大資料時代，個人資訊安全誰來守護

身處大資料時代，人們在享受着網際網路不斷普及所帶來的諸多便利的同時，也逐漸發現，個人生活被網絡所滲透後，越來越多的隐私資訊“飛”出了自己的視線，落入他人之手。

2016年末，中國社會科學院釋出的《社會心态藍皮書：中國社會心态研究報告》顯示，食品安全和個人資訊安全是目前公衆最為擔心的問題。“徐玉玉事件”讓人們看到了資訊洩露後“精準詐騙”的危害，媒體記者花700元買到同僚行蹤的暗訪又揭示了資訊販賣的龐大地下産業鍊。

在複雜的現實環境下，個人資訊安全由誰來守護？政府、企業、個人又該如何行使手中的權利，承擔各自的責任？兩位專家帶來了他們的見解。

警惕個人的“數字畫像”

解放周一：近年來，個人資訊洩露引發的經濟損失逐漸增多，記者花700元買到同僚各種行蹤隐私的消息又像一個“重磅炸彈”讓人們意識到個人資訊的洩露程度之深，資訊之廉價，不安全感愈發強烈。甚至有人說，當你選擇接入網際網路，就是選擇了把個人隐私交出手。您怎麼看待這個觀點？

蔣興浩：（上海交通大學資訊安全工程學院教授、博導）：我認為這個說法并不準确，因為他把每個人的主動選擇權給弱化了，而事實上網絡空間和現實生活中一樣存在着各種各樣的陷阱和風險。在目前的情況下，網絡使用者再把自己僅僅看作是一個被動接受者，本身就是不合适的。

一般來說，常見的個人隐私資料的洩露途徑分為三種，分别是直接遭受黑客攻擊、可信任網站資料洩露以及個人資料使用不當。普通人直接遭受黑客攻擊，導緻手機、電腦内的資料被竊取的情況較少，網站資料批量洩露的風險也不在個人可控範圍内。

大家最容易忽視、可能也不太願意承認的一點是，一切隐私資料的源頭都來自于使用者，大多數的個人隐私洩露主要來源于使用者平日操作中對隐私保護的疏忽和不規範。

是以說，盡管人們對于個人資訊安全普遍焦慮，但由于個人資訊保護的常識不足，對什麼是個人資訊、如何保護個人資訊、怎樣降低風險損失缺乏直覺的了解，進而為不法分子留存了極大的侵害漏洞。

最典型的就是過度的社交網絡化。很多人已經習慣把日常活動和個人喜好統統“曬”出來，把網絡空間當成自己的“移動記事本”，作為自己和親朋好友的互動空間。但是大家不太會去關注，這些資訊到底誰在看、誰能夠看。

大資料時代興起了“數字畫像”，也就是一種建立在一系列真實資料之上的目标使用者模型，很多企業在産品設計開發中都喜歡用這種方式。雖然企業在搜集使用者資訊的時候通過的是正規的管道，但是不能排除一些不法分子恰好也試圖給他們的目标使用者建立了“數字畫像”，人們平時随手曬出的姓名、照片、家庭狀況、工作情況、常去地點等資訊實則就為他們行了友善。諸如網絡“釣魚”、詐騙、廣告騷擾、身份盜用之類的危害其實大家都很清楚，但出于僥幸心理，貪圖一時的友善，人們常常不願意隐去或者删除一些資訊而放任不管。

是以，資訊安全并不是便捷生活的籌碼，輿論呼籲的提高使用者自身的隐私保護意識也并不是一句空話和口号，它确實是現有最好的保護個人隐私的辦法。

解放周一：是以說，每個人其實都要從自己出發，把好個人資訊安全的第一道大門，讓擔憂和焦慮化作日常行為習慣上的改變。

蔣興浩：是的，具體來說就是在追求更真實的使用者體驗的同時，養成一些良好的網絡安全習慣。比如，謹慎釋出個人的移動地理資訊、不随意連接配接公共區域的無密碼wifi、不在公共計算機上收發郵件或賬号登入、不在多個地方使用相同的密碼以防止隐私資訊被“撞庫”等。

這些做起來其實并不難，關鍵在于大家觀念的轉變，把這些隐私保護的習慣當作是關窗、鎖門一樣順手的事情。

解放周一：國内外許多知名企業其實都有過使用者個人資訊洩露的“醜聞”，引發了較強的社會反響。在您看來，目前企業在資訊安全保護上存在哪些問題？

蔣興浩：毫無疑問，企業肩負着保護使用者個人資訊安全的責任。值得注意的是，技術過關之外，防範措施和應對危機的制度設計至關重要。

從技術上說，任何資訊系統都是存在安全漏洞的，掌握使用者資料越是多的公司，遭受攻擊後洩露程度的危害就越大。現在的問題在于，很多企業缺乏自查意識，沒有受到攻擊就自認為“太平無事”，緊急情況發生之後，反應又不夠迅速。

在南韓，政府有規定企業必須定期雇人進行滲透測試，一旦被成功侵入，反而是作為“受害者”的企業要付出相應賠償。乍一看上去有些不合理，但實際上是強調了企業必須對自身嚴格要求，不忘在經營牟利同時“未雨綢缪”。

我們的企業也需要這種緊迫感，因為随着技術的發展，不斷會有新的漏洞被挖掘，速度也會越來越快。有一種攻擊方式叫做“零日攻擊”，通俗地講，就是安全更新檔與瑕疵曝光的同一日内，相關的惡意程式就出現，這種攻擊往往有着很強的突發性和破壞性。對企業來說，首先要能拿出一整套資訊安全管理響應機制，把損失降到最低；其次是要擺正姿态，不是僅僅把自己當做是“受害者”，而應公開回應黑客攻擊事件給公衆一個交代，建立了解和信任。

