隐私泄露有时是黑客的「杰作」,但更多时候,那些被我们信任的企业,往往成为泄露数据的源头。即便在涉及个人信息交易时,我们都会谨慎选择规模较大的正规企业,最后却像是全世界都知道了我们的隐私。
从无到有的法律建设
不久前诺顿委托独立研究机构 The Harris Poll 对全球 16 个市场,超过 16000 名 18 岁以上个人用户进行在线调查,发布了《2022 年诺顿网络安全调查报告》。对中国过用户的调查结果显示,2022 年有超过五分之一的中国消费者曾遭遇身份盗窃,近 7300 万人受到影响。
在今年的 315 晚会中,电话诈骗产业链被曝光,涉及 APP 安装(隐私截取)、探针盒子(隐私下载)、大数据分析(隐私数据整理)和 AI 语音电话骚扰(隐私变现)等一系列对个人信息有组织的侵犯。个人信息问题首次出现在 315 晚会是在 2012 年,中国电信被曝群发垃圾短信出售信息通道,之后更是多年榜上有名;2013 年,高德地图被曝位置共享服务会违规收集用户信息,网易邮箱被曝根据用户邮件内容分析用户习惯并发送精准广告;2014 年,大唐旗下高鸿等公司被曝向智能手机植入恶意程序等问题,不仅会恶意扣费,还会泄露用户的个人信息;2015 年,中国移动、铁通被曝为骚扰电话提供支持,招商银行、工商银行等银行内部员工被曝泄露出售客户信息……
被点名的企业不乏知名企业和行业巨头,恰如冰山一角,过去十几年中不为人知的对用户数据的滥用只会更多。这让中国人对企业的信任不断下降的同时,对隐私泄露的不安也日益提升。诺顿的报告显示,50% 的中国受访者对政府保护个人信息的能力表示信任,对金融机构只有 24%,而对电商只有 11%,社交媒体更是低至 8%。
虽然互联网便利了人们的生活,但消费者在获得便利的同时,安全感却再在逐渐消失。针对个人信息泄露、骚扰信息泛滥的情况,2014 年 3 月重新修订的《消费者权益保护法》,规定了经营者收集、使用消费者个人信息的原则。其中第 29 条第 1 款规定:「经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。」第 3 款规定:「经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。」
这一立法显示,隐私保护在我国已经成为重要的社会问题,民众作为消费者的权益受到了侵犯。实际早在我国立法之前,这一问题在国际上就得到了广泛的关注。早在 1980 年,经济合作与发展组织(OECD)就颁布了《隐私保护与个人信息跨国流通指南》,随着信息化程度的不断提高,世界各国与地区也纷纷出台相应法律,比如 2012 年新加坡国会发布的《个人数据保护法》,2013 年 4 月 25 日香港特区发布的《香港隐私保护条例》等。
相比之下,我国在个人信息保护方面的法律法规建设,正从无到有,处于不断完善的阶段,仅仅《消费者权益保护法》的少数条款显然不足以覆盖范围越来越大的隐私保护问题。2022 年 6 月 1 日,我国正式实施《网络安全法》,这是我国第一部全面规范网络安全管理方面问题的基础性法律,共有 11 条条款定义个人信息保护的保护规定。其中第 22 条、41 条、44 条和 45 条,要求网络运营者收集、使用个人信息时,要向用户明示并取得同意,不得超范围滥用个人信息,不得已非法方式获取、提供和出售个人信息。第 43 条规定,个人有权要求网络运营者删除和更改其个人信息。
不过《网络安全法》大多只是原则性规定,且个人信息保护主要集中在第四章网络信息安全,仍有许多不足。而一年后实施的欧盟《一般数据保护条例》(GDPR),被认为是史上最严苛的数据保护法案,以及随后在 2022 年 6 月 28 日经加州州长签署公布的《加利福尼亚州消费者隐私保护法案》(CCPA),条款都更加全面和细化,为我们提供了可供参考的范本。
对比我国《网安》法中相应条款,GDPR 和 CCPA 都对个人信息作了比较广泛地定义,强调个用户对个人信息的自决权,新增了数据可携带权、删除个人信息权等,并规范了企业处理数据的行为,比如要求企业告知用户收集、使用、共享数据的具体信息,强化了企业和数据相关的责任,并设立较为严格的处罚,但也设置了多种合规路径,鼓励数据以合法的途径流通。
两者间的不同之处在于,GDPR 和《网络安全法》有所类似,都是基于监管者的立场,强调有关责任主体主动规范数据处理的行为,对数据保护的规定更为全面;CCPA 更侧重规范数据的商业化利用,基本是消费者隐私保护的内容,和《消费者权益保护法》的出发点类似。相比较之下,GDPR 要更严格和全面,涉及的对象范围也更广,对象是任何拥有欧盟公民个人数据的组织;CCPA 主要针对达到相应体量(年度总收入超过 2500 万美元,或为商业目的购买、出售、分享超过 50000 个消费者、家庭或设备的个人信息,或通过销售消费者个人数据取得的年收入超过总收入 50%)的处理加州居民个人数据的营利性实体。
在规定企业合规使用用户数据的界限上,GDPR 在第六条规定,企业需要主动获取数据主体即用户的明确同意,个人对其数据有知情权,删除个人数据、限制处理个人数据等相关权利,同时有「合法利益」的概念。在预防犯罪、欺诈监测、员工背景调查和收集分析明星数据等情况下,证明「合法利益」的企业可以不经同意合法处理个人数据;在 CCPA 中没有「合法利益」这一概念,消费者有权要求企业披露收集个人信息的类别和具体要求、目的以及信息共享的第三方,并有权选择不出售个人信息和要求企业删除收集的个人信息等。360 法律研究院将两者对个人数据使用的法案内容归纳为,GDPR 规定个人数据的使用「原则上禁止,有合法授权时允许」;而 CCPA 则是「原则上允许,有条件禁止」。
