如果你曾經(jīng)受過垃圾電話或者垃圾信息的騷擾��,那么很可能你的個(gè)人信息已經(jīng)被賣了�。個(gè)人隱私信息,特別是個(gè)人身份����、銀行賬號(hào)、人臉/指紋等生物特征信息泄露的危害極大��,輕則垃圾短信��、垃圾郵件不斷����,重則詐騙/栽贓找上門。
一��、你的隱私值多少錢?
據(jù)說幾毛錢就能買到你在外賣平臺(tái)的個(gè)人信息和賬單詳情�����,不到2元就能拿到你在網(wǎng)上購物的詳情和偏好以及網(wǎng)絡(luò)借貸的信息。
如果有人向你當(dāng)面出價(jià)購買你的基本信息和消費(fèi)記錄等個(gè)人隱私數(shù)據(jù)��,多高的價(jià)格你會(huì)同意出售呢?可能再高的價(jià)格也不會(huì)同意吧��,甚至出價(jià)越高�,越會(huì)讓你感到不安。
在旅游景點(diǎn)或者購物中心等人員密集的地方���,經(jīng)常有商家免費(fèi)送禮品�����,只要留下身份證號(hào)���、手機(jī)號(hào)、姓名等信息���,或者用微信掃一掃就可以拿走價(jià)值幾元的禮品���,這種時(shí)候往往會(huì)看到男女老少趨之若鶩的場景。
很多人態(tài)度上極為關(guān)注隱私����,然而在做法上又不那么注重隱私,這個(gè)現(xiàn)象叫做“隱私悖論”�����。哈佛大學(xué)的研究員Dan Svirsky做過一項(xiàng)調(diào)查�,當(dāng)受訪者被直接問及是否愿意將Facebook的個(gè)人資料以50美分到2.5美元不等的價(jià)格出售時(shí),超過64%的人選擇拒絕��。然而�,當(dāng)Dan Svirsky改變策略,讓受訪者需要打開一個(gè)新的頁面來確認(rèn)該調(diào)查是否涉及到個(gè)人信息時(shí)���,拒絕分享數(shù)據(jù)的人數(shù)下降到40%��。
前些天�����,李開復(fù)的“口誤”捅了企業(yè)數(shù)據(jù)隱私這一敏感話題的馬蜂窩��。在全球創(chuàng)業(yè)者峰會(huì)(HICOOL)的一個(gè)演講中���,李開復(fù)提到曾經(jīng)在“早期幫助曠視科技尋找了合作伙伴,讓他們拿到了大量人臉數(shù)據(jù)……”��。這番話很快引來了熱議,涉事公司很快做了澄清�����,李開復(fù)本人也隨后在微博做了致歉���。
這個(gè)事件很快在網(wǎng)上發(fā)酵��,各種關(guān)于人臉識(shí)別應(yīng)用涉及公眾隱私的聲討文章�����,以及公眾該如何注重隱私的文章���,一時(shí)間如雨后春筍般出現(xiàn)。在共情效應(yīng)以及人們回避風(fēng)險(xiǎn)的本能驅(qū)動(dòng)下��,每當(dāng)有類似涉及隱私數(shù)據(jù)泄露的話題��,公眾對(duì)于隱私問題會(huì)立刻開始重視起來����,并且將輿論熱情沖到一個(gè)高峰。
二、隱私無價(jià)�����,有法律保護(hù)
我們身處一個(gè)數(shù)據(jù)時(shí)代��,在我們每一天的生活當(dāng)中���,無時(shí)無刻不在與數(shù)據(jù)打交道,大量的數(shù)據(jù)應(yīng)用圍繞著我們?nèi)说男袨樽鑫恼?��。從早上一睜眼開始����,我們每個(gè)人都在產(chǎn)生數(shù)據(jù)���,早晨的起床時(shí)間�����、上下班路上騎共享單車去公交地鐵站的位置路線���、公交地鐵或者打車出行的行程信息,在公司吃飯點(diǎn)的外賣、飲食習(xí)慣和偏好����,以及一整天刷手機(jī)的各種瀏覽Cookie信息等等,這些都是我們的行為產(chǎn)生的數(shù)據(jù)����,并且被商家利用起來推送廣告和服務(wù)。
正如我們開頭說的“隱私悖論”����,我們大部分人是不愿意出售自己的隱私信息的,諷刺的是�����,在移動(dòng)互聯(lián)網(wǎng)的今天����,我們卻坦然接受各種APP提供的免費(fèi)產(chǎn)品和服務(wù),同時(shí)免費(fèi)奉上自己的個(gè)人信息�,甚至當(dāng)APP要獲取手機(jī)定位權(quán)限、通訊錄權(quán)限����、相機(jī)權(quán)限���、麥克風(fēng)權(quán)限,甚至讀取手機(jī)已安裝APP信息的權(quán)限的時(shí)候����,眼都不眨一下就點(diǎn)擊同意了����,更別提APP彈出的冗長晦澀的《用戶協(xié)議和隱私保護(hù)協(xié)議》,閱讀是不可能閱讀的�,這輩子都不可能閱讀的。