此外，除了日常的系統維護更新和使用性能更好的加密軟體對資料本源進行加密之外，可以設計一些防範性程式。比如，有專家建議，身份認證資料應由統一部門管理，使用者拿到唯一的密碼，再通過密碼在網際網路公司進行傳統認證，網站隻能看到密碼，而不能擁有實際資料，進而避免使用者真實資訊洩露。

與此同時，從近幾年的趨勢來看，企業的資料洩漏越來越多是由于“内鬼”搗亂。是以，企業在安全管理的過程中，防外也要防内。

具體來說，就是要強化企業内部的保密制度，讓“内鬼”無機可乘。現實中，也許一項業務的完成要經過多人之手，給保密工作提出了挑戰，但可以通過從業人員交叉負責、不定期考核評估、通路權限分級管理等措施加以防範。同時，企業要肩負起對從業人員的教育責任，增強相關崗位人員的服務意識、職業道德和法律素養，設立相關懲治措施和“高壓線”，明确企業内部的規則，營造守法的氛圍。

解放周一：大企業的一舉一動往往引人矚目，但其實不論規模大小，掌握使用者個人資料的企業都需要遵守一定的行業規範。

蔣興浩：确實如此，目前市場上存在着許多不合理的行為一定程度上就是源于相關行業規範的缺失。中國網際網路協會釋出《中國網民權益保護調查報告2016》　中提出，84%的網民親身感受到了由于個人資訊洩露帶來的不良影響。比方說，人們手機裡安裝應用的時候，多多少少都碰到過一些“霸王條款”，表面上是征求過使用者的“同意”，但實際上不點“同意”根本沒辦法使用它的服務。還有一些誘導性條款，騙取使用者點選安裝之後，在使用者不知情的情況下擷取個人資訊或加裝一些軟體。某些企業可能認為，在大資料時代就是資訊采集“有理”，為了不落人後，就過度采集了許多和業務沒有直接關聯的資訊。這些行為的大量泛濫，正說明了業内蔓延的不良風氣。

要矯正這種風氣，光靠使用者的自覺意識是不夠的，靠少數幾家标杆企業的努力也不是長遠之計，應該形成一個行業内的規範，厘清企業權限并配備分級的監督機制

法不缺，缺的是執法決心和維權意識

解放周一：個人資訊安全受到威脅的時候，人人都期盼能夠拿起法律的武器來保護自己，我國法律目前是否提供了這方面的保護？保護到什麼程度？

陸志安（複旦大學法學院副教授）：應該說我國目前并不缺失個人資訊安全保護相關的法律，從2012年12月全國人大常委會通過的《關于加強網絡資訊保護的決定》到2014年6月最高人民法院釋出　《最高人民法院關于審理利用資訊網絡侵害人身權益民事糾紛案件适用法律若幹問題的規定》，再到去年11月通過的《中華人民共和國網絡安全法》，包括一些行政法規，其實都有涉及個人資訊和隐私的保護。

問題在于，首先這些法律法規呈碎片狀分散，互相之間沒有打通，規制範圍狹窄，部分法規還不具有強制性，隻能靠行業協會和企業的自律。其次，法律法規過于粗線條，對于涉及的概念本身的定義不明确，對何為“合法”和“非法”行為的界定也不夠明晰，停留在原則上的定性而缺乏後續的指導。是以，公衆對于法律條款的熟悉度不夠、敏感性被削弱，權益被侵犯後，舉證過程也會“茫然四顧”，十分艱難。還有就是監管部門“九龍治水”、各說各話的情況普遍存在，缺乏統一的主管機構，就會導緻“力不往一處使”的局面。

歸根結底，更重要的是後續的執行。日前，國家網信辦新聞釋出會上介紹2016年以來，公安機關辦理了涉網的侵犯公民個人資訊的案件1800多起，涉及犯罪嫌疑人達4200多人。這樣的成果值得肯定，但是，全國範圍内的案件是否隻有這麼多？對灰色産業鍊的治理是否踩到了點、治到了根？答案依然值得深思。去年幾起重大的案件的偵破過程讓我們看到，隻要有破案的決心和意志，排除執行的過程中受到各種主客觀因素的幹擾，有關部門互相配合，技術上是完全沒問題的。

一方面，執法部門不能畏于執法成本，另一方面，也不能讓受害個體承擔高昂的維權成本。可以通過建立快速維權通道、簡化案件驗證等方式讓受害人能夠獲得專業、集中的服務，而不是迫使他們以一己之力去和某些企業或者不法分子“對抗”。同時也要加強輿論監督，避免投訴、舉報落入“雷聲大雨點小”的局面。

解放周一：個人資訊安全其實是一個全球性的話題，在網際網路普及更早的西方又有哪些法律和措施值得我們借鑒？

陸志安：從上世紀60年代起，世界上一些發達國家就開始制定和頒布保護個人資料資料隐私的法律。美國于1966年制定了《情報公開法》，确立了個體對自身資料的控制權和支配權。上世紀七十年代，瑞典、加拿大、法國、挪威也先後制定了個人資料隐私保護的法律，當時，一些國家就開始觸及個人在公共資訊庫中的“被遺忘權”。2014年5月13日，歐盟法院作出了确認普通公民對個人資訊擁有“被遺忘權”的終審裁定，在歐盟範圍确立了“被遺忘權”，進而讓“被遺忘權”進入更多人的視野。

目前，我國也逐漸開始認識到“被遺忘權”的重要性，如果能夠在規則探索和司法實踐中加以關注，在公衆網絡安全教育中有所普及，勢必會對當下嚴峻的網絡安全形勢有所裨益。

本文轉自d1net（轉載）