警惕“隐私悖论”, 企业必须担起保护个人隐私信息和行为信息的责任
加入“ICT销售和大客户联盟”(微信ID:ICT-League),与ICT同行!
“ICT销售与大客户联盟”公众号,集千家厂商、集成商和客户于一堂,致力于ICT领域的价值挖掘和变现,围绕大数据、物联网、人工智能、数据安全、数据资产、合规、运维等ICT领域,分享ICT驱动业务的政策、商业、实战思想、方法、解决方案、人脉、资源、举措、效果,以及盟内成员之间的合作促成等,助您不断的进步和发展。
01
隐私安全突上舆论热情高峰
从李开复的“口误”说起
这个事件很快在网上发酵,各种关于人脸识别应用、公众隐私的文章,在共情效应以及回避风险的本能驱动下,将舆论热情冲到一个高峰。
名人的力量真的很强大啊,过去业内人士喊破嗓子,也没能撬动舆论的一点点关注。
今天关于隐私的关注,必然会影响到企业未来的行为,其实,隐私问题早已在出海企业的身上一次次的显神威了,罚款是小事,更多的是可能引起法律纠纷。
隐私问题一直在看我们的笑话。面对隐私问题,企业和个人必须要做好防备被拖下水的准备。
害人之心不可有,防隐私之心绝对不可无!前不见古人,愿后不见来者,不要等到隐私泄露时,独愤然而泪下!
02
隐私保护不是企业“做不做”的问题
而是“如何做”和“怎么做好”的问题
“口误”引起的热议问题,其实早在1985年就开始有了立法。
欧洲是最早开始重视隐私保护的,过去,隐私问题并不突出,能让大家一下子想起来的词就是“狗仔队”等等,但是随数字化时代的到来,万物互联、人工智能、大数据等等的兴起,一下子就让原本不太引人重视的隐私问题跃然而出,相关法律体系也开始逐步的完善起来。
欧盟推出的GDPR将隐私保护提到了一个前所未有的高度,到目前为止,已经有近百个国家和地区制定了关于隐私保护的法律。我们梳理了一下主要的法律法规如下:
1985年,《越境信息流规则》,国际经合组织
1995年,《数据保护条例》,欧盟
1999年,《金融现代化法案》,美国
2000年,《个人信息保护和电子文档法案》,加拿大
2000年,《安全港隐私保护原则》,美国与欧盟
2001年,《网络犯罪公约》,欧盟
2002年,《联邦安全信息管理法案》,美国
2005年,《个人信息保护法》,日本
2012~2013年,《关于加强网络信息保护的决定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》,中国
2013年,《个人信息保护法》,新加坡
2014年,新《隐私法》,澳大利亚
2015年,《个人数据保护法案》,俄罗斯
2017年,《网络安全法》,中国
2018年,GDPR《通用数据保护条例》,欧盟
2018年,《互联网个人信息安全保护指引》(征求意见),中国
2020年6月,《中华人民共和国数据安全法(草案)》(征求意见),中国
2020年10月,2020版《信息安全技术 个人信息安全规范》,中国
其中,GDPR已经是数据各行各业无法绕开的隐私管理规范和准则。它规定,全球范围内的任何企业,无论企业的数据存储和数据处理放在任何地方,只要在欧盟成员国境内开展业务,或者有任何来自欧盟成员国的客户,就必须保护欧盟成员国民众的个人资料与隐私。
GPPR保护的范围也十分的广泛,包括与你相关的以下类型的隐私数据:
1、基本的身份信息,如姓名、年龄、家庭地址和身份证号码等
2、网络数据,如定位信息、IP地址、浏览器Cookie数据等
3、医疗健康数据
4、生物识别数据,如人脸、指纹、虹膜等
5、种族或民族数据
6、政治观点
7、性取向
企业违反了GDPR得到的处罚十分严重,美国联邦贸易委员就对Facebook开出了50亿美元的罚款单,这张罚单是截止目前为止美国政府机构对企业罚款的最高纪录。
我国对数据安全与隐私保护的也越来越重视,数据安全已成为重要事项。
2020年4月,国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,数据被纳入生产要素的范畴,更提到“加强数据资源整合和安全保护”。
2020年6月颁布的《数据安全法》,强调了总体国家安全观,对国家利益、公共利益和个人、组织合法权益的全面保护。
2020年10月1日即将实施的GB/T 35273-2020《信息安全技术 个人信息安全规范》更侧重于对个人信息、隐私等涉及公民自身安全的保护。其中,不但明确规定了对个人信息的收集、储存和使用规则,而且将重点打击APP的“强制索权、捆绑授权、过度索权、超范围收集”等现象。
隐私保护是企业数字化转型之路上必将面临的最严峻挑战。做不好会给企业带来巨大经济损失:产品下架整改、名誉受损等已经算是运气了,更为严重的后果包括商业模式彻底被粉碎、企业主要负责人承担法律责任等。
