5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》(以下简称“征求意见稿”),针对在中国境内利用网络开展数据收集、存储、传输、处理、使用等数据活动,以及数据安全保护和监督管理做出规定。6月13日,国家互联网信息办公室又颁布了《个人信息出境安全评估办法(征求意见稿)》。这些系列举措既是《中华人民共和国网络安全法》的要求,又充分体现了政府对保护公民个人信息的高度重视。本文对“征求意见稿”中相关概念进行辨析,对一些条款进行解读,并提出部分修改建议。
一、数据是什么
越是看似简单的问题,越是存在更多的不确定性。在日常生活中,数据和信息时常会被混为一谈,但是,在计算机科学术语中,数据和信息是两个不同的概念,而且各个学科对数据和信息的界定也有所不同。
数据和信息的不同界定。一般而言,数据(data)是事实或观察的结果,是对客观事物的逻辑归纳,是用于表示客观事物的未经加工的原始素材。在计算机科学中,数据是“指所有能输入到计算机并被计算机程序处理的符号的介质的总称,是用于输入电子计算机进行处理并具有一定意义的数字、字母、符号和模拟量等的通称”。信息,则是“对客观世界中各种事物的运动状态和变化的反映,是客观事物之间相互联系和相互作用的表征,表现的是客观事物运动状态和变化的实质内容”。正如信息论奠基人克劳德·艾尔伍德·香农(Claude Elwood Shannon)所言:“信息是用来消除随机不确定性的东西”。拥有它,就可对对象有更加确定的理解。控制论创始人诺伯特·维纳(Norbert Wiener)认为,“信息是人们在适应外部世界,并使这种适应反作用于外部世界的过程中,同外部世界进行互相交换的内容和名称”。经济管理学家认为,“信息是提供决策的有效数据”。
数据是信息的表达形式之一。在计算机科学术语定义链中,二进制数字“1”和“0”可以通过由“高电平”“低电平”等基本物理量表出,数据由二进制数字特定格式的组合表出,信息由特定协议确定的数据组合表出。数据是信息的表现形式和载体,而信息则是数据的内涵。在“征求意见稿”中,多处提及“个人信息”和“重要数据”,这两个概念所表述的内涵层次和侧重点不同,原则上两者不可并立。“征求意见稿”将重要数据定义为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等”,其举例似应为“表示未公开的政府信息,大面积人口、基因健康、地理、矿产资源等的数据”。
数据是测量的结果。在计算机网络或信息系统中,数据不是天然的存在,数据是定义或者测量(采样)的产物。测量的对象可以是人,也可以是任何客观存在或虚拟想象的物体。对具体的个人而言,个人信息是客观存在,个人数据则是测量的结果。没有人天然就带着其“个人数据”四处游荡,但是,只要个人与外界存在互动,个人信息就会被测量,从而产生个人数据。这些测量可以是个人能够感知的住宿登记、邮箱登录、访问注册等公开数据采集,更多的则是个人无法感知的地理位置测量、出入记录、交通监控等数据。
测量是应用的需要。任何数据采集和信息测量过程都需要相应的资源,数据的存储、处理和销毁也需要相应代价,没有实际应用的需求,就不会有测量行动,也就不会有数据产生。在网络空间,访问者的IP地址、设备识别码等基础信息,也只是在访问其他信息或服务时才被提交识别。而服务者或被访问者,只有存在特定需求时,才会采集访问者信息。没有应用,就不会有测量,也就不会有数据。没有应用就没有数据。如果不与特定应用相结合,数据本身并没有意义,数据只有在特定应用中,与客观世界的实体行为相关联才成为信息。
除法律规定或公益活动外,任何以经营为目的网络运营者都必须经过个人的同意或授权,才能对个人信息进行测量、采集或使用。如果这些数据是用于且只被用于被采集对象知情且许可的应用或服务,那么,数据采集、存储或处理就是合理的。如果这些数据还被用于用户授权以外的其他应用或服务,即可判定为对数据的滥用。
换言之,个人信息是否被滥用,与个人的授权与否相联系。如果不能准确获取所有用户的授权信息,则无法判定数据是否被滥用,因此,数据采集者必须在其“收集使用规则”中明确数据用途。“征求意见稿”第八条明确了数据采集的基本规则,为保障数据的合理应用,建议在规则中增加数据用途授权选项,例如,采用水印、数字签名或区块链等技术手段方式,只有将授权与个人数据不可分割地集成为一体,才能确保数据不被滥用。
