隱私泄露有時是黑客的“傑作”，但更多時候，那些被我們信任的企業，往往成爲泄露數據的源頭。即便在涉及個人信息交易時，我們都會謹慎選擇規模較大的正規企業，最後卻像是全世界都知道了我們的隱私。

房屋中介詢問租期到了要不要找出租房，招聘網站詢問要不要換工作，網校詢問要不要考注冊會計師，移民機構詢問要不要赴海外投資……偶有詐騙電話，情節拙劣讓人哭笑不得。顯而易見，我們的隱私數據被他人獲取了，但是如何獲取，被盜或是被買賣，該如何保護這些數據，是否有法可循？對于大衆來說，至今仍是無解謎題。

從無到有的法律建設

在今年的315晚會中，電話詐騙産業鏈被曝光，涉及APP安裝（隱私截取）、探針盒子（隱私下載）、大數據分析（隱私數據整理）和AI語音電話騷擾（隱私變現）等一系列對個人信息有組織的侵犯。個人信息問題首次出現在315晚會是在2012年，中國電信被曝群發垃圾短信出售信息通道，之後更是多年榜上有名；2013年，高德地圖被曝位置共享服務會違規收集用戶信息，網易郵箱被曝根據用戶郵件內容分析用戶習慣並發送精准廣告；2014年，大唐旗下高鴻等公司被曝向智能手機植入惡意程序等問題，不僅會惡意扣費，還會泄露用戶的個人信息；2015年，中國移動、鐵通被曝爲騷擾電話提供支持，招商銀行、工商銀行等銀行內部員工被曝泄露出售客戶信息……

315晚會上對電信詐騙的報道

被點名的企業不乏知名企業和行業巨頭，恰如冰山一角，過去十幾年中不爲人知的對用戶數據的濫用只會更多。這讓中國人對企業的信任不斷下降的同時，對隱私泄露的不安也日益提升。諾頓的報告顯示，50%的中國受訪者對政府保護個人信息的能力表示信任，對金融機構只有24%，而對電商只有11%，社交媒體更是低至8%。

雖然互聯網便利了人們的生活，但消費者在獲得便利的同時，安全感卻再在逐漸消失。針對個人信息泄露、騷擾信息泛濫的情況，2014年3月重新修訂的《消費者權益保護法》，規定了經營者收集、使用消費者個人信息的原則。其中第29條第1款規定：‘經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和範圍，並經消費者同意。經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。’第3款規定：‘經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。’

這一立法顯示，隱私保護在我國已經成爲重要的社會問題，民衆作爲消費者的權益受到了侵犯。實際早在我國立法之前，這一問題在國際上就得到了廣泛的關注。早在1980年，經濟合作與發展組織（OECD）就頒布了《隱私保護與個人信息跨國流通指南》，隨著信息化程度的不斷提高，世界各國與地區也紛紛出台相應法律，比如2012年新加坡國會發布的《個人數據保護法》，2013年4月25日香港特區發布的《香港隱私保護條例》等。

相比之下，我國在個人信息保護方面的法律法規建設，正從無到有，處于不斷完善的階段，僅僅《消費者權益保護法》的少數條款顯然不足以覆蓋範圍越來越大的隱私保護問題。2017年6月1日，我國正式實施《網絡安全法》，這是我國第一部全面規範網絡安全管理方面問題的基礎性法律，共有11條條款定義個人信息保護的保護規定。其中第22條、41條、44條和45條，要求網絡運營者收集、使用個人信息時，要向用戶明示並取得同意，不得超範圍濫用個人信息，不得已非法方式獲取、提供和出售個人信息。第43條規定，個人有權要求網絡運營者刪除和更改其個人信息。

不過《網絡安全法》大多只是原則性規定，且個人信息保護主要集中在第四章網絡信息安全，仍有許多不足。而一年後實施的歐盟《一般數據保護條例》（GDPR），被認爲是史上最嚴苛的數據保護法案，以及隨後在2018年6月28日經加州州長簽署公布的《加利福尼亞州消費者隱私保護法案》（CCPA），條款都更加全面和細化，爲我們提供了可供參考的範本。

