作者:南都个人信息保护研究中心
在中国网络空间治理和个人信息保护发展史上,2017年应该是值得铭记的一年。个人信息保护环境不断改善,典型事件引发全国关注,政府监管加强、企业制度规范,大众意识提升。梳理回顾这一年,我们认为有十件大事值得记录。
2017年1月
入选理由:我国首例大数据不正当竞争纠纷案,法院判决明确第三方平台获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。此案不仅再次警醒第三方平台必须遵守商业和道德秩序,也提醒所有互联网企业:大数据可以买卖,但用户个人的隐私数据决不能任意流通和买卖。
2017年5月 两高发布办理侵犯公民个人信息刑事案件司法解释
入选理由:最高人民法院、最高人民检察院发布新的司法解释,明确了“公民个人信息”的范围和“非法获取公民个人信息”的认定标准。这是两高首次就打击非法获取公民个人信息犯罪作出相应司法解释。
2017年6月 《中华人民共和国网络安全法》正式实施
入选理由:2016年11月获得高票通过,今年6月正式实施。信息买卖黑灰产日益猖獗,侵犯公民个人信息、电信诈骗等犯罪高发态势下,网安法为个人信息保护筑牢了法律防线,在中国和全球网络发展中,具备划时代意义。网安法正式实施半年来,各地已适用多起相关执法案例,对信息买卖、网络运营者保护用户信息不力等现象,起到了重要的遏制作用。
2017年7月 “徐玉玉案”主犯被判无期徒刑
入选理由:黑客出卖考生信息、骗子按剧本分工作案,完整的黑产链条下,准大学生徐玉玉倒在了新生活的入口,令全国上下痛惜不已。对主犯顶格量刑,传递出从严打击电信网络犯罪、肃整互联网秩序的强烈信号。
2017年8月 情侣入住民宿发现暗藏摄像头
入选理由:杭州情侣通过Airbnb预定台湾民宿,入住后竟发现卧室、浴室内暗藏摄像头,洗澡等隐私视频均被拍下。共享经济和电子设备不仅方便了普罗大众,也为某些居心不良之人提供了便利。个人、企业和政府,都须直面挑战。
2017年8月-9月 四部委联合测评,10款常用APP更新隐私条款
入选理由:人们已习惯借助手机APP完成社交、购物、出行等生活日常,却很难完全搞懂这些 APP 的隐私条款在说什么。中央网信办、工信部、公安部、国家标准委等四部门联合“亮剑”,10款网络产品和服务完成更新,把选择、注销甚至被遗忘的权利交还用户,为行业发展做出示范。
2017年9月 人工智能成窃取公民个人信息“帮凶”
入选理由:政府的管控和打击网络越织越密,企业的自身管理日渐规范,黑产也学会了与时俱进。当黑产用上人工智能,“码农”下岗了。人工智能的“双刃剑”效应,似乎比我们预期中来得更早。个人信息保护,是一场攻防不断升级的持久战。
2017年11月 部分政府和高校官网泄露个人信息
入选理由:信息公开变成不当公开,公民的姓名、住址、身份证号、银行账户等隐私信息通通被昭告天下,部分政府和高校人员好心却办了坏事。日新月异的互联网环境凸显新的矛盾,政府人员的办事方法和思想意识都须跟上。
南都个人信息保护研究中心2018年展望
物联网急速发展、人工智能走向商品化、5G蓄势待发、共享经济的黄金时代开启……对于即将到来的2018年,各种版本的预测都在勾勒一个万物互联、生机勃勃的世界。
与此同时,这些不断渗入我们生活的变化,会为个人信息保护领域带来哪些新现象、新问题?我们从媒体的角度出发,认为或有以下几点值得思考:
一、物联网发展让公众对隐私更敏感
今年9月,工信部副部长罗文在2017世界物联网无锡峰会上表示,2016年全球物联网市场近700亿美元,同比增长21%,预计2018年市场规模有望超过千亿美元。
如此庞大的市场规模,意味着终端将从电脑与手机转变为各种嵌入计算机系统的传感设备:智能家电、智能玩具、智能穿戴设备、摄像头等等。随着指纹、面部特征、行为、影像等更多形式的信息被获取,大数据与智能也将全面走进人们的生活,甚至人们的家中、卧室中。
