“全球最嚴”的數(shù)據保護

王梓輝

年初數(shù)千萬Facebook用戶數(shù)據泄露從而影響美國總統(tǒng)選舉結果的事件余波剛剛過去，5月25日，被稱為“全球最嚴”數(shù)據保護條例的GDPR正式在歐盟地區(qū)開始實施，這又一次讓“數(shù)據保護”的議題成為世界輿論的中心。在這個大數(shù)據時代，歐盟略顯嚴苛的條例為包括中國在內的世界其他國家提供了一個重要的參考方案。

歐盟頒布但影響全球

“（你們的表現(xiàn)）看上去更像是在最后一分鐘才收到了新隱私法規(guī)的提醒，然后為了避免任何的法律后果，就匆匆忙忙地做了這些？！”在中國智能家居生產廠商Yeelight的英文版網站留言區(qū)，一位歐洲用戶在十幾天以前留下了上面這則憤怒的留言。而使他感到如此不悅的原因是，這家來自中國的廠商在5月24日宣布，為了更好地保障用戶數(shù)據隱私并進行軟件升級工作，他們將暫停其在歐洲地區(qū)的部分服務。

5月22日，F(xiàn)acebook公司創(chuàng)始人兼CEO馬克·扎克伯格出席歐洲議會聽證會，就Facebook公司數(shù)據外泄事件接受議員質詢北京大學信息管理系副主任周慶山

作為小米生態(tài)鏈旗下聚焦于智能照明設備生產的企業(yè)，Yeelight在歐洲地區(qū)也有自己的業(yè)務，在一些報道中，他們被認為是僅次于飛利浦的全球第二大智能燈具出貨商。然而，圍繞在用戶數(shù)據與隱私方面的問題使他們不得不暫別歐洲市場。盡管Yeelight CEO姜兆寧在微博回復中否認公司保存用戶隱私數(shù)據，并表示此次只是暫時下線，合規(guī)后將繼續(xù)上線。但業(yè)內聲音普遍認為Yeelight此次下線就是因為“GDPR”的緣故。

所謂“GDPR”，其全稱為《通用數(shù)據保護條例》，這項由歐盟頒布的新條例顧名思義就是要“保護數(shù)據”，而它也是目前全球范圍內當之無愧的“最嚴”數(shù)據保護法案。自從這項條例在2016年4月在歐盟議會和歐盟理事會獲得通過之后，全球都在期待它在今年5月25日的正式實施將會給世界帶來哪些影響和變化，而Yeelight只是其中受到沖擊的一家企業(yè)代表。國內某數(shù)據安全公司總監(jiān)告訴本刊，這些問題都不是Yeelight獨有的，“現(xiàn)行的大多數(shù)互聯(lián)網服務都會有問題，甚至包括Google與Facebook。”他說道。

一個看上去只是由歐盟頒布、在歐盟地區(qū)實行的法案卻影響到了中國及全世界眾多的跨國公司，顯然GDPR的意義和影響遠不止于歐洲本身。

愛爾蘭投資發(fā)展局中國區(qū)總監(jiān)張哲偉告訴本刊，此條例雖然針對的保護對象是歐盟公民，但由于《條例》中對于是否為歐盟境內用戶提供服務的判定標準為：“只要該網站或手機APP能夠被歐盟境內個人所訪問和使用，產品或服務使用的語言是英語或特定歐盟成員國語言、產品價格標識為歐元，都可以被理解為該產品、服務的目標用戶包括歐盟境內用戶?！币虼耍词挂患移髽I(yè)的服務器位于亞洲，但只要其中存儲有任何關于歐盟用戶的信息，這家企業(yè)都適用于這一新法規(guī)?！斑@也是《條例》在全球范圍引起極大震動的原因之一，不管傳統(tǒng)行業(yè)還是電子商務等新興領域，都很可能落入《條例》的適用范圍?！睆堈軅フf道。

