如果你曾經受過垃圾電話或者垃圾資訊的騷擾,那麼很可能你的個人資訊已經被賣了。個人隱私資訊,特別是個人身份、銀行帳號、人臉/指紋等生物特徵資訊洩露的危害極大,輕則垃圾短信、垃圾郵件不斷,重則詐騙/栽贓找上門。
一、你的隱私值多少錢?
據說幾毛錢就能買到你在外賣平台的個人資訊和帳單詳情,不到 2 元就能拿到你在網上購物的詳情和偏好以及網路借貸的資訊。如果有人向你當面出價購買你的基本資訊和消費記錄等個人隱私數據,多高的價格你會同意出售呢?可能再高的價格也不會同意吧,甚至出價越高,越會讓你感到不安。
在旅遊景點或者購物中心等人員密集的地方,經常有商家免費送禮品,只要留下身份證號、手機號、姓名等資訊,或者用微信掃一掃就可以拿走價值幾元的禮品,這種時候往往會看到男女老少趨之若鶩的場景。
很多人態度上極為關注隱私,然而在做法上又不那麼注重隱私,這個現象叫做“隱私悖論”。哈佛大學的研究員Dan Svirsky做過一項調查,當受訪者被直接問及是否願意將Facebook的個人資料以 50 美分到 2.5 美元不等的價格出售時,超過 64% 的人選擇拒絕。然而,當Dan Svirsky改變策略,讓受訪者需要打開一個新的頁面來確認該調查是否涉及到個人資訊時,拒絕分享數據的人數下降到 40% 。
前些天,李開復的“口誤”捅了企業數據隱私這一敏感話題的馬蜂窩。在全球創業者峰會(HICOOL)的一個演講中,李開復提到曾經在“早期幫助曠視科技尋找了合作夥伴,讓他們拿到了大量人臉數據……”。這番話很快引來了熱議,涉事公司很快做了澄清,李開復本人也隨後在微博致歉。
這個事件很快在網上發酵,各種關於人臉識別應用涉及大眾隱私的聲討文章,以及大眾該如何注重隱私的文章,一時間如雨後春筍般出現。在共情效應以及人們迴避風險的本能驅動下,每當有類似涉及隱私數據洩露的話題,大眾對於隱私問題會立刻開始重視起來,並且將輿論熱情衝到一個高峰。
二、隱私無價,有法律保護
我們身處一個數據時代,在我們每一天的生活當中,無時無刻不在與數據打交道,大量的數據應用圍繞著我們人的行為做文章。從早上一睜眼開始,我們每個人都在產生數據,早晨的起床時間、上下班路上騎共享單車去公交地鐵站的位置路線、公交地鐵或者叫車出行的行程資訊,在公司吃飯點的外賣、飲食習慣和偏好,以及一整天刷手機的各種瀏覽Cookie資訊等等,這些都是我們的行為產生的數據,並且被商家利用起來推送廣告和服務。
正如我們開頭說的“隱私悖論”,我們大部分人是不願意出售自己的隱私資訊的,諷刺的是,在行動互聯網的今天,我們卻坦然接受各種APP提供的免費產品和服務,同時免費奉上自己的個人資訊,甚至當APP要獲取手機定位權限、通訊錄權限、相機權限、麥克風權限,甚至讀取手機已安裝APP資訊的權限的時候,眼都不眨一下就點擊同意了,更別提APP彈出的冗長晦澀的《用戶協議和隱私保護協議》,閱讀是不可能閱讀的,這輩子都不可能閱讀的。
行動互聯網時代,每天的生活都要跟各種APP產品打交道,想要做到完全隱私,根本不可能,除非不用互聯網和智慧型手機。在數據經濟時代,單靠個人的謹慎是很難做到隱私保護的,也不能因噎廢食回到沒有互聯網的舊時代,隨著互聯網、大數據、人工智慧和實體經濟深度融合,數據即“石油” ,數據也成為很多企業發展的基礎。
一條條的數據可能會被標上價格在黑市賤賣,而個人的隱私卻是無價的,現在隱私數據被濫用的“代價”也的確很高。個人隱私的保護還得依賴法律法規和監管,隨著 2018 年歐洲GDPR的頒布,企業不得不正視公司營運涉及的大眾隱私數據,如果管理不善可能帶來巨額罰款。