(工信部:蛋壳公寓等23款App进行下架处理)
目前,我国对侵害用户隐私权益行为的打击力度是空前的。前段时间工信部已经通报下架数批侵害用户权益的APP,且公布在工信部网站上。主要针对以下几个方面:
1、违规收集用户个人信息
2、违规使用用户个人信息
3、不合理索取用户权限
4、为用户账号注销设置障碍
隐私安全是数据产业的大趋势,已成为悬在企业头上的“达摩克利斯之剑”,隐私保护已经不是企业“做不做”的问题,而是“如何做”和“怎么做好”的问题。企业作为数据的收集、使用、存储的主体,隐私保护也就成为企业当仁不让的责任。
为适应监管、为将来的发展、为满足合规要求,企业就必须提高自身的隐私安全管理和风险管理能力。
03
警惕“隐私悖论”
保护个人隐私信息和行为信息
数字化时代让我们每个人都不可避免的陷入了一个叫做“隐私悖论”的尴尬境界。一方面,担心自己网上发布的个人信息、文字、照片或视频等被泄漏;另一方面,几乎没有可能性让人们不使用网络平台。这就是 “隐私悖论”。
尽管普遍对网上企业、APP等搜集个人数据和信息表示担忧和不满,但同时,几乎很少有人会更改手机或主页上的默认设置来保护个人数据。
有多少人真正关心个人隐私是否泄漏?又有多少人会认真研读各种冗长的、陷阱可能也不少的各类APP的免责条款?如果共享一部分个人信息就可以换取一些免费的产品或者服务,又会有多少人愿意分享呢?
哈佛大学的Dan Svirsky的“隐私悖论”研究表明,大众确实是关心自己在社交平台上的个人隐私的安全的。有意思的是,在不同的场景下,大众对隐私信息的保护却大不相同。
在直接交易场景下,Dan Svirsky要求随机抽取的参与者填写在线调查问卷,并问他们是否愿意分享自己在脸书上的个人资料以换取奖金,结果是64%的参与者拒绝分享个人信息。
在“隐蔽交易”场景下,参与者需要打开一个新网页来确认该调查是否涉及到个人信息时,拒绝分享的人数下降到40%,更有意思的是,有58%的参与者根本就没有打开网页进行确认。
当社交、娱乐、休闲转移到网络,所有人都会说要保护个人信息安全。但是,可爱的是,我们对互联网安全的究竟有多少认知呢?我们真的会保护自己的隐私信息吗?我们有没有自己在网上泄露自己的个人隐私?
(图片来源于互联网)
面对各种APP提供的免费产品和免费服务时,坦然免费奉上自己的个人信息然后坦然接受服务和产品,这是我们大多数人的现状。不少时候,哪怕要我们拱手奉上定位权限、通讯录权限、相机权限、麦克风权限、已安装APP信息的权限的时候,我们也会为了免费的享受而眉头舒展的点击同意。
有多少人读过那份APP弹出的冗长晦涩的《用户协议和隐私保护协议》?反正我是没有读过的。
到底你的哪些信息属于个人隐私信息?
我以为大体可以分为两类:个人隐私信息和个人行为信息。
个人隐私信息,包括但不限于个人身份、身份证号、手机号、银行账号、银行账单、信用卡信息、其他一些私人信息、人脸/指纹等生物特征信息
个人行为信息,当互联网的触角延伸到生活的方方面面,个人隐私的安全已经扩大到更为广泛的范围,比如,在网络上记录生活、发布照片、发布心情、早晨的起床时间、位置信息、上下班路上骑共享单车信息、去公交地铁站的路线、公交地铁或者打车出行的行程信息,在公司吃饭点的外卖、饮食习惯和偏好,刷手机的各种浏览Cookie信息等等。
身处数据时代,大量的数据应用和APP实际上是围绕着人的行为做文章的。行为产生的数据被商家利用起来推送广告和服务是最为常见的,杀熟是大家已经知道的,某音的推送算法也是。
从信息安全的角度而言,无论你在网上做什么,都要假设每一张照片、每一封电子邮件、每一次交流都可能有朝一日被公之于众。
04
数据处理会引起任何给定问题
算法已经在侵犯隐私
我们的生活已经离不开各种APP产品了,单靠我们自身,想要做到完全隐私,根本不可能,除非退回到不用互联网和智能手机的时代。
数据即“石油”,数据也已经成为了很多企业发展的基础。“数据”即生产力,今天的企业发展,数据已经成为了充分必要条件了。
数据可能也可以被交易,但是“隐私”却是无价的,他不能被交易,需要被保护。
随着各国相关的法律法规出台,企业滥用隐私数据的“代价”也越来越大,面临的法律风险也很高,企业不得不再次重新正视企业运营涉及的公众隐私数据,管理不善可能带来巨额罚款,甚至面临法律制裁。
隐私安全成为了悬在企业头上的“达摩克利斯之剑”。
既然隐私信息无法隐藏,那么隐私安全问题就需要用技术创新和管理创新来解决,事实上,这些创新也正在隐私保护的路上不断探索着,前进着。
例如,隐私保护技术单单从技术本身的发展上来看,已经从大家熟知的“数据脱敏”发展进化了很多,包括但不限于:
ü Ø数据脱敏
ü Ø匿名化
ü Ø同态加密技术
ü Ø安全多方计算技术
ü Ø差分隐私技术
ü Ø联邦学习技术
ü Ø......
