把“數(shù)據(jù)饕餮”關(guān)進(jìn)籠子

李云蝶

在數(shù)據(jù)保護(hù)這件事情上，“不能完全依賴于企業(yè)的承諾，他們的很多說法是靠不住的。”

“凝視手機(jī)過久，手機(jī)亦將回以凝視。”小小數(shù)英寸屏幕背后，虎視眈眈的互聯(lián)網(wǎng)公司尤其是幾大巨頭，可能正在成長為“數(shù)據(jù)饕餮”，渴望窺探你的一切信息，電話、聯(lián)系人、相冊、瀏覽記錄，甚至，聽到你的聲音，觸摸你的指紋，掌管你的“鑰匙”……

對這種無限度吞噬的擔(dān)憂和質(zhì)疑，在今年1月份集中爆發(fā)了。中國互聯(lián)網(wǎng)行業(yè)最有實力的幾家巨頭，無一幸免。

元旦當(dāng)天，吉利董事長李書福在某新年論壇上質(zhì)疑微信的隱私保護(hù)和信息安全，稱“馬化騰肯定天天在看我們的微信”。

隨后，1月3日，有律師發(fā)現(xiàn)，“支付寶年度賬單有‘鬼，在不起眼位置附帶《芝麻服務(wù)協(xié)議》?！庇芯W(wǎng)友聲討，“附帶的協(xié)議會允許支付寶收集你的信息，包括在第三方保存的信息?！?/p>

之后，有網(wǎng)友反映稱，“和朋友聊天討論西餐廳，今日頭條馬上給你推送西餐相關(guān)的廣告和資訊，今日頭條可能在用麥克風(fēng)竊用戶隱私?！?/p>

再之后，1月5日，江蘇省消費者權(quán)益保護(hù)委員會召開新聞發(fā)布會，表示針對“百度涉嫌違法獲取消費者個人信息及相關(guān)問題”已提起消費民事公益訴訟。這是全國首例關(guān)于手機(jī)APP的信息侵權(quán)公益訴訟。

雖然各家巨頭在第一時間或回應(yīng)、或認(rèn)錯、或辟謠，但仍然阻止不了一輪關(guān)于互聯(lián)網(wǎng)公司數(shù)據(jù)獲取沒有邊界和規(guī)則的聲討。

看起來，是時候該將一只只“數(shù)據(jù)饕餮”關(guān)進(jìn)籠子里了。

“不能”還是“不愿”

多方矛盾下，一面是越發(fā)集中的個人信息安全事件推動普通用戶的安全意識不斷提升，另一方面是飛速發(fā)展的數(shù)字環(huán)境和越發(fā)激烈的商業(yè)競爭促使互聯(lián)網(wǎng)公司數(shù)據(jù)收集手段和范圍不斷擴(kuò)大，二者沖突在所難免。

值得注意的是，盡管各家公司都在第一時間作出回應(yīng)，但除了試圖撇清誤會辟除謠言以外，多家公司將“技術(shù)不足”作為沒有竊取用戶隱私的理由之一。

今日頭條在“致廣大用戶”的說明中否認(rèn)“用麥克風(fēng)竊取用戶隱私”時提到，“從技術(shù)上看，目前聲音信息的處理，也遠(yuǎn)達(dá)不到通過麥克風(fēng)去獲取個人隱私的水平”。

百度在江蘇省消保委將其告上法庭一案作出的回應(yīng)中，對于消保委所質(zhì)疑“‘手機(jī)百度和‘百度瀏覽器在未取得用戶同意的情況下，獲取諸如‘監(jiān)聽電話、定位、讀取短彩信、讀取聯(lián)系人、修改系統(tǒng)設(shè)置等各種權(quán)限”中的“監(jiān)聽電話”一項，百度回應(yīng)，旗下手機(jī)應(yīng)用“沒有能力、也從來不會”申請這一權(quán)限。

有網(wǎng)友調(diào)侃稱，這大概是互聯(lián)網(wǎng)巨頭們第一次公開承認(rèn)自己“能力不夠”。

用“我不行”來證明“我沒做”，難免有些邏輯上混淆視聽的嫌疑。大數(shù)據(jù)專家、WPP數(shù)字化分析經(jīng)理李軍對《財經(jīng)國家周刊》記者說，“他們首先應(yīng)該明確一點：數(shù)據(jù)的所有者一定是用戶，這是不容置疑的，該拿不該拿，實際上就是基于用戶有沒有給你數(shù)據(jù)的授權(quán)。”

