2017年12月,推荐性国家标准《信息安全技术 个人信息安全规范》(下称《规范》)出台,将于2018年5月1日起正式实施。
《规范》起草人之一、北京大学互联网发展研究中心研究主管洪延青对《中国经济周刊》记者表示,不能说如果企业的做法与《规范》不符合就一定违反了网络安全法对个人信息保护的相关要求,但如果企业按照《规范》去做,达到合规,则肯定会符合网络安全法的规定,从守法成本上来讲可降至最低。
针对《规范》的改造并不简单轻松,但互联网企业必须马上行动起来,企业是否已经准备好?
从人力到技术,企业要做好哪些准备?
首先是负责个人信息安全保护的人员是否到位。《规范》要求规模超过200人的,业务涉及用户个人信息的企业建立专门负责个人信息安全保护的部门以及设立专门的负责人。不少企业都正在按照这一标准进行调整。
“我们很早就有了这样的部门,其负责人被命名为‘首席隐私官’,360的业务条线也有很多,很多部门也都希望尽可能多地收集和使用用户个人信息,但首席隐私官所领导的部门会统一核准该做法是否符合规范和法律法规,是否符合360自身的价值观。”360集团董事长兼CEO周鸿祎表示,随着国家标准和相关法律法规的出台并生效,行业内部的企业肯定会按照相关要求进行调整,以使自身行为合乎监管原则。
丁香园创始人李天天告诉记者,丁香园现有员工超过1000人,负责信息安全的相关机构和机构负责人均已到位。
京东首席安全官李德浩称:“京东安全委员会就是我们内部专门负责信息安全事务的,我本人就是这个部门的负责人。”
其次,在技术层面,《规范》指出识别路径和关联路径都应被算作个人信息,都应受到保护。识别路径是指通过某一段信息(如家庭住址、身份证号码、手机号码等)可直接识别出某具体自然人的信息,关联路径则是通过某一段互联网上的行为轨迹和记录,可在一定范围内通过关联作用识别出该自然人所具有的清晰特征的信息。以社交网络为例,即便其将用户个人具体信息保护到位,但用户在网站上的好友名单、黑名单和其他行为轨迹也可关联到用户本人,而这部分信息也属于个人信息。然而不少社交网站只重视前者而放松了后者,“不少社交网站将关联路径当做网络日志信息而非个人信息来处理,这是不合规的。”洪延青指出。
企业还要做到不同应用场景之间的个人信息不可联结。以视频网站为例,同一用户在其他消费场景,比如零售中的用户画像,对视频网站也极有意义,一旦掌握其消费习惯,可通过计算推测出其对视频类型的偏好。“零售网站上的用户画像,视频网站在背后是有相关渠道可以获得的,这在行业中属于灰色地带。”一位视频网站从业者向《中国经济周刊》记者透露说。
“类似的交易在丁香园并不存在。我认为如果没有用户本人的知情同意就进行交易,应该算是个人信息泄露。用户画像在不同的互联网企业之间流转,首先应当遵循用户本人意愿,在合法合规的前提下进行。”李天天对记者说,
但值得注意的是,随着互联网行业的并购不断发生,有些零售网站与视频网站背后有着相同的实际控制人,在组织文化和内部管理制度上甚至趋同,背后是否有在用户画像信息上的来往外界不得而知。《规范》对此有明确界定:要求企业具备透明性(数据的处理、流转要透明)、可干预性(如果需要删除或更正,需要具备溯源追究的能力)和不可联结性(在大数据平台中,不同场景不同目的的数据不能联结)。也就是说,即便一家互联网巨头旗下拥有多场景类别的服务,其也有能力将所有场景下的大数据建成统一平台,但不同场景的个人信息依然要坚持不可联结原则,这对致力于打造全场景服务的巨头企业至关重要。前述剑桥分析及其他程序在脸书上获得用户数据的行为,理论上也属于多场景类别下的数据流转问题,我国的《规范》对此类问题的要求较为明确:不可联结。
对于即将生效的《规范》,搜狗CEO王小川在接受《中国经济周刊》记者采访时表示,《规范》出台对行业来说是件好事,搜狗完全支持并且一直以来都遵循了《规范》所规定的在数据存储时间和调用数据量上的最小化原则,“搜狗一直是比较自律的,不会收集对用户没有帮助的数据,在能实现功能的前提下能不调用个人信息就不调用、能少调用就少调用。”王小川说,搜狗在云安全方面也做了很多的努力,完全可以确保个人信息安全且被合规地使用,“有了相关规范,做得好的企业只会让外界更加信任我们,搜狗很乐观。”
数据所有权归谁?用户还是数据收集者?
个人信息的所有权问题也很关键。对于个人信息到底归谁,业内大致分为两种论调:一种声音认为,虽然个人的行为才是所有数据和信息的来源,但个人行为本身不是数据,而是数据控制方的记录等一系列技术手段将其加工成一段段数据,并且用户在提供自身数据给数据控制方的过程中享受到了个性推荐等便利,所以该信息的至少部分所有权应归数据控制方。
上海数据交易中心CEO汤奇峰就曾对《中国经济周刊》记者表示,用户的个人行为本身不是数据,正是由于数据控制方的一系列技术手段的介入才将其加工成数据,才让用户享受到了互联网服务的便利。但他同时表示,在为用户提供便利的同时,数据控制方为防范个人信息泄露和不当使用对当事人的隐私权造成损害,需要在网络安全法框架下遵循正当性和必要性两个原则。
此外,另一种观点则认为,作为各项个人信息的源头,用户完全可以主张对信息所有权的完全所有权。在一些国家不乏数据提供商支付给用户一定的价格,以作为用户对其开放个人信息的回报。
周鸿祎便是“数据所有权归用户”的支持者。在今年全国两会期间,周鸿祎对《中国经济周刊》记者表示,他此次参会带来一份关于企业收集并使用个人信息应遵循“三原则”的提案。“首先数据的所有权毫无疑问属于用户本人,即便是互联网公司收集的,但也不能拥有所有权,个人信息只是暂时托管在互联网公司的服务器中。”其他两项原则分别是保证用户的知情权和选择权以及服务过程中的信息安全。“根据每个应用的具体情况,服务提供商做什么都要让用户知道,当然不能‘一刀切’。如果需要打开麦克风收集用户的声音,这种行为是否提前让用户知晓?是否提前告诉用户为什么要这么做?用户如果不同意,应有权利选择拒绝。此外,用户个人信息在互联网企业使用的过程中要被很好地保护,不能有不明的去向以及泄露。”
周鸿祎认为,政府如果能推动解决好这三个问题,用户和数据控制方之间就能建立很好的信任,用户放心地允许企业收集,企业用合规的方式赚钱。
“作为互联网公司,我们收集用户数据很少有恶意。”网易创始人丁磊对《中国经济周刊》记者表示,互联网企业保存用户信息的一个风险在于,有些黑色产业链条会盯上企业服务器中的个人信息并通过非法手段盗取,“我们的收集和使用本身没有恶意;当然,要保护个人信息在企业服务器中的安全,这是我们该做的。”
