隱私泄露有時是黑客的「杰作」，但更多時候，那些被我們信任的企業(yè)，往往成為泄露數(shù)據(jù)的源頭。

即便在涉及個人信息交易時，我們都會謹(jǐn)慎選擇規(guī)模較大的正規(guī)企業(yè)，最后卻像是全世界都知道了我們的隱私。

從無到有的法律建設(shè)不久前諾頓委托獨(dú)立研究機(jī)構(gòu) The Harris Poll 對全球 16 個市場，超過 16000 名 18 歲以上個人用戶進(jìn)行在線調(diào)查，發(fā)布了《2018 年諾頓網(wǎng)絡(luò)安全調(diào)查報告》。

對中國過用戶的調(diào)查結(jié)果顯示，2018 年有超過五分之一的中國消費(fèi)者曾遭遇身份盜竊，近 7300 萬人受到影響。

在今年的 315 晚會中，電話詐騙產(chǎn)業(yè)鏈被曝光，涉及 APP 安裝(隱私截取)、探針盒子(隱私下載)、大數(shù)據(jù)分析(隱私數(shù)據(jù)整理)和 AI 語音電話騷擾(隱私變現(xiàn))等一系列對個人信息有組織的侵犯。

個人信息問題首次出現(xiàn)在 315 晚會是在 2012 年，中國電信被曝群發(fā)垃圾短信出售信息通道，之后更是多年榜上有名;2013 年，高德地圖被曝位置共享服務(wù)會違規(guī)收集用戶信息，網(wǎng)易郵箱被曝根據(jù)用戶郵件內(nèi)容分析用戶習(xí)慣并發(fā)送精準(zhǔn)廣告;2014 年，大唐旗下高鴻等公司被曝向智能手機(jī)植入惡意程序等問題，不僅會惡意扣費(fèi)，還會泄露用戶的個人信息;2015 年，中國移動、鐵通被曝為騷擾電話提供支持，招商銀行、工商銀行等銀行內(nèi)部員工被曝泄露出售客戶信息……被點(diǎn)名的企業(yè)不乏知名企業(yè)和行業(yè)巨頭，恰如冰山一角，過去十幾年中不為人知的對用戶數(shù)據(jù)的濫用只會更多。

這讓中國人對企業(yè)的信任不斷下降的同時，對隱私泄露的不安也日益提升。

諾頓的報告顯示，50% 的中國受訪者對政府保護(hù)個人信息的能力表示信任，對金融機(jī)構(gòu)只有 24%，而對電商只有 11%，社交媒體更是低至 8%。

雖然互聯(lián)網(wǎng)便利了人們的生活，但消費(fèi)者在獲得便利的同時，安全感卻再在逐漸消失。

針對個人信息泄露、騷擾信息泛濫的情況，2014 年 3 月重新修訂的《消費(fèi)者權(quán)益保護(hù)法》，規(guī)定了經(jīng)營者收集、使用消費(fèi)者個人信息的原則。

其中第 29 條第 1 款規(guī)定：「經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。

經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

」第 3 款規(guī)定：「經(jīng)營者未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。

」這一立法顯示，隱私保護(hù)在我國已經(jīng)成為重要的社會問題，民眾作為消費(fèi)者的權(quán)益受到了侵犯。

實(shí)際早在我國立法之前，這一問題在國際上就得到了廣泛的關(guān)注。

早在 1980 年，經(jīng)濟(jì)合作與發(fā)展組織(OECD)就頒布了《隱私保護(hù)與個人信息跨國流通指南》，隨著信息化程度的不斷提高，世界各國與地區(qū)也紛紛出臺相應(yīng)法律，比如 2012 年新加坡國會發(fā)布的《個人數(shù)據(jù)保護(hù)法》，2013 年 4 月 25 日香港特區(qū)發(fā)布的《香港隱私保護(hù)條例》等。

相比之下，我國在個人信息保護(hù)方面的法律法規(guī)建設(shè)，正從無到有，處于不斷完善的階段，僅僅《消費(fèi)者權(quán)益保護(hù)法》的少數(shù)條款顯然不足以覆蓋范圍越來越大的隱私保護(hù)問題。

