ZKIZ Archives


互聯網發展的“阿喀琉斯之踵”:如何保護用戶數據

互聯網時代對於用戶個人隱私保護的需求日漸突出。無論是在電商平臺的購物過程中,還是在微信第三方程序使用時,都有可能牽涉到個人信息的泄露。用戶迫切希望掌握自身信息的處置權,以及信息被分享的知情權。

由此,用戶隱私的擔憂也成為了互聯網發展大潮中的“阿喀琉斯之踵”。

根據騰訊社會研究中心與DCCI互聯網數據中心去年聯合發布的一份《網絡隱私安全及網絡欺詐行為研究分析報告》,手機APP越界獲取個人信息已經成為網絡詐騙的主要源頭。報告顯示,高達96.6%的安卓應用會獲取用戶手機隱私權,iOS應用的這一比例也接近70%。

針對手機軟件存在侵犯用戶個人隱私的問題,我國工信部信息通信管理局已經約談了百度、螞蟻金服、今日頭條等企業,要求其進行整改。盡管我國已經出臺了《網絡安全法》和《電信互聯網用戶個人信息保護規定》,但截至目前,我國還沒有針對公民個人隱私信息的立法。

紐約大學互動媒體藝術和商業教授格雷維爾(Christian Grewell)對第一財經記者表示:“企業對用戶數據保護的根本問題取決於第三方挖掘用戶數據的成本。”

臉書數據泄露敲響警鐘

今年3月,臉書(Facebook)爆出驚天數據醜聞,一家曾在2016年幫助特朗普贏得美國總統大選的名為劍橋分析(Cambridge Analytica)的數據分析公司違規獲得了5000萬臉書用戶的信息。

臉書的社會影響早已超出了普通科技公司的範疇。現在的互聯網巨頭往往既是科技公司,也是媒體平臺,又是金融公司,掌握著大量底層數據。

這起事件經加拿大籍一位名叫懷利(Christopher Wylie)的吹哨人曝光後引起轟動。懷利表示,他與劍橋大學一位研究員合作時獲得了這些用戶數據。他向英國《衛報》以及《觀察者報》爆料稱:“我們在臉書上挖出了幾千萬用戶的檔案,並通過建模來進一步挖掘我們在他們身上了解到的信息,從而觀察他們內心的想法,這基本上就是劍橋分析公司所做的事。”而這起數據泄露案,也成為史上最大規模的信息泄露案之一。

劍橋分析承認,他們通過大數據,掌握了每個用戶多達5000個數據點,其中包括他們擁有的汽車、健康狀況以及經常瀏覽哪些媒體等。通過這些數據,以及和向第三方公司購買的數據整合,就能勾勒出網上用戶的數字化路徑,從而精確地知道每個人的畫像。這也意味著過去曾在營銷產品或者品牌的廣告行業使用的手段,很可能已經被用於更廣泛的領域,包括政治和大選。

一位來自紐約的名叫卡羅爾(David Carroll)的教授曾對劍橋分析公司提出起訴。他希望該公司針對如何利用他的個人信息數據測算出他在選舉時政治傾向的方法做出具體解釋。卡羅爾說道:“如果僅僅是利用我的姓名、年齡、性別和地址,他們絕對做不到如此精準的預測。他們一定是掌握了其他信息。”

臉書最新的用戶信息侵犯事件被曝光,也引起了人們對於數據安全新的擔憂。最大的問題是,臉書是否為個人隱私設置了足夠高的護欄,來保護用戶的信息安全?比如對與用戶敏感信息分享的授權,以及對於第三方開發者使用數據的開放性和可見度的授權等。

針對上述問題,臉書並未給出具體的回答,其公司僅表示:“已經提升了發現和阻止第三方軟件開發者違規行為的能力。”此外,臉書還表示,將不會再讓開發者使用臉書的登錄工具窺探用戶以及用戶好友名單的信息。

淩駕於規則之上的科技公司

美國共和黨議員盧比奧(Marco Rubio)表示:“科技公司通常增長速度過快,獲得太多正面的媒體報道,他們自負,甚至認為自己可以超越其他人,淩駕於規則之上。”

賓州大學數據安全專家桑達爾(Shyam Sundar)教授對第一財經記者表示:“谷歌或者臉書這些科技巨頭允許第三方開發者通過收集用戶信息,並向用戶提供精準化的服務或者內容。盡管用戶可能越來越希望收到精準的服務或內容的推送,但他們不願意以犧牲自己隱私為代價。”

盡管美國的互聯網最為發達,但歐盟在個人用戶數據保護方面采取的法律手段最為嚴苛。繼通過了“個人數據保護指令”、“電子通訊數據保護指令”、“互聯網隱私保護原則”等法律法規後,歐盟又於今年5月出臺了史上最為嚴厲的《通用數據保護條例》(GDPR),其中明確規定對泄露用戶數據的互聯網公司的處罰標準,最高將達到其全球營業額的4%。比如臉書2017年年收入約407億美元,按照4%的比例計算,將繳納罰金16億美元。

