自大資料技術興起之始, 關於資料隱私的爭論就從未平息。
Facebook 洩露5000萬使用者資料的事情餘波未消, 李彥宏一句“中國人願意用隱私換便利”再掀波瀾, 近日, 支付寶因三項違規被罰18萬其中一條也是“個人金融資訊使用不當”。
為何資料洩露事件屢發不止?大資料技術與個人隱私之間的矛盾真的就不可調和嗎?大資料時代我們真的都是透明人嗎?
其實不然。
01 隱私換便利沒有錯, 前提是知情與允許
李彥宏一句“中國人願意用隱私換便利”在媒體的推波助瀾下被萬眾譴責, 然而大家只知其一, 不知其二。 李彥宏這句話的下一句是: “當然我們也要遵循一些原則, 如果這個資料能讓使用者受益, 他們又願意給我們用, 我們才會去使用它。 而這個原則帶入到用戶的角度, 那就是要在用戶知情、允許的前提下, 變向地用隱私換取服務。 ”
當局部變得完整, 細細品味,
因為我們每個人, 都曾用“隱私換便利”。 比如, 為了吃到外賣, 必須把自己的聯繫方式與家庭住址讓渡出去;為了打車, 必須把你所在的即時位置讓渡出去;為了看病, 必須把自己的病歷資訊讓渡出去;為了看自己喜歡的資訊, 必須把自己的流覽記錄讓渡出去……
這些行為之所以不違法, 是因為用戶知情, 並且允許。 而Facebook利用“性格測試”的幌子, 讓27萬用戶在不知情的前提下提交了自己身份資訊和社交資訊, 並通過這27萬用戶獲取了他們超過5000萬的社交好友資料, 最後轉交給劍橋分析。 在這個過程中, 所有用戶都不知情, 更談不上允許, 並且還存在誘導欺詐行為。 如果Facebook從最開始就明確告知使用者收集資訊的目的,
知情與允許是企業獲取使用者資料的前提, 但讓用戶知情並心甘情願允許卻並非易事。 所謂上有政策, 下有對策, 各大企業為了獲取這寶貴的“允許”可謂花樣百出, 各顯神通。 雖然此次支付寶個人金融資訊使用不當的具體細節未披露, 但去年年底支付寶帳單默認勾選“同意芝麻服務協定”的“愚蠢行為”想必大家還記憶猶新, 更別提普天之下有多少APP實行“強制允許”——不允許無法使用。
難道要想獲得便利、高效的互聯網服務, 我們真的必須穿上“皇帝的新裝”, 做個沒有隱私的“透明人”嗎?
其實不然, 江湖混戰, 還需遵“道”。 此“道”為法。 目前, 我國關於資料隱私的立法,
02 多層立法模式確保劍柄握在用戶自己手裡
大資料立法的前提在於厘清隱私保護的邊界以及個人資料的歸屬權。
從網路實踐來看, 網路隱私包括使用者的身份資訊和網路行為資料。 網路身份資訊涵蓋使用者實名身份資訊、註冊資訊和虛擬位址資訊等足以精准到個人資訊的資料, 在法律性質上屬於傳統隱私權涵蓋範圍。 至於網路行為產生的資料資訊, 因直接或間接都無法精確到自然人, 所以其法律性質更像是智慧財產權。
2017年6月1日起正式實施的《網路安全法》第76條明確規定了法律保護的個人資訊範圍, 即“單獨或者與其他資訊結合識別自然人個人身份的各種資訊”。 除此之外的資料資訊即行為資料,
根據這一法律邏輯, 我國初步建立起了對隱私保護的三層立法模式,
第一層, 自然人的姓名、身份證件號碼、電話號碼等敏感的身份資訊是法律保護最高等級, 任何人觸犯都將受到刑事法律最嚴格的處罰。 這一點要求大資料企業未經使用者允許不得採集、使用和處分具有可識別性的身份資訊。
第二層, 對於除個人身份資訊之外的不可識別的資料資訊, 按照商務邏輯和慣例, 以“合法性、正當性和必要性”的基本原則進行處理。 這一點確保大資料企業即便在徵求使用者同意之後, 也不得違反法律規定過度化使用不可識別的資料資訊。 支付寶此次被罰其中一條就是“個人金融資訊收集不符合最少、必需原則”。
