曾经的国内互联网社交平台巨头人人网要被卖掉了。一石激起千层浪,此时用户们最关注的问题是:这些年我们发布在人人网上的照片、文字等社交信息,是否也会被一并转手?抑或被直接清空?当回忆也可以数据化,互联网时代能否给我们的青春一个交代——
互联网上的回忆是否会被清零
单鸽
11月14日,沉寂已久的人人网迎来一波登录高潮。引发这一状况的契机,是当日人人公司宣布以2000万美元现金对价将人人网社交平台业务相关资产出售给北京多牛互动传媒股份有限公司。
成立于2005年的人人网被卖了。
平台:易主后数据何去何从?
人人网被卖的消息一经发布,立即引发了网友的广泛关注。微博上,#人人网被卖了#的相关话题,阅读量达到了3.1亿。
人们怀念青春的同时,有网友评论:“听说人人网被卖了,好担心不能再登录了,赶紧去把所有照片都下载下来,满屏的‘回忆杀’!”更有网友表示,“人人网,我们青春的墓志铭,哪怕有些东西你自己不记得了,服务器也在替你记得。希望人人网的数据永远不要被删除。”
人人网易主,人人网会因此消失吗?那些与我们有关的数据还会存在吗?
对此,北京多牛互动传媒股份有限公司在接受媒体采访时表示,公司将承担起人人网的运营责任,一如既往地高度重视和妥善处理人人网用户数据的保密和信息安全管理工作。
这意味着,被打包出售的人人网还将继续运营下去,用户可以登录,保留在平台上的数据也不会被删除。
北京市法学会电子商务法治研究会会长邱宝昌告诉记者,平台的主体变更后,新主体应当继续担负起维护平台数据的责任和义务,做好数据的保密和安全管理工作。
“平台主体变更不影响数据保存。”中国政法大学传播法研究中心副主任朱巍分析说,“数据的控制权掌握在用户手中,如果用户要求继续保存数据,平台有能力的应继续延续其义务。”
按照朱巍的说法,人人网只是被变卖,并非无法运营而关闭,之前答应用户的义务还应该继续履行。
“所以,不用担心数据的保管和保存问题。”朱巍说道,“只有当平台无法运营而关闭时,用户如果不将数据导出,平台将会依法规将数据删除或销毁。”
网易博客就是个例子。今年8月,网易博客宣布停止运营,并提供给用户四个月的缓冲时间,用来搬迁数据。网易在公告中就明确表示,网站停止运营后,网站内所有账号数据及其中的内容、日志、照片等信息将被全部清空。
权属:平台上的数据到底归谁?
人人网官方2013年发布的公告显示,彼时人人网的注册用户为2.8亿,带地理信息的原创内容日均170万条。哪怕截至今年3月底,人人网的月独立登录用户也约有3100万。
数以亿计的用户和信息交互的背后,意味着上传到平台的关于用户的姓名、学校、个人照片、日志、状态等极具私密性的信息和内容数量庞大,平台上的数据异常繁杂。
在中国政法大学资本金融研究院教授兼网络经济研究中心主任武长海看来,平台中庞杂的数据可至少分为三类:含有个人信息的底层数据,不含个人信息的匿名化数据,经数据清洗、算法加工后的衍生数据。
底层数据含有个人隐私的信息,也是最原始的数据。例如,在注册账号时,平台会采集新注册用户的姓名、邮箱、住址、电话号码甚至身份证号等内容,并根据这些信息识别出用户的个人特征。“对于这些数据,数据主体具有无可辩驳的完整权利,未经许可不能取得、使用、交易。”武长海表示。
匿名化数据最大的特点,就是通过技术手段,使得基于用户个人信息而产生的数据的人身性被消除了,仅仅从该数据本身无法指向特定的个人。“在大数据时代,即使是经过匿名化处理的数据也存在个人信息被识别和滥用的可能。”武长海提醒,“企业应当对数据的匿名化以及匿名化后的后续利用的隐私及信息安全风险进行评估。如果风险较高,企业在行使所有权时应当有一定的限制。”
而经过数据清理、数据可视化等技术手段进行加工已完成可应用改造的数据被称为衍生数据,这类数据完全无法被复原,即使结合其他数据,也无法指向特定的个人。武长海认为,这类数据的数据控制者应当拥有专有权。
明确数据的权属,也就代表着明确了谁能对数据进行处分。“能识别个人特征的数据由用户自己控制,基于平台产生的大数据归平台享有,属于知识产权性质,是平台可以获利的内容。”朱巍用更为通俗的方式来解释,“如果平台数据被交易,也只能交易基于平台产生的大数据。”
“基于平台产生的大数据在交易时不需征求用户同意,直接或间接可以识别出用户个人信息的部分则要征得用户的同意。”朱巍补充说。
交易:需对数据进行匿名化处理
记者注意到,对于数据的权属目前也只是从理论上来探讨,尽管当前国内尚没有相关法律法规明确界定,但数据具有的财产属性正在逐渐凸显。有专家认为,数据正渐渐成为一些公司在交易时看中的核心资产,代表了这些企业的发展潜力和价值。
然而,企业所掌握的数据不可避免地会涉及到个人数据,也逃不开隐私保护问题。这就使得个人数据保护和数据价值之间的矛盾日益突出。“匿名化作为二者的折中,提供了一条技术解决路径。”曾任中国信息通信研究院互联网法律中心副主任的王融在其关于数据匿名化的专题研究中表示,“通过匿名化方法消除用户的身份信息、敏感信息以达到隐私保护的目的,降低了个人隐私的风险,同时还能够最大化地发挥数据价值。”
“所以,数据流转交易是有前提的,如果数据不经过处理就进行流转交易,是绝对不可以的。”武长海告诉记者,在贵阳大数据交易所,其中一条交易规则就规定,交易的不是底层数据,而是数据清洗、建模、分析的数据结果。
