隱私泄露有時是黑客的「杰作」,但更多時候,那些被我們信任的企業(yè),往往成為泄露數(shù)據(jù)的源頭。即便在涉及個人信息交易時,我們都會謹慎選擇規(guī)模較大的正規(guī)企業(yè),最后卻像是全世界都知道了我們的隱私。
房屋中介詢問租期到了要不要找出租房,招聘網(wǎng)站詢問要不要換工作,網(wǎng)校詢問要不要考注冊會計師,移民機構(gòu)詢問要不要赴海外投資……偶有詐騙電話,情節(jié)拙劣讓人哭笑不得。顯而易見,我們的隱私數(shù)據(jù)被他人獲取了,但是如何獲取,被盜或是被買賣,該如何保護這些數(shù)據(jù),是否有法可循?對于大眾來說,至今仍是無解謎題。
從無到有的法律建設(shè)
不久前諾頓委托獨立研究機構(gòu) The Harris Poll 對全球 16 個市場,超過 16000 名 18 歲以上個人用戶進行在線調(diào)查,發(fā)布了《2018 年諾頓網(wǎng)絡(luò)安全調(diào)查報告》。對中國過用戶的調(diào)查結(jié)果顯示,2018 年有超過五分之一的中國消費者曾遭遇身份盜竊,近 7300 萬人受到影響。
在今年的 315 晚會中,電話詐騙產(chǎn)業(yè)鏈被曝光,涉及 APP 安裝(隱私截?。⑻结樅凶樱[私下載)、大數(shù)據(jù)分析(隱私數(shù)據(jù)整理)和 AI 語音電話騷擾(隱私變現(xiàn))等一系列對個人信息有組織的侵犯。個人信息問題首次出現(xiàn)在 315 晚會是在 2012 年,中國電信被曝群發(fā)垃圾短信出售信息通道,之后更是多年榜上有名;2013 年,高德地圖被曝位置共享服務(wù)會違規(guī)收集用戶信息,網(wǎng)易郵箱被曝根據(jù)用戶郵件內(nèi)容分析用戶習(xí)慣并發(fā)送精準廣告;2014 年,大唐旗下高鴻等公司被曝向智能手機植入惡意程序等問題,不僅會惡意扣費,還會泄露用戶的個人信息;2015 年,中國移動、鐵通被曝為騷擾電話提供支持,招商銀行、工商銀行等銀行內(nèi)部員工被曝泄露出售客戶信息……
315晚會上對電信詐騙的報道
被點名的企業(yè)不乏知名企業(yè)和行業(yè)巨頭,恰如冰山一角,過去十幾年中不為人知的對用戶數(shù)據(jù)的濫用只會更多。這讓中國人對企業(yè)的信任不斷下降的同時,對隱私泄露的不安也日益提升。諾頓的報告顯示,50% 的中國受訪者對政府保護個人信息的能力表示信任,對金融機構(gòu)只有 24%,而對電商只有 11%,社交媒體更是低至 8%。
諾頓報告中中國受訪者對機構(gòu)的信任度
雖然互聯(lián)網(wǎng)便利了人們的生活,但消費者在獲得便利的同時,安全感卻再在逐漸消失。針對個人信息泄露、騷擾信息泛濫的情況,2014 年 3 月重新修訂的《消費者權(quán)益保護法》,規(guī)定了經(jīng)營者收集、使用消費者個人信息的原則。其中第 29 條第 1 款規(guī)定:「經(jīng)營者收集、使用消費者個人信息,應(yīng)當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)消費者同意。經(jīng)營者收集、使用消費者個人信息,應(yīng)當公開其收集、使用規(guī)則,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。」第 3 款規(guī)定:「經(jīng)營者未經(jīng)消費者同意或者請求,或者消費者明確表示拒絕的,不得向其發(fā)送商業(yè)性信息。」
這一立法顯示,隱私保護在我國已經(jīng)成為重要的社會問題,民眾作為消費者的權(quán)益受到了侵犯。實際早在我國立法之前,這一問題在國際上就得到了廣泛的關(guān)注。早在 1980 年,經(jīng)濟合作與發(fā)展組織(OECD)就頒布了《隱私保護與個人信息跨國流通指南》,隨著信息化程度的不斷提高,世界各國與地區(qū)也紛紛出臺相應(yīng)法律,比如 2012 年新加坡國會發(fā)布的《個人數(shù)據(jù)保護法》,2013 年 4 月 25 日香港特區(qū)發(fā)布的《香港隱私保護條例》等。
