你的數(shù)據(jù)隱私什么時候才能受到保護？

在規(guī)定企業(yè)合規(guī)使用用戶數(shù)據(jù)的界限上，GDPR在第六條規(guī)定，企業(yè)需要主動獲取數(shù)據(jù)主體即用戶的明確同意，個人對其數(shù)據(jù)有知情權(quán)，刪除個人數(shù)據(jù)、限制處理個人數(shù)據(jù)等相關(guān)權(quán)利，同時有‘合法利益’的概念。在預(yù)防犯罪、欺詐監(jiān)測、員工背景調(diào)查和收集分析明星數(shù)據(jù)等情況下，證明‘合法利益’的企業(yè)可以不經(jīng)同意合法處理個人數(shù)據(jù)；在CCPA中沒有‘合法利益’這一概念，消費者有權(quán)要求企業(yè)披露收集個人信息的類別和具體要求、目的以及信息共享的第三方，并有權(quán)選擇不出售個人信息和要求企業(yè)刪除收集的個人信息等。360法律研究院將兩者對個人數(shù)據(jù)使用的法案內(nèi)容歸納為，GDPR規(guī)定個人數(shù)據(jù)的使用‘原則上禁止，有合法授權(quán)時允許’；而CCPA則是‘原則上允許，有條件禁止’。

對于數(shù)據(jù)跨境，GDPR的有嚴格的規(guī)定，而CCPA沒有進行限制，這與美國相對鼓勵數(shù)據(jù)流通有關(guān)。但對于違規(guī)行為，處罰的力度都很大。GDPR規(guī)定企業(yè)會面臨最高2000萬歐元或上一財年全球營業(yè)額4%的行政處罰（以較高者為準(zhǔn)）；而CCPA規(guī)定企業(yè)會面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的罰款。

自GDPR開始執(zhí)行之后，F(xiàn)acebook、Google等巨頭都相繼收到巨額罰單，對于隱私保護的政策爭議也一直未停止。3月下旬，阿里巴巴羅漢堂曾邀請全球頂尖學(xué)者進行三天閉門的會議，討論隱私與數(shù)據(jù)治理的問題。據(jù)《錢江晚報》報道，即使是來自歐美的學(xué)者，也普遍對GDPR表達了一些擔(dān)心。比如法國圖盧茲經(jīng)濟學(xué)院教授JeanTirole就認為，GDPR太過復(fù)雜，如果不允許收集數(shù)據(jù)，就類似于‘想倒掉洗澡水，把寶寶也潑出去了’，甚至有學(xué)者將150多年前英國頒布的《紅旗法案》與之相比較，《紅旗法案》旨在保護汽車司機和乘客的安全，卻也讓英國錯過了汽車產(chǎn)業(yè)的騰飛。美國伯克利大學(xué)教授JimDempsey則表示，現(xiàn)在針對隱私的政策大多基于假設(shè)，‘我們現(xiàn)在缺乏足夠的經(jīng)濟學(xué)、社會學(xué)層面對隱私問題的研究’。亞洲商業(yè)法數(shù)據(jù)隱私項目負責(zé)人ClarisseGirot說：‘關(guān)于對數(shù)據(jù)的保護，一個國家單槍匹馬是不夠的，我們需要所有的國家、所有的司法管轄區(qū)域，共同的相互協(xié)作。目前，什么叫相互協(xié)作、相互運作、相互運營，這些詞眼對我來說也并不是特別清楚，但我相信未來是清楚的?！?/p>

博弈中曲折前進

回到國內(nèi)，在《網(wǎng)安》法之后，我國同樣在不斷推進相關(guān)的制度建設(shè)?！秱€人信息安全規(guī)范》就是目前主要針對個人隱私保護領(lǐng)域，進展較快的標(biāo)準(zhǔn)。雖然不具備強制性，但對處理個人信息和各類組織提出了具體的保護要求，也為制定和實施個人信息保護相關(guān)法律法規(guī)奠定了基礎(chǔ)。

今年2月初，經(jīng)過修正，由國家市場監(jiān)督管理總局和中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范（草案）》針對個人信息面臨的安全問題，規(guī)范了個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。

在這份標(biāo)準(zhǔn)之中，同樣充滿了利益的博弈和妥協(xié)。從標(biāo)準(zhǔn)起草單位和主要起草人來看，既有中國電子技術(shù)標(biāo)準(zhǔn)化研究院、清華大學(xué)、公安部第一研究所等政府、學(xué)術(shù)機構(gòu)，也有阿里巴巴（北京）軟件服務(wù)公司、深圳騰訊計算機系統(tǒng)有限公司、阿里云計算有限公司、華為技術(shù)有限公司等企業(yè)。

