年初數千萬Facebook用戶數據洩露從而影響美國總統選舉結果的事件餘波剛剛過去,5月25日,被稱為“全球最嚴”數據保護條例的GDPR正式在歐盟地區開始實施,這又一次讓“數據保護”的議題成為世界輿論的中心。在這個大數據時代,歐盟略顯嚴苛的條例為包括中國在内的世界其他國家提供了一個重要的參考方案。
5月22日,Facebook公司創始人兼CEO馬克·紮克伯格出席歐洲議會聽證會,就Facebook公司數據外洩事件接受議員質詢(視覺中國供圖)
歐盟頒布但影響全球“(你們的表現)看上去更像是在最後一分鐘才收到了新隐私法規的提醒,然後為了避免任何的法律後果,就匆匆忙忙地做了這些?!”在中國智能家居生産廠商Yeelight的英文版網站留言區,一位歐洲用戶在十幾天以前留下了上面這則憤怒的留言。而使他感到如此不悅的原因是,這家來自中國的廠商在5月24日宣布,為了更好地保障用戶數據隐私并進行軟件升級工作,他們将暫停其在歐洲地區的部分服務。作為小米生态鍊旗下聚焦于智能照明設備生産的企業,Yeelight在歐洲地區也有自己的業務,在一些報道中,他們被認為是僅次于飛利浦的全球第二大智能燈具出貨商。然而,圍繞在用戶數據與隐私方面的問題使他們不得不暫别歐洲市場。盡管YeelightCEO姜兆甯在微博回複中否認公司保存用戶隐私數據,并表示此次隻是暫時下線,合規後将繼續上線。但業内聲音普遍認為Yeelight此次下線就是因為“GDPR”的緣故。所謂“GDPR”,其全稱為《通用數據保護條例》,這項由歐盟頒布的新條例顧名思義就是要“保護數據”,而它也是目前全球範圍内當之無愧的“最嚴”數據保護法案。自從這項條例在2016年4月在歐盟議會和歐盟理事會獲得通過之後,全球都在期待它在今年5月25日的正式實施将會給世界帶來哪些影響和變化,而Yeelight隻是其中受到沖擊的一家企業代表。國内某數據安全公司總監告訴本刊,這些問題都不是Yeelight獨有的,“現行的大多數互聯網服務都會有問題,甚至包括Google與Facebook。”他說道。一個看上去隻是由歐盟頒布、在歐盟地區實行的法案卻影響到了中國及全世界衆多的跨國公司,顯然GDPR的意義和影響遠不止于歐洲本身。愛爾蘭投資發展局中國區總監張哲偉告訴本刊,此條例雖然針對的保護對象是歐盟公民,但由于《條例》中對于是否為歐盟境内用戶提供服務的判定标準為:“隻要該網站或手機APP能夠被歐盟境内個人所訪問和使用,産品或服務使用的語言是英語或特定歐盟成員國語言、産品價格标識為歐元,都可以被理解為該産品、服務的目标用戶包括歐盟境内用戶。”因此,即使一家企業的服務器位于亞洲,但隻要其中存儲有任何關于歐盟用戶的信息,這家企業都适用于這一新法規。“這也是《條例》在全球範圍引起極大震動的原因之一,不管傳統行業還是電子商務等新興領域,都很可能落入《條例》的适用範圍。”張哲偉說道。而對于所有受影響的企業來說,想要滿足GDPR的合規要求也需要付出“十分高”的代價,企業需要投入大量人力财力,才能确保執行。張哲偉總結了對企業主要的兩方面影響:第一,企業必須在采集用戶數據前就獲得用戶同意,并告知數據用途和去向,用戶也有絕對權力要求查看、修改或删除個人信息;此外,GDPR更嚴格要求企業完善一切需要使用用戶數據的信息流程,确保數據的公開和透明。而這兩方面的規定與此前相比均有較大提升,未能履行的企業将承受最高達2000萬歐元或4%全球總營收(兩者以較高者為準)的巨額罰款。“除了罰款外,用戶索賠和信用降級等都會對企業造成極大損失。”“目前來看,我觀察到的有三種企業。”中國信息通信研究院互聯網法律研究中心副主任方禹也向本刊總結道,“第一種就是停止自己在歐洲的業務,比如《洛杉矶時報》和《芝加哥論壇報》等媒體就因此關閉了其歐洲網站;第二種主要是大企業,他們都在努力合規,比如阿裡雲已經宣布說他們符合這個要求了,但是要做到合規就是六個字:費時、費力、費錢;第三種主要是中小企業比較多,他們基本采取是的觀望态度,說得不好聽就是在賭博,賭你不來罰我。”當然,不同的企業會根據其自身利益做出不同的選擇。5月31日,已經停止了一周服務的Yeelight經過整改後在其官網上發表了恢複服務的聲明,其中明确表示“将嚴格遵照本地隐私法律法規的要求,保障用戶的隐私數據不被違規收集或者濫用”。但根據業内普遍的分析,其中付出的代價應該不小。事實上,就在文章開頭那位用戶的吐槽下面,有Yeelight的員工就向他解釋說,Yeelight為了達到GDPR的要求已經努力了數月,但即使如此,他們仍然有一些問題沒能來得及解決而不得不臨時下線自己的服務。