但他同時提醒，即便公司有“授權(quán)”這個動作，用戶仍要注意在實際執(zhí)行過程中避免諸多陷阱。

其中的一種行為是“含糊告知”，舉個極端的例子，將協(xié)議條款無限拉長，實際協(xié)議條款達(dá)到一百多頁，這種情況下，基本沒有用戶會仔細(xì)從頭看到尾，經(jīng)常選擇性忽略重要信息，其效果約等于沒有告知。

另一種情況下，盡管條款看似羅列清楚且數(shù)目合理，但背后卻夾雜了很多隱含的意義和模糊的表述，通過一些難以察覺的默認(rèn)選項和條款陷阱，讓用戶同意并從中謀利。

北大法學(xué)院副院長薛軍對《財經(jīng)國家周刊》記者直言，“不能完全依賴于企業(yè)的承諾，他們的很多說法是靠不住的。”

造好法律的籠子

數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時代的核心資源，與工業(yè)社會的煤炭、石油、天然氣等能源同等重要，誰能拿到最多的數(shù)據(jù)，誰就是未來數(shù)字經(jīng)濟(jì)的霸主。

如此形勢下，期待“數(shù)據(jù)饕餮”們自我監(jiān)督是不現(xiàn)實的，還需要有更多的硬性約束。

一個普遍的共識是，法律正是最有效用和效力的硬性約束。

一直以來，我國立法層面始終十分重視“個人信息保護(hù)”和“數(shù)據(jù)安全”，相關(guān)的法律表述不在少數(shù)。

早在2012年底，在第十一屆全國人大常委會第三十次會議上，就通過了《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，其中對“公民個人電子信息”的權(quán)限使用作出諸多要求。

最近的規(guī)范是2017年6月1日開始施行的《中華人民共和國網(wǎng)絡(luò)安全法》，在第四章中，專門針對個人信息規(guī)定了嚴(yán)密的保護(hù)體系。

而幾乎同一時間，最高人民法院與最高人民檢察院也聯(lián)合發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對侵犯公民個人信息犯罪的定罪量刑標(biāo)準(zhǔn)和有關(guān)法律適用問題作了全面、系統(tǒng)的規(guī)定。

更多的表述還分散在各處，在2017年11月審議通過的《電子商務(wù)法》草案二審稿第20條中，明確對電子商務(wù)經(jīng)營者收集、使用其用戶的個人信息加以限制；在10月1日正式施行的《民法總則》第127條，也明確將“數(shù)據(jù)”作為一種受到法律保護(hù)的財產(chǎn)形態(tài)作出規(guī)定，讓“數(shù)據(jù)資產(chǎn)”這一說法具有了法律文本基礎(chǔ)。

不過，薛軍認(rèn)為，盡管國家立法層面比較重視，也有諸多條款，但最大的問題是關(guān)于個人信息保護(hù)的立法比較分散，沒有一個專門的法律將其統(tǒng)一起來。

在他看來，一個統(tǒng)一的法規(guī)，能夠綜合、全面、完整地規(guī)定關(guān)于個人信息保護(hù)的制度框架，可以把違反規(guī)定的民事責(zé)任、行政責(zé)任、刑事責(zé)任統(tǒng)一規(guī)定起來。

以歐盟今年5月即將正式生效的《一般數(shù)據(jù)保護(hù)條例》（簡稱“GDPR”）為例，李軍認(rèn)為，其中一個直觀表現(xiàn)就是，違規(guī)最高罰金可達(dá)公司全球總收益的4%，對于一個千億級收入的公司來說，這相當(dāng)于幾十億、甚至上百億的罰款。

甚至，其中還有類似“數(shù)據(jù)遺忘權(quán)”的規(guī)定，規(guī)定信息主體有權(quán)要求信息控制者在所有服務(wù)器上刪除與其有關(guān)的資料信息，這對于數(shù)據(jù)獲取來說，無疑將帶來巨大的成本，將數(shù)據(jù)保護(hù)落實到了具體的行動措施上。endprint

