2019年3月6日,扎克伯格在Facebook上发布一个帖子——“A Privacy-Focused Vision for Social Networking”。这是他面对近年来Facebook一系列“隐私事件”缠身后的思考和对Facebook的重新定位。facebook泄露门事件让扎克伯格站在美国国会参议院面前就“脸书、社交媒体隐私和数据的使用与滥用方面的问题”接受质询。这次扎克伯格以“构建以隐私为中心的消息传递和社交网络平台的愿景和原则”,从私人加密、安全的数据存储等方面发表了自己的意见,并称:“这里有很多事要做”。
关于扎克伯格的举动,从用户的角度来说,无疑是持肯定态度的,因为用户都希望能拥有高效、高质和安全的社交工具。但他的这一表态是否能够最终实现,可能还需要时间的检验。
个人信息、个人敏感信息、个人隐私信息,是目前常见的与信息保护有关的名词。关于个人信息,在2016年出台的《网络安全法》中明确规定:个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
个人敏感信息,在2018年实施的《信息安全技术个人信息安全规范》(以下简称《规范》)对其做出了一个判定标准:是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
《规范》还用附录的形式,详细列举了个人敏感信息的范围和类型,是目前国内对于个人敏感信息最全面的判定标准,对企业以及客户本身而言,在安全使用数据方面具有极强的现实指导意义。此外,针对个人信息面临的安全问题,《规范》还对个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为做出了明确要求,指明了方向。
关于个人稳私,暂时还没有法律的明确定义。在与网络安全、个人信息有关的部门法中的个别条款中仅涉及到个人隐私保护的内容,如《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息;《电子商务法》第二十五条规定有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供;《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》自然人因下列人格权利遭受非法侵害,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理:违反社会公共利益、社会公德侵害他人隐私的。个人隐私法律保护的缺乏,导致了社会对隐私的探求,甚至是对隐私的侵犯,已经成为影响互联网发展进程的阻碍因素。无论是守法者还是执法者,对于个人隐私的判定都存在了一定的难度,“法无明文规定”成为了一些违法者的保护伞。
2016年11月7日出台的《网络安全法》是我国第一部基本法意义上的网络安全立法,标志着我国网络安全法治建设进入了崭新的阶段。《网络安全法》内容涵盖网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等重要制度,尤其是对个人信息及保护做出了明确的规定,这是从立法的角度,对我国的网络安全保护具有十分重要的意义。
随之,《个人信息保护规范》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律法规和规范性文件的出台,与《侵权责任法》《关于加强网络信息保护的决定》《消费者权益保护法》《居民身份证法》等等法律和决定中规定的个人信息保护条款,从不同角度对各自领域的自然人隐私权和个人信息进行保护:一方面,在侵犯自然人隐私权和个人信息行为较为严重的领域,明确当事人各方的权利义务;另一方面,规定了侵犯隐私权和个人信息的民事责任、行政责任及刑事责任,加大惩罚力度,进而实现了个人信息在全方面立法的保护。
但是这些法条规定的复杂多样、零散单一等因素的存在,又导致个人信息保护的社会缺失,最明显的是对互联网依赖成性的用户,丝毫没有感受到法律对于个人信息保护的作用。各种应用软件过度收集个人信息、骚扰电话无处不在、电信诈骗案件、侵犯公民个人信息案件屡禁不止。因此,虽有立法,但法律的落实到位已刻不容缓,让重法重罚、重典法治在社会中留下深刻印象,以有效保护个人信息。