對比我國《網安》法中相應條款，GDPR和CCPA都對個人信息作了比較廣泛地定義，強調個用戶對個人信息的自決權，新增了數據可攜帶權、刪除個人信息權等，並規範了企業處理數據的行爲，比如要求企業告知用戶收集、使用、共享數據的具體信息，強化了企業和數據相關的責任，並設立較爲嚴格的處罰，但也設置了多種合規路徑，鼓勵數據以合法的途徑流通。

兩者間的不同之處在于，GDPR和《網絡安全法》有所類似，都是基于監管者的立場，強調有關責任主體主動規範數據處理的行爲，對數據保護的規定更爲全面；CCPA更側重規範數據的商業化利用，基本是消費者隱私保護的內容，和《消費者權益保護法》的出發點類似。相比較之下，GDPR要更嚴格和全面，涉及的對象範圍也更廣，對象是任何擁有歐盟公民個人數據的組織；CCPA主要針對達到相應體量（年度總收入超過2500萬美元，或爲商業目的購買、出售、分享超過50000個消費者、家庭或設備的個人信息，或通過銷售消費者個人數據取得的年收入超過總收入50%）的處理加州居民個人數據的營利性實體。

在規定企業合規使用用戶數據的界限上，GDPR在第六條規定，企業需要主動獲取數據主體即用戶的明確同意，個人對其數據有知情權，刪除個人數據、限制處理個人數據等相關權利，同時有‘合法利益’的概念。在預防犯罪、欺詐監測、員工背景調查和收集分析明星數據等情況下，證明‘合法利益’的企業可以不經同意合法處理個人數據；在CCPA中沒有‘合法利益’這一概念，消費者有權要求企業披露收集個人信息的類別和具體要求、目的以及信息共享的第三方，並有權選擇不出售個人信息和要求企業刪除收集的個人信息等。360法律研究院將兩者對個人數據使用的法案內容歸納爲，GDPR規定個人數據的使用‘原則上禁止，有合法授權時允許’；而CCPA則是‘原則上允許，有條件禁止’。

對于數據跨境，GDPR的有嚴格的規定，而CCPA沒有進行限制，這與美國相對鼓勵數據流通有關。但對于違規行爲，處罰的力度都很大。GDPR規定企業會面臨最高2000萬歐元或上一財年全球營業額4%的行政處罰（以較高者爲准）；而CCPA規定企業會面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的罰款。

自GDPR開始執行之後，Facebook、Google等巨頭都相繼收到巨額罰單，對于隱私保護的政策爭議也一直未停止。3月下旬，阿裏巴巴羅漢堂曾邀請全球頂尖學者進行三天閉門的會議，討論隱私與數據治理的問題。據《錢江晚報》報道，即使是來自歐美的學者，也普遍對GDPR表達了一些擔心。比如法國圖盧茲經濟學院教授JeanTirole就認爲，GDPR太過複雜，如果不允許收集數據，就類似于‘想倒掉洗澡水，把寶寶也潑出去了’，甚至有學者將150多年前英國頒布的《紅旗法案》與之相比較，《紅旗法案》旨在保護汽車司機和乘客的安全，卻也讓英國錯過了汽車産業的騰飛。美國伯克利大學教授JimDempsey則表示，現在針對隱私的政策大多基于假設，‘我們現在缺乏足夠的經濟學、社會學層面對隱私問題的研究’。亞洲商業法數據隱私項目負責人ClarisseGirot說：‘關于對數據的保護，一個國家單槍匹馬是不夠的，我們需要所有的國家、所有的司法管轄區域，共同的相互協作。目前，什麽叫相互協作、相互運作、相互運營，這些詞眼對我來說也並不是特別清楚，但我相信未來是清楚的。’