移動(dòng)互聯(lián)網(wǎng)時(shí)代�,每天的生活都要跟各種APP產(chǎn)品打交道,想要做到完全隱私����,根本不可能,除非不用互聯(lián)網(wǎng)和智能手機(jī)���。在數(shù)據(jù)經(jīng)濟(jì)時(shí)代���,單靠個(gè)人的謹(jǐn)慎是很難做到隱私保護(hù)的,也不能因噎廢食回到?jīng)]有互聯(lián)網(wǎng)的舊時(shí)代���,隨著互聯(lián)網(wǎng)���、大數(shù)據(jù)�����、人工智能和實(shí)體經(jīng)濟(jì)深度融合�,數(shù)據(jù)即“石油”�,數(shù)據(jù)也成為很多企業(yè)發(fā)展的基礎(chǔ)。
一條條的數(shù)據(jù)可能會(huì)被標(biāo)上價(jià)格在黑市賤賣���,而個(gè)人的隱私卻是無價(jià)的����,現(xiàn)在隱私數(shù)據(jù)被濫用的“代價(jià)”也的確很高��。個(gè)人隱私的保護(hù)還得依賴法律法規(guī)和監(jiān)管�,隨著2018年歐洲GDPR的出臺(tái),企業(yè)不得不正視公司運(yùn)營涉及的公眾隱私數(shù)據(jù)���,如果管理不善可能帶來巨額罰款��。
美國政府和歐盟監(jiān)管機(jī)構(gòu)已經(jīng)對(duì)互聯(lián)網(wǎng)公司侵犯隱私權(quán)的行為進(jìn)行調(diào)查�����,美國聯(lián)邦貿(mào)易委員對(duì)Facebook包括“英國劍橋分析公司事件”在內(nèi)的侵犯隱私行為開出了50億美元的罰款單��,創(chuàng)造了美國政府機(jī)構(gòu)企業(yè)罰款的歷史最高紀(jì)錄��。
GDPR是歐洲通用數(shù)據(jù)保護(hù)條例的簡稱�����,出臺(tái)兩年多��,現(xiàn)在已經(jīng)是數(shù)據(jù)各行各業(yè)無法繞開的隱私管理規(guī)范和準(zhǔn)則���。GDPR的目標(biāo)是保護(hù)歐盟公民免受隱私和數(shù)據(jù)泄露的影響。世界各地的公司����,無論在地球上哪個(gè)地方進(jìn)行公司數(shù)據(jù)存儲(chǔ)和處理,只要在歐盟成員國境內(nèi)開展業(yè)務(wù)�,就必須保護(hù)歐盟成員國民眾的個(gè)人資料與隱私,就算公司業(yè)務(wù)范圍不在歐盟境內(nèi)��,但只要公司有任何來自歐盟成員國的客戶�����,也必須遵守GDPR。
GPPR保護(hù)的范圍至少包括與你相關(guān)的以下類型的隱私數(shù)據(jù):
基本的身份信息�,如姓名、年齡��、家庭地址和身份證號(hào)碼等; 網(wǎng)絡(luò)數(shù)據(jù)���,如定位信息�����、IP地址��、瀏覽器Cookie數(shù)據(jù)等; 醫(yī)療健康數(shù)據(jù); 生物識(shí)別數(shù)據(jù)�,如人臉�、指紋、虹膜等; 種族或民族數(shù)據(jù); 政治觀點(diǎn); 性取向���。
國內(nèi)對(duì)數(shù)據(jù)安全與隱私保護(hù)的重視程度也逐漸向國際接軌�����,在2020年4月國務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》中���,數(shù)據(jù)被納入生產(chǎn)要素的范疇����,《意見》還提到要“加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)”�。
今年6月28日,第十三屆全國人大常委會(huì)第二十次會(huì)議審議了《中華人民共和國數(shù)據(jù)安全法(草案)》(簡稱《數(shù)據(jù)安全法》)并隨后面向社會(huì)征求了意見�。《數(shù)據(jù)安全法》強(qiáng)調(diào)總體國家安全觀�����,對(duì)國家利益�、公共利益和個(gè)人、組織合法權(quán)益的全面保護(hù)��。數(shù)據(jù)安全已成為事關(guān)國家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大議題�����。