而對于所有受影響的企業(yè)來說，想要滿足GDPR的合規(guī)要求也需要付出“十分高”的代價，企業(yè)需要投入大量人力財力，才能確保執(zhí)行。張哲偉總結了對企業(yè)主要的兩方面影響：第一，企業(yè)必須在采集用戶數(shù)據前就獲得用戶同意，并告知數(shù)據用途和去向，用戶也有絕對權力要求查看、修改或刪除個人信息;此外，GDPR更嚴格要求企業(yè)完善一切需要使用用戶數(shù)據的信息流程，確保數(shù)據的公開和透明。而這兩方面的規(guī)定與此前相比均有較大提升，未能履行的企業(yè)將承受最高達2000萬歐元或4%全球總營收（兩者以較高者為準）的巨額罰款?！俺肆P款外，用戶索賠和信用降級等都會對企業(yè)造成極大損失?！?/p>

“目前來看，我觀察到的有三種企業(yè)?！敝袊畔⑼ㄐ叛芯吭夯ヂ?lián)網法律研究中心副主任方禹也向本刊總結道，“第一種就是停止自己在歐洲的業(yè)務，比如《洛杉磯時報》和《芝加哥論壇報》等媒體就因此關閉了其歐洲網站;第二種主要是大企業(yè)，他們都在努力合規(guī)，比如阿里云已經宣布說他們符合這個要求了，但是要做到合規(guī)就是六個字：費時、費力、費錢;第三種主要是中小企業(yè)比較多，他們基本采取是的觀望態(tài)度，說得不好聽就是在賭博，賭你不來罰我?！?/p>

當然，不同的企業(yè)會根據其自身利益做出不同的選擇。5月31日，已經停止了一周服務的Yeelight經過整改后在其官網上發(fā)表了恢復服務的聲明，其中明確表示“將嚴格遵照本地隱私法律法規(guī)的要求，保障用戶的隱私數(shù)據不被違規(guī)收集或者濫用”。但根據業(yè)內普遍的分析，其中付出的代價應該不小。事實上，就在文章開頭那位用戶的吐槽下面，有Yeelight的員工就向他解釋說，Yeelight為了達到GDPR的要求已經努力了數(shù)月，但即使如此，他們仍然有一些問題沒能來得及解決而不得不臨時下線自己的服務。

而大公司則有更多的資源來做更充分的準備。如果你是一位資深互聯(lián)網用戶，你應該自5月上旬起就會收到不少來自大公司們的隱私通知郵件。比如谷歌公司在5月15日就像其全球用戶發(fā)送了“隱私權政策和隱私控制設置方面的諸多改進”的郵件，其中明確表示“之所以做出這些更新，是因為歐盟即將實施新的數(shù)據保護條例”。而微軟方面也向本刊表示，他們自2016年GDPR獲歐盟通過后便投入了大量的人力物力來確保其產品和服務符合GDPR相關要求，其中參與的工程師人數(shù)超過1600位。

另一方面，如同張哲偉上面所解釋的那樣，這種影響絕不僅限于互聯(lián)網行業(yè)。事實上，只要你的服務涉及收集或使用用戶的個人數(shù)據，無論你身處哪行哪業(yè)，你都會受到影響。比如因為我此前曾用郵箱注冊了倫敦希思羅機場的賬號，他們也在GDPR頒布之際向我發(fā)出了更改隱私條款的郵件。而國內的國航、東航均在5月24日對其APP和官方網站的隱私政策條款進行了更新，在最新版的隱私政策中，這幾家航空公司將可能收集的個人信息的范圍列得更加詳細。

“從某種意義上來說，GDPR的實施就像一個企業(yè)新的管理系統(tǒng)，企業(yè)不僅需要對舊的系統(tǒng)進行評估，做出調整，也要適應新的系統(tǒng)?！睆堈軅フf道。所以他認為不管是運營流程，還是員工培訓，乃至客戶層面，都需要做出相應的改變，并且要付出一定的投入，因為“如果違反GDPR，企業(yè)將面對嚴重的處罰”。

引領時代還是過猶不及？

事實上，雖然在外界看來，歐盟選擇在頒布這樣一個極為嚴苛的法令有些突然，但早在1995年，歐盟就通過了《數(shù)據保護指令》（Data Protection Directive，以下簡稱“九五指令”），其中就對個人數(shù)據的處理進行了基本的規(guī)則制定，而中國在前一年才剛剛接入互聯(lián)網?？梢哉f，相比世界其他國家和地區(qū)，歐盟在個人數(shù)據安全保護方面擁有一貫的傳統(tǒng)。方禹也告訴本刊，業(yè)界普遍對“九五指令”的評價非常高，認為這個法令很合理、很有效，只是隨著技術的不斷進步，法律條文也到了需要做出改變的時候。