二、“谁”的数据
个人信息作为一种客观实在,具有鲜明的个人私有属性,而个人数据是测量的产物,被测量个体(“征求意见稿”中的“个人信息主体”)和测量者(“征求意见稿”中的“网络运营者”)都与这些个人数据密切相关,从某种意义上说,个人数据的所有权,具有二元性。
多数情况下,当被测量对象不具备法人资格或所有权不明晰,或被测量对象不知情时,数据的所有权属于测量者。当被测量对象是享受权利和负担义务的公民或法人,且当事人不愿他人知道或他人不便知道的这些数据反映的个人信息时,数据的所有权应该属于被测量对象(个人),此时,测量者不拥有这些数据的所有权,只能依据被测量个人的授权使用数据,测量者只是数据的管理者。数据的所有权、管理权问题,是数据安全管理的最重要概念,建议在“征求意见稿”中增加单独条款予以厘清,避免出现“个人信息”和“个人数据”所有权的歧义。
数据的复用。为提高数据的利用效率,减少测量成本,数据可被多次重复利用。也就是说,数据除了被用于被测量的应用外,还可大量用于其他场合和服务。例如,反映个人健康情况的数据,医生可据此判断个人身体情况,治病救人;八卦新闻从业者可利用它编造故事,博人眼球;如果这些数据属于某个国家领导人,情报人员则可据此判断一个国家重大决策方向。当然,这些复用情况的前提是数据的传播,也就是数据知晓者的变更。特别是当数据所有者与数据管理者分离时,这种传播就涉及个人隐私权和保密权问题。按照隐私是个人或法人的自然权利法则,数据所有者有权限定数据的特定使用范围,数据管理者有义务和责任防止这些数据被滥用。
数据的共享与继承。可以说,数据的共享与继承也是一类特殊的数据传播,其特点是数据的所有者或管理者并未发生变更,但是,数据却被用于与原始授权以外的其他服务。这些应用可能是数据原始授权应用的子应用或曰延伸应用,也可能是授权应用的相关应用。很多人工智能、自动决策与“深度学习”等应用都属于此类。当前,多数数据管理者根据对数据所有者“无害”原则,默认子应用和相关应用对数据的使用权。关于自动决策,数据控制者并不必然要解释复杂的算法,对于用户来说,只需要用尽可能简单的方法告知其背后的基本逻辑或者标准即可。当然,一个应用究竟对数据所有者“无害”还是“有害”,则需要算法的公开和权威机构的判定。
数据的相关性。由于自然世界的人际关系相关性、物体的物权属性,决定了互联网数据也具有高度的相关性。例如,通过基因数据的相似性可以判断亲子关系,通过人们的位置重合信息可判定其亲密关系,通过时间重合度概率判断因果关系等,这些现实的相关性在数据世界更加清晰。某著名品牌手机每天深夜都会隐蔽收集其位置信息,看似只是收集手机的信息,用于资源调度和系统维护。事实上,由于手机与用户的物权关系,它也收集了手机用户的位置信息,还包括用户的行为轨迹等隐私信息。美国情报机构就是从相关人员的位置和活动数据,发现国际恐怖分子奥萨马·本·拉登(Osama bin Laden)和阿布·穆萨布·扎卡维(Abu Musab al-Zarqawi)的位置信息,从而达到定点清除的目的。当前,信息技术的前沿,大数据技术、知识发现和数据挖掘等,正是运用了这种数据相关性,从海量数据中发掘有用信息和高价值情报。
“征求意见稿”第十一条规定:“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息”。该条款规定了数据采集时用户的权利,但是,没有确定已采集数据用途的延伸约束和数据保护原则,而数据用途,恰恰是用户信息主体对数据授权的最重要依据,必须在数据采集之前向信息主体明确。
三、个人数据的权利与保护
在社交媒体时代,如何管理网络数据,特别是与个人隐私相关的信息和数据,已经成为越来越多国家所面临的重大的挑战。近年来,多个国家和地区都相继出台了个人信息保护和数据保护相关的法律法规,强化保护力度。
以2018年5月25日欧盟颁布的《通用数据保护条例》(General Data Protection Regulation,GDPR)为代表的多数国外数据安全法,都明确个人信息主体享有个人数据所有权,个人数据权利突出体现在个人信息主体的数据更正权、删除权、被遗忘权等基本权利。而数据控制者,一般是实施数据测量或信息采集的网络运营者,则享有数据的管理权和个人授权范围内的数据使用权。虽然“征求意见稿”第二十条、二十一条也对个人信息主体和网络运营者的权利进行了枚举性说明,但是,涉及所有权和使用权的重大原则性问题,尚需进一步明确。
