2020年6月习近平总书记在中共中央政治局就实施国家大数据战略第二次集体学习时强调,要推进数据资源整合和开放共享,保障数据安全。2020年新型冠状病毒疫情的爆发,加速“大数据”时代的到来。数字科技技术在疫情精准防控、推动复产复工及经济社会秩序全面恢复方面,提供了强大支撑。与此同时,数据安全与个人信息保护成为社会热点议题。为此,人民网人民数据与中国经济体制改革研究会互联网与新经济专业委员会合作,共同撰写了《大数据风控与权益保护研究报告》,助力大数据更好服务我国经济社会发展和人民生活改善。
报告包括4部分内容:一是梳理抗疫期间大数据的应用情况;二是跟踪有关数据治理方面的法律法规建设最新动态;三是研究点评涉及大数据权益保护的10大典型案例;四是基于技术进步和公共利益保持平衡的考虑,探索提出大数据风控与权益保护的12条原则。
一、新冠疫情加速“大数据”时代到来
习近平总书记在2月14日中央全面深化改革委员会第12次会议上强调,要鼓励运用大数据、人工智能、云计算等数字技术,在疫情监测、分析、病毒溯源、防控就治、资源调配等方面更好发挥支撑作用。此前,总书记提出:运用大数据提升国家治理现代化水平。善于获取数据、分析数据、运用数据,是领导干部基本功。
(一)大数据助力政府精准防控
今年春天以来,各地政府积极运用大数据支撑疫情防控、物资调配、居民生活保障、复工复产复学等工作,大数据成为公共卫生预警响应机制的重要引擎。
如上海“一网通办”移动端“随申办”推出的“随申码·健康”服务,通过汇聚卫健、公安、交通等各部门的数据建模、分析评估,计算出疫情期间的个人红色、黄色、绿色三种风险状态,为本地区人员防疫健康状况实现精准管理。广东“粤省事”上线疫情防控服务专区,并上线“粤康码”、个人健康申报等疫情防控服务。“粤康码”与全国一体化政务服务平台“防疫健康信息码”数据互通,实现各地区来粤人员健康数据实时互认。
(二)大数据助力复工复产与经济社会复苏
复工复产与经济社会全面恢复领域,政府各部门积极利用大数据,优化网上服务,推动政务服务事项“不见面审批”“线上办理”,让政务服务不因疫情而停摆,也最大限度地减少了申请者外出和聚集,进而避免审批事项办理过程中因聚集而带来的感染风险。
另一方面,通过大数据支持和推动受疫情影响的各类企业复工复产,帮助企业共渡难关。多地政府通过分析和应用企业税收大数据,破解产业链供需对接不畅、企业资金短缺、上下游产销脱节等难题,比如把企业纳税信用作为企业融资贷款依据,同时从宏观层面分析追踪经济运行态势,精准辅助政府决策。
可以预计,各地各部门必将以此次疫情为契机,积极部署数字政府及智慧城市建设,推动整个社会治理能力升级,推进社会治理现代化。
此外,5G基站、工业互联网、大数据中心等“新基建”项目在全国多地加速布局,成为中国后疫情时代经济复苏的重要选择,也将进一步推动大数据产业迅猛发展。
(三)大数据助力企业应对疫情,实现数字化转型
企业领域,疫情加快了企业数字化转型的步伐。越来越多的企业开始“远程办公”“线上经营”,积极运用大数据支持企业复工复产、保障生产生活、实现精准销售,推动经营管理、生产加工、物流售后等核心业务环节数字化转型。
(四)大数据时代需发展与管理并重
有学者将此次疫情看作是世界经济发展的风水岭,即B.C.—BeforeCorona和A.C.—AfterCorona,疫情之前与疫情之后将会是两个世界。
人民数据和中国经济体制改革研究会互联网与新经济专业委员会在研究中得出结论:新冠疫情防控和恢复经济,是中国大数据应用的一个分水岭和里程碑。疫情后,数据的采集、储存、分析和应用都将进入一个新的阶段,无论是采集范围、应用场景还是使用频率,都会有一个质的飞跃,社会将真正进入“大数据时代”。大数据是企业的核心资产与战略资产,攸关企业经营管理的成败生死。大数据也是政府公共治理的战略资源,直接影响到社会正常运营和应急管理。
