2015年8月24日,随着一声枪响,美国新奥尔良神学院的教授兼牧师约翰·吉布森倒在了血泊之中。他是全球最著名的“偷情网站” Ashley Madison的注册用户,也是在黑客公布了370万Ashley Madison用户账户信息后,第一个因检索到自己的信息而自杀的人。
Ashley Madison是一家专门为已婚人士提供交友、约会服务的社交网站,其口号是“人生短暂,偷情无限”。为了免除用户的后顾之忧,Ashley Madison承诺注册用户只要交纳19美元就能把个人信息在系统中完全删除。
不幸的是,Ashley Madison网站遭到黑客攻击,3750万注册用户的个人数据、公司财务记录和其他机密信息被盗。黑客组织表示,之所以发动攻击,是因为Ashley Madison网站关于完全删除用户信息的承诺就是一个谎言。若Ashley Madison不立刻永久关闭网站,黑客组织将曝光所有用户的信息。随后,黑客逐步公布用户信息,并酿成了约翰·吉布森自杀的惨剧。
约翰·吉布森的惨剧无疑给人们敲响了网络信息安全保护的警钟。在互联网的演进过程中,无论是微软的浏览器时代、雅虎的内容时代还是谷歌的搜索时代,都只是实现了人与机器的联通,“在网络世界里,没有人知道你是一条狗”。但在SNS(社交网络)的时代,则实现了人与人之间的联通,随着大数据的兴起,之前的论调已经变得没有意义,因为在大数据分析的世界里,“不但人人都知道你是人是狗,还知道你是一条什么狗。”因此,有学者指出,“在大数据时代里,我们完全在网络空间里裸奔。”在网络使人变成“透明人”之后,带来了很多问题,其中最重要的就是网络信息保护标准的问题。网络信息保护不单纯是一个禁止对数据进行开发的问题,而是要明确数据收集与存储的标准、数据开发的条件、数据开发的范围、开发程度、开发出来的结果使用规范,乃至于开发收益的分配等,整体考虑,建议从以下几方面入手。
第一,建立网络信息的收集标准。随着移动互联、云计算等技术的飞速发展,无论何时何地,手机等各种网络入口以及无处不在的传感器等,手机、汽车、可穿戴设备、家庭路由器,还是遍布城乡的监控网,都记录下你的活动、交往、健康和娱乐信息,都会对个人数据进行采集、存储、使用、分享,而这一切大都是在人们并不知晓的情况下发生。你的一举一动、地理位置、甚至一天去过哪些地方,都会被记录下来,成为海量无序数据中的一个数列,和其他数据进行整合分析。这里面产生了很多问题,例如,是否应该获得用户的事先许可,才能对这些信息进行收集?具体哪些信息是可以被收集的?在用户的信息被收集之后,能否要求对信息进行删除?我国《网络安全法》草案引入了删除权和更正制度。草案规定:公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。《网络安全法》草案还要求网络运营者建立健全用户信息保护制度;要求网络运营者收集、使用个人信息必须符合合法、正当、必要的原则,目的明确的原则,知情同意的原则等;同时还规定了对收集信息的安全保密原则,泄露报告制度等。这些制度如何运行,需要建立大量的标准支撑,以规范信息收集过程中所涉及的各个方面的行为,明确各种权利义务。
我们不妨以谷歌为例。作为一个庞大的互联网集团,谷歌不但拥有全球最好的搜索引擎和数百万台服务器,还有浏览器Google Chrome,这个浏览器已经打败了微软的IE,成为最多人使用的浏览器。在谷歌浏览器中有一个功能,就是你如果在各个不同的网页,点击广告,那么,他会记住你的这一动作(这有些类似cookie的功能),进而,他可以向你推送类似的广告(这个功能现在很普遍了,类似的360浏览器也有这个功能)。也就是说,如果使用Google Chrome进行网络浏览,从你一上网开始记住了你所有的行为,你曾经点击了哪一个广告,曾经搜寻哪一个网站,浏览过哪些新闻,谷歌能够记住你在网络上的任何一次行为,如果他进行分析,甚至能够对你的全部行为进行深入分析。
第二,网络信息的存储与保密标准。个人信息被网络经营者或其他商家或个体收集之后,如何存储,如何保密,也是一个很大的问题。有报道称,在我国,因网络个人信息泄露一年损失超800亿元。而现实生活中,我们能够经常听到因为网络信息泄露而给用户带来巨大损失的真实案例。因此,如何建立一个良好的信息存储与保密标准,是当前互联网信息保护领域需要解决的一个重大问题。
