10.3 大数据持续发展必须依法保护个人敏感数据在线视频

同学们好

今天我们讲第3节

大数据持续发展

必须依法保护个人敏感数据

首先

伴随大数据应用出现的个人信息泄露

这些案件损害了社会

个人信息被泄露

在全球都是令人恼火的客观现实

我们举几个案例

第1个案例

Facebook的用户数据泄露案

2018年3月中旬

纽约时报披露

Facebook有近5000万个用户的

个人信息

被英国的一家叫剑桥分析的公司泄露

报道说

剑桥分析公司

聘请了

心理学家Kogan

在Facebook平台上开发了一款

第3方应用

名字叫 this is your digital life

也就是这是你的数字生活

下载这个 APP的用户呢

可以进行性格测试

每测试完还能拿到几个美元作为奖励回报

实际上啊

这个APP收集了用户

住址 性别

种族 年龄

工作经历

教育背景

人际关系

在网上发表过什么样的帖子

阅读过什么帖子

对什么帖子点了赞

等等

大量的个人信息

由此呢

Kogan借助他的心理学分析的理论

对用户进行了精准的画像

据这篇报道说

剑桥分析公司在2016年美国总统大选中

根据这些用户的精准画像

来推送选举的广告

或者能够达到

巩固这些选民的政治倾向的目的

或者能够改变他们的想法

由于整个受众人数达到几千万人

所以报道就推测

这一做法大大的影响了

大选结果

另一个案例是在中国发生的

是酒店信息

酒店客人信息被泄露

这是在2018年的8月

暗网上有人在兜售华住酒店集团旗下

包括汉庭

美爵

橘子 全季

星程 宜必思等

著名连锁酒店的开房数据

大概涉及了1亿多人

那么包含了用户的姓名

身份证号

家庭住址

生日 手机等个人信息

以及入住酒店开房时所相关的房间号

银行卡号

手机号

邮箱

入住时间

离开时间

酒店的ID

消费的金额

以及谁跟你一起办理了入住的手续等等

还有一个案例

在2019年央视315晚会上

晚会揭示一些商家利用WiFi的探针技术

来收集

暗地里收集个人用户的信息

他就是说在商家

表面上架设了一款

无没有密码的

Wifi的一个接入点

那么为来来往往的行人客人

提供免费的无线联网服务

暗地里

却在收集用户的手机的ID

你的购物信息

或者就是你经过这个地点的时间信息等等

数据累积起来以后再加以分析

就可以从中间识别出到店的客人

消费的客人或者经常路过的行人

那么以后他就有可能对你进行一些

个性化的推送

大多数人听到这些案例后

多多少少会担忧个人隐私不保

担心个人私生活的安宁受到侵扰

从而引起焦虑

反感

甚至是抵制的行为

我们再来看一个案例吧

这个案例是在David和Patternson

在2012年出版的一本英文版的大数据

伦理这本书中介绍了

他们曾经对财富500强的

前50名企业的公司主业

去看他们主页上关于隐私声明

进行分析

他们关注的焦点是

这些企业拥有个人数据

那么他是不是会在

没有经过个人的同意的情况下

去出售这些个人信息

企业可以不加选择的

不经预告的向用户进行个性化推荐服务吗

企业对于个人数据使用有多大的控制权

他能不能向其他机构去买一些数据

或者是把自己拥有的数据去卖给

或者也就是分享给其他企业

那么企业制定的相关隐私政策

它背后的是什么考虑

体现了什么样的价值观

就他们的分析结果来看

确实情况很不乐观

在50家企业中间只有16家企业说

他们重视个人的身份信息

身份数据

其中14家的理由是说

因为你用户重视你个人隐私

而我要给你做生意

所以我必须要作为

来重视你的个人身份数据

这样能够有一个交换的基础

那么另外两家企业呢比这个可能价值观上

显得更高一点

一家说

我尊重你的个人数据

是因为我尊重你这个人

另一家说

尊重个人数据

是公平信息社会的规范性的行为

上面的这几个例子

