【原標題:互聯網上的回憶是否會被清零】
製圖/鍾心宇
11月14日,沉寂已久的人人網迎來一波登錄高潮。引發這一狀況的契機,是當日人人公司宣佈以2000萬美元現金對價將人人網社交平臺業務相關資產出售給北京多牛互動傳媒股份有限公司。
成立於2005年的人人網被賣了。
平臺:易主後數據何去何從?
人人網被賣的消息一經發布,立即引發了網友的廣泛關注。微博上,#人人網被賣了#的相關話題,閱讀量達到了3.1億。
人們懷念青春的同時,有網友評論:“聽說人人網被賣了,好擔心不能再登錄了,趕緊去把所有照片都下載下來,滿屏的‘回憶殺’!”更有網友表示,“人人網,我們青春的墓誌銘,哪怕有些東西你自己不記得了,服務器也在替你記得。希望人人網的數據永遠不要被刪除。”
人人網易主,人人網會因此消失嗎?那些與我們有關的數據還會存在嗎?
對此,北京多牛互動傳媒股份有限公司在接受媒體採訪時表示,公司將承擔起人人網的運營責任,一如既往地高度重視和妥善處理人人網用戶數據的保密和信息安全管理工作。
這意味著,被打包出售的人人網還將繼續運營下去,用戶可以登錄,保留在平臺上的數據也不會被刪除。
北京市法學會電子商務法治研究會會長邱寶昌告訴記者,平臺的主體變更後,新主體應當繼續擔負起維護平臺數據的責任和義務,做好數據的保密和安全管理工作。
“平臺主體變更不影響數據保存。”中國政法大學傳播法研究中心副主任朱巍分析說,“數據的控制權掌握在用戶手中,如果用戶要求繼續保存數據,平臺有能力的應繼續延續其義務。”
按照朱巍的說法,人人網只是被變賣,並非無法運營而關閉,之前答應用戶的義務還應該繼續履行。
“所以,不用擔心數據的保管和保存問題。”朱巍說道,“只有當平臺無法運營而關閉時,用戶如果不將數據導出,平臺將會依法規將數據刪除或銷燬。”
網易博客就是個例子。今年8月,網易博客宣佈停止運營,並提供給用戶四個月的緩衝時間,用來搬遷數據。網易在公告中就明確表示,網站停止運營後,網站內所有賬號數據及其中的內容、日誌、照片等信息將被全部清空。
權屬:平臺上的數據到底歸誰?
人人網官方2013年發佈的公告顯示,彼時人人網的註冊用戶為2.8億,帶地理信息的原創內容日均170萬條。哪怕截至今年3月底,人人網的月獨立登錄用戶也約有3100萬。
數以億計的用戶和信息交互的背後,意味著上傳到平臺的關於用戶的姓名、學校、個人照片、日誌、狀態等極具私密性的信息和內容數量龐大,平臺上的數據異常繁雜。
在中國政法大學資本金融研究院教授兼網絡經濟研究中心主任武長海看來,平臺中龐雜的數據可至少分為三類:含有個人信息的底層數據,不含個人信息的匿名化數據,經數據清洗、算法加工後的衍生數據。
底層數據含有個人隱私的信息,也是最原始的數據。例如,在註冊賬號時,平臺會採集新註冊用戶的姓名、郵箱、住址、電話號碼甚至身份證號等內容,並根據這些信息識別出用戶的個人特徵。“對於這些數據,數據主體具有無可辯駁的完整權利,未經許可不能取得、使用、交易。”武長海表示。
匿名化數據最大的特點,就是通過技術手段,使得基於用戶個人信息而產生的數據的人身性被消除了,僅僅從該數據本身無法指向特定的個人。“在大數據時代,即使是經過匿名化處理的數據也存在個人信息被識別和濫用的可能。”武長海提醒,“企業應當對數據的匿名化以及匿名化後的後續利用的隱私及信息安全風險進行評估。如果風險較高,企業在行使所有權時應當有一定的限制。”
而經過數據清理、數據可視化等技術手段進行加工已完成可應用改造的數據被稱為衍生數據,這類數據完全無法被複原,即使結合其他數據,也無法指向特定的個人。武長海認為,這類數據的數據控制者應當擁有專有權。
明確數據的權屬,也就代表著明確了誰能對數據進行處分。“能識別個人特徵的數據由用戶自己控制,基於平臺產生的大數據歸平臺享有,屬於知識產權性質,是平臺可以獲利的內容。”朱巍用更為通俗的方式來解釋,“如果平臺數據被交易,也只能交易基於平臺產生的大數據。”
“基於平臺產生的大數據在交易時不需徵求用戶同意,直接或間接可以識別出用戶個人信息的部分則要徵得用戶的同意。”朱巍補充說。
交易:需對數據進行匿名化處理
記者注意到,對於數據的權屬目前也只是從理論上來探討,儘管當前國內尚沒有相關法律法規明確界定,但數據具有的財產屬性正在逐漸凸顯。有專家認為,數據正漸漸成為一些公司在交易時看中的核心資產,代表了這些企業的發展潛力和價值。
然而,企業所掌握的數據不可避免地會涉及到個人數據,也逃不開隱私保護問題。這就使得個人數據保護和數據價值之間的矛盾日益突出。“匿名化作為二者的折中,提供了一條技術解決路徑。”曾任中國信息通信研究院互聯網法律中心副主任的王融在其關於數據匿名化的專題研究中表示,“通過匿名化方法消除用戶的身份信息、敏感信息以達到隱私保護的目的,降低了個人隱私的風險,同時還能夠最大化地發揮數據價值。”
“所以,數據流轉交易是有前提的,如果數據不經過處理就進行流轉交易,是絕對不可以的。”武長海告訴記者,在貴陽大數據交易所,其中一條交易規則就規定,交易的不是底層數據,而是數據清洗、建模、分析的數據結果。