信息被收集之后,就存放在网络经营机构的服务器内,这些信息,如何才能做到安全存储并保密,这就成为了一个重大的问题。在很多情况下,大量的信息被网络经营机构出卖,这种行为是需要立法加以禁止的。但在大部分情况下,个人信息的泄露,可能是因为网络经营机构的存储与保密技术出现了问题。这是一种无意识的行为,关键的问题是,如何确定存储与保密技术的基础标准,一方面需要加强对信息的保护,另一方面,在出现泄露事件时,需要明确相关责任。网络信息泄露的途径和方式很多。例如,浏览器cookies会自动收集个人的行为信息(这些信息可能与通常定义的个人隐私信息无关),其本意是为了优化网络浏览行为,但是,这种行为往往会带来新的信息泄露问题。而大部分信息都是排除在传统隐私法律保护之外的,这不仅带来了新的法律问题,也带来了新的标准问题,即cookies的行为如何进行定义,如何进行使用等等。例如,张三只因在网上搜了“骨灰盒”这个关键词,随后,无论是网页插件广告还是不时弹出的窗口都换上了推销骨灰盒、花圈、寿衣等殡葬服务,邮箱里的垃圾邮件也是同样内容,甚至有人打来电话,推销殡葬一条龙服务。这就是一个典型的网络信息泄露事故。
信息泄露
第三,网络信息的开发标准。网络各类信息都是必须进行深度开发才能将价值更好地体现出来。网络信息的开发,到底能够到什么限度,这是一种需要以标准进行制约的行为。以营销为例,网络营销使用户的多维画像变得越来越清晰。通过对用户在线行为,甚至离线行为进行深入分析,可以获得关于用户的海量数据,并使用数据对消费者进行多维画像,为消费者提供更具有体验价值的产品。这不仅需要具备实时的数据,而且需要保证数据来源的多样化以及数据的可持续性。与信息资源开发相关的一个问题就是现在无论是在法律界还是互联网界争议都非常大的“被遗忘权”。2014年,欧洲法院判例确立“被遗忘权”。依据该判例,欧洲居民可以向搜索引擎申请在搜索结果中删除有关个人的“不恰当的、不相关的、过时多余”(inade-quate, irrelevant,excessive)的网页链接。也就是说,用户可以请求相关数据开发者对其数据进行删除,这个问题涉及的问题非常复杂,也是导致争议的原因。例如,谷歌在建立线上“被遗忘权”申诉平台后,曾接到大量申请要求删除相关新闻报道,这被观察者认为是一种新形式的网络审查,给网络信息开发提供了更高要求。
第四,消费者和商家之间信息越来越对称,需要采取相应的标准,以确保各方的权利均衡。在传统商业时代,消费者与商家之间的信息是不对称的。商家和消费者对彼此的信息知之甚少。在网络时代,信息传播成本越来越低,接近于无成本,可获得信息的来源趋于无限,这样,商家和消费者所掌握信息越来越全面。从商家来看,在PC互联网时代,基于大数据分析主要是根据用户的IP地址,数据分析的目标是对人群进行分类,也就是说,将人按照某种标签,分为许多类群。对于移动端来说,与PC端不一样的地方在于,它的终端使用情境,具有“一对一”的特性,而且,LBS(基于位置的服务)的兴起,使得消费者能够将线上情境与线下情景更加无缝地结合起来,在借助技术对其人群进行画像时,产生的定位信息更为精准,从而更全面地了解消费者。从消费者来看,商家信息更为透明,对商家信息的获取和检索更为便捷,点评网站、地图导航、预定网站、团购网站等都很好地满足了消费者获取和检索商家信息的需求,从而可以方便地查找餐厅以及优惠地享受服务。
在互联网时代,人们对于隐私的态度本身产生了很多变化。很多人愿意与他人分享原来被视为隐私的东西。例如,在微信朋友圈里晒的东西,很多都可以纳入原来法律所定义的“隐私”范围。
对于这种消费者自愿公布或暴露的信息,需要采取什么样的保护标准,也是一个需要进一步探讨的问题。一言以蔽之,网络空间的透明化,带来了信息保护等诸多问题,网络世界里,无论是做透明“人”还是透明“狗”,都需要信息安全和保护标准充当保护伞,毕竟,相信大多数人暂且没有“裸奔”的勇气。
閱讀更多 中華標局 的文章
