随着《个人信息保护法》的正式实施,个人信息安全终于有了立法的保护。不过,法律及安全产业界人士均认为,即便有了法律的护卫,个人信息安全保护还应该在技术上寻求更多的突破。
“新法的实施让公民个人信息安全保护进入有法可依阶段,而对于互联网企业而言,则到了需要把个人信息保护合规提到一个高度重视的位置之时。”中伦律师事务所合伙人樊晓娟在接受记者采访时表示,企业要结合新法,检讨原有的业务模式、业务流程有无合规漏洞;企业原有内控制度、业务流程、技术措施将面临调整;与上下游企业之间分享用户个人信息方式也面临调整;此外企业还需要加强人员培训等,合规成本将有所上升。
在樊晓娟看来,个人信息保护的痛点并不会因为有了立法支撑就会消失不见。不论是违法成本低而维权成本很高、个人信息泄露取证困难、个人的保护意识不强,还是个人处于谈判或交易的弱势地位,以及个人数据需求与合规来源渠道通畅程度不匹配等等问题都会依然存在。“不过,新法出台后,监管部门屡屡重拳出击,数据交易的合规交易通道也在逐渐畅通,相信这些痛点会逐渐得到改善。”
显然,法治社会的信任机制来自法律的担保,而法律作为社会制度,重在事后补偿,无法从技术角度提前避免个人信息泄漏的发生。
“个人信息保护主要面临个人控制虚化、安全保障弱化、信息共享不足的实践困境。从国家治理体系与治理能力现代化的视角来看,上述困境源起于现有治理框架和治理工具无法有效调和信息主体、信息业者与政府等多元主体的利益冲突。”欧科云链研究院高级研究员孙宇林接受记者采访时表示,区块链技术因其链式存储、加密算法、分布式架构、共识机制和智能合约的技术特征能够强化个人控制和信息安全,推动个人信息可信共享,为个人信息治理困境的破解提供全新可能。
当前,公民的日常活动正源源不断地产生大量信息,这些个人信息又被各类机构统一存储,最终形成一个中心化的信息管理系统。而随着网络技术的发展,中心化存储模式的安全性逐渐受到挑战,一旦遭遇网络攻击将导致个人信息的大批量泄露。另外,中心化信息服务机构内部管理不善,容易发生主动泄露客户信息以谋取利益的事件。因此,中心化信息服务机构长期面临信任危机。
孙宇林表示,区块链技术可以理解成一种新的互联网思维模式,是借由密码学串接并保护内容的串联区块,本质上是一种特殊的数据库。它就像一根铁链,一环套着一环,相互独立且相互联系。而存储于其中的数据或信息是不可伪造、可以追溯、公开透明、去中心化等。“也就是说,一旦用户信息数据上链,将无法轻易被篡改、可永久查询等,意在以技术取代信任。”
显然,从解决个人信息中心化存储暴露的问题角度来说,区块链是一种可选的技术选项。
“降本增效也是区块链技术应用于个人信息安全保护的重要特点之一。”孙宇林表示,下一阶段公民个人信息保护将首先从建立基于区块链的公民数字身份系统开始,这种数字身份系统将是公民物理空间个人信息与网络空间个人信息的有机整合,引入区块链技术,可以在一定程度上减少中心化机构维护庞大数据系统的成本。
区块链的特性与公民个人信息保护具有极强的契合性,而从本质上来看,解决用户隐私问题最根本的还是要让用户真正拥有处理个人数据的权利,区块链所具备的去中心化、不可篡改性等特征都为这一可能提供了无限的想象空间。
目前,我国在区块链研究方面已经积累了一定的成果,区块链技术已经在金融、供应链、教育文化、质量管理等方面取得了一定的先期应用,但主要成果仍然局限在金融领域。对于区块链与个人信息保护的融合途径尚缺乏理论与技术紧密结合的细致观察,在推动个人信息保护的区块链创新上,还有待更多的技术突破。(科技日报记者 陈杰)