(電子商務研究中心訊)2017年12月，推薦性國家標準《信息安全技術 個人信息安全規范》（下稱《規范》）出臺，將于2018年5月1日起正式實施。

《規范》起草人之一、北京大學互聯網發展研究中心研究主管洪延青對《中國經濟周刊》記者表示，不能說如果企業的做法與《規范》不符合就一定違反了網絡安全法對個人信息保護的相關要求，但如果企業按照《規范》去做，達到合規，則肯定會符合網絡安全法的規定，從守法成本上來講可降至最低。

針對《規范》的改造并不簡單輕松，但互聯網企業必須馬上行動起來，企業是否已經準備好？

從人力到技術，企業要做好哪些準備？

首先是負責個人信息安全保護的人員是否到位。《規范》要求規模超過200人的，業務涉及用戶個人信息的企業建立專門負責個人信息安全保護的部門以及設立專門的負責人。不少企業都正在按照這一標準進行調整。

“我們很早就有了這樣的部門，其負責人被命名為‘首席隱私官’，360的業務條線也有很多，很多部門也都希望盡可能多地收集和使用用戶個人信息，但首席隱私官所領導的部門會統一核準該做法是否符合規范和法律法規，是否符合360自身的價值觀。”360集團董事長兼CEO周鴻祎表示，隨著國家標準和相關法律法規的出臺并生效，行業內部的企業肯定會按照相關要求進行調整，以使自身行為合乎監管原則。

丁香園創始人李天天告訴記者，丁香園現有員工超過1000人，負責信息安全的相關機構和機構負責人均已到位。

京東首席安全官李德浩稱：“京東安全委員會就是我們內部專門負責信息安全事務的，我本人就是這個部門的負責人。”

其次，在技術層面，《規范》指出識別路徑和關聯路徑都應被算作個人信息，都應受到保護。識別路徑是指通過某一段信息（如家庭住址、身份證號碼、手機號碼等）可直接識別出某具體自然人的信息，關聯路徑則是通過某一段互聯網上的行為軌跡和記錄，可在一定范圍內通過關聯作用識別出該自然人所具有的清晰特征的信息。以社交網絡為例，即便其將用戶個人具體信息保護到位，但用戶在網站上的好友名單、黑名單和其他行為軌跡也可關聯到用戶本人，而這部分信息也屬于個人信息。然而不少社交網站只重視前者而放松了后者，“不少社交網站將關聯路徑當做網絡日志信息而非個人信息來處理，這是不合規的。”洪延青指出。

企業還要做到不同應用場景之間的個人信息不可聯結。以視頻網站為例，同一用戶在其他消費場景，比如零售中的用戶畫像，對視頻網站也極有意義，一旦掌握其消費習慣，可通過計算推測出其對視頻類型的偏好。“零售網站上的用戶畫像，視頻網站在背后是有相關渠道可以獲得的，這在行業中屬于灰色地帶。”一位視頻網站從業者向《中國經濟周刊》記者透露說。

“類似的交易在丁香園并不存在。我認為如果沒有用戶本人的知情同意就進行交易，應該算是個人信息泄露。用戶畫像在不同的互聯網企業之間流轉，首先應當遵循用戶本人意愿，在合法合規的前提下進行。”李天天對記者說，

但值得注意的是，隨著互聯網行業的并購不斷發生，有些零售網站與視頻網站背后有著相同的實際控制人，在組織文化和內部管理制度上甚至趨同，背后是否有在用戶畫像信息上的來往外界不得而知。《規范》對此有明確界定：要求企業具備透明性（數據的處理、流轉要透明）、可干預性（如果需要刪除或更正，需要具備溯源追究的能力）和不可聯結性（在大數據平臺中，不同場景不同目的的數據不能聯結）。也就是說，即便一家互聯網巨頭旗下擁有多場景類別的服務，其也有能力將所有場景下的大數據建成統一平臺，但不同場景的個人信息依然要堅持不可聯結原則，這對致力于打造全場景服務的巨頭企業至關重要。前述劍橋分析及其他程序在臉書上獲得用戶數據的行為，理論上也屬于多場景類別下的數據流轉問題，我國的《規范》對此類問題的要求較為明確：不可聯結。

對于即將生效的《規范》，搜狗CEO王小川在接受《中國經濟周刊》記者采訪時表示，《規范》出臺對行業來說是件好事，搜狗完全支持并且一直以來都遵循了《規范》所規定的在數據存儲時間和調用數據量上的最小化原則，“搜狗一直是比較自律的，不會收集對用戶沒有幫助的數據，在能實現功能的前提下能不調用個人信息就不調用、能少調用就少調用。”王小川說，搜狗在云安全方面也做了很多的努力，完全可以確保個人信息安全且被合規地使用，“有了相關規范，做得好的企業只會讓外界更加信任我們，搜狗很樂觀。”

數據所有權歸誰？用戶還是數據收集者？

個人信息的所有權問題也很關鍵。對于個人信息到底歸誰，業內大致分為兩種論調：一種聲音認為，雖然個人的行為才是所有數據和信息的來源，但個人行為本身不是數據，而是數據控制方的記錄等一系列技術手段將其加工成一段段數據，并且用戶在提供自身數據給數據控制方的過程中享受到了個性推薦等便利，所以該信息的至少部分所有權應歸數據控制方。

上海數據交易中心CEO湯奇峰就曾對《中國經濟周刊》記者表示，用戶的個人行為本身不是數據，正是由于數據控制方的一系列技術手段的介入才將其加工成數據，才讓用戶享受到了互聯網服務的便利。但他同時表示，在為用戶提供便利的同時，數據控制方為防范個人信息泄露和不當使用對當事人的隱私權造成損害，需要在網絡安全法框架下遵循正當性和必要性兩個原則。

此外，另一種觀點則認為，作為各項個人信息的源頭，用戶完全可以主張對信息所有權的完全所有權。在一些國家不乏數據提供商支付給用戶一定的價格，以作為用戶對其開放個人信息的回報。

周鴻祎便是“數據所有權歸用戶”的支持者。在今年全國兩會期間，周鴻祎對《中國經濟周刊》記者表示，他此次參會帶來一份關于企業收集并使用個人信息應遵循“三原則”的提案。“首先數據的所有權毫無疑問屬于用戶本人，即便是互聯網公司收集的，但也不能擁有所有權，個人信息只是暫時托管在互聯網公司的服務器中。”其他兩項原則分別是保證用戶的知情權和選擇權以及服務過程中的信息安全。“根據每個應用的具體情況，服務提供商做什么都要讓用戶知道，當然不能‘一刀切’。如果需要打開麥克風收集用戶的聲音，這種行為是否提前讓用戶知曉？是否提前告訴用戶為什么要這么做？用戶如果不同意，應有權利選擇拒絕。此外，用戶個人信息在互聯網企業使用的過程中要被很好地保護，不能有不明的去向以及泄露。”

周鴻祎認為，政府如果能推動解決好這三個問題，用戶和數據控制方之間就能建立很好的信任，用戶放心地允許企業收集，企業用合規的方式賺錢。

“作為互聯網公司，我們收集用戶數據很少有惡意。”網易創始人丁磊對《中國經濟周刊》記者表示，互聯網企業保存用戶信息的一個風險在于，有些黑色產業鏈條會盯上企業服務器中的個人信息并通過非法手段盜取，“我們的收集和使用本身沒有惡意；當然，要保護個人信息在企業服務器中的安全，這是我們該做的。”（來源：中國經濟周刊 文/銀昕）