公众对于这一现象的反应如何?我们试着以2017年引起舆论巨大关注的红黄蓝幼儿园事件为例做了以下分析:
在本次事件中,有几个在舆论中被广为传播的关键词:一是“针眼”,即家长在儿童身上发现针眼;二是“白色药片”或“药片”,即有家长表示幼儿园喂食药片给儿童;第三个关键词是“望远镜”,即有家长表示,幼儿园老师说“我有一个长长的望远镜可以伸到你家里,你做什么我都知道”。
这三个关键词在本次事件中都成为热词,被广泛提及,我们利用微信指数、百度指数与微博微指数三个平台提供的热词分析得出以下数据图:
在中国网络空间治理和个人信息保护发展史上,2017年应该是值得铭记的一年。个人信息保护环境不断改善,典型事件引发全国关注,政府监管加强、企业制度规范,大众意识提升。梳理回顾这一年,我们认为有十件大事值得记录。
2017年1月
入选理由:我国首例大数据不正当竞争纠纷案,法院判决明确第三方平台获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。此案不仅再次警醒第三方平台必须遵守商业和道德秩序,也提醒所有互联网企业:大数据可以买卖,但用户个人的隐私数据决不能任意流通和买卖。
2017年5月 两高发布办理侵犯公民个人信息刑事案件司法解释
入选理由:最高人民法院、最高人民检察院发布新的司法解释,明确了“公民个人信息”的范围和“非法获取公民个人信息”的认定标准。这是两高首次就打击非法获取公民个人信息犯罪作出相应司法解释。
2017年6月 《中华人民共和国网络安全法》正式实施
入选理由:2016年11月获得高票通过,今年6月正式实施。信息买卖黑灰产日益猖獗,侵犯公民个人信息、电信诈骗等犯罪高发态势下,网安法为个人信息保护筑牢了法律防线,在中国和全球网络发展中,具备划时代意义。网安法正式实施半年来,各地已适用多起相关执法案例,对信息买卖、网络运营者保护用户信息不力等现象,起到了重要的遏制作用。
2017年7月 “徐玉玉案”主犯被判无期徒刑
入选理由:黑客出卖考生信息、骗子按剧本分工作案,完整的黑产链条下,准大学生徐玉玉倒在了新生活的入口,令全国上下痛惜不已。对主犯顶格量刑,传递出从严打击电信网络犯罪、肃整互联网秩序的强烈信号。
2017年8月 情侣入住民宿发现暗藏摄像头
入选理由:杭州情侣通过Airbnb预定台湾民宿,入住后竟发现卧室、浴室内暗藏摄像头,洗澡等隐私视频均被拍下。共享经济和电子设备不仅方便了普罗大众,也为某些居心不良之人提供了便利。个人、企业和政府,都须直面挑战。
2017年8月-9月 四部委联合测评,10款常用APP更新隐私条款
入选理由:人们已习惯借助手机APP完成社交、购物、出行等生活日常,却很难完全搞懂这些 APP 的隐私条款在说什么。中央网信办、工信部、公安部、国家标准委等四部门联合“亮剑”,10款网络产品和服务完成更新,把选择、注销甚至被遗忘的权利交还用户,为行业发展做出示范。
2017年9月 人工智能成窃取公民个人信息“帮凶”
入选理由:政府的管控和打击网络越织越密,企业的自身管理日渐规范,黑产也学会了与时俱进。当黑产用上人工智能,“码农”下岗了。人工智能的“双刃剑”效应,似乎比我们预期中来得更早。个人信息保护,是一场攻防不断升级的持久战。
2017年11月 部分政府和高校官网泄露个人信息
入选理由:信息公开变成不当公开,公民的姓名、住址、身份证号、银行账户等隐私信息通通被昭告天下,部分政府和高校人员好心却办了坏事。日新月异的互联网环境凸显新的矛盾,政府人员的办事方法和思想意识都须跟上。
南都个人信息保护研究中心2018年展望
物联网急速发展、人工智能走向商品化、5G蓄势待发、共享经济的黄金时代开启……对于即将到来的2018年,各种版本的预测都在勾勒一个万物互联、生机勃勃的世界。
