首席隐私官谭晓生：解决个人信息泄露 须有明确的法律法规

个人隐私信息泄露导致的电信网络诈骗猖獗，究竟该如何治理？国外很多企业都设有首席隐私官，来保护用户个人隐私数据不被侵犯，我国大力推行首席隐私官制度是否可行？为此，华商报记者专访了全国第一个首席隐私官——奇虎360首席隐私官谭晓生。
　　>>首席隐私官干啥的？
　　帮助企业保护用户隐私
　　不该看的不看，不该存的不存
　　 华商报：企业设立首席隐私官的目的是什么？
　　 谭晓生：我们设立首席隐私官的目的，主要考虑的是企业在做产品或对用户进行服务时，怎么去尊重用户的隐私权，不造成对用户信息的非授权收集和使用。需要弄清的一点是，法律保护的是隐私权，但保护隐私权并不等于一定要保护他的个人信息。一个人要过隐居生活，他是应该能做得到的，如果做不到隐居，就说明他的隐私权受侵犯了。但当事人如果要在社交媒体上公布自己的信息，你能阻止他吗？那也是他的权利。不过，如果寄个快递，自己的身份和住址信息被快递公司卖了；去4S店买车，4S店把车主的信息公布了，卖保险的因此上门了，这就属于“非我预期”的个人信息的泄露。
　　 再拿徐玉玉案来说，她被哪个学校录取，她的电话号码、她可以申请办理补助，这些信息徐玉玉和家人肯定是不愿意公开的，更不用说公开给犯罪分子。而她的信息却被犯罪分子获取到了，这就说明中间哪个环节出了问题，要么就是有人把她的信息卖了，要么就是有人通过平台偷取了她的信息，这也是“非我预期”的情况，不论是卖还是偷，都属于犯罪行为，他们首先侵犯的是公民的隐私权。
　　 华商报：作为首席隐私官，您保护的主要对象是什么？
　　 谭晓生：作为首席隐私官，首要的职责就是要确保自己企业的产品或者服务，不涉及到侵犯用户隐私权的问题。我们是做安全产品的，比如用户收到一封邮件，我们就要帮他检查邮件里有没有钓鱼链接，含不含木马、是不是欺诈消息，这是需要做分析的，这时就会知道保护对象的一些个人信息,但要做到不记、不存。概括来说，就是“不该看的不看、不该传的不传、不该存的不存（有些信息当时用一次就行了，你没必要存那些信息）、不该用的不用、一切行为必须明示（收集信息的时候，必须要告诉用户为什么要收集）、必须经过用户许可（收集信息要得到用户的许可）、必须对收集的用户隐私信息负责（对收集的用户信息要安全销毁）”，这也是我们提出的软件行为规范。
　　>>隐私泄露为何日益突出？
　　信息泄露技术不是关键
　　需要法律和执法过程解决
　　 华商报：您对目前个人隐私信息泄露严重的情况如何看待？
　　 谭晓生：要进行个人隐私信息的保护，首先是弄清楚两点：信息是怎么被泄露出去的，信息怎样被经营和利用，才能知道在保护方面应该怎么做。信息的泄露，第一种情况是内部人员把这些数据拿去卖，第二种情况是掌握用户信息的企业在非授权范围内使用用户信息。这两种情况属于非授权的对用户信息的利用和经营。第三种是通过非法手段入侵，比如将网站数据库拖走，然后把用户信息拿去倒卖或者直接利用。如果是入侵，可用刑法有关“入侵计算机系统”的相应规定来定罪。但对于个人信息的非授权使用，是要有相关的法律法规来明确的。美国在1974年就有了隐私权法案，但我国一直到现在都没有隐私权法。只是在几十部法律里面有一句或两句提及个人信息方面的事情，并没有特别明确的一部隐私权法。我认为，要把这件事解决好，必须要有明确的法律法规。
　　 华商报：自从有了电脑和互联网，个人隐私信息泄露问题越来越突出。您如何看待这个问题？
　　 谭晓生：技术只是提供一种能力，就好比一把锋利的刀，到底是用来切菜还是砍人，都有可能，这和技术无关。另外，获得信息和敢不敢用是两回事，这还是需要法律和执法过程来解决的问题。还以菜刀打比方，这把菜刀很锋利，你就能拿出去砍人吗？之所以不敢拿菜刀砍人，是因为如果这样做了会受到非常严厉的法律惩处。所以，已经泄露的个人隐私信息，也只有严格执法才能解决。
　　>>为何首席隐私官鲜有？
　　有了完善的立法
　　设立首席隐私官顺理成章
　　 华商报：您是否认为，个人隐私权立法和设立首席隐私官可以作为治理现状的抓手？
　　 谭晓生：首先是做好公民隐私权立法。只有有法可依，才可以有针对性地进行整治。而有了完善的立法，设立首席隐私官也就成了顺理成章的事情，或者也可能叫首席风险官。其实有了完善的立法，这个职位叫什么名称甚至设不设这个职位都不重要，因为企业会想办法去解决问题，以保证自己不触碰法律的。设立首席隐私官只是其中的一个方法而已。
　　 华商报：如果企业出于利益考量，做出对用户个人隐私保护不利的事情，作为首席隐私官，您能否顶住压力，起到保护用户隐私信息的作用？
　　 谭晓生：首席隐私官这个职位的性质，决定了就必须要保护用户隐私，但他毕竟又是被这个公司雇佣的。怎么讲呢？其实首席隐私官这个职务，是一个相对比较负责任的公司希望通过这个职位来保护自己的方法，对公司并不是不好的。在有此类法律法规的国家，如果公司出了侵犯用户隐私权的问题，公司可能会因此倒闭。但如果法律本身就不健全，那么企业可能就不会看重这个职位。我是国内第一个首席隐私官，其实也很孤单，因为后来也没见哪个公司也设立这样一个职位。在美国，很多公司都有首席隐私官的。
　　网络安全专家马坤：
　　管好重点单位的数据库
　　 电信网络诈骗猖獗的源头是由于个人信息泄露，而个人信息泄露则和网络安全有着很大的关系。对于当前的情况，互联网安全专家怎么看？华商报记者采访了国内知名网络安全专家、西安四叶草信息技术有限公司CEO马坤。
　　个人隐私信息半裸奔
　　主因是安全投入不够
　　 华商报：电信网络诈骗猖獗、个人信息泄露严重，您认为如何治理才能改变当前的局面？
　　 马坤：当前形势非常严峻，公众的个人隐私信息几乎是半裸奔状态。最重要的原因，是有关部门和互联网企业掌握着大量用户个人信息，却对安全投入不够，导致存在安全方面的隐患，容易被黑客攻陷。所以，首先应该从源头进行治理，管好重点单位的数据库。对于凡是保存有大量个人信息的政府部门、金融行业、企事业单位，相关部门应该督促他们加强其个人信息数据库的安全防护。对于诸如学籍管理、社保、医保、住房公积金系统、银行系统、票务订购系统、酒店登记系统等等这些存放个人信息数据的这些平台，必须要受到法律的强制约束和保护。比如可以规定，必须要经过可信的安全公司的检测并有定期的检测报告，只要有这个资格你才能开张。
　　 其次，需要针对个人进行网络安全意识的培训。机关、企业必须定期开展网络安全意识的培训，要把网络安全教育作为安全培训的重要环节，当成一项必修课来抓，要让有关人员更有责任心。另外，应加快相关立法工作，理清和违法犯罪有关的行为边界，对于侵犯公民个人隐私权的行为进行严格执法、严厉打击，同时还应结合法规加大对网络安全的重视和投入，大力支持安全企业的发展，让防护的力量变强。这三种情况结合到一起，才可能改变当前的情况。而当务之急，是要管好拥有大量个人信息数据的政府部门、社会团体、企事业单位，尤其电信、金融、互联网服务平台的数据库。
　　要防范个人信息泄露
　　相关部门必须打击和惩处
　　 华商报：如何防止生活中和个人习惯相关的个人信息泄露？
　　 马坤：这个是很难防的，有时候几乎是避免不了的。比如你去办事，人家要求你填写个人信息，不填就无法办事；需要复印身份证，不照做也是不行的。个人在这方面做防御基本上不可能，是很苍白无力的。要改变这种情况，需要全社会都重视起来。对于搜集贩卖公民个人隐私信息，相关部门应该首先行动起来，对这样的做法必须进行打击和惩处。当然，这不是一下子就改变过来的。个人能做的事情，就是在填写信息时，能少填尽量少填写，能不完整填写就不要填写得那么清楚；填写电话号码时，尽量不要填写常用号码，可以专门准备一个不常用的号码。在网上交易购物，尽量用ID或不常用的手机号，尽量少用个人的真实信息。
