本文已参与「新人创作礼」活动,一起开启掘金创作之路。
1、数据双刃
数据科学本身就是一把双刃剑, 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用,比如开发利用数据,提供智能化公共服务、改善医疗保健、降低保险费用、构建智慧城市等;然而,与此同时,它也可以用来监视私人生活,发送垃圾广告,以公开和隐蔽的方式来控制我们的行为。Ofter一直在发布数据科学相关的内容,数据安全应当是数据科学最重要的组成部分,因此,本期向大家普及关于数据安全的知识。
2、数据歧视:用户画像
目前,国内外都很流行建立各种用户画像。这些画像数据是通过集成多个数据源的数据来构建的,往往夹杂着噪音和缺失,常常会误导数据的使用方。意想不到的是这些营销画像还可能会被出售给各行业的公司,结果可想而知,对一个人的营销评估会渗透到多个领域。
举个简单的例子,我与同事ofter要一起出差,我在某平台订了个酒店的大床房,花了400元/晚,但是ofter在该平台也定了个一样规格的房间,花了300元/晚。通过用什么样的手机,平时的消费习惯等,平台会将不同的人分类到不同的消费置信区间。
对于这种差异化定价,平台已经构成了消费歧视。不仅如此,这种滥用算法的行为还会影响社会的公平,比如某招聘平台倾向于向画像数据标记为男性的应聘者展示高薪工作,而非女性应聘者,这就构成了性别歧视。
3、数据保护条例和监督
“斯诺登事件”爆发后,欧盟不满Facebook、谷歌等跨国公司屡次侵犯公民隐私的行为,于2018年颁布“史上最严数据保护法”—— GDPR《通用数据保护条例》,大致内容如下:
- 个人敏感数据的定义
- 问责机制—从设计着手隐私保护和默认隐私保护
- 数据主体的权利:知情权、访问权、更正权、可携权、删除权、限制处理权、反对权和自动化个人决策相关权利。
- 数据处理者的责任
- 数据保护监督
我们从下表中欧盟对违反数据保护条例公司的罚款情况,也可以看出欧盟已将个人数据保护提到了最优先级位置并付诸了行动。
| 区域 | 被罚公司 | 罚款金额 | 罚款事项 |
|---|---|---|---|
| 卢森堡 | 亚马逊 | 7.46 亿欧元 | |
| 爱尔兰 | 2.25 亿欧元 | ||
| 意大利 | 电信运营商TIM | 2780万欧元 | 使用在呼叫中心联系时拒绝接听营销电话的用户、黑名单中的用户以及没有同意接听的“非客户”的数据。 |
| 瑞典 | 谷歌 | 800万美元 | 当用户在删除搜索结果时,谷歌没有权利将用户的操作向其他人或组织发送通知。 |
| 法国 | 谷歌 | 5700万美元 | 谷歌并未向安卓用户提供“足够清晰”的信息提醒,谷歌没有获得将用户数据用于目标广告的合法性同意。 |
| 荷兰 | 某组织 | 72.5万欧元 | 要求员工必须扫描登记指纹用于考勤打卡,且该组织未遵照透明原则向员工提供法律要求的关于数据处理行为的信息,劳动合同和员工手册中未包含任何关于使用指纹数据的说明,且保留离职员工的指纹信息。 |
| 德国 | 健康保险公司AOK | 124万欧元 | 在没有合法依据的情况下向客户发送市场营销信息,且未实施适当的技术和数据保护措施来保障数据安全。 |
| 意大利 | 电信供应商Wind Tre | 1672.96万欧元 | 多项非法营销的数据处理行为 |
| 比利时 | 谷歌 | 60万欧元 | 违反有关网民“被遗忘权”的规定 |
| 德国 | H&M | 3530万欧元 | 大范围地调查员工假期、就医症状以及病情诊断等详细信息的隐私侵犯行为。 |
| 英国 | 英国航空公司(British Airways) | 2000万英镑 | 未能保护40多万名客户的个人和财务信息 |
| 英国 | 万豪国际 | 1840万英镑 | 未能按照GDPR的要求,采取适当的技术或组织措施,保护其系统上正在处理的个人数据。 |
| 意大利 | 沃达丰 | 1225万欧元 | 未经用户同意即从外部供应商处购买联系人名单并开展电话营销活动等。 |
| 英国 | Ticketmaster | 125万英镑 | 未能保护消费者个人数据的安全,包括姓名、支付卡号、有效期和CVV号码 |
| 挪威 | Østfold HF医院 | 75万挪威克朗 | 在2013-2019年期间,该医院将患者记录中的报告摘要(准备出院的病人名单,包括患者的敏感信息等特殊种类的个人数据)存储在安全区之外。存储报告摘要的文件夹未开展访问控制,也未对该院员工对前述数据的处理活动予以记录。 |
