来源:科技日报
5月27日,“天涯社区”官微发布公告,回应近期暂停访问服务等情况。此次公告特别关心超过24年的上亿用户数据安全保存的问题。
“天涯社区”不是个例,随着互联网技术的发展和普及,越来越多的人会在互联网上留下海量的数据。然而互联网平台是否有必要保存用户的全部数据?用户数据是“鸡肋”还是“宝藏”?这些问题目前众说纷纭。
保存所有数据并无必要
用户每天上网产生的大量个人数据都保存在哪里?
“受现有通信技术和网络服务特性的影响,互联网平台通常将用户的信息和活动记录以数字形式存储在服务器或云存储设备中。”天津大学智能与计算学部教授刘秀龙认为,尽管数据信息有助于产生良好的用户体验和促进企业增收,但互联网平台的用户数据没有必要全部保存。
首先,从信息安全角度看,用户数据包含了姓名、地址、联系方式等个人隐私信息,这些敏感数据可能会遭到黑客攻击、数据泄露、滥用等威胁。“平台应该遵循隐私保护的原则,只保存必要的信息,避免滥用或泄露用户的个人隐私,并降低潜在的数据风险,保障用户的数据安全。”刘秀龙说。
其次,冗余数据会影响平台效率和查询速度。如果一个平台保存了大量重复的信息或过时的记录,那么在进行数据查询和处理时就需要处理更多的数据量,这将导致系统缓慢和低效。冗余数据还可能导致混乱和错误。如果相同的数据被重复存储在不同的位置,当需要更新或修改这些数据时,就需要同时修改多个副本,易导致数据不一致。
最后,保存大量的用户数据需要巨大的存储和维护成本。用户数据存储需要相应的硬件设备和存储空间。随着数据量的增加,平台需要不断扩展存储设备,这将带来相应的成本;为了确保数据安全,平台需要投入资金来采取各种安全措施;保存用户数据也需要专人负责。
刘秀龙表示,如果没有明确的需求,保存用户所有数据将是一项费用昂贵的任务。
“除了上述因素外,互联网平台对于用户信息的保存期限和范围本身也是一个复杂的问题。”天津大学智能与计算学部副研究员佟鑫宇表示,具体而言,平台需要综合考虑用户本人意向、法律法规和隐私政策等来决定数据保存的期限和范围。
隐私与安全是重要的考虑因素。佟鑫宇举例,《网络数据安全管理条例(征求意见稿)》(以下简称《管理条例》)指出,处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意。因此,互联网平台并不能随意保存用户的所有类型数据。
法律法规对用户数据的保存有明确要求。不同国家和地区对用户数据的保存期限和范围也有不同的规定。例如欧洲的《通用数据保护条例》就规定了对于用户数据的收集、处理、存储等方面的具体要求。互联网平台需要遵循相应的法律法规,确保合规性,而不得无限期保存用户数据。
另外,商业需求和数据价值也需要考虑。互联网平台通过分析用户数据来提供个性化的服务和精准的推荐,具有重要的商业价值。此外,随着时间的推移,用户的信息和行为可能发生变化,部分失去时效性的数据会大大贬值。
应合理处理用户备份、恢复需求
此次“天涯社区”发布暂停访问服务消息后,最让大家关注的就是用户数据安全保存的问题。网络服务提供者在停止服务时,应该如何处理用户的大量数据呢?
