扫码打开虎嗅APP
本文来自微信公众号:亿欧网(ID:i-yiou),作者:薄纯敏,编辑:杨旭然,原标题《中信银行事件持续发酵,是谁让我们变成透明人?》头图来自:IC photo
5月6日,脱口秀演员池子发微博称,中信银行上海虹口支行未经授权将其个人账户流水提供给了上海笑果文化传媒有限公司。
池子认为,中信银行这一行为侵犯了自身权益,目前已通过律师发函要求中信银行、笑果文化赔偿损失并公开道歉。
7日,中信银行已就泄露个人账户交易信息一事向池子道歉,并按照规定对相关员工予以处分,但中信银行的这一做法似乎并没有消灭网友的怒气。此事成了最近的微博热搜,阅读十余亿,讨论近十万。
严重的信息泄露事件之外,每个人更多的隐私泄露,却发生在网络使用的细节之中。数据的窃取与滥用更难被察觉,但同样令人不安。
隐私换“便利”,自愿还是被自愿?
在智能时代,数据无处不在,小到个人的日常消费,大到健康、教育等众多决策,这些分布在各个系统的数据可能对我们构不成直接伤害。
一旦将这些数据集中起来,通过数据整合和信息加总,数据之间可进行印证和相互解释,一个网络化的“虚拟自己”就诞生了,人们的隐私无所遁形。
有一种观点认为,中国的互联网应用使用者愿意用隐私去交换一些便捷性,有企业家说过“很多情况下他们(用户)是愿意的,那我们就可以用数据做一些事情。”
用户真的是自愿放弃自己的隐私吗?有许多貌似自愿,都是“被自愿”。我想这是目前许多网民的悲哀,“使用权”和“隐私权”必须二选一,最后只能为了使用权“自愿”放弃自己的隐私。
以支付宝和拼多多为例,当你注册或登录APP的时候,就代表同意了它的服务协议和隐私政策。为了正常使用服务,你别无选择,必须同意协议并且授权平台使用存储、电话、位置、相机、麦克风、通讯录等信息。
近日,国家计算机病毒应急处理中心在“净网2020”专项行动中通过监测发现,多款民宿、会议类移动应用存在隐私不合规行为,其中不乏一些我们耳熟能详的大公司。
例如,《同程旅游》(版本9.2.8.1)、《携程旅行》(版本8.22.2)未向用户明示申请的全部隐私权限,《自如》(版本6.7.3)未说明收集使用个人信息规则,《泊寓》(版本4.11.2)未提供有效的更正、删除个人信息及注销用户账号功能,《我爱我家》(版本4.5.1)未建立并公布个人信息安全投诉、举报渠道或未在承诺时限内受理并处理。
APP“越权”搜集用户隐私似乎已成为常态。信通院在10个安卓应用市场中选择了20个类别中下载量大、影响范围广、存在典型问题的200余款APP作为检测对象,共计检测出1265项数据安全问题。
其中,67%的APP存在5个及以上个人信息安全问题,超过四成APP的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类。
《网络安全法》针对个人信息保护的第四十一条具体写道:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。”然而,什么是合法、正当、必要,其实没有清楚的界限。
南京邮电大学信息产业发展战略研究院首席专家王春晖表示:“只要信息(数据)主体接受了信息(数据)控制者或处理者的‘隐私条款’就完成了所谓的‘合法’环节。事实上,多数App设置的所谓‘隐私条款’完全超出‘正当、必要’的范围。”
隐私数据在“裸奔”?