第三層是明確個人資料控制權。《網路安全法》明確規定資料控制權是人格權的重要基礎性權利。Fackbook資料洩露事件正好強化了公眾的資料保護意識,大資料企業應該從技術和制度兩方面,保證使用者充分享有對自己資料的知情權、退出權和控制權,確保劍柄握在用戶手中。在此方面,歐盟曾推出“被遺忘權”,允許使用者從搜尋引擎結果頁面中刪除自己的名字或者相關歷史事件。
03 大資料企業讓資料懂你但不認識你
除了國家立法層面,大資料企業也應該遵守一定的規範,積極主動地保護用戶隱私。
首先,大資料公司只能收集為我們提供特定服務所必需的特定資料。打車或外賣軟體只能要求使用者提供即時位置和電話號碼,而不能收集用戶的身份證號碼等其他不相關資訊,修圖軟體可以收集使用者的圖片資訊而不能要求使用者提供文章資訊。
對於經使用者允許收集來的資訊,大資料企業也必須保證不能錯用、濫用。除此之外,大資料企業也有責任保護使用者隱私資料不為協力廠商竊取或濫用。比如我們的就診資訊被醫藥公司竊取,那麼醫院必須承擔相應的責任。此次Facebook引起公憤,正是因為其資料被劍橋分析竊用,沒有盡到保護的職責。
除了統一的使用規範,大資料公司還可 通過資料脫敏的技術手段來保護個人隱私。 資料脫敏是指對某些敏感資訊通過脫敏規則進行資料的變形,實現敏感隱私資料的保護。即將使用者的個人資訊在企業內部以匿名化方式存儲,比如淘寶可以在儲存你的流覽記錄時匿去個人身份資訊,這樣它就能在不侵犯你隱私的情況下給你推薦喜歡的商品,懂你,但不認識你。
“ 懂你,但不認識你。”這便是大資料發展與個人隱私之間的一個平衡點,是資料生命週期中的最好狀態。
掌握著大量資料的企業,首先應該做的便是利用技術把握好這個平衡點,而非一心利用資料追求商業價值。只有突破了資料隱私保護的瓶頸,大資料企業才能迎來真正的春天。(文/小北)
支付寶此次被罰其中一條就是“個人金融資訊收集不符合最少、必需原則”。第三層是明確個人資料控制權。《網路安全法》明確規定資料控制權是人格權的重要基礎性權利。Fackbook資料洩露事件正好強化了公眾的資料保護意識,大資料企業應該從技術和制度兩方面,保證使用者充分享有對自己資料的知情權、退出權和控制權,確保劍柄握在用戶手中。在此方面,歐盟曾推出“被遺忘權”,允許使用者從搜尋引擎結果頁面中刪除自己的名字或者相關歷史事件。
03 大資料企業讓資料懂你但不認識你
除了國家立法層面,大資料企業也應該遵守一定的規範,積極主動地保護用戶隱私。
首先,大資料公司只能收集為我們提供特定服務所必需的特定資料。打車或外賣軟體只能要求使用者提供即時位置和電話號碼,而不能收集用戶的身份證號碼等其他不相關資訊,修圖軟體可以收集使用者的圖片資訊而不能要求使用者提供文章資訊。
對於經使用者允許收集來的資訊,大資料企業也必須保證不能錯用、濫用。除此之外,大資料企業也有責任保護使用者隱私資料不為協力廠商竊取或濫用。比如我們的就診資訊被醫藥公司竊取,那麼醫院必須承擔相應的責任。此次Facebook引起公憤,正是因為其資料被劍橋分析竊用,沒有盡到保護的職責。
除了統一的使用規範,大資料公司還可 通過資料脫敏的技術手段來保護個人隱私。 資料脫敏是指對某些敏感資訊通過脫敏規則進行資料的變形,實現敏感隱私資料的保護。即將使用者的個人資訊在企業內部以匿名化方式存儲,比如淘寶可以在儲存你的流覽記錄時匿去個人身份資訊,這樣它就能在不侵犯你隱私的情況下給你推薦喜歡的商品,懂你,但不認識你。
“ 懂你,但不認識你。”這便是大資料發展與個人隱私之間的一個平衡點,是資料生命週期中的最好狀態。
掌握著大量資料的企業,首先應該做的便是利用技術把握好這個平衡點,而非一心利用資料追求商業價值。只有突破了資料隱私保護的瓶頸,大資料企業才能迎來真正的春天。(文/小北)