首页> 企业动态 > 大数据时代,谁来保护用户的隐私?

大数据时代,谁来保护用户的隐私?

发布时间:2013-11-23

“棱镜门”事件暴露出了用户网络行为可以被实时监控的现实。除却国家行为,互联网服务提供者跟踪、分析用户行踪的事件也是此起彼伏。网易邮箱挂马事件、安 卓应用隐私泄露问题、快递员售卖快递单事件,不断刺激着广大用户脆弱的神经。互联网进入大数据时代后,个人信息对于互联网服务提供者而言具备了更多的商业 价值,同时也面临着更大的安全威胁。大数据时代如何保护用户个人信息,是不得不解决的关系网络发展基础的问题。保护用户个人信息,必须立足互联网业务发展 现实。对用户个人信息采用分级分类保护,是解决大数据时代用户个人信息保护的一种有效方法。

  一、大数据时代用户个人信息商业价值进一步凸显

  用户个人信息构成大数据的重要源泉。智能手机和可穿戴式设备的普及,个人的位置、行为,甚至生理变化,都成为可被实时记录并分析的数据资源。同时,社交网络兴起,发表和分享信息成为重要的网络活动,用户成为互联网上各类信息的生产者。

   大数据商业应用深挖用户个人信息潜在价值。大数据在商业领域的典型应用体现为通过对用户行为的精准分析,提升用户体验,增强用户黏性,开展个性化营销。 区分个体变得十分重要,对一定规模的关联信息的聚合分析可以还原并预测用户生活全貌,为个性化业务提供数据支撑。互联网通过后向收费模式,将个人信息转化 为商业链的价值节点之一。

  技术发展为挖掘用户个人信息潜在价值提供条件。获取和存储成本的降低,使大规模信息的聚集变成可能。数据挖掘和数据分析技术,为用户个人信息二次开发提供了机会和条件,信息的潜在价值得到释放。

  实践中,拥有丰富个人信息资源的社交、电商公司纷纷通过挖掘信息价值,创新自身业务模式,并向第三方开放相关数据,提供数据支撑。淘宝数据魔方、百度游戏营销平台等,均通过对用户行为的分析,建立用户行为数据库,向平台上的第三方输出数据,提供决策支持。

  二、大数据引发用户个人信息安全新挑战

  大数据加大了用户个人信息安全风险。在互联网时代,我们已经意识到用户个人信息的价值与安全成反比。用户个人信息的潜在价值不断刺激着人们收集、使用的欲望,巨大的经济利益催生地下产业链非法牟利,严重威胁用户个人信息安全。

  互联网业务创新与用户个人信息保护之间的矛盾激化。互联网服务提供者希望获取大量用户个人信息,而用户则避免公开个人信息;业务创新需要信息共享,而用户则希望降低信息流转风险。

   传统上,保护用户个人信息遵循“告知和许可”原则,《全国人大常委会关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》也确认了该原 则。大数据背景下的业务模式对“告知和许可”原则是一种挑战。用户个人信息不再只用于收集时的用途,其潜在价值更多地源于二次开发以及在此基础上的创新利 用。信息的转移和再开发、再利用更加频繁,同时也构成风险的主要来源。“告知和许可”原则关注用户在收集前的一揽子许可,对信息转移后实际使用者的责任关 注不够。可以说,“告知和许可”的管理模式在大数据时代略显狭隘。

  三、用户个人信息分级分类保护模式

  大数据时代,保护用户个人信息的重要性不言而喻,但是过度保护则会抑制网络创新,降低互联网为用户带来的整体福利。分级分类保护能够避免“一刀切”带来的失衡,实现互联网发展与个人权利的平衡。

  分级分类保护模式首先对用户个人信息按照内容进行分类,再依据各类信息的价值和安全风险,给予不同程度的保护,对服务提供者提出不同的行为要求。

  (一)依据内容的用户个人信息分类

  用户个人信息按照内容可以分为隐私信息、身份信息、日志信息和公开信息,需要纳入行政保护体系的主要包括身份信息和日志信息。

  身份信息指能够单独或相互结合识别特定用户身份的信息。主要包括身份鉴权信息(如密码)、通讯录信息、用户基本资料和虚拟身份信息。

  日志信息指用户使用互联网服务过程中产生的信息。主要包括用户消费信息、服务订购关系、终端信息、访问信息(如IP地址)、位置信息及网络行为记录(如网页购物记录、搜索内容)。

  (二)依据保护程度对用户个人信息分级

  在分类的基础上,依据保护程度对各类用户个人信息进行分级,对应不同的管理要求。保护程度的划分主要考虑以下四方面因素:1、是否能依据该信息直接识别出特定用户;2、与用户线下生活的紧密度;3、是否能通过该信息获得其他关联信息;4、信息安全风险。

  综合以上四方面因素进行保护程度分级,对身份信息的保护程度高于日志信息。在各类身份信息中,对身份鉴权信息的保护程度最高,通讯录信息次之,用户基本资料第三,虚拟身份信息最低。

   保护程度体现为对企业在信息流转各个环节的行为要求。个人信息从用户流向最终的使用者并完成一个生命周期,需要经过收集、存储、使用、转移、删除五个环 节。其中使用环节指信息收集者自己使用信息的过程;转移环节指信息从收集者向第三者的流转过程,包括向公众或特定对象公开、合作伙伴间信息共享、委托加工 等情形。将转移作为单独的环节,既迎合了大数据时代对信息分享的重视,也体现了对风险多发环节的特别管理。

  “告知和许可”的管理方式在大数据时代略显狭隘,但并不意味应彻底摒弃该方式,收集环节依然需要严格践行这一要求,需要加强管理的部分集中在转移环节。此外,对企业在转移环节不同的行为要求也是分级保护的重要内容。

  1、身份鉴权信息严禁转移。身份鉴权信息既是用户个人信息的内容之一,也是获得其他个人信息的钥匙,信息价值巨大,一旦被用于非正当目的,就会带来重大安全风险。

  2、通讯录信息经用户和特定联系人明示同意才可转移。通讯录既是拥有者的个人信息,也是通讯录上记载的所有联系人的个人信息,涉及众多用户权利,需获得相关用户的许可。

  3、其他身份信息的转移需获得用户的许可,并告知用户转移的信息范围和接收者的名称、地址、联系方式。信息接收者对信息的使用权限应不超过用户对收集者的授权范围,信息接收者承担与收集者同等的安全保护义务。

  4、单纯的非特定用户的日志信息,如用户网络行为记录的汇总,可以自由转移。非特定用户的日志信息的流转可以增加信息价值,促进互联网创新。同时,因为不涉及特定用户,不会对用户造成不利影响。

  除了转移环节行为要求的不同,保护程度的差异也体现在其他四个环节中。

  互联网进入大数据时代,将用户个人信息分级分类保护思想落实到具体的行为要求中,践行对信息流转的全程管理,平衡网络创新与个人权利,是应对大数据时代挑战的重要方式。

加入收藏