与此同时,这些不断渗入我们生活的变化,会为个人信息保护领域带来哪些新现象、新问题?我们从媒体的角度出发,认为或有以下几点值得思考:
一、物联网发展让公众对隐私更敏感
今年9月,工信部副部长罗文在2017世界物联网无锡峰会上表示,2016年全球物联网市场近700亿美元,同比增长21%,预计2018年市场规模有望超过千亿美元。
如此庞大的市场规模,意味着终端将从电脑与手机转变为各种嵌入计算机系统的传感设备:智能家电、智能玩具、智能穿戴设备、摄像头等等。随着指纹、面部特征、行为、影像等更多形式的信息被获取,大数据与智能也将全面走进人们的生活,甚至人们的家中、卧室中。
公众对于这一现象的反应如何?我们试着以2017年引起舆论巨大关注的红黄蓝幼儿园事件为例做了以下分析:
在本次事件中,有几个在舆论中被广为传播的关键词:一是“针眼”,即家长在儿童身上发现针眼;二是“白色药片”或“药片”,即有家长表示幼儿园喂食药片给儿童;第三个关键词是“望远镜”,即有家长表示,幼儿园老师说“我有一个长长的望远镜可以伸到你家里,你做什么我都知道”。
这三个关键词在本次事件中都成为热词,被广泛提及,我们利用微信指数、百度指数与微博微指数三个平台提供的热词分析得出以下数据图:
左图:微信指数 ;右图:百度指数 下图:微博“微指数”
从图中来看,这一舆论事件爆发于11月23-24日,11月24日,“望远镜”一词迅速超越其他词汇在舆论指数中冲顶。
可以看出,虽然“针眼”和“药片”会引起人们的愤怒,但“望远镜”一词对公众的触动远远高于另两个关键词。有网民评价:“长长的望远镜伸到你家里”是近几年听到过的最恐怖的一句话了;甚至有网友用了“毛骨悚然”这样的词汇来形容这句话。
多份互联网信息传播规律的研究都显示,愤怒与共情是引起人们关注的主要原因。在这个事件中,与另两个词汇只引起愤怒不同,“望远镜”一词同时引起了社会公众的愤怒与共情。这意味着,隐私由于涉及到每一个个体,它本身就能轻易地同时引起两种情绪,更易形成舆论热点。
在日前发布的《2018年安全预测报告》中,著名的全球互联网安全公司Forcepoint在“2018年互联网防御的重点与措施”中提出,接入量大、安全性差是物联网容易被攻击的两大主因。以智能家居为例,在开发的时候,智能家居往往以方便消费者使用为主,其安全机制并不完善,2018年的发展趋势可能不单是对单个家庭的物联网展开攻击,而是利用物联网背后的整个系统作为攻击平台,制造大规模的破坏,这种破坏的一个后果便是用户信息的大规模泄露。
Forcepoint的预测并非只针对美国或其他发达国家,中国的互联网行业正在以领导者的姿态逐渐走向世界舞台中央,这意味着中国物联网也将先行体验这一新兴行业的风险。如若没有充足的准备,物联网尚未普及,公众便已经与物联网企业间形成一种不可逆的不信任关系。
二、互联网巨头生态圈建设引起用户数据共享安全担忧
近年来,网络上流行一种说法:产品型公司值十亿美元,平台型公司值百亿美元,生态型公司值千亿美元。
随着互联网巨头不断并购和布局上下游周边业务,体积不断膨胀,其最大的公司资产——用户数据也面临如何与第三方共享,如何与用户形成协议等问题。
南都个人信息保护研究中心选择了今年8月接受四部委隐私条款评测的十家互联网企业,查阅其隐私政策中有关“第三方共享”的条款。我们发现,十家互联网企业对于共享用户和人信息的条款存在差异,但可归纳出几点共通之处:
1.所有企业都提到明示并获得用户同意后,就可以与任何第三方共享用户信息。
2.一些企业提到,可能不经过用户同意与关联公司或合作伙伴共享用户信息。
3.一些企业提及将会与第三方签订保密协议。
4.一些企业提到会对个人信息进行去标识化处理。
上述处理方法可能会带来的风险包括:
1.用户在授权第三方获取信息时是否做到了充分知情?
