大数据时代，如何保障个人信息安全（二）

3、期待《网络安全法》在个人信息安全领域的配套法规不断完善，形成一个平衡个人、信息使用者和社会利益的法律框架

　　面对日益严重的个人信息泄露和安全威胁，加强相关法治建设至关重要。“在数据产业蓬勃发展的同时，相关法律还较为脆弱，在保护公民个人信息方面存在很多不足。比如，对个人信息采集使用管理方面缺乏明确和可操作标准，导致民事责任的区分不够，长期以来多以追究刑事责任为主。”在2017中国国际大数据产业博览会“数据开放与隐私保护”主题论坛上，最高人民检察院法律政策研究室副主任王建平这样说。

　　今年6月1日起正式实施的《网络安全法》对于公民个人信息保护意义重大。这部法律除总则、附则外，直接涉及用户个人信息保护的条款有10余处，对严防个人信息泄露、滥用以及层出不穷的新型网络诈骗犯罪作出规定。

　　“《网络安全法》的实施对网络运营提高个人信息保护力度提出了新的要求，但这是一个原则性的框架，还应该有很多的配套制度和法规去完善它、充实它。”倪光南说。

　　国家互联网信息办公室网络安全协调局负责人表示，目前，有关部门正在按照法律要求抓紧研究起草相关制度文件，包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法等。其中，《网络产品和服务安全审查办法（试行）》等配套制度文件已经公开发布，国家标准化部门正抓紧组织制定《个人信息安全规范》等标准。

　　华东政法大学教授高富平建议，我国个人信息保护的最佳出路在于制定一部专门的法律，可以对个人信息属性和保护模式给予重新定位，明确个人信息保护不仅是为个人设定的一项权利，更是旨在构建一个平衡个人、信息使用者和社会利益的法律框架。

　　“不管是进行配套立法还是制定相应的标准，我们始终要考虑天平向哪方面倾斜的问题。”中国信息安全研究院副院长左晓栋认为，在个人信息保护上，天平应该向公民个人倾斜。

4、保证用户信息安全是对互联网企业的核心要求，企业不论规模大小，只要收集用户信息就要承担起保护的责任

　　“更新上线的隐私条款文本表述更加精简”“重要条款特别标注，更加便于阅读”“用户的控制权、知情权明显增强，还提供了注销账号功能”……近日，不少用户发现，手机里一批常用App的隐私条款正在陆续发生调整。

　　今年7月以来，中央网信办等四部门组织评审京东商城、航旅纵横、滴滴出行、携程网、淘宝网、高德地图、新浪微博、支付宝、腾讯微信、百度地图等十款常用的网络产品隐私条款。伴随评审结果的“出炉”，上述企业还联合发布了《个人信息保护倡议书》，对保护用户个人信息、保障用户合法权益做出承诺，包括尊重用户的知情权、控制权，遵守用户授权，保障用户的信息安全等内容，提出联合抵制黑色产业链，倡导行业自律。

　　阿里巴巴集团副总裁俞思瑛介绍，他们正以淘宝网为试点，对隐私条款和设计进行全面梳理改进，重点审视企业收集、保存、使用、共享、转让等个人信息处理行为的承诺与实践，确保升级后的隐私条款既符合法律要求，在内容、形式上也兼具创新性和用户友好性。比如，隐私条款使用“弹窗告知”，敏感信息采集增加“即时提示”，上线个人信息泄露在线举报模块。

　　“数据安全和用户信息保护是对互联网企业的核心基本要求，特别是支付宝这类涉及用户资金的应用，隐私政策的完善和提升不仅要符合法律法规和监管规定，更是维护市场信心和获得用户信任的基石。”蚂蚁金服首席法务官陈磊明透露，蚂蚁金服已在业内率先任命了“集团首席隐私保护官”，组建“集团隐私保护办公室”，负责建立企业隐私保护管理体系。

　　微信近日也做了新的尝试。其最新版本通过《微信隐私保护指引》，可以全面展示微信保护用户隐私的宗旨、原则和路径；微信的隐私设计在具体功能中也有明显体现，比如，添加微信的方式、允许查看朋友圈范围等。

　　“无论企业规模大小，只要收集用户个人信息，就要承担起保护的责任。”在2017年国家网络安全宣传周新闻发布会上，中央网信办网络安全协调局局长赵泽良说。针对互联网企业的一系列改进做法，中国政法大学知识产权研究中心特约研究员李俊慧认为，提升用户在平台个人信息收集方面的知情权，对于落实法律要求，引导各平台建立更加安全、高效的用户信息保护机制意义重大。

5、网络安全产业将迎来新一轮变革，大数据时代处理好个人信息保护与技术发展的关系至关重要

　　“不能因为担心安全威胁，就把数据封闭起来。”在王建平看来，个人数据只有充分流动、共享和交换才能实现价值。因此，要用辩证的眼光看待大数据发展带来的积极和消极影响，只有最大限度地保障数据安全、减少隐私泄露，才能积极享受大数据时代的成果。

　　赵波则建议，要处理好个人信息保护与互联网技术发展的关系，就要在个人信息保护和利用之间找到一个平衡点，“比如，区分哪些是公共数据、哪些是个人隐私，鼓励使用一些脱敏数据进行商业分析，否则互联网的作用就发挥不出来”。

　　可喜的是，随着人工智能、机器学习、态势感知、物联网安全、高级威胁调查取证等新兴技术发展，网络安全产业迎来了新一轮变革。保护个人信息安全除了完善立法、加强企业管理等措施之外，一些新的科技手段也正在介入。

　　比如，公安部第三研究所推出的公民网络电子身份标识系统eID引起业界关注。这种以密码技术为基础、以智能安全芯片为载体的网络身份标识，可以在不泄露用户身份信息的前提下在线远程识别身份，降低了用户信息被盗用的风险。“现在常用的证件最后对应的多是个人唯一的法定身份，这些数据一旦泄露就能匹配到具体个人。因此，保护个人信息首先要对数据‘去标识化’，使其无法识别出个人信息。”公安部第三研究所网络身份技术事业部副主任胡永涛说。

　　“数据传播过程中应注重做好安全保护。从图像、语音、文本等方面看，数据每个点的扩散、传播以及安全保护，在技术层面都有很多问题有待解决。”北京邮电大学信息与通信工程学院副教授高升举例，若在早期对图像使用数字水印，可以保证图像在传播过程中不被人修改、隐藏信息后不被窃取。

大数据时代，风险与挑战并存。对此，倪光南院士持乐观态度，“未来，个人信息保护情况一定会比现在好”。他认为，虽然各类风险日益加剧，但用户安全意识总体在提升，法律法规在不断完善，企业也在不断进步，个人信息安全问题，一定能够随着科学技术的发展不断得以解决。