你的數據隱私什么時(shí)候才能受到保護？

隱私泄露有時(shí)是黑客的‘杰作’，但更多時(shí)候，那些被我們信任的企業(yè)，往往成為泄露數據的源頭。即便在涉及個(gè)人信息交易時(shí)，我們都會(huì )謹慎選擇規模較大的正規企業(yè)，最后卻像是全世界都知道了我們的隱私。

房屋中介詢(xún)問(wèn)租期到了要不要找出租房，招聘網(wǎng)站詢(xún)問(wèn)要不要換工作，網(wǎng)校詢(xún)問(wèn)要不要考注冊會(huì )計師，移民機構詢(xún)問(wèn)要不要赴海外投資……偶有詐騙電話(huà)，情節拙劣讓人哭笑不得。顯而易見(jiàn)，我們的隱私數據被他人獲取了，但是如何獲取，被盜或是被買(mǎi)賣(mài)，該如何保護這些數據，是否有法可循？對于大眾來(lái)說(shuō)，至今仍是無(wú)解謎題。

從無(wú)到有的法律建設

不久前諾頓委托獨立研究機構TheHarrisPoll對全球16個(gè)市場(chǎng)，超過(guò)16000名18歲以上個(gè)人用戶(hù)進(jìn)行在線(xiàn)調查，發(fā)布了《2018年諾頓網(wǎng)絡(luò )安全調查報告》。對中國過(guò)用戶(hù)的調查結果顯示，2018年有超過(guò)五分之一的中國消費者曾遭遇身份盜竊，近7300萬(wàn)人受到影響。

在今年的315晚會(huì )中，電話(huà)詐騙產(chǎn)業(yè)鏈被曝光，涉及APP安裝（隱私截?。?、探針盒子（隱私下載）、大數據分析（隱私數據整理）和AI語(yǔ)音電話(huà)騷擾（隱私變現）等一系列對個(gè)人信息有組織的侵犯。個(gè)人信息問(wèn)題首次出現在315晚會(huì )是在2012年，中國電信被曝群發(fā)垃圾短信出售信息通道，之后更是多年榜上有名；2013年，高德地圖被曝位置共享服務(wù)會(huì )違規收集用戶(hù)信息，網(wǎng)易郵箱被曝根據用戶(hù)郵件內容分析用戶(hù)習慣并發(fā)送精準廣告；2014年，大唐旗下高鴻等公司被曝向智能手機植入惡意程序等問(wèn)題，不僅會(huì )惡意扣費，還會(huì )泄露用戶(hù)的個(gè)人信息；2015年，中國移動(dòng)、鐵通被曝為騷擾電話(huà)提供支持，招商銀行、工商銀行等銀行內部員工被曝泄露出售客戶(hù)信息……

315晚會(huì )上對電信詐騙的報道

被點(diǎn)名的企業(yè)不乏知名企業(yè)和行業(yè)巨頭，恰如冰山一角，過(guò)去十幾年中不為人知的對用戶(hù)數據的濫用只會(huì )更多。這讓中國人對企業(yè)的信任不斷下降的同時(shí)，對隱私泄露的不安也日益提升。諾頓的報告顯示，50%的中國受訪(fǎng)者對政府保護個(gè)人信息的能力表示信任，對金融機構只有24%，而對電商只有11%，社交媒體更是低至8%。

諾頓報告中中國受訪(fǎng)者對機構的信任度

雖然互聯(lián)網(wǎng)便利了人們的生活，但消費者在獲得便利的同時(shí)，安全感卻再在逐漸消失。針對個(gè)人信息泄露、騷擾信息泛濫的情況，2014年3月重新修訂的《消費者權益保護法》，規定了經(jīng)營(yíng)者收集、使用消費者個(gè)人信息的原則。其中第29條第1款規定：‘經(jīng)營(yíng)者收集、使用消費者個(gè)人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費者同意。經(jīng)營(yíng)者收集、使用消費者個(gè)人信息，應當公開(kāi)其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息?！?款規定：‘經(jīng)營(yíng)者未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息?！?/p>

