- [刘多]:我也希望个人信息保护法各个方面能够尽快的出台,无论让我们的个人,让我们的企业还是政府等等各个方面都能够在有法可依的情况下对我们个人信息更好的保护。同时更加有利于我们数据更好,更快的开放。所以我想这是我们整个在大数据时代必须解决的两个问题,只有互相的促进,互相的解决我觉得才能让我们整个大数据的产业跟应用才能更好的往前走,所以在这里在此感谢我们所有的嘉宾。[17:06]
- [刘多]:由于时间关系,交流的环节就到此结束,在这里也再次感谢我们的六位演讲嘉宾为我们贡献了非常多,非常有亮点的观点,同时我想今天我们今天的主题是数据开放与隐私保护,我想在大数据时代这个问题更加突显,大数据时代刚刚开始,这个问题会一直持续研究和讨论下去的。[17:05]
- [周汉华]:这个问题太复杂了,数据可携权究竟到哪个程度,这个数据可携现在欧盟也在争论,这个争论到极端就会颠覆现在的市场格局,会形成新的市场格局,我们自己带来的财产权益,我们应该能够分享,这一步到底走到哪儿?这是值得研究,我现在也没有答案。[17:05]
- [周汉华]:第二,就是个人信息的控制权,个人信息权利一直是一个公法权利和宪法权利,不是民事上简单的人格问题,这个公法权利其中一个意义就是人对自己有控制权,目前这个控制权的体现非常窄的,你只能控制某些负面的不准确的信息,但是你不能因此分享这些信息带来的额外的收益。那在这个领域的发展非常快,其实刚才所讲到的数据可携带的权利,就是朝着个人控制自己信息的财产权益迈出很重要的一步。[17:05]
- [周汉华]:如果你关注到欧盟的变化,欧盟这次就把这个定义改了,他就改了跟个人有关的一切信息,就不是可识别个人,就是我们现在对个人信息保护力度要加大,从这个定义的范围,内涵和外延来说都要加强,这个肯定是趋势。[17:04]
- [周汉华]:如果你关注到欧盟的变化,欧盟这次就把这个定义改了,他就改了跟个人有关的一切信息,就不是可识别个人,就是我们现在对个人信息保护力度要加大,从这个定义的范围,内涵和外延来说都要加强,这个肯定是趋势。[17:04]
- [周汉华]:问的两个问题都特别好,传统意义上界定个人信息范围用于可识别个人。但是在网络环境下,尤其大数据的环境下,可识别个人,我刚才说了可识别个人的功能提升了。传统环境下可识别个人数据比较窄,现在经过大数据的聚合进行数据分析,就是原来单独识别不了的或者集合识别不了的现在都可以。[17:04]
- [提问者]:我想问一下周教授两个问题。第一个问题你认为在大数据的环境下,如何界定个人信息的范围,就是您刚才说了在大数据的条件下,通过数据分析,个人信息无处遁形,第二就是对数据资产这个权属,比如我们个对应用程序所产生的数据,它的归属不知道你怎么看这个问题。[17:04]
- [冯晔]:其实我们德勤很多人都认为德勤是外资企业,我们现在其实也属于内资。所以我们会帮企业做很多隐私保护和安全防护,但是老实说真的我们跟政府做这些有关于信息安全的防护在我的印象当中是没有实践的,我们非常愿意跟政府部门一起探讨信息安全,包括隐私防护的实践,我这个问题不能回答你,真的是空白。[17:03]
- [提问者]:我想问一下德勤的冯先生,因为冯先生给我们详细的介绍一下APCE的详细原则,还有英标的标准,我想问一下这些英标的标准和原则更多的适合于企业的应用,冯先生有没有实际项目运作过程当中对政府应该在数据开发和隐私保护方面应该做哪些工作,或者国外的英国或者美国在这方面有没有什么先进的经验给我们介绍一下?[17:02]
- [ 刘高峰]:个人信息保护这个是多方参与多方讨论,这个方向目前来看,我刚才举了一个例子,可能地方立法跟更小的市政上可以做一些探讨,在实行和实践上为中央立法提供好的借鉴。现在来看不一定是什么方向,包括刚才说的评估东西,从目前看没有。我们从研究上看查了很多文献是没有,所以未来一些案例可能会成为我们新的标准。[17:01]