如果將2011年作為社會進入移動互聯(lián)網時代的標志，那么在方禹看來，歐盟花了5年時間在2016年出臺了GDPR，就制定一部法律來說已經算比較快的了，而且也適應了時代發(fā)展的需求。但從這項法律本身來講，其包括前言說明在內長達260頁的篇幅確實非常龐雜，且本身處理的就是一個較有爭議的話題，這也使得輿論中對其的理解聲音分歧較大。兩三年前就將GDPR翻譯成了中文的中國人民大學法學院未來法治研究院副院長丁曉東也告訴本刊，這個條例的爭議“非常非常大”。而爭議的核心就是如何處理“保護權利”與“保護發(fā)展”之間的關系。

一類聲音認為，GDPR保護用戶個人數(shù)據安全的用意雖好，但存在著過猶不及的情況，無論從理念還是技術實踐上都值得商榷。北京師范大學法學院教授劉德良就撰文指出，GDPR在4個方面存在問題。第一，并非所有的個人數(shù)據都與人格自由直接相關，個人數(shù)據也不等同于法律上的隱私;第二，極端個人主義本位有礙社會經濟快速發(fā)展;第三，技術上有過時之嫌;第四，實施效果可能有悖于立法初衷。

華東政法大學大數(shù)據政策法律研究中心主任高富平也持有相似的觀點，他同樣認為GDPR是建立在個人本位的基礎之上，是以個人主義為基礎而構建的一套體系，但沒有考慮個人信息在社會中流通和使用的場景，“更沒有從大數(shù)據時代數(shù)據已經成為資源的角度來考慮問題”。因此在他看來，歐洲建立起來的這套規(guī)則“其實是完全不適應我們這個時代需要的”。

而另一些意見則認為GDPR的出現(xiàn)讓個人的數(shù)據安全真正得到了重視。北京大學信息管理系教授周慶山告訴本刊，其實這個條例體現(xiàn)了歐洲一貫的價值觀，那就是將“個人”放到第一位。丁曉東則將GDPR的整體思路總結為“數(shù)據屬于個人”，“就是把控制數(shù)據的權力從平臺還給了個人”。

已經呼吁了十幾年個人信息保護的周慶山就非常不同意“過猶不及”的說法，在他看來，國內目前的問題不是發(fā)展受到了阻礙，反而是個人數(shù)據信息的無節(jié)制泛濫。今年1月，四川省公安廳召開“向人民報告”網安專場新聞通氣會，會上透露，2017年僅四川省就有250余億條公民個人信息被泄露。“如果任由一個行業(yè)混亂地去發(fā)展，我覺得它發(fā)展不好?！敝軕c山對本刊說道，“真正的發(fā)展是什么？是因為我相信你，我才愿意把數(shù)據給你。而現(xiàn)在的結果是大家出賣了自己的信息去交換了少數(shù)公司的發(fā)展，這個從價值觀上也是不合適的?！?/p>

看上去，丁曉東向我們提出“天才與荒謬并存”的觀點頗能總結GDPR的爭議性。一方面，GDPR在全球個人信息保護領域是當之無愧的引領性法案，它的確是把隱私保護提高到了一個前所未有的程度，“除了中國和美國之外，很多國家都在效仿它推出相似的法案，甚至直接就照抄了過來?！绷硪环矫?，它的很多規(guī)則在某種程度上恰恰與這個大數(shù)據時代的很多特征是背道而馳的，以其原則中的“目的限定原則”為例，這條原則規(guī)定收集來的數(shù)據只能用于最初規(guī)定好的目的，但從公共利益的角度來講，大數(shù)據的跨界使用在這個時代是非常普遍的，而GDPR則從一定程度上阻隔了數(shù)據的流動，比如一個國家想要精準扶貧，但它按GDPR的規(guī)定也無法調用電商平臺的消費數(shù)據。

“所以它的天才里面也存在很多偏差的地方?！倍詵|說道。

對中國的影響和啟示

“GDPR雖然是一項歐盟法規(guī)，但它所建立的隱私和安全準則將對全球市場帶來表率作用和深遠的影響。無論在歐洲、全球，還是中國市場，符合全球標準的數(shù)據隱私和安全保護，將成為越來越重要的信息安全準則。”微軟大中華區(qū)副總裁康容如此告訴本刊。

