你的數據隱私什么時候才能受到保護？

在規定企業合規使用用戶數據的界限上，GDPR在第六條規定，企業需要主動獲取數據主體即用戶的明確同意，個人對其數據有知情權，刪除個人數據、限制處理個人數據等相關權利，同時有‘合法利益’的概念。在預防犯罪、欺詐監測、員工背景調查和收集分析明星數據等情況下，證明‘合法利益’的企業可以不經同意合法處理個人數據；在CCPA中沒有‘合法利益’這一概念，消費者有權要求企業披露收集個人信息的類別和具體要求、目的以及信息共享的第三方，并有權選擇不出售個人信息和要求企業刪除收集的個人信息等。360法律研究院將兩者對個人數據使用的法案內容歸納為，GDPR規定個人數據的使用‘原則上禁止，有合法授權時允許’；而CCPA則是‘原則上允許，有條件禁止’。

對于數據跨境，GDPR的有嚴格的規定，而CCPA沒有進行限制，這與美國相對鼓勵數據流通有關。但對于違規行為，處罰的力度都很大。GDPR規定企業會面臨最高2000萬歐元或上一財年全球營業額4%的行政處罰（以較高者為準）；而CCPA規定企業會面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的罰款。

自GDPR開始執行之后，Facebook、Google等巨頭都相繼收到巨額罰單，對于隱私保護的政策爭議也一直未停止。3月下旬，阿里巴巴羅漢堂曾邀請全球頂尖學者進行三天閉門的會議，討論隱私與數據治理的問題。據《錢江晚報》報道，即使是來自歐美的學者，也普遍對GDPR表達了一些擔心。比如法國圖盧茲經濟學院教授JeanTirole就認為，GDPR太過復雜，如果不允許收集數據，就類似于‘想倒掉洗澡水，把寶寶也潑出去了’，甚至有學者將150多年前英國頒布的《紅旗法案》與之相比較，《紅旗法案》旨在保護汽車司機和乘客的安全，卻也讓英國錯過了汽車產業的騰飛。美國伯克利大學教授JimDempsey則表示，現在針對隱私的政策大多基于假設，‘我們現在缺乏足夠的經濟學、社會學層面對隱私問題的研究’。亞洲商業法數據隱私項目負責人ClarisseGirot說：‘關于對數據的保護，一個國家單槍匹馬是不夠的，我們需要所有的國家、所有的司法管轄區域，共同的相互協作。目前，什么叫相互協作、相互運作、相互運營，這些詞眼對我來說也并不是特別清楚，但我相信未來是清楚的。’

博弈中曲折前進

回到國內，在《網安》法之后，我國同樣在不斷推進相關的制度建設。《個人信息安全規范》就是目前主要針對個人隱私保護領域，進展較快的標準。雖然不具備強制性，但對處理個人信息和各類組織提出了具體的保護要求，也為制定和實施個人信息保護相關法律法規奠定了基礎。

今年2月初，經過修正，由國家市場監督管理總局和中國國家標準化管理委員會發布的《信息安全技術個人信息安全規范（草案）》針對個人信息面臨的安全問題，規范了個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為。

在這份標準之中，同樣充滿了利益的博弈和妥協。從標準起草單位和主要起草人來看，既有中國電子技術標準化研究院、清華大學、公安部第一研究所等政府、學術機構，也有阿里巴巴（北京）軟件服務公司、深圳騰訊計算機系統有限公司、阿里云計算有限公司、華為技術有限公司等企業。

據《中國青年報》報道，‘企業對于個人信息保護責任邊界到底在哪兒’，是起草組爭論的核心問題，起草組成員、阿里巴巴安全部總監鄭斌回憶，這個問題起草組討論了近一年的時間。‘我們每兩個月左右會開一次討論會，大概討論了五六次，每一次這個問題都會提出來。’

爭論的重點，是個人信息在數據流轉時，企業所要擔負的責任。對企業來說，理想的結果是企業只負責自己掌握的個人數據不出現泄漏、濫用等安全問題，而經過用戶授權，流轉到第三方的數據出現問題時，企業不承擔法律責任，即，前普遍的存在授權鏈即可的觀念。

而學術專家更傾向于，企業應該對自身搭建的產業鏈上下游協同能力進行充分的評估，并為合作伙伴承擔責任。例如劍橋分析曾經利用Facebook上5000萬名用戶資料進行分析并進而影響美國大選，Facebook就因此遭到美國、歐盟等多方質詢。

一個現實是，即使過程完全合規，絕大部分用戶實際并不會去看動輒幾千字的用戶協議，因此‘同意’并不意味著‘知情’。北京大學金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到，我國個人信息收集的原則是‘告知—同意’規則，即信息控制者和信息處理者在收集、處理數據前需事先告知用戶，并得到用戶明示或默示的許可同意。這一規則源于美國，被美國聯邦貿易委員會（FTC）認定為線上隱私保護的‘最為重要的原則’。并且有告知成本低廉（只需發布統一的隱私條款），尊重個人意愿，監管模式簡單等優點。

但實踐證明，很少有用戶閱讀隱私條款，即使用戶閱讀了冗長的隱私條款，也很難理解復雜的法律術語以及隱私條款的含義，最后，用戶難做出理性的判斷。尤其當談判桌的另一端，坐著的是理性、商業化、法務體系健全的企業時，看似均衡的天平就完全失衡了。

很多消費者甚至沒有注意到這一行字

因此，讓企業承擔更多的責任，類似在追求‘結果正義’，而對企業來說，這意味著更高的成本和風險，是難以接受的。因此，直到最后，爭論雙方也都沒有說服另一方，只能在許多條款中達成妥協。‘所以在《規范》里，并沒有很好地去解決數據流轉過程中數據保護的責任。’鄭斌說。

不過即使如此，在《規范》起草組成員、中國信息安全研究院副院長左曉棟看來，這依舊是有著積極的意義。盡管《規范》是國家推薦性標準，不是強制性標準，不具備法律強制力，缺少實踐性，也缺少技術上的可執行性。但至少填補了我國相應體系的部分空白，為判斷合規性提供了一個標準，而且可以通過實踐不斷地改進，也為以后相關法律的起草、發布和實施奠定基礎。

中國用戶的隱私意識正在不斷覺醒，《諾頓網絡安全報告》中數據顯示，85%的中國受訪者比以往更關注自己的個人信息安全，90%希望為之做些什么，但66%的都不知道能怎么做。目前缺失的，正是相應法律法規的建設，以及企業對用戶信息保護的重視和積極參與。隨著整體生態的不斷改善，一個重視用戶隱私安全的商業環境，將更有利于良性的商業競爭和發展，也最終將反饋給整個社會。

參考文獻：

ISACA《網絡安全實施框架指南》

諾頓：《諾頓網絡安全調查報告》

中國青年報：《信息安全技術個人信息安全規范》出臺的背后

360法律研究院：《國內外看CCPA與GDPR的對比》

錢江晚報：《315過后，我們的隱私數據誰來保護》