数据交易知情权和利益分享权也是数据权利的重要组成部分。数据交易是一种特殊的使用,通常由网络运营者实施。“征求意见稿”第二十八条规定:“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意”。该条款明确了数据可用来“交易”,确立了数据的“商品”属性。个人数据作为一种商品发生交易,必然有利益产生,但是,没有明确个人信息主体的知情权和利益共享权。特别是对于以经营为目的收集重要数据或个人敏感信息的网络运营者,不仅应向所在地网信部门备案,还应向个人信息主体明确数据交易去向和收益分配原则。
个人信息主体还应享有对个人数据的全生命周期主导权,当网络运营者利用个人数据谋取非法利益或侵害信息主体合法权益时,个人信息主体应有能力追责。例如,某数据机构收集了重要学术刊物和学术论文和几乎所有的学位论文,向所有用户收费推送,获取高额利润,但是,该机构不仅不向论文作者支付版权费,反而连作者查阅自己的论文也要收费,这样的条款是显失公平的。此外,还有付费图片服务企业,将国旗、国徽和公开发表的学术图片都据为己有,向用户收取费用,这也明显违背数据原始提供者或曰信息主体的共享初衷。因此,建议在“征求意见稿”中,增加个人信息主体维护个人数据权益相关条款。
四、我的数据谁做主
个人信息的网络泄露,不仅侵犯个人隐私权,还会给用户工作、生活带来诸多不便。不胜其烦的信息骚扰,没完没了的推销诈骗,数不胜数的定向广告,令人防不胜防。近年来,因个人信息滥用导致公民隐私权被侵犯、名誉受损和财务被骗的案例也不胜枚举,有的还酿成了惨痛的个人悲剧,网络个人信息和个人数据亟需有效保护。更大规模的个人信息泄露或数据滥用,还会对社会稳定、国家安全带来重大影响。剑桥分析公司与Facebook的非法数据交易,甚至影响了美国的总统大选,改变了美国的政局。因此,无论于个人、于社会、于国家,都需要对公民个人数据给予高度关注和认真防护。此次颁布的《数据安全管理办法》,既是对《网络安全法》的具体落实,更体现了国家对公民权利的尊重,是一件利国利民的好事。
保护公民个人信息安全是一件专业性极强的任务,由于个人数据的所有权与管理权的分离,个人在自我信息保护方面处于被动地位。但是,更多情况下,对交通监理数据、公共场合监测、网络自动数据采集、数据测量和手机位置信息自动采集等,大多数个人根本不知道这些数据的存在,维护个人信息安全更是无从谈起。即使经过个人用户授权的数据,一旦进入交易环节,其后的用途怎样,多数个人用户无法知情,更遑论个人数据的“自我保护”。另一方面,数据交易蕴含巨大经济利益。据估计,全球每年网络数据交易和与数据高度相关的合同交易额高达数十亿美元,这还不包括无法统计的黑市交易。由于数据的无限可复制性,如果没有完善的法律法规约束,网络运行者对数据的任何交易和滥用,其所有者均无从知晓、无法追究,特别是在触手可及的数据“金山”面前,很少有商家不为之心动。因此,建议“征求意见稿”进一步完善网络运营者数据交易相关条款,加大核查的可操作性,加大惩戒力度,对从业者形成“手莫伸,伸手必被捉”的威慑。
事实上,作为信息所有者的个人用户,有保护数据信息的意愿,却不具备保护数据的能力,而作为数据管理者的网络运营者,具有保护数据的能力,却难以抵抗利益的诱惑,因此,迫切需要国家权威部门予以专门保护。
“征求意见稿”第三十三条明确,国家网信部门对维护个人信息安全负有不可推卸的责任。现阶段,由于个人信息数据和授权信息不完备,数据与授权的对应关系不确定,监管部门可能无法直接管理数据本身,只有通过管理网络运营者实现个人信息和重要数据的间接保护。这些管理措施既包括“征求意见稿”已经明确对网络运营者资格的审核、数据采集、处理流程的监督,发生数据泄露后的补救和对运营者的追责等,还应包括对延伸应用的有害性判别,数据利益分配的争议仲裁,以及对非法个人数据测量和信息采集的打击能力等。所有这些数据安全保护行动,都要以维护公民权、维护社会稳定、维护国家安全作为基本的依据。
保护公民信息和网络数据安全,责任重大、征途漫漫,前面是遍地荆棘、重重关山,身后是期待和信任的目光,真正的勇士,唯有负重前行。
原创:王丹娜 网络安全舆情研究
(原文刊于《中国信息安全》2019年第6期) |
