你的數(shù)據(jù)隱私什么時(shí)候才能受到保護(hù)？

在規(guī)定企業(yè)合規(guī)使用用戶數(shù)據(jù)的界限上，GDPR在第六條規(guī)定，企業(yè)需要主動(dòng)獲取數(shù)據(jù)主體即用戶的明確同意，個(gè)人對(duì)其數(shù)據(jù)有知情權(quán)，刪除個(gè)人數(shù)據(jù)、限制處理個(gè)人數(shù)據(jù)等相關(guān)權(quán)利，同時(shí)有‘合法利益’的概念。在預(yù)防犯罪、欺詐監(jiān)測(cè)、員工背景調(diào)查和收集分析明星數(shù)據(jù)等情況下，證明‘合法利益’的企業(yè)可以不經(jīng)同意合法處理個(gè)人數(shù)據(jù)；在CCPA中沒有‘合法利益’這一概念，消費(fèi)者有權(quán)要求企業(yè)披露收集個(gè)人信息的類別和具體要求、目的以及信息共享的第三方，并有權(quán)選擇不出售個(gè)人信息和要求企業(yè)刪除收集的個(gè)人信息等。360法律研究院將兩者對(duì)個(gè)人數(shù)據(jù)使用的法案內(nèi)容歸納為，GDPR規(guī)定個(gè)人數(shù)據(jù)的使用‘原則上禁止，有合法授權(quán)時(shí)允許’；而CCPA則是‘原則上允許，有條件禁止’。

對(duì)于數(shù)據(jù)跨境，GDPR的有嚴(yán)格的規(guī)定，而CCPA沒有進(jìn)行限制，這與美國(guó)相對(duì)鼓勵(lì)數(shù)據(jù)流通有關(guān)。但對(duì)于違規(guī)行為，處罰的力度都很大。GDPR規(guī)定企業(yè)會(huì)面臨最高2000萬(wàn)歐元或上一財(cái)年全球營(yíng)業(yè)額4%的行政處罰（以較高者為準(zhǔn)）；而CCPA規(guī)定企業(yè)會(huì)面臨支付給每位消費(fèi)者最高750美元的賠償金以及最高7500美元的罰款。

自GDPR開始執(zhí)行之后，F(xiàn)acebook、Google等巨頭都相繼收到巨額罰單，對(duì)于隱私保護(hù)的政策爭(zhēng)議也一直未停止。3月下旬，阿里巴巴羅漢堂曾邀請(qǐng)全球頂尖學(xué)者進(jìn)行三天閉門的會(huì)議，討論隱私與數(shù)據(jù)治理的問題。據(jù)《錢江晚報(bào)》報(bào)道，即使是來(lái)自歐美的學(xué)者，也普遍對(duì)GDPR表達(dá)了一些擔(dān)心。比如法國(guó)圖盧茲經(jīng)濟(jì)學(xué)院教授JeanTirole就認(rèn)為，GDPR太過復(fù)雜，如果不允許收集數(shù)據(jù)，就類似于‘想倒掉洗澡水，把寶寶也潑出去了’，甚至有學(xué)者將150多年前英國(guó)頒布的《紅旗法案》與之相比較，《紅旗法案》旨在保護(hù)汽車司機(jī)和乘客的安全，卻也讓英國(guó)錯(cuò)過了汽車產(chǎn)業(yè)的騰飛。美國(guó)伯克利大學(xué)教授JimDempsey則表示，現(xiàn)在針對(duì)隱私的政策大多基于假設(shè)，‘我們現(xiàn)在缺乏足夠的經(jīng)濟(jì)學(xué)、社會(huì)學(xué)層面對(duì)隱私問題的研究’。亞洲商業(yè)法數(shù)據(jù)隱私項(xiàng)目負(fù)責(zé)人ClarisseGirot說(shuō)：‘關(guān)于對(duì)數(shù)據(jù)的保護(hù)，一個(gè)國(guó)家單槍匹馬是不夠的，我們需要所有的國(guó)家、所有的司法管轄區(qū)域，共同的相互協(xié)作。目前，什么叫相互協(xié)作、相互運(yùn)作、相互運(yùn)營(yíng)，這些詞眼對(duì)我來(lái)說(shuō)也并不是特別清楚，但我相信未來(lái)是清楚的?！?/p>