薛軍告訴《財經(jīng)國家周刊》記者，“我們國家也有計劃制定一個單行的《個人信息保護(hù)法》，全國人大很有可能會列入立法規(guī)劃，這對個人信息保護(hù)會有一定的促進(jìn)作用?！?h3>要原則也要有細(xì)則

當(dāng)然，擺在立法者面前的，還有一個更加的現(xiàn)實問題：數(shù)字時代的一大特征就是，技術(shù)發(fā)展迭代飛速，而新法律的確立和實施需要通過一定的程序，勢必出現(xiàn)時間差，那么，在法律的空窗期，要怎么解決不斷產(chǎn)生的問題？

薛軍給出了一個辦法，他認(rèn)為，“治理不一定要全部通過國家的立法，也可以通過軟法補(bǔ)充?！?/p>

所謂“軟法”，是指那些不能運用國家強(qiáng)制力保證實施的規(guī)范，由一些高校、學(xué)者、第三方機(jī)構(gòu)主導(dǎo)的行業(yè)標(biāo)準(zhǔn)都可以算作軟法，它更像是一種“公約”。

這些規(guī)范雖然沒有嚴(yán)格的法律效應(yīng)，但十分靈活，既可以一定程度上規(guī)范企業(yè)的行為，填補(bǔ)法律空窗期產(chǎn)生的問題，也有一定調(diào)理機(jī)制，可以隨時修改。薛軍稱之為“多中心治理、多元共治的方式”。

事實上，在個人信息安全領(lǐng)域，目前已經(jīng)有一些行業(yè)標(biāo)準(zhǔn)正在制定完善過程中，在薛軍發(fā)給《財經(jīng)國家周刊》記者的一份《信息安全技術(shù)個人信息安全規(guī)范》國家標(biāo)準(zhǔn)報批稿中，長達(dá)30多頁的文件，涵蓋了從個人信息收集、處理、到安全事件處置的各種細(xì)則，起草單位的成員也涵蓋了從研究院到學(xué)校、企業(yè)等多種主體。

李軍也說：“光講原則是沒有用的，一定要有細(xì)則，要有明確的邊界和相應(yīng)的懲罰措施，才能夠真正起到約束和管理的作用。”

他將如今的個人信息安全風(fēng)險與十幾年前的“安然事件”作類比，認(rèn)為有必要從企業(yè)的管理流程上進(jìn)行更加堅決、直接、具體的規(guī)范。

2001年12月，美國最大的能源公司——安然公司突然申請破產(chǎn)保護(hù)后引發(fā)了一系列丑聞，其中最臭名昭著的，是2002年6月的世界通信會計事件，它徹底打擊了美國投資者對資本市場的信心，也讓美國國會和政府下定決心加速通過《薩班斯—奧克斯利法案》，該法案的另一個名稱是“公眾公司會計改革與投資者保護(hù)法案”，對在美國上市的公司提供了合規(guī)性要求，使上市公司不得不考慮控制IT風(fēng)險在內(nèi)的各種風(fēng)險。

李軍認(rèn)為，在數(shù)據(jù)保護(hù)方面，可以仿照《薩班斯—奧克斯利法案》的處理方式，制定一套完整的數(shù)據(jù)保護(hù)規(guī)范，按照它去重新設(shè)計、完善整個數(shù)據(jù)操作、數(shù)據(jù)管理的流程系統(tǒng)組織架構(gòu)，監(jiān)管機(jī)構(gòu)可以隨時抽查，哪怕數(shù)據(jù)沒有泄露，只要不按照標(biāo)準(zhǔn)規(guī)范去重新定義公司的整個數(shù)據(jù)管理框架，都要受到懲罰。

并且，隨著企業(yè)不斷發(fā)展，同樣有必要加入新型管理者，而數(shù)據(jù)管理的職責(zé)，可以落實到“首席數(shù)據(jù)官”（Chief Data Officer，CDO）的身上，就像薩班斯法案最終落到了“首席財務(wù)官”（Chief Financial Officer，CFO）的身上一樣。

在更遠(yuǎn)的未來，隨著數(shù)據(jù)跨境流動的越發(fā)頻繁，薛軍預(yù)測，我們不僅要考慮到數(shù)據(jù)對個人的威脅，還要考慮到對國家安全是否會產(chǎn)生威脅，全球政府應(yīng)該合作，形成類似國際公約的個人信息保護(hù)最低標(biāo)準(zhǔn)，不要形成監(jiān)管洼地。endprint