| 法国 | 6000万欧元 | 该两家谷歌公司在未经用户事先同意及未提供充分信息的情况下,通过搜索引擎google.fr在用户电脑中放置广告cookies。 | |
| 法国 | 亚马逊 | 3500万欧元 | 在未经用户的事先同意及未提供充分信息的情况下,通过azmazon.fr网页在用户电脑中放置用于广告目的的cookies。 |
| 西班牙 | BBVA | 200万欧元 | 未经合法授权处理客户的个人数据及向客户发送促销短讯等 |
| ... |
表3-1
数据保护条例的意义不仅是要做出罚款,同时也在引发商业活动朝着好的方向发展。如果没有数据保护相关法律法规的落地,企业仍会肆无忌惮地滥用人们的数据。
4、国内的数据安全
我国出台了3部相互补充的数据保护法规:《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》。
数据安全法中大篇幅规定了国家数据安全,那什么叫国家数据安全?难道只有涉及军事、战略这样的数据才叫国家数据安全吗?像个人的基因序列、照片、视频、健身、购物、运动等数据增加到一定量级的时候,也会成为悬在我们头顶上的利刃。
美国的一款健身APP-Polar事件是个非常典型的案例,通过6000多名Polar用户的健身资料,还原出超过200个“机密地区”的坐标:包括48处核武器储存所、18个情报机构、6处无人机基地、2处核电厂、2处皇室人员住所等。一款不起眼的软件尚且牵连着如此重要的秘密,其他各类应用所收集的数据只会更加触目惊心。
表3-1中都是欧盟各国/地区的数据委员会或相似职权部门对企业的专门调查而产生的执法,而上述企业的行为在国内也是比比皆是。对于国外的社交平台,以及潜在威胁国人数据的平台,单就数据安全来说,国内采取的措施是消极的,一律屏蔽。这确实能起到一定的作用,但是还有不少人会通过各种手段和方式试图绕过这种屏蔽。而且,国内经济的发展,大量年轻人会出国留学、工作、定居,甚至移民,他们可能会有意或无意泄露个人数据;全球化进程下的国内企业也会到其他国家创办公司,如何防止他们将收集和滥用的国人数据泄露给其他国家?另外,有些企业的大量服务器是部署在国外的,这又该如何管控?
因此,我们最需要解决的问题是如何确保大型科技、通信、银行等公司不会滥用和处理数据。如果我们不能让这些企业严格遵守数据安全相关条例,那我们的隐私和数据权就永远得不到保障。此外,我们也需要普及和加强个人的数据安全意识,防止大数据杀熟、个人隐私和敏感信息外泄等。
5、对特殊群体的隐私保护
对于某些特殊群体,像未成年人、残疾人、老年人,他们应被给予额外的保护,他们一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。我们需要保护他们的隐私,防止不合适的广告、弹窗等出现在他们面前。这里就涉及到设计师们,需要有意识地、主动地考虑将隐私保护嵌入技术和架构中。
6、数据安全的建议
因为欧盟将个人数据安全放在最优先的位置,所以对于个人数据安全编制的指南相对详细些,可以作为参考学习。
- 收集限制原则:个人资料只应在资料当事人知情及同意的情况下合法取得。
- 数据质量原则:所收集的个人资料必须与用途有关;它们应该是准确的、完整的和最新的。
- 用途明确原则:在收集个人资料时,应告知数据主体有关资料的用途。此外,虽然更改用途是允许的,但不应任意引入(新用途必须与原用途相容),并应向数据主体指明。
- 使用限制原则:个人资料的使用仅限于数据主体已知悉的目的,未经资料当事人同意或法律授权,不得向第三者披露有关资料。
- 安全保障原则:个人数据应受到安全保障,以防被删除、盗窃、披露、修改或未经授权使用。
- 开放原则:数据主体应能在收集、储存及使用其个人数据方面,以合理方便的方式取得数据。
- 个体参与原则:数据主体有权查阅及质疑个人数据。
- 问责原则:数据控制者负责遵守这些原则。
强化数据主体对数据的权利:数据收集者应当清晰准确地指明数据处理的范围和结果。数据主体依照其意愿自由作出知情、同意处理与其相关的个人数据。并且用更强有力的法律法规来纠正滥用个人数据的现象。
其次,随着数据集成、重用、分析和定位的加强,未来几年公众对数据隐私的态度可能会变得更加强硬,从而导致更严格的监管。有意识的、透明的、合乎道德的行动,是确保构建安全的数据科学的最佳方式。
