每個月都會有數據安全事件發生，個人資訊保護形勢依然嚴峻

2018年，全球範圍內，大數據安全問題頻發。

Facebook用戶數據泄漏事件，被洩露的數據總量鋼彈8000多萬條；喜達屋酒店用戶數據洩露事件，涉及了超過5億用戶資訊；在國內，圍繞大數據殺熟的討論至今也沒有停止。可以說，平均每個月都有不同的公司發生或大或小的數據安全事件。

12月27日，在2018大數據合作與合規峰會上，中國電子技術標準化技術研究院資訊安全研究中心主任劉賢剛做了上述表示。他同時告訴第一財經1℃記者，近幾年，數據處於集中爆發階段，近一年產生的數據已經是前幾年數據的總和。但數據密度價值很低，其安全性成為大數據產業發展中最重要的問題之一。個人資訊保護問題，也已經到了臨界點。

在個人資訊保護上，中國雖已基本建立了體系框架、安全、實施指南、安全評估等技術標準，但仍然需要更高位階的法律來規範。2018年，個人資訊保護法被納入到全國人大立法規劃的第一類項目，即條件比較成熟、任期內可以擬提請審議。

在上述峰會上，騰訊發布了《騰訊隱私保護白皮書》，是首次以白皮書方式全面介紹其隱私政策的互聯網企業。騰訊在白皮書中首提“科技向善，數據有度”的隱私保護理念，同時提出了“用戶·控制·數據”的隱私保護方法論。騰訊大數據法務合規中心總經理王小夏告訴1℃記者，騰訊搭建跨部門、跨業務、跨系統的數據和隱私保護團隊，通過科學規範的安全管理流程和健全的安全技術體系，充分保障用戶的知情權，實現用戶對個人資訊的控制。後續，還將上線隱私保護平台網站，實現用戶對個人資訊的便利管理。

隨著技術標準的日臻成熟、法律規範的落地以及部分互聯網大型企業的表率作用，2019年，數據安全和個人資訊保護有望開啟一個新局面。

數據安全形勢依然嚴峻

2017年7月，中央網信辦、工業和資訊化部等四部委指導開展了個人資訊保護提升行動之隱私條款的專項工作，對10款數量大、與公眾生活密切相關的互聯網產品和服務的隱私條款內容、展示方式和征得用戶同意方式等進行綜合評審。

當年9月24日，這一評審的結果對外公布，包括騰訊微信在內的10款互聯網產品參加這一評審，並獲得高分數。騰訊集團法務副總裁江波對1℃記者表示，微信通過《微信隱私保護指引》，全面、客觀地展示了微信一直以來保護用戶隱私的宗旨、原則和保護路徑。尊重用戶的知情權、選擇權，通過產品設計，讓用戶能便捷、高效地管理自己的個人資訊，實現自己的權益。

歷經一年多以來的整改，個人資訊尤其隱私保護的局面得到一定程度上的控制，但還有很多企業在這方面依然滯後，甚至對這一工作毫不關注。南都個人資訊保護研究中心主任蔣琳向1℃記者表示， 該機構在2018年11月，對娛樂、醫療、體育社交等1000款APP做了隱私政策測評，結果顯示透明度高的只有13款，均來自於知名企業旗下的APP。總體而言，仍有超過七成App透明度不及格，兩極分化嚴重。有一款醫療健康類APP直接盜用其他企業互聯網政策，甚至連企業的名字都沒有改。

上述結論與中國消費者協會發布的《100款App個人資訊收集與隱私政策測評報告》結論相吻合。中消協報告顯示，各類型APP中小企業APP得分均顯著低於消費者常用APP，常用APP平均分為74.78，而中小企業APP是39.18。其中，微信、QQ、京東、美團、騰訊影片、QQ郵箱等消費者常用APP獲評高分。

面對複雜的參差不齊的個人資訊保護局面，2018年9月10日，全國人大公布《十三屆全國人大常委會立法規劃》，將69件法律草案列入第一類項目，即條件比較成熟、任期內可以擬提請審議，其中包括個人資訊保護法。這意味著個人資訊保護將迎來專門立法。

為了支持個人資訊保護保護工作，除了法律法規，我國還制定了一系列技術標準，輔助法律法規的落地。劉賢剛告訴1℃記者，我國已基本建立體系框架標準、安全、實施指南、安全評估等技術標準。在標準推廣方面，一方面針對個人資訊安全規範做了大量工作，包括連續兩年的隱私條款評審，通過一系列的活動，以提高國內互聯網隱私保護水準的整體水位，進而帶動二線互聯網公司重視並做好隱私保護。

大企業應該垂范

隨著互聯網尤其移動互聯網的發展，越來越多的用戶已經離不開互聯網產品。在法律法規、技術標準不斷健全的情況下，互聯網企業最應該關注如何應法律法規、技術標準的要求，建立自己的隱私政策體系，給用戶帶來好的個人資訊保護體驗。大型互聯網企業更應該起到表率作用。騰訊發布的《隱私保護白皮書》，在國內首次以白皮書形式，全面介紹了該公司各類產品的隱私政策。

