- /
给个人信息安全增添防护网
作者:陈鹏 来源:学习时报 发布于2018/12/26
或许,人类已经感觉到自身如同原始人类身处在原始森林中那般,每个人在网络空间中都是“裸奔”,毫无隐私而言。在大数据时代,随着机器作为一种主体性的介入,人类本身的主体性概念需要进行重构,同时个人信息安全问题也需要重新定义,在这种情形下,人类应该如何认识个人信息安全,如何保护个人信息安全是我们必须重新审视的一个“老话题”。
大数据时代个人信息安全面临的核心挑战
随着信息技术的发展,尤其是信息社会的到来,个人信息安全问题日趋严重。根据身份盗窃资源中心(the Identity TheftResource Center)的数据统计,2005年数据泄露事件发生了不到200起,到2017年数据泄露事件就高达1579起,相比2016年的1091起,2017年的年增速超过45%。此外,2018年第一季度和第二季度泄露数据的事件已经超过了2017年全年泄露数据事件的总和。从2005年1月1日到2018年9月30日,一共发生泄露事件9463起,所涉及记录数量超过11亿条。按照这个数字,我们目前每一天大概都有5—6起大的数据泄露事件发生,可谓是:“日子一天天过,数据一天天漏。”个人信息安全隐患问题如同一个幽灵飘荡在网络空间中。
许多学者将目前个人信息安全噩梦归咎于信息技术的发展,尤其是大数据、人工智能等技术的侵蚀。然而,从本质上来看,大数据时代下个人信息安全问题的核心特征在于“个人信息安全范式的转换”。简而言之,以往我们对个人信息安全的风险防范更多的是关注我们的个人信息被谁采集,而现在我们需要更多地关注我们的个人信息被谁聚合、分析与挖掘。更具体地,还包括个人信息安全问题的悖论与认知困境以及个人信息安全问题本身的结构性问题。
个人信息安全悖论主要是指人们一方面在直觉上都非常认可个人信息的重要性,也都承认个人信息安全是个人的一项基本权利,都希望注重对个人信息安全的保护。然而,在另一方面,人们为了社交、工作以及其他目的,往往会主动地披露关于自己的一些个人信息。同时,即使人们有时候已经充分意识到个人信息安全的风险与隐患,然而这些问题往往是潜在的、长期的,甚至是或然的,在面对短期的、直接的、可获得的利益时,有人也会主动让渡自己的个人信息而换取短期的、眼前的利益。
个人信息安全认知困境指的是从个人的角度出发,个人信息安全管理有一个普遍的假设,即我们每个人都是理性人,能够对各类收集、使用以及披露个人信息的情形作合理的决策。然而实证和社会科学的研究表明,情况并非如此。根据某项研究表明,人们针对在线交易的隐私问题平均只回答正确30%,此外另外一项研究表明被访问的人群中64%的人都不知道超市可以将你购买货物的相关信息转卖给其他公司,还有75%的人错误地相信只要网站上有隐私条款,那么就意味着这个网站不会与其他网站或者公司分享你的信息。首先,人们根本就不阅读关于个人信息或者隐私的相关条款。其次,即使人们阅读它,人们也看不懂,更不理解这些条款和条文。再次,即使人们能读懂这些条款,人们要想作出理性的决策,也会缺乏足够的背景知识。最后,即使人们能读懂条款,也能作出理性决策,但是他们的选择仍然会受到各种决策困难的影响。
个人信息安全存在着结构性的问题。平均每个人每个月会访问上百个网站,我们每个人手机上会安装数十个应用程序(App)。有研究表明,如果我们每个人都去阅读他们一年中访问网站的所有涉及个人信息的条款,那么估计会消耗掉等价于7810亿美金的生产力。这就说明,让我们去阅读那么多的隐私策略和条款是不可能的,也是不现实的。此外,由于理性的内在界限限制了我们获取、记忆并处理与个人信息安全决策有关的各类信息,使得我们倾向于依赖简化的心理模型和启发式策略,这种风险评估策略通常会将熟悉的风险评估过高,而将不熟悉的风险评估过低。
重塑法律、法规与标准的架构
在现代社会中,法律、法规和标准实际上构架了我们所处的世界秩序。从某种意义上而言,个人信息安全是由法律所建构的。一方面,法律、法规和标准能够应对新技术对个人信息安全带来的风险和挑战,另一方面,法律、法规和标准从整体社会的视角,为了维护社会的秩序与效率,可能会使得个人信息置于安全风险中。例如,城市通过收集、分析与挖掘个人的公交乘车信息可以有效地改进城市公共交通的调度,提升公共交通的效率。然而在这个过程中必然就需要作出规范允许相关部门和管理机构能够收集个人的公共交通出行数据。这种法律规范也导致个人信息安全风险,即有人会利用个人出行数据来进行定位和跟踪,尤其是对于孩子而言,存在较大的风险。