今年,南方都市报的调查报道发现,一些为借贷平台提供用户信用调查的第三方,在取得用户授权时,只简单一句“是否同意我们获取你在***平台的相关个人信息以完成服务?”,对于获取哪些信息,用于何处,将怎样保护一律没有告知。
在用户糊里糊涂点击同意后,第三方平台获得了包括用户个人敏感信息在内的38页信息。我们无法认为用户在这一过程中实现了知情同意。同时,收集用户信息的平台过于轻易地交出了自己的数据资产,也不得不在这一过程中与第三方平台一起承担信息泄露的风险,并可能失去用户对于平台的信任。
2.随着互联网建设生态圈的战略规划,用户的信息将在一个越来越大的范围内被共享,这种共享是否经过用户同意,是否已经去标识化,目前各家互联网企业尚未有统一的处理方式,随时面临合规风险。
《网络安全法》第四十二条规定,未经被收集者同意,不得向他人提供个人 信息。但是,经过处理无法识别特定个人且不能复原的除外。但对于“经过处理无法识别特定个人”,“收集者同意”等要求只是原则性的规定,还有待配套法规进行更为详细的规范。
在网安法实施两个月后,全国人大常委会执法检查组对法律落实情况进行了检查,南方都市报对本次检查的结果进行了了解与报道。该报告指出,自网络安全法实施后,国务院相关部门先后出台了相关的配套措施,中央网信办会同有关部门出台了《关于加强国家网络安全标准工作的若干意见》,加快了网络安全国家标准的制定工作。报告指出,目前已经发布198项网络安全国家标准。
据了解,目前一些省份也已经开展了配套法规立法工作,如内蒙古自治区出台的《计算机信息系统安全保护办法》、福建省出台的《福建省电信设施建设与保护条例》等等。
但报告同时也提出,不少单位反映, 网络安全法虽然对数据安全的利用作了规定,但现实中数据运用比较复杂,数据脱敏标准、企业间数据共享规则等,仍需要有关法规规章予以明确。
因此,随着《网络安全法》配套法规的进一步出台,企业需要理清共享用户个人信息的合规问题。
Therefore, with the further promulgation of supporting laws and regulations, enterprises need to get clear on the compliance issue of sharing personal information of users.
基于以上几点,我们认为2018年有以下两点值得关注:
1. 《网络安全法》相关配套法规中对于敏感个人信息做出明确定义,并在收集与共享时做出明确的规定。同时,对于数据的去标识化出台相关标准。
2.“技术中立 平台无责”的说法对于用户不再有说服力,企业勿将用户对隐私的保护意识视作大数据收集的障碍,而应重新审视安全防御机制的设计,摒弃以网关、边界为主的风险防御机制,围绕人的需求与数据流向为核心的安全机制。
我们也欢迎您向我们提供您的观点,2018年,在个人信息保护领域,什么问题最值得关注。可以通过以下方式与我们联系:ppa_nandu01@163.com或者关注我们的微信公众号“隐私护卫队”直接留言。
可以看出,虽然“针眼”和“药片”会引起人们的愤怒,但“望远镜”一词对公众的触动远远高于另两个关键词。有网民评价:“长长的望远镜伸到你家里”是近几年听到过的最恐怖的一句话了;甚至有网友用了“毛骨悚然”这样的词汇来形容这句话。
多份互联网信息传播规律的研究都显示,愤怒与共情是引起人们关注的主要原因。在这个事件中,与另两个词汇只引起愤怒不同,“望远镜”一词同时引起了社会公众的愤怒与共情。这意味着,隐私由于涉及到每一个个体,它本身就能轻易地同时引起两种情绪,更易形成舆论热点。
在日前发布的《2018年安全预测报告》中,著名的全球互联网安全公司Forcepoint在“2018年互联网防御的重点与措施”中提出,接入量大、安全性差是物联网容易被攻击的两大主因。以智能家居为例,在开发的时候,智能家居往往以方便消费者使用为主,其安全机制并不完善,2018年的发展趋势可能不单是对单个家庭的物联网展开攻击,而是利用物联网背后的整个系统作为攻击平台,制造大规模的破坏,这种破坏的一个后果便是用户信息的大规模泄露。
Forcepoint的预测并非只针对美国或其他发达国家,中国的互联网行业正在以领导者的姿态逐渐走向世界舞台中央,这意味着中国物联网也将先行体验这一新兴行业的风险。如若没有充足的准备,物联网尚未普及,公众便已经与物联网企业间形成一种不可逆的不信任关系。
二、互联网巨头生态圈建设引起用户数据共享安全担忧
近年来,网络上流行一种说法:产品型公司值十亿美元,平台型公司值百亿美元,生态型公司值千亿美元。
随着互联网巨头不断并购和布局上下游周边业务,体积不断膨胀,其最大的公司资产——用户数据也面临如何与第三方共享,如何与用户形成协议等问题。
南都个人信息保护研究中心选择了今年8月接受四部委隐私条款评测的十家互联网企业,查阅其隐私政策中有关“第三方共享”的条款。我们发现,十家互联网企业对于共享用户和人信息的条款存在差异,但可归纳出几点共通之处:
1.所有企业都提到明示并获得用户同意后,就可以与任何第三方共享用户信息。
2.一些企业提到,可能不经过用户同意与关联公司或合作伙伴共享用户信息。
3.一些企业提及将会与第三方签订保密协议。
4.一些企业提到会对个人信息进行去标识化处理。
上述处理方法可能会带来的风险包括:
1.用户在授权第三方获取信息时是否做到了充分知情?