相比之下,我國在個人信息保護方面的法律法規(guī)建設(shè),正從無到有,處于不斷完善的階段,僅僅《消費者權(quán)益保護法》的少數(shù)條款顯然不足以覆蓋范圍越來越大的隱私保護問題。2017 年 6 月 1 日,我國正式實施《網(wǎng)絡(luò)安全法》,這是我國第一部全面規(guī)范網(wǎng)絡(luò)安全管理方面問題的基礎(chǔ)性法律,共有 11 條條款定義個人信息保護的保護規(guī)定。其中第 22 條、41 條、44 條和 45 條,要求網(wǎng)絡(luò)運營者收集、使用個人信息時,要向用戶明示并取得同意,不得超范圍濫用個人信息,不得已非法方式獲取、提供和出售個人信息。第 43 條規(guī)定,個人有權(quán)要求網(wǎng)絡(luò)運營者刪除和更改其個人信息。
不過《網(wǎng)絡(luò)安全法》大多只是原則性規(guī)定,且個人信息保護主要集中在第四章網(wǎng)絡(luò)信息安全,仍有許多不足。而一年后實施的歐盟《一般數(shù)據(jù)保護條例》(GDPR),被認為是史上最嚴苛的數(shù)據(jù)保護法案,以及隨后在 2018 年 6 月 28 日經(jīng)加州州長簽署公布的《加利福尼亞州消費者隱私保護法案》(CCPA),條款都更加全面和細化,為我們提供了可供參考的范本。
對比我國《網(wǎng)安》法中相應(yīng)條款,GDPR 和 CCPA 都對個人信息作了比較廣泛地定義,強調(diào)個用戶對個人信息的自決權(quán),新增了數(shù)據(jù)可攜帶權(quán)、刪除個人信息權(quán)等,并規(guī)范了企業(yè)處理數(shù)據(jù)的行為,比如要求企業(yè)告知用戶收集、使用、共享數(shù)據(jù)的具體信息,強化了企業(yè)和數(shù)據(jù)相關(guān)的責任,并設(shè)立較為嚴格的處罰,但也設(shè)置了多種合規(guī)路徑,鼓勵數(shù)據(jù)以合法的途徑流通。
兩者間的不同之處在于,GDPR 和《網(wǎng)絡(luò)安全法》有所類似,都是基于監(jiān)管者的立場,強調(diào)有關(guān)責任主體主動規(guī)范數(shù)據(jù)處理的行為,對數(shù)據(jù)保護的規(guī)定更為全面;CCPA 更側(cè)重規(guī)范數(shù)據(jù)的商業(yè)化利用,基本是消費者隱私保護的內(nèi)容,和《消費者權(quán)益保護法》的出發(fā)點類似。相比較之下,GDPR 要更嚴格和全面,涉及的對象范圍也更廣,對象是任何擁有歐盟公民個人數(shù)據(jù)的組織;CCPA 主要針對達到相應(yīng)體量(年度總收入超過 2500 萬美元,或為商業(yè)目的購買、出售、分享超過 50000 個消費者、家庭或設(shè)備的個人信息,或通過銷售消費者個人數(shù)據(jù)取得的年收入超過總收入 50%)的處理加州居民個人數(shù)據(jù)的營利性實體。
在規(guī)定企業(yè)合規(guī)使用用戶數(shù)據(jù)的界限上,GDPR 在第六條規(guī)定,企業(yè)需要主動獲取數(shù)據(jù)主體即用戶的明確同意,個人對其數(shù)據(jù)有知情權(quán),刪除個人數(shù)據(jù)、限制處理個人數(shù)據(jù)等相關(guān)權(quán)利,同時有「合法利益」的概念。在預(yù)防犯罪、欺詐監(jiān)測、員工背景調(diào)查和收集分析明星數(shù)據(jù)等情況下,證明「合法利益」的企業(yè)可以不經(jīng)同意合法處理個人數(shù)據(jù);在 CCPA 中沒有「合法利益」這一概念,消費者有權(quán)要求企業(yè)披露收集個人信息的類別和具體要求、目的以及信息共享的第三方,并有權(quán)選擇不出售個人信息和要求企業(yè)刪除收集的個人信息等。360 法律研究院將兩者對個人數(shù)據(jù)使用的法案內(nèi)容歸納為,GDPR 規(guī)定個人數(shù)據(jù)的使用「原則上禁止,有合法授權(quán)時允許」;而 CCPA 則是「原則上允許,有條件禁止」。
