往期雜誌查閱
按總期數:第
按年份期數:
 首頁 > 國際舞台 > 正文
歐洲網絡新法生效有哪些影響
What are the effects of the new European cyber law?
張介嶺 [第3414期 2018-03-26發表]

▲據報道,在2016年美國大選中,俄羅斯背景的組織使用互聯網廣告工具吸引美國人喜歡並跟蹤虛擬賬戶,由此向他們傳播虛假數據,然後進一步觀察使用者的反應,通過明顯虛假的陰謀論製造更大的社會撕裂。圖為俄羅斯總統普京。(新華社圖片) 

互聯網給人類社會帶來了空前便利,天涯成咫尺,數據獲取更是彈指一揮間。然而,隨着時間的推移,人們發現網上數據魚龍混雜,虛假數據氾濫其間,一些國家之間的數據戰也趨於白熱化,江湖上傳聞的俄羅斯干預美國大選便是典型例子。
 

大國信息戰亮瞎人眼

 
2018年2月16日,美國司法部發表聲明,特別檢察官穆勒以共謀干預“美國政治和選舉進程,包括 2016年總統大選”為由,對13位俄羅斯人以及3家公司正式起訴,指控內容包括想方設法抬高特朗普作為總統候選人的地位並踩踏其競選對手希拉莉。
 
起訴書指,這13位俄國人偽裝成美國公民身份,從2014年開始在社交媒體上散佈假消息,其中12人隸屬“互聯網研究機構”(The Internet Research Agency)組織,其目標明確:在美國政治體系中製造不信任。除了捏造候選人數據之外,他們還購買廣告傳播假消息。
 
另據《紐約時報》獲得的數據透露,從去年開始美國聯邦選舉委員會對“互聯網研究機構”着手進行調查,Facebook亦披露,該機構曾支付逾10萬美元購買政治主題廣告,包括宣傳“打倒希拉莉”的集會。這些行動大部分在社交軟體上進行,因此留下了一些證據。
 
2月6日美國國務卿蒂勒森警告說,俄羅斯已經開始干預2018年的美國中期選舉,而美國沒有做好應對準備。就在蒂勒森發表上述講話三週前,美國中情局局長蓬佩奧說,他預計俄羅斯將試圖干預美國11月份的選舉。
 
此前,蒂勒森在墨西哥講話時明確表示,歐洲國家已經發現俄羅斯插手多個選舉的迹象,美國政府此前也曾發現俄插手歐洲國家選舉進程的蛛絲馬迹,歐洲一些政府也提供了相關證據,並警告有可疑“迹象”表明,俄羅斯可能會干預今年拉美多個國家的選舉進程。
 
美方對網絡數據安全的擔憂並非空穴來風。事實上,虛假數據使用的是熟悉品牌所使用的相同的互聯網廣告系統。各類互聯網廣告商都在收集個人數據,包括使用者過去採購的商品、簽署的請願書、經常訪問的網站、新聞來源,以及點擊過的廣告等,並據此將用戶細化分類,投其所好散佈虛假數據,誘導他們關注、喜歡某些網頁、跟蹤賬戶、分享數據,然後觀察他們如何與線上內容互動,並根據其反應調整內容和受眾。
 
據報道,在2016年美國大選中,俄羅斯背景的組織使用互聯網廣告工具吸引美國人喜歡並跟蹤虛擬賬戶,由此向他們傳播虛假數據,然後進一步觀察使用者的反應,通過明顯虛假的陰謀論製造更大的社會撕裂。Facebook最近透露,2016年總統大選期間,超過62000個用戶承諾參加129個由俄羅斯背景機構組織的集會。
 

企業個人數據安全頻遭挑戰

 
如果說國與國之間的數據戰難免有點捕風捉影的話,那麼,近年來,大大小小的網上個人隱私違規案例和數字管理失當數量猛增可謂觸目驚心。2017年10月3日,雅虎公司發佈數據證實,其所有30億個用戶賬號都受到了駭客攻擊的影響,被盜數據內容包括用戶名、郵箱位址、電話號碼、生日、以及部分使用者部分客戶加密或未加密安全識別的問題和答案。雅虎和調查方曾表示,“得到國家資助的駭客”發動了這次攻擊,但沒有明確指出具體是哪個國家。
 

▲Facebook最近透露,2016年總統大選期間,超過62000個用戶承諾參加129個由俄羅斯背景機構組織的集會。(設計圖片)  
 