美國政府和歐盟監管機構已經對互聯網公司侵犯隱私權的行為進行調查,美國聯邦貿易委員對Facebook包括“英國劍橋分析公司事件”在內的侵犯隱私行為開出了 50 億美元的罰款單,創造了美國政府機構企業罰款的歷史最高紀錄。
GDPR是歐洲通用數據保護條例的簡稱,頒布兩年多,現在已經是數據各行各業無法繞開的隱私管理規範和準則。GDPR的目標是保護歐盟公民免受隱私和數據洩露的影響。世界各地的公司,無論在地球上哪個地方進行公司數據儲存和處理,只要在歐盟成員國境內開展業務,就必須保護歐盟成員國民眾的個人資料與隱私,就算公司業務範圍不在歐盟境內,但只要公司有任何來自歐盟成員國的客戶,也必須遵守GDPR。
GPPR保護的範圍至少包括與你相關的以下類型的隱私數據:
- 基本的身份資訊,如姓名、年齡、家庭地址和身份證號碼等;
- 網路數據,如定位資訊、IP地址、瀏覽器Cookie數據等;
- 醫療健康數據;
- 生物識別數據,如人臉、指紋、虹膜等;
- 種族或民族數據;
- 政治觀點;
- 性取向。
中國大陸對數據安全與隱私保護的重視程度也與日俱增,在 2020 年 4 月國務院發布的《關於構建更加完善的要素市場化配置體制機制的意見》中,數據被納入生產要素的範疇,《意見》還提到要“加強數據資源整合和安全保護”。
今年 6 月 28 日,第十三屆全國人大常委會第二十次會議審議了《中華人民共和國數據安全法(草案)》(簡稱《數據安全法》)並隨後面向社會徵求了意見。《數據安全法》強調總體國家安全觀,對國家利益、公共利益和個人、組織合法權益的全面保護。數據安全已成為事關國家安全與經濟社會發展的重大議題。
相較於《數據安全法》更關注數據安全對於國家安全的意義,即將在 2020 年 10 月 1 日實施的GB/T 35273-2020 《資訊安全技術個人資訊安全規範》(簡稱《規範》)則更側重於對個人資訊、隱私等涉及公民自身安全的保護,它是對 2018 年開始實施的GB/ T35273-2017 《資訊安全技術個人資訊安全規範》的修訂,除了對個人資訊的收集、儲存和使用做了明確的規定,還將重點打擊APP的“強制索權、捆綁授權、過度索權、超範圍收集”等現象。
其實,關於隱私立法早已有之,只不過在數字時代之前,隱私數據問題不突出,相關的法律體系還不成熟。歐洲國家最早開始重視隱私的保護,隨著國際化和互聯網技術的發展,歐盟對於隱私保護的強烈需求成為世界隱私保護的主要推手,GDPR將隱私保護推到了一個前所未有的高度,目前已經有近百個國家和地區製定了關於隱私保護的法律。
三、隱私安全:“達摩克利斯之劍”
從GPPR屢屢開出的巨額罰單,到李開復的“口誤”道歉風波,無不暗示了當下隱私安全已經成為懸在企業頭上的“達摩克利斯之劍”。隨著大眾不斷覺醒的個人資訊保護意識,隱私保護已經不是企業做不做的問題,而是如何做和怎麼做好的問題。
人工智慧、大數據、雲端運算和 5G 等新興科技的發展正在推動很多企業進行數位化轉型,數位化轉型既帶來機遇也帶來挑戰,隱私保護便是企業數位化轉型之路上最嚴峻的挑戰。隱私保護不力將會給企業帶來巨大損失,輕則產品下架整改、名譽受損,重則顛覆既有商業模式,甚至導致企業主要負責人承擔刑事責任。前不久,工信部便下架了 23 款APP,原因是侵害用戶權益,且未按要求完成整改。
