你的數(shù)據(jù)隱私什么時候才能受到保護(hù)？

隱私泄露有時是黑客的‘杰作’，但更多時候，那些被我們信任的企業(yè)，往往成為泄露數(shù)據(jù)的源頭。即便在涉及個人信息交易時，我們都會謹(jǐn)慎選擇規(guī)模較大的正規(guī)企業(yè)，最后卻像是全世界都知道了我們的隱私。

房屋中介詢問租期到了要不要找出租房，招聘網(wǎng)站詢問要不要換工作，網(wǎng)校詢問要不要考注冊會計師，移民機(jī)構(gòu)詢問要不要赴海外投資……偶有詐騙電話，情節(jié)拙劣讓人哭笑不得。顯而易見，我們的隱私數(shù)據(jù)被他人獲取了，但是如何獲取，被盜或是被買賣，該如何保護(hù)這些數(shù)據(jù)，是否有法可循？對于大眾來說，至今仍是無解謎題。

從無到有的法律建設(shè)

不久前諾頓委托獨立研究機(jī)構(gòu)TheHarrisPoll對全球16個市場，超過16000名18歲以上個人用戶進(jìn)行在線調(diào)查，發(fā)布了《2018年諾頓網(wǎng)絡(luò)安全調(diào)查報告》。對中國過用戶的調(diào)查結(jié)果顯示，2018年有超過五分之一的中國消費者曾遭遇身份盜竊，近7300萬人受到影響。

在今年的315晚會中，電話詐騙產(chǎn)業(yè)鏈被曝光，涉及APP安裝（隱私截?。?、探針盒子（隱私下載）、大數(shù)據(jù)分析（隱私數(shù)據(jù)整理）和AI語音電話騷擾（隱私變現(xiàn)）等一系列對個人信息有組織的侵犯。個人信息問題首次出現(xiàn)在315晚會是在2012年，中國電信被曝群發(fā)垃圾短信出售信息通道，之后更是多年榜上有名；2013年，高德地圖被曝位置共享服務(wù)會違規(guī)收集用戶信息，網(wǎng)易郵箱被曝根據(jù)用戶郵件內(nèi)容分析用戶習(xí)慣并發(fā)送精準(zhǔn)廣告；2014年，大唐旗下高鴻等公司被曝向智能手機(jī)植入惡意程序等問題，不僅會惡意扣費，還會泄露用戶的個人信息；2015年，中國移動、鐵通被曝為騷擾電話提供支持，招商銀行、工商銀行等銀行內(nèi)部員工被曝泄露出售客戶信息……

315晚會上對電信詐騙的報道

被點名的企業(yè)不乏知名企業(yè)和行業(yè)巨頭，恰如冰山一角，過去十幾年中不為人知的對用戶數(shù)據(jù)的濫用只會更多。這讓中國人對企業(yè)的信任不斷下降的同時，對隱私泄露的不安也日益提升。諾頓的報告顯示，50%的中國受訪者對政府保護(hù)個人信息的能力表示信任，對金融機(jī)構(gòu)只有24%，而對電商只有11%，社交媒體更是低至8%。

諾頓報告中中國受訪者對機(jī)構(gòu)的信任度

雖然互聯(lián)網(wǎng)便利了人們的生活，但消費者在獲得便利的同時，安全感卻再在逐漸消失。針對個人信息泄露、騷擾信息泛濫的情況，2014年3月重新修訂的《消費者權(quán)益保護(hù)法》，規(guī)定了經(jīng)營者收集、使用消費者個人信息的原則。其中第29條第1款規(guī)定：‘經(jīng)營者收集、使用消費者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費者同意。經(jīng)營者收集、使用消費者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息?！?款規(guī)定：‘經(jīng)營者未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。’

