大數據環境下如何加強個人信息安全保護
前段時間滴滴事件鬧得沸沸揚揚,滴滴公司被推上風口浪尖,“滴滴企業版”等25款App存在嚴重違法違規收集使用個人信息問題,被國家網信辦下架。一石激起千層浪,個人信息安全問題又被提到日程中,使我們認識到在全方位保護個人信息的重要性。近年來,隨著我國大數據快速發展,大數據下個人信息安全問題日益凸顯。為防范個人信息數據安全風險,維護消費者權益,保障公共利益,我們可以借鑒國外一些消費者信息隱私權保護的監管模式,加強我國個人信息安全保護,對促進我國保護大數據下個人信息尤其是個人金融信息具有十分重要的參考作用。
借鑒國外個人信息保護做法,提高我國的個人信息安全水平
1.歐盟通過GDPR法案對個人數據進行保護。德國是世界上最早建立個人數據保護的歐盟國家,隨后歐盟同成員國之間在充分協調基礎上建立了自己的GDPR《一般數據保護法案》。此法案規定,一是數據在歐盟內部的處理情況。在此框架下歐盟各成員國之間在GDPR進行數據協調保護,各成員應用于第三方發布在網上的個人信息,通常遵循GDPR法規,中介機構更傾向于遵循GDRP而不是電子商務規則。GDPR對于在抗擊COVID-19疫情中保護個人數據尤其重要,歐洲數據保護委員會已正式宣布,GDPR適用于COVID-19情況下的個人數據處理,沒有必要依賴個人的同意。其次歐盟成員國和非成員國之間的個人數據保護,GDPR第45條規定,要求從歐盟接收數據的國家實施與歐盟標準相同的高標準的數據保護,個人數據給非歐盟國家必須由歐盟委員會決定。委員會在作出決定時將考慮三個因素:非歐盟國家是否立法尊重人權和基本自由,非歐盟國家是否有效地建立了一個獨立的監督機構,確保數據保護規則,非歐盟國家是否具有約束力的法律保護個人信息。歐洲委員會應至少每四年進行一次定期審查,并對相關信息進行反饋是否得到成員國的認可。
2.美國借助中介機構對金融個人信息安全措施加強監管。在大數據下個人金融信息安全保護的問題上,美國雖然已經形成了較為完善的法律法規體系,但事實上,政府相關部門在信息保護問題上都面臨困境。如美國萬事達卡事件中,萬事達信用卡公司與商家和信用卡交易處理公司之間雖早已根據聯邦貿易委員會的規則達成了明確的關于保護付款程序安全的協議,要求交易處理公司在交易過程完成之后不能保留信用卡用戶的個人資料。但由于委托-代理問題使金融機構并未對此進行有效控制,金融信息服務商由于利益考慮缺乏足夠動力進行信息的維護,金融監管機構也因為在網絡環境中進行有效監管的難度大、成本高而出現監管真空。為此,美國聯邦交易委員會借助中介機構,對信息安全進行外部審計。中介機構通過聘用具有較高資質要求的評估人每兩年出具一份安全評估報告。此類中介機構多為非盈利性組織或獨立的第三方法人機構,金融監管部門通過引入此類機構,利用其專業的評估能力,不斷完善自身審慎監管的手段,及時發現金融機構的風險隱患。
大數據背景下我國個人信息安全風險現狀
1.我國服務外包業中的個人信息安全存在泄露風險。“大數據”,是指企業通過合法手段收集的數據信息,對數據進行相關處理、加工,以滿足不同部門、人群的需求。再以滴滴為例,滴滴處于出租車,出租車管理公司之外,對出租車產生的數據如人員、行程、每日使用量等信息進行統計,運用大數據技術推導出一些有價值的數據。就像滴滴公司一樣,專業公司開發IT系統的大數據計算平臺企業在我國應運而生,參與平臺的公司機構和平臺企業均可訪問數據庫,且成本共擔,收益共享。大數據平臺企業是獨立的市場主體,自負盈虧,通過對大數據進行加工為公司機構等用戶提供增值服務來提高盈利水平。企業的本質是追求利潤最大化,而這一本質往往誘發大數據平臺企業只看重經濟指標而忽視社會責任及信息主體的信息安全性問題,導致數據庫中大數據下個人信息存在泄露的風險。
2.大數據時代下我國個人信息安全保護存在一定的不完善。大數據公司對數據的采集、加工、修改等沒有必要的監管部門進行監管和相關處罰,因此大數據下個人信息泄露的風險主要源于大數據公司和數據服務商,包括公司機構的違法操作和黑客的攻擊。現實中此類案件很多,如2011年12月21日,黑客在網上公開了知名程序員網站CSDN的用戶數據庫,高達600多萬個明文的注冊郵箱賬號和密碼遭到曝光和外泄,成為中國互聯網歷史上一次具有深遠意義的數據安全事故。CSDN的密碼外泄后,事件持續發酵,天涯、多玩等網站相繼被曝用戶數據遭泄密。天涯網于12月25日發布致歉信,稱天涯4000萬用戶隱私遭到黑客泄露。案例反映出,大數據背景下互聯網運用商對用戶數據保護不到位,網絡服務和數據庫信息都會遇到嚴重威脅,個人信息安全面臨損失的可能,電子郵件可能會被入侵,個人隱私可能會泄密。
啟示與建議
1.建立健全我國保護個人信息隱私的法律法規,細化相關規則。我國目前尚未制定專門的法律,與個人信息保護相關的法律散見在《刑法修正案》《民法通則》《商業銀行法》及《侵權責任法》等中,對個人信息受侵犯進行了一定的保護。但信息泄露對信息主體的傷害已經形成,這種事后的救濟效果相當有限。因此,可借鑒國外經驗,盡快出臺我國的信息安全保護法律,從國家立法層面指導個人信息安全保護行為,對個人信息從事前、事中和事后全方位構建起全面保護消費者個人信息隱私權的法律法規和制度體系。同時研究借鑒國外關于個人信息保護的相關經驗和做法,細化我國關于保護個人信息隱私的相關規則和條款。
2.加強個人信息保護宣傳培訓。監管機構連同相關機構持續開展宣傳培訓。強化民眾個人信息保護意識,提高防護能力,推動形成良好的個人信息保護習慣,提升針對信息詐騙及套取個人信息行為的辨別能力,有效保護個人信息及財產安全。
3.強化全生命周期監管。一是推動建立統一的監管體系與監管機制,制定相關監管標準與流程,開展針對個人信息安全保護的全生命周期監管,線上線下共治,強化違規處罰力度與自律激勵機制,推動行業自律,引導全系統形成自我監督,自我完善的自律機制,二是針對監管機構技術人才經驗缺乏,財力投入有限的問題,鼓勵通過第三方監管機構,提高監管效率和監管成效。
4.推動產業技術升級。產業層面,國家加大政策資金扶持力度,大力研發關鍵技術,掌握核心科技,提升IT系統國產化率,擺脫長期以來國外產品與技術的現狀,打牢信息安全保護基層。技術層面,加大對個人數據保護技術研發,有效提高個人信息保護的技術水平,加強身份認證技術的研究,有效提升個人信息安全的防盜用能力。
今后如何保護好個人信息,尤其是敏感的個人金融信息,是大數據時代下十分重要的信息安全面對的問題。《中華人民共和國數據安全法》于2021年9月1日正式實施,使我們在法律層面上有了法律依據,但是從滴滴事件來看,個人(金融)信息的保護還有相當長的路要走。