從今年開始,對於侵害用戶隱私權益的打擊力度是空前的。自從工信部去年 11 月份發布《開展APP侵害用戶權益專項整治工作的通知》以來,已經通報下架數批侵害用戶權益的APP,具體下架APP的名單在工信部網站上均可以查到。目前,工信部每月開展常態化APP抽查,這些APP主要在四個方面受到工信部的審查和整治:
- 違規收集用戶個人資訊;
- 違規使用用戶個人資訊;
- 不合理索取用戶權限;
- 為用戶帳號取消設置障礙。
APP是獲取用戶最直接的入口,從對APP的整治力度可以看出目前國家層面對於數據安全以及用戶隱私數據的監管逐漸趨嚴,從國內國外看,這也是整個數據產業的大趨勢。企業作為數據的收集方、使用方、儲存方,隱私保護當仁不讓的責任主體,為了適應監管,為將來的發展滿足合法要求,企業必須提高自身的隱私風險管理能力。
四、隱私風險管理
有人將隱私問題歸罪於技術,認為是人工智慧、大數據等新技術創新帶來了隱私洩露、濫用等問題,持這樣觀點的人認為解決隱私問題需要從限制技術的使用入手。這樣的觀點是很正常的,然而從歷史的進程中我們發現,技術的創新和更迭是一個不斷自我完善的過程。汽車剛出現的時候,經常出現安全事故造成人員傷亡,但是人類並沒有放棄這項技術,而是通過安全氣囊、紅綠燈、斑馬線、交通法規等技術和管理上的創新,來規避風險和減少傷亡事故。
人工智慧和大數據等技術創新與隱私保護並非硬幣的兩面,不是對立的關係,只不過新技術的推動將以前的隱私問題從線下搬到了線上,如果回到十幾年前來說隱私問題,你想到的關鍵詞可能是偷窺、狗仔隊等等,現在說隱私問題,關鍵詞變成了數據:定位數據、消費數據、生物特徵數據、瀏覽器Cookie數據等等。
隱私安全問題恰恰反映技術創新和管理創新的不足。新技術時代,我們對於隱私問題的認識不能停留在以前,不可能通過捂著藏著來解決隱私問題,我們也不需要回到沒有互聯網的舊時代。現在新技術的創新也正在隱私保護的路上不斷探索。
技術的創新和迭代需要時間,隱私保護還需要從管理上進行創新,對於企業來說,隱私風險管理其實就是隱私合法風險管理,企業需要將隱私風險管理納入企業的風險管理框架中,以提升企業的全面風險管理能力。
美國國家標準與技術協會(NIST)在今年年初發布了一個針對隱私風險管理的框架:《NIST隱私框架:通過企業風險管理來提升隱私的工具》。該框架不是法律也不是標準,它定位為一個用於企業隱私風險管理的工具,旨在幫助企業定義隱私目標,識別隱私風險,優化個人資訊的使用,同時限制侵犯隱私的行為。該隱私框架可適用於各種規模的企業,不局限於特定的技術、產業、法律或司法管轄區域,框架通過採用比較通用的方法(即適用於企業數據處理生態系統中的各種角色)來幫助企業進行隱私風險管理,比如:
- 對於影響個人的系統、產品、服務,在設計和部署時將隱私考慮在內;
- 對於隱私的實踐進行溝通;
- 鼓勵企業各類人員(比如高層、法務和資訊技術人員)在配置開發、實施層級選擇以及成果實現的過程中進行協作。
該隱私框架分為三個部分:核心、配置以及實施層,每個部分通過業務或任務驅動、組織角色和責任以及隱私保護活動之間的聯繫來加強企業對於隱私風險的管理。通過溝通和協作機制,來加強企業的隱私管理流程與問責。
隱私是一個發展的概念,隱私的定義不是一成不變的,隱私始終在隨著社會的進步而不斷發生變化。不同的技術發展階段,隱私的內容和形式不相同,對於隱私保護的方法也不同。隨著技術手段和管理模式的不斷創新,相信對於隱私的保護也越來越完善,企業也只有緊跟潮流,積極主動做好隱私風險管理,才能在“達摩克利斯劍”之下安然無恙。
《虎嗅》授權轉載
【延伸閱讀】