对于数据跨境,GDPR 的有严格的规定,而 CCPA 没有进行限制,这与美国相对鼓励数据流通有关。但对于违规行为,处罚的力度都很大。GDPR 规定企业会面临最高 2000 万欧元或上一财年全球营业额 4% 的行政处罚(以较高者为准);而 CCPA 规定企业会面临支付给每位消费者最高 750 美元的赔偿金以及最高 7500 美元的罚款。
自 GDPR 开始执行之后,Facebook、Google 等巨头都相继收到巨额罚单,对于隐私保护的政策争议也一直未停止。3 月下旬,阿里巴巴罗汉堂曾邀请全球顶尖学者进行三天闭门的会议,讨论隐私与数据治理的问题。据《钱江晚报》报道,即使是来自欧美的学者,也普遍对 GDPR 表达了一些担心。比如法国图卢兹经济学院教授 Jean Tirole 就认为,GDPR 太过复杂,如果不允许收集数据,就类似于「想倒掉洗澡水,把宝宝也泼出去了」,甚至有学者将 150 多年前英国颁布的《红旗法案》与之相比较,《红旗法案》旨在保护汽车司机和乘客的安全,却也让英国错过了汽车产业的腾飞。美国伯克利大学教授 Jim Dempsey 则表示,现在针对隐私的政策大多基于假设,「我们现在缺乏足够的经济学、社会学层面对隐私问题的研究」。亚洲商业法数据隐私项目负责人 Clarisse Girot 说:「关于对数据的保护,一个国家单枪匹马是不够的,我们需要所有的国家、所有的司法管辖区域,共同的相互协作。目前,什么叫相互协作、相互运作、相互运营,这些词眼对我来说也并不是特别清楚,但我相信未来是清楚的。」
博弈中曲折前进
回到国内,在《网安》法之后,我国同样在不断推进相关的制度建设。《个人信息安全规范》就是目前主要针对个人隐私保护领域,进展较快的标准。虽然不具备强制性,但对处理个人信息和各类组织提出了具体的保护要求,也为制定和实施个人信息保护相关法律法规奠定了基础。
今年 2 月初,经过修正,由国家市场监督管理总局和中国国家标准化管理委员会发布的《信息安全技术 个人信息安全规范(草案)》针对个人信息面临的安全问题,规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。
在这份标准之中,同样充满了利益的博弈和妥协。从标准起草单位和主要起草人来看,既有中国电子技术标准化研究院、清华大学、公安部第一研究所等政府、学术机构,也有阿里巴巴(北京)软件服务公司、深圳腾讯计算机系统有限公司、阿里云计算有限公司、华为技术有限公司等企业。
据《中国青年报》报道,「企业对于个人信息保护责任边界到底在哪儿」,是起草组争论的核心问题,起草组成员、阿里巴巴安全部总监郑斌回忆,这个问题起草组讨论了近一年的时间。「我们每两个月左右会开一次讨论会,大概讨论了五六次,每一次这个问题都会提出来。」
争论的重点,是个人信息在数据流转时,企业所要担负的责任。对企业来说,理想的结果是企业只负责自己掌握的个人数据不出现泄漏、滥用等安全问题,而经过用户授权,流转到第三方的数据出现问题时,企业不承担法律责任,即,前普遍的存在授权链即可的观念。
而学术专家更倾向于,企业应该对自身搭建的产业链上下游协同能力进行充分的评估,并为合作伙伴承担责任。例如剑桥分析曾经利用 Facebook 上 5000 万名用户资料进行分析并进而影响美国大选,Facebook 就因此遭到美国、欧盟等多方质询。
一个现实是,即使过程完全合规,绝大部分用户实际并不会去看动辄几千字的用户协议,因此「同意」并不意味着「知情」。北京大学金融法研究中心季旭在《支付宝年度账单反思录》一文中谈到,我国个人信息收集的原则是「告知—同意」规则,即信息控制者和信息处理者在收集、处理数据前需事先告知用户,并得到用户明示或默示的许可同意。这一规则源于美国,被美国联邦贸易委员会(FTC)认定为线上隐私保护的「最为重要的原则」。并且有告知成本低廉(只需发布统一的隐私条款),尊重个人意愿,监管模式简单等优点。
但实践证明,很少有用户阅读隐私条款,即使用户阅读了冗长的隐私条款,也很难理解复杂的法律术语以及隐私条款的含义,最后,用户难做出理性的判断。尤其当谈判桌的另一端,坐着的是理性、商业化、法务体系健全的企业时,看似均衡的天平就完全失衡了。
因此,让企业承担更多的责任,类似在追求「结果正义」,而对企业来说,这意味着更高的成本和风险,是难以接受的。因此,直到最后,争论双方也都没有说服另一方,只能在许多条款中达成妥协。「所以在《规范》里,并没有很好地去解决数据流转过程中数据保护的责任。」郑斌说。
不过即使如此,在《规范》起草组成员、中国信息安全研究院副院长左晓栋看来,这依旧是有着积极的意义。尽管《规范》是国家推荐性标准,不是强制性标准,不具备法律强制力,缺少实践性,也缺少技术上的可执行性。但至少填补了我国相应体系的部分空白,为判断合规性提供了一个标准,而且可以通过实践不断地改进,也为以后相关法律的起草、发布和实施奠定基础。
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...