作者:William Emmanuel Yu,
Ph.D.,CISM,CRISC,CISSP,CSSLP
大统计数据1热潮如旋风般刮起了整个行业。随著具有成本经济效益长年储存大批外交事务统计数据的技朮和软件系统急速出现,越来越多的子公司下手投资,使留存的统计信息量稳步减小,天数也急速缩短。在大统计数据如东趋势的背景下,由相对于统计数据个人隐私的角度展开一番检视显得至关重要,这就须要简述仅存的统计数据个人隐私法律法规,在普遍认可的统计数据个人隐私架构内思索大数据。
过去,由于高昂的统计资料库中的空间易用性受到限制,需要耗费大批心力挑选出和组织统计数据,保证只能将管用的统计数据长年留存下来。现在,这种道德观已经发生了改变。随著大批新技术和新工具的不断涌现,子公司开始在可水平扩充的民用半成品硬体中储存一切统计数据。大统计数据自然生态体系的价值在于搜集大批原始统计数据并搞清楚其意义何为,从而将其转化为管用的重要信息。
处理统计数据。在后斯诺登2时代,统计数据个人隐私日益引发更大的担忧。巨大的统计数据池是各种安全机构都禁不住要加以监控的目标,更不必说各类商业虚拟都想对其展开再利用。因此,要求完善统计数据个人隐私保护的愤怒和呼唤四起,稳步急速。
数据。一间移动网络电信子公司 (MNO) 有可能留存着大部份的PDA位置预览 (LU)3重要信息,这与仅留存电话应答和手机短信来往4重要信息的情况迥然不同。一间网络服务供应商 (ISP) 能决定将使用者出访过的大部份中文网站记录留存更长天数(例如数月之久)。大多数ISP只是所致机械故障摸查和内存的目的将那些重要信息留存十分钟的天数( 数天)5。很多重要信息能从外交事务统计数据中推断出来,而那些重要信息不可否认是终端使用者希望秘密性或不愿不加区别地公开的。
大多数使用者尚未意识到被各个虚拟留存用于各种目的的个人统计信息量有多大。随著对统计数据个人隐私的争论意识加强,这种情况已经开始改变。增强大统计数据的普及性和加强统计数据个人隐私意识,这两种趋势已趋于紧要关头,想通过大数据时代获利的企业应当对基本的道德问题保持清醒的意识,并谨慎地加以对待。
就加强统计数据保护而言,能从两个基本的方面寻求指导:现行的法律法规条例(成文法律法规)和个人隐私保护架构(隐性规则)。现行的法律法规条例构成了合规性要求的基础。其中的很多规则(如准许要求和目的声明)在大统计数据世界中仍然有效。此外,还有很多隐性规则。那些属于统计数据处理者和统计数据大部份者之间形成的隐性期望(如目的)。例如,当某人从移动应用程序商店下载了一个单人电子游戏,他/她心里会存在一个合理预期,即通讯录或电子邮件重要信息不会被统计数据处理着检索和储存。
幸运的是,个人隐私保护架构可让此类隐性规则秩序井然。
成文法律法规即便是在大统计数据时代到来之前,已有人围绕统计数据保护和统计数据隐私开展过大批工作。统计数据处理组织必须遵守一些成文法律法规。自20世纪七八十年代计算机开始得到普及,个人统计数据储存量日益增长以来,个人个人隐私权保护的需求意识也随之增强。
随著电子商务更加普遍地发展,属于不同统计数据个人隐私和保护机制下的虚拟之间要展开跨境交易,在此背景下,不同的统计数据个人隐私和保护法律法规之间的兼容性问题引发的担忧日盛。鉴于此,已有相关行动以加强不同监管架构之间的兼容性和一致性。例如,欧盟 (EU) 于1995年10月颁布的《欧盟统计数据保护指令》(EU Data Protection Directive,即95/46/EC号指令)6为妥善处理个人重要信息提供了一个基本架构。目前,欧盟已开始着手起草《通用统计数据保护条例》(General Data Protection Regulation) 以取代该指令。这将使欧盟全体成员国能够遵守同一套原则,并在执行方面协调一致。
许多国家,如马来西亚7、新加坡8和菲律宾9都先后在统计数据保护和统计数据个人隐私方面制定了明确的法律法规。为响应《欧盟统计数据保护令》,其中不少国家已通过了法律法规,并保证法律法规与亚太经合组织 (APEC) 的《个人隐私保护架构》(Privacy Framework)10或经济合作与发展组织 (OECD) 的《OECD 个人隐私保护原则》(OECD Privacy Principles)11保持一致。针对不遵守欧盟个人隐私保护标准的欧盟境外虚拟,《欧盟统计数据保护指令》还提出了防止个人统计数据转移到那些虚拟的适当率要求。APEC和OECD架构的目的在于保证成员国能够制定兼容的法律法规来保证相互之间的商业贸易和其他形式的来往得以顺利开展。