這一立法顯示，隱私保護在我國已經(jīng)成為重要的社會(huì )問(wèn)題，民眾作為消費者的權益受到了侵犯。實(shí)際早在我國立法之前，這一問(wèn)題在國際上就得到了廣泛的關(guān)注。早在1980年，經(jīng)濟合作與發(fā)展組織（OECD）就頒布了《隱私保護與個(gè)人信息跨國流通指南》，隨著(zhù)信息化程度的不斷提高，世界各國與地區也紛紛出臺相應法律，比如2012年新加坡國會(huì )發(fā)布的《個(gè)人數據保護法》，2013年4月25日香港特區發(fā)布的《香港隱私保護條例》等。

相比之下，我國在個(gè)人信息保護方面的法律法規建設，正從無(wú)到有，處于不斷完善的階段，僅僅《消費者權益保護法》的少數條款顯然不足以覆蓋范圍越來(lái)越大的隱私保護問(wèn)題。2017年6月1日，我國正式實(shí)施《網(wǎng)絡(luò )安全法》，這是我國第一部全面規范網(wǎng)絡(luò )安全管理方面問(wèn)題的基礎性法律，共有11條條款定義個(gè)人信息保護的保護規定。其中第22條、41條、44條和45條，要求網(wǎng)絡(luò )運營(yíng)者收集、使用個(gè)人信息時(shí)，要向用戶(hù)明示并取得同意，不得超范圍濫用個(gè)人信息，不得已非法方式獲取、提供和出售個(gè)人信息。第43條規定，個(gè)人有權要求網(wǎng)絡(luò )運營(yíng)者刪除和更改其個(gè)人信息。

不過(guò)《網(wǎng)絡(luò )安全法》大多只是原則性規定，且個(gè)人信息保護主要集中在第四章網(wǎng)絡(luò )信息安全，仍有許多不足。而一年后實(shí)施的歐盟《一般數據保護條例》（GDPR），被認為是史上最嚴苛的數據保護法案，以及隨后在2018年6月28日經(jīng)加州州長(cháng)簽署公布的《加利福尼亞州消費者隱私保護法案》（CCPA），條款都更加全面和細化，為我們提供了可供參考的范本。

對比我國《網(wǎng)安》法中相應條款，GDPR和CCPA都對個(gè)人信息作了比較廣泛地定義，強調個(gè)用戶(hù)對個(gè)人信息的自決權，新增了數據可攜帶權、刪除個(gè)人信息權等，并規范了企業(yè)處理數據的行為，比如要求企業(yè)告知用戶(hù)收集、使用、共享數據的具體信息，強化了企業(yè)和數據相關(guān)的責任，并設立較為嚴格的處罰，但也設置了多種合規路徑，鼓勵數據以合法的途徑流通。

兩者間的不同之處在于，GDPR和《網(wǎng)絡(luò )安全法》有所類(lèi)似，都是基于監管者的立場(chǎng)，強調有關(guān)責任主體主動(dòng)規范數據處理的行為，對數據保護的規定更為全面；CCPA更側重規范數據的商業(yè)化利用，基本是消費者隱私保護的內容，和《消費者權益保護法》的出發(fā)點(diǎn)類(lèi)似。相比較之下，GDPR要更嚴格和全面，涉及的對象范圍也更廣，對象是任何擁有歐盟公民個(gè)人數據的組織；CCPA主要針對達到相應體量（年度總收入超過(guò)2500萬(wàn)美元，或為商業(yè)目的購買(mǎi)、出售、分享超過(guò)50000個(gè)消費者、家庭或設備的個(gè)人信息，或通過(guò)銷(xiāo)售消費者個(gè)人數據取得的年收入超過(guò)總收入50%）的處理加州居民個(gè)人數據的營(yíng)利性實(shí)體。