2018年5月1日,推荐性国家标准《信息安全技术个人信息安全规范》正式实施。该标准是贯彻《中华人民共和国网络安全法》中个人信息安全要求的重要配套标准,该标准的实施填补了国内个人信息保护在具体实践标准上的空白。
那么该标准的实施到底能对个人信息保护起到多大作用呐?
从积极的角度看,该标准的发布、实施,在法律层面上,对个人信息边界给出了一个清晰而明确的法律意识上的边界和定义,从而完成了个人信息安全国家标准的从“0”到“1”的跨越。从今往后,无论什么人或组织,只要是在中国国内谈论网络应用场景下的个人信息安全,都将具有一个各参与方都可共同遵守的个人信息国家级安全标准,从而避免出现公说公有理、婆说婆有理的尴尬场面。
从悲观的角度看,该标准的发布、实施,除了具有极强的象征意义外,它对当前的网络应用,特别那些渗透到百姓生活方方面面的各种网络应用上所呈现出来的各种各样的个人信息的有意、无意的被发掘、被盗现象,短期内难以取得有效的改善和扼制作用。而要达到设立该标准的初衷,还有很多的路要走,否则,那就是一份摆在文件柜中的一个标准。
哪些硬伤会使得此标准成为摆在文件柜中的一个标准呐?
一)此标准错配了标准属性
设置此标准的立意无疑是值得肯定的。此标准的内容是否完善、妥当则需要交由时间和实践来检验。但此标准被配置为推荐标准则而非强制性标准,则是大错特错。这个错误将使得此标准的作用大大折扣。
对于当下的互联网企业而言,无论其提供的网络产品是什么,给他的用户提供什么样的服务,他都会或多或少的接触到此标准中所定义的个人信息。那么提供互联网服务的互联网企业,当然就具有保证他所接触到的个人信息的安全的责任和义务。所以不论此标准的内容多寡,此标准的标准属性应该毫无疑问的应该是国家级的强制标准。
这就好比是家用电器的3C认证,不同的电器类别可能有着不同的认证项目、认证内容、认证标准。但不管认证项目、认证内容、认证标准有多么的不同,3C认证则是国家级的强制认证标准。
以一个小小的手机充电器为例,一个合规的手机充电器,便宜的也就十多元吧,可它也还是要受到3C认证的强制性认证的约束。而个人信息背后所关联的价值远远的大于一个小小的手机充电器吧。而保障个人信息安全的标准还只是一个推荐性标准,说不过去吧!
二)推荐性的标准属性决定了此标准的非约束性和非必须性。
在我国的标准体系中,分为推荐性标准和强制性标准。这两种标准,对企业和用户(或消费者),有着完全不同的作用和法律后果。
对企业而言,推荐性标准中的相关内容在其产品设计过程中,可以采用也可以不采用。而强制性标准中的内容,在其产品的设计过程中,必须考虑,且在产品的最终呈现时,必须通过相关机构的检测,且达到相关的检测标准,才能获得该产品的销售许可。
对用户(或消费者)而言,在其使用企业的产品过程中,权益受损时,他是无法引用推荐性标准中的相关条款作为其主张权益的理由和依据,但他却可以引用强制性标准中的相关条款作为其主张权益的理由和依据。
《信息安全技术个人信息安全规范》其性质为推荐性国家标准。既然是推荐标准,就决定了互联网企业在其提供的产品中,涉及到个人信息保护,可以按照《信息安全技术个人信息安全规范》相关规定做,也可以不按《信息安全技术个人信息安全规范》相关规定做。
对互联网企业而言,能起作用的国家标准,只能是强制性国家标准或相关行业的强制性规定。
三)此标准的发布、实施无法改变互联网企业在产品设计时,需考虑的参数顺序。
当下国内的互联网企业,不论企业大小,提供的是什么样的产品,企业首先考虑的是产品目的的达成。在此基础上,企业一般会在用户体验的流畅性、舒适度、安全性和产品实现成本上寻找一个企业和用户都可接受的平衡点。个人信息安全最多只能当做该企业提供的网络产品信息安全中的一个占比不大的部分进行考量,不会作为一个重要的部件进行单独考量。
简单讲,互联网企业在规划期网络产品时的参数考虑顺序就是:产品达成第一,成本控制第二。网络安全第三。而在项目预算不足或超标时,首先被砍的是网络安全方面的项目支出。