2017年9月,信用評級公司艾可飛稱遭遇史上最嚴重的數據洩露,約涉及1.45億人,達到美國人口半數。有消息稱艾可飛去年3月就知道後來駭客利用的漏洞存在,更不堪的的是,艾可飛獲知數據洩漏後又等了兩個月才公佈消息。此外,艾可飛(Equifax)賺取利潤的方式主要是向金融機構和銀行出售私人數據,而且經常是敏感的隱私數據。
 
2017年11月22日,網約車公司Uber官方發表聲明確認,在2016年10月時受到駭客攻擊,造成5700萬名客戶和司機的個人數據遭到洩露。更嚴重的是,在被竊取數據後Uber並沒有及時向監管部門報案,也沒有發表聲明告知用戶和司機,而是選擇“向黑惡勢力低頭”,試圖繳納10萬美元的費用來讓駭客刪掉竊取的數據。此次事件已經被Uber官方掩藏了1年時間,直到有媒體曝光後才不得不承認。
 
令人憂慮的是,近年來,全球因為駭客竊取機密而導致的勒索案件頻發,隱瞞文化已開始滲透到全球不少國家,交付贖金企圖掩飾事實的比例迅速增加,每年向駭客交付的贖金直衝10億美元,素以誠信著稱的美國企業亦未能倖免。
 
毫無疑問,如何與互聯網企業攜手破解網絡安全難題引起各國政府的高度關注。
        

歐盟立法整治網絡亂象

 
在打擊網絡虛假數據方面歐洲走在了前列。2月初,英國首相文翠珊呼籲互聯網公司遏制網絡亂象。法國總統馬克龍在2018新年致辭中也聲明將改革法國媒體法律,打擊虛假新聞在社交媒體上傳播,包括授權法官有在大選前刪除虛假新聞內容的權力。德國領導人更是實施了嚴刑峻法,如果24小時內不刪除“明顯違法”的仇恨言論、七天之內不刪除其他非法內容互聯網公司將面臨高達5,000萬歐元的罰款。
 
歐盟保護網上個人隱私並非說說而已,2018年5月25日,歐盟《一般數據保護監管條例》(GDPR)將正式施行。在歐洲,公民對本人信息的自決權一直被視為基本人權加以保障。GDPR條例是近三十年來歐洲數據保護立法的最大變動,旨在加強對歐盟境內居民的個人信息和隱私保護,鞏固公民對個人數據的自決權和控制權,保障歐盟公民的基本人權,重拾對個人數據處理的信任,可望統一歐盟數據保護規則,結束成員國數據保護法律制度差異問題,簡化歐盟個人數據保護和監管的流程,降低跨國公司的合規成本,促進一體化的“數位歐洲”進程。
 
為了限制數據處理機構利用網絡自動收集、自動分析數據,對使用者特徵畫像後進行定向行銷活動、侵害數據主體權益,GDPR條例要求數據使用需徵得數據主體的同意,不允許自動化用戶分析行為,以防個人數據在本人不知情的情況下,完全被電腦自動化收集、處理和應用,傷害數據主體的知情權、自決權,要求數據控制者須以清晰簡單明了的方式說明其個人數據是如何被收集處理的;應為使用者訪問提供相應流程,如該請求是以電子形式提出的,則也應當以電子形式將數據提供給個人,且不能基於提供該服務而收費,除非數據主體的請求明顯超過負擔。數據主體享有絕對的拒絕權,如始終有權拒絕基於個人數據的市場行銷行為。
 
除以上權利之外,新法還推出“個人數據可攜權”和“被遺忘權”等新的權利類型。所謂“個人數據可攜權”,是指用戶可以無障礙地將個人數據從一個數據服務提供者處轉移至另一個數據服務提供者。該權利不僅適用於社交網絡服務,還包括雲計算、網絡服務以及手機應用等自動數據處理系統。數據控制者無權干涉數據主體的此項權利,還需配合使用者提供數據文本。
 
所謂被“被遺忘權”其核心仍為刪除權。當用戶依法撤回同意或者數據控制者不再有合法理由繼續處理數據時,使用者有權要求刪除數據。如果數據控制者將使用者要求刪除的個人數據進行了公開傳播,應採取所有合理的方式予以刪除(包括採取可用的技術手段和投入合理成本),並有責任通知處理此數據的其他數據控制者,刪除關於數據主體所主張的個人數據鏈接、複製件。這是對傳統“刪除權”的擴張,有助於公民社會和學界從使用者合作方獲取數據,了解互聯網平台編輯了什麼數據,以及這些數據是如何被使用的,從而進一步加強問責。
 