博弈中曲折前進(jìn)

回到國(guó)內(nèi)，在《網(wǎng)安》法之后，我國(guó)同樣在不斷推進(jìn)相關(guān)的制度建設(shè)?！秱€(gè)人信息安全規(guī)范》就是目前主要針對(duì)個(gè)人隱私保護(hù)領(lǐng)域，進(jìn)展較快的標(biāo)準(zhǔn)。雖然不具備強(qiáng)制性，但對(duì)處理個(gè)人信息和各類組織提出了具體的保護(hù)要求，也為制定和實(shí)施個(gè)人信息保護(hù)相關(guān)法律法規(guī)奠定了基礎(chǔ)。

今年2月初，經(jīng)過修正，由國(guó)家市場(chǎng)監(jiān)督管理總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范（草案）》針對(duì)個(gè)人信息面臨的安全問題，規(guī)范了個(gè)人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。

在這份標(biāo)準(zhǔn)之中，同樣充滿了利益的博弈和妥協(xié)。從標(biāo)準(zhǔn)起草單位和主要起草人來(lái)看，既有中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、清華大學(xué)、公安部第一研究所等政府、學(xué)術(shù)機(jī)構(gòu)，也有阿里巴巴（北京）軟件服務(wù)公司、深圳騰訊計(jì)算機(jī)系統(tǒng)有限公司、阿里云計(jì)算有限公司、華為技術(shù)有限公司等企業(yè)。

據(jù)《中國(guó)青年報(bào)》報(bào)道，‘企業(yè)對(duì)于個(gè)人信息保護(hù)責(zé)任邊界到底在哪兒’，是起草組爭(zhēng)論的核心問題，起草組成員、阿里巴巴安全部總監(jiān)鄭斌回憶，這個(gè)問題起草組討論了近一年的時(shí)間?！覀兠?jī)蓚€(gè)月左右會(huì)開一次討論會(huì)，大概討論了五六次，每一次這個(gè)問題都會(huì)提出來(lái)?！?/p>

爭(zhēng)論的重點(diǎn)，是個(gè)人信息在數(shù)據(jù)流轉(zhuǎn)時(shí)，企業(yè)所要擔(dān)負(fù)的責(zé)任。對(duì)企業(yè)來(lái)說(shuō)，理想的結(jié)果是企業(yè)只負(fù)責(zé)自己掌握的個(gè)人數(shù)據(jù)不出現(xiàn)泄漏、濫用等安全問題，而經(jīng)過用戶授權(quán)，流轉(zhuǎn)到第三方的數(shù)據(jù)出現(xiàn)問題時(shí)，企業(yè)不承擔(dān)法律責(zé)任，即，前普遍的存在授權(quán)鏈即可的觀念。

而學(xué)術(shù)專家更傾向于，企業(yè)應(yīng)該對(duì)自身搭建的產(chǎn)業(yè)鏈上下游協(xié)同能力進(jìn)行充分的評(píng)估，并為合作伙伴承擔(dān)責(zé)任。例如劍橋分析曾經(jīng)利用Facebook上5000萬(wàn)名用戶資料進(jìn)行分析并進(jìn)而影響美國(guó)大選，F(xiàn)acebook就因此遭到美國(guó)、歐盟等多方質(zhì)詢。