而大公司則有更多的資源來做更充分的準備。如果你是一位資深互聯網用戶,你應該自5月上旬起就會收到不少來自大公司們的隐私通知郵件。比如谷歌公司在5月15日就像其全球用戶發送了“隐私權政策和隐私控制設置方面的諸多改進”的郵件,其中明确表示“之所以做出這些更新,是因為歐盟即将實施新的數據保護條例”。而微軟方面也向本刊表示,他們自2016年GDPR獲歐盟通過後便投入了大量的人力物力來确保其産品和服務符合GDPR相關要求,其中參與的工程師人數超過1600位。另一方面,如同張哲偉上面所解釋的那樣,這種影響絕不僅限于互聯網行業。事實上,隻要你的服務涉及收集或使用用戶的個人數據,無論你身處哪行哪業,你都會受到影響。比如因為我此前曾用郵箱注冊了倫敦希思羅機場的賬号,他們也在GDPR頒布之際向我發出了更改隐私條款的郵件。而國内的國航、東航均在5月24日對其APP和官方網站的隐私政策條款進行了更新,在最新版的隐私政策中,這幾家航空公司将可能收集的個人信息的範圍列得更加詳細。“從某種意義上來說,GDPR的實施就像一個企業新的管理系統,企業不僅需要對舊的系統進行評估,做出調整,也要适應新的系統。”張哲偉說道。所以他認為不管是運營流程,還是員工培訓,乃至客戶層面,都需要做出相應的改變,并且要付出一定的投入,因為“如果違反GDPR,企業将面對嚴重的處罰”。
北京大學信息管理系副主任周慶山
引領時代還是過猶不及?事實上,雖然在外界看來,歐盟選擇在頒布這樣一個極為嚴苛的法令有些突然,但早在1995年,歐盟就通過了《數據保護指令》(DataProtectionDirective,以下簡稱“九五指令”),其中就對個人數據的處理進行了基本的規則制定,而中國在前一年才剛剛接入互聯網。可以說,相比世界其他國家和地區,歐盟在個人數據安全保護方面擁有一貫的傳統。方禹也告訴本刊,業界普遍對“九五指令”的評價非常高,認為這個法令很合理、很有效,隻是随着技術的不斷進步,法律條文也到了需要做出改變的時候。如果将2011年作為社會進入移動互聯網時代的标志,那麼在方禹看來,歐盟花了5年時間在2016年出台了GDPR,就制定一部法律來說已經算比較快的了,而且也适應了時代發展的需求。但從這項法律本身來講,其包括前言說明在内長達260頁的篇幅确實非常龐雜,且本身處理的就是一個較有争議的話題,這也使得輿論中對其的理解聲音分歧較大。兩三年前就将GDPR翻譯成了中文的中國人民大學法學院未來法治研究院副院長丁曉東也告訴本刊,這個條例的争議“非常非常大”。而争議的核心就是如何處理“保護權利”與“保護發展”之間的關系。一類聲音認為,GDPR保護用戶個人數據安全的用意雖好,但存在着過猶不及的情況,無論從理念還是技術實踐上都值得商榷。北京師範大學法學院教授劉德良就撰文指出,GDPR在4個方面存在問題。第一,并非所有的個人數據都與人格自由直接相關,個人數據也不等同于法律上的隐私;第二,極端個人主義本位有礙社會經濟快速發展;第三,技術上有過時之嫌;第四,實施效果可能有悖于立法初衷。華東政法大學大數據政策法律研究中心主任高富平也持有相似的觀點,他同樣認為GDPR是建立在個人本位的基礎之上,是以個人主義為基礎而構建的一套體系,但沒有考慮個人信息在社會中流通和使用的場景,“更沒有從大數據時代數據已經成為資源的角度來考慮問題”。因此在他看來,歐洲建立起來的這套規則“其實是完全不适應我們這個時代需要的”。而另一些意見則認為GDPR的出現讓個人的數據安全真正得到了重視。北京大學信息管理系教授周慶山告訴本刊,其實這個條例體現了歐洲一貫的價值觀,那就是将“個人”放到第一位。丁曉東則将GDPR的整體思路總結為“數據屬于個人”,“就是把控制數據的權力從平台還給了個人”。已經呼籲了十幾年個人信息保護的周慶山就非常不同意“過猶不及”的說法,在他看來,國内目前的問題不是發展受到了阻礙,反而是個人數據信息的無節制泛濫。今年1月,四川省公安廳召開“向人民報告”網安專場新聞通氣會,會上透露,2017年僅四川省就有250餘億條公民個人信息被洩露。“如果任由一個行業混亂地去發展,我覺得它發展不好。”周慶山對本刊說道,“真正的發展是什麼?是因為我相信你,我才願意把數據給你。而現在的結果是大家出賣了自己的信息去交換了少數公司的發展,這個從價值觀上也是不合适的。”看上去,丁曉東向我們提出“天才與荒謬并存”的觀點頗能總結GDPR的争議性。