本文转载自微信公众号 : Dante Network隐私存储网络
原创 : Dante小编
7月4日,据国家网信办通报[1],经举报核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App。
在此之前,6月26日,工信部通报[2],截至6月21日,APP侵害用户权益专项整治行动共检查117万款APP,对4002款违规APP提出了整改要求,公开通报1248款整改不到位的APP,组织下架329款拒不整改的APP。
我们可以看到这些APP主要是在违规收集个人信息、违规使用个人信息、频繁向用户骚扰索权、欺骗诱导用户跳转页面四个方面,严重损害了用户的权益,侵犯了用户的数据隐私。
大数据时代的个人数据隐私权保护问题,是一个关乎个体信息合法权益的特殊性问题。“大数据”是一个受到广泛的宣传,备受希望却又可能存在隐患的词汇。一个说法是,“大数据将改变我们的生活方式,工作和思维”,另一个说法是“数据爆炸将改变我们的工作方式,人们间的每一次互动都可以通过大数据来进行分析”。但如今,越来越多的证据表明大规模数据如果被非法收集和分析,最终可能产生严重的社会后果,比如大数据时代的个人数据隐私的保护问题。
当下,日渐普遍的移动设备、传感器和“智能”机器都在数字化地跟踪人们的数据。在大数据下,人们的隐私一览无余。的确,尽管可以有效利用大数据来更好地了解世界,并在各方面进行创新,但是数据的爆炸性增加的同时也会带来潜在的隐私安全问题。例如,淘宝和京东可以了解我们的购物偏好和浏览习惯;微博等社交网站存储有关我们个人生活和社交关系的所有信息;滴滴、Uber等出行软件记录了我们的常用住址及行程。在大数据推动下,以获取商业利润为目的收集,存储和重复使用我们的个人信息,威胁到我们的隐私和安全。
| 个人信息的划分
对于个人信息是如何划分以及定义的,在《个人信息安全规范》[3]中对于有详细的解读。个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。
清楚了个人信息的划分后,我们该如何去保护它?首先立法层面是必须的,从《网络安全法》的出台,到如今《个人信息保护法(草案)》的提出,都体现出国家在信息保护法领域,从无到有,再到如今逐渐完善的一个过程,这些法律在保护社会公共利益,保护公民合法权益,促进经济社会信息化健康发展方面扮演重要角色。
(部分数据保护法律)
个人信息相关保护法虽然在逐步迭代更新,但仍然有很多需要进一步完善和细化的地方,比如最近的《个人信息保护法(草案)》中,只确立了以“告知——同意”为核心的个人信息处理规则。这点还可以规定得更为详细,如区分自然人是否具有完全民事行为能力而采取不同的要求;对自然人权利的规定也可以进一步细化,如在撤回权之外,规定查询、更正、删除等权利。
在这方面,很多国外发达国家走在了前列,比如欧盟《通用数据保护条例》[4]对数据主体详细划分了8项权利:知情权、访问权、更正权、删除权、限制处理权、可携带权,反对权以及不受制于自动化决策。国内可以以此为参考,划分出更适合中国国情的个人信息保护权利,但就目前来说,以国内的数据保护相关法律还不足以保护个人信息的隐私安全,很多时候只能起到事后追责的作用。
| 个人信息泄露的危害
不法分子会利用法律的漏洞,以及监管的不完善,对个人信息出现侵权盗取行为,这会产生严重的个人或者社会危害。
1)垃圾信息(短信、电话、邮件),相信不少人都或多或少收到过类似的垃圾信息,由于个人信息泄露而受到的频繁骚扰已经严重的影响到了个人生活甚至工作。
2)个人名誉,不法分子会利用你的个人信息去注册身份并进行违法操作,但最终通过司法追责的结果并不是真正的违法人员,而自己却在证明身份的过程中焦头烂额。
3)个人经济受损,通过不法渠道获取用户信息并用于办理各类信用卡,恶意透支消费,导致个人的消费行为和财产受损。
4)个人生命安全受到威胁,就例如开篇讲到的“滴滴出行”违规事件,如果被恶意歹徒获取到这些数据,每个用户的日常行程,常用住址以及姓名电话等个人信息,都被人知晓,如同自己被完全监控,稍加利用,自己就会陷入危险之地。
有数据表明,在 2011 年至 2016年 8月,我国公开的与个人信息保护有关的民事案件约有 700起,并以逐年增长的模式在持续发展[5]。
具体案件详情已经难以查证,但为了清楚大部分用户对于个人信息保护的态度以及做法,《中国个人信息安全和隐私保护报告》[6]针对全国 100 多万人次开展了问卷调查。
报告指出:参与调研者中有高达 44%的比例选择了因维权程序太复杂、成本太高而放弃维权,另有 34%的调研者标志因缺少维权证据而无奈放弃。最为消极的还有 14%的调研者选择“维权成功也没有好处”。在解释未能维权的原因时,半数以上的参与调研者因不知如何维权(占 60%)和没有发现经济损失(占 56%)而选择了沉默。报告直接显示出,我国个人信息侵权严重,但维权司法程序复杂、维权成本高与举证困难、损害后果难以确定才是我国个人信息权司法保护的最大障碍。
| 个人信息保护方案
在仅依靠法律手段无法完全避免数据被违规使用甚至泄露的情况下,是否还可以通过其他手段,来共同解决隐私安全问题?