《网络安全法》对数据流转有着明确的规定,即未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。有专家表示,这里的但书规定,可以理解为对于个人数据匿名化利用,特别是匿名化后对外提供(交易)的情形提供了合法性。
邱宝昌也在采访时表示,交易之前,原平台需要对数据做标准化、匿名化处理,不能通过数据识别出用户的个人信息。
如何对数据进行匿名化处理,使数据交易合法合规?王融在《数据匿名化的法律规制》一文中提出,要充分结合匿名化标准的三个要素对数据开展隐私风险评估,随后根据隐私风险评估的结果,选择不同的加密方式和利用方式,有针对性地消减隐私暴露风险,并对匿名化策略作出调整。例如,选择更为复杂的匿名化方法、缩减信息披露的规模、限制披露的对象、附加合同约束条件等。
“如果数据经过标准化、匿名化处理后完全不可逆,交易后的公司使用这些数据完全没有问题。但如果数据处理得不够彻底,可以恢复并追踪到个人,这种数据在交易和使用时则要谨慎。”武长海提示说。
如果企业在进行数据交易时,不对数据进行处理,将承担怎样的责任?根据《网络安全法》的规定,企业的行为侵害了个人信息依法得到保护的权利,将由有关主管部门责令改正,并可以根据情节单处或者并处警告、没收违法所得、罚款,情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
利用:新平台拥有者需重获授权
距离人人公司发布人人网被卖的消息,已经过月余。记者再次尝试登录人人网,发现还可以顺畅登录,该社交平台的主体暂时没有发生变更,公司信息依然显示为北京千橡网景科技发展有限公司。
对于人人网的主体何时会真正发生变化,未来人人网的走向如何,用户还一无所知。这也让用户产生了新的疑问:平台何时易主、新平台使用数据需要通知用户吗?
记者在《信息安全技术个人信息安全规范》中看到了这样的规定:当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应该向个人信息主体告知有关情况;如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。平台应该向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,平台后续不得再处理相应的个人信息。
“新平台拥有者必须告知用户相关情况,并重新获得用户的授权,由用户来选择,是否由新平台拥有者来获得信息。”朱巍进一步解释说,用户拥有最终控制权,企业要尊重用户的选择,每一次数据的转移都要征得用户的同意,“这也是欧盟出台的《通用数据保护法案》(GDPR)的核心。”
邱宝昌强调,平台拥有者在收集新数据时也要注意必须正当、合法,同时必须明确告知用户收集的范围、使用目的、如何保管等,要重新征得用户的同意,并严格遵守《网络安全法》《全国人大常委会关于加强网络信息保护的决定》的有关规定。
记者注意到,一些企业也开始注重对这一方面的规范。以知乎为例,其隐私保护指引中规定:如果企业发生合并、收购或破产清算,将可能涉及到个人信息转让,此种情况下知乎会要求新的持有用户个人信息的公司、组织继续受隐私保护指引的约束。如果指引中约定的个人信息的收集、处理方式发生任何改变,该公司、组织将重新向用户征求授权同意。
安全:数据永流传,安全需谨慎
数据在不同的主体间流转的同时,也带来了用户对于数据安全问题的担忧。
面对用户的担忧,北京多牛互动传媒股份有限公司也曾就数据安全问题作出回答,将密切关注用户协议、隐私政策的调整趋势,全力确保用户隐私安全。
对此,武长海表示,除却事前明确数据控制者需向数据主体申请信息获取、搜集许可,事中允许数据主体要求数据控制者将涉及其隐私而无关公益的信息抹去之外,对于违法擅自获取数据危害数据主体信息权利、隐私权的行为应当进行严厉处罚,并保证数据主体救济权。
他还表示,对于数据控制者非经许可获取或者采用显失公平的格式条款获取个人信息,以及收集个人私密信息并经要求拒绝删除的,应当被认定为侵权;主动通过非法手段获取个人隐私信息,采取技术手段破解匿名化数据并进行非法活动情节严重的应当受到刑法的制裁。
关于数据安全问题,虽然我国法律起步的较晚,但没有缺席。《网络安全法》要求网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。《电信和互联网用户个人信息保护规定》要求电信业务经营者、互联网信息服务提供者,对其在提供服务过程中收集、使用的用户个人信息的安全负责。《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确了在个人网络电子信息收到保护,网络服务提供者和其他企业事业单位应当采取措施确保信息安全。
受访专家表示,平台在收集和使用数据时,要重视数据的合规工作,同时,在使用数据时要符合用户的合理预期。
“此前获取的数据一定要安全保存,无论是新获取的数据还是原本保存的数据,都不能非法使用,如果非法出售或者使用数据,将因侵犯公民个人信息而触犯刑法。”邱宝昌最后说道。
关键词: