日前,国家网信办发布《网络数据安全管理条例(征求意见稿)》(以下简称《意见稿》),拟加强数据安全防护能力建设。
值得注意的是,此次《意见稿》的基本准则是国家建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施;国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
这意味着我国网络信息安全或将迎来更严监管,个人信息权益有望进一步得到重点保护。
为个人生物特征信息
加一道保险
强制收集生物特征信息给不少人造成了困扰。
“被强制扫脸,让人很不舒服。我认为我们需要多样化的身份认证方式,而不是被强制使用某一种。”山西太原市民刘先生告诉记者,不久前,他居住的小区要求住户刷脸才能进入大门;且门禁卡已失效,如果不录脸,住户进出大门就只能麻烦门卫手动开门。“因此,好多业主及住户不得不去录脸。过了一段时间,部分业主去物业抗议,之后门禁卡才被恢复使用。”刘先生说。
除此之外,各类APP同样喜欢强制录入人脸。北京白领乔西称,自己手机上多款APP的登陆方式都是强制刷脸。“还有部分银行客户端,我每次登陆都要经过重重检测,从身份证、银行卡、登录密码到支付密码、短信验证码,全部验证完了还不够,一定要再来一次人脸识别。现在不到万不得已,我一般不轻易打开这些APP。”乔西表示。
互联网技术的飞速发展,在给人们工作、生活带来便利的同时,也埋下了一些信息安全隐患。针对网络上个人隐私信息泄露、APP强制用户人脸授权否则不能使用等情况,《意见稿》指出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
中南财经政法大学数字经济研究院执行院长、教授盘和林在接受中国城市报记者采访时表示:“生物特征属于指向个人的唯一身份识别特征,属于个人的重要隐私信息。如果这些信息被泄露,不法分子或可利用其伪造身份证明,越过个人安全防护栏,使个人遭受不可估量的损失。而一些更加关键的信息比如基因信息,甚至可能对个体未来就业、生活带来诸多不便,或者出现基因歧视等问题。”
那么,这是否意味着今后所有数据处理者都不得利用生物特征进行个人身份认证?
“不是禁止,《意见稿》有两个关键点:一是要给用户选择权,利用人脸还是指纹需让用户选择;二是企业不能收集这些信息或者泄露这些信息,未来此类信息将集中在公共信息管理平台,企业获得身份认证接口,不存储用户信息,但同样能够完成认证过程。”盘和林如是说。
“个人生物特征数据一旦泄露,若落入诈骗组织等非法机构,则会对个人造成灾难性的后果。”全联并购公会信用管理委员会专家委员安光勇告诉记者,如果未来存在一种技术、机制、监管手段或其结合物,能够确保个人生物特征数据百分之百安全,那么到时候这些数据也能为大众提供更便利的服务。
平台或迎更严管控
当APP处于静默状态下,图片、音频等个人信息被无感知收集;关闭定位权限后,要求重新授权的弹窗频繁出现;消费者在某APP平台购物付款时,付费方式连接的运营方也能收集到用户的购物信息,并被用以推送定制化广告;部分聚合充电、聚合加油APP会通过发放优惠券、折扣券的方式鼓励车主提供认证信息,很多车主为了省钱,会“心甘情愿”地给企业提供身份证、驾驶证等资料信息,甚至还有更敏感的个人信息……
今年8月,中国互联网信息中心发布的《中国互联网络发展状况统计报告(第48次)》显示,有22.8%的网民遭遇过个人信息泄露事件。个人信息泄露是占比最高、最为严重的网络安全问题。
近日,工信部针对QQ音乐、58同城、货拉拉等38款APP,就超范围、高频次索取用户权限,非服务场景所必需收集用户个人信息等问题进行通报,并要求其定期整改。事实上,正如工信部通报中透露的,这并非是第一次针对违规APP的通报,此前已经有多次涉及违规APP不同问题进行的通报。
作为个人信息处理的首要环节,收集是个人信息保护治理的关键。此次《意见稿》明确规定,企业不得利用平台收集数据损害用户合法权益,如利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据。
此外,《意见稿》中还有另一个细化要求引起了中国城市报记者的注意,即“日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意”。
这在一定程度上也为营造良好的网络营商氛围奠定了基础。在盘和林看来,日活过亿的大型互联网平台将成为公共基础设施,其规则将更接近于一种制度被固定下来。《意见稿》的规定尽管降低了大型互联网平台规则制定的灵活性,但可以防止重大安全问题的发生。
为将商业利益最大化,不少APP过度索权、个人用户信息被滥用已屡见不鲜,该如何杜绝这一现象?
“其实,这是源于经营主体对数据的错误理解。部分企业认为拷贝数据是零成本行为,应多多益善。但事实上,数据的搜集、保存和使用等环节都有成本,如资金成本、时间成本以及风险成本。当这些企业了解到过度索权、滥用数据并不能带来利益最大化,反而带来更多损失时,这一现象也会缓解。”安光勇说。
盘和林认为,除通过执法来规范行为外,还应鼓励全民参与,要赋予用户知情权和同意权;同时也要为用户提供申诉渠道,要调动用户的积极性,敢于发现问题、提出问题,才能解决问题。此外,还要汇聚多方力量,企业、政府、电信运营商、互联网平台等都需要参与到数据安全保护上来,形成合力。
三法并行
推动数字经济健康发展
有网友戏称,互联网时代是信息“裸奔”的时代,任何用户的信息和消费行为都是大数据的网中之鱼。然而,不法企业利用个人信息疯狂敛财的乱象有望得到终结。
以人为本原则一直是我国数字经济发展的核心。今年以来,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规密集出台,再加上2017年施行的《中华人民共和国网络安全法》,三法并行成为国内网络空间治理和数据保护的“三驾马车”。因此,有从业者称,2021年堪称中国数据安全元年,网络安全或将迎来新的时代。
“数据安全已上升为重要的非传统国家安全层面,三法并行对网络营商环境的法治化具有实质性推动作用。”重庆理工大学经济金融学院副教授王文涛在接受中国城市报记者采访时表示,尤其是《意见稿》中提出的建立数据分类分级保护制度、境外上市网络安全审查制度等,针砭时弊、切中要害,给互联网企业附上“紧箍咒”,为网络数据安全增添“安全阀”。
在安光勇看来,对于此前比较激进、缺乏客户信息保护概念的企业来说,这些法律法规会成为令其陷入噩梦的利剑,其业务会遭受很大的打击;但对于更多守法的正规企业,这些法律则提供了一个可靠的行动依据及指南,能更好地为其业务的顺利开展保驾护航。
“过去,我们推动数字经济发展;如今,我们推动数字经济健康发展。”盘和林直言,三法并行说明我国越来越重视数字经济发展的稳健性,也越来越关注到数字经济发展过程中所产生的问题。“解决问题、制定规则之后,数字经济才能走得更远。”他说。