网络安全，如何保护数据隐私？

　　5月25日，欧盟《通用数据保护条例》在欧盟全体国家正式生效，成为了互联网产业的又一次标志性事件。该条例被称为“史上最严格”的网络数据管理法规，主要针对目标是保护用户的数字隐私。从脸谱网“数据门”到最近国内的“空姐滴滴遇害案”，数据隐私已经逐渐成为数字经济的焦点议题，动摇着社会公众对于互联网运营商的信心。欧盟《通用数据保护条例》的生效将开启各国政府对于这一议题的重视和管理，这对于数字经济的长远发展是有利且必要的。

　　数字隐私是用户使用互联网服务、互联网服务商向实体经济渗透必然带来的问题。数字隐私包括用户一切不愿公开的信息，是一个公民的精神防线，其目的在于保持自身精神上的安全感、确保判断和选择符合自身利益、保护人身家庭和财产安全。国际社会普遍认为隐私是一种公民权利，需要通过法律加以保护，各国都对此制订了相关法律法规。然而，这些法规并没有考虑到数字隐私的问题，没有设想到互联网改变了隐私的表现形式。

　　数字隐私在诸多方面与传统隐私有较大区别。环境上，互联网的便利性与网络世界的公开、透明密不可分。互联网服务需要用户提供明确、可辨识、可回溯的信息需求，从而满足用户的实际需求，这与现实社会所采用的语言、手势等交流方式有很大区别。在这种环境下，用户不可避免的在网络上留存了大量信息和数据。内容上，大数据、数字画像等信息技术突破扩展了隐私的范围。借助上述技术，互联网服务商或别有用心的黑客可从海量数据中寻找疏漏、从无关数据中找到规律、从表层数据中推测深层心理，因此，一些原本不属于隐私范畴的信息也可能被用来挖掘隐私。安全上，由于数字隐私集中存储，泄露问题可能造成更大规模的灾难。隐私具有个人属性，在现实社会，隐私泄露一般只是个人的无意识行为，伤害面有限。但在互联网世界，网络服务商常对数据信息采取集中存储，一旦系统故障或被人攻破，会造成海量隐私数据的泄露，甚至可能危及国家安全。获取方式上，随着物联网技术的发展，网络服务商的数据采集行为愈发积极，可能采集到用户无意中泄露的个人隐私。

　　基于以上特点，数字隐私的保护会与传统隐私保护有很大差别，采取传统的事后惩罚、补偿方式无法确保数字隐私安全。政府必须在保护上采取更加积极、监管前置的方式。欧盟《通用数据保护条例》就体现出这种方向。

　　其一，应遵循数字资源与保护责任对等的原则。欧盟新法明确了一些产生、留存用户数据的企业都应纳入监管范畴，其中暗含了数字资源与保护责任对等的逻辑。持有数据量巨大的网络巨头是欧盟重点监管目标，一旦这些企业违反规定，将受到最高等级的处罚。一些新兴网络企业的数据保护责任也应与其成长步伐同步。

　　其二，应采取监管前置的方式。欧盟新法中要求企业任命数据保护专员负责法律的履行，并同所在国监管机构保持沟通。这意味着欧盟网络安全监管部门在大多数企业中都有一个固定的联络人和眼线，保证企业能够第一时间向政府汇报大规模数据泄露事故。这种方式能够显著增强监管的效果，值得更多国家加以借鉴。

　　其三，平衡企业与用户的数字权利。网络服务商与用户总体上处于不对等的地位，网络服务商拥有充足的人力、技术和资源来挖掘分析用户信息，而用户则没有对等能力识别数据使用的风险。为了平衡这组不对称的关系，政府应运用监管政策来限制网络服务商的数据分析自由，同时增加用户对自身数据的掌控能力。欧盟所采取的方式是禁止网络服务商采取“数字画像”等功能，阻止其利用外围数据判定用户的偏好和倾向。与此同时，用户则拥有充足的知情权、访问权和反对权，可随时清除在该服务商上留存的个人数据。欧盟的管理方式也许过于严苛，不利于初创企业控制研发成本，但其总体方向还是可取的。