息安全。

「在我個人看來,《規範》首先遵循了網路安全法確立的個人信息保護框架,其次也提供了遵從網路安全法關於個人信息保護要求的一個良好方案。」《規範》起草人之一、北京大學互聯網發展研究中心研究主管洪延青對《中國經濟周刊》記者表示,不能說如果企業的做法與《規範》不符合就一定違反了網路安全法對個人信息保護的相關要求,但如果企業按照《規範》去做,達到合規,則肯定會符合網路安全法的規定。也就是說,如果企業沒有對《規範》合規,不能說其肯定觸犯了網路安全法,其完全可以在《規範》之外自己制定一套符合網路安全法對個人信息保護要求的制度,但其制定成本會遠遠大於對《規範》合規。

《規範》對目前互聯網行業取得用戶個人信息時發生的「默認勾選」「最小化原則」以及「跨界融合」三大常見問題進行了詳細規定,企業終於有標準可以參照了。

>>「默認勾選」綁架用戶

「支付寶年度賬單事件」中比較令人關注的是涉事企業在頁面中並不顯眼的地方安排了「我同意《芝麻服務協議》」的選項,並且提前替用戶勾選,用戶如果不同意,需要再點擊一下複選框。用戶如果稍有疏漏,就會「被自願」地同意該協議,存在第三方和支付寶內的個人信息便會被企業收集。

《規範》規定,有關數據控制方「在間接獲取個人信息時,作為接收方的企業有義務要求提供方對相關個人信息的來源進行說明並確認其合法性,同時還應當了解個人信息主體對於提供方的授權範圍,包括使用目的、個人信息主體是否授權同意轉讓、共享、公開披露等內容,若接收方處理個人信息超出上述範圍的,還應在合理期限內另行徵得個人信息主體的明示同意。」在此事件中,支付寶對用戶的提示信息字體很小,並處在按鈕下方易被忽略的位置,且默認勾選也遠遠不能算是個人信息主體的「明示同意」。

類似於「默認勾選」的「綁架」做法其實不只存在於某一家企業,其似乎是互聯網行業的「頑疾」。

線上醫療企業丁香園創始人李天天曾在國外體驗過一種具有自助挂號功能的軟體,該軟體也會讓用戶選擇同意或不同意隱私政策,若不同意,則無法進入服務流程的下一步,也就是說無法實現自助挂號功能,線上醫療行業內部對此條款稱為「知情同意」,但背後的一句話則是,「若不同意,則無法使用該服務」。也就是說,「知情同意」其實是「知情後必須同意,否則不提供服務」。值得注意的是,此種做法在目前國內的線上醫療企業中也是相當普遍,浙江省衛生信息學會秘書長倪榮曾對《中國經濟周刊》記者評價說:「這種『知情同意』其實是對消費者個人信息保護程度嚴重不到位的。」

>>獲取信息「最小化原則」將打倒一大片互聯網企業?

除「默認勾選」外,支付寶的做法實際上也不符合《規範》中的「最小化原則」。

所謂「最小化原則」包含數量和存儲時間兩個概念上的「最小化」。《規範》規定數據控制方「自動採集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率;間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最低頻率;個人信息保存期限應為實現目的所必需的最短時間」。也就是說,既然不勾選同意《芝麻服務協議》也可生成個性化年度賬單,支付寶應在儘可能少量、低頻收集個人信息的前提下實現賬單功能,連對用戶出示同意《芝麻服務協議》的選項都 「多此一舉」。

按照洪延青的說法,網路安全法中的正當性和必要性原則給出了一個大的框架,此為《規範》中「最小化原則」的司法背書來源。

「最小化原則」可能會「打倒一大片」互聯網企業,原因在於目前不少企業所遵循的不是「最小化原則」,而是「最大化原則」。

「最小化原則肯定是法律精神,但在國內互聯網企業中,之前推行的一套做法其實是嚴重違背這個精神的。」一位資深投資人士對《中國經濟周刊》記者表達了自己的擔憂,他表示,從商業利益角度出發,數據控制方只有儘可能多地獲得用戶海量,且類型多樣的數據,才能生成最準確的用戶畫像,進而產生更精確的營銷內容,比如「精準推送」。

然而,若企業減少收集用戶個人信息的頻率和數量,也縮短了存儲時間,是否意味著用戶所能享受到的個性化服務變得不那麼「貼心」?中國政法大學知識產權研究中心特約研究員李俊慧對此持否定態度,「用戶個人信息與大數據分析有相關性但沒有必然聯繫,互聯網企業精準營銷更多是基於大數據分析,只是在其使用的設備中予以推送展示,對個人敏感信息並不一定需要使用,因此精準營銷與個人信息保護並不衝突。」