GDPR為人們提供了更多控制個人數據的權利,確保數據使用的透明度,要求採取控制措施保護數據安全。但GDPR並非僅僅對歐盟企業產生約束,而是適用於從任何歐洲設備收集的個人數據,覆蓋了主要互聯網平台和歐盟以外其他從歐洲獲得個人數據的機構。在全球化的大背景下,無論這家公司是哪裏的,只要涉及到歐盟公民的數據,只要與歐盟企業存在商務合作和貿易往來,就必須遵從GDPR。如果第三方使用數據不符合新法要求,線上平台有因協力廠商公司的行為被一起追究連帶責任的風險。
 
值得注意的是,根據新法要求,互聯網公司使用政治或意識形態觀點,每次具體使用或接受個人數據時必須徵得使用者明確同意。政黨使用政治數據是例外,但其他的均不適用。顯然,幾乎沒有人會同意基於政治和意識形態觀點被目標定位。由此,不法分子向特定人群傳播煽動性數據將更加困難。無疑這將有助於限制不法分子別有用心地獲取個人數據,尤其是大幅限制了他們根據網上使用者政治觀點進行微目標定位的能力。
 
為了確保有案可稽,新法規定,數據控制者必須全面記載其數據處理活動,包括數據處理的目的、數據的類型、數據接收者的類別以及轉移至第三國的數據接收者、數據保存的時間、採取的安全保障措施等等,保留與數據處理者的合同附件。所有這些不僅增強了數據主體對於個人數據的控制能力,也對企業如何保障實現數據主體的權利提出了具體的要求,對企業的制度建設,措施配置、業務流程乃至數據技術系統設計都可能產生直接影響。
 
新法規定的針對企業的違法制裁相當嚴厲,一般違規行政罰款的上限是1,000萬歐元或該企業上一財年全球年度營業總額的2%(以較高者為準);嚴重違規行政罰款的上限是2,000萬歐元或該企業上一財年全球年度營業總額的4%(以較高者為準)。被處罰的行為包括無法說明如何獲得使用者同意,違反數據處理的一般性原則,侵害數據主體的合法權利,以及拒絕服從監管機構的執法命令等。
            

GDPR亦帶來新挑戰

 
不過,歐盟推出的新法也給互聯網企業帶來了新的挑戰。“互聯網名稱與數字位址分配機構(ICANN)“目前管理着一個重要的網址數據庫,並提供“功能變數名稱查詢服務(WHOIS)”,負責數據庫收集並提供數據管理、控制及擁有功能變數名稱合同責任的機構的情況。他人可通過WHOIS數據庫查找某一功能變數名稱歸屬哪家機構管理,並提供功能變數名稱所有者的聯繫方式,以便發現該功能變數名稱被用來發送垃圾郵件或上傳非法內容時能夠找到當事方。執法機構經常使用WHOIS系統調查電腦犯罪並説明智慧財產權所有者保護商標。
 
根據歐盟新法,WHOIS數據庫中包含的名字和聯繫方式等數據均被視為私人數據,未經個人明確同意及符合其他限制要求,禁止與人分享。這可能意味着執法、消費者保護機構、品牌和智慧財產權保護宣導者,網絡安全專家無法訪問新法實施前可以獲得的聯絡人數據。如果不調整WHOIS數據處理方式,版權所有者、執法部門和電腦安全企業能夠獲得的有關功能變數名稱合約擔責方的數據將大為減少。
 
目前,ICANN正在評估數個新WHOIS合規模型,可望改變任何人都可以查找功能變數名稱的無限制訪問模式,轉向分級數據搜集模式;另一些模型要求協力廠商訪問必須依照GDPR規定,有許可程式和流程;還有模型限制對大多數數據的訪問,只有有限的例外。
 
ICANN評估新數據庫模型考慮的重要因素是確定哪些數據可以公開獲得及其對數據搜尋機構可能產生的影響。保護使用者免遭侵害的關鍵是如何獲取數據,以及能否將造成傷害並可能促進非法活動的功能變數名稱作下線處理。毫無疑問,ICANN新模型選擇結果將影響功能變數名稱所有權數據的收集、存儲、顯示、傳輸和保留。
 