(一)全国两会有关大数据权益保护的提案议案发言
据媒体报道,今年全国两会期间,多名代表委员针对数据安全与个人信息保护建言献策。
全国人大代表、第十三届全国人大社会建设委员会副主任委员、中国网络社会组织联合会会长任贤良:防疫期间采取的一些特殊措施,不能没完没了地延续下去。疫情结束后,有关部门应当对收集的个人信息进行封存、销毁。
全国政协委员、百度董事长李彦宏:建议针对疫情采集的个人信息设立退出机制。
全国人大代表、科大讯飞董事长刘庆峰:规范管理数据全生命周期中各环节的安全保障措施,对数据的收集、流转、运营进行规范管理,避免数据泄露、数据资源滥用,对国家利益造成损害。结合各行业数据的敏感程度、数据脱敏与否、数据可用性要求等对大数据资产进行分类分级,采取不同级别的安全防护策略。此外,需要规范大数据运营企业的资质要求。涉及国计民生、国家公共安全、能源、交通等敏感行业的大数据,需要具备国内涉密资质要求的企业才可开展数据采集、汇总分析、存储等大数据运营工作,并严格控制其应用及传播范围。
全国人大代表、广东移动董事长、总经理魏明:加快制定数据安全法已刻不容缓,并提出了确立数据主权、明确数据安全法的管辖范围,对数据经营进行牌照化管理,建立数据采集、加工和利用业务的准入制度,完善数据安全监管体系和数据安全监测预警、应急处置机制,建立责任主体问责制度等一系列建议。
全国人大代表,中国移动通信集团浙江有限公司党委书记、董事长、总经理郑杰:加快制定“数据安全法”。“数据安全法”要细化数据安全与隐私保护规则,保护公民合法权益;明确数据的权利归属,促进数据的确权、流通、交易和保护;要建立数据合理使用制度,实现个人与数据使用者之间的利益平衡;要建立公共数据开放共享规则,促进公共数据的合理利用;要完整确立中国数据跨境流动制度,应对国际数据竞争。
(二)数据安全保护法律法规
一是涉数据安全行政执法专项治理行动。2019年,中央网信办等四部门全年开展“App违法违规收集使用个人信息专项治理”、工信部信管局“信息通信领域APP侵害用户权益”、市场监管总局“守护消费”暨打击侵害消费者个人信息违法行为、工信部网安局“电信和互联网行业提升网络数据安全保护能力”等专项执法行动,获评“正当其时”,各大网络平台纷纷表态将严格加强网络保护。
二是涉数据安全刑事惩治力度不断加大。惩治领域,全国公安机关“净网2019”专项行动工作,对侵犯个人信息数据的违法犯罪行为加大刑事手段打击惩治力度。魔蝎数据、公信宝等诸多公司相继被查,企业高管乃至技术人员被警察带走。
三是数据保护的法律法规建设同步开展。2019年10月,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》,规定:任何组织和个人不得利用密码从事危害国家安全、社会公众利益、他人合法权益等违法犯罪活动。任何组织或个人不得窃取他人加密保护的信息,或者非法侵入他人的密码保障系统。
2019年8月,国家互联网信息办公室于发布《儿童个人信息网络保护规定》,明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,网络运营者收集、使用、转移、披露儿童个人信息的,应征得儿童监护人的同意等。
2019年12月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合印发《App违法违规收集使用个人信息行为认定方法》,将共31种违法违规收集使用个人信息行为分为未公开收集使用规则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或更正个人信息功能或未公布投诉举报方式等六大类。
