信息“裸奔”時代，誰來為數據安全披件衣？

　　“你是第幾位踏上微信星球的?還記得你的第一位微信好友是誰嗎?還能想起你發送的第一條朋友圈是什麼時候嗎?”1月10日,一個名叫“微信公開課PRO版”的小應用刷屏朋友圈。

　　在溫暖回憶之余,人們不禁也多了一絲擔心:“如此完整地記錄,如果我的隱私被泄露了怎麼辦?”

　　身處大數據時代,人人都在“裸奔”——電話號碼、個人身份、家庭住址、購物記錄、社會關系等,都在以數據形式予以記錄、傳輸。

　　專業人士稱,由於大數據目前還游離於法律監管之外,潛在危險非常大,迫切需要立法部門正視大數據這一新興技術及其商業運作,全力應對其侵犯個人隱私和危害公共利益的新型社會問題。

　　大數據時代網民坦言“被透明”

　　“隻要我在網上搜索過一個產品,在一段時間裡,隻要登錄網頁,就會收到此類產品的推送信息。”網民曉穎說,她有一種“被透明”的感覺,她擔心網絡的精准營銷會變成一場可怕的噩夢。“我們在享受網絡各種便利的同時,個人隱私被侵犯也變得更為容易,成本更小,傷害更大。”

　　兩年前,對很多人來說還比較陌生的雲計算和大數據,如今已經隨著互聯網的普及、網絡和通信技術的提升,滲透到社會各個角落。

　　去年9月,《國務院關於印發促進大數據發展行動綱要的通知》發布。綱要中提出的有待“明確”的事項有:明確數據採集、傳輸、存儲、使用、開放等各環節保障網絡安全的范圍邊界、責任主體和具體要求,切實加強對涉及國家利益、公共安全、商業秘密、個人隱私、軍工科研生產等信息的保護。研究推動網上個人信息保護立法工作,界定個人信息採集應用的范圍和方式,明確相關主體的權利、責任和義務,加強對數據濫用、侵犯個人隱私等行為的管理和懲戒。

　　“我們需要一個安全的、保護個人隱私的雲,需要自由聯通的互聯網。”中倫律師事務所合伙人薛熠認為,有關大數據與個人隱私保護的關系,首先要考慮個人產生的數據在大數據裡的概念,產生這個數據的個人和這個數據的關系是什麼。“一個數據、兩個數據、一萬個數據、一百萬個數據的性質是完全不同的。”

　　在薛熠看來,對於大數據運用的規制和個人隱私保護的規制應尋求一個平衡。例如:個人隱私數據的判斷標准是不是在於可識別某個人?如果能排除個人識別部分,對剩余數據的運營、交易是否可以有不同的標准。此外,大數據的產生和運用在知識產權規制體系裡也應當找到恰當的法律地位。

　　跨境數據流動核心是國家安全

　　北京郵電大學互聯網治理與法律研究中心副主任謝永江說,我國網絡方面的法律非常零散,談依法治網的時候,我們連最基本的網絡空間法律框架都沒有。

　　“我國網絡法律框架應包括六部分,除了正在制定的網絡安全法、電子商務法,還應該包括個人信息保護法、網絡信息服務法、電子政務法、電信法。”謝永江說,目前這六部法律都是空白狀態,行政法規層面也是極少的,“誰運營誰負責、誰接入誰負責”都是停留在政策層面。

　　謝永江認為,除了涉及到個人隱私權利,跨境數據流動的核心涉及到國家安全。傳統上隻有國家才能夠收集到的涉及國家安全的數據,現在一個大的網絡企業都能獲得。隻要掌握了足夠多的國民行為信息,就會涉及到國家安全問題。因此,對一個國家來講,在這方面進行管制還是十分必要的。

　　那麼,管制到底應該怎麼管?哪些數據屬於涉及國家安全需要進行安全審查的數據,又需要進行怎樣的限制?

　　謝永江說,網絡安全法草案對這個問題規定得並不很清晰。比如,是否一個企業掌握百萬級數據就關系到國家安全了?在我國,一個網絡企業弄一百萬個客戶是很簡單的,如果都納入到安全管制也不大現實。他呼吁政府部門盡快加快網絡空間立法進程。“網絡時代都是迭代優化,產品推出來要不斷修改完善,網絡時代的立法也應該這樣,先出台比較原則性的內容,再通過不斷修訂、完善來逐漸規范網絡。”

　　中國互聯網協會研究中心秘書長胡鋼建議,在網絡安全法中的網絡信息內容部分,對個人信息保護一定要有實招,至少加上兩項:“首先,個人信息保護雖然已經有刑法和行政處罰,但沒有民事保護,隻有每個人都參與進來,打一場信息保護的人民戰爭,才能更有效地保護每個人的信息安全。其次,個人信息保護還要增加一項,即有關國際交往的一項基本原則:對等原則——我向你開放,你也向我開放。”

　　大數據安全規則制定迫在眉睫

　　與主張積極加以立法管制的觀點不同,很多技術派則認為,對於跨境數據流動的安全問題,隻靠立法是解決不了的,還應當靠技術實力。

　　中國互聯網信息中心副總工程師張躍冬認為,立法是非常重要的一步,對於個人隱私數據、大規模聚合數據等比較容易定義的數據,應通過立法來限制其跨境流動或使用。但除此之外,由於碎片化數據的跨境流動,也可能對國家安全、公共安全造成影響,而有價值的數據很可能通過若干個碎片化渠道傳出去,被一個使用方歸集起來。“通過大數據技術把重要信息挖掘出來,這就要靠提高我們國家和核心企業的技術實力來解決。”

　　英特爾法律政策總監續俊旗認為,當前,重要數據已經成為國家戰略性的資產,是對所有數據進行嚴格控制還是適當放開,歸根結底還是一個數據分類管理的問題。比如政府部門和銀行、金融類的數據不能隨便轉移到境外,要嚴格控制,而其他的一般性信息,則可以自由流轉,而中間的數據則施加必要的限制條件后再進行跨境傳輸。總之,具體如何操作、實施,數據跨境流動審查標准如何建立,是一個比較復雜的問題,需要在實踐中不斷探索。

　　據權威人士介紹,經過一年多的試點后,由中央網信辦牽頭的黨政部門雲計算服務網絡安全審查已正式開展,目前有幾家雲服務商正在進行,審查結果不日將對外發布。其審查依據的兩個國家標准分別是GB/T31167和GB/T31168,后者即是黨政部門雲計算服務網絡安全能力要求。

　　對此,中國信息安全研究院副院長左曉棟認為,雲服務安全審查應兼顧雲平台,審查對象應該是有一個明確物理位置的雲平台及其服務,而不是某個雲服務商。“當然,在審查過程中,對於同一雲服務商建設的多個雲平台,很多証據可以復用,但絕不意味著一個雲服務商以后建的雲平台都不用審查了。因此,現在各種商業認証或者各類評比、排名,隻關注雲服務商而不是平台,這是不夠的。”

　　“在數據跨境流動、數據安全保護問題上,我國刑法加強了對個人信息保護的力度,但對於個人來說,維權成本太高。大數據安全規則制定迫在眉睫。”左曉棟認為,目前的刑法解決不了今天面臨的很多數據安全問題,特別是大數據出現以后,問題更為復雜。圍繞大數據時代的數據保護、數據跨境流動、服務器本地化問題,爭論非常多,形勢也很急迫,希望盡快對大數據安全制定一些規矩。（記者　　朱寧寧）