2017 年 6 月 1 日，我國正式實(shí)施《網(wǎng)絡(luò)安全法》，這是我國第一部全面規(guī)范網(wǎng)絡(luò)安全管理方面問題的基礎(chǔ)性法律，共有 11 條條款定義個人信息保護(hù)的保護(hù)規(guī)定。

其中第 22 條、41 條、44 條和 45 條，要求網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息時，要向用戶明示并取得同意，不得超范圍濫用個人信息，不得已非法方式獲取、提供和出售個人信息。

第 43 條規(guī)定，個人有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除和更改其個人信息。

不過《網(wǎng)絡(luò)安全法》大多只是原則性規(guī)定，且個人信息保護(hù)主要集中在第四章網(wǎng)絡(luò)信息安全，仍有許多不足。

而一年后實(shí)施的歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)，被認(rèn)為是史上最嚴(yán)苛的數(shù)據(jù)保護(hù)法案，以及隨后在 2018 年 6 月 28 日經(jīng)加州州長簽署公布的《加利福尼亞州消費(fèi)者隱私保護(hù)法案》(CCPA)，條款都更加全面和細(xì)化，為我們提供了可供參考的范本。

對比我國《網(wǎng)安》法中相應(yīng)條款，GDPR 和 CCPA 都對個人信息作了比較廣泛地定義，強(qiáng)調(diào)個用戶對個人信息的自決權(quán)，新增了數(shù)據(jù)可攜帶權(quán)、刪除個人信息權(quán)等，并規(guī)范了企業(yè)處理數(shù)據(jù)的行為，比如要求企業(yè)告知用戶收集、使用、共享數(shù)據(jù)的具體信息，強(qiáng)化了企業(yè)和數(shù)據(jù)相關(guān)的責(zé)任，并設(shè)立較為嚴(yán)格的處罰，但也設(shè)置了多種合規(guī)路徑，鼓勵數(shù)據(jù)以合法的途徑流通。

兩者間的不同之處在于，GDPR 和《網(wǎng)絡(luò)安全法》有所類似，都是基于監(jiān)管者的立場，強(qiáng)調(diào)有關(guān)責(zé)任主體主動規(guī)范數(shù)據(jù)處理的行為，對數(shù)據(jù)保護(hù)的規(guī)定更為全面;CCPA 更側(cè)重規(guī)范數(shù)據(jù)的商業(yè)化利用，基本是消費(fèi)者隱私保護(hù)的內(nèi)容，和《消費(fèi)者權(quán)益保護(hù)法》的出發(fā)點(diǎn)類似。

相比較之下，GDPR 要更嚴(yán)格和全面，涉及的對象范圍也更廣，對象是任何擁有歐盟公民個人數(shù)據(jù)的組織;CCPA 主要針對達(dá)到相應(yīng)體量(年度總收入超過 2500 萬美元，或?yàn)樯虡I(yè)目的購買、出售、分享超過 50000 個消費(fèi)者、家庭或設(shè)備的個人信息，或通過銷售消費(fèi)者個人數(shù)據(jù)取得的年收入超過總收入 50%)的處理加州居民個人數(shù)據(jù)的營利性實(shí)體。

在規(guī)定企業(yè)合規(guī)使用用戶數(shù)據(jù)的界限上，GDPR 在第六條規(guī)定，企業(yè)需要主動獲取數(shù)據(jù)主體即用戶的明確同意，個人對其數(shù)據(jù)有知情權(quán)，刪除個人數(shù)據(jù)、限制處理個人數(shù)據(jù)等相關(guān)權(quán)利，同時有「合法利益」的概念。

在預(yù)防犯罪、欺詐監(jiān)測、員工背景調(diào)查和收集分析明星數(shù)據(jù)等情況下，證明「合法利益」的企業(yè)可以不經(jīng)同意合法處理個人數(shù)據(jù);在 CCPA 中沒有「合法利益」這一概念，消費(fèi)者有權(quán)要求企業(yè)披露收集個人信息的類別和具體要求、目的以及信息共享的第三方，并有權(quán)選擇不出售個人信息和要求企業(yè)刪除收集的個人信息等。