該白皮書提出，在用戶隱私政策方面，騰訊已經形成了隱私保護方法論——即用戶·控制·數據（P·B·D）方法論，以確保安全、透明、可控。具體而言，以用戶為中心，騰訊秉持“一切以用戶價值為依歸”的理念，充分保障用戶的知情權，增強隱私保護工作的透明度、提升用戶的感知度和參與度。騰訊通過隱私政策、隱私保護指引及服務協定告知用戶可能被收集的個人資訊及具體使用情況。騰訊將隱私政策等規範檔案放置在產品顯著位置，搭建“騰訊隱私保護平台”讓用戶知悉騰訊隱私保護的相關事宜。

而控制力是指通過提供便利的資訊管理功能，實現用戶對個人資訊的控制力，提升用戶操作的便捷性。騰訊通過產品設計，將用戶對數據的控制轉化為實際的按鍵。對於用戶個人資訊的管理，騰訊通過在產品中嵌入資訊查詢、修改和刪除等功能，實現用戶對個人資訊的控制。在用戶使用產品的過程中，騰訊通過彈窗提示和相應的管理頁面，確保用戶在充分知悉資訊處理的情形下，進行自主選擇。例如，微信中的 “發現頁管理”，用戶可以開啟或關閉“朋友圈”、“附近的人”等功能。

上述白皮書全面介紹了騰訊“事前安全防禦、事中安全動態監測及事後應急響應”的保障體系。在數據收集階段，騰訊公示數據收集、處理情況，並對傳輸進行保護；在數據存儲階段，使用加密、備份等安全技術防止數據泄漏，保證數據的完整性、保密性和可用性；在數據訪問階段，通過訪問控制、身份驗證、權限分配及審批管理的流程和制度實現有效訪問；在數據處理階段，通過匿名化等隱私增強技術保護用戶隱私，並采取分級標準，區分敏感度，對高敏數據進行更嚴格的保護；在數據刪除階段，根據法律法規及與用戶的約定進行刪除。

王小夏告訴1℃記者，騰訊倡導“科技向善，數據有度”的隱私保護理念。用戶·控制·數據的方法論已經應用於騰訊各款產品的功能設計中，有不同體現。以目前用戶數最大的微信為例，用戶在不同的設備登錄微信账號時，需要驗證訪問。對於在其他設備上的登錄，騰訊會通過彈窗形式提醒，確認是否為本人操作，若非本人操作，可以修改密碼或凍結账號。騰訊即將上線隱私保護平台網站，搭建用戶視窗，讓用戶通過設定產品功能實現對個人資訊的便利管理。

中國政法大學傳播法研究中心副主任朱巍十分認同“科技向善，數據有度” 的隱私保護理念。他對第一財經1℃記者表示，從用戶角度出發，把個人資訊安全和隱私保護放在優先地位，其次是在法律法規框架下，合理正當使用數據，才能為用戶帶來更好的產品體驗。

新問題新趨勢

一個現實局面是，互聯網行業數據保護依然新問題迭出且待解。

北京大學法學院教授、知識產權學院常務副院長張平告訴1℃記者，在個人資訊保護方面，她留意到一些問題。例如，用戶資訊的刪除權和被遺忘權其實依然不可實現，或實現起來並不容易。通過和從事網絡安全的企業公司交流得知，目前數據溯源類公司非常發達，任何一個去識別化的數據都可被複原。互聯網企業即使做了去識別化，但第三方公司立刻可以溯源，那麽原來的公司有沒有責任？

在北京大學進行的多次測評中，發現很多企業將他們的數據委託境外機構處理，比如很多製造型企業的數據就是委託境外進行處理。國內的諸多互聯網巨頭都是自己處理數據，但未來會不會委託其他機構來處理，還無法得出結論。張平認為，作為諸多用戶喜愛的互聯網企業，騰訊發布《隱私保護白皮書》，倡導“科技向善，數據有度” 的隱私保護理念，不僅是企業積極踐行合規意識，也是作為互聯網領軍企業的一種社會擔當。

劉賢剛也提出，從技術發展的角度，下一步在人工智能時代，個人資訊保護會面臨更多新的利益性、價值觀的評估風險。目前要考慮的命題包括對隱私的侵害、不重要的數據匯集在一起對國家有什麽影響等等。但人工智能時代會更複雜，且涉及倫理和對法律法規的嚴峻挑戰。理論上在人工智能時代應該由國家頒布相應政策，某些數據經過審批進行相應的數據處理。隨著技術的進步，數據的價值是無法想象的，帶來的安全問題也是無法想象的。

在解決思路上，張平提出，從巨集觀來說，應該統一協調立法。在個人資訊保護的法律方面，已經有刑法、網絡安全法、消費者權益保護法，可以考慮在更高層面把這幾個法統一起來。此外，還需要建立有效的執行機構、跟國際對等的專業部門、培養專業的人才隊伍。在企業層面，應該特別提倡企業自律，企業可以善意使用數據。個人的權益和企業產業的利益應該平衡，立法不可過度傾向，否則所有大公司都會被捆綁手腳，也不利於大數據產業的良性發展。