其他国家,如美国,已经采取了行业层面的做法来制定统计数据保护法律法规。美国针对不同的行业部门有具体的统计数据保护法律法规,如医疗卫生部门施行的《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act,缩写 HIPAA)12以及适用于须要与欧盟交换统计数据的出口部门的《美国-欧盟安全港架构协议》(US-EU Safe Harbor Framework)13。
以上是各种虚拟必须遵守成文法律法规的实例。那些明确的规章法令在大统计数据时代同样适用,并且因为所搜集、留存和交换的统计信息量越来越大,其重要性愈发凸显。
隐性规则统计数据留存的数量稳步增长,留存天数急速缩短,从而引发了统计数据个人隐私提倡者Villamblard的担忧。法律法规可能还尚未更新或无法跟上大统计数据时代的步伐。所以,这种时候还是退而求其次,去检视一下针对统计数据保护和个人隐私的隐性规则。对此,APEC和OECD原则的交叉区域会是一个很好的着手点(表 1)。
APEC和OECD都采取了类似的统计数据保护和个人隐私原则。虽然部分原则的侧重点有所不同,但总体上都是兼容的。那些原则共同充当了一个良好的架构,体现出任何个人都可能适度怀有的对于个人隐私的隐性预期。
以下是在大统计数据背景下对那些原则的一个简述:
• 搜集限制 —这是OECD和APEC架构中的第一条原则,也是大统计数据操作中最有可能违反的原则。从根本上说,这条原则的要求是:仅搜集特定目的所需的最小量的统计数据,并仅按所需的最短天数段展开留存。大统计数据的卖点之一和廉价储存的出现就是要搜集一切统计数据,毫无取舍,随后对统计数据展开处理和分析。已转向大统计数据重要信息搜集并转变其应用目的的组织应保证仍符合该原则的精神,这一点极为重要。部分组织还采用另一种方式,即将统计数据匿名化。这个过程有时也称作“去身份识别”(de-identification),即在储存大批外交事务统计数据前,先去除能识别个人身份的相关重要信息。然而,这时必须小心谨慎。仅仅移除主要的客户索引可能还不够,因为特定的客户重要信息可从看似匿名的外交事务统计数据中推断出来。这种形式的身份再识别 (reidentification) 出现的风险越来越大。因此,部分组织还另将统计数据展开聚合,进一步隐藏个人行为的痕迹。这一匿名化及聚合过程要求对统计数据展开预处理,从而使统计数据的分辨率粗化,这可能降低统计数据的管用性,但却加强了个人隐私保护。匿名化是在使用者明确同意可检索和长年留存统计数据的背景下使用。一般情况下,希望遵守那些原则的组织应当致力于仅搜集必要的统计数据,然后尽快销毁非必要的统计数据。
• 目的明确规范 — 这一原则要求明确且专门地声明统计数据搜集的目的。由于越来越多的统计数据与大统计数据一起留存,所声明的统计数据搜集和留存目的必须定期展开谨慎的审查,以保证稳步遵循原则要求。原先的目的规范可能由于范围过于受到限制,未能覆盖大统计数据带来的新型使用案例。现在搜集统计数据,以后再发掘其另外的用途,这一点对各组织来说极具诱惑力。曾经有几起备受瞩目的案例14就是利用应用程序搜集通讯录重要信息,然后将其用于未披露的目的。这种情况比较特殊,因为通讯录重要信息的量仍然处于可管理的范围,还不须要大统计数据级别的标准来控制。然而,现在也出现了此类案件:将应用程序搜集的使用和位置15重要信息用于未正当披露的目的。一直以来,由于数量过大,此类重要信息很有可能作废弃处理。随著大统计数据工具的使用,这类重要信息能留存的天数缩短。各组织必须明确声明统计数据搜集的目的,并严格遵守,以避免潜在的监管漏洞。
• 使用限制 — 这一原则通常包含披露规则,尤其是不得与他方共享统计数据或以其他方式在未经同意的情况下更改统计数据使用意图。关于这一原则,一项重要的举措是重要信息转出 (onward transfer),这意味着第三方统计数据共享时应小心谨应用程序接口 (API) 以及统计数据集可用于身份再识别(例如,将Twitter上的帖子与Netflix的使用统计数据结合在一起,根据使用者正在观看的内容来确定其身份)。
• 统计数据质量 —在传统的统计资料库解析空间中,需提前将统计数据结构化,预处理成恰当的统计数据模型。这在验证统计数据的完整性方面做出了初步尝试。在崭新的大统计数据时代,一些方法仅仅是储存搜集到的统计数据,而不展开预处理。因此,所储存的统计数据集中可能存在错误,只有在使用统计数据时才会发现。某些情况下,由于应用程序最初是为传统的统计资料库而写的,它们并未曾得到调整以考虑这类统计数据中潜在的“ 脏东西”。在无模型的统计数据和Villamblard批更“脏”的统计数据存在的情况下,必须对各种应用程序和服务展开审查。
