个人信息保护无疑是最近几年安全圈最为火热的词之一。好像自从2016年欧盟GDPR审议通过之后,每次业界交流都必谈个人信息保护,甚至对个人信息保护、信息安全毫无概念的行政同事都能跟你侃上两句。在我看来好的一方面是,那些多年来在学术界苦苦耕耘信息安全法律的人总算是可以趁此机会厚积薄发了,将多年来的研究成果与世人分享。但可笑的是,仅我有限的涉猎来看,很多学术界的研究人员由于国内相关法律的滞后,其研究内容也仿佛也并没有跟上时代。而与个人信息保护相关的产业人士,如律师、信息安全从业者、甚至是培训机构也都趁这个机会在追逐这个热点。一时间个人信息保护从蓝海挤成了红海。
在我看来人的精力是有限的,一辈子做好一件事已经很难了,如果哪位朋友真的想在这个领域里有所建树,当然要不断学习。如果仅是作为积累和沉淀,完全不必追随热点,大可以按照自己的节奏去形成自己的知识系统。
一段时间以来,我在各个渠道了解了一些有关个人信息保护的资讯,在这里将我的个人看法简单记录下来,一并分享给大家。如果其中有偏颇的地方,也希望能够收到大家的指点。
一、个人数据、个人信息和个人隐私
日常生活中,常常将数据和信息两个词进行混用,没有刻意地进行区分。但是在今天的话题里,这两者需要加以区分。《GB/35273 信息技术 个人信息安全规范》对个人信息进行了定义:
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
同时,《GB/35273 信息技术 个人信息安全规范》对个人敏感信息进行了定义。
一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。
注2:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
虽然有上述定义,但是隐私的概念和定义很大程度上基于地区和文化的,不能用统一的标准进行定义。在国内,为了推行技术标准和立法,是可以按照GB/35273 对个人敏感信息的定义来理解隐私的。
数据是信息的体现形式。个人数据是个人信息或个人信息形成过程的一个体现,它可能没有明确的指向性和标识性,但可以单独作为一个数据资源进行使用、计算和分析。
《网络安全法》《GB/35273 信息技术 个人信息安全规范》都讲个人信息而不讲隐私,我觉得也是因为个人信息相对明确,而隐私一方面不容易明确,也可能存在个体差异。
二、个人信息保护的参与者
ISO29100 提到三个角色,数据主体、数据控制者和数据处理者。虽然GDPR关注的数据不仅限于个人数据,但GDPR中除了监管机构外,也有三个角色,数据主体、数据控制者和数据处理者。数据不是凭空出现的,数据也是流动的,仅有控制者和处理者,是不足以生产数据和让数据有效流动的。我理解,这里还应该有数据生产者和数据消费者两个角色,数据主体即体现为数据生产者;个人数据的消费者则可能是企业、政府或者是个人,是无法直接定义和明确的,所以不能在法律和标准中指定。
三、国家密集出台法律和政策保护个人信息的目的
正如马云爸爸所说,人类已经进入数据时代。2019年G20峰会上数据治理也是重要的议题之一。数据是像石油一样是珍贵的资源,而这种资源不同于石油不可再生,它是可以被制造和生产的,每个人都是数据的生产者,可以源源不断的制造数据,这种方式可能是生活数据,也可能是数据的交换等等。因为,个人信息可以标识每个数据生产者,所以政府才如此重视吗?我认为并不是这样。因为这种可识别性是一直存在的,不是突然出现的。之所以政府加强对个人信息的保护,是因为个人信息尤其是敏感信息的消费者并不一定按照既定规则地使用,可能影响数据生产者正常地数据生产,甚至停止生产。而且,随着技术水平提高和信息流动速度加快,这种风险是被放大的,一旦出现数据停止生产,社会经济则会受到极大影响。
另一方面,个人数据和其他工业制造数据、能源消耗数据、种族生物基因数据、社会数据和经济数据等同样都是一个国家重要的数据,这些数据的安全性、可控性、可靠性都是关乎国计民生的,需要加强对这些数据的流动进行控制和监管。
四、我国个人信息保护立法的发展方向
隐私保护最早是70年代在美国医疗大会上提出来的,自此欧盟和美国都不同程度地在个人信息保护方面进行立法。美国的一些立法,如HIPPA、COPPA还有加州消费者隐私法案等,只是其国内某领域的合规约束,而欧盟GDPR则把手伸向境外,当然这也被认为是打压境外的数据公司。GDPR 虽然提到个人信息,但其主要目的是保障境内数据的安全性,因此欧盟也紧锣密鼓地在GDPR的框架下讨论隐私立法。相比欧美,我国在信息科技领域的法律是相对滞后的,《网络安全法》是网络空间安全的纲领性法律,后续也将逐步出台有关个人信息保护和数据安全的法律。但是,从今年相继几次有关个人信息保护的专项整治行动来看,政府对个人信息保护的强势态度,我猜想这也是为即将到来的个人信息保护法出台实施和执法提供支持。
1994年我国接入国际互联网,开启了互联网数据的大规模流动。2004年电子签名法颁布实施,在立法层面鼓励商务交易,生活服务、政务等方方面面信息通过电子数据的形式进行交互和传递。此后伴随资金和人才的不断补充,互联网行业和技术蓬勃发展,技术成为驱动数据发展的重要力量。很快,每个在互联网上的企业业务都发现自己已经存储了大量的数据,在这些数据上似乎可以挖掘出一点价值,可以进一步改变行业的固有模式和玩法,这时业务成为驱动数据发展的力量。而当所有人都知道数据的价值的时候,大家也意识到数据是需要保护的,不仅是企业层面而应该是国家层面,原有的数据保护能力和机制是不够的,不仅要保护数据形态的安全性也要保护数据内容的安全性,因此有更多的合规要求不断涌现。未来,个人信息保护合规将会成为未来的主要发展的方向。
流动的数据才能产生价值。政府正在推动数据的横向流动和纵向挖掘,例如各地纷纷出台类似数据共享的政策文件,成立大数据局,如上海发布了《上海市政务数据资源共享管理办法》。未来的个人信息保护立法也将会在信息保护和共享流动方面取得平衡,个人数据和信息将不仅仅在个别企业中孤立存在,而是在数据池中自由流淌,再次推动经济进一步发展,甚至是下一轮的科技革命。
而在我看来,个人数据和信息将会从数据企业巨头逐步流向政府。
*本文作者:當春日漸暖,转载请注明来自FreeBuf.COM
来源:freebuf.com 2019-09-08 09:00:04 by: 當春日漸暖
请登录后发表评论
注册