信息“裸奔”时代,谁来为数据安全披件衣
来源:法制日报 更新时间:2016-02-02

 原标题:信息“裸奔”时代,谁来为数据安全披件衣


“你是第几位踏上微信星球的?还记得你的第一位微信好友是谁吗?还能想起你发送的第一条朋友圈是什么时候吗?”1月10日,一个名叫“微信公开课PRO版”的小应用刷屏朋友圈。

在温暖回忆之余,人们不禁也多了一丝担心:“如此完整地记录,如果我的隐私被泄露了怎么办?”

身处大数据时代,人人都在“裸奔”——电话号码、个人身份、家庭住址、购物记录、社会关系等,都在以数据形式予以记录、传输。

专业人士称,由于大数据目前还游离于法律监管之外,潜在危险非常大,迫切需要立法部门正视大数据这一新兴技术及其商业运作,全力应对其侵犯个人隐私和危害公共利益的新型社会问题。

大数据时代网民坦言“被透明”

“只要我在网上搜索过一个产品,在一段时间里,只要登录网页,就会收到此类产品的推送信息。”网民晓颖说,她有一种“被透明”的感觉,她担心网络的精准营销会变成一场可怕的噩梦。“我们在享受网络各种便利的同时,个人隐私被侵犯也变得更为容易,成本更小,伤害更大。”

两年前,对很多人来说还比较陌生的云计算和大数据,如今已经随着互联网的普及、网络和通信技术的提升,渗透到社会各个角落。

去年9月,《国务院关于印发促进大数据发展行动纲要的通知》发布。纲要中提出的有待“明确”的事项有:明确数据采集、传输、存储、使用、开放等各环节保障网络安全的范围边界、责任主体和具体要求,切实加强对涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的保护。研究推动网上个人信息保护立法工作,界定个人信息采集应用的范围和方式,明确相关主体的权利、责任和义务,加强对数据滥用、侵犯个人隐私等行为的管理和惩戒。

“我们需要一个安全的、保护个人隐私的云,需要自由联通的互联网。”中伦律师事务所合伙人薛熠认为,有关大数据与个人隐私保护的关系,首先要考虑个人产生的数据在大数据里的概念,产生这个数据的个人和这个数据的关系是什么。“一个数据、两个数据、一万个数据、一百万个数据的性质是完全不同的。”

在薛熠看来,对于大数据运用的规制和个人隐私保护的规制应寻求一个平衡。例如:个人隐私数据的判断标准是不是在于可识别某个人?如果能排除个人识别部分,对剩余数据的运营、交易是否可以有不同的标准。此外,大数据的产生和运用在知识产权规制体系里也应当找到恰当的法律地位。

跨境数据流动核心是国家安全

北京邮电大学互联网治理与法律研究中心副主任谢永江说,我国网络方面的法律非常零散,谈依法治网的时候,我们连最基本的网络空间法律框架都没有。

“我国网络法律框架应包括六部分,除了正在制定的网络安全法、电子商务法,还应该包括个人信息保护法、网络信息服务法、电子政务法、电信法。”谢永江说,目前这六部法律都是空白状态,行政法规层面也是极少的,“谁运营谁负责、谁接入谁负责”都是停留在政策层面。

谢永江认为,除了涉及到个人隐私权利,跨境数据流动的核心涉及到国家安全。传统上只有国家才能够收集到的涉及国家安全的数据,现在一个大的网络企业都能获得。只要掌握了足够多的国民行为信息,就会涉及到国家安全问题。因此,对一个国家来讲,在这方面进行管制还是十分必要的。

那么,管制到底应该怎么管?哪些数据属于涉及国家安全需要进行安全审查的数据,又需要进行怎样的限制?

谢永江说,网络安全法草案对这个问题规定得并不很清晰。比如,是否一个企业掌握百万级数据就关系到国家安全了?在我国,一个网络企业弄一百万个客户是很简单的,如果都纳入到安全管制也不大现实。他呼吁政府部门尽快加快网络空间立法进程。“网络时代都是迭代优化,产品推出来要不断修改完善,网络时代的立法也应该这样,先出台比较原则性的内容,再通过不断修订、完善来逐渐规范网络。”

中国互联网协会研究中心秘书长胡钢建议,在网络安全法中的网络信息内容部分,对个人信息保护一定要有实招,至少加上两项:“首先,个人信息保护虽然已经有刑法和行政处罚,但没有民事保护,只有每个人都参与进来,打一场信息保护的人民战争,才能更有效地保护每个人的信息安全。其次,个人信息保护还要增加一项,即有关国际交往的一项基本原则:对等原则——我向你开放,你也向我开放。”

大数据安全规则制定迫在眉睫

与主张积极加以立法管制的观点不同,很多技术派则认为,对于跨境数据流动的安全问题,只靠立法是解决不了的,还应当靠技术实力。

中国互联网信息中心副总工程师张跃冬认为,立法是非常重要的一步,对于个人隐私数据、大规模聚合数据等比较容易定义的数据,应通过立法来限制其跨境流动或使用。但除此之外,由于碎片化数据的跨境流动,也可能对国家安全、公共安全造成影响,而有价值的数据很可能通过若干个碎片化渠道传出去,被一个使用方归集起来。“通过大数据技术把重要信息挖掘出来,这就要靠提高我们国家和核心企业的技术实力来解决。”

英特尔法律政策总监续俊旗认为,当前,重要数据已经成为国家战略性的资产,是对所有数据进行严格控制还是适当放开,归根结底还是一个数据分类管理的问题。比如政府部门和银行、金融类的数据不能随便转移到境外,要严格控制,而其他的一般性信息,则可以自由流转,而中间的数据则施加必要的限制条件后再进行跨境传输。总之,具体如何操作、实施,数据跨境流动审查标准如何建立,是一个比较复杂的问题,需要在实践中不断探索。

据权威人士介绍,经过一年多的试点后,由中央网信办牵头的党政部门云计算服务网络安全审查已正式开展,目前有几家云服务商正在进行,审查结果不日将对外发布。其审查依据的两个国家标准分别是GB/T31167和GB/T31168,后者即是党政部门云计算服务网络安全能力要求。

对此,中国信息安全研究院副院长左晓栋认为,云服务安全审查应兼顾云平台,审查对象应该是有一个明确物理位置的云平台及其服务,而不是某个云服务商。“当然,在审查过程中,对于同一云服务商建设的多个云平台,很多证据可以复用,但绝不意味着一个云服务商以后建的云平台都不用审查了。因此,现在各种商业认证或者各类评比、排名,只关注云服务商而不是平台,这是不够的。”

“在数据跨境流动、数据安全保护问题上,我国刑法加强了对个人信息保护的力度,但对于个人来说,维权成本太高。大数据安全规则制定迫在眉睫。”左晓栋认为,目前的刑法解决不了今天面临的很多数据安全问题,特别是大数据出现以后,问题更为复杂。围绕大数据时代的数据保护、数据跨境流动、服务器本地化问题,争论非常多,形势也很急迫,希望尽快对大数据安全制定一些规矩。