源点注：本文转自《新快报》2019年3月21日。

大数据时代,我们所有的行为都已经被数字化的方式存储成数据,进行交易、流通。北京大学金融学教授唐涯曾将如今社会比喻成“微粒社会”。“此前粗放的工业化社会,就像像素极低的照片,而微粒社会就像超高清的动态照片一样,任何一个动物的表情都能够被精确地捕捉。”在像素如此清晰的微粒社会,我们在社会上留下的痕迹也越来越多,关于我们的数据也累积得越来越多。

这些数据,有时会让你成为“裸奔者”,让人有一种到处都是摄像头的感觉。你所有的行踪都在衣食住行、理财、借贷等各类平台上留下痕迹。你的基本信息、投资偏好等均可以轻而易举被“解读”。

诸多业内人士接受新快报记者采访时表示,只有先从顶层制度上加强个人信息安全立法,才能真正解决问题。据悉,全国人大常委会已将制定个人信息保护法列入本届立法规划。全国政协委员、中国工程院院士高文表示,应加快《个人信息保护法》的立法进程,“未来,凡因业务特点而拥有客户个人信息的企业,都应依法设立独立的信息保护系统和信息披露审核机制。”

■新快报记者 许莉芸 实习生 卢洁萍

分级处理,打破“一揽子”授权

去年5月1日,中国国家标准化管理委员会发布的《信息安全技术个人信息安全规范》(以下简称“规范”),是国内首个关于个人信息安全规范的国家标准性文件(但非强制标准)。

规范首次对个人信息和个人敏感信息进行了区分。如果从信息本身可识别和关联到特定个人的,即为个人信息,如姓名、电话号码、身份证、通话记录等。而个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息。

规范还规定,当平台收集个人敏感信息时,应征得用户明示同意。首先,规范建议要进行分级处理,即区分核心功能和附加功能,如果收集的是核心业务功能所必需的个人敏感信息,平台应明确告知你拒绝提供或同意将带来的影响,并允许你作出自主选择。

但是涉及到附加功能所需收集的个人敏感信息,除需上述规定外,在你提出拒绝后,平台不应以此为理由暂停核心业务功能,并应保障相应的服务质量。

遵循“最少且必要原则”

一直以来,征信行业对于个人信用信息的共享和开放、数据的收集及使用的边界并不明确。广东合邦律师事务所律师肖锦阳就建议,有关部门应加快征信立法,明确征信资质与范围,强化征信数据安全与授权管理,严厉打击征信滥权与非法使用。

北京市盈科(广州)律师事务所律师徐进伟表示,个人信息共享应遵从最少和必要的原则,即超出共享目的、不符合必要和最少原则的信息,一律不得采集和查询。

规范中也提及,对于个人信息收集要采取最少够用原则,所谓最少够用原则,企业收集他人的个人信息必须秉持信息收集最小化,即数量最少、频率最低、保存时间最短。其对于个人信息的收集只需满足从事该业务所必须的最低标准即可,而不得在超出必要限度的范围内进行信息的收集或者保存。此举将能最大程度减少个人信息在非信息主体手中停留的时间及数量,以降低个人信息泄露的风险,提高个人信息安全程度。

落实网络安全保护责任

顶层设计政策出台、明确征信行业边界的同时,还要从技术上保障用户的个人信息安全。肖锦阳指出,根据《网络安全法》第21条规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

具体而言,安全保护义务包括,首先要制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;还要防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;并且采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;另外,还要采取数据分类、重要数据备份和加密等措施。

此外,中国人民银行眉山支行邓湘海曾撰文指出,建议从法律层面承认信用的财产权益。也就是说承认信用资产的实际价值,一旦发生信用财产权益被侵犯的情况,用户可以要求其停止侵害并且赔偿损失。

就在今年3月15日,为规范APP收集用户信息,市场监管总局、中央网信办决定开展APP安全认证工作,发布了《移动互联网应用程序(APP)安全认证实施规则》,规则显示,APP认证模式为“技术验证+现场核查+获证后监督”,将鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP。