用户非核心信息安全难保障


用户非核心信息安全难保障
阿里所谓的“核心身份信息”,并非法律上的概念。在网络时代,许多网络公司对账户安全防护严密,但对用户安宁权的保护却“先天不足”。

日前,支付宝前技术员工涉嫌将多达20G的用户数据非法贩卖他人事件,引起广泛关注。对此,阿里巴巴公司向用户致歉,并强调泄露的隐私并非“核心身份信息”,不涉及用户隐私和安全。但公众质疑:除了核心身份信息外的其他信息,难道就该是隐私保护的“盲区”?

所谓核心身份信息,并非法律上的概念。按阿里巴巴方面的解释,它包括密码、个人身份证件号码和联系方式等可识别个人的信息。的确,在网络经济时代中,核心身份信息是隐私保护的重中之重,一旦发生泄露,会伤害到用户的人格权,也会直接威胁用户账号安全。但隐私权保护的范围,并不仅限于此。

全国人大常委会通过的《关于加强网络信息保护的决定》中,将“可识别公民个人信息”与“涉及公民个人隐私的电子信息”二者并举,列入法律保护范围。其原因在于,电子信息大数据利用的背景下,很难区分哪些信息可“识别”到个人,如果法律只保护前者,那必然会挂一漏万,公民的隐私很难得到有效保护。

在电子商务领域中,网络隐私保护的核心在于两点:一是保护账户安全,二是维护用户安宁权。毋庸置疑,账户安全是网络经济的前提,很多网络公司对此防护严密。如阿里巴巴以“加密”的形式加以保护。相比之下,对用户安宁权的维护却显得“先天不足”,这也是该事件的症结所在。数据公司非法购买“不涉及核心身份信息”的数据,主要原因在于针对性广告的商业需求。在大数据时代中,网络用户使用偏好、购买取向、浏览爱好等信息,只要经过数据加工,即可形成特定化广告的发送对象。一旦它们被数据公司非法取得,用户在网络上就可能“永无宁日”。

在此意义上讲,非法的商业化使用用户信息的危害性并不亚于网络安全。因此,境外很多国家和地区在制裁非法采集、利用个人信息之时,对是否具有商业性进行区分对待。如我国台湾的《个人信息数据保护法》,将具有商业性质的非法买卖个人数据从重处罚,而并不区分买卖的究竟是否为“核心身份信息”。这值得借鉴。