丁香園創始人李天天的回答則更加直接:「如果由於監管限制,導致業務無法開展或者影響品質,我認為還是應該服從監管。」他表示,以醫療行業為例,美國的監管十分嚴格,但確實避免了很多問題。

>>APP演變成多功能平台,「一攬子」授權不可取

如今,隨著「跨界融合」,不少應用已不再具備單一功能,而是在基本服務之上疊加了各種其他功能,演變成聚合性平台。

以微信和支付寶兩款人們常用的APP為例,微信最初以社交功能切入市場,隨後演變出支付、理財、生活繳費等疊加功能,同時也搭載了大眾點評、美團外賣、京東優選等第三方服務;支付寶此前以支付功能入局,此後也開發出包括紅包在內的社交和聊天功能,疊加了如餘額寶、芝麻信用等金融服務。「我已經說不清楚微信究竟還是不是聊天工具了,好像不是。」一位從2012年微信發布不久便開始使用微信的用戶對記者說。

在扎克伯格出席聽證會期間也被問道,「Facebook是一家電視公司嗎?」扎克伯格回應說,我認為我們是一家科技公司。

多功能聚合性平台也對個人信息保護帶來了隱患。當某個平台擁有多項功能時,從減少成本的角度出發,平台可能會採取「一攬子」協議的做法,即在用戶最初使用平台提供的服務時,採用較為明顯的方式對隱私政策以及收集個人信息的類別和用途做出較為詳細的展示,當用戶點擊「同意」後,則被視為該用戶在使用所有類別的功能時都同意了這一版本的條款。

針對「一攬子」授權「綁架用戶」的嫌疑,《規範》做出了改善的建議:將核心功能與附加功能區分。洪延青在解讀這一條款時稱,即便點擊了隱私政策長文本的同意,並不意味著附加功能同時一併打開,在現實使用中,還是需要再次點擊同意。「以即時通信APP為例,其核心功能是聊天,在實現這一核心功能時需要收集敏感信息或是普通個人信息,用戶為了使用都需要提供。但其中的理財等功能,明顯屬於附加功能,如果用戶只想聊天,不想使用理財功能,就不能認為同意了隱私政策就意味著開通理財功能時不需要再次徵詢。」

據了解,京東目前通行的《京東隱私政策》就在向《規範》的要求靠攏。「新的政策條款對於用戶的隱私保護做到了具體化和透明化,用戶對個人信息的掌控力度更高;在收集、使用、存儲和傳輸用戶信息的時候,京東會明確告知用戶相關信息的使用目的和範圍,包括如果將用戶信息用於新的目的或範圍將重新獲取用戶同意,提供如何關閉位置、通知等授權的具體操作步驟等。」京東首席安全官李德浩對《中國經濟周刊》記者說。

但接下來的問題是,在聚合化趨勢日益明顯的互聯網行業,巨頭們都不願將自身定位為某個領域,從事單一業務的企業。京東早已不再是單純的零售平台,BAT莫不如此。「什麼是核心功能,什麼是附加功能,普遍認可的理解是核心功能是用戶註冊產品或服務的基本需求,除此之外為用戶提升體驗而設計的功能則是附加功能。」京東法律研究院秘書長嚴少敏曾在一篇署名文章中如此區分核心與附加功能。以B2C電商為例,其核心功能簡單說是實現網上購物所必需的功能,而智能化的搜索詞提示和個性化推薦功能,則是為了滿足縮小搜索目標範圍以及體驗「逛店」感受的,也應當被認定為核心功能。

值得注意的是,《規範》並未採取「一刀切」的方法來認定某一數據控制方的核心業務是什麼。「我們的標準當時沒有想規定什麼叫核心和附加,就是想故意留一個口子,希望通過市場競爭或者社會監督能夠起到這樣的作用。」洪延青說。

未來不排除有的企業為減少用戶授權次數,以期用一次授權獲得用戶對更多項功能的隱私授權,就將核心功能定得很多,附加功能定得很少,而實質上它本身只是個通訊軟體,而另外一些通訊軟體則只將通訊和社交功能定為核心功能,其他功能一律定為附加功能。對此,洪延青稱,相信一定會有社會監督機構或者監管機構約談相關企業時說,「你為什麼定得不一樣?」這樣通過市場競爭和比較,逐漸形成行業慣例。