這一立法顯示，隱私保護(hù)在我國已經(jīng)成為重要的社會問題，民眾作為消費者的權(quán)益受到了侵犯。實際早在我國立法之前，這一問題在國際上就得到了廣泛的關(guān)注。早在1980年，經(jīng)濟(jì)合作與發(fā)展組織（OECD）就頒布了《隱私保護(hù)與個人信息跨國流通指南》，隨著信息化程度的不斷提高，世界各國與地區(qū)也紛紛出臺相應(yīng)法律，比如2012年新加坡國會發(fā)布的《個人數(shù)據(jù)保護(hù)法》，2013年4月25日香港特區(qū)發(fā)布的《香港隱私保護(hù)條例》等。

相比之下，我國在個人信息保護(hù)方面的法律法規(guī)建設(shè)，正從無到有，處于不斷完善的階段，僅僅《消費者權(quán)益保護(hù)法》的少數(shù)條款顯然不足以覆蓋范圍越來越大的隱私保護(hù)問題。2017年6月1日，我國正式實施《網(wǎng)絡(luò)安全法》，這是我國第一部全面規(guī)范網(wǎng)絡(luò)安全管理方面問題的基礎(chǔ)性法律，共有11條條款定義個人信息保護(hù)的保護(hù)規(guī)定。其中第22條、41條、44條和45條，要求網(wǎng)絡(luò)運營者收集、使用個人信息時，要向用戶明示并取得同意，不得超范圍濫用個人信息，不得已非法方式獲取、提供和出售個人信息。第43條規(guī)定，個人有權(quán)要求網(wǎng)絡(luò)運營者刪除和更改其個人信息。

不過《網(wǎng)絡(luò)安全法》大多只是原則性規(guī)定，且個人信息保護(hù)主要集中在第四章網(wǎng)絡(luò)信息安全，仍有許多不足。而一年后實施的歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR），被認(rèn)為是史上最嚴(yán)苛的數(shù)據(jù)保護(hù)法案，以及隨后在2018年6月28日經(jīng)加州州長簽署公布的《加利福尼亞州消費者隱私保護(hù)法案》（CCPA），條款都更加全面和細(xì)化，為我們提供了可供參考的范本。

對比我國《網(wǎng)安》法中相應(yīng)條款，GDPR和CCPA都對個人信息作了比較廣泛地定義，強(qiáng)調(diào)個用戶對個人信息的自決權(quán)，新增了數(shù)據(jù)可攜帶權(quán)、刪除個人信息權(quán)等，并規(guī)范了企業(yè)處理數(shù)據(jù)的行為，比如要求企業(yè)告知用戶收集、使用、共享數(shù)據(jù)的具體信息，強(qiáng)化了企業(yè)和數(shù)據(jù)相關(guān)的責(zé)任，并設(shè)立較為嚴(yán)格的處罰，但也設(shè)置了多種合規(guī)路徑，鼓勵數(shù)據(jù)以合法的途徑流通。

兩者間的不同之處在于，GDPR和《網(wǎng)絡(luò)安全法》有所類似，都是基于監(jiān)管者的立場，強(qiáng)調(diào)有關(guān)責(zé)任主體主動規(guī)范數(shù)據(jù)處理的行為，對數(shù)據(jù)保護(hù)的規(guī)定更為全面；CCPA更側(cè)重規(guī)范數(shù)據(jù)的商業(yè)化利用，基本是消費者隱私保護(hù)的內(nèi)容，和《消費者權(quán)益保護(hù)法》的出發(fā)點類似。相比較之下，GDPR要更嚴(yán)格和全面，涉及的對象范圍也更廣，對象是任何擁有歐盟公民個人數(shù)據(jù)的組織；CCPA主要針對達(dá)到相應(yīng)體量（年度總收入超過2500萬美元，或為商業(yè)目的購買、出售、分享超過50000個消費者、家庭或設(shè)備的個人信息，或通過銷售消費者個人數(shù)據(jù)取得的年收入超過總收入50%）的處理加州居民個人數(shù)據(jù)的營利性實體。