数字时代下的隐私保护

发布时间：2024-12-07 10:36

了解数字时代的隐私保护知识 #生活技巧# #工作学习技巧# #数字技能培养#

文/帅慧敏

数字化时代，随着大数据和人工智能的发展，个人信息已经成为日益重要的商业资源，引起以营利为目的的企业疯狂“掠夺”，由此产生了大量的个人信息被滥用的局面，个人隐私保护面临着严峻的挑战，对此我们有必要去了解什么是隐私保护，如何对个人隐私数据进行治理，提高对个人隐私的保护水平。要想了解的更多，那么敬请您继续阅读全文。

一数字时代下你是否还有隐私

蛮荒时代，人类衣不蔽体，花一整天打猎也不一定有收获，那时候能吃饱就能满足就是幸福。生产力发展使得温饱和物质需求很容易满足后，人类终于有闲情倾听精神世界的呼喊。思考使精神和物质世界开始分化和分层，一些人有了“小秘密”，思想上的变化导致行为的变化：“我不再想赤裸裸的站在你面前了，有一些东西是我想要保密的”。“小秘密”的发生标志着人类文明的进步，对于有价值信息的保护刺激着我们的好奇本能，促进创新和竞争，推动文明发展至今天。

事物演变的过程总是遵循相同的规律，数字时代隐私保护问题的产生和发展过程也同样是从“衣不蔽体”到“谢绝偷窥”。一开始，我们忙着把交流、交易等各类现实场景搬到线上，以构建一个无边界、无障碍、随时随地满足需求的新世界。我们打破物理界限，追求“世界是平的”。正是早期的这种“坦诚相见”营造了合作共赢的良好生态，使得虚拟世界的构建和发展远超想象的速度，大家在一段时间内沉浸在这突破所带来的高效、便利、自由的幸福之中。直到某个时刻，也许是大数据和智能分析跳入视线的那个时刻又或者更早，一些聪明人开始关注流淌在数字系统中的数据，这些数据所承载的信息，以及这些信息所带来的价值。对于以盈利为目的企业而言，与客户相关的个人数据最能创造价值，因为他们能通过这些数据改善服务以便牢牢抓住客户，甚至还能借此发展出更多的客户来。于是我们开始收到垃圾短信，接到诈骗电话，收件箱冒出莫名其妙的广告，甚至人身安全受到威胁。渐渐意识到，“世界永远不可能是平的”，虚拟世界也需要边界来保护“小秘密”，谢绝偷窥。最近隐私保护“突然”变得的很热，国家、媒体、企业、高校都在研究。这看似“突然”的变化本质上标志着数字时代进入了一个新的文明时期。

二隐私保护立法

立法是文明世界维护秩序的一种方式。当隐私保护问题变得“不得不谈”时，照搬现实世界的治理思路，通过立法来提升意识，防止情况进一步恶化，是一个不错的选择。先“立规矩”来限定行为范围，之后在此基础上着手个人数据治理和隐私保护。

在数字时代之前，并没有什么成体系的隐私保护法律。国际上比较重视隐私保护的是欧洲国家，随着跨国贸易发展和数字时代的兴起，欧洲的高隐私保护需求成为推动世界隐私保护水平提升的事实驱动力。国际经合组织1985年的《越境信息流规则》算得上是隐私保护领域的汉谟拉比法典，其中涉及到了个人隐私跨境的处理要求。2000年美国为与欧洲开展商业合作，共同构建并签署了《安全港隐私原则》。2018年，欧盟的《通用数据保护条例》(GDPR)将个人隐私保护推到了一个前所未有的高度。

隐私保护的立法进程

各国隐私保护立法

目前全球已有近90个国家和地区制定了个人信息保护的法律，隐私保护立法已成为一个整体趋势，同时相关代表法律的长臂管辖特点，也使明显域外效力成为隐私类法律的一个隐含趋势，这在欧盟的GDPR和美国的Cloud Act法案中均有体现。

三隐私保护的边界

这里的关键问题是，哪些数据是隐私数据？由于欧盟在隐私保护领域的领先地位，伴随着GDPR的制定和生效，“欧盟标准”成为大多数国家定义隐私数据和分类的基本框架。理论上，凡是能够直接定位、或与其他信息结合后定位到自然人个人的数据，都属于隐私数据的范畴。在欧盟标准中，隐私数据分为一般隐私数据PII和特殊隐私数据SPII，针对SPII有更加严格的隐私保护要求。我国2018年5月1日实施的《信息安全技术个人信息安全规范GBT35273-2017》中的个人敏感数据示例与欧盟标准基本一致。

欧盟与中国个人隐私范畴对比

以上是基本的隐私数据范畴，值得注意的是，基于原始数据，通过分析、加工等自动化处理得到的数据，也属于隐私数据，如客户画像，信用评级等。

通过对2004年至2016年12年间200个规模最大的数据泄露案例进行统计分析发现，在实际生产中，数据泄露主要集中于能够创造直接经济利益的个人数据：(1)财务记录和信息；(2)身份证号/个人详细信息；(3)电子邮件/网络账号；(4)位置和行为信息（❶引用）。