360 法律研究院將兩者對個人數(shù)據(jù)使用的法案內(nèi)容歸納為，GDPR 規(guī)定個人數(shù)據(jù)的使用「原則上禁止，有合法授權(quán)時允許」;而 CCPA 則是「原則上允許，有條件禁止」。

對于數(shù)據(jù)跨境，GDPR 的有嚴(yán)格的規(guī)定，而 CCPA 沒有進(jìn)行限制，這與美國相對鼓勵數(shù)據(jù)流通有關(guān)。

但對于違規(guī)行為，處罰的力度都很大。

GDPR 規(guī)定企業(yè)會面臨最高 2000 萬歐元或上一財年全球營業(yè)額 4% 的行政處罰(以較高者為準(zhǔn));而 CCPA 規(guī)定企業(yè)會面臨支付給每位消費(fèi)者最高 750 美元的賠償金以及最高 7500 美元的罰款。

自 GDPR 開始執(zhí)行之后，F(xiàn)acebook、Google 等巨頭都相繼收到巨額罰單，對于隱私保護(hù)的政策爭議也一直未停止。

3 月下旬，阿里巴巴羅漢堂曾邀請全球頂尖學(xué)者進(jìn)行三天閉門的會議，討論隱私與數(shù)據(jù)治理的問題。

據(jù)《錢江晚報》報道，即使是來自歐美的學(xué)者，也普遍對 GDPR 表達(dá)了一些擔(dān)心。

比如法國圖盧茲經(jīng)濟(jì)學(xué)院教授 Jean Tirole 就認(rèn)為，GDPR 太過復(fù)雜，如果不允許收集數(shù)據(jù)，就類似于「想倒掉洗澡水，把寶寶也潑出去了」，甚至有學(xué)者將 150 多年前英國頒布的《紅旗法案》與之相比較，《紅旗法案》旨在保護(hù)汽車司機(jī)和乘客的安全，卻也讓英國錯過了汽車產(chǎn)業(yè)的騰飛。

美國伯克利大學(xué)教授 Jim Dempsey 則表示，現(xiàn)在針對隱私的政策大多基于假設(shè)，「我們現(xiàn)在缺乏足夠的經(jīng)濟(jì)學(xué)、社會學(xué)層面對隱私問題的研究」。

亞洲商業(yè)法數(shù)據(jù)隱私項目負(fù)責(zé)人 Clarisse Girot 說：「關(guān)于對數(shù)據(jù)的保護(hù)，一個國家單槍匹馬是不夠的，我們需要所有的國家、所有的司法管轄區(qū)域，共同的相互協(xié)作。

目前，什么叫相互協(xié)作、相互運(yùn)作、相互運(yùn)營，這些詞眼對我來說也并不是特別清楚，但我相信未來是清楚的。

」博弈中曲折前進(jìn)回到國內(nèi)，在《網(wǎng)安》法之后，我國同樣在不斷推進(jìn)相關(guān)的制度建設(shè)。

《個人信息安全規(guī)范》就是目前主要針對個人隱私保護(hù)領(lǐng)域，進(jìn)展較快的標(biāo)準(zhǔn)。

雖然不具備強(qiáng)制性，但對處理個人信息和各類組織提出了具體的保護(hù)要求，也為制定和實(shí)施個人信息保護(hù)相關(guān)法律法規(guī)奠定了基礎(chǔ)。

今年 2 月初，經(jīng)過修正，由國家市場監(jiān)督管理總局和中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范(草案)》針對個人信息面臨的安全問題，規(guī)范了個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。

在這份標(biāo)準(zhǔn)之中，同樣充滿了利益的博弈和妥協(xié)。

從標(biāo)準(zhǔn)起草單位和主要起草人來看，既有中國電子技術(shù)標(biāo)準(zhǔn)化研究院、清華大學(xué)、公安部第一研究所等政府、學(xué)術(shù)機(jī)構(gòu)，也有阿里巴巴(北京)軟件服務(wù)公司、深圳騰訊計算機(jī)系統(tǒng)有限公司、阿里云計算有限公司、華為技術(shù)有限公司等企業(yè)。