據(jù)《中國青年報》報道，‘企業(yè)對于個人信息保護責(zé)任邊界到底在哪兒’，是起草組爭論的核心問題，起草組成員、阿里巴巴安全部總監(jiān)鄭斌回憶，這個問題起草組討論了近一年的時間?！覀兠績蓚€月左右會開一次討論會，大概討論了五六次，每一次這個問題都會提出來?！?/p>

爭論的重點，是個人信息在數(shù)據(jù)流轉(zhuǎn)時，企業(yè)所要擔(dān)負的責(zé)任。對企業(yè)來說，理想的結(jié)果是企業(yè)只負責(zé)自己掌握的個人數(shù)據(jù)不出現(xiàn)泄漏、濫用等安全問題，而經(jīng)過用戶授權(quán)，流轉(zhuǎn)到第三方的數(shù)據(jù)出現(xiàn)問題時，企業(yè)不承擔(dān)法律責(zé)任，即，前普遍的存在授權(quán)鏈即可的觀念。

而學(xué)術(shù)專家更傾向于，企業(yè)應(yīng)該對自身搭建的產(chǎn)業(yè)鏈上下游協(xié)同能力進行充分的評估，并為合作伙伴承擔(dān)責(zé)任。例如劍橋分析曾經(jīng)利用Facebook上5000萬名用戶資料進行分析并進而影響美國大選，F(xiàn)acebook就因此遭到美國、歐盟等多方質(zhì)詢。

一個現(xiàn)實是，即使過程完全合規(guī)，絕大部分用戶實際并不會去看動輒幾千字的用戶協(xié)議，因此‘同意’并不意味著‘知情’。北京大學(xué)金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到，我國個人信息收集的原則是‘告知—同意’規(guī)則，即信息控制者和信息處理者在收集、處理數(shù)據(jù)前需事先告知用戶，并得到用戶明示或默示的許可同意。這一規(guī)則源于美國，被美國聯(lián)邦貿(mào)易委員會（FTC）認定為線上隱私保護的‘最為重要的原則’。并且有告知成本低廉（只需發(fā)布統(tǒng)一的隱私條款），尊重個人意愿，監(jiān)管模式簡單等優(yōu)點。

但實踐證明，很少有用戶閱讀隱私條款，即使用戶閱讀了冗長的隱私條款，也很難理解復(fù)雜的法律術(shù)語以及隱私條款的含義，最后，用戶難做出理性的判斷。尤其當(dāng)談判桌的另一端，坐著的是理性、商業(yè)化、法務(wù)體系健全的企業(yè)時，看似均衡的天平就完全失衡了。

很多消費者甚至沒有注意到這一行字

因此，讓企業(yè)承擔(dān)更多的責(zé)任，類似在追求‘結(jié)果正義’，而對企業(yè)來說，這意味著更高的成本和風(fēng)險，是難以接受的。因此，直到最后，爭論雙方也都沒有說服另一方，只能在許多條款中達成妥協(xié)?！栽凇兑?guī)范》里，并沒有很好地去解決數(shù)據(jù)流轉(zhuǎn)過程中數(shù)據(jù)保護的責(zé)任?！嵄笳f。

不過即使如此，在《規(guī)范》起草組成員、中國信息安全研究院副院長左曉棟看來，這依舊是有著積極的意義。盡管《規(guī)范》是國家推薦性標(biāo)準(zhǔn)，不是強制性標(biāo)準(zhǔn)，不具備法律強制力，缺少實踐性，也缺少技術(shù)上的可執(zhí)行性。但至少填補了我國相應(yīng)體系的部分空白，為判斷合規(guī)性提供了一個標(biāo)準(zhǔn)，而且可以通過實踐不斷地改進，也為以后相關(guān)法律的起草、發(fā)布和實施奠定基礎(chǔ)。

中國用戶的隱私意識正在不斷覺醒，《諾頓網(wǎng)絡(luò)安全報告》中數(shù)據(jù)顯示，85%的中國受訪者比以往更關(guān)注自己的個人信息安全，90%希望為之做些什么，但66%的都不知道能怎么做。目前缺失的，正是相應(yīng)法律法規(guī)的建設(shè)，以及企業(yè)對用戶信息保護的重視和積極參與。隨著整體生態(tài)的不斷改善，一個重視用戶隱私安全的商業(yè)環(huán)境，將更有利于良性的商業(yè)競爭和發(fā)展，也最終將反饋給整個社會。

參考文獻：

ISACA《網(wǎng)絡(luò)安全實施框架指南》

諾頓：《諾頓網(wǎng)絡(luò)安全調(diào)查報告》

中國青年報：《信息安全技術(shù)個人信息安全規(guī)范》出臺的背后

360法律研究院：《國內(nèi)外看CCPA與GDPR的對比》

錢江晚報：《315過后，我們的隱私數(shù)據(jù)誰來保護》