从全球来看,目前涉及个人信息安全相关的法律、法规与标准主要秉承公平信息实践原则(fair information practice principles)。公平信息实践原则最早出现在美国卫生、教育与保障部于1973年发表的一份题为《记录、计算机和公民权利》的研究报告中。
当前,许多新出台的个人信息保护的各种法律、法规与标准都是在遵从公平信息实践原则的基础上,结合个人信息安全所面临的新问题与新风险,制定具体的规则与规范。例如,2018年5月25日,被称为“世界史上最严格的数据保护法律”的欧盟《一般数据保护条例》(简称“GDPR”)正式颁布生效。GDPR就是在遵从公平信息实践原则的基础上,通过细化数据主体的权力以及设定天价的罚款措施来落实对个人信息安全的保护。
总体而言,全世界各国都高度重视个人信息安全保护问题,也纷纷出台了新的相关法律、法规和标准来应对个人信息安全所出现的各类新问题和风险。然而,由于在大数据时代个人信息安全问题出现了范式转换,以往的法律、法规和标准架构体系已经难以适用。因此,要想更好地保护个人信息安全,我们必须进一步厘清和梳理大数据时代个人信息安全问题的本质,理顺技术、法律与个人信息安全三者的互动关系,重新构架涉及个人信息安全的法律、法规与标准体系,从而避免人类丧失掉“个人信息安全”这项基本权力。
破解个人信息安全保护问题的一把利刃
技术、法律与个人信息安全三者之间的关系绝非线性的、单向的。仅从技术的视角而言,大多数学者都会主张技术是侵蚀个人信息安全的罪魁祸首,或者认同技术的发展加剧个人信息安全风险。然而,我们不要忽视事情的另一面,更不要只把技术的利刃指向自己。事实上,技术不只是侵蚀个人信息安全,同时也是破解个人信息安全问题的一把利刃。
从博弈的视角,个人信息安全保护的一个核心障碍在于“信息能力的不对称”,从个体而言,在实施个人信息安全保护的时候,个人面对的“对手”往往是一些大型的、综合性的、主导性的权力平台(例如:谷歌、脸书、微软、淘宝等),权力平台掌握的是最先进的大数据与人工智能技术。权力平台遵循个人信息安全相关的法律规定,向个人推送了一份份“复杂繁琐”的隐私条款或者个人信息保护合约,这些条款和合约犹如信息炸弹一般,个人可能无法消化、理解这些条款,更不能很好地作出理性的、有利于自身的决策。当这些权力平台通过聚合的方式,将散落在网络上的个人信息碎片整合成一幅幅惟妙惟肖的“个人画像”时,个人或许都毫无察觉,更无力应对。
“解铃尚需系铃人”,站在个人的角度,要想自身在大数据时代下保障个人信息安全问题,就必须做到“魔高一尺,道高一丈”:通过应用大数据与人工智能技术,来应对大数据与人工智能技术所带来的个人信息安全风险。
应用大数据与人工智能技术,开发利用个人信息保护的智能助手,通过大数据采集分析技术,收集整理个人桌面的应用、个人终端上的APP的海量隐私条款,通过机器学习和智能决策技术,依据个人的隐私偏好,辅助用户进行各类隐私条款的同意与否的决策以及综合研判。
应用大数据与人工智能技术,研究开发个人信息算法平台,通过机器学习技术,为个人策划和分享个人信息提供决策依据,同时根据个人偏好,对比分析各项服务的隐私条款和合约,为综合决策采纳和接受哪一项服务提供智能决策支持。
应用大数据与人工智能技术,开发应用个人信息交换、共享的综合控制工具,依托区块链、人工智能等技术,为个人创造一个可信的、可靠的、安全的数据交换和分享模式,实现个人对个人信息的可控。
对于当前面临的个人信息安全现状与问题,不少学者表现出了极端的“悲观论调”,他们认为随着信息技术的发展,尤其是大数据技术的发展,人类在个人信息安全问题上终将是无能为力的。对此,有两种极端的论调,一种是“回退论”,即放弃技术发展,退回到更为原始的状态,另外一种极端论调是“放弃论”,即索性放弃个人信息和隐私,让整个社会和所有人都是透明的存在,大卫·布林(DavidBrin)在其着作《透明社会》中就主张这样一种观点,他认为激进的、极端的透明是解决隐私丧失问题的一剂良方。
我们认为,无须过分悲观,从历史角度而言,技术、法律与个人信息安全一直都存在着一种相互推动、相互制衡、相互交织的复杂关系,也在动态中形成了一个个亚稳态。由于大数据、人工智能技术的特征,使得个人信息安全问题发生了一种范式转换,然而,只要我们能够重构法律、法规和标准体系,能够用好技术的“另一面”,我想我们最终能够很好地、妥善地处理好技术发展与个人信息安全问题。别忘了,人类尚处在信息社会的开端,未来纵然有诸多的不可预知,我们只要心怀“人文关怀”的善念,手持“理性”的利刃,我们就能披荆斩棘,迈向美好的信息与智能文明。科普工作者要充分发挥新媒体的作用