一個(gè)現(xiàn)實(shí)是，即使過程完全合規(guī)，絕大部分用戶實(shí)際并不會(huì)去看動(dòng)輒幾千字的用戶協(xié)議，因此‘同意’并不意味著‘知情’。北京大學(xué)金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到，我國(guó)個(gè)人信息收集的原則是‘告知—同意’規(guī)則，即信息控制者和信息處理者在收集、處理數(shù)據(jù)前需事先告知用戶，并得到用戶明示或默示的許可同意。這一規(guī)則源于美國(guó)，被美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）認(rèn)定為線上隱私保護(hù)的‘最為重要的原則’。并且有告知成本低廉（只需發(fā)布統(tǒng)一的隱私條款），尊重個(gè)人意愿，監(jiān)管模式簡(jiǎn)單等優(yōu)點(diǎn)。

但實(shí)踐證明，很少有用戶閱讀隱私條款，即使用戶閱讀了冗長(zhǎng)的隱私條款，也很難理解復(fù)雜的法律術(shù)語(yǔ)以及隱私條款的含義，最后，用戶難做出理性的判斷。尤其當(dāng)談判桌的另一端，坐著的是理性、商業(yè)化、法務(wù)體系健全的企業(yè)時(shí)，看似均衡的天平就完全失衡了。

很多消費(fèi)者甚至沒有注意到這一行字

因此，讓企業(yè)承擔(dān)更多的責(zé)任，類似在追求‘結(jié)果正義’，而對(duì)企業(yè)來(lái)說(shuō)，這意味著更高的成本和風(fēng)險(xiǎn)，是難以接受的。因此，直到最后，爭(zhēng)論雙方也都沒有說(shuō)服另一方，只能在許多條款中達(dá)成妥協(xié)?！栽凇兑?guī)范》里，并沒有很好地去解決數(shù)據(jù)流轉(zhuǎn)過程中數(shù)據(jù)保護(hù)的責(zé)任?！嵄笳f(shuō)。

不過即使如此，在《規(guī)范》起草組成員、中國(guó)信息安全研究院副院長(zhǎng)左曉棟看來(lái)，這依舊是有著積極的意義。盡管《規(guī)范》是國(guó)家推薦性標(biāo)準(zhǔn)，不是強(qiáng)制性標(biāo)準(zhǔn)，不具備法律強(qiáng)制力，缺少實(shí)踐性，也缺少技術(shù)上的可執(zhí)行性。但至少填補(bǔ)了我國(guó)相應(yīng)體系的部分空白，為判斷合規(guī)性提供了一個(gè)標(biāo)準(zhǔn)，而且可以通過實(shí)踐不斷地改進(jìn)，也為以后相關(guān)法律的起草、發(fā)布和實(shí)施奠定基礎(chǔ)。

中國(guó)用戶的隱私意識(shí)正在不斷覺醒，《諾頓網(wǎng)絡(luò)安全報(bào)告》中數(shù)據(jù)顯示，85%的中國(guó)受訪者比以往更關(guān)注自己的個(gè)人信息安全，90%希望為之做些什么，但66%的都不知道能怎么做。目前缺失的，正是相應(yīng)法律法規(guī)的建設(shè)，以及企業(yè)對(duì)用戶信息保護(hù)的重視和積極參與。隨著整體生態(tài)的不斷改善，一個(gè)重視用戶隱私安全的商業(yè)環(huán)境，將更有利于良性的商業(yè)競(jìng)爭(zhēng)和發(fā)展，也最終將反饋給整個(gè)社會(huì)。

參考文獻(xiàn)：

ISACA《網(wǎng)絡(luò)安全實(shí)施框架指南》

諾頓：《諾頓網(wǎng)絡(luò)安全調(diào)查報(bào)告》

中國(guó)青年報(bào)：《信息安全技術(shù)個(gè)人信息安全規(guī)范》出臺(tái)的背后

360法律研究院：《國(guó)內(nèi)外看CCPA與GDPR的對(duì)比》

錢江晚報(bào)：《315過后，我們的隱私數(shù)據(jù)誰(shuí)來(lái)保護(hù)》