除了以上的技术创新以外,技术的发展也为管理创新提供了支撑,最为典型的就是“数据合规风险管理”、“行为分析”、“行为合规”等等,不少企业已经将隐私风险管理纳入企业的风险管理框架中了,以提升企业的全面风险管理能力。
个人隐私风险问题除了个人会直接面对和遭受问题带来的影响,企业组织也可能会受到各类影响,比如,因不合规造成的损失、因客户抛弃产品和服务而导致的收入损失,品牌声誉的损害等等。
(图片来源于“华云数创”)
前面我们谈到的个人隐私数据可能都是我们被迫存于网络和APP上的。但是,其实还有更多的数据在表面上与隐私无关,但经过数据处理后就成为问题了。
例如:作为物联网之一的“智能电网”是一项为提高能源效率而在全国范围内进行的技术改进,这肯定是好事啊。但是,作为智能电网一部分的“智能电表”,它能够收集、记录和分发有关家用电器使用情况的详细信息,经过数据处理就可以洞悉人们在家中的行为。如果这些数据不能被很好的保护,泄露出去被滥用的话,你会感到被监视吗?会感到忧虑吗?
再比如,智慧城市技术可用于改变或影响人们的行为,如人们在城市中的移动的去向或方式等等。如果在数据处理的某些环节,数据的机密性、完整性或可用性受到损害,那么出现问题就很可怕。
这种损害可能来自外部攻击者盗窃数据,也可能来自员工未经授权的访问或使用数据等。
来自企业平台的“数据霸权”也是隐私遭受侵犯的一个方面,掌握数据的企业或平台利用这些数据和算法达到或谋取利益的目的。例如,前段时间《人物》团队推出的一篇调查性文章《外卖骑手,困在系统里》,就揭示了这一困境。
(图片来源于互联网)
你的数据可能已经成为了科技公司的一项“关键权利”或者“数据霸权”了。你在平台上留下的任何结构性和非结构性的数据,经过算法模型分析后,你的一切可能都可以变的具有预测性,隐秘在你内心深处的欲望、需求、情绪、情感等等,都可能被算法洞悉,企业可以据此推送信息,你还觉得很爽,殊不知,长此以往,你的消费、行为甚至思想都被算法控制了。
记得扎克伯格在2018年面对Fcaebook的“数据泄露丑闻”的听证会时,他婉转的回答议员的问题:“Facebook在窃听用户说的话?”。扎克布格说:“我们允许用户上传分享自己拍摄的视频,这些视频的确有声音,我们也的确会记录那些声音,并且利用对这些声音的分析来提供更好的服务。”
看明白没?算法已经在侵犯隐私了,你助长了而已。
05
NITS《隐私框架1.0版》
核心、配置以及实施层
组织必须在企业风险管理的级别上将隐私风险管理与他们在更广泛的产品组合中管理的其他风险放在同等重要的位置,并推动有关资源更明智的分配决策,以加强隐私计划。
2020年1月16日,美国国家标准技术研究院(NIST)发布了《隐私框架 1.0版:通过企业风险管理来提升隐私的工具》。该框架是众多利益相关者合作完成的,为相关组织改进使用和保护个人数据方法提供了一组有用的隐私保护策略。该框架还提供了有关隐私风险管理概念,以及隐私框架与NIST网络安全框架之间关系的说明。
该框架帮助企业定义隐私目标,识别隐私风险,优化个人信息的使用,同时限制侵犯隐私的行为。该隐私框架可适用于各种规模的企业,不局限于特定的技术、行业、法律或司法管辖区域。比如:
1、对于影响个人的系统、产品、服务,在设计和部署时将隐私考虑在内
2、对于隐私的实践进行沟通
3、鼓励企业各类人员(比如高管、法务和信息技术人员)在配置开发、实施层级选择以及成果实现的过程中进行协作。
分享是一种美德,转载请注明来源和出处!
【数据资产治理与安全保护解决方案】,是华云数创(北京)科技有限公司针对内部数据泄漏、防范、加密和安全治理等提供了优秀的解决方案和产品,致力于保护数据安全,有效应对数据安全合规带来的风险与挑战。以数据智能分类为基础,对相关涉密数据进行全面的防护,保证数据全生命周期安全,重点解决企事业单位在深化信息化管理应用后面临的数据安全以及部门间、企业间数据共享的安全需求,保证用户数据无论何时何地均受到严密的安全防护及严谨的监控管理,杜绝数据被有意窃取或无意泄密的问题。