• 安全保障 — 这一原则要求处理个人统计数据的各组织提供必要的安全保障和机制,保证个人重要信息不会落入别管用心的人手中。随著各组织将更多的统计数据放入低成本的商业储存(如云储存)软件系统中,审查外部系统中对那些统计数据的出访控制非常关键。与某些更成熟的统计数据仓库产品相比,其中很多软件系统所提供的保护级别并未能与之相当。部分软件系统仅在界面层面上实施控制,而不考虑更低的层级( 例如,Hadoop 群集通常没有精细的 Hadoop分布式文件系统 [HDFS] 出访控制,或者对元统计数据并不采取安全措施)。各组织需实施各自的控制措施,以填补潜在的合规性性缺口,这一点至关重要。
• 开放性 — 这一原则要求就重要信息、开发动态和预览内容等以最快捷的方式与利益相关者展开沟通。这一原则的施行应当透明及时,正如如今许多较为成熟的企业级统计资料库所施行的情况。鼓励各组织恰当、及时地将政策更改及开发进展等重要信息告知使用者。同时也需提醒使用者他们已经同意对仅存的统计数据集提供统计数据。
• 个人参与度 —人统计数据。在大统计数据时代,大批统计数据已经不再采用传统统计资料库那样的方式展开预处理。这可能会造成许多潜在的合规性性问题,例如难以删除、检索或改正统计数据。典型的大统计数据系统不是为交互性而构建的,而是为了用于批处理。这也使得应用(可能是)静态的统计数据集中的更改内容显得尤为困难。各组织可能会发现这个特别的要求在施行上存在挑战,因为所搜集的各种统计数据及其使用所需的核准机制可能会很复杂。不过如果他们发觉这一要求挑战的话,可能会考虑首先对统计数据展开预处理,因为合规性性可能是个更棘手的问题。
• 问责制 — 这一原则要求搜集和储存个人统计数据的各组织负责执行本政策中的其他原则。这包括违规通知等举措。本原则的施行应当与针对如今更加成熟的企业级统计资料库的施行持同一标准。其他逐渐获得普遍认可并被纳入法律法规的原则包括:
• 事前同意和明确选择加入 — 这一原则要求各组织征得事前同意,并要求个人明确地选择加入。鼓励各组织使用配置界面,允许使用者管理自己的个人隐私同意权设置。大统计数据的实现通常需从仲裁平台或原始的、未经处理的服务处搜集统计数据,这就造成难以移除未选择加入的使用者。这可能导致必须展开大批的预处理。
• 统计数据主权 —有的国家制定了监管制度,明确规定视为个人所有的统计数据不得离开其所在国的领地。因此,使用本质上属于全球性的应用程序,但使用者可能是一国公民时,这一原则就会造成问题。
• 额外个人保护 — 在某些司法管辖区,可能有其他类型独特的个人重要信息须要其他形式的保护或控制。这类重要信息通常称作“个人敏感重要信息”(如医疗记录、政治主张、种族、宗教等)。
结论大统计数据为各组织带来了无限的契机,促其实现所掌握的统计数据潜能的最大化。先储存一切,以后再决定其用途(也可能将其作为商业用途)的新时代已然来临。当各组织在对这一发展势头加以利用,在不同统计数据个人隐私和保护架构下处理统计数据时,必须谨慎行事,保证遵守现行的成文法律法规(法律要求或监管条例)以及隐性规则。
统计数据个人隐私及保护规则和监管条例仍需进行预览才能符合大统计数据时代的要求。事实上,许多现行的监管条例并未在统计资料库的背景下展开过重新检视(如,个人隐私法中仅包含对窃听行为的规定)。在变幻莫测的监管环境下,各组织必须格外谨慎,时刻提高警惕。这更促进了需在当前的统计数据背景下重新审查监管条例。当然,与OECD和APEC主张的关键性规则保持一致,并以此作为基础,不失为良好的做法。随著那些核心原则在大统计数据时代急速预览,无论现在或将来,各组织均可从大统计数据中获利,而无需担心合规性方面的陷阱。
关于作者William Emmanuel Yu,
Ph.D.、CISM、CRISC、CISSP、CSSLP,
现为Novare Technologies子公司的技术部高级副总裁。
Yu 从事研发下一代电信服务、附加值系统集成、并与移动网路电信子公司和技术提供商一同提供重点围绕固定网路和移动网路融合 (FMC) 以及企业移动应用系统的咨询项目。他积极参与网络工程、移动平台和重要信息安全方面的研究。他目前还任教于任菲律宾马尼拉雅典耀大学和亚洲管理研究所(菲律宾马尼拉)。
尾注
1Meer, David; “What Is ‘Big Data’ Anyway?,” Forbes,2013年11 月5日, www.forbes.com/sites/boozandcompany/2013/11/05/what-is-big-data-anyway/