- [ 刘高峰]:不一定边界一定是什么,我理解有些法律跟规定的出台可能需要更广泛的讨论,所以有一些案例帮助理解边界,这个具体怎么去定义。所以现在有很多我们看到有些司法解释跟细则和规定,包括我们看到一些新的领域专利的知识产权,其实这里面有很多可以借鉴的。[17:01]
- [ 刘高峰]:刚才这位女士说的问题也是需要我们进一步研究的问题,包括周教授提的个人信息保护法,从我个人理解,我本来也是一个研究者或者个体。我理解从目前看,刚才提了很多例子,很多东西是可以明确的,至少我们认为有些规定假如接下来出台是可以去明确权利,受损时哪些东西是企业可以用的,我认为这个边界是存在的。[17:00]
- [提问者]:大家好,我是华为的胡海芳,我想请问一下刘所长,我们大家都知道个人信息保护最重要基础性的工作就是要把这个边界搞清楚,这个边界有可能是模糊的。以前大家说过有黑数据,白数据。我常常也问这个问题,有没有一些比较低成本高效的办法呢,能把这个边界,个人信息边界清晰化。另外大数据有一个很明显的特点,数据与数据的融合会产生新的属性,这种新的属性可能不是量测得到的,对于新的属性怎么界定的。还有第三个就是大家都知道数据被侵害有损失,有没有什么办法量化这个损失?[17:00]
- [周汉华]:欧洲很多人为大企业工作,一辈子为大企业工作,美国很多人创新,美国绝大多数解决中小企业,其实不同格局是多因一果造成的。如果我们要发展我们就宽,我觉得不是的,我觉得是多因一果的关系。[16:59]
- [周汉华]:美国这种更适合互联网发展的体制不止在个人信息保护宽严之上,还有体现它的平台责任,它的创新创业的文化,它的风险投资,也包括欧美两个区域的人,中小企业的发展不一样。[16:59]
- [周汉华]:为什么美国互联网产业发展更快,它跟个人信息保护之间究竟是什么关系,是不是因果之间的关系,还是多因一果之间的关系,我个人觉得跟个人信息保护当然有关系,因为毕竟会加大企业的成本。[16:59]
- [周汉华]:这个故事我不知道,反正大家肯定都是在尽力推动立法,应该也列入到立法计划里面,具体执行起来,论时间表还得再具体,还得有一个时间。你问的问题第二部分更有意思一些,欧美是两种不同模式。[16:59]
- [提问者]:我有一个问题想问一下周教授,虽然刚才讲了个人信息保护法,我们非常关心这个法律到底拖了多么长时间,中间有没有什么故事可以给我们透露,另外个人隐私保护跟产业界整个像欧洲是一个非常严的个人信息保护风格,美国是稍微松一下,我们不是法律专业,外面看这个情况是这样。美国有了很强的互联网产业,我们中国未来要出台这样的法律,会是走偏严还是偏松的路线,我想请问一下周教授?[16:58]
- [刘多]:现在我们六位分别就法律,经济,道德伦理,以及包括技术各个方面都对我们今天的整个这样的主题一个是数据开放,一个是隐私保护,都谈了各自的看法。现在看看我们在场的一些嘉宾,看看有没有什么相关的问题需要请教我们的演讲嘉宾?[16:58]
- [刘多]:现在有8个相关的困境同时德勤公司也根据APEC讲一些隐私保护的框架,正在做一些相关的实践。最后也是对汽车的行业,给出了一些例子及所以他最后提到我们的管理,事前,事中,事后都有很多的工作要做。感谢冯总。[16:58]
- [刘多]:非常感谢冯总,他跟我们分享了企业在隐私保护方面的实践,同时也通过他们实践跟体会,觉得现在企业越来越重视隐私保护。[16:58]
- [冯晔]:我这边越是抛砖引玉企业都有自己的特性,我们从安全防护的角度不断的剖析它的共性,我们觉得我们从德勤来讲也是非常愿意跟安全厂商包括政府,包括学者一起探讨在中国的隐私的保护,尤其在大数据环境下隐私保护的过程帮助企业更好的使用大数据,防护隐私。今天我就讲到这里,谢谢大家![16:57]
- [冯晔]:我上面画了9个点,这9个点就是信息流转过程当中的结点,这些结点就是我们需要好好去控制和防护的点,所以我们也是,你只有把这些数据流程,这个还不够细,这个是汽车行业在销售过程的流程,这个流程要细到隐私数据,这个到哪个数据的字段,你的扭转在什么系统中,可能通过什么样的途径什么样的人会接触等等一系列去分析,这样可以更好的去防护数据泄露。[16:57]
