大家可以看到一個細節(jié)，facebook這個案子下載的程序是26萬人下載那個CA公司提供的一個APP，但是它產(chǎn)生了有可能是5000萬的用戶數(shù)據(jù)泄露，那些人完全是躺著中槍，那些好友在完全不知道的情況下，自己的數(shù)據(jù)就產(chǎn)生了泄露。所以，作為中間做服務的，包括云服務提供商也有同樣的問題。數(shù)據(jù)處理缺乏透明度這個其實是相關(guān)的，對于服務提供商你在過程中怎么樣去進行數(shù)據(jù)處理，要不要進行數(shù)據(jù)處理，如果你不進行數(shù)據(jù)處理，假如國家對于平臺、對于運營者的安全上有些義務，比如說有害信息的處理，你怎么辦？數(shù)據(jù)的泄露和濫用，這個大家都好理解，在這個時代我們再提數(shù)據(jù)的濫用，我覺得大家已經(jīng)都有一個認知了，但是之前我們聽到一些云的服務提供商，在他的商業(yè)模式中包含了用大量的數(shù)據(jù)挖掘，到一個程度其實是能夠把很多用戶存儲在上面的信息挖掘出來使用的。這種挖掘合法性和正當性在什么地方，這里涉及到了用戶、云服務商，很多云服務在上面有很多接口，是有其他第三方的，比如圖象識別、云識別，他是把很多服務集成在云上的。這些第三方服務商，比如說人工智能技術(shù)的處理方，它跟云是什么關(guān)系。數(shù)據(jù)刪除不徹底這個好理解，如果中間該停止這個服務，我的數(shù)據(jù)刪除掉了，他要繼續(xù)使用有什么樣的問題?？缃鐐鬏攲τ诖蠹沂且粋€越來越大的問題，隨著配套措施現(xiàn)在正在征求意見，對于大的平臺來說都會涉及到這個問題。但是如果你現(xiàn)在運行的說我就是提供給中國境內(nèi)的商戶，我就是來給他們提供服務，其實這個問題還好。

第二部分，合規(guī)要求主要是來自于網(wǎng)安法，我想把有關(guān)于這部分稍微梳理一下。網(wǎng)安法對于大家來說，其實是一個相對抽象的法律，這個法律的特點是它比較有原則性。網(wǎng)安法在立法過程中也提到把一些具體的制度要去跟一些后續(xù)的法規(guī)去進行銜接，意味著大家看到網(wǎng)安法的時候會有些疑惑，有些規(guī)定在落地時怎么執(zhí)行，可能會有這樣一些問題。我覺得我們作為云服務提供商，您肯定毫無疑問要受到網(wǎng)安法的管理，一個是網(wǎng)絡安全保護制度和核心網(wǎng)絡運營保護者的義務，一方面你要保證安全，另一方面你跟用戶數(shù)據(jù)和隱私保護之間的沖突。在網(wǎng)安法中專門有一章是關(guān)于用戶個人信息的部分，當然我覺得可能還是一個技術(shù)創(chuàng)新，其實有很多時候?qū)τ谝恍┪募淖R別，對于一些有害信息的識別，到時候怎么樣把它識別出來，同時又能脫離用戶信息。

有一段時間大家可能注意到了網(wǎng)盤脫離服務，還有你存在云盤的信息可能沒有了，比如說盜版的視頻，包括一些淫穢色情信息或者有害信息。這一部分就涉及到了如果將來有用戶去挑戰(zhàn)說你憑什么把我的信息刪了，到底你是從有害信息的角度是更高的，還是說用戶的個人信息。剛才我提到的阿里云的案子其實就是一個問題，作為平臺來說，當我去完成我的安全保護義務時，我跟用戶個人信息這部分是怎么樣的一個關(guān)系。

個人信息這塊我多講兩句，這一塊之前是全國人大有相應的規(guī)定，之后比較大的一個變化實際上就是《網(wǎng)絡安全法》中關(guān)于個人信息的規(guī)定，之后出了一個非常非常重要的目前還沒有引起大家注意的就是個人信息安全規(guī)范，作為企業(yè)來說，尤其是作為云服務提供商來說，我覺得完全適用于拿來作為合規(guī)指南使用。因為這有關(guān)在網(wǎng)安法頒布以后，個人信息怎么處理的問題。大家注意到十家大的網(wǎng)絡安全公司做了個人信息保護的修改，就是根據(jù)這個個人信息安全規(guī)范，今年5月份會生效。這里面很多東西就涉及到前面說的這些具體的個人信息合規(guī)的角度，實際上這個角度特別簡單，我覺得我們可以把它歸結(jié)為非常簡單的原則，個人信息的保護首先就是用戶知情，如果用戶不知情，要讓用戶明示同意。所以在收集用戶信息過程中，是要讓用戶同意的。這里對于云服務商來說有什么建議呢？當你跟第三方商戶合作的時候，他去收集信息的時候是不是在通過什么樣的方式能夠獲得用戶的授權(quán)，而且非常明確的一點，如果你的行業(yè)比如說你是做跟醫(yī)療有關(guān)的，醫(yī)療云、金融云、教育云，這些云里其實有很多很明顯的行業(yè)涉及到用戶的敏感信息，比如金融類、醫(yī)療類的信息，包括未成年人，這些信息都是敏感信息，這個過程中一定要獲得用戶的明示的授權(quán)同意。

個人信息的規(guī)定口子是什么？要不然就做匿名化，要不然就去獲得用戶的同意。其實我覺得這個事情的法律規(guī)定非常復雜，規(guī)范涉及到很多細節(jié)，但作為律師來說，我們給企業(yè)提供建議就兩大點，要么獲得用戶授權(quán)，要么匿名化。因為個人信息核心的原則就是可識別性，什么叫個人信息？這個概念就是強調(diào)我直接或者間接結(jié)合其他信息識別你。比如說在會場這些人，最后能精確識別到一個人，這就是個人信息，如果識別的是這三五個人中的一個，它就不是個人信息。我們在處理上會寬泛一些，數(shù)據(jù)的敏感性和要求會低一些。如果做到匿名化也很好，就意味著它不再是個人信息，匿名化的意思是當它匿名化以后，我們就識別不了了。比如說我們在很多場景下涉及到對一群人的營銷，其實你是把身份去掉了，所以個人信息的合規(guī)歸結(jié)起來很簡單，要不然就是獲得用戶的同意，要不然就是匿名化。中間地帶，我在一些情況下，例如用戶對這個信息不敏感的情況下，用戶的默示行不行？業(yè)界現(xiàn)在有一定的爭議，可能看起來也是合理的，因為這里面就涉及到立法考量的問題。

 2/4   首頁 上一頁 1 2 3 4 下一頁 尾頁