谭晓生有两张名片,一张是360公司副总裁,一张是360公司首席隐私官,在参加一些网络安全会议和研讨会时,后者往往用的更多。360是国内首家设置首席隐私官职位的互联网公司,谭晓生至今依然是国内公司中的唯一一个首席隐私官。不过,在国外,很多公司都有这个职位,例如微软、Facebook、美国银行、万事达等,谷歌设有高级隐私顾问,甚至像美国国土安全部这样的政府部门也设有隐私官。每年的国际安全会议,谭晓生都会遇到外国同行。但担任这一职务两年多后,谭晓生仍旧经常被人好奇地追问:隐私官是干什么的,能够保护用户的隐私吗?
首席隐私官是干什么的
“首席隐私官是一个融合技术、法律、管理等多方面专业知识和技能的工作。” 谭晓生向中国青年报记者解释说:“解决隐私问题,要从法律和技术两方面。律师了解法律法规但是不能解决技术问题,而技术人员虽然知道什么行为会保护用户的安全,但却欠缺对法律的了解。”
“之所以设立首席隐私官,一方面是因为随着网民对隐私保护的需求越来越大,公司必须把握产品方向;另一方面是因为我们知悉在隐私保护方面的国际趋势,要跟国际领先企业看齐。”谭晓生技术出身,在互联网产品生产链的各个环节工作过。
谭晓生说, 首席隐私官,更倾向于保护用户的个人隐私安全。“我平时的工作主要是规划和制定公司的隐私政策、审核各产品的用户使用协议、监督《360隐私保护白皮书》的落实等。”谭晓生介绍,隐私保护团队在公司是一个独立的监督部门,对各个产品部门有垂直管理权限。“一是制定公司产品的隐私策略以对用户隐私保护的规则,二是监督策略在产品中的执行。第一条是对内约束,第二条是对外保护。”谭晓生介绍,第二个职责其实是在第一个职责中制定策略和建立规则之后监督,具体包括如下几个部分,首先是要尽到告知义务,包括隐私条款和用户声明;其次是监督实施,每个产品都要单独上报审核;再一个就是检查,每个产品都有预审产品经理进行安全审核后上报,再由信息安全部门用技术手段进行审核。
国内法律对用户隐私保护依旧是盲点
目前国内法律中对用户隐私保护却依旧是一个盲点,虽然在40多部法律、30多个法规以及200多部规章中都涉及个人信息保护,其中包括互联网信息、医疗信息、个人信用管理等,却都是一两句话带过,非常分散,不成体系。美国在1974年就有了第一部《隐私权法》,但我们至今没有专门的隐私权保护法。
谭晓生认为,必须制定企业自己的规则,《360隐私保护白皮书》已经从1.0版升级到2.0版,这其实就是公司与用户的契约。对于内部员工的安全行为约束,360公司有非常明确的要求,概括为“四不三必须”:第一,不该看的不看;第二,不该传的不传;第三,不该存的不存;第四,不该用的不用;第五,一切行为必须明示;第六,必须经过用户许可;第七,必须对手机的用户隐私信息负责。
回顾360公司的发展,一直伴随着与其他互联网公司的各种纷争,更是伴随着各种负面评价,甚至有人用拳打脚踢打出来的“流氓大哥”来形容。目前360已经成为中国最大的互联网安全公司之一,拥有安全卫士、杀毒、安全浏览器、手机卫士等多个系列产品。7月21日,中国互联网信息中心(CNNIC)发布的第34次调查报告数据显示,我国手机网民已达5.27亿人,360手机助手占据其中4亿的用户量,对手机网民的覆盖率达到75.9%。
虽然,360的产品已经占据了主导地位,但至今,360扫描用户信息、软件侵入性太强等评价仍在继续,即使拥有大量用户,但很多人都是边使用边心存疑虑,甚至可以说骂声不绝。
对于这些评价,谭晓生从专业的角度逐一解释。扫描无关个人隐私,几亿用户信息数据太大,公司不可能逐一扫描;对于一些安全软件的一键安装,是为了点击便捷使用方便,将安装门槛降低,照顾大多数人的使用。
谭晓生所负责的信息安全部门是整个360公司的重要部门,为杜绝员工恶意侵犯用户隐私,公司有一套流量监听系统,谁访问了用户敏感信息,是会被信息安全部门发现的。
由于公司的员工整体年轻,如何约束这些精力旺盛而又掌握技术的年轻人是一大问题。谭晓生透露,公司曾经出现过员工试图去黑其他网站,用公司服务器去挖网络货币等问题,这些人都受到了处罚。
生活便利和隐私风险是双刃剑
身为首席隐私官的谭晓生也经常遭遇隐私泄露的尴尬。一天,一位朋友突然向他发出生日快乐的祝福,谭晓生很诧异,因为他没有告诉过这个人自己的生日。原来是一家公司设计了一款社交产品,A与B认识,B与C认识,那么A通过B就能获得C的一些个人资料。对于这个产品,谭晓生非常恼火,因为这是未经许可泄露他人隐私。
在生活中,谭晓生也有较强的自我保护意识,他说自己订机票一般去航空公司的官网订票,减少第三方获取自己资料的可能。
2011年,全球最大的中文IT社区CSDN的用户密码被泄露;今年3月携程网安全支付日志存在漏洞,导致大量用户银行卡信息泄露,近期出现的一系列事件,使网络安全问题越来越受到重视。但同时,互联网的发展以及与生活的高度结合,也出现了另外一种趋势。
全球著名研究机构高德纳于2014年年初发布的一份研究报告中预测,到2017年,将会有80%的用户愿意让服务商收集、跟踪和交换自己的个人信息来换取优惠、方便和个性化的服务。
“我们并不是生活在纯洁的世界里,有时承担一些隐私泄露的风险,会使生活更加便利。”谭晓生认为这是双刃剑,每个公司和个人都面临着安全和隐私问题,个人信息不完全被人所知很难,所以现代人要学会新型的生活。而提供网络安全产品的公司就是要努力保持人们的隐私权力,用设计和产品实现来保护并实现人们的权力。他强调一点:“内部约束,保护用户,这两方面的利益是一致的。”
“互联网服务提供商要认识到保护用户隐私是自己必须履行的义务,收集用户的个人信息有风险,保护用户隐私有成本,泄露用户隐私要承担责任。随着个人保护立法的完善,用户的隐私保护会变成烫手的山芋。”谭晓生希望“不该看的不看、不该传的不传、不该存的不存、不该用的不用”成为业界共识。