- [冯晔]:后一章就是我们把它放大一点就是整个汽车行业的销售流程,大家可以看到从最早你的车主信息,车主信息要通过很多环节,你这个车主信息你买新车到你服务商这边,买二手车到二手车商这边,还有车子维修的信息,或者出车祸的,或者这种信息,其实都是隐私的信息。还有一些财务信息,包括你的分期付款,你的保险,你的汽车租赁。[16:57]
- [冯晔]:有其他关于IT环境没有数据备份或者数据保存期限不合理,或者没有做系统审计,或者在数据交换过程当中可能有一些安全技术防护出现了偏差没有进行实时加密都有。第三方服务最主要是来往的合同是缺少双方的权责和监督的。所以我们罗列出来,要去分析这些问题防护问题,就是要把整个涉及到行业的生态里面都要罗列出来去分析。[16:56]
- [冯晔]:我们也看到在这些常见的数据保护的问题,我也罗列了。当时我们看到很多企业都缺少这样的流程,比如说前面也讲到了一点,缺乏资料外泄的危机公关相应流程,或者我们有一些书面的信息搜索的书面同意请求流程等等,这些都没有。[16:56]
- [冯晔]:这些客户信息还可以传输到第三方的服务机构,这些第三方服务机构说起来就多了,现在比较时兴的车连网也有客户信息,还有汽车金融也有你的信息,包括车管所也有你的信息。所以客户信息在不断流动,当然你在汽车行业也有你自己IT运营环境,你的数据库,你的数据库怎么存储你的隐私数据等等。[16:56]
- [冯晔]:最后一块我举一个例子关于汽车行业的一个隐私保护的案例。大家对汽车蛮熟,因为里面当中一块就是汽车制造商,他有经销商有4S店帮他做总经销,他有关联企业,这些关联企业可能是它的零件供应商等等。[16:56]
- [冯晔]:另外就是保留和管理证据,除了隐私管理制度之外,你的公司怎么样保留你的证据这是非常关键的,也是你维权很重要的,第一你要有证据,这个证据证明力有多大,这有一套流程,因为时间关系我就不展开了。[16:55]
- [冯晔]:三就是数据处理和应用这一块,关于数据怎么减少它的触点,你当中的审批过程怎么样的,整个监控程序怎么样,这里面有很多信息安全的技术在里面。接下来就是数据传输,我们怎么样统一人员,减少传输的媒介,怎么样减少数据传输的平台这些隐私数据越少人接触越好,渠道越少越好,有统一出口那是最好。[16:55]
- [冯晔]:我们觉得要做隐私管理这7点要满足,事前,事中,事后的管理很重要。在数据方面应该怎么样分级,建立怎么样的数据档案,这是有一定方法的。接下来是你的告知程序应该怎么样走,沟通渠道是怎么样的,管理要求是怎么样的,最后相应的流程是怎么样的,他是有一定的规范。[16:54]
- [冯晔]:最后就是事后的控制,日志轨迹要保留,管理的证据要保留。另外出了危机事件有什么方法,这个方法就算写在纸面上是没有用的。很多时候出现危机来不及,这个要做适当的演练,就像做火灾演练一样。[16:54]
- [冯晔]:隐私数据在内部进行传输的过程中,我需要内部使用我需要有流程我要申请我要有审批流程,告知这个数据谁在用,在什么期限用,用完怎么处理甚至销毁这个数据,存储这个数据都要有程序的。另外对外渠道,你的数据要对外交互的,我们建议尽量减少这个传输渠道,要优化这个流程,到底在整个数据流转的过程当中它的结点越少越好,渠道要统一。[16:54]
- [冯晔]:隐私管理模式就是访问它的人越少越好,有些数据要进行脱敏,你不应该建的就不要建,你没有需要的就不要建,这个很重要。[16:54]
- [冯晔]:另外客户在触碰到这些隐私数据的时候应该有一个怎么样的告知程序,这个告知程序要明确的告诉他你的使用目标,使用范围,使用期限怎么样。你必须要有这样的一个行为,行业的自律,你要做这件事情,收集数据之前,隐私数据之前要做的事情。[16:51]
