大数据时代个人隐私数据保障的挑战与思考
发布时间:2022-03-23 09:48:31 所属栏目:大数据 来源:互联网
导读:随着信息技术的飞速发展,数据化生存已逐渐成为人类社会运行的常态,数据在公共管理、科学研究、企业营销等领域发挥着重要作用。 疫情发生以来,利用大数据技术分析疫情扩散情况,为政府精准决策、科学防治疫情提供了数据支撑。以阿里巴巴、百度为代表的互联
|
随着信息技术的飞速发展,“数据化生存”已逐渐成为人类社会运行的常态,数据在公共管理、科学研究、企业营销等领域发挥着重要作用。 疫情发生以来,利用大数据技术分析疫情扩散情况,为政府精准决策、科学防治疫情提供了数据支撑。以阿里巴巴、百度为代表的互联网企业,运用数据挖掘和分析技术对消费者购买行为和浏览偏好进行预测分析,生成更有针对性的内容推送和营销策略。 但是,数据在带来信息时代福利的同时亦会引发数据滥用、个人隐私泄露、企业商业秘密受侵犯等诸多问题。纵观全球,隐私数据泄露的案例比比皆是,据统计,2020年互联网数据泄露总条数约为360亿条,数据泄露事件给企业造成的平均损失高达386万美元。2018年,Facebook上亿用户数据泄露事件引发世界舆论的关注。今年7月,Amazon因违反欧盟《一般数据保护条例》(GDPR)条例,被欧盟隐私监管机构处以7.46亿欧元罚款,这也是欧盟有史以来最大的数据隐私泄露罚款。 在我国,隐私数据泄露所涉及的范围日益扩大,陷入困境的行业、企业也越来越多。如美团、饿了么等外卖平台曾被爆出用户资料遭泄露、倒卖,最低不到一毛钱每条的数据,精确到了用户订餐内容、地址等私密信息;万豪集团旗下喜达屋酒店客房预定数据库遭黑客入侵,约5亿名客人的信息被泄露。从以上的案例可以看出,在大数据时代,互联网平台大规模采集用户数据,并将用户的个人信息长期集中化储存,而数据一旦泄露就是大规模的群体事件,不仅侵犯用户的隐私权、侵害公民生命财产安全,还将对互联网企业自身造成不可预估的经济损失,数据泄露后对企业声誉的负面影响也很难消除。 目前,面对个人隐私数据泄露的重大社会问题,许多国家、地区都出台了相关法律法规,试图从宏观角度,对数据隐私的保护提供强有力的支持。我国对个人信息保护的法律法规在近些年陆续出台,如《个人信息保护法》已于今年11月1日起施行,强调在严格保护个人信息的基础上,规范数据的利用与流通,《个人信息保护法》也与《网络安全法》《数据安全法》一起构筑起我国网络空间活动监管的三大基石。 笔者认为,我国数据监管环境趋严对互联网企业既是挑战也是机遇:新法在正式实施后具有权威性,处罚将有法可依;不过这也为鼓励科技企业站在更专业的角度去测评和整改现有平台数据保护的模式提供了机会。 大数据时代个人隐私数据保护的难点与挑战 1、个人使用需求与数据自我保护的矛盾 在万物互联的大数据时代,各类互联网个性化服务和精准推送都无法离开对用户数据的采集。 比如,网购数据会被电商采集和识别、社交媒体使用数据会由运营商收集分析、网络检索行为数据被搜索引擎记录等等。虽然数据采集者在某一个时间和空间上只能截取“碎片化”的个体行为数据,但经过大数据技术对这些数据进行整合,就可以精准定位到某个个体以及与之相关的一系列隐私信息(吴卫华,2019)。 在获得用户数据授权的方式上,最常见的是采用“注册即视为同意《隐私政策》与《Cookie协议》”的默认勾选或“一揽子”授权同意、概括式同意(叶开儒,2020)。当有用户在注册阶段质疑数据的过度采集,点击“不同意”信息被采集的按钮以拒绝Cookie的追踪后,结果往往是无法正常使用网站,并以“闪退”的方式退出网页。 但是,对网络平台有强烈使用需求的用户,他们为了能享受各大平台提供的服务,还是会主动让渡个人信息以获取使用的便捷性。更重要的是,虽然隐私权政策中有说明会把个人数据提供给第三方,却未提供第三方信息,通过格式条款使用户同意了各种不可预见的数据处理行为。 由此可见,用户的使用需求与数据自我保护的矛盾,是我国当前数据隐私保护的难题之一。 2、企业数据安全保护面临外部攻击的挑战 当前,数字技术促使数据应用场景和参与主体日益多样化,数据安全的外延不断扩展,互联网企业数据安全保护面临外部攻击的风险和挑战。 首先,黑客利用互联网平台存在的安全漏洞入侵企业网站,窃取用户数据库导致个人隐私和企业机密泄露。特别是近几年“爬虫”技术的广泛应用,给予了很多不法人员对于数据窃取的可趁之机。 今年6月,河南商丘公开了一份判决书,显示有网络黑客对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有超过11.8亿条用户信息遭到窃取。