2Gallegos, Raul; “Edward Snowden’s Sad and Lonely Future,”Bloomberg Publishing, 2013年11月5日, www.bloomberg.com/news/2013-11-05/edward-snowden-s-sad-and-lonelyfuture.html
3每次移动设备从一个位置区移动到另一个位置区时都会产生位置预览重要信息。
4移动网络电信子公司了解使用者使用手机展开的每一个行动。这是移动网络电信子公司确定拨号路径的唯一方式。
5《卫报》,“Harvard Bomb Scare to Ditch Exam,” 2013年 12 月 18 日, www.theguardian.com/education/2013/dec/18/harvard-bomb-threat-student-eldo-kim
6欧盟欧洲议会和理事会, EU Data Protection Directive,“欧盟欧洲议会和理事会于 1995年10月24日颁布的 95/46/EC 号指令旨在在个人统计数据处理过程中保护个人并保证此类统计数据的自由移动”, 1995年
7马来西亚国会, Personal Data Protection Act 2010 (Act709),“该法案旨在监管商业交易中的个人统计数据处理,并就与前述事项相关的事宜及前述事项附带引起的事宜制定条文”, 2010年
8新加坡共和国, Personal Data Protection Act 2012 (No. 26of 2012),“该法案旨在管理各组织对个人统计数据的搜集、使用和披露,并成立个人统计数据保护委员会 (Personal Data ProtectionCommission) 和‘谢绝来电’登记处 (Do Not Call Register),并就其管理及与前述事项相关的事宜制定条文,并对各类其他法案展开相关、相应的修改”, 2012年
9菲律宾国会, Data Privacy Act of 2012, RA 10173,“该法案旨在保护政府和私营部门重要信息和通讯系统中的个人重要信息,鉴于此目的成立一个国家隐保护委员会,同时也可另作其他用途”,2012年
10APEC秘书处, APEC#205-SO-01.2, Asia Pacific Economic Cooperation (APEC) Privacy Framework, 2005年
11经济合作与发展组织 (OECD), OECD Privacy Principles,OECD Guideli nes on the Protection of Privacy and Transborder Flows of Personal Data, 1980年
12美国国会, Health Insurance Portability and Accountability Act of 1996 (HIPAA), Pub.L.104–191 110 Stat. 1936,1996年
13美国商务部, US-EU Safe Harbor Framework, Safe Harbor Principles and Related Annexes, 2000年
14Schnell, Joshua; “Path Fined by FTC for Illegally Collecting Information From Children,” MacGASM, 2013 年2月1日,www.macgasm.net/2013/02/01/path-fined-ftc-for-illegallycollecting-information-from-children/
15Smith, Chris; “FTC Finds Popular Flashlight App forAndroid Illegally Sharing Data With Advertisers,” BGR,2013 年12月6日, http://bgr.com/2013/12/06/flashlightapp-sharing-data-illegally-ftc/
本文出自ISACA期刊2014年第3期
想了解更多关于统计数据保护的内容?
阅读《个人隐私权和大统计数据》。
在“知识总汇”内就个人隐私/统计数据保护和大统计数据展开协作或展开讨论。