“对于互联网平台而言,用户数据的安全性至关重要。”刘秀龙介绍,根据《管理条例》的规定,如果终止服务或者个人注销账号,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理。因此,多数不再运行的互联网平台对于用户数据往往采用了删除个人信息的处理方式。
具体处理方式主要有两种。刘秀龙表示,不管是哪种处理方式,互联网平台都需要合理处理用户的备份和恢复需求,并确保用户数据能够被彻底和安全地删除或销毁。如果未能妥善处理好用户数据,互联网平台将会面临潜在的法律诉讼或监管调查风险;用户数据信息泄露也会引发社会舆论风险。
“如在虾米音乐停止服务时,用户可以以表格或者URL等机读方式导出自己的个人信息副本,这些信息需按用户指示传递至第三方应用。”刘秀龙举例,这些做法有助于用户在网络服务停止后,保留其个人信息,以便在其他服务中使用。
不过对于已经停止运营的互联网平台,继续保存用户隐私信息的巨大成本是一个重要问题。
刘秀龙说,为了提高用户的隐私安全性,互联网公司往往需要加强技术和完善管理措施,制定完善的隐私政策和用户协议,但这都需要投入较大的成本。
对于正常运营的互联网公司来说,需要考虑存储成本和性价比之间的平衡,以确保数据的存储和使用能够带来合理的经济效益。而对于已经倒闭的互联网公司来说,存储数据的成本和价值也需要进行评估,以决定何时停止数据的存储和维护。
政策、技术发力守护数据安全
佟鑫宇认为,用户应当享有是否保存互联网平台个人数据的自主决定权。
根据我国《个人信息保护法》规定,个人信息的收集、使用、存储、处理、传输和公开必须遵循合法、正当、必要的原则,同时要保证个人信息安全。基于此,互联网平台应该为用户提供更加细致的数据权限设置,包括让用户自主决定是否保存自己的个人数据。
“用户数据带有商业价值,平台可以根据数据实现用户画像和推荐算法的设计。”佟鑫宇表示,用户对个人的数据具有所有权和控制权,平台在处理数据时应尊重用户的意愿,遵循用户的选择,不得私自使用或流通这些数据,保障用户的权益和数据的安全。
当平台倒闭或者停止服务,数据可能无法继续保存,后期想要再复原重现的难度也很大。
“用户在互联网平台保存的个人数据,不仅是其身份的标识,也是其情感的寄托,具有隐私性和敏感性。平台停止服务会给用户带来不便和损失。”刘秀龙认为,用户应当享有对其个人数据的自主决定权,包括是否保存、如何使用、何时删除等。
从国家政策的角度看,互联网平台应该尊重用户的数据自主权,为用户提供处理个人数据的渠道和机制;平台也需要加强对用户数据的保护,采取必要的措施保障用户数据的安全和隐私,以充分保护用户的合法权益。
同时,互联网公司作为数据处理者,也有责任和义务保护用户数据的安全,这不仅是法律规定的要求,也是维护自身声誉和竞争力的需要。
“想要互联网平台更好地保障用户数据安全,可以主要从政策和技术两方面发力。”刘秀龙认为。
在政策方面,政府应制定相关规定来要求企业平台保障用户的数据权益,防止数据泄露、滥用和侵权等风险。目前我国已经出台了《网络安全法》《个人信息保护法》《数据安全法》等相关法律,对互联网平台的数据管理活动进行了明确的规定和监管。
互联网平台还可以依托政府的指导构建产业联盟,共同制定行业标准和规范,不仅能够促进企业平台之间在技术和业务方面的交流合作,还可以共同提升数据安全水平,应对网络攻击和数据泄露等危机。
在技术方面,计算机安全技术是保障用户数据安全的关键手段之一。其中,区块链技术可以通过把数据存储在分布式节点上,并使用密码学技术进行加密和验证,来保障数据的安全性和可信性。同时,由于区块链的去中心化特性,可以避免单点故障和数据泄露等问题。因此目前区块链技术被认为是一种非常适合保障数据安全的技术。
刘秀龙表示,保存用户数据并保证其安全,离不开多方协作和努力。平台应该加强内部管理,建立完善的数据管理机制,加强安全审计和漏洞修复,遵守相关法律和规定,提高法律合规意识。同时,政府和行业协会等也应加强对互联网平台的监管和引导,推动互联网平台建设安全、可信、可控的数字生态环境,为用户数据安全提供更好的保障。(记者陈曦)