2020年2月9日,中央网信办公开发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,明确为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码等个人信息。
2020年6月1日,国家互联网信息办公室、国家发展改革委员会、工业和信息化部、公安部等12个部门联合发布的《网络安全审查办法》正式实施,《办法》规定,对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
三、大数据的应用和权益保护典型案例
(一)墨迹天气IPO因数据合规等原因被证监会否决
在致使墨迹天气IPO上会失败的四个问题中,收益用户数据赫然在列。
加强数据安全和保护个人隐私已经成为时代的强音,给互联网企业带来挑战的同时,也指明了新的发展方向。一方面,为行业提供了洗牌调整的机会,为规范的企业提供了更大的成长空间;另一方面,任何在此方面打擦边球尤其是投机的行为都会受到惩罚,犯错的机会成本会也来越高。“规范发展才能长远”应成为互联网企业发展成长的重要宗旨。(人民文旅副总裁、人民文旅智库秘书长谷文杰)
(二)瑞智华胜窃取30亿用户信息
2019年8月5日《21世纪经济报道》刊文,被称为“史上最大规模数据泄露案”的犯罪嫌疑人、瑞智华胜7名高管,已被浙江省绍兴市越城区检察院提起公诉。作为一家曾在新三板上市的企业,瑞智华胜涉嫌违规非法窃取海量用户信息,用于互联网营销牟利变现。腾讯、百度、京东、今日头条、新浪微博、携程、12306等96个互联网公司的产品数据均有涉及。
另一方面也表明,当前我国数据保护措施存在诸多薄弱环节和风险:非法窃取、滥用个人网络信息可能成为一条黑色产业。个人数据被窃取后,还可能被存储到海外,给整个国家信息安全带来危害。
(三)支付宝年度账单
(四)旷视科技“课堂行为分析”被指侵犯隐私
其实,AI技术不是不可以用于课堂教学,比如教育机器人辅助教学,以及建设智慧教室,让学生更方便地获得教育资源,参与课堂讨论等都是技术应用的有益尝试。但我们应该清楚的是,学生在全方位监控镜头下的表现和在没有监控下的表现,是完全不同的。这就意味着,人脸识别系统收集的信息存在“失真”的可能,而收集信息的初衷在于更加准确地掌握学生的情况以便更好地因材施教提升教学效果,首先要确保的就是数据的准确性,不准确的信息数据将极大地降低分析结果的可靠性。如此,利用AI技术改善教学效果的初衷也就无从谈起。
更为重要的是,并非只要AI技术使用得好,就能规避隐私问题。也就是说,即便教室安装人脸识别系统能够提高教学效果也并不一定就代表用户愿意让渡个人隐私权。即便初衷向善,学生个人信息数据被大量获取和存储,同样会引发广大用户对隐私安全的担忧。加之近两年,大数据技术应用引发的个人隐私保护问题日渐增多,这张“课堂行为分析”图片无疑再次刺激了民众对于AI技术笼罩下,保护个人隐私倍感无力的神经。
技术本身是中性的,是发挥好的作用还是反作用,关键在于目的和手段。而当下技术应用中不断出现的“侵犯隐私”现象,正是警示我们,随着技术的升级,用户信息安全与数据保护也亟待升级。(人民网新媒体智库助理研究员朱美娟)
大数据时代,当万物互联已成必然趋势,当人工智能深度学习的门槛越来越低,保护数据与信息安全显然不再是只靠用户自身就能防范或解决的简单问题。新技术日新月异,推广和应用过程中如何在隐私、安全、效用之间找到平衡、划出“红线”,需要各方共同寻求符合发展规律的破解之道。政府的预判与及时规范应走在前面,立法和监管不可少、不能慢,对于非法数据泄露行为要严厉打击,多管齐下保护用户数据安全。生产与运营主体应对新技术新业务进行充分评估,加大技防投入,做好流程监控,加强行业和企业自律,积极采取有效措施堵住漏洞,防患于未然。(人民数据研究院智库中心副主任李兵兵)