對于數(shù)據(jù)跨境,GDPR 的有嚴格的規(guī)定,而 CCPA 沒有進行限制,這與美國相對鼓勵數(shù)據(jù)流通有關(guān)。但對于違規(guī)行為,處罰的力度都很大。GDPR 規(guī)定企業(yè)會面臨最高 2000 萬歐元或上一財年全球營業(yè)額 4% 的行政處罰(以較高者為準);而 CCPA 規(guī)定企業(yè)會面臨支付給每位消費者最高 750 美元的賠償金以及最高 7500 美元的罰款。
自 GDPR 開始執(zhí)行之后,F(xiàn)acebook、Google 等巨頭都相繼收到巨額罰單,對于隱私保護的政策爭議也一直未停止。3 月下旬,阿里巴巴羅漢堂曾邀請全球頂尖學(xué)者進行三天閉門的會議,討論隱私與數(shù)據(jù)治理的問題。據(jù)《錢江晚報》報道,即使是來自歐美的學(xué)者,也普遍對 GDPR 表達了一些擔心。比如法國圖盧茲經(jīng)濟學(xué)院教授 Jean Tirole 就認為,GDPR 太過復(fù)雜,如果不允許收集數(shù)據(jù),就類似于「想倒掉洗澡水,把寶寶也潑出去了」,甚至有學(xué)者將 150 多年前英國頒布的《紅旗法案》與之相比較,《紅旗法案》旨在保護汽車司機和乘客的安全,卻也讓英國錯過了汽車產(chǎn)業(yè)的騰飛。美國伯克利大學(xué)教授 Jim Dempsey 則表示,現(xiàn)在針對隱私的政策大多基于假設(shè),「我們現(xiàn)在缺乏足夠的經(jīng)濟學(xué)、社會學(xué)層面對隱私問題的研究」。亞洲商業(yè)法數(shù)據(jù)隱私項目負責人 Clarisse Girot 說:「關(guān)于對數(shù)據(jù)的保護,一個國家單槍匹馬是不夠的,我們需要所有的國家、所有的司法管轄區(qū)域,共同的相互協(xié)作。目前,什么叫相互協(xié)作、相互運作、相互運營,這些詞眼對我來說也并不是特別清楚,但我相信未來是清楚的?!?/p>
博弈中曲折前進
回到國內(nèi),在《網(wǎng)安》法之后,我國同樣在不斷推進相關(guān)的制度建設(shè)?!秱€人信息安全規(guī)范》就是目前主要針對個人隱私保護領(lǐng)域,進展較快的標準。雖然不具備強制性,但對處理個人信息和各類組織提出了具體的保護要求,也為制定和實施個人信息保護相關(guān)法律法規(guī)奠定了基礎(chǔ)。
今年 2 月初,經(jīng)過修正,由國家市場監(jiān)督管理總局和中國國家標準化管理委員會發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范(草案)》針對個人信息面臨的安全問題,規(guī)范了個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。
在這份標準之中,同樣充滿了利益的博弈和妥協(xié)。從標準起草單位和主要起草人來看,既有中國電子技術(shù)標準化研究院、清華大學(xué)、公安部第一研究所等政府、學(xué)術(shù)機構(gòu),也有阿里巴巴(北京)軟件服務(wù)公司、深圳騰訊計算機系統(tǒng)有限公司、阿里云計算有限公司、華為技術(shù)有限公司等企業(yè)。
據(jù)《中國青年報》報道,「企業(yè)對于個人信息保護責任邊界到底在哪兒」,是起草組爭論的核心問題,起草組成員、阿里巴巴安全部總監(jiān)鄭斌回憶,這個問題起草組討論了近一年的時間。「我們每兩個月左右會開一次討論會,大概討論了五六次,每一次這個問題都會提出來。」