隨著走出國門的中國企業(yè)越來越多，努力適應這種在全球視野下的行為規(guī)范也變得愈發(fā)重要。同樣耕耘海外市場多年的AI機器人企業(yè)優(yōu)必選就稱，海外的法律法規(guī)對消費者的保護條例非常完整，中國企業(yè)要走出去，必須嚴格遵守當?shù)胤煞ㄒ?guī)，在歐洲、美國出現(xiàn)違反法律法規(guī)的事情，面臨的罰款或者是懲罰力度會非常大。

除了上文中的Yeelight之外，目前產品覆蓋全球近200個國家和地區(qū)的人工智能平臺公司涂鴉智能也對本刊透露，其所在的人工智能與物聯(lián)網行業(yè)確實受到了不小的影響，也已經有一些企業(yè)暫時關停了對歐洲地區(qū)的服務。

因為GDPR的巨大沖擊，最近找方禹了解這個事情的公司和媒體非常多。作為工信部直屬的官方智庫，方禹告訴我們，除了幫助中國企業(yè)適應海外的法律法規(guī)之外，他們如此關注GDPR也是因為他們同時在做關于《個人信息保護法》的技術研究工作。作為理想狀態(tài)下“對標”GDPR的法案，我國早在2003年就開始了相關的工作，當時的國務院信息化辦公室正式部署了立法研究工作，2005年相關學者完成了《個人信息保護法（專家建議稿）》。然而該建議稿并沒有進入正式的立法程序，甚至當2008年“國信辦”被并入工業(yè)和信息化部之后，立法工作還被擱置了下來。之后，盡管每年“兩會”期間，關于個人信息保護立法的人大建議、政協(xié)提案也屢見不鮮，但《個人信息保護法》在正式立法議程中卻長時間不見蹤影。

根據不完全統(tǒng)計，目前聯(lián)合國成員中，已有113個國家制定了自己的《個人信息保護法》，毫無疑問，這就是目前的主流趨勢。“因為大家都覺得個人信息保護肯定是必需的，所以這是一個高度共識。”丁曉東說道。但他同時也表示，要立這個法可能有了共識，但是怎樣去立還有很大的爭議。

問題仍然回到了：安全與發(fā)展究竟孰輕孰重？畢竟如果能實現(xiàn)完美平衡才是最理想的情況，但就像魚和熊掌不可兼得的道理一樣，在一定的歷史時期內一定會有所側重。

目前我國在這方面的主要法規(guī)是去年6月1日正式生效的《中華人民共和國網絡安全法》。在這部以“安全”命名的法律中，用了大概10條左右的內容闡述了個人信息保護的原則。但因為《網絡安全法》本身層級較高，因此它缺乏對具體實施細則的規(guī)定。以針對個人信息保護的《網絡安全法》第41條為例：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則?！鄙虾＞┖饴蓭熓聞账灞蓭煾嬖V本刊，合法當然是必需的，那么關鍵就落在“正當”和“必要”這兩個概念上了，但由于“正當”和“必要”這兩個概念比較寬泛，所以很多公司目前都是在形式上做到所謂的“合法”，然后在“正當”和“必要”上面打擦邊球。

因此，方禹認為我國未來仍然需要一部專門性的立法來解決安全與發(fā)展之間的關系，并在這個基本法的框架下分不同的領域來解決個人信息保護的整體問題。而GDPR在這個方面給我們的最重要的思考是：它將控制個人數(shù)據的權力都交給了我們每一個人，而這是否是一條最佳道路？

GDPR規(guī)定獲取公民個人數(shù)據要征求個人的同意，使用的時候也要公民個人授權，公民授權之后還有一系列諸如訪問權、糾正權、被遺忘權等一系列權利。丁曉東就覺得從某種程度上來看，這種更偏向“個人自治”的方式雖然看上去有利于保護個人數(shù)據的安全，但在一個愈發(fā)專業(yè)化的領域，個人的力量在很多時候也很難完全保護到自己，這個前提是必須要有一整套國家的制度設計，比如說設立一些專門的數(shù)據保護機構來進行對它進行合規(guī)化控制，幫助公民個體提前規(guī)避掉很多風險?！爸挥羞@個環(huán)節(jié)做得越安全，公民在個人數(shù)據被使用的時候才越放心?！?/p>