都是我们从报纸上媒体上看到的

那么我从2015年春天开始

每年在清华大学主讲数据伦理这门课

已经有5个年头了

在第1次讲完刚才提到的财富500强

这个调研案例后

有一名学生就主动的找出了国内

几个著名的知识问答网站

去看他们的隐私政策进行分析

他后来告诉我说

他看到A网站声明

本网站拥有所有资料的版权

这个网站虽然承认用户提交的数据

访问日志

设备信息

QQ号等

是涉及个人隐私

但他不认为用户在这个平台上

进行关键字搜索的时候

它提供的关键字属于个人隐私

而且他明确的说

如果黑客入侵造成了隐私的泄露

我这公司是要免责的

他也说

我这公司可能会向合作伙伴

共享你的个人数据

可能会将个人数据用于深度的研究

那么B网站呢则声明

用户在本网站发表的全部原创内容

他的着作权归用户本人所有

他尊重用户个人隐私

这是这个网站的一贯原则

并且他给出了一个个人设置的链接

来帮助那些

用户不愿意被搜索引擎检索的

去可以设置这个按钮

那么这名同学

在分析完这些网站的隐私政策以后

他给A网站贴上了傲慢无礼的标签

给B网站则贴上了彬彬有礼的标签

而且比较有意思的是

他毕业后确实选择去了B公司来工作

大数据的蓬勃兴起

与个人数据的有效利用

密切相关

如果封堵了个人数据的合法正当使用

我们现在常常使用的一些应用就会不复存在

但是就不能因为这个原因

大数据企业就可以对自己所采集

共享或者买来的个人数据

随心所欲的处理

在个人信息保护方面

中国外国都给予了非常强的重视

并且不仅仅是用道德来规范

而且制定了法律法规来进行调节

2018年5月25日

欧盟出台了通用数据保护条例

简称是GDPR

它规定任何收集 传输

保留或处理

涉及到欧盟所有成员国的

个人信息的机构组织

均受到该条例的约束

也就是说

即使一个不属于欧盟成员国的公司

为了向欧盟境内的可识别的自然人

提供商品或者服务

而收集处理他们的个人信息

或者说

是为了监控欧盟境内可识别的自然人的活动

而收集处理他们的个人信息

都可能受到这个GDPR的管制

这里强调的是在欧盟境内

但不限定为欧盟公民

比如说欧盟以外注册登记的A公司

如果向在欧盟境内旅游的本国公民

提供了服务

他也可能受到GDPR的管辖

因此 GDPR一出

就被称为史上最严的个人信息保护条例

在中国是什么样的情况呢

大数据应用不断的在涌现

创业公司一个个的在蓬勃的发展

那么个人信息保护的法律也在健全

我们以2016年11月发布网络安全法

为一个界限

在这之前

普通用户如果感觉到一些大数据的应用

触犯了个人的权益

它主要是可以通过宪法的第35条

38条

第40条

刑法的第253条

消费者权益保护法的29条

侵权责任法的36条

民法总则的110条

111条和127条等等条款

来寻求保护

但是呢

这些条款都是比较宏观的原则性的

针对性不强

而且不太利于双方的来进行实施和维持

具体的实施和维权

后来呢又颁布了一些更具体的法律文书

比如说

电信和互联网用户个人信息保护规定

比如关于加强网络信息保护的决定

关于审理利用信息网络侵害人身权益

民事纠纷案件

适用法律若干问题的决定

国务院授权国家互联网信息办公室

负责互联网信息内容管理的通知精神

以及随后由网信办制定的微信10条

昵称10条

约谈10条等等

到了2016年12月1日

网络安全法正式在我国付诸实施

这个法的第41条到第45条

是跟个人信息安全直接相关

41条规定

网络运营者必须遵循合法

正当

必要的原则

来收集个人信息

必须公开收集使用的规则

必须明示收集使用信息的目的

方式和范围

并且要经过被收集者的同意

42条规定

网络运营者不得泄露 篡改

毁损其收集的个人信息

在未经被收集的同意的前提下

不得向他人提供个人信息

第43条规定

个人如果发现网络运营者违反法律