據(jù)《中國青年報》報道，「企業(yè)對于個人信息保護(hù)責(zé)任邊界到底在哪兒」，是起草組爭論的核心問題，起草組成員、阿里巴巴安全部總監(jiān)鄭斌回憶，這個問題起草組討論了近一年的時間。

「我們每兩個月左右會開一次討論會，大概討論了五六次，每一次這個問題都會提出來。

」?fàn)幷摰闹攸c(diǎn)，是個人信息在數(shù)據(jù)流轉(zhuǎn)時，企業(yè)所要擔(dān)負(fù)的責(zé)任。

對企業(yè)來說，理想的結(jié)果是企業(yè)只負(fù)責(zé)自己掌握的個人數(shù)據(jù)不出現(xiàn)泄漏、濫用等安全問題，而經(jīng)過用戶授權(quán)，流轉(zhuǎn)到第三方的數(shù)據(jù)出現(xiàn)問題時，企業(yè)不承擔(dān)法律責(zé)任，即，前普遍的存在授權(quán)鏈即可的觀念。

而學(xué)術(shù)專家更傾向于，企業(yè)應(yīng)該對自身搭建的產(chǎn)業(yè)鏈上下游協(xié)同能力進(jìn)行充分的評估，并為合作伙伴承擔(dān)責(zé)任。

例如劍橋分析曾經(jīng)利用 Facebook 上 5000 萬名用戶資料進(jìn)行分析并進(jìn)而影響美國大選，F(xiàn)acebook 就因此遭到美國、歐盟等多方質(zhì)詢。

一個現(xiàn)實(shí)是，即使過程完全合規(guī)，絕大部分用戶實(shí)際并不會去看動輒幾千字的用戶協(xié)議，因此「同意」并不意味著「知情」。

北京大學(xué)金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到，我國個人信息收集的原則是「告知—同意」規(guī)則，即信息控制者和信息處理者在收集、處理數(shù)據(jù)前需事先告知用戶，并得到用戶明示或默示的許可同意。

這一規(guī)則源于美國，被美國聯(lián)邦貿(mào)易委員會(FTC)認(rèn)定為線上隱私保護(hù)的「最為重要的原則」。

并且有告知成本低廉(只需發(fā)布統(tǒng)一的隱私條款)，尊重個人意愿，監(jiān)管模式簡單等優(yōu)點(diǎn)。

但實(shí)踐證明，很少有用戶閱讀隱私條款，即使用戶閱讀了冗長的隱私條款，也很難理解復(fù)雜的法律術(shù)語以及隱私條款的含義，最后，用戶難做出理性的判斷。

尤其當(dāng)談判桌的另一端，坐著的是理性、商業(yè)化、法務(wù)體系健全的企業(yè)時，看似均衡的天平就完全失衡了。

因此，讓企業(yè)承擔(dān)更多的責(zé)任，類似在追求「結(jié)果正義」，而對企業(yè)來說，這意味著更高的成本和風(fēng)險，是難以接受的。

因此，直到最后，爭論雙方也都沒有說服另一方，只能在許多條款中達(dá)成妥協(xié)。

「所以在《規(guī)范》里，并沒有很好地去解決數(shù)據(jù)流轉(zhuǎn)過程中數(shù)據(jù)保護(hù)的責(zé)任。

」鄭斌說。

不過即使如此，在《規(guī)范》起草組成員、中國信息安全研究院副院長左曉棟看來，這依舊是有著積極的意義。

盡管《規(guī)范》是國家推薦性標(biāo)準(zhǔn)，不是強(qiáng)制性標(biāo)準(zhǔn)，不具備法律強(qiáng)制力，缺少實(shí)踐性，也缺少技術(shù)上的可執(zhí)行性。

但至少填補(bǔ)了我國相應(yīng)體系的部分空白，為判斷合規(guī)性提供了一個標(biāo)準(zhǔn)，而且可以通過實(shí)踐不斷地改進(jìn)，也為以后相關(guān)法律的起草、發(fā)布和實(shí)施奠定基礎(chǔ)。