　　 华商报：技术带来方便的同时，也可能带来更严重的安全问题。根据当前的形势，您如何评估未来物联网时代的安全情况？
　　 马坤：随着物联网的发展，未来智慧城市、智能家居、智能摄像头、智能汽车都会联网，甚至连社区里的水、电、气可能也会联网。所以，市民平时的家庭数据、生活数据都可能会被存放到云端。这些云端有公有云，有私有云，其中私有云保存着我们的数据。那么，负责保存这些云数据的企业及类似的数据源头单位，他们必须要在网络安全方面有防范措施。如果不做防范，那么我们的家庭数据、个人生活数据都可能被泄露出去，这会是非常严重的情况，人人都会感到如芒在背。再比如说，将来汽车也联网了，那么在行驶过程中会不会被黑客控制？这有可能直接威胁到我们的生命。所以物联网时代，安全问题会更重要。
　　国家如何应对网络安全问题？
　　反诈骗被列入国家研究计划
　　 西安电子科技大学网络与信息安全学院副教授杨超介绍，对于网络安全问题，国家已经启动“网络空间安全”重点专项研究，反诈骗被列入国家研究计划。该重点专项共有5个技术研究方向，共部署了47个重点研究任务，实施周期为5年（2016—2020）。
　　 在这些重点研究任务里，与普通市民相关的研究内容包括：互联网下的隐私保护与取证技术；安全支付及其运行监管的关键技术；网络不可信环境下的密钥生成、分发、使用、撤销与恢复等等。此外，还设置了“社会工程学在网络安全中的应用方法与理论研究”。所谓社会工程学，就是骗子们经常使用的骗术。其主要研究内容是：针对各行业中由社会工程学带来的日趋严重的安全问题，对社会工程学在网络安全中的应用进行原理性分析，建立社会工程学安全框架和模型，提出防御方法。
　　>>他山之石
　　国外如何严防电信诈骗？
　　 近年来，电信诈骗已成为各国社会“顽疾”。那么，国外是如何严防电信诈骗，从源头堵住这些骗局的呢？
　　日本：用“呼死你”拨打诈骗电话
　　 日本警察厅上个月透露，将针对特殊诈骗采取独特的遏制手段，利用自动拨号系统向嫌犯团伙使用的手机持续拨打电话以期减少犯罪。该系统还将向接通的嫌犯电话播放警告信息。北海道警方去年作为试点项目实施该措施，收到一定效果。
　　 日本一些银行最近推出防诈骗ATM机，一旦ATM机探测到取款者边打电话边进行转账操作，就将强制停止转账。日本富士通公司和名古屋大学还合作开发出一种“手机会话分析软件”，将迄今为止诈骗汇款内容中包含的所有关键词设定为危险词语（如交通事故、汇款等）。另外，老人在受到重大打击时，语调会突然变高，该软件可基于关键词和语调变化等，综合判断老人是否可能正被诈骗。软件一旦发现老人处于被欺骗状态，手机会马上发出警报声，并在手机屏幕上显示提示语：“这可能是诈骗电话，请注意！”
　　美国：打骚扰电话可罚1.1万美元
　　 美国在其境内的电信运营商之间建立了一个名为“拒绝来电名单”的注册网站，让民众免费上网注册自己的家庭电话或手机。注册成功后，除了慈善机构、政治团体或电话调查者之外，任何人向这些号码进行电话推销都被视为非法行为。如有公司违反该法律，骚扰已登记的号码，每打一个电话，可以罚款1.1万美元。“拒绝来电名单”一经推出就赢得了民众的广泛支持。
　　德国：银行帮忙追回被骗钱款
　　 在德国，个人在银行开户时不仅要实名登记，还要接受严格的身份检验，身份证、固定电话、工作单位等都要进行存档备案。开户者还要和银行签订“信用合同”。此外，用户在签订手机、网络等合同时，也要实名登记并签订“信用合同”。银行、电信、网络、租房等公司会定期将用户的个人信用信息向德国信用信息处理机构Schufa报告。这样，一旦发生电信诈骗，银行可以轻松通过Schufa系统查出相关信息，帮用户把钱追回来。 本版稿件由华商报记者 马虎振 采写

(原标题：首席隐私官谭晓生：解决个人信息泄露 须有明确的法律法规)