大数据时代如何防止“数据裸奔”

综合 总120期 2018年11月号 特别策划
从年初披露的Facebook主动泄露用户信息给“剑桥分析”,到八月份华住酒店用户信息被黑客在网上明码标价兜售事件,再到发生于四年前却近期才被发现的万豪酒店5亿住户信息泄露事件。那么,在大数据时代,谁又该为用户隐私负责呢?

    《环球市长》杂志    GLOBAL MAYOR MAGAZINE

       11月30日晚,万豪国际集团对外公布,集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。万豪的事故更像是一个缩影,近年来无论国内还是国外酒店集团,为拓展直销渠道都在大力发展会员计划,但屡屡发生的客户数据泄露事件也向酒店后台的数据安全防护机制发起了考问。

       犹记得,2018年年第一周,大众关于数据隐私的焦虑达到了小高潮。阿里、腾讯、百度和今日头条相继因为用户数据安全被送上头条。《黑镜》所描绘的“被科技寡头垄断的绝望世界”,似乎正在现实生活中投下影子。

秘密无处隐藏

       最先挑拨敏感神经的是微信。2018年第一天,吉利控股集团董事长李书福在某个论坛上说:“马化腾肯定天天在看我们的微信”。此言一出,9亿多微信用户惊出一身冷汗。尽管腾讯回应“没有权限、也没有理由去‘看你的微信’”,但别忘了,多伦多大学公民实验室(Citizen Lab)曾多次发表报告称,微信可以自动审查包含某些词的内容,包括图片在内。

       支付宝年度账单紧随其后。这个被朋友圈刷屏的营销活动被律师质疑默认勾选、套取用户数据。

       之后上头条的是今日头条。网友“互联网路人”称,自己摘草莓后,今日头条客户端就推荐了相关资讯,此前他既未在今日头条搜索草莓相关词汇,也没有点击相关文章。他怀疑今日头条利用麦克风权限窃听了自己的谈话内容。

       百度的麻烦是,被江苏省消保委以涉嫌违法获取消费者个人信息提起诉讼,后者指控百度旗下APP涉嫌“监听电话、定位”。尽管百度强调“不会、也没有能力监听电话”,但《新京报》报道称,只要用户给予相关权限,技术上是可以做到监听等操作的。

       更早一点,360旗下水滴直播平台上出现不少餐厅、网吧、服装店等公共空间的监控画面,观众用弹幕肆意点评就餐者的吃相、和同伴的关系,而被直播的人们毫不知情。

       据《纽约时报》报道,Google Play商店的两百多个游戏都会适配一种软件,用来监听用户家中的电视观看习惯。这些数据会被提供给广告商,从而向用户推送更加精准的广告。

       ……

       互联网用户数据的使用、管理与保护等议题以这样的方式再次进入公共视野。“你可以默认自己的信息已经被泄露。包括身份证、银行卡、手机号、邮箱等关键信息,都可以默认已经在攻击者的数据库中。” 猎豹移动安全专家李铁军在接受《中国经营报》采访时表示。

数据为何、如何被获取和争夺

       数据是人工智能的学习养料,是未来的石油。阿里巴巴创始人马云在去年6月的一次演讲中,甚至将以数据为基础的人工智能竞争上升至“第三次世界大战”的高度;苹果CEO库克说,iPhone的未来就在人工智能。

       根据金融公司高盛近期发布的AI报告,中国每年产生的数字信息约占全球的13%。到2020年,随着中国成为全球最大的经济体,中国产生的数字信息会占到20%至25%。

       根据公开资料,腾讯的数据存储中心存储总量大于1.5万个全球最大图书馆的总量。这些运营数据已经积累了18年,且以每天500TB的数据量上升。这些数据在以精准营销和互联网金融的方式变现;在更大的时间维度来看,它们有着更大的想象空间。

       而对用户来说,在这个大数据时代,生活的每一个角落都布满互联网公司的触手,你的起床时间、通勤轨迹、搜索记录、消费喜好、常去的餐馆、闲逛路线、收货地址都被成千上万只复眼观察、记录、分析。这些信息被追踪、拆分、交易、共享,你只能眼睁睁看着个人隐私越来越稀薄,却无能为力。

       这些数据都是在你默许的情况下,被正大光明地获取。数据安全的另外两个威胁,来自行业内鬼泄露和黑客非法攫取。

       腾讯社会研究中心与DCCI互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》显示,手机APP越界获取个人信息已经成为网络诈骗的主要源头。高达96.6%的安卓应用会获取用户手机隐私权限,而iOS应用的这一数据也高达69.3%。越界获取隐私权限是指手机应用在自身功能不必须的情况下获取用户隐私权限的行为。

       我国《网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

用户个人信息靠什么保护?

       科技或许是中立的,但资本逐利,用道德约束它们太过脆弱。我们能做的,一是提高数据安全意识;二是健全监管机制。

       美国“棱镜门”揭秘者爱德华·斯诺登曾表示,远离监听的方法就是拆除摄像头(尤其是前置)和麦克风。这对普通用户有点不太现实,但像扎克伯格那样,用胶带粘住电脑的前置摄像头还是可行的。

       另外,消费者应该提高数据安全意识,在使用各项应用前仔细查阅用户服务协议、管理各项软件系统权限,及时关掉麦克风、录音等敏感权限。

       同济大学法学院副教授刘春彦表示,如果消费者数据安全被侵犯,有两条追责路径可走。第一条是消费者通过民事诉讼维权,但成本巨大——这一方面体现在单个消费者的维权成本,另一方面,大量的诉讼会给司法机关带来压力。目前中国消费者真正愿意诉诸法律维护个人信息安全的情况仍然少见。

       所以,通过行政监管机构进行监管是非常重要的手段——也可能是唯一可行的手段。

       2015年,欧盟执行委员会曾通过一份《一般数据保护条例》。这被认为是目前最严格的数据保护法律——尤其是巨额的惩罚上限。对于不太严重的违法,罚款上限是一千万欧元或前一年全球营业收入的2%(两值中取大者);对于严重的违法,罚款上限是两千万欧元或前一年全球营业收入的4%(两值中取大者)。这份条例让Facebook等科技巨头都受了教训。

       但是我国,数据安全是一条“九龙治水”的河流。“在国家层面,并没有明确规定个人信息保护由哪个部门负责。必须有一个明确的国家机构对个人信息隐私安全进行监管。”刘春彦说。

       互联网大佬们往往这样回应数据安全的质疑:“你要享受多少便利,就得让渡多少隐私。”但事实上,很多时候如刘春彦所说:“你没有获得便利,隐私还是被侵犯了。”

       目前,虽然已有《民法总则》《消费者权益保护法》《电子商务法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》等近40部法律、30余部法规和200部规章制度,都涉及对个人信息的保护条款,但总体来看,相关法律法规仍相对分散,虽然规定了企业对保护个人信息所负的法律义务,但并未具体规定企业应有的信息保护安全制度,也缺乏具体考核标准。可见,保护个人信息依然需要有更为清晰、严谨和有逻辑性的规定。今年9月份,《个人信息保护法》被写入十三届全国人大常委会立法规划的第一类项目,拟在本届人大任期内提请审议,如果《个人信息保护法》能顺利出台,将对如何保护个人信息提供系统性指引。

SHARE THIS ARTICLE 分享至