爭論的重點,是個人信息在數(shù)據(jù)流轉(zhuǎn)時,企業(yè)所要擔負的責任。對企業(yè)來說,理想的結(jié)果是企業(yè)只負責自己掌握的個人數(shù)據(jù)不出現(xiàn)泄漏、濫用等安全問題,而經(jīng)過用戶授權(quán),流轉(zhuǎn)到第三方的數(shù)據(jù)出現(xiàn)問題時,企業(yè)不承擔法律責任,即,前普遍的存在授權(quán)鏈即可的觀念。
而學(xué)術(shù)專家更傾向于,企業(yè)應(yīng)該對自身搭建的產(chǎn)業(yè)鏈上下游協(xié)同能力進行充分的評估,并為合作伙伴承擔責任。例如劍橋分析曾經(jīng)利用 Facebook 上 5000 萬名用戶資料進行分析并進而影響美國大選,F(xiàn)acebook 就因此遭到美國、歐盟等多方質(zhì)詢。
一個現(xiàn)實是,即使過程完全合規(guī),絕大部分用戶實際并不會去看動輒幾千字的用戶協(xié)議,因此「同意」并不意味著「知情」。北京大學(xué)金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到,我國個人信息收集的原則是「告知—同意」規(guī)則,即信息控制者和信息處理者在收集、處理數(shù)據(jù)前需事先告知用戶,并得到用戶明示或默示的許可同意。這一規(guī)則源于美國,被美國聯(lián)邦貿(mào)易委員會(FTC)認定為線上隱私保護的「最為重要的原則」。并且有告知成本低廉(只需發(fā)布統(tǒng)一的隱私條款),尊重個人意愿,監(jiān)管模式簡單等優(yōu)點。
但實踐證明,很少有用戶閱讀隱私條款,即使用戶閱讀了冗長的隱私條款,也很難理解復(fù)雜的法律術(shù)語以及隱私條款的含義,最后,用戶難做出理性的判斷。尤其當談判桌的另一端,坐著的是理性、商業(yè)化、法務(wù)體系健全的企業(yè)時,看似均衡的天平就完全失衡了。
很多消費者甚至沒有注意到這一行字
因此,讓企業(yè)承擔更多的責任,類似在追求「結(jié)果正義」,而對企業(yè)來說,這意味著更高的成本和風險,是難以接受的。因此,直到最后,爭論雙方也都沒有說服另一方,只能在許多條款中達成妥協(xié)?!杆栽凇兑?guī)范》里,并沒有很好地去解決數(shù)據(jù)流轉(zhuǎn)過程中數(shù)據(jù)保護的責任。」鄭斌說。
不過即使如此,在《規(guī)范》起草組成員、中國信息安全研究院副院長左曉棟看來,這依舊是有著積極的意義。盡管《規(guī)范》是國家推薦性標準,不是強制性標準,不具備法律強制力,缺少實踐性,也缺少技術(shù)上的可執(zhí)行性。但至少填補了我國相應(yīng)體系的部分空白,為判斷合規(guī)性提供了一個標準,而且可以通過實踐不斷地改進,也為以后相關(guān)法律的起草、發(fā)布和實施奠定基礎(chǔ)。
中國用戶的隱私意識正在不斷覺醒,《諾頓網(wǎng)絡(luò)安全報告》中數(shù)據(jù)顯示,85% 的中國受訪者比以往更關(guān)注自己的個人信息安全,90% 希望為之做些什么,但 66% 的都不知道能怎么做。目前缺失的,正是相應(yīng)法律法規(guī)的建設(shè),以及企業(yè)對用戶信息保護的重視和積極參與。隨著整體生態(tài)的不斷改善,一個重視用戶隱私安全的商業(yè)環(huán)境,將更有利于良性的商業(yè)競爭和發(fā)展,也最終將反饋給整個社會。
參考文獻:
ISACA《網(wǎng)絡(luò)安全實施框架指南》
諾頓:《諾頓網(wǎng)絡(luò)安全調(diào)查報告》
中國青年報:《信息安全技術(shù)個人信息安全規(guī)范》出臺的背后
360 法律研究院:《國內(nèi)外看 CCPA 與 GDPR 的對比》
錢江晚報:《315 過后,我們的隱私數(shù)據(jù)誰來保護》