另外一个重要的问题是，隐私保护工作从哪些方面着手？从数据生命周期视角来看，隐私保护工作涉及数据的全生命周期，包括采集、存储、使用、共享和转移、外包、公开披露、销毁。从具体工作举措来看，包括隐私保护组织架构和技术架构的建立，管理与技术并举。从全球合规角度来看，还必须“内外兼修”，在符合本土隐私要求的前提下，特别针对海外业务落实符合当地要求的隐私保护措施。从权责主体来看，隐私保护工作还需要保证数据主体的各项基本权利。如“标杆”法律——GDPR明确了数据主体4个方面的基本权利：

1.企业以透明方式保障数据主体的知情权并不阻碍数据主体行使权力

2.数据主体的获取权

3.数据主体的修改/清除/限制处理权

4.以及数据主体拒绝自动化决策权

相比于之前“告知性”的隐私保护声明，“使数据主体具备行使权利的能力”是当前隐私保护工作的一种新趋势。即企业在保证隐私数据不泄露、不用于非法目的之外，还需提供透明易懂的途径和业务功能，保证客户可以行使隐私保护的权利，这同时也是企业“自证”合规的一种有效方式。

四隐私数据的治理

从隐私数据的定义和分类、数据主体权利、数据控制者责任和义务、以及众多需要关注的关键环节来看，隐私保护是一项复杂的系统工程，某种程度上可以称作隐私数据治理。当前多数企业还处于隐私保护工作的元年。

各商业银行在隐私保护领域的工作

所谓治理，其实是管理的管理，需要在一个足够的高度给予相当的重视和推进。在治理过程中，势必会遇到各类痛点和难点，这些痛点和难点也正是隐私数据治理最需要解决的根本问题。

隐私数据分散梳理难

罗马不是一天建成的，如今庞大的业务体系和IT系统是一个逐步迭代演进的建设过程。隐私数据分散在各个业务条线的信息系统中，并且随着业务的发展，这些数据会“不受控”的流动，导致我们缺乏一个隐私数据分布和流转的统一视图，难以对隐私数据的处理现状给出准确的判断。因此隐私保护工作面临的第一个困难，就是如何从庞大而复杂的业务和IT系统中，梳理出我们所收集和处理的隐私数据、以及这些数据是如何分布的、又是如何在系统之间流转的？这一点是建立罗马城的第一步，也是基础。

隐私数据分级分类标准不明确

在实际操作过程中，“一刀切”的处理策略肯定是不现实的。制定隐私数据分级分类标准，是一种行之有效的、可落地的管理方式。这里面临的两个主要痛点：

1.国际、国家、行业层面都尚无可落地的隐私数据分级分类标准，企业级分级分类标准的制定缺乏依据。

2.隐私数据的分级分类需要更多的结合业务场景，同一数据在不同的场景下可能具有不同的隐私保护级别，一套“动态智能”的隐私保护定级分类模型是理想的解决方案。但是这个模型需要综合考虑各类法律规范、监管要求、业务场景、处理流程、技术工具等多维因素，涉及业务、技术多个部门，是一项系统性工程，实施难度大。

数据责任主体不明确

由于隐私数据没有明确的责任主体，导致数据一旦被采集并存入信息系统，其他业务需求便可以无需审批的复用、分享和转移，这也是目前隐私保护工作基础较差的原因之一。对于数据责任主体的明确，涉及组织架构和管理机制，正是治理要解决的痛点之一。在商业银行中，业务部门是数据的需求方，对于各项监管要求，以及采集数据的必要性和合理性有更全面的视角和更准确的把握，因此业务部门作为数据管理的责任主体是隐私保护工作的一个强有力的抓手。责任主体的明确可以有多个原则，如“首次采集者负责”或是按照业务条线归类。无论以何种责任划分原则，都涉及多个业务部门之间的权责划分，涉及到后续审批审计等管理流程，这一套管理体系的建立还有赖于高层的强力支持。

五隐私保护工作思路

隐私保护不应成为企业发展的掣肘，合理的边界是为了避免混乱，使大家走的更远更好。高层统筹和规划，科学的隐私保护框架和行之有效的管理机制，以及可落地的保护措施是隐私保护工作的主要思路。商业银行隐私保护可以以组织架构和技术架构为两个着力点，明确数据责任主体，制定数据分类标准，落实安全技防措施，从而建立其设计-执行-评价-持续改进的自我进化机制。

（❶引用《敏感数据是个人隐私保护的核心领域——王敏》团结杂志-2018第三期）

互动小问题

很想知道现在的你对于互联网隐私泄露的态度是什么？在你的意识中，用户在数字时代应该享有哪些隐私保护的权利？

作者简介

帅慧敏，现就职于架构管理办公室，主要负责IT基础应用、安全架构、监管报送信息披露等领域的架构管控工作。“飞机会飞不是因为它有翅膀，而是因为人类的梦想”，永远保持对这个世界的好奇，会有惊喜。

责任编辑：

网址：数字时代下的隐私保护 https://www.yuejiaxmz.com/news/view/405424

上一篇：如何保护自己的隐私数据

下一篇：大学生缓解压力的方法有哪些呢