博弈中曲折前進

回到國內，在《網安》法之後，我國同樣在不斷推進相關的制度建設。《個人信息安全規範》就是目前主要針對個人隱私保護領域，進展較快的標准。雖然不具備強制性，但對處理個人信息和各類組織提出了具體的保護要求，也爲制定和實施個人信息保護相關法律法規奠定了基礎。

今年2月初，經過修正，由國家市場監督管理總局和中國國家標准化管理委員會發布的《信息安全技術個人信息安全規範（草案）》針對個人信息面臨的安全問題，規範了個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行爲。

在這份標准之中，同樣充滿了利益的博弈和妥協。從標准起草單位和主要起草人來看，既有中國電子技術標准化研究院、清華大學、公安部第一研究所等政府、學術機構，也有阿裏巴巴（北京）軟件服務公司、深圳騰訊計算機系統有限公司、阿裏雲計算有限公司、華爲技術有限公司等企業。

據《中國青年報》報道，‘企業對于個人信息保護責任邊界到底在哪兒’，是起草組爭論的核心問題，起草組成員、阿裏巴巴安全部總監鄭斌回憶，這個問題起草組討論了近一年的時間。‘我們每兩個月左右會開一次討論會，大概討論了五六次，每一次這個問題都會提出來。’

爭論的重點，是個人信息在數據流轉時，企業所要擔負的責任。對企業來說，理想的結果是企業只負責自己掌握的個人數據不出現泄漏、濫用等安全問題，而經過用戶授權，流轉到第三方的數據出現問題時，企業不承擔法律責任，即，前普遍的存在授權鏈即可的觀念。

而學術專家更傾向于，企業應該對自身搭建的産業鏈上下遊協同能力進行充分的評估，並爲合作夥伴承擔責任。例如劍橋分析曾經利用Facebook上5000萬名用戶資料進行分析並進而影響美國大選，Facebook就因此遭到美國、歐盟等多方質詢。

一個現實是，即使過程完全合規，絕大部分用戶實際並不會去看動辄幾千字的用戶協議，因此‘同意’並不意味著‘知情’。北京大學金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到，我國個人信息收集的原則是‘告知—同意’規則，即信息控制者和信息處理者在收集、處理數據前需事先告知用戶，並得到用戶明示或默示的許可同意。這一規則源于美國，被美國聯邦貿易委員會（FTC）認定爲線上隱私保護的‘最爲重要的原則’。並且有告知成本低廉（只需發布統一的隱私條款），尊重個人意願，監管模式簡單等優點。

但實踐證明，很少有用戶閱讀隱私條款，即使用戶閱讀了冗長的隱私條款，也很難理解複雜的法律術語以及隱私條款的含義，最後，用戶難做出理性的判斷。尤其當談判桌的另一端，坐著的是理性、商業化、法務體系健全的企業時，看似均衡的天平就完全失衡了。

因此，讓企業承擔更多的責任，類似在追求‘結果正義’，而對企業來說，這意味著更高的成本和風險，是難以接受的。因此，直到最後，爭論雙方也都沒有說服另一方，只能在許多條款中達成妥協。‘所以在《規範》裏，並沒有很好地去解決數據流轉過程中數據保護的責任。’鄭斌說。

不過即使如此，在《規範》起草組成員、中國信息安全研究院副院長左曉棟看來，這依舊是有著積極的意義。盡管《規範》是國家推薦性標准，不是強制性標准，不具備法律強制力，缺少實踐性，也缺少技術上的可執行性。但至少填補了我國相應體系的部分空白，爲判斷合規性提供了一個標准，而且可以通過實踐不斷地改進，也爲以後相關法律的起草、發布和實施奠定基礎。

中國用戶的隱私意識正在不斷覺醒。目前缺失的，正是相應法律法規的建設，以及企業對用戶信息保護的重視和積極參與。隨著整體生態的不斷改善，一個重視用戶隱私安全的商業環境，將更有利于良性的商業競爭和發展，也最終將反饋給整個社會。

本文轉自鎂客網。轉載目的在于傳遞更多信息，並不代表贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題，請在30日內與我們聯系，我們將在第一時間刪除內容！