- [冯晔]:隐私管理有事前事中,事后管理,另外运营环境也很重要,包括企业内控环境,信息安全环境和数据安全体系都要是非常完备的,在这个基础上面我们怎么样进行隐私的管理,我这里罗列了通过我们一些项目实践的想法,最主要是收集数据之前要有一个定义到底哪些是隐私数据,哪些是敏感的隐私数据,哪些是间接的数据,哪些是直接的数据,有一个隐私清单这个很重要。[16:50]
- [冯晔]:另外是关于隐私安全事件的管理,除了隐私安全事件怎么样通报程序,有一个什么样的语言,另外就是权益管理,个人是要有知情权,个人是个人信息所有权,应该有一个知情权,企业有告知权,前面360的曲总也讲了360给大家选择的框,让你自己选择,这也是一个告知的程序。所以我们做实物上面通过这5大块进行展开的。[16:46]
- [冯晔]:第三是供应商和关联方的管理,你跟你的供应商的边界怎么划分,怎么进行管理,怎么样选择安全的供应商等等。[16:45]
- [冯晔]:第二从4政策怎么进行数据隐私管理,数据怎么分级,存储媒介怎么管理,数据传输怎么惯例,网络安全怎么样等等的,这些是从技术上管理隐私的数据。[16:45]
- [冯晔]:以前我知道其他很多企业目前已经有了一些信息安全CRO,是不是这两块可以融合的减少公司的职员,总体要有这样的管理政策和管理组织。[16:44]
- [冯晔]:隐私管理包括安全管理不光光是技术的问题,从业务管理的角度要齐头并进的管理才能管理好。我们管理方面有5个方向,到底应该怎么管,这上面有一个隐私的管理体系,前面不知道哪位嘉宾提到了首席隐私官这个概念,像我们德勤今天也有了隐私官,说明这个趋势。[16:44]
- [冯晔]:企业应该在右边这些程序方面都做到,才能符合隐私的框架。包括怎么样制定隐私的政策和目标,怎么样制定隐私的组织架构,怎么样设定直接收集隐私的直接告知等等。[16:43]
- [冯晔]:这一块我们做了一个跟2012版,人大常委会加大网络信息管理规定挺吻合的。基于APEC的隐私保护框架企业应该怎么样防护自身的隐私数据,我们德勤根据BS2011的实践制定了我们企业隐私保护的实施方向,这些方向跟这九大原则进行了一一匹配。[16:42]
- [冯晔]:大概的意思就是我们企业保护这些个人信息的时候要有一定的告知程序,告诉他这些信息用在哪里,这个过程当中个人应该有知情权的,企业怎么样保护个人资料的完整,然后你的责任是怎么样的。[16:41]
- [冯晔]:第一我们是用的亚太经合组织做的隐私保护原则,他们有空可以去看,一共有20几页。我们前面讲到数据的生命周期,我们隐私个人信息的隐私保护和数据的保护都是一样的,都是围绕个人信息的生命周期的,所以我们在各个数据流动的生命周期中怎么样防护,怎么样保护,这三块的结合呢,是目前我们用来进行隐私保护项目的基础。那么关于APEC隐私保护框架有九大原则。[16:41]
- [冯晔]:目前我们中国还没有个人信息隐私保护法,很多人提出隐私的保护,我们应该怎么做,其实我们建议用这几个方法做。[16:41]
- [冯晔]:另外是难以了解关于隐患的个人隐私信息保护,到底这个影响有多大,到底应该采取什么样的保护措施,怎么样拿到这些数据。另外就是企业要保护自己,如果被提出诉讼的情况下,我应该提出怎么样合理的数据或者证据保护我已经做了很多安全防护。[16:41]
- [冯晔]:另外,资源是有限的,数据是无限的,企业的资源确实是有限的,我们应该把资源更加投入到更敏感的数据上面去。[16:41]
- [冯晔]:第三就是法律法规到底遵循什么样的法律法规。还有对于客户的信息,尤其目前大数据时代,信息量特别大,到底哪些属于我们公司企业非常敏感的隐私数据,哪些是不敏感的隐私数据,这些数据怎么收集其实很多企业都没有做,或者做得不好,或者制约了企业的隐私保护。第五块是岗位职责和访问的权责,当你意识到有那么多敏感的隐私数据和安全数据,这些数据你储存到什么地方,这个过程当中什么人可以访问这个是有权限的,这一块很多企业做得不是很好,一些不应该接触敏感数据的人员也在接触。[16:40]