(六)杭州健康“绿码”引发舆论争议
两会期间,不少代表委员就健康码的信息去留问题提出了建议意见,例如有代表建议建立个人信息定期清理机制,对于期限届满的个人信息采取删除数据库、销毁纸质文档的方式予以清除。也有法律专家表示应该彻底销毁,获取个人信息的过程存在法律瑕疵是其一,特殊时期让渡的信息如未能在结束后被销毁会有损公信力是其二。不过也有学者指出,在存在第二波疫情爆发的风险下,彻底删除健康码信息也不现实,应该将信息进行匿名化处理,提高识别难度,加强安全保护级别,并制定规则只能为抗疫、疫苗研发所用。(人民网新媒体智库研究员曲晓程)
(七)WiFi万能钥匙“窃取隐私”
近年来,随着计算机科学技术的迅速发展,海量云服务应运而生,大数据的搜集和应用成为当下社会经济发展的重要手段。然而,在大数据环境下,公民的隐私泄露也变得更加容易,由此带来的后果将严重危害公民的财产安全和人身安全。WiFi密码是以数据形式保存在手机里,即便是加了密的云端,黑客仍可通过一定的技术手段获取。
鉴于此,在完善法律法规的基础上提高网络服务提供者的行业自律意识,建立有效的奖惩机制,注重对个人隐私数据的技术保护,同时也需提高公民的网络隐私权保护意识,为大数据时代公民的网络隐私权保驾护航。(人民数据研究院智库中心主任王玫)
(八)微博诉饭友未经许可非法抓取、展示微博明星账号数据不正当竞争
近年来,因抓取、使用他人数据而引发的网络不正当竞争案例层出不穷,屡见报端。先有新浪微博诉脉脉不正当竞争一案,再有今日头条因涉嫌抓取微博用户数据陷入纠纷,又有新浪微博诉饭友未经许可非法抓取、展示微博明星账号数据等。
(九)Facebook5000万用户信息遭泄露
通常互联网平台数据只是关系到用户隐私安全及企业经济利益,而Facebook用户信息泄露刷新了舆论认知:互联网平台用户大数据甚至可以左右选民投票,干涉政治选举。互联网平台数据泄露不仅是经济事件、用户信息保护事件,也可能是影响全球,关乎国家安全与社会稳定的政治事件。
西方利用大数据分析、研判、影响政治活动从一个侧面说明,有了大数据,民意是可以测量和评估的;只要摸准情况,民意也是可以引导与干预的。这为我们规范互联网平台数据运用、加强数据与隐私保护敲响了警钟。(舆情分析师廖灿亮)
(十)韩国“N号房”事件视频设备泄露隐私
面对网络泄露隐私,Telegram等即时通讯软件、匿名化的网络空间以及诱导用户的运营模式,都难辞其咎。2019年初,这种具有“端对端加密”“阅后即焚”功能的软件(Telegram)成为Google商店在韩国下载量增长最快的APP之一。除了通讯软件的匿名,“N号房”的运营模式也鼓励用户参与,因为用户想要继续观看,就必须参与上传,进而参与到线下偷拍乃至性犯罪中。
更为重要的是,“N号房”的会员高达26万人,记者潜入的约30个房间,单日均有数千名男性参与(却只有2个人对其进行举报),也说明了无论是软件研发者、“N号房”运营者,还是广大的男性用户,不仅没有因为“N号房”泄露年轻女性的隐私、存在性暴力犯罪而进行抵制,反倒集体加入了一场消费隐私、围观针对女性性暴力的狂欢之中,可以说正是这些有意识的消费行为,借助网络共同促成了泄露隐私、性暴力的再生产。
“N号房”事件表明,网络不是法外之地,无论网络技术怎么发展,都不能沦落为侵犯隐私、侵犯人权、纵容乃至从事犯罪的工具,要通过完善的法律,引导和规范网络健康发展,筑起保障个人安全、促进群体平等的“防火墙”,将网络造福人类的功能最大化。(中国经济体制改革研究会科研部负责人/互联网与新经济专委会副主任南储鑫)
