工作人员在观看全球主要航空公司航线大数据展示模型 欧东衢 摄
“你在沙滩上留下脚印,你能说这些脚印属于你个人吗?”随着GDPR(欧盟一般数据保护条例)在5月底正式生效,有关数据权属的讨论不绝于耳。用户数据究竟归属平台还是用户个人?如何在保护好用户隐私的同时兼顾数据的流动性?在数据成为资源,价值日益凸显的当下,数据确权愈发迫切。
平台上的数据不属于用户?
很多人或许会有疑问,自己在网购平台上的购物记录,或者是在手机支付软件上的交易流水,甚至是在搜索引擎上键入的检索历史和浏览痕迹,这些数据是否应该属于自己?
“这些数据信息与用户相关,但并不一定归属于用户,或者为用户所拥有。”华东政法大学教授、数据法律研究中心主任高富平给出了自己的看法。在高富平看来,用户数据与用户的关系仅仅在于“来源”,而“来源”却不等于“从属”,数据使用并不具备法律上的排他性。
京东首席信息安全专家Tony Lee则认为,用户是数据的实际拥有者和生产者,但单个的用户数据价值有限,要通过对海量数据进行算法加工才能使数据发挥价值。数据收集者对于合法收集的数据需要在数据采集、存储、计算、加工、管理等方面投入巨大成本,因此,数据收集方也应当有对数据的合法权利。
“厘清数据权属关系,应该坚持‘谁的数据谁做主’的原则。”陕西大数据集团总裁王茜以医疗数据为例分析说,个人健康档案中的数据,是个人付费医疗得来,其所有权属于个人;医疗监管类的数据,属于公共数据,其所有权属于相关政府部门。
腾讯公司的安全团队也认为,用户对其个人信息具有合法权利。同时,平台在合法合规的框架内,对包括个人信息在内的数据进行有效处理与适当应用才能更好服务用户。
数据保护真的那么难?
蚂蚁金服副总裁彭翼捷表示,无论数据权属如何界定,数据的收集者都应该在使用时合法合规,确保数据信息的安全。事实证明,个人数据如果保管不当,极易被不法分子利用。
厦门安全狗公司首席营销官朱一帆认为,信息泄露的根源在于黑色产业的巨大利润。“有需求就会有市场,通过黑客攻击等手段窃取数据,随后转手进入地下交易产业链,牟取高额回报。”
“我国在用户数据保护的监管层面出台了网络安全法等法规,但是缺乏可操作的细则。”360企业安全集团总裁吴云坤对半月谈记者表示,国内尚未形成较好的数据保护生态,“我们的一些机构,在遭受黑客攻击时‘毫无招架之力’,甚至有的网站数据库被整个‘拖库’拖走了”。
北京邮电大学软件安全中心副教授芦效峰表示,国内仍有不少互联网企业对数据保护抱有侥幸心理。“我国对数据保护工作不力的机构处罚力度较小,让一些体量庞大的企业认为处罚‘无关痛痒’,也没有真正重视过。”芦效峰说。
数据确权工作需加快推进
今年5月,我国个人信息安全规范和欧盟GDPR相继生效,掌握用户数据的企业也将面临更为严峻的“数据保护考试”。
王茜认为,要更好地构筑数据保护防火墙,首先要厘清数据所有权,再来划分使用权限。“这需要政府细化数据目录,一项一项梳理清楚。”王茜表示,所有权归政府的数据,外部使用必然要经过相关部门的同意,但所有权归个人的数据,外部使用的约束力不够,这就需要完善相关法律法规。
浪潮集团董事长孙丕恕和神州数码控股有限公司董事局主席郭为一致认为,只有流动的数据才能实现其价值。多位专家建议,在制度设计上加快“数据确权”工作,明确不同属性、不同种类数据的所有权,在所有权之上充分探讨使用权、交易权等问题。
吴云坤建议,加紧制定数据保护相关的实施细则,进一步明确公民隐私数据的范围,加大对于违法违规收集或滥用公民隐私数据、侵害用户知情权和选择权的机构惩处力度,尽快在全行业内形成数据保护的共识。(半月谈记者 颜之宏 王成)
半月谈教育App
官方微信