歐盟專員尤羅瓦(Vera Jourova)明確表示:“我們不希望看到用戶數據泄露的事情發生,因此會采取一切法律手段,包括更加嚴格的數據監管保護來制止企業濫用數據的行為。”

在GDPR出臺後,谷歌、臉書這些科技巨頭都已經改寫了用戶政策條款,以符合歐盟數據保護新規。根據GDPR的規則,無論企業是否在歐盟境內,只要與歐盟企業發生業務往來,或涉及存儲、處理、交換任何歐盟公民的數據,都必須嚴格遵守該條例。

新的GDPR條例要求企業用通俗的語言向用戶解釋他們是如何收集用戶數據的。比如谷歌就用了YouTube的視頻來解釋他們的理念。GDPR還列出了企業處理用戶數據的六種方式,其中包括履行合同義務,或者在以廣告為目的的用戶信息收集過程中,必須征得用戶同意。企業同時被要求給予歐盟用戶進入或者刪除個人數據的權利;企業還必須告訴用戶他們將用戶數據保留多久。

GDPR難以覆蓋全球

值得註意的是,GDPR目前僅針對歐盟用戶。一些企業將至少一部分歐盟數據保護條例延伸至歐盟之外的用戶,但是針對這部分用戶,如果涉及GDPR不履行的問題,企業並不會受到懲罰,除非那些市場也將GDPR列入法律框架。但目前來看,近期美國和其他市場並不會跟隨歐洲。

GDPR推出於臉書的數據醜聞之後,這無疑給臉書施加了壓力。臉書創始人CEO紮克伯格在數據泄露醜聞之後的兩會作證時已經承諾將在全球範圍內都執行歐盟數據監管標準,不過對於具體該如何做仍然采取較為模糊的措施。當被問到美國用戶是否能夠像歐盟用戶享受到同樣的數據隱私保護待遇時,紮克伯格回答道:“我目前還不確定我們在美國會怎麽做。”

事實上,包括谷歌和臉書在內的大大小小的科技公司都已經修改了他們的用戶政策條款,不過大部分企業條款的變化並不大,甚至有些模糊和寬泛。谷歌在修改條款時,出現了一個微妙的變化,悄悄將其長期堅持的座右銘“不作惡”(Don’t be evil)的條款移到了最後一條,提及的次數也明顯減少。

咨詢和技術服務提供商埃森哲建議全球企業,也包括中國公司,盡快在內部制定GDPR合規戰略,並對企業運營達標情況展開評估,制定最佳合規解決方案,確保數據處理供應商與合作夥伴安全可靠。

小米首席架構師崔寶秋博士此前接受第一財經記者采訪時表示:“整個行業都需要全力提升數據安全保護和隱私保護的意識,加大設計和研發時的投入,以加速符合GDPR的要求。”

數據分析公司SAS最新的一份調研報告顯示,隨著GDPR大限到來,只有7%的企業完成了合規,近半數的受訪企業表示這一新規將對公司的人工智能相關項目產生重大影響。全球僅有不到一半的企業(49%)表示他們能按期達到GDPR的合規要求。不少小公司由於缺乏資源和指導,仍然處於觀望狀態。

大多數受訪企業認為,GDPR將能夠提升企業在用戶隱私保護方面的數據治理,並且增強企業與客戶之間的信任,提升個人數據的質量和企業形象,並建立起由數據驅動的企業管理體系,這些都是GDPR合規帶來的好處。

SAS資深產品營銷經理賴特(Todd Wright)對第一財經記者表示:“中國公司,就像世界各地的其他公司一樣,如果他們處理歐盟居民的個人數據,那麽現在必須遵守GDPR的規則。中國的每個組織都需要進行全面的數據評估,以確定它們在歐盟居民中是否擁有和擁有多少數據。如果他們確實掌握了這些數據,他們將需要采取措施制定企業 GDPR計劃,其中涉及IT、法律和營銷等部門。”

埃森哲全球技術研發董事總經理馬克·卡雷爾·比利亞德(Marc Carrel-Billiard)也對第一財經記者表示:“人類正處於一個全新的科技複興時代。一個重要的趨勢是,所有的事情是建立在信任基礎上,企業的運作必須符合倫理道德。臉書的數據泄露事件無疑給企業和用戶都敲響了警鐘,但是問題是人們還是要用社交媒體,企業必須給出更好的解決方案。”不過,比利亞德表示不確定全球其它國家會跟隨歐盟的步伐,實施更加嚴厲的數據保護法規。

此內容為第一財經原創。未經第一財經授權,不得以任何方式加以使用,包括轉載、摘編、複制或建立鏡像。第一財經將追究侵權者的法律責任。如需獲得授權請聯系第一財經版權部:
021-22002972或021-22002335;[email protected]

責編:計亞

PermaLink: https://articles.zkiz.com/?id=267837

Next Page

ZKIZ Archives @ 2019