《網絡安全法》對數據流轉有著明確的規定,即未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。有專家表示,這裡的但書規定,可以理解為對於個人數據匿名化利用,特別是匿名化後對外提供(交易)的情形提供了合法性。
邱寶昌也在採訪時表示,交易之前,原平臺需要對數據做標準化、匿名化處理,不能通過數據識別出用戶的個人信息。
如何對數據進行匿名化處理,使數據交易合法合規?王融在《數據匿名化的法律規制》一文中提出,要充分結合匿名化標準的三個要素對數據開展隱私風險評估,隨後根據隱私風險評估的結果,選擇不同的加密方式和利用方式,有針對性地消減隱私暴露風險,並對匿名化策略作出調整。例如,選擇更為複雜的匿名化方法、縮減信息披露的規模、限制披露的對象、附加合同約束條件等。
“如果數據經過標準化、匿名化處理後完全不可逆,交易後的公司使用這些數據完全沒有問題。但如果數據處理得不夠徹底,可以恢復並追蹤到個人,這種數據在交易和使用時則要謹慎。”武長海提示說。
如果企業在進行數據交易時,不對數據進行處理,將承擔怎樣的責任?根據《網絡安全法》的規定,企業的行為侵害了個人信息依法得到保護的權利,將由有關主管部門責令改正,並可以根據情節單處或者並處警告、沒收違法所得、罰款,情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
距離人人公司發佈人人網被賣的消息,已經過月餘。記者再次嘗試登錄人人網,發現還可以順暢登錄,該社交平臺的主體暫時沒有發生變更,公司信息依然顯示為北京千橡網景科技發展有限公司。
對於人人網的主體何時會真正發生變化,未來人人網的走向如何,用戶還一無所知。這也讓用戶產生了新的疑問:平臺何時易主、新平臺使用數據需要通知用戶嗎?
記者在《信息安全技術個人信息安全規範》中看到了這樣的規定:當個人信息控制者發生收購、兼併、重組等變更時,個人信息控制者應該向個人信息主體告知有關情況;如變更個人信息使用目的時,應重新取得個人信息主體的明示同意。平臺應該向個人信息主體提供方法撤回收集、使用其個人信息的同意授權。撤回同意後,平臺後續不得再處理相應的個人信息。
“新平臺擁有者必須告知用戶相關情況,並重新獲得用戶的授權,由用戶來選擇,是否由新平臺擁有者來獲得信息。”朱巍進一步解釋說,用戶擁有最終控制權,企業要尊重用戶的選擇,每一次數據的轉移都要徵得用戶的同意,“這也是歐盟出臺的《通用數據保護法案》(GDPR)的核心。”
邱寶昌強調,平臺擁有者在收集新數據時也要注意必須正當、合法,同時必須明確告知用戶收集的範圍、使用目的、如何保管等,要重新徵得用戶的同意,並嚴格遵守《網絡安全法》《全國人大常委會關於加強網絡信息保護的決定》的有關規定。
記者注意到,一些企業也開始注重對這一方面的規範。以知乎為例,其隱私保護指引中規定:如果企業發生合併、收購或破產清算,將可能涉及到個人信息轉讓,此種情況下知乎會要求新的持有用戶個人信息的公司、組織繼續受隱私保護指引的約束。如果指引中約定的個人信息的收集、處理方式發生任何改變,該公司、組織將重新向用戶徵求授權同意。
安全:數據永流傳,安全需謹慎
數據在不同的主體間流轉的同時,也帶來了用戶對於數據安全問題的擔憂。
面對用戶的擔憂,北京多牛互動傳媒股份有限公司也曾就數據安全問題作出回答,將密切關注用戶協議、隱私政策的調整趨勢,全力確保用戶隱私安全。
對此,武長海表示,除卻事前明確數據控制者需向數據主體申請信息獲取、蒐集許可,事中允許數據主體要求數據控制者將涉及其隱私而無關公益的信息抹去之外,對於違法擅自獲取數據危害數據主體信息權利、隱私權的行為應當進行嚴厲處罰,並保證數據主體救濟權。
他還表示,對於數據控制者非經許可獲取或者採用顯失公平的格式條款獲取個人信息,以及收集個人私密信息並經要求拒絕刪除的,應當被認定為侵權;主動通過非法手段獲取個人隱私信息,採取技術手段破解匿名化數據並進行非法活動情節嚴重的應當受到刑法的制裁。
關於數據安全問題,雖然我國法律起步的較晚,但沒有缺席。《網絡安全法》要求網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。《電信和互聯網用戶個人信息保護規定》要求電信業務經營者、互聯網信息服務提供者,對其在提供服務過程中收集、使用的用戶個人信息的安全負責。《全國人民代表大會常務委員會關於加強網絡信息保護的決定》明確了在個人網絡電子信息收到保護,網絡服務提供者和其他企業事業單位應當採取措施確保信息安全。
受訪專家表示,平臺在收集和使用數據時,要重視數據的合規工作,同時,在使用數據時要符合用戶的合理預期。
“此前獲取的數據一定要安全保存,無論是新獲取的數據還是原本保存的數據,都不能非法使用,如果非法出售或者使用數據,將因侵犯公民個人信息而觸犯刑法。”邱寶昌最後說道。
閱讀更多 衢州檢察 的文章
