《网络安全法》系列观察②——个信篇
生物特征识别或许最不安全 专家建议个人信息匿名化处置
光明网记者 陈畅 李政葳
常用的手机应用或网站的用户信息保护政策是否透明?或许网民们并不知情。日前,《南方都市报》与中国政法大学传播法研究中心联合发布了1000家常用网站、手机应用App的用户信息保护政策透明度排名,超过50%的平台评分为“低”级别。
互联网时代,公民个人信息安全不容忽视。6月1日起,《网络安全法》等多项法律规章正式开始实施,为公民的个人信息安全护航。“个人信息的保护并不仅仅是简单的法律问题,还涉及到诸如公众的知情权、舆论监督等诸多因素,同时也与信息技术密切相关。”北京师范大学法学院教授、亚太网络法律研究中心主任刘德良说。
(图片来源于网络)
多项法规保护公民个人信息安全
最新颁布的《网络安全法》内容共有七章,其中第四章专门针对个人信息问题展开了表述。法律规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
法规中还提到:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
除了严防个人信息泄露与滥用,《网络安全法》针对层出不穷的新型网络诈骗犯罪也做出了规定:任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
另外,从6月1日起正式实施的,除了《网络安全法》之外,还有“两高”首次就个人信息发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,以及国家网信办公布的《网络产品和服务安全审查办法(试行)》,都从不同角度强化对公民个人信息的保护。
个人信息保护越严格越好?
在2017数博会期间的“数据开放与隐私保护”高峰法制论坛上,最高人民检察院法律政策研究室副主任王建平表示,在数据产业蓬勃发展的同时,法律还极为脆弱。他认为,我国在保护公民个人信息方面存在很多的不足,例如个人信息保护法的缺乏,使得对个人信息的采集使用管理缺乏明确和可操作的标准,民事责任的区分不够,长期以来以追究刑事责任为主,很少有民事赔偿;另外,就是行政处罚的规定不完整不统一,只规定了对国家机关、交通教育医疗等单位在履职服务过程中获取的身份给予处罚。
虽然法律还有待完善,但不能因为法律的不完善就把数据封闭起来。王建平认为,在大数据和云计算时代,个人的数据只有充分流动、共享和交换才能实现价值,但是如何保护公民个人信息安全,避免失控扩展,更是我们要思考的问题。“我们要用辩证的眼光看待大数据发展带来的积极和消极的影响,只有最大限度的保障数据安全,减少隐私泄露,才能积极享受成果。”王建平说。
“封闭的数据是没有价值的,是最大的不安全。”中国社会科学院法学研究所教授周汉华也表示,“如同一个老农民把钱埋在地下一样,如果被水泡了就没有价值,只放在银行里面才是资本,才能流动起来,流动越快对社会产生的价值越大。”他还提到,如果缺乏安全的保障,数据开放就等于建立在沙滩上,是极其危险的事情,既要进行数据开放与进行隐私保护,这时就需要法律来进行平衡。
中国政法大学传播法研究中心副主任朱巍也认为,个人信息保护并不是越严格越好,因为现在的互联网企业的基础就是数据,如果管得太严可能没办法让数据自由流动、没办法发展大数据产业。
个人信息应该匿名或伪匿名
“《网络安全法》的实施对网络运营提高个人信息保护力度提出了新的要求,但这是一个原则性的框架,我们还要有很多的配套制度法规去完善它、充实它。”中国工程院院士倪光南说。
北京大学互联网发展研究中心高级顾问洪延青介绍,个人信息保护标准是一个体系,包括个人信息影响评估(PIA)指南。“好比建一个大坝需要开展环境影响评价”,洪延青说,企业在做新上线业务之前对个人信息安全会有什么影响,企业在开展业务之前预估到这些风险,并采取相应的措施。
《网络安全法》中提到,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。“个人信息的去标识化指南也在个人信息保护标准体系之中。大数据的应用应该匿名、伪匿名。”洪延青说。
在手机用户信息时,什么叫用户“同意”?中国信息安全研究院副院长左晓栋认为,“同意是在完全知情的基础上自愿给出的具体的、清晰明确的愿望表示”。但现在很多收集个人信息的情况,往往都是默认同意,用户简单点击“下一步”就可以往下走。在制定起草国家标准的时候“默认同意”的做法都不能叫同意。以后,默认键应该在“不同意”上,至少要让用户主动地去做出自主选择。
左晓栋还提到,现在很多手机App应用都是“一次同意,频繁收集”,如用户只同意了一次,就频繁地收集用户的位置信息。
倪光南坦言,手机上的App的隐私政策自己肯定不看,一些隐私条款很长,也许法律人士能看得懂,隐私政策的表述话普通老百姓不一定看得懂,即使看得懂,也不知道企业是不是会按照条款所说的去做。“互联网平台的隐私政策需要第三方去监督和检查。”倪光南说。
完善生物特征识别安全保障
随着科技的发展,很多应用开发了指纹、声音、虹膜等手段,使用户不需要记很多密码就可以完成认证。但是,另一方面更要注重信息的保护,机制上的完善导致很多应用存在很大的风险,比如,指纹、虹膜等具有独特性的个人信息不可更改,如果手机丢失,就有可能有人利用这些被泄露者的信息犯罪,从而很难识别出真实的作案信息。
以前使用考勤机,现在有了指纹识别、人脸识别、虹膜识别。这些都是否安全?今年的3·15晚会上,主持人当众演示了用合成照片骗过人脸识别系统,生物识别技术的安全性再次受到质疑。
朱巍说,当时想用指纹等信息,是每个人的唯一性不可能被代替,后来发现网上竟然售卖指纹贴膜,有人为了考勤把指纹卖给了别人,“要知道,个人信息远比签到重要得多”。
众人科技董事长谈剑峰表示,身份认证中的生物特性认证和生物识别是两码事。生物识别适合安全部门,在抓捕罪犯时需要准确率高,即便整容后的罪犯通过系统抓取微表情,也能准确识别身份;而生物认证有一个特性,服务器端大量存储着个人的生物特征,人们认为生物特征安全是因为具有唯一性,各种信息存储在计算机内,转换成计算机语言就是0和1,这个时候就可能被截获、重构。
“一旦服务器被攻破掉,生物特征就可以重新复制出来,这个终生不变的‘数据’不可再生,一旦被拿走后果不堪设想。在联网状态下使用生物特征认证并不安全,甚至可能是最不安全的一种方式。”谈剑峰说。