数据产业从入门到入狱 谁在背后偷取隐私?
五、监管,徐徐而来的数据保护者
事实上,个人隐私泄露的问题,以引起监管部门的重视。
今年以来,一些大数据爬虫公司的高管已被捕入狱,最为夸张的时候,一个月之类,便有5—6家知名的大数据公司被一锅端,整个行业风声鹤唳。与此同时,一些小公司也在毫无防备之下,被警方上门逮捕。
早在今年年初,有知情人士告诉记者,很多猎头也被抓了,原因是他们手中掌握了太多的个人信息。
个人及企业数据被窃取,大多与APP有关。一些机构以APP为触角,借提供服务知名,公然收集用户信息。但眼下,这条路正在被堵死。
12月4日,国家网络安全通报中心在发布《公安机关开展APP违法采集个人信息集中整治》一文中称,自2019年11月以来,公安部门便加大了打击整治侵犯公民个人信息违法犯罪力度,并对违法违规采集个人信息的APP进行集中整治,查处整改100款违法违规APP及其运营的互联网企业。
这其中不但包含一些有头有脸的城商行、金融贷款机构,还包含一些教育机构,以及常用的拍照软件及商城。他们被整改主要原因是,对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。
但其实,对于网络运营者采集用户信息的相关规定早在2017年6月就有出台。
《网络安全法》规定,未经被收集者同意,不得向他人提供个人信息;也不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;而对于被收集者同意的,网络运营方也需要明示收集、使用信息的目的、方式和范围。
对此,大多数运营方确实会在协议中注明对用户个人信息的使用用途,但鲜有运营者会提及,用户的个人信息会被商业化输出。
另在,我们国内存在的现象是,目前,大多数互联网放贷机构及一些大数据公司对于用户信息的收集,大多没有底线,不但千方百计从各个渠道爬取用户的信息,还会直接进行贩卖。
“用户在我这里消费,获取用户的数据其实是合理的。但问题是谁来监管数据的对外提供。”业内人士阳称,如果数据是为自己公司内部所用,都是符合规定的,无可厚非。
但如果对外提供,根据“是否容易识别出用户本人”的标准,姓名、通讯录肯定不能直接露出的,家庭地址、年龄等均要做模糊处理,简单来讲就是当公司对外提供数据时,要进行“匿名化信息处理”。
对此,日本方面就有明确的规定。2015年,日本在个人信息保护层面曾修正过一部法律,对于个人信息的使用解释权,是归数据采集方所有。但如果这家企业要对外提供个人信息,那么这个信息就要进行处理。而处理的标准就是“是否容易识别出用户人”。
某些平台可能有用户较为完整的个人信息,像姓名、年龄、征信、学籍等信息。如果他们要将这些信息提供给金融机构,那么最终提供的信息要符合“不容易识别出用户本人”的标准。
“若提供的信息,很容易与金融机构的数据进行匹配并立即锁定某个用户,那这种数据提供的行为就属于侵权。”张阳向记者介绍到日本关于个人的数据保护。
“但国内像日本这样的规定目前还没有,更多是企业自行立定条款去约束,可以说是口碑约束。小型互联网公司,有没有这样的职业操守,就不好说了。”
而对于个人与运营方之间的数据隐私协议,大连理工大学法学副教授陈光表示,APP运营商与用户签订的隐私协议或数据采集协议只是两方之间的,并没有第三方监管,协议是否公平,需要权衡,也需要有关部门必要的认可和审查。
另外,陈光认为,一些大型机构掌握了大量的用户数据,这些机构将用户的数据进行加工,并商业化,若没告知用户,其实存在一定的问题。监管部门应该出台相关的法律法规,对机构将个人数据进行加工输出的商业化行为,进行规范。
数据对于企业的发展很重要,但也事关用户的个人隐私与安全,机构如何在个人数据的使用和隐私保护之间寻求平衡,显然是亟需解决的当务之急。
(应受访者要求,文中李林、刘浩、杨爽、严惠、王敏、袁雨、胡涛、张阳为化名)