相較于《數(shù)據(jù)安全法》更關(guān)注數(shù)據(jù)安全對(duì)于國家安全的意義�����,即將在2020年10月1日實(shí)施的GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(簡稱《規(guī)范》)則更側(cè)重于對(duì)個(gè)人信息�、隱私等涉及公民自身安全的保護(hù),它是對(duì)2018年開始實(shí)施的GB/T35273-2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的修訂���,除了對(duì)個(gè)人信息的收集�����、儲(chǔ)存和使用做了明確的規(guī)定�,還將重點(diǎn)打擊APP的“強(qiáng)制索權(quán)����、捆綁授權(quán)、過度索權(quán)�����、超范圍收集”等現(xiàn)象��。
其實(shí)����,關(guān)于隱私立法早已有之,只不過在數(shù)字時(shí)代之前��,隱私數(shù)據(jù)問題不突出����,相關(guān)的法律體系還不成熟����。歐洲國家最早開始重視隱私的保護(hù)�,隨著國際化和互聯(lián)網(wǎng)技術(shù)的發(fā)展,歐盟對(duì)于隱私保護(hù)的強(qiáng)烈需求成為世界隱私保護(hù)的主要推手��,GDPR將隱私保護(hù)推到了一個(gè)前所未有的高度���,目前已經(jīng)有近百個(gè)國家和地區(qū)制定了關(guān)于隱私保護(hù)的法律�����。
三�、隱私安全:“達(dá)摩克利斯之劍”
從GPPR屢屢開出的巨額罰單�����,到李開復(fù)的“口誤”道歉風(fēng)波�,無不暗示了當(dāng)下隱私安全已經(jīng)成為懸在企業(yè)頭上的“達(dá)摩克利斯之劍”�。隨著大眾不斷覺醒的個(gè)人信息保護(hù)意識(shí),隱私保護(hù)已經(jīng)不是企業(yè)做不做的問題��,而是如何做和怎么做好的問題。
人工智能���、大數(shù)據(jù)����、云計(jì)算和5G等新興科技的發(fā)展正在推動(dòng)很多企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型�����,數(shù)字化轉(zhuǎn)型既帶來機(jī)遇也帶來挑戰(zhàn)���,隱私保護(hù)便是企業(yè)數(shù)字化轉(zhuǎn)型之路上最嚴(yán)峻的挑戰(zhàn)����。隱私保護(hù)不力將會(huì)給企業(yè)帶來巨大損失����,輕則產(chǎn)品下架整改、名譽(yù)受損�,重則顛覆既有商業(yè)模式,甚至導(dǎo)致企業(yè)主要負(fù)責(zé)人承擔(dān)刑事責(zé)任�����。前不久,工信部便下架了23款A(yù)PP����,原因是侵害用戶權(quán)益,且未按要求完成整改���。
從今年開始���,對(duì)于侵害用戶隱私權(quán)益的打擊力度是空前的。自從工信部去年11月份發(fā)布《開展APP侵害用戶權(quán)益專項(xiàng)整治工作的通知》以來�����,已經(jīng)通報(bào)下架數(shù)批侵害用戶權(quán)益的APP�����,具體下架APP的名單在工信部網(wǎng)站上均可以查到����。目前,工信部每月開展常態(tài)化APP抽查�,這些APP主要在四個(gè)方面受到工信部的審查和整治:
違規(guī)收集用戶個(gè)人信息; 違規(guī)使用用戶個(gè)人信息; 不合理索取用戶權(quán)限; 為用戶賬號(hào)注銷設(shè)置障礙。
APP是獲取用戶最直接的入口����,從對(duì)APP的整治力度可以看出目前國家層面對(duì)于數(shù)據(jù)安全以及用戶隱私數(shù)據(jù)的監(jiān)管逐漸趨嚴(yán),從國內(nèi)國外看���,這也是整個(gè)數(shù)據(jù)產(chǎn)業(yè)的大趨勢�����。企業(yè)作為數(shù)據(jù)的收集方�、使用方����、存儲(chǔ)方,隱私保護(hù)當(dāng)仁不讓的責(zé)任主體�����,為了適應(yīng)監(jiān)管��,為將來的發(fā)展?jié)M足合規(guī)要求���,企業(yè)必須提高自身的隱私風(fēng)險(xiǎn)管理能力�����。
四��、隱私風(fēng)險(xiǎn)管理
有人將隱私問題歸罪于技術(shù)�,認(rèn)為是人工智能、大數(shù)據(jù)等新技術(shù)創(chuàng)新帶來了隱私泄露���、濫用等問題���,持這樣觀點(diǎn)的人認(rèn)為解決隱私問題需要從限制技術(shù)的使用入手。這樣的觀點(diǎn)是很正常的�,然而從歷史的進(jìn)程中我們發(fā)現(xiàn),技術(shù)的創(chuàng)新和更迭是一個(gè)不斷自我完善的過程���。汽車剛出現(xiàn)的時(shí)候�,經(jīng)常出現(xiàn)安全事故造成人員傷亡���,但是人類并沒有放棄這項(xiàng)技術(shù)��,而是通過安全氣囊����、紅綠燈、斑馬線�、交通法規(guī)等技術(shù)和管理上的創(chuàng)新,來規(guī)避風(fēng)險(xiǎn)和減少傷亡事故��。
