你的數據隱私什么時(shí)候才能受到保護？

在規定企業(yè)合規使用用戶(hù)數據的界限上，GDPR在第六條規定，企業(yè)需要主動(dòng)獲取數據主體即用戶(hù)的明確同意，個(gè)人對其數據有知情權，刪除個(gè)人數據、限制處理個(gè)人數據等相關(guān)權利，同時(shí)有‘合法利益’的概念。在預防犯罪、欺詐監測、員工背景調查和收集分析明星數據等情況下，證明‘合法利益’的企業(yè)可以不經(jīng)同意合法處理個(gè)人數據；在CCPA中沒(méi)有‘合法利益’這一概念，消費者有權要求企業(yè)披露收集個(gè)人信息的類(lèi)別和具體要求、目的以及信息共享的第三方，并有權選擇不出售個(gè)人信息和要求企業(yè)刪除收集的個(gè)人信息等。360法律研究院將兩者對個(gè)人數據使用的法案內容歸納為，GDPR規定個(gè)人數據的使用‘原則上禁止，有合法授權時(shí)允許’；而CCPA則是‘原則上允許，有條件禁止’。

對于數據跨境，GDPR的有嚴格的規定，而CCPA沒(méi)有進(jìn)行限制，這與美國相對鼓勵數據流通有關(guān)。但對于違規行為，處罰的力度都很大。GDPR規定企業(yè)會(huì )面臨最高2000萬(wàn)歐元或上一財年全球營(yíng)業(yè)額4%的行政處罰（以較高者為準）；而CCPA規定企業(yè)會(huì )面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的罰款。

自GDPR開(kāi)始執行之后，Facebook、Google等巨頭都相繼收到巨額罰單，對于隱私保護的政策爭議也一直未停止。3月下旬，阿里巴巴羅漢堂曾邀請全球頂尖學(xué)者進(jìn)行三天閉門(mén)的會(huì )議，討論隱私與數據治理的問(wèn)題。據《錢(qián)江晚報》報道，即使是來(lái)自歐美的學(xué)者，也普遍對GDPR表達了一些擔心。比如法國圖盧茲經(jīng)濟學(xué)院教授JeanTirole就認為，GDPR太過(guò)復雜，如果不允許收集數據，就類(lèi)似于‘想倒掉洗澡水，把寶寶也潑出去了’，甚至有學(xué)者將150多年前英國頒布的《紅旗法案》與之相比較，《紅旗法案》旨在保護汽車(chē)司機和乘客的安全，卻也讓英國錯過(guò)了汽車(chē)產(chǎn)業(yè)的騰飛。美國伯克利大學(xué)教授JimDempsey則表示，現在針對隱私的政策大多基于假設，‘我們現在缺乏足夠的經(jīng)濟學(xué)、社會(huì )學(xué)層面對隱私問(wèn)題的研究’。亞洲商業(yè)法數據隱私項目負責人ClarisseGirot說(shuō)：‘關(guān)于對數據的保護，一個(gè)國家單槍匹馬是不夠的，我們需要所有的國家、所有的司法管轄區域，共同的相互協(xié)作。目前，什么叫相互協(xié)作、相互運作、相互運營(yíng)，這些詞眼對我來(lái)說(shuō)也并不是特別清楚，但我相信未來(lái)是清楚的?！?/p>

博弈中曲折前進(jìn)

回到國內，在《網(wǎng)安》法之后，我國同樣在不斷推進(jìn)相關(guān)的制度建設?！秱€(gè)人信息安全規范》就是目前主要針對個(gè)人隱私保護領(lǐng)域，進(jìn)展較快的標準。雖然不具備強制性，但對處理個(gè)人信息和各類(lèi)組織提出了具體的保護要求，也為制定和實(shí)施個(gè)人信息保護相關(guān)法律法規奠定了基礎。

今年2月初，經(jīng)過(guò)修正，由國家市場(chǎng)監督管理總局和中國國家標準化管理委員會(huì )發(fā)布的《信息安全技術(shù)個(gè)人信息安全規范（草案）》針對個(gè)人信息面臨的安全問(wèn)題，規范了個(gè)人信息控制者在收集、保存、使用、共享、轉讓、公開(kāi)披露等信息處理環(huán)節中的相關(guān)行為。

在這份標準之中，同樣充滿(mǎn)了利益的博弈和妥協(xié)。從標準起草單位和主要起草人來(lái)看，既有中國電子技術(shù)標準化研究院、清華大學(xué)、公安部第一研究所等政府、學(xué)術(shù)機構，也有阿里巴巴（北京）軟件服務(wù)公司、深圳騰訊計算機系統有限公司、阿里云計算有限公司、華為技術(shù)有限公司等企業(yè)。