>>個人信息保護法「在路上」

儘管《規範》為數據控制方提供了一系列既遵循網路安全法,又切實可行的做法,但其法律效力卻並不高。據了解,國家標準分為強制性和推薦性兩種,而《規範》屬於後者,無強制力。

李俊慧告訴《中國經濟周刊》記者,《規範》並不屬於法律或法規,其層級低於法律、法規。如果法律、法規的要求與標準不一致,則以法律、法規為準。對於法律、法規未明確的事項,該標準作為一項推薦性標準,可以作為評估企業相關個人信息保護措施的參照。

儘管我國已經存在一部網路安全法,但其解決的主要是與網路安全相關的問題,涉及面比較廣泛,雖然網路安全法中有專門針對個人信息安全保護的章節,但由於立法目的不同,可能對個人信息的保護並不全面,因此一直有聲音呼籲制定一部專門的個人信息保護法。

2018年2月,全國人大常委會法工委經濟法室主任王瑞賀曾在接受媒體採訪時透露,全國人大常委會法工委正在會同有關方面對個人信息保護立法的有關問題進行研究論證。2017年全國兩會期間,吳曉靈等40餘位全國人大代表向大會提交了《關於制定的議案》,建議儘快制定《中華人民共和國個人信息保護法》,同時將《中華人民共和國個人信息保護法(草案)》作為附件提交。

有分析認為,作為正式法律,個人信息保護法完全可以將《規範》當中對識別和關聯路徑、「最小化原則」以及將核心與附加功能進行區分等內容確定為未來正式的法律條款。

保護個人信息,互聯網企業準備好了嗎?

如前文所述,即便企業做法沒有符合《規範》,仍不能認定其違反了網路安全法,相關部門不能以《規範》作為執法依據。但企業若按照《規範》行事,則肯定符合網路安全法的規定,從守法成本上來講可降至最低。

針對《規範》的改造並不簡單輕鬆,但互聯網企業必須馬上行動起來,企業是否已經準備好?

>>從人力到技術,企業要做好哪些準備?

首先是負責個人信息安全保護的人員是否到位。《規範》要求規模超過200人的,業務涉及用戶個人信息的企業建立專門負責個人信息安全保護的部門以及設立專門的負責人。不少企業都正在按照這一標準進行調整。

「我們很早就有了這樣的部門,其負責人被命名為『首席隱私官』,360的業務條線也有很多,很多部門也都希望儘可能多地收集和使用用戶個人信息,但首席隱私官所領導的部門會統一核准該做法是否符合規範和法律法規,是否符合360自身的價值觀。」360集團董事長兼CEO周鴻禕表示,隨著國家標準和相關法律法規的出台並生效,行業內部的企業肯定會按照相關要求進行調整,以使自身行為合乎監管原則。

李天天告訴記者,丁香園現有員工超過1000人,負責信息安全的相關機構和機構負責人均已到位。

京東首席安全官李德浩稱:「京東安全委員會就是我們內部專門負責信息安全事務的,我本人就是這個部門的負責人。」

其次,在技術層面,《規範》指出識別路徑和關聯路徑都應被算作個人信息,都應受到保護。識別路徑是指通過某一段信息(如家庭住址、身份證號碼、手機號碼等)可直接識別出某具體自然人的信息,關聯路徑則是通過某一段互聯網上的行為軌跡和記錄,可在一定範圍內通過關聯作用識別出該自然人所具有的清晰特徵的信息。以社交網路為例,即便其將用戶個人具體信息保護到位,但用戶在網站上的好友名單、黑名單和其他行為軌跡也可關聯到用戶本人,而這部分信息也屬於個人信息。然而不少社交網站只重視前者而放鬆了後者,「不少社交網站將關聯路徑當做網路日誌信息而非個人信息來處理,這是不合規的。」洪延青指出。

企業還要做到不同應用場景之間的個人信息不可聯結。以視頻網站為例,同一用戶在其他消費場景,比如零售中的用戶畫像,對視頻網站也極有意義,一旦掌握其消費習慣,可通過計算推測出其對視頻類型的偏好。「零售網站上的用戶畫像,視頻網站在背後是有相關渠道可以獲得的,這在行業中屬於灰色地帶。」一位視頻網站從業者向《中國經濟周刊》記者透露說。

「類似的交易在丁香園並不存在。我認為如果沒有用戶本人的知情同意就進行交易,應該算是個人信息泄露。用戶畫像在不同的互聯網企業之間流轉,首先應當遵循用戶本人意願,在合法合規的前提下進行。」李天天對記者說,

