数据安全监管亟待完善
数据泄露事件频发,暴露出互联网时代的治理漏洞,也暴露出互联网时代中数据隐私的保护与监管、保护与共享等诸多矛盾,对各国相关法律法规的制定和实施提出了更高要求。
在瑞典交通管理局信息泄露事件曝光后,尽管尚未有证据显示这些资料落入不法分子之手,但已引发瑞典政坛震荡,反对党主席在新闻发布会上严厉指责现政府在保护瑞典国家安全方面存在严重失责。反对党联盟计划对国防大臣等官员发起不信任投票,要求他们下台为泄密事件负责。
瑞典首相勒文承认,泄密事件是瑞典网络安全的一场失败。他透露,瑞典政府正在拟定一项新的安全法案,对涉及国家安全的外包业务提出更加严格的规定。该法案将于2019年1月生效。
事实上,在欧盟,对于数据安全的保护条例在不断完善之中。
2015年12月,欧盟通过了《一般数据保护条例》,以欧盟法规的形式确定了对个人数据的保护原则和监管方式,避免个人数据陷入“裸奔”的尴尬。对于困扰欧盟与美国之间的信息自由流动问题,欧洲法院也做出了否决欧盟与美国《信息安全港》协议的裁决。
“棱镜门”事件后,美国掀起了个人信息保护的高潮,除了《隐私保护法》,还陆续出台了《儿童在线隐私保护法》、《电子邮件隐私法案》、宽带用户隐私保护新规等法律法规。此外,美国还和欧盟联手打造《欧美隐私盾牌》协定,取代此前的《信息安全港》协议,以保护跨国个人数据安全。
英国一些大机构今年以来遭到不同程度的黑客袭击。例如英国国民保健制度服务系统5月遭勒索软件病毒入侵后,多家医院电脑瘫痪,不得不停止接收患者,救护车等医疗服务也受到影响,这使得不少专家呼吁政府加强数据保护。
英国本身也早就有数据保护法案。但多年前,英国曾有一个“时代”计划,并和美国国家安全局在嫌疑目标的确定、对民众通讯记录的获取等方面互通有无,如读取通话记录、电子邮件内容、社交网站的登录方式等信息。一些电信企业被迫选择将“部分或全部”通信服务转移到海外,企业及海外通信服务商不得不与英国当局私下达成协议,允许情报机构在“适当法律授权”下接触到英国境外的通信数据。
随着数据隐私及安全问题越来越突出,英国政府宣布将修改相关法律条文,加强对个人数据隐私的保护。
英国的情况多少反映出监管和隐私保护逐步从不和谐走向完善。事实上,这种情况在其他国家也存在。
例如,为了防止有组织的恐怖主义行为,澳大利亚《强制保留通讯数据法案》于2015年3月生效。通过立法,澳大利亚政府要求其国内的通信运营商Telstra和Optus保存用户的通信数据,例如电话记录、IP地址、短信的详细信息、数据的地址等,保存期限是2年。
对此,澳大利亚人各持己见。大部分人对此表示支持,同意用纳税人的钱来分摊网络公司储存数据需要的每年约为1.31亿澳元的高昂成本。也有公民自由倡导者认为,这反而可能泄露个人隐私。这部新数据法在争议中开始实施。
在印度,2013年,其政府启动了覆盖面广阔的监控系统,这一系统允许政府窃听录音电话中的对话,阅读私人电子邮件和短信,监控脸谱和推特等社交网络平台上的发帖,并追踪个人在谷歌上的搜索目标和痕迹。安全部门不需要法院的监控命令,也无须告诉运营商,就可以获取通讯材料。直到目前,印度并没有正式的隐私法。
德国拥有世界上最严格的隐私保护法。1977年,德国联邦政府出台了适用于整个德国的《联邦数据保护法》,约束范围包括电子通信、互联网等领域,防止因个人信息泄露导致的侵犯隐私行为。政府内部还设立了联邦数据保护与信息自由专员,来监督政府机构在保护个人数据方面的行为;德国各州也有数据保护专员,以类似的方式监督各州政府机构的行为。
即便如此,关于个人信息保护也存在争议。著名的“德国之翼”坠机事件发生后,这一争议在德国始终没有停止过。
商机与禁区并存
保护数据隐私,越来越受重视,这对用户而言无疑是个福音。对不同企业来说,数据隐私的保护工作,既意味着商机,也意味着可能受到更多限制。
数据隐私保护带来了商机。英特尔公司最近在纽约举行的“英特尔Xeon可扩展处理器发布会”上宣布,正与金融创新公司R3合作,加强其Corda区块链平台的数据隐私和安全性。