刚拿到新房的钥匙,装修公司便电话不断;刚购买了新车,保险公司的短信一条接一条……突飞猛进的互联网技术给人们生活带来便利的同时,也给公民个人信息安全带来了挑战。
自去年山东徐玉玉案等悲剧发生后,网络时代如何保护公民个人信息的问题也引发了高度关注。自2017年6月1日起,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行,这是我国互联网领域的基础性法律,对加强个人信息保护和惩治非法买卖个人信息等方面做出了明确规定,为网民个人信息上了一把“安全锁”。
互联网企业对隐私政策重视程度不高
共享单车、外卖叫餐、招聘求职……各式各样的网站和手机应用App为人们生活提供服务的同时,也在不知不觉间收集了大量的用户信息。它们的信息保护政策透明度如何,网民们或许对此并不知情。
隐私政策,是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件,用以告知用户个人信息如何被搜集、使用与第三方共享的情况。它不是仅对企业的束缚,也是企业提示用户自主、自愿、合理提供和处分个人信息,并区分与用户责任的依据。
近日,《南方都市报》与中国政法大学传播法研究中心联合发布的1000家常用网站、手机应用App的用户信息保护政策透明度排名引发各界关注。在参与测评的1000家平台中,超过50%的平台评分为“低”级别,其中,有157家平台不提供隐私政策;这些平台按照行业划分,社交交友类平台测评平均得分领先,旅游交通类垫底。
调查显示,网站和手机应用App泄露的隐私是非法交易中个人信息的主要来源,而用户上网的习惯偏好、日常行动轨迹,甚至连通话记录、手机安装应用名目等都可能被获知,但很多时候用户对此一无所知。
“随着国家对大数据、互联网+、移动互联网发展的推进,我国的移动支付正在普及,网民应用方面已经走在了世界前头。但在个人信息大量应用的情况下,信息泄露等弊端也越来越应引起重视。”中国工程院院士倪光南说。
织密安全网,逐步完善配套机制
在倪光南看来,信息利用本来是一件好事,但是信息没有保护好,在利用过程中被滥用造成的负面影响也非常大,“所以,要尽可能地发扬好的一面,防止不利的一面”。
最新出台的《网络安全法》首次在法律层面规定了个人信息保护的基本原则。“《网络安全法》以保护技术安全为主,信息内容的安全并不是主要部分。但在涉及网络信息安全的章节中,依然把很大的篇幅放在个人信息保护上,可见对这一问题的重视。”中国信息安全研究院副院长左晓栋说。
“立法很重要,执法同样重要。”国家工业信息安全发展研究中心网络与信息安全研究部主任助理肖俊芳认为,在个人信息保护的执法方面最主要是取证难问题,涉及了法律、技术等多个层面,希望当网民因信息泄露导致财产损失时,有关部门可以通过完善的机制进行索赔;另外,个人信息安全保护牵扯面广,在法律执行过程中要明确信息主体和权责,在个人信息顺畅流通和利益保护之间寻求平衡点。
国家互联网信息办公室网络安全协调局负责人表示,目前,有关部门正在按照法律要求,抓紧研究起草相关制度文件。其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已公开发布,国家标准化部门正抓紧组织制定《个人信息安全规范》等标准。
建议个人信息匿名化处置,加强第三方监督
“不管是立法还是制定标准,我们始终要考虑天平向哪方面倾斜的问题。”左晓栋认为,在个人信息保护上,天平应该向公民个人倾斜,相比而言,互联网服务提供商之前比较强势。
北京师范大学法学院教授、亚太网络法律研究中心主任刘德良表示,个人信息收集、加工的目的是利用,也只有利用才可能对主体构成消极影响,“在大数据背景下,立法规制的应该是防止和遏制个人信息被滥用,没有滥用就没有所谓的泄露和买卖”。
“国外很多地方已经形成了较完善的监督机制,国内部分互联网公司也应向他们学习,通过设立‘首席隐私官’等方式保障用户信息安全。”在360企业安全集团总裁吴云坤看来,仅仅通过互联网企业的自律远远不够,监管盲区的存在将成为暴露网民隐私的一大弊端,除了通过加强企业内部运行机制完善外,还亟须第三方监督和检查。
《网络安全法》中提到,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。“也就是说,匿名化后的信息不再属于个人信息。因此,应该鼓励使用匿名化措施,既充分保护网民个人信息安全,也有利于大数据应用的发展。”左晓栋说。
随着科技的发展,不少新应用利用指纹、声音、虹膜等生物识别技术,用户不需要记住密码也可以完成认证。“这种具有独特性的个人信息不可更改,如果手机丢失很可能有人借此实施犯罪,从而很难识别出真实的作案信息。因此,也必须严格规范这类生物特征识别信息的使用。”倪光南提醒说。(记者 李政葳)