但值得注意的是,隨著互聯網行業的併購不斷發生,有些零售網站與視頻網站背後有著相同的實際控制人,在組織文化和內部管理制度上甚至趨同,背後是否有在用戶畫像信息上的來往外界不得而知。《規範》對此有明確界定:要求企業具備透明性(數據的處理、流轉要透明)、可干預性(如果需要刪除或更正,需要具備溯源追究的能力)和不可聯結性(在大數據平台中,不同場景不同目的的數據不能聯結)。也就是說,即便一家互聯網巨頭旗下擁有多場景類別的服務,其也有能力將所有場景下的大數據建成統一平台,但不同場景的個人信息依然要堅持不可聯結原則,這對致力於打造全場景服務的巨頭企業至關重要。前述劍橋分析及其他程序在臉書上獲得用戶數據的行為,理論上也屬於多場景類別下的數據流轉問題,我國的《規範》對此類問題的要求較為明確:不可聯結。

對於即將生效的《規範》,搜狗CEO王小川在接受《中國經濟周刊》記者採訪時表示,《規範》出台對行業來說是件好事,搜狗完全支持並且一直以來都遵循了《規範》所規定的在數據存儲時間和調用數據量上的最小化原則,「搜狗一直是比較自律的,不會收集對用戶沒有幫助的數據,在能實現功能的前提下能不調用個人信息就不調用、能少調用就少調用。」王小川說,搜狗在雲安全方面也做了很多的努力,完全可以確保個人信息安全且被合規地使用,「有了相關規範,做得好的企業只會讓外界更加信任我們,搜狗很樂觀。」

>>數據所有權歸誰?用戶還是數據收集者?

個人信息的所有權問題也很關鍵。對於個人信息到底歸誰,業內大致分為兩種論調:一種聲音認為,雖然個人的行為才是所有數據和信息的來源,但個人行為本身不是數據,而是數據控制方的記錄等一系列技術手段將其加工成一段段數據,並且用戶在提供自身數據給數據控制方的過程中享受到了個性推薦等便利,所以該信息的至少部分所有權應歸數據控制方。

上海數據交易中心CEO湯奇峰就曾對《中國經濟周刊》記者表示,用戶的個人行為本身不是數據,正是由於數據控制方的一系列技術手段的介入才將其加工成數據,才讓用戶享受到了互聯網服務的便利。但他同時表示,在為用戶提供便利的同時,數據控制方為防範個人信息泄露和不當使用對當事人的隱私權造成損害,需要在網路安全法框架下遵循正當性和必要性兩個原則。

此外,另一種觀點則認為,作為各項個人信息的源頭,用戶完全可以主張對信息所有權的完全所有權。在一些國家不乏數據提供商支付給用戶一定的價格,以作為用戶對其開放個人信息的回報。

周鴻禕便是「數據所有權歸用戶」的支持者。在今年全國兩會期間,周鴻禕對《中國經濟周刊》記者表示,他此次參會帶來一份關於企業收集並使用個人信息應遵循「三原則」的提案。「首先數據的所有權毫無疑問屬於用戶本人,即便是互聯網公司收集的,但也不能擁有所有權,個人信息只是暫時託管在互聯網公司的伺服器中。」其他兩項原則分別是保證用戶的知情權和選擇權以及服務過程中的信息安全。「根據每個應用的具體情況,服務提供商做什麼都要讓用戶知道,當然不能『一刀切』。如果需要打開麥克風收集用戶的聲音,這種行為是否提前讓用戶知曉?是否提前告訴用戶為什麼要這麼做?用戶如果不同意,應有權利選擇拒絕。此外,用戶個人信息在互聯網企業使用的過程中要被很好地保護,不能有不明的去向以及泄露。」

周鴻禕認為,政府如果能推動解決好這三個問題,用戶和數據控制方之間就能建立很好的信任,用戶放心地允許企業收集,企業用合規的方式賺錢。

「作為互聯網公司,我們收集用戶數據很少有惡意。」網易創始人丁磊對《中國經濟周刊》記者表示,互聯網企業保存用戶信息的一個風險在於,有些黑色產業鏈條會盯上企業伺服器中的個人信息並通過非法手段盜取,「我們的收集和使用本身沒有惡意;當然,要保護個人信息在企業伺服器中的安全,這是我們該做的。」

2018年第16期《中國經濟周刊》封面


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 中國經濟周刊 的精彩文章:

美國挑起貿易爭端的兩個歷史「必然」
美國為何不惜血本也要維護美元霸權?

TAG:中國經濟周刊 |