大数据时代用户个人信息保护策略分级分类保护.docx
《大数据时代用户个人信息保护策略分级分类保护.docx》由会员分享,可在线阅读,更多相关《大数据时代用户个人信息保护策略分级分类保护.docx(4页珍藏版)》请在冰点文库上搜索。
大数据时代用户个人信息保护策略:
分级分类保护
“棱镜门”事件暴露出了用户网络行为可以被实时监控的现实。
除却国家行为,互联网服务提供者跟踪、分析用户行踪的事件也是此起彼伏。
网易邮箱挂马事件、安卓应用隐私泄露问题、快递员售卖快递单事件,不断刺激着广大用户脆弱的神经。
互联网进入大数据时代后,个人信息对于互联网服务提供者而言具备了更多的商业价值,同时也面临着更大的安全威胁。
大数据时代如何保护用户个人信息,是不得不解决的关系网络发展基础的问题。
保护用户个人信息,必须立足互联网业务发展现实。
对用户个人信息采用分级分类保护,是解决大数据时代用户个人信息保护的一种有效方法。
一、大数据时代用户个人信息商业价值进一步凸显
用户个人信息构成大数据的重要源泉。
智能手机和可穿戴式设备的普及,个人的位置、行为,甚至生理变化,都成为可被实时记录并分析的数据资源。
同时,社交网络兴起,发表和分享信息成为重要的网络活动,用户成为互联网上各类信息的生产者。
大数据商业应用深挖用户个人信息潜在价值。
大数据在商业领域的典型应用体现为通过对用户行为的精准分析,提升用户体验,增强用户黏性,开展个性化营销。
区分个体变得十分重要,对一定规模的关联信息的聚合分析可以还原并预测用户生活全貌,为个性化业务提供数据支撑。
互联网通过后向收费模式,将个人信息转化为商业链的价值节点之一。
技术发展为挖掘用户个人信息潜在价值提供条件。
获取和存储成本的降低,使大规模信息的聚集变成可能。
数据挖掘和数据分析技术,为用户个人信息二次开发提供了机会和条件,信息的潜在价值得到释放。
实践中,拥有丰富个人信息资源的社交、电商公司纷纷通过挖掘信息价值,创新自身业务模式,并向第三方开放相关数据,提供数据支撑。
淘宝数据魔方、百度游戏营销平台等,均通过对用户行为的分析,建立用户行为数据库,向平台上的第三方输出数据,提供决策支持。
二、大数据引发用户个人信息安全新挑战
大数据加大了用户个人信息安全风险。
在互联网时代,我们已经意识到用户个人信息的价值与安全成反比。
用户个人信息的潜在价值不断刺激着人们收集、使用的欲望,巨大的经济利益催生地下产业链非法牟利,严重威胁用户个人信息安全。
互联网业务创新与用户个人信息保护之间的矛盾激化。
互联网服务提供者希望获取大量用户个人信息,而用户则避免公开个人信息;业务创新需要信息共享,而用户则希望降低信息流转风险。
传统上,保护用户个人信息遵循“告知和许可”原则,《全国人大常委会关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》也确认了该原则。
大数据背景下的业务模式对“告知和许可”原则是一种挑战。
用户个人信息不再只用于收集时的用途,其潜在价值更多地源于二次开发以及在此基础上的创新利用。
信息的转移和再开发、再利用更加频繁,同时也构成风险的主要来源。
“告知和许可”原则关注用户在收集前的一揽子许可,对信息转移后实际使用者的责任关注不够。
可以说,“告知和许可”的管理模式在大数据时代略显狭隘。
三、用户个人信息分级分类保护模式
大数据时代,保护用户个人信息的重要性不言而喻,但是过度保护则会抑制网络创新,降低互联网为用户带来的整体福利。
分级分类保护能够避免“一刀切”带来的失衡,实现互联网发展与个人权利的平衡。
分级分类保护模式首先对用户个人信息按照内容进行分类,再依据各类信息的价值和安全风险,给予不同程度的保护,对服务提供者提出不同的行为要求。
(一)依据内容的用户个人信息分类
用户个人信息按照内容可以分为隐私信息、身份信息、日志信息和公开信息,需要纳入行政保护体系的主要包括身份信息和日志信息。
身份信息指能够单独或相互结合识别特定用户身份的信息。
主要包括身份鉴权信息(如密码)、通讯录信息、用户基本资料和虚拟身份信息。
日志信息指用户使用互联网服务过程中产生的信息。
主要包括用户消费信息、服务订购关系、终端信息、访问信息(如IP地址)、位置信息及网络行为记录(如网页购物记录、搜索内容)。
(二)依据保护程度对用户个人信息分级
在分类的基础上,依据保护程度对各类用户个人信息进行分级,对应不同的管理要求。
保护程度的划分主要考虑以下四方面因素:
1、是否能依据该信息直接识别出特定用户;2、与用户线下生活的紧密度;3、是否能通过该信息获得其他关联信息;4、信息安全风险。
综合以上四方面因素进行保护程度分级,对身份信息的保护程度高于日志信息。
在各类身份信息中,对身份鉴权信息的保护程度最高,通讯录信息次之,用户基本资料第三,虚拟身份信息最低。
保护程度体现为对企业在信息流转各个环节的行为要求。
个人信息从用户流向最终的使用者并完成一个生命周期,需要经过收集、存储、使用、转移、删除五个环节。
其中使用环节指信息收集者自己使用信息的过程;转移环节指信息从收集者向第三者的流转过程,包括向公众或特定对象公开、合作伙伴间信息共享、委托加工等情形。
将转移作为单独的环节,既迎合了大数据时代对信息分享的重视,也体现了对风险多发环节的特别管理。
“告知和许可”的管理方式在大数据时代略显狭隘,但并不意味应彻底摒弃该方式,收集环节依然需要严格践行这一要求,需要加强管理的部分集中在转移环节。
此外,对企业在转移环节不同的行为要求也是分级保护的重要内容。
1、身份鉴权信息严禁转移。
身份鉴权信息既是用户个人信息的内容之一,也是获得其他个人信息的钥匙,信息价值巨大,一旦被用于非正当目的,就会带来重大安全风险。
2、通讯录信息经用户和特定联系人明示同意才可转移。
通讯录既是拥有者的个人信息,也是通讯录上记载的所有联系人的个人信息,涉及众多用户权利,需获得相关用户的许可。
3、其他身份信息的转移需获得用户的许可,并告知用户转移的信息范围和接收者的名称、地址、联系方式。
信息接收者对信息的使用权限应不超过用户对收集者的授权范围,信息接收者承担与收集者同等的安全保护义务。
4、单纯的非特定用户的日志信息,如用户网络行为记录的汇总,可以自由转移。
非特定用户的日志信息的流转可以增加信息价值,促进互联网创新。
同时,因为不涉及特定用户,不会对用户造成不利影响。
除了转移环节行为要求的不同,保护程度的差异也体现在其他四个环节中。
互联网进入大数据时代,将用户个人信息分级分类保护思想落实到具体的行为要求中,践行对信息流转的全程管理,平衡网络创新与个人权利,是应对大数据时代挑战的重要方式。
升级会员 