在这样的背景下,区块链+隐私计算被认为是解决用户隐私问题的最佳利器之一。区块链上数据公开透明可查询并且难以篡改的特性,保障了信息的真实有效性,可以以此来记录和明确数据所有权、使用权以及在数据流转过程中提供保护措施;隐私计算技术可以对用户敏感数据进行保护,并在不泄露隐私的情况下,完成对数据的多方安全计算。通过两者的有机结合,可以为数据资产自由、安全的流通提供一个可行的解决方案。
>方案举例
PlatON隐私AI计算网络
PlatON隐私AI计算网络是可验证计算、安全多方计算、零知识证明、同态加密等密码学算法和区块链技术共同组装的隐私安全计算体系,为全球人工智能、分布式应用开发者、数据提供方及存有计算需求的各类机构、社区和个人,提供开源架构下的分布式经济体公共基础设施,为数据的确权与流转提供了去中心化的底层技术支撑。
PlatON安全多方计算、同态加密,能够确保计算节点在无法获取到数据含义的前提下,对数据进行处理,这意味着在PlatON网络中,数据可以在不暴露任何含义信息的前提下,自由流转。同理在app中,软件后台无法直接对用户本身的信息进行窥探,因为用户个人信息被加密过后,对方无法解析其收集数据的真实含义;而用户也可以在保证个人信息数据真实含义不被泄露的前提下,将数据的使用权“租借”给app方进行使用;同时,通过可验证计算,app项目方可以在不暴露算法细节的条件下,证明其已经真实提供了计算服务。
以上技术手段就提供了去中心化不可信环境中,个人信息数据隐私、安全的流转技术保证,也解决了违规收集个人信息、违规使用个人信息的问题。
Dante Network隐私存储网络
相比于计算环节的隐私保护,关于存储过程中数据隐私的保护、研究及践行,受到的关注依然较少。Dante Network作为基于PlatON生态的Layer2去中心化的数据隐私存储及分发网络。以“做数据资产自由流通中的安全驿站”为使命,在隐私存储环节,能够为数据的存储的隐私保护,以及为数据在各个存储节点之间流转过程中的隐私保护提供保障。
同样以前文app违规事件为案例,Dante Network链上零知识隐私交易技术让用户可以在不暴露自己任何个人信息的前提下,能放心将自己的数据存储在云端;通过链上零知识隐私交易技术,服务方也能在不看到具体数据的情况下对存储的这些数据的真实性进行验证;在安全多方计算多方加密下,提供存储服务的服务方,也无法对这些个人信息数据本身进行解析和分析,无法获得数据的真实含义,进一步保障了个人信息安全,这些技术避免了上文“app事件”中频繁向用户骚扰索权、欺骗诱导用户跳转页面的问题。
| 结语
目前,我们的个人信息仍集中于互联网上和公司的数据库中,大量数据却被少数“玩家”掌控。呈现出指数增长率的新增数据量和数据收集量预示着:未来我们的隐私还是很可能会被侵犯。基于区块链和隐私计算的解决方案有助于保护我们的隐私数据,同时也使我们能够从更快的交易,更好的服务以及更强大的隐私计算或存储中受益。
个人隐私的保护有着广泛的其他价值和利益,这种价值观的重要例子为自律,正直和尊严,即个人自我认知的体现和个人目标的实现。同时,这些价值和隐私不仅关系到个人的利益,它们也有着更广泛的社会意义,对个人隐私的保护有助于构建一个充满文明、稳定、多元和民主的社会。
参考文献
[1]中华人民共和国国家互联网信息办公室《关于下架“滴滴出行”App的通报》
http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm
[2]《工信部专项整治APP侵害用户权益问题》
https://www.ccdi.gov.cn/yaowen/202106/t20210626_244566.html
[3]欧盟《通用数据保护条例》
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=en
[4]《信息安全技术 个人信息安全规范标准》(GBT 35273-2020)可参见
http://www.100ec.cn/detail–6571570.html
[5] 《海问观察:大数据与个人信息保护概述》,系海问律师事务所针对个人信息保护及与大数据业务相关的法律问题进行的梳理,其中第二部分主要以案例的形式介绍了中国个人信息保护司法情况及具体案例。可参见http://www.360doc.com/content/17/0326/10/22953_640224841.shtml
[6] 《中国个人信息安全和隐私保护报告》,可参见
https://www.sohu.com/a/128010313_481893
本文转载自https://mp.weixin.qq.com/s/0mnTq5Ixoh5kT4u19Fir1Q
