互联网时代的数据安全隐患严重，谁来保护广告主和数据合法应用方的权益？

编者按：

上周，宋星老师的一篇长文《万字深度剖析：互联网用户数据和隐私――中国的现状和下一步》，揭开了中国互联网营销新的变化：数据在营销和推广中越来越重要，对数据隐私和安全的漠视也积累到一个爆发点，越来越多的人开始关注自己在互联网上的隐私安全，国家也将数据安全立法提上了议程，同样，业界也展开了更多关于数据安全和隐私的讨论。

我们每个人都身处互联网和快速发展的大数据时代，大数据和科技的发展的确给我们的生活、工作、育儿、养老、医疗等都带来了以往任何时代都不曾有的红利。但是，我们也同样正在遭受大数据带来的“疯狂”。你每天收到的骚扰电话、短信，甚至是诈骗电话，他们不仅知道你的手机号码，甚至还知道你的住址、身份证号码、以及你的其他家庭情况，等等……，你一定很愤怒，是谁窃取了我的隐私？

国家多次立法、执法大数据“污水”治理已到刑事层面

针对个人信息数据隐私、数据违规乱用等侵害公民权益的违法行为，国家早已在立法层面推出了相关法律法规，甚至已经被列入在刑事法规中。早在2013年9月1日，中国工信部就发布了《电信和互联网用户个人信息保护规定》，规范了个人信息数据应用的法律条款；2015年11月1日，全国人大常委会《刑法修正案（九）》再一次明确了“个人信息”受法律保护的重要性，明确了在履行职责或者提供服务过程中对获得的公民信息出售或者提供给他人的给予重罚；2017年6月1日，全国人大常委会发布《中华人民共和国网络安全法》、同时最高人民法院、最高人民检查院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》关于“个人信息”数据保护和刑事处罚的法律法规。

一起来看一下最近两年公安部、最高检察院督办的特大侵犯个人信息专案：2018年5月公开审理的“数据堂”侵犯个人信息案牵出11家数据交易公司，涉及57名犯罪嫌疑人；2017年10月，全国首例爬虫获刑案宣判，今日头条前高管侯某、宋某等人因为触犯非法获取计算机信息系统数据罪，被判九个月至一年不等的有期徒刑，并处罚金；2017年7月，车来了创始人兼CEO邵凌霜犯非法窃取计算机信息系统数据罪，罚金10万元，判处有期徒刑三年、缓期四年执行，其他参与数据窃取人员均获刑等等。

尽管我国在立法、司法和执法等方面都对网络数据安全进一步加强保护，但近两年“个人信息”数据泄露和乱用的刑事案例仍然屡见不鲜，在利益的驱动下，本来可以合理、合规使用的大数据科技被严重污染了。

国家立法、执法再次加强营销大数据“污水”治理严阵以待！

根据2018年5月1日国家标准化委员会颁布的《信息安全技术个人信息安全规范》和2018年11月30日公安部网安局发布《互联网个人信息安全保护指引（征求意见稿）》再次明确规定了个人信息的定义和范围，主要指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

以IMEI、MAC地址等设备ID为主的数据也被列入个人信息的保护范围，由此一来}f数字营销行业带来的震撼可想而知。难道我们正在做的精准营销从此开始违法了？众所周知，没有设备ID的参与，精准营销和程序化营销变成了空谈；没有他们的参与，营销领域的人工智能更无从谈起，全球数字营销将倒退回到互联网初级时代。面对国家法律政策的收紧，以设备ID为主的个人信息数据是否还可以在数字营销中继续使用？

答案是肯定的。没有一个国家、和一个法律条款说任何个人信息都是不允许使用的，只要在合理合规的标准下使用数据，无论对于企业、或是消费者自身都是受益的。我国《个人信息安全规范》规范规定，在取得消费者“明示同意“和“授权同意”后，企业可以在“协议”规范的范围内使用个人信息数据。

虽然有法可依，但营销数据乱用现象仍呈猖狂态势，正在蚕食品牌和企业的利益……看完以下内容，请思考：“我的数据安全吗？我的数据应用合法吗？”

1.数据未经消费者授权或来源不合法：

这部分违规主要是指数据收集未经消费者允许，收集并获取了某些可供标识个人信息的数据，且利用此数据进行持续的骚扰触达，如：广告、推销行为。例如，某些商家通过某些途径获取用户的手机号，但未经消费者同意，主动发短信或电话触达消费者，推销自己产品。

2. 数据使用没有去标识化：

尽管数据方在获得个人信息主体授权的前提下获取了数据，但是在数据的使用过程中没有进行脱敏、加密等去标识化处理，这样的数据应用也是不合规的。去标识化主要是符合数据隐私法的规范，让数据无法再识别到个人信息。

3.数据不合规使用或转移：

数据使用方，在未经与个人信息主体确认的情况下，在授权外的其他商业场合复用了此数据。例如，仅授权平台在营销场景中的应用，但平台方将数据用于其他场景；又或在数据流转过程中，平台存储了本身对广告投放业务无用的数据，转而将此数据转移给它方进行其他非授权场景下使用。例如数据仅用于去标识化下的分析场景，但使用方将数据用于广告触达，或数据不经任何保护措施转移给未经授权的，不安全的环境或对接方。

4.数据不删除或未给个人信息主体或数据来源方删除的入口：

不遵守数据删除的相关规定，或数据持有方不能进行数据的删除。比如用户或对接方，没有任何渠道去删除在某个平台的自己产生的数据，或平台未按照约定删除历史数据。例如，数据来源方规定6个月后需删除数据，但数据使用方长期保存数据，或删除后仍可复原数据。

等等……

关于规范数字营销领域的数据应用，保护消费者、广告主/企业和合法数据方的权益方面，国家立法、执法再次加强，营销大数据“污水”治理严阵以待，而数据企业也需要主动出击，行业领先的数据智能技术提供商 nEqual 曾经也发表过一篇关于数据安全的文章《致数字化转型：数据安全的重要性如人类对安全的需要！》，同样引发了业内的重视和讨论。

目前，世界最严格的数据隐私法规就是欧盟的GDPR，中国虽然没有按照GDPR执行，但是在2018年5月1日国家标准化委员会颁布的《信息安全技术个人信息安全规范》，进一步强调针对个人信息面临的非法收集、滥用、泄露等安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。从《信息安全技术个人信息安全规范》来看，中国对数据隐私的法律法规也越来越严格了，或者说已经开始部分趋同于欧盟的GDPR了。