人工智能和大數(shù)據(jù)等技術(shù)創(chuàng)新與隱私保護(hù)并非硬幣的兩面��,不是對(duì)立的關(guān)系�����,只不過新技術(shù)的推動(dòng)將以前的隱私問題從線下搬到了線上����,如果回到十幾年前來說隱私問題��,你想到的關(guān)鍵詞可能是偷窺���、狗仔隊(duì)等等�����,現(xiàn)在說隱私問題��,關(guān)鍵詞變成了數(shù)據(jù):定位數(shù)據(jù)�����、消費(fèi)數(shù)據(jù)�����、生物特征數(shù)據(jù)���、瀏覽器Cookie數(shù)據(jù)等等���。
隱私安全問題恰恰反映技術(shù)創(chuàng)新和管理創(chuàng)新的不足。新技術(shù)時(shí)代�,我們對(duì)于隱私問題的認(rèn)識(shí)不能停留在以前,不可能通過捂著藏著來解決隱私問題��,我們也不需要回到?jīng)]有互聯(lián)網(wǎng)的舊時(shí)代?���,F(xiàn)在新技術(shù)的創(chuàng)新也正在隱私保護(hù)的路上不斷探索。
技術(shù)的創(chuàng)新和迭代需要時(shí)間���,隱私保護(hù)還需要從管理上進(jìn)行創(chuàng)新����,對(duì)于企業(yè)來說,隱私風(fēng)險(xiǎn)管理其實(shí)就是隱私合規(guī)風(fēng)險(xiǎn)管理���,企業(yè)需要將隱私風(fēng)險(xiǎn)管理納入企業(yè)的風(fēng)險(xiǎn)管理框架中��,以提升企業(yè)的全面風(fēng)險(xiǎn)管理能力���。
美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)(NIST)在今年年初發(fā)布了一個(gè)針對(duì)隱私風(fēng)險(xiǎn)管理的框架:《NIST隱私框架:通過企業(yè)風(fēng)險(xiǎn)管理來提升隱私的工具》��。該框架不是法律也不是標(biāo)準(zhǔn)���,它定位為一個(gè)用于企業(yè)隱私風(fēng)險(xiǎn)管理的工具����,旨在幫助企業(yè)定義隱私目標(biāo)�����,識(shí)別隱私風(fēng)險(xiǎn)��,優(yōu)化個(gè)人信息的使用�,同時(shí)限制侵犯隱私的行為。該隱私框架可適用于各種規(guī)模的企業(yè)��,不局限于特定的技術(shù)、行業(yè)�、法律或司法管轄區(qū)域,框架通過采用比較通用的方法(即適用于企業(yè)數(shù)據(jù)處理生態(tài)系統(tǒng)中的各種角色)來幫助企業(yè)進(jìn)行隱私風(fēng)險(xiǎn)管理��,比如:
對(duì)于影響個(gè)人的系統(tǒng)��、產(chǎn)品�、服務(wù),在設(shè)計(jì)和部署時(shí)將隱私考慮在內(nèi); 對(duì)于隱私的實(shí)踐進(jìn)行溝通; 鼓勵(lì)企業(yè)各類人員(比如高管��、法務(wù)和信息技術(shù)人員)在配置開發(fā)���、實(shí)施層級(jí)選擇以及成果實(shí)現(xiàn)的過程中進(jìn)行協(xié)作��。
該隱私框架分為三個(gè)部分:核心���、配置以及實(shí)施層,每個(gè)部分通過業(yè)務(wù)或任務(wù)驅(qū)動(dòng)�、組織角色和責(zé)任以及隱私保護(hù)活動(dòng)之間的聯(lián)系來加強(qiáng)企業(yè)對(duì)于隱私風(fēng)險(xiǎn)的管理。通過溝通和協(xié)作機(jī)制�,來加強(qiáng)企業(yè)的隱私管理流程與問責(zé)。
隱私是一個(gè)發(fā)展的概念����,隱私的定義不是一成不變的��,隱私始終在隨著社會(huì)的進(jìn)步而不斷發(fā)生變化��。不同的技術(shù)發(fā)展階段���,隱私的內(nèi)容和形式不相同,對(duì)于隱私保護(hù)的方法也不同���。隨著技術(shù)手段和管理模式的不斷創(chuàng)新����,相信對(duì)于隱私的保護(hù)也越來越完善���,企業(yè)也只有緊跟潮流,積極主動(dòng)做好隱私風(fēng)險(xiǎn)管理�,才能在“達(dá)摩克利斯劍”之下安然無恙。
關(guān)鍵詞:
隱私
營業(yè)執(zhí)照公示信息