四、大数据风控与权益保护的12条原则
人民数据与中国经济体制改革研究会互联网与新经济专业委员会研究数据安全与个人隐私保护典型案例,提出大数据风控与权益保护的12条原则。
(一)合法原则
即对个人数据收集、储存、加工、运输、使用等一系操作时,均要求符合法律法规及行为规范,自觉维护数据主体的合法权益。
我国《数据安全法》与《个人信息保护法》即将立法,目前对于个人数据保护的法规散落在《宪法》《民法典》《刑法》《互联网信息服务管理办法》《儿童个人信息网络保护规定》《关于加强网络信息保护的决定》《App违法违规收集使用个人信息行为认定方法》等法律法规中。在疫情推动下,我国将真正进入大数据时代,数据的运用在质和量上都会有一个飞跃,个人数据保护也会面临更多新的难题与挑战。但万变不离其宗,大数据的运用首先必须符合合法原则,这是大数据运用的最根本原则。另外,当前一些互联网企业开展全球业务时,也应注意全球数据安全的法律遵从性。
(二)最小范围原则
对个人数据的获取与处理应以满足业务所需的最小数据为底线,不得收集其他非必须的个人信息。在国家标准《个人信息安全规范》当中,对最小化原则进行了更为严厉的解释,规定收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,而如果没有这些收集的个人信息,“产品或服务的功能无法实现”。这可以被视为是测试最小化收集的“必要性”,或者说“最小化要求”。
业界人士曾表示对用户数据搜集应遵循“最小原则”,不需要的用户数据,企业不应该索取,把握好用户数据利用和保护之间的“度”。如何用数据最小化保护个人信息数据安全的最大化是成为企业在实际工作中值得去思考和实践的重要问题。(人民网舆情数据中心主任数据分析师侯鑫淼)
(四)必要原则
所谓必要原则,即要求收集的个人信息类型或打开的可收集个人信息权限与现有业务功能、服务有关,不可收集与所提供服务无关的个人信息。必要原则最早可追溯到上世纪八十年代,早在1981年,欧洲理事会就规定个人数据应出于明确、具体及合法的目的而收集;1995年欧盟进一步对必要原则进行强调,最终成为2018年《一般数据保护条例》的六项处理原则之一。
(五)明示原则
(六)比例原则
(七)封存销毁原则
即对所收集的个人信息设立留存期限,根据采集信息的不同级别划分保存期限,对无留存与研究价值的信息及时清理销毁,对期限届满的个人信息予以封存或消除,降低信息保管成本与泄露风险。
(八)可追溯原则
(九)被遗忘原则
随着大数据与人工智能的发展,智能设备、传感器等应用无时无刻记录着人们使用电子设备的行动轨迹,大量的用户痕迹数据被记录,同样面临被随时被泄露的风险。被遗忘原则就是指数据主体应享有个人对数据的控制权,享有对自身不同形式留下的数据痕迹的可删除,取得被遗忘的基本权利。
(十)整体性安全原则
(十一)保护开发者原则
(十二)出境合规原则
2019年6月,国家网信办对外公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》。该文件明确,存在“数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益”等情况,数据不得出境。
随着疫情后“新基建”的推进,产业互联网建设加快,因此,提出大数据出境原则,也是在保护产业数据安全。(舆情分析师廖灿亮)
五、后记
波士顿动力公司研发的两只机器狗合作开门的视频,曾受到网友热捧,一度登上微博热搜。有专家提出疑问:两只狗合作进入一个房间的确有趣,但如果他们被另一些群体远程操作控制,则恐怕不是一件美妙的事情。