如果被迫接受数据采集是一种悲哀,那么数据泄露就是每一个人心里的定时炸弹。
2018年,Facebook由于管理用户资料存在重大漏洞,导致5000万数据泄露,且影响美国大选。
2019年,黑客窃取Capital One美国和加拿大约1.06亿信用卡申请人和客户的个人信息。
2019年,深网视界泄露超250万人的身份证信息、人脸识别图像及图像拍摄地点等数据。
数据泄露已不是偶然。Risk Based Security数据显示,2019年全球共发生7098起数据泄露事件,涉及数据记录数量151.95亿条。
除了这些已被发现的事件之外,还有许多数据泄露事件并没有通过媒体报道,只是局限于当事方知晓并自动采取应对措施。
2017年11月,Uber主动公开了2016年发生的一起严重数据泄露事件。为隐瞒此事件,Uber曾向黑客支付10万美元封口费。
众多数据泄露事件早已让我们明白,在大数据面前,每一个人都披着“皇帝的新衣”,而隐私数据在“裸奔”。
2018年,湖北青年艺术家邓玉峰在武汉美术馆举办了一场特殊的个人展览,展览的不是名画,也不是古董,而是“秘密”。它们来自在黑市购买的34.6万人的信息,包括姓名、电话、地址、身份证、网购记录、车主详细信息等内容,而一条信息的最低价格仅为“一分钱”。
28岁的谭某,电话XX,家住武昌和平大道融侨华府*,车牌号XX,发动机号XX,有一辆红色宝马车。3月1日上午11:06,她在淘宝网购买了婴儿用品三件套、尿不湿一箱、奶粉三盒;2日下午,她在淘宝网购买了一件女士外套、高跟鞋一双,且又在另一个商城购买了一台儿童洗衣机。
这是名为《秘密——邓玉峰个展》现场,艺术家创造的一个“数据人”。
在这一刻,或许大家才发现,原来智能时代每个人的秘密这么不值钱。
你是谁?这个问题不再需要你自己回答,数据可以告诉我更真实的内容。
谁来为我们的隐私负责?
汉娜·阿伯特在《公共领域和私人领域》中表示,“有史以来,直至我们这个时代,需要隐匿于私下的东西一直都是人类存在中身体的部分,即一切与生命过程的必然性相关联的东西。”
只要私人事务存在,隐私就存在。然而现在人们的隐私权却变得如此脆弱,谁又可以为我们的隐私负责?
在个人隐私保护中,参与者主要有三方:数据输出方、数据保存方、监管第三方。
数据输出方——捍卫自己的隐私权利
《衰仔乐园》里有这样一个荒诞的桥段:Kyle在升级设备时没看用户协议,结果同意了被某水果公司拿来做人体实验。
生活中的每个普通人何尝不是那个懵懵懂懂的Kyle?在经历了多次“被自愿”之后,我们也不再关心APP的隐私政策、应用权限等。
当被问到是否担心个人数据泄露时,刘水(化名)告诉亿欧:“其实并不担心,我在网上没做过什么坏事,我不在乎是否有人看我在网上做什么。”
现实中,刘水并不是一个特例,大家似乎已经忽视许久自己的隐私权。
虽然我们不至于像《捍卫隐私》中所描述的一样,通过各种方法实现“网上”隐身,但是隐私权作为我们的基本权利还是需要去捍卫。当用户保护隐私的意识日益提升,也将会倒逼相关企业及组织予以重视。
数据保存方——提高数据安全意识
据闪捷信息安全与战略研究中心统计,71%的数据泄露原因是缺乏对数据的访问控制,36%的数据泄漏原因是数据处置不当。综合来看,数据泄露的原因主要是企业技术管理的“不作为”、“乱作为”,也侧面反映了企业对数据安全的漠视。
智能时代,用户即使为了便捷让渡了一部分隐私权,但企业不应该视为“理所当然”。“如何对待客户,就应该如何对待客户的信息”,这是企业对于用户数据安全的基本尊重。
企业在采集用户信息的时候需要先反问一下自己,是否有保护信息的能力,是否愿为保护信息付费。
庆幸的是,为了避免用户与公司之间因为“不信任”产生裂缝,企业数据保护的意愿越来越强烈。IDC数据显示,2019年中国安全解决方案总体支出将达到69.5亿美元,到2022年,市场规模将增长至137.7亿美元。