此标准的推荐性,决定了:
1)在用的互联网产品,其产品经理不可能因此标准的发布、实施,而对其维护的互联网产品相关部分进行单独的调整和修改。
2)新开发的互联网产品,如果没有其他的过硬理由,此标准中的大部分内容,也不会被考虑和采用。
四)举一个例子
为了更好的说明强制性标准和推荐性标准对产品设计、实施所产生的影响的巨大差别,下面以手机充电器为例,进行说明。
网络应用,离不开上网终端。而上网终端从类型上分,无外乎3种:电脑、Ipad、手机。手机充电器是这三类终端中,价格最低的一个电源部件。单独购买一个手机充电器也就十多元到几十元。就是这么一个值不了几个钱的部件,它所受约束的3C认证标准却是国家级的强制性认证标准。3C认证对手机充电器或手机的影响就是:如果一个手机充电器无法通过3C认证,则这个手机充电器就拿不到相应的认证标志,也就无法上市销售。如果手机配套的充电器没有3C认证标志,手机也不能上市销售。
而就是这么一个值不了几个钱的小小充电器(相对于手机而言),任何一个手机产品经理,都不敢为节省成本,而删减保证手机充电器通过3C认证的相关资源和支出。既对手机产品经理而言,充电器的功能实现和保证充电器通过3C认证是被他放在同等重要的地位上(第一优先顺序)加以考虑。保证手机充电器通过3C认证的相关资源也是被优先保证支出。极端情况下,手机产品经理可以砍去手机上的某些支出(如内存小一点或牺牲一点内存性能、花哨的功能砍掉一点、包装简陋一点)以控制成本,也不敢砍掉保证充电器通过3C认证的相关的必要支出。
假设如果有一天,国家将3C认证标准由现在的强制性认证标准,变为推荐性标准,那么保证手机充电器通过3C认证相关资源,将会被毫无疑问的优先砍掉或大幅压缩。如外壳用的阻燃塑料被换为非阻燃塑料或强阻燃塑料被换为弱阻燃塑料,为保证通过3C认证而该有的保护电路或被删减或压缩等等。
五)无视此标准是当前互联网企业的最佳策略
毋庸讳言当前的网络环境下,个人信息安全的保证环境是无法令人满意的。个人信息的有效保护不是一个互联网企业所能承担得了的,而必须是全体互联网企业共同承担才能产生应有的效力。而要做到这一点,非强制标准的标准属性不可,显然不能达到此目的。
还记得两年前轰动一时的徐玉玉被骗致死案吗?此案件直接触发了银行系统全系统的改革(账号分级、汇款时间的可选择等等)。其实同徐玉玉被骗案相同的诈骗案,徐玉玉既非第一个,也非最后一个,现在这类案件还在继续上映。实现账号分级、汇款时间的可选择等功能的技术也需要什么高深的技术(在徐玉玉案件前八百年早都有了),那为什么非要等到出了个徐玉玉被骗致死后,才在银监会的命令下,完成了相应的改革呐?其实这里的道理很简单。如果只是一个银行进行同样的改革,这个银行要承担以下压力:1)系统改造的人员、资金的压力。2)用户抱怨及用户流失(存款流失)的压力。那个银行的行长会批准这样明显得不偿失的改革呐?而银监会的行政命令就等效于强制标准。
完成《信息安全技术个人信息安全规范》中的相关内容,对现有的互联网企业而言,没有任何的技术难度。但如果企业实施,他所承担的压力,同样是1)人员、资金压力。2)用户抱怨和用户可能流失的压力。在要投入负(无)产出的前景预期下,对企业而言,最佳的策略那当然就是全部或大部分无视。
对强制标准,有些企业尚且有意无意的无视,何况约束力极弱的推荐标准。
六)此标准间接“损害”了互联网企业的利益
谁都知道,在网络应用已经浸入到百姓生活的方方面面的大背景下,用户数据就是一个令人眼馋的大金矿,每个互联网企业都有发掘用户数据的动力和欲望,即使这个数据也许暂时没有用,互联网企业也希望能拿到获取这个数据的权利。这一点在手机端的APP上表现的尤为明显。具体表现在:1)APP安装时,所有的获取权利的选项都是默认开通的。2)多要权利。有些权利,其实你是无法想象它要这个权利,是用干什么用的。这些超现实需求的权利要求,从某种角度讲,也可以理解为企业为未来跑马圈地。让企业克制这种为未来布局的冲动,对大多数企业而言那就一个字“难!”