▲新的歐洲《一般數據保護監管條例》(“GDPR”)將於2018年5月25日在整個歐盟生效。GDPR將取代整個歐洲的現有資料保護法,並引入重大變化及額外要求,將對世界各地的企業,無論他們在何處經營,均有廣泛影響。(網絡圖片)
 
專家認為,網上言論自由和數據流通是互聯網運作的基礎,要保持這方面的持續發展需要對發送數據者建立某種水準的信任。遵守GDPR規則代價很大,也會給企業帶來官僚主義和運營難題。即便如此,不法分子仍可能規避規則。眼下面臨的更大挑戰是如何在互聯網上建立並保持一定水準的信任平衡,確保管理各方之間數據流動內容的準確性。
 
科技進步和全球化徹底改變了原有的數據收集、處理和使用方式,衝擊了原來的個人數據保護原則。歐盟新法能否產生效果還取決於執法力度。必須承認,歐洲的方法並不是唯一,甚至也不是解決虛假數據的最好方法。然而,其他國家可能會受益於歐洲的改革,從中學習遏制虛假數據哪些做法可行,哪些做法不可行。Facebook已計劃在全球範圍內推廣GDPR的一些做法,全球其他國家或將間接受益於歐洲數據保護規則。
 

美國探索全面立法確保信息安全

 
經歷過一波又一波個人數據遭遇侵害之後,與五年前相比,多達半數的美國人認為,他們的個人數據更不安全了。皮尤研究中心研究揭示,民眾對組織、政府和私營部門保護個人數據的信心日漸式微。
 
業內人士分析,美國缺乏一部專門的綜合大法保護個人數據,地區法律難以消弭聯邦法律,以及各州法律之間的不一致之處,不能充分保護個人數據,當務之急是搭建基礎性的保護個人隱私的法律框架,確保所有公司成為負責任的、符合倫理的數據管家,從而更好地保護美國公民的個人數據。為此,有專家建議:
 
首先,保護網上個人隱私的法律應涵蓋所有機構,而不能僅限於科技公司、信用評級機構和其他狹窄的經濟部門。個人數據保護不僅是數位時代企業社會責任的一個重要組成部分,對任何收集、使用、或分享個人數據或其他潛在敏感消費者數據的組織而言,也是制度性風險防範以及基本的合規職能要求。
 
第二,保護個人隱私法應協調目前鐵路員警各管一段的部門做法所造成的不一致性。不管是輸入可攜式裝置生成的消費者應用程式,還是告訴專業醫師,醫療數據都是敏感的。一個最基本的隱私法會消除不同法案之間在管理健康數據存取權限、安全保護等方面存在的不一致的地方。
 
第三,鼓勵公司保護數據應該以預防為主,而不是自責式披露。出問題之後予以披露只對法律和合規部門有幫助。一旦到了違規被披露之時,成百上千人或已受到傷害。就使用者數據而言,企業應提供簡便的個人訪問、校正和刪除機制,記錄風險評估和其他合規要求,留下書面記錄。這些機制有了法律支援,就會警示企業必須優先考慮數據安全,這反過來又為隱私和安全專業人士,以及消費者利益維護者提供了更多的槓桿,推動更好的行業行為。如果美國效仿歐盟GDPR新法對違規行為予以重罰,不僅大科技公司,而且中小企業和非盈利機構的企業行為均可望得到重塑。
 
第四,美國法律框架應識別並提供解決侵犯隱私所造成的危害的機制。國會和法院認識到了違反隱私保護的危害,但“隱私傷害”的定義應該擴大。身份盜用是一大傷害,但由此受影響的個人遭遇到的不便,以及他們對“數位自我”缺乏控制的痛苦感覺也是一種傷害。法律應承認因個人數據暴露而帶來的不易計量的傷害,其危害之深需假以時日進行評估並解決。受害人應享有私人訴權對公司問責,監管機構應有能力懲罰保護個人數據瀆職實體。
 
不僅是美國,如今在亞洲,尤其是日本、新加坡和澳大利亞,都在考慮頒佈類似歐盟GDPR的規定。毋庸諱言,保護網上個人數據安全還面臨着巨大的挑戰。


經導全媒體矩陣
共築中國夢
2018寶博會
不到武陵源 焉知張家界
《經濟導報》創刊七十週年
《經濟導報》電子雜誌3432期
經導品牌推廣
經導系列雜誌-《中國海關統計》
經導系列雜誌-《同心》會刊
經導系列雜誌-《文化深圳特刊》
《經濟導報》經典版面