行政法规的规定

或者是违反了双方的约定

是有权利要求网络运营者删除个人信息

如果发现这个信息有错呢

也有权要求予以改正

网络运营者呢在接到这些请求的时候

应当采取措施

给予删除或者改正

44 45条还规定了

其他人和网络监管部门的责任

网络安全法所规定的原则用来指导实践

还不够具体

到2017年的年底

国家标准化委员会

公布了个人信息安全规范

国标

并且在2018年5月1号开始推荐实施

在这个规范里面

对于个人信息

个人敏感信息进行了区分

对个人信息主体

个人信息的控制者也进行了界定

对于收集明示同意

用户画像

个人信息安全影响评估

删除

公开披露

转让

共享

匿名化和去标识化等等术语

都给出了明确的定义

规范呢也提出

个人信息安全的基本原则

应该遵从以下7个方面的原则

权责一致

目的明确

选择同意

最少够用

公开透明

确保安全

主体参与

那么这个个人信息安全规范

对个人信息流转过程中间的安全操作

进行了规定

比如说

他要求收集个人信息应当符合

合法性要求

遵循最少够用的原则

应该经过个人信息主体的授权同意

当收集个人敏感信息时

必须有明示同意的要求

每一个应用

每一个

个人信息控制者

对于隐私政策应该明确的发布出来

对于个人信息的保存时间

也有最小化的要求

要求做出去标识化的处理

那么对于个人信息的访问控制

也做出了明确规定

包括个人信息的访问

更正

删除

主体撤回同意

主体注销账户

主体获取个人信息副本等等

都应该系统要怎么样的做出及时的响应

另外对于申诉处理

安全事件处理

和组织管理等多个方面

也都做了规范

具有一定的操作指导性

这个规范虽然还不是强制性的实施

但于对于很多大数据应用的开发人员来说

特别是对于那些刚刚从事

大数据应用的

一些新兴的企业

那么就有了一个很好的指导

比方说

网络安全法在41条的里面规定了

收集使用个人信息需要用户知情同意

但是并没有对实践中间怎么去做才是合适的

合乎伦理的

他没有做出规定

而这个

个人信息安全规范就给出了一种

创新性的方案

他提出

要根据个人信息收集和使用的必要性

区分这个必要性

可以把网络服务的功能分为核心业务功能

和附加业务功能

我举个例子来说吧

比如说过去我们下载一个网络应用

APP的时候

一般都需要授权一大堆的权利

否则就不能下载安装

你如果不同意是不能安装这个软件的

那么在那种情况下呢

即使你可能是下载一个手电筒

你需要

点在黑暗的时候能够打开手电筒

能够照亮

但是在这个有的手电筒APP中间

它一揽子的授权里面还包含了一个

要求手机产生的精确定位信息

也让他能够获取的这样的一个授权

那么在这之前我一开始

如果我注意到有这个授权

我可能不愿意给他

我就用不了这个软件

在有了个人信息安全规范以后

手电筒的核心业务

就是按照我的指令来亮灯

而我的精确位置并不属于核心业务

所以

再有一款手电筒的应用

它如果想额外的收集我的精确地理位置

必须明确的告诉我

他用这个位置信息来做什么

提供什么服务

我可以根据他说的提供服务的内容

来表示接受他的服务

或者不接受服务

那么这个选择的权利在我这

它不影响我下载基本的

手电筒的应用

来享受这个点亮的这种基本的功能

所以啊

我这里就对本节做一个这样的小结

个人信息呢

是激励大数据蓬勃发展的

最活跃的基础

也是与个人敏感信息

个人隐私关联最密切的部分

在面对个人信息的那个方面

我们应当秉持尊重个体自由

平等互惠的伦理原则

制定合理

正当必要的法治思维核心

来调节个人信息主体

个人信息控制者和第三方服务提供商

在个人隐私方面的责任

从而能够提供出多样化

有善意的网络服务

同时保护好个人的敏感信息

这个呢

也可以作为是大数据应用的第3个

伦理价值

好

今天的课程我们就讲到这里