2013年1月27日,主題為“網絡時代隱私騷擾實名何解”的中國計算機學會青年計算機科技論壇YOCSEF與第105期數字論壇于北京市翠宮飯店成功舉辦。
去年12月28日,全國人大三次會議通過的《關于加強網絡信息保護的決定》,與會嘉賓認為,隱私跟安全這兩個不是一個等號之間的關系,沒有好的安全機制就沒有辦法保障網絡隱私安全。與會嘉賓同時也對各國關于隱私保護立法歷史和中國進行了橫向對比。
歐美網絡隱私立法
社會各國對隱私關注的加強也是一個漸序的過程,美國對隱私的關注度時間也不長,從二戰以后才開始正式立法。
美國的個人隱私法律在70年代末的時候真正形成。但是與現今的法律還有大量的不同的,比如像美國保護消費者信息的相關法律,還有GLB的法案,還有關于保險的。
歐美在隱私立法上有差異,歐盟的隱私法律是基于個人人權,保護基本的個人隱私權。這是因為在歐洲的歷史上對政府的信任是相對不足的。美國的立法思路跟我國立法視角比較近,它的隱私法律初衷是避免由于信息的不當使用而造成的傷害。所以歐美隱私立法的初衷還有初始是有一定的差異的,關鍵區別是在于基本權利和不當的使用造成傷害之間的差異性。
歐盟的隱私管理相對比較嚴格,歐盟制定了8個管控和處理個人信息的源。大部分成員國已經把它變成本國的法律。很多互聯網公司,包括谷歌、微軟在歐洲經常會受到關于隱私侵犯上的訴訟。隱私訴訟都伴隨著高額的賠償,這和別的國家往往不太一樣。
在歐盟里面,它個人的信息和敏感信息是區分的,敏感的個人信息要求采用高級別的安全保護,敏感信息的處理必須獲得明確的授權。比如個人信息,名字,地址,在歐盟法律中這些不是敏感信息,敏感信息是像有關個人性生活,宗教信仰,犯罪記錄,等敏感的信息。歐盟法律強調獲取這些信息必須有明確的授權。像我國民警查開放記錄是不可以出現的。
歐盟有安全港的框架,中國也有安全港。在歐盟里面要求參與安全港框架的公司相對其他的公司被視為具有足夠的數據保護。有一個條件,不是任何互聯網公司就都可以享受安全港的待遇。歐盟的安全港的協議是自認證,就是在歐盟以內,確定這個公司的隱私保護能夠獲得認可,要獲得這個認證,公司必須實現隱私原則、隱私策略,第三方數據傳送等所有的條件。
亞太經濟組織APEC在2005年也是采納了這樣的一個隱私數據保護要求的原則性的協議,供21個成員國共同遵守。但是目前大部分國家沒有將此原則作為本國的法律,就是還沒有得到落地。
中國網絡隱私立法現狀
中國除了截止到去年人大頒布個人隱私保護條例之前,中國沒有獨立的個人隱私法,也沒有信息安全法。
在我國之前的《治安管理處罰條例》也有將偷窺、偷拍、竊聽納入進去。09年的刑法糾正案,第253條增加了一個非法提供個人信息罪。它規定國家機關,或者像金融、電信、交通、醫療等單位的人員,違法的將本單位掌握的公民信息出售,或者非法提供,處3年以下的有期徒刑或者拘役,并處相應的罰金。就是涉及到了單位犯罪的問題。
縱觀中國互聯網的歷史,中國最早的互聯網就是實名制。經過互聯網初期的一系列事情之后,局域網的模式被互聯網模式顛覆掉了。當360反流氓軟件出現后,中國流氓軟件表面上看少了,但是整體的亂象還存在。比如像3Q大戰,整個中國互聯網更像沒有約束的生態。如今人大有關決定出臺,各種呼吁治理互聯網亂象的聲音也開始崛起。
如何在安全信任和開放之間平衡?
互聯網走到今天已經融入到中國社會各個層面,如今中國互聯網陷入一邊強調安全信任,一邊又強調開放的尷尬境地。去年1月份CSDN“脫褲門”曝出來之后,網絡信息安全問題展現出來。中國如果在這樣的基礎上搞云計算,做大數據,會產生很多的安全隱患。
中國互聯網協會曾發起過《互聯網行業的自律公約》,這個自律發布之后,混亂的情況并沒有得到遏制。所以今天這種環境下,依靠企業自律保證互聯網產業安全是靠不住的,尤其著涉及到大量用戶桌面終端的系統控制權和監測標準。
安全急需未雨綢繆
現今互聯網沒有邊界也是它自身存在的最大問題,在一個沒有邊界的環境下,有邊界的組織和多頭管理的模式很難管理好互聯網生態。而管理所需要的成本負擔也需要考慮到上層決策里面。中國過去嚴格監管的思路,將會導致真正作惡的互聯網巨頭管不了。小的互聯網問題沒有人管。
去年爆發方周大戰,再現了互聯網企業安全的信任危機,現今安全公司也不被大家信任,今年1月1號新刑事訴訟法正式將電子數據規定為法定證據種類之一,這是一個好的現象。對于用什么樣的方法解決問題。相關人士給出四點建議,第一個規定互聯網企業開源,第二個修訂反壟斷法,第三個隱私立法,第四個推動獨立測評發展。這四個方面需要同時完善,而且最重要的要成立安全組織。我國互聯網亂象才可能有所改善。