據《中國青年報》報道，‘企業(yè)對于個(gè)人信息保護責任邊界到底在哪兒’，是起草組爭論的核心問(wèn)題，起草組成員、阿里巴巴安全部總監鄭斌回憶，這個(gè)問(wèn)題起草組討論了近一年的時(shí)間?！覀兠?jì)蓚€(gè)月左右會(huì )開(kāi)一次討論會(huì )，大概討論了五六次，每一次這個(gè)問(wèn)題都會(huì )提出來(lái)?！?/p>

爭論的重點(diǎn)，是個(gè)人信息在數據流轉時(shí)，企業(yè)所要擔負的責任。對企業(yè)來(lái)說(shuō)，理想的結果是企業(yè)只負責自己掌握的個(gè)人數據不出現泄漏、濫用等安全問(wèn)題，而經(jīng)過(guò)用戶(hù)授權，流轉到第三方的數據出現問(wèn)題時(shí)，企業(yè)不承擔法律責任，即，前普遍的存在授權鏈即可的觀(guān)念。

而學(xué)術(shù)專(zhuān)家更傾向于，企業(yè)應該對自身搭建的產(chǎn)業(yè)鏈上下游協(xié)同能力進(jìn)行充分的評估，并為合作伙伴承擔責任。例如劍橋分析曾經(jīng)利用Facebook上5000萬(wàn)名用戶(hù)資料進(jìn)行分析并進(jìn)而影響美國大選，Facebook就因此遭到美國、歐盟等多方質(zhì)詢(xún)。

一個(gè)現實(shí)是，即使過(guò)程完全合規，絕大部分用戶(hù)實(shí)際并不會(huì )去看動(dòng)輒幾千字的用戶(hù)協(xié)議，因此‘同意’并不意味著(zhù)‘知情’。北京大學(xué)金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到，我國個(gè)人信息收集的原則是‘告知—同意’規則，即信息控制者和信息處理者在收集、處理數據前需事先告知用戶(hù)，并得到用戶(hù)明示或默示的許可同意。這一規則源于美國，被美國聯(lián)邦貿易委員會(huì )（FTC）認定為線(xiàn)上隱私保護的‘最為重要的原則’。并且有告知成本低廉（只需發(fā)布統一的隱私條款），尊重個(gè)人意愿，監管模式簡(jiǎn)單等優(yōu)點(diǎn)。

但實(shí)踐證明，很少有用戶(hù)閱讀隱私條款，即使用戶(hù)閱讀了冗長(cháng)的隱私條款，也很難理解復雜的法律術(shù)語(yǔ)以及隱私條款的含義，最后，用戶(hù)難做出理性的判斷。尤其當談判桌的另一端，坐著(zhù)的是理性、商業(yè)化、法務(wù)體系健全的企業(yè)時(shí)，看似均衡的天平就完全失衡了。

很多消費者甚至沒(méi)有注意到這一行字

因此，讓企業(yè)承擔更多的責任，類(lèi)似在追求‘結果正義’，而對企業(yè)來(lái)說(shuō)，這意味著(zhù)更高的成本和風(fēng)險，是難以接受的。因此，直到最后，爭論雙方也都沒(méi)有說(shuō)服另一方，只能在許多條款中達成妥協(xié)?！栽凇兑幏丁防?，并沒(méi)有很好地去解決數據流轉過(guò)程中數據保護的責任?！嵄笳f(shuō)。

不過(guò)即使如此，在《規范》起草組成員、中國信息安全研究院副院長(cháng)左曉棟看來(lái)，這依舊是有著(zhù)積極的意義。盡管《規范》是國家推薦性標準，不是強制性標準，不具備法律強制力，缺少實(shí)踐性，也缺少技術(shù)上的可執行性。但至少填補了我國相應體系的部分空白，為判斷合規性提供了一個(gè)標準，而且可以通過(guò)實(shí)踐不斷地改進(jìn)，也為以后相關(guān)法律的起草、發(fā)布和實(shí)施奠定基礎。

中國用戶(hù)的隱私意識正在不斷覺(jué)醒，《諾頓網(wǎng)絡(luò )安全報告》中數據顯示，85%的中國受訪(fǎng)者比以往更關(guān)注自己的個(gè)人信息安全，90%希望為之做些什么，但66%的都不知道能怎么做。目前缺失的，正是相應法律法規的建設，以及企業(yè)對用戶(hù)信息保護的重視和積極參與。隨著(zhù)整體生態(tài)的不斷改善，一個(gè)重視用戶(hù)隱私安全的商業(yè)環(huán)境，將更有利于良性的商業(yè)競爭和發(fā)展，也最終將反饋給整個(gè)社會(huì )。

參考文獻：

ISACA《網(wǎng)絡(luò )安全實(shí)施框架指南》

諾頓：《諾頓網(wǎng)絡(luò )安全調查報告》

中國青年報：《信息安全技術(shù)個(gè)人信息安全規范》出臺的背后

360法律研究院：《國內外看CCPA與GDPR的對比》

錢(qián)江晚報：《315過(guò)后，我們的隱私數據誰(shuí)來(lái)保護》