新华社福州4月24日电 题:你的数据安全吗?这些数据属于谁?如何保证数据安全?“数字中国”大咖这样说
新华社“中国网事”记者颜之宏 王成
大数据的充分利用,为每个人的生活带来了意想不到的改变,这其中既有“衣来伸手饭来张口”的便利,而与之同行的,则是数据泄露的忧虑。22日到24日,首届数字中国建设峰会在福州举办。这些数据属于谁?你的数据安全吗?如何保证数据安全?带着这三个疑问,“中国网事”记者向行业大咖们发起追问。
个人数据为何频频遭遇泄露?
2016年8月,“徐玉玉案”轰动一时。由于存储在招考系统内的个人数据被不法分子窃取,高三毕业生徐玉玉遭遇精准电信诈骗,其原本筹集用于上学的9900元被骗,致使悲剧发生。该案件的发生引发社会各界对个人数据泄露的高度关注。
厦门安全狗公司CMO朱一帆认为,无论是个人信息平台还是公共信息平台,信息泄露的根源都在于“黑色产业”的巨大利润,“有需求就会有市场,通过黑客攻击等手段窃取数据,随后转手进入地下交易产业链,牟取高额回报”。
“我国在用户数据保护的监管层面有诸如‘网安法’,但是目前仍缺乏可操作的细则。”360企业安全集团总裁吴云坤表示,国内尚未形成较好的数据保护生态,一些收集数据的平台的安全防护等级偏低,“我们的一些机构,包括部分政府部门,在遭受黑客攻击时‘毫无招架之力’,甚至有的网站的数据库被黑产整个‘拖库’拖走了。”吴云坤说。
北京邮电大学软件安全中心副教授芦效峰表示,即使是在欧盟GDPR(一般数据保护规范)即将生效的情况下,国内仍有不少互联网企业依然抱有侥幸心理,认为其形式意义大于实际意义。“也正是因为我国对于数据保护工作不力的机构处罚力度较小,一些体量庞大的企业认为处罚‘无关痛痒’,因此并没有在真正意义上引起过重视。”芦效峰说。
网购记录、检索历史、浏览痕迹……这些数据属于谁?
很多人或许会有疑问,自己在网购平台上的购物记录,或者是在手机支付软件上的交易流水,甚至是在搜索引擎上键入的检索历史和浏览痕迹,这些数据是否应该属于自己?
“我认为从严格意义上来看,这些数据都是属于用户的。”浪潮集团董事长孙丕恕表达了自己的看法,人们为了在网络服务中获得便利,将自己的购物记录、定位信息、搜索记录等都提交给平台,但这并不等于用户数据就归属于平台,平台使用这些数据时也应遵从严格的管理规范,不能侵害用户的合法权益或随意将未脱敏的用户数据流转使用。
“用户在使用互联网服务时产生的信息,权属如何,一直是国内外法律界、互联网行业关注的前沿话题,目前尚无定论,存在着不同的观点。”蚂蚁金服副总裁彭翼捷表示,无论这些信息数据权属如何界定,数据的收集者都应该在使用时合法合规,并确保这些信息的安全,保障用户合法权益。
“这些数据信息与用户相关,关系用户利益,但(目前行业操作中)并不一定归属于用户,或者为用户所拥有。”华东政法大学教授、数据法律研究中心主任高富平给出了自己的看法。
陕西大数据集团总裁王茜以医疗数据为例分析说,个人健康档案中的数据,是个人付费医疗得来,其所有权属于个人;但医疗监管类的数据,用于统计及决策分析,属于公共数据,可以认为其所有权属于相关政府部门。
京东首席信息安全专家Tony Lee则认为,用户是数据的实际拥有者和生产者,但单个的用户数据价值有限,数据收集者对于合法收集的数据,需要在数据采集、存储、计算、加工、管理等方面投入巨大成本,因此,数据收集方也应当有使用数据的合法权利。
在高富平看来,用户数据与用户的关系在于“来源”,而“来源”却不等于“从属”,数据使用目前并不具备法律上的排他性。因此,数据控制者在愿意维护用户权益的前提下,有在用户同意和法律允许的范围内使用这些数据的权利。
构筑数据保护防火墙,我们还需要做什么?
多位与会专家建议,在制度设计上加快“数据确权”工作,明确不同属性、不同种类数据的所有权,在所有权之上充分探讨使用权、交易权等问题。
今年5月,欧盟GDPR即将正式实施,全球化背景下,在这部史上最严数据保护法案面前,中国互联网行业将面临史无前例的数据挑战。
王茜认为,厘清数据所有权需要政府细化数据目录。哪些是部门内部使用的,就采取数据交换的形式;哪些是可以对外开放的,就开放给社会公众。所有权归政府的数据,外部使用必然要经过相关部门的同意,但所有权归个人的数据,外部使用的约束力不够,这就需要完善相关法律法规,加强对个人隐私的保护。
吴云坤建议,加紧制定数据保护相关的实施细则,进一步明确公民隐私数据的范围,加大对于违法违规收集或滥用公民隐私数据、侵害用户知情权和选择权的机构惩处力度,尽快在全行业内形成数据保护的共识。
王茜还建议,推动区块链技术在数据共享及安全领域的应用。“利用区块链的特性,推广‘智能合约’,实现数据在使用过程中全部留痕,可以清晰看到谁用过数据、什么时间用过、用来干什么。”
+1