区块链等新兴技术也开始用于解决数据安全问题,保证数据可用不可见。区块链技术本质上是一种分布式系统,目的就是解决信任问题。
冲量网络就是将可信计算与区块链信任机制结合,构建一个多方联合数据隐私计算的平台,其创始人邓海南表示,公司创立的初衷是为了解决日益严重的数据安全和隐私问题,区块链可信计算既能有效保护数据所有权,又能实现高效的数据协作、联合计算。
监管第三方——加强执法力度
以上两者在用户隐私保护中发挥的作用主要还是“自治”,依靠个人和企业的自觉和自律,除此之外,社会还需要一些“法治”措施。
据亿欧智库不完全统计,目前全球共有126个国家和地区制定了专门的个人信息保护法。2018年5月,欧盟制定的《一般数据保护条例》(General Data Protection Regulation,GDPR)正式开始生效。这也是迄今为止,全球数据隐私法规中,覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。
中国也早在2017年就出台了《两高司法解释》和《网络安全法》,明确提出,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。除此之外,中国2020年将《个人信息保护法》与《数据安全法》列入了立法规划。
在个人信息保护法律法规逐渐完善的背景下,第三方监管亟需解决的问题主要在于如何执法。
“对于个人信息保护方面现存的问题,其实不能说没有规定,问题可能更多集中在执法机构怎么执法的问题。”
中国人民大学法学院教授石佳友表示,执法格局比较分散是目前执法上最大的难点,例如涉及网络问题是网信办来管,涉及非法经营问题又成了工商部门的事。多部门执法反而形成了“真空地带”,使得执法没能有效到位。
面对存在数据泄露风险和已发生数据泄露的企业,中国目前还主要是通过“行政约谈”的方式,企业犯错成本太低。
今年4月,美国联邦法院正式批准了Facebook就用户数据泄露事件与联邦贸易委员会达成的和解协议,要求Facebook支付50亿美元的罚款,并实施更严格的新数据隐私措施。
去年针对媒体公开报道和用户曝光的“ZAO”App用户隐私协议不规范、存在数据泄露风险等网络数据安全问题,工信部仅对相关负责人问询约谈,要求严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,并未受到什么实质层面的惩罚。
中南财经政法大学数字经济研究院执行院长盘和林表示:“对于监管部门而言,虽然不时爆出机构泄露信息事件,但是真正进行处罚的不多,处罚的程度也不算高,并没有形成一种重视个人私隐和保护的社会氛围。监管部门应该在现有的法律框架下加大惩处的力度,列名条款,对应处理。”
尾声
随着技术的发展,便捷与隐私、隐私与安全的矛盾正在愈演愈烈。
技术发展大势不可阻挡,隐私权不可以忽视。公民对于隐私权的关注度正在提高,相应的,每一个互联网企业都需要明白什么不可为,什么可以为。
否则,只会有越来越多的Kyle、谭某、池子、去承受那些不该有的困惑苦恼。
致谢:
感谢多位专业人士在本文写作过程中提供了非常有价值的观点,特别致谢(排名不分先后):
南京邮电大学信息产业发展战略研究院首席专家王春晖、冲量网络创始人邓海南、中国人民大学法学院教授石佳友。
感谢刘水(化名)等朋友接受关于用户隐私保护话题的调研。
参考资料:
1.《捍卫隐私》,凯文·米特尼克、罗伯特·瓦摩西
2.《信息社会个人隐私权的公法保护研究》,王秀哲
3.《公共领域和私人领域》,汉娜·阿伯特
4.《2019 Year End Data Breach QuickView Report》,Risk Based Security
5.《人脸识别第一案:技术滥用下的隐私之殇》,王梓辉
6.《这是邓玉峰的“秘密”还是我们共同的秘密?》,微艺品
本文来自微信公众号:亿欧网(ID:i-yiou),作者:薄纯敏,编辑:杨旭然