黑客利用这些信息建了上千个微信群,每天用机器人在群里发淘宝优惠券,赚取返利。早期的互联网和网络邮件的领导者雅虎在遭到黑客攻击后,暴露了雅虎全部用户(超过30亿)的信息,这一事件是至今全球规模最大的单一网站数据泄露案,最终导致雅虎关张。 因此,网站的海量用户数据不仅是企业的核心资产,也是民间黑客攻击的主要对象,大型企业的数据安全管理在大数据时代面临更高的要求。 其次,企业在实现SaaS化服务过程中,会将数据与第三方机构交换与共享,但是,当企业对合作第三方收集使用用户数据的监测、管理不到位时,将会面临潜在的第三方风险。 在Facebook“泄密门”事件中,Facebook上5000万用户的个人信息被第三方机构剑桥分析公司收集,随后建立起用户画像,预测他们的政治倾向,并借助Facebook的广告投放系统,最终影响用户的投票行为。虽然本案的主要责任不在Facebook,但社交网络平台是剑桥分析公司在检测数据时最重要的依仗,Facebook负有不可推卸的责任。 利益驱使第三方机构非法获取、利用个人隐私数据获利的问题同样也是我国互联网企业数据安全保护面临的棘手困境之一。 应对大数据时代隐私数据保护难点的措施 1、缓解个人使用需求与数据自我保护的矛盾可行路径 首先,大数据技术提供服务,离不开对用户数据的采集,但是,如果以一刀切的方式,拒绝提供所有的个人数据来进行数据隐私自我保护,又与消费者寻求优质网络服务以及规范互联网行业发展的需求相悖,在当前的互联网语境下并不适用。 今年9月1日正式实施的《数据安全法》中指出了数据区分的重要性,明确了数据分级分类保护的制度。进行数据分层保护,一方面可以从用户的身份角度考虑,综合用户的性别、年龄、职业等多方面维度进行隐私分级。对于自我保护能力较弱的儿童,其个人数据应列入敏感数据范围之中;另一方面是从数据隐私的内容进行划分,对于宗教信仰、政治观点、健康数据、生物识别数据等敏感数据,在泄露后会对个人隐私产生严重危害,应该是数据隐私自我保护的重点,需进行强力的保护,避免被采集和滥用。 其次,平台隐私政策在制定时需要做同时考虑平台运行的需要与用户隐私感知的满足之间的关系,如过长的隐私政策文本会造成阅读量下降甚至客户流失,个人数据用于新的目的还需再次提醒并征得用户同意,可能导致用户一定程度的“同意疲劳”而不经阅读直接给出同意(曾丽洁,2020)。 因此,我国互联网平台可以参考美国联邦贸易委员会(FTC)《公平信息实践准则》要求下的简化隐私政策的“最优实践”(BEN-SHAHAR O et al.,2016),并且加上警示标志增加用户的关注度。 此外,要更充分地保障用户的知情权,平台可以在显眼的位置注明Cookie的定义、如何使用 Cookie等信息,尤其是隐私权政策应该让用户清楚知道自己的个人信息会在何时被商业利用。 最后,我国民众也需要主动学习网络安全知识和隐私权方面的内容,如定期清理离线缓存文件及Cookies文件;在使用互联网软件时应仔细阅读相关隐私条款,实践中,许多用户并未认真阅读用户协议或隐私政策就直接点了“同意”,这就减弱了授权机制的实际警告效果;在正确判断软件的应用价值和隐私泄露风险,以及权衡各种利弊后再决定是否同意授权个人隐私数据。 2、互联网企业需要提升数据安全防御能力,对合作机构的合规管理及责任划分 在数据隐私侵权主体多样化、数据隐私侵权模式复杂化的大数据时代,潜在的黑客攻击行为越来越多,对企业数据安全保护造成了极大挑战。 腾讯云安全李滨指出,如果企业无法管理好自身拥有的数据,本身就会带来非常大的合规治理方面的约束和风险。因此,现阶段大型互联网企业要强化自身技术能力以对抗数据安全的威胁,确保相关敏感、涉密数据遵循统一的处理策略,对网络系统进行定期技术性检查,防止敏感数据泄露导致对公司、用户以及社会产生严重影响。 同时,对于像腾讯、阿里巴巴、百度等巨头互联网企业来讲,出于技术或业务需要必须进行数据合作时,就要十分谨慎地选择第三方处理者,选择能够采取足够适当的技术和组织措施的处理者。对内部、外部参与各类数据处理活动的当事人及其角色进行梳理、评估和划分,区隔作为控制者与处理者各自的职责及相应的义务(曾丽洁,2020)。对于必须共享和转让给第三方机构的用户数据,要避免共享简化,不能事先利用“一揽子”协议将用户所有相关授权穷尽,而应分项明示。不论第三方是否采取了同样的隐私保护政策,与之进行匹配数据交易前,还需要坚持用户自愿的原则,经过用户的同意方可操作。 (编辑:南通站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