扎克伯格关于个人隐私的视角,对我们国内企业来说,敲响了个人信息保护的警钟。同时也更应该撕开国内企业对个人隐私保护的不重视、不负责态度,不能继续以“怀抱琵琶犹遮面”的态度操控个人用户的信息。
扎克伯格以下关于个人隐私保护的可行性方法以及落实措施,既是Facebook的目标,也是国内监督管理和执法部门还有企业应当思考的问题。
1.完善技术保护措施,打造个人信息防护平台
扎克伯格提出从私人互动、加密、降低持久性、安全、可操作性、安全的数据存储、私人互动作为基础、加密和安全、减少永久性、互通性、安全数据存储等方面在保证甚至提高用户体验,保证即时通信便利的前提下,为用户提供更隐私的社交平台。
扎克伯格提到通过点对点的加密技术加强对个人信息的保护,目前技术层面通常采取防火墙、防病毒、加密、数据安全存储等措施保护个人信息。我国《网络安全法》第十条也明确要求建设、运营网络或者通过网络提供服务,应当采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第二十一条要求网络运营者应当按照网络安全等级保护制度的要求,履行采取数据分类、重要数据备份和加密等措施,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
对于大部分企业来说,在打造大数据平台,抢占信息市场的同时,也旨在建立信息安全运行与管理的基础平台,构建整个系统信息安全的安全支撑体系,保证各种业务应用的安全运行,通过技术手段实现信息系统安全可管理、可控制的目标,使安全保护策略贯穿到信息系统的物理环境、网络层、系统层、应用层、数据库和管理体系的各个层面。
2.界定信息分类,重新打造信息存储期限标准
扎克伯格提出限定数据存储时间的问题,他认为可以设定有些数据自动销毁的时间点,而不是永久保留,“人们可以确信他们对彼此说的话是安全的,他们的信息和内容不会永远存在”。关于这点我国《信息安全技术 个人信息安全规范》对个人信息控制者要求个人信息保存期限应为实现目的所必需的最短时间;超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理的规定基本一致。但有些法律却要求有些信息需要永久保留,目的是保证一些数据的可追溯性。而如按扎克伯格所说,则可能需要严格区分必须永久保留不得销毁的数据,可以在一定期限保留的数据,需要应用户要求销毁的数据等,而关于这些内容,还需要立法加以规范。
3.加强政府与企业、个人信息合作,减少壁垒
我们看到扎克伯格特别提出个人隐私保护中存在“过度干预的政府”这个障碍,扎克伯格说:“一些人也越来越担心,技术可能会将权力集中在政府和像我们这样的公司手中。人们希望我们采取额外措施来保护他们最私密的数据。对我而言这似乎是对的,只要我们花时间构建适当的安全系统,尽可能在加密服务的范围内阻止不良行为。”关于这一问题,往往是个人利益与社会利益、国家利益的冲突。比如《网络安全法》第一方面出于国家安全和侦查犯罪的需要,根据法律规定,需要企业存储用户某些数据,一方面,又存在数据泄露、有权机关滥用执法权的风险。有人认为,只要是出于国家利益、社会利益、国家安全、侦查犯罪的需要,企业就应当无条件向有关部门提供数据,另一方面,出于对个人信息的保护,可能又要拒绝政府部门的要求。在这样的情况下,企业该何去何从?比如全国对用户隐私保护声誉最高的瑞士银行,可以拒绝任何来自非用户的调查请求,所以全球很多用户慕名将存款存在瑞士银行,但这也从某种程度上给个别非法资金提供了一个高枕无忧的避风港,助长了违法犯罪行为。所以如何做到既能保护用户的个人信息,又能满足政府部门的需要,这也是很多企业面临的难题。
以上三点既是国内外企业在保护个人信息重点关注的问题,也是个人信息保护的难点问题。扎克伯格最后说:“在接下来的一年及以后,我们会做很多与上述原则相关的细节工作和评估工作。现在,很多工作都处于早期阶段。”
虽然我们能够预见到这个愿望的实现需要时间和能力的检验,但毕竟他敢于站在世界面前、在自己的用户面前表明这样一个态度。“只有把最开始遇到的问题解决好,才能为解决后面的问题铺平道路。我们需要对互联网未来可能出现的问题有一个明确立场”扎克伯格说,“我认为,我们应该努力构建一个让人们能在确保隐私的条件下自由生活和说话的世界。”
最后我希望,在网络社会,我们每个人都不再是“生活在透明鱼缸里的鱼”。