一方面,GDPR在全球個人信息保護領域是當之無愧的引領性法案,它的确是把隐私保護提高到了一個前所未有的程度,“除了中國和美國之外,很多國家都在效仿它推出相似的法案,甚至直接就照抄了過來。”另一方面,它的很多規則在某種程度上恰恰與這個大數據時代的很多特征是背道而馳的,以其原則中的“目的限定原則”為例,這條原則規定收集來的數據隻能用于最初規定好的目的,但從公共利益的角度來講,大數據的跨界使用在這個時代是非常普遍的,而GDPR則從一定程度上阻隔了數據的流動,比如一個國家想要精準扶貧,但它按GDPR的規定也無法調用電商平台的消費數據。“所以它的天才裡面也存在很多偏差的地方。”丁曉東說道。對中國的影響和啟示“GDPR雖然是一項歐盟法規,但它所建立的隐私和安全準則将對全球市場帶來表率作用和深遠的影響。無論在歐洲、全球,還是中國市場,符合全球标準的數據隐私和安全保護,将成為越來越重要的信息安全準則。”微軟大中華區副總裁康容如此告訴本刊。随着走出國門的中國企業越來越多,努力适應這種在全球視野下的行為規範也變得愈發重要。同樣耕耘海外市場多年的AI機器人企業優必選就稱,海外的法律法規對消費者的保護條例非常完整,中國企業要走出去,必須嚴格遵守當地法律法規,在歐洲、美國出現違反法律法規的事情,面臨的罰款或者是懲罰力度會非常大。除了上文中的Yeelight之外,目前産品覆蓋全球近200個國家和地區的人工智能平台公司塗鴉智能也對本刊透露,其所在的人工智能與物聯網行業确實受到了不小的影響,也已經有一些企業暫時關停了對歐洲地區的服務。因為GDPR的巨大沖擊,最近找方禹了解這個事情的公司和媒體非常多。作為工信部直屬的官方智庫,方禹告訴我們,除了幫助中國企業适應海外的法律法規之外,他們如此關注GDPR也是因為他們同時在做關于《個人信息保護法》的技術研究工作。作為理想狀态下“對标”GDPR的法案,我國早在2003年就開始了相關的工作,當時的國務院信息化辦公室正式部署了立法研究工作,2005年相關學者完成了《個人信息保護法(專家建議稿)》。然而該建議稿并沒有進入正式的立法程序,甚至當2008年“國信辦”被并入工業和信息化部之後,立法工作還被擱置了下來。之後,盡管每年“兩會”期間,關于個人信息保護立法的人大建議、政協提案也屢見不鮮,但《個人信息保護法》在正式立法議程中卻長時間不見蹤影。根據不完全統計,目前聯合國成員中,已有113個國家制定了自己的《個人信息保護法》,毫無疑問,這就是目前的主流趨勢。“因為大家都覺得個人信息保護肯定是必需的,所以這是一個高度共識。”丁曉東說道。但他同時也表示,要立這個法可能有了共識,但是怎樣去立還有很大的争議。問題仍然回到了:安全與發展究竟孰輕孰重?畢竟如果能實現完美平衡才是最理想的情況,但就像魚和熊掌不可兼得的道理一樣,在一定的曆史時期内一定會有所側重。目前我國在這方面的主要法規是去年6月1日正式生效的《中華人民共和國網絡安全法》。在這部以“安全”命名的法律中,用了大概10條左右的内容闡述了個人信息保護的原則。但因為《網絡安全法》本身層級較高,因此它缺乏對具體實施細則的規定。以針對個人信息保護的《網絡安全法》第41條為例:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則。”上海京衡律師事務所隋兵律師告訴本刊,合法當然是必需的,那麼關鍵就落在“正當”和“必要”這兩個概念上了,但由于“正當”和“必要”這兩個概念比較寬泛,所以很多公司目前都是在形式上做到所謂的“合法”,然後在“正當”和“必要”上面打擦邊球。因此,方禹認為我國未來仍然需要一部專門性的立法來解決安全與發展之間的關系,并在這個基本法的框架下分不同的領域來解決個人信息保護的整體問題。而GDPR在這個方面給我們的最重要的思考是:它将控制個人數據的權力都交給了我們每一個人,而這是否是一條最佳道路?GDPR規定獲取公民個人數據要征求個人的同意,使用的時候也要公民個人授權,公民授權之後還有一系列諸如訪問權、糾正權、被遺忘權等一系列權利。丁曉東就覺得從某種程度上來看,這種更偏向“個人自治”的方式雖然看上去有利于保護個人數據的安全,但在一個愈發專業化的領域,個人的力量在很多時候也很難完全保護到自己,這個前提是必須要有一整套國家的制度設計,比如說設立一些專門的數據保護機構來進行對它進行合規化控制,幫助公民個體提前規避掉很多風險。“隻有這個環節做得越安全,公民在個人數據被使用的時候才越放心。”