今年,南方都市报的调查报道发现,一些为借贷平台提供用户信用调查的第三方,在取得用户授权时,只简单一句“是否同意我们获取你在***平台的相关个人信息以完成服务?”,对于获取哪些信息,用于何处,将怎样保护一律没有告知。
在用户糊里糊涂点击同意后,第三方平台获得了包括用户个人敏感信息在内的38页信息。我们无法认为用户在这一过程中实现了知情同意。同时,收集用户信息的平台过于轻易地交出了自己的数据资产,也不得不在这一过程中与第三方平台一起承担信息泄露的风险,并可能失去用户对于平台的信任。
2.随着互联网建设生态圈的战略规划,用户的信息将在一个越来越大的范围内被共享,这种共享是否经过用户同意,是否已经去标识化,目前各家互联网企业尚未有统一的处理方式,随时面临合规风险。
《网络安全法》第四十二条规定,未经被收集者同意,不得向他人提供个人 信息。但是,经过处理无法识别特定个人且不能复原的除外。但对于“经过处理无法识别特定个人”,“收集者同意”等要求只是原则性的规定,还有待配套法规进行更为详细的规范。
在网安法实施两个月后,全国人大常委会执法检查组对法律落实情况进行了检查,南方都市报对本次检查的结果进行了了解与报道。该报告指出,自网络安全法实施后,国务院相关部门先后出台了相关的配套措施,中央网信办会同有关部门出台了《关于加强国家网络安全标准工作的若干意见》,加快了网络安全国家标准的制定工作。报告指出,目前已经发布198项网络安全国家标准。
据了解,目前一些省份也已经开展了配套法规立法工作,如内蒙古自治区出台的《计算机信息系统安全保护办法》、福建省出台的《福建省电信设施建设与保护条例》等等。
但报告同时也提出,不少单位反映, 网络安全法虽然对数据安全的利用作了规定,但现实中数据运用比较复杂,数据脱敏标准、企业间数据共享规则等,仍需要有关法规规章予以明确。
因此,随着《网络安全法》配套法规的进一步出台,企业需要理清共享用户个人信息的合规问题。
Therefore, with the further promulgation of supporting laws and regulations, enterprises need to get clear on the compliance issue of sharing personal information of users.
基于以上几点,我们认为2018年有以下两点值得关注:
1. 《网络安全法》相关配套法规中对于敏感个人信息做出明确定义,并在收集与共享时做出明确的规定。同时,对于数据的去标识化出台相关标准。
2.“技术中立 平台无责”的说法对于用户不再有说服力,企业勿将用户对隐私的保护意识视作大数据收集的障碍,而应重新审视安全防御机制的设计,摒弃以网关、边界为主的风险防御机制,围绕人的需求与数据流向为核心的安全机制。
我们也欢迎您向我们提供您的观点,2018年,在个人信息保护领域,什么问题最值得关注。可以通过以下方式与我们联系:ppa_nandu01@163.com或者关注我们的微信公众号“隐私护卫队”直接留言。