中科九度（北京）空間信息技術(shù)有限責(zé)任公司總裁? 魏育成

“大數(shù)據(jù)殺熟”的案例頻頻出現(xiàn)，說(shuō)明了一些大數(shù)據(jù)企業(yè)對(duì)用戶數(shù)據(jù)的采集以及分析，在用戶不知情的情況下開展應(yīng)用，進(jìn)行商業(yè)獲利。當(dāng)用戶在使用手機(jī) APP 時(shí)，往往需要一系列授權(quán)才能使用，這些授權(quán)意味著什么？手機(jī)里的通訊錄、微信、短信、麥克風(fēng)甚至攝像頭都會(huì)被 APP 開發(fā)者調(diào)用，很可能會(huì)涉及很多個(gè)人隱私的泄露問(wèn)題。

個(gè)人隱私數(shù)據(jù)可以分成三類：第一類是屬性數(shù)據(jù)，就是個(gè)人的DNA數(shù)據(jù)，包括身份證、手機(jī)號(hào)碼、家庭住址、生物特征（如虹膜、指紋、筆跡等）等可以標(biāo)識(shí)用戶個(gè)人身份的數(shù)據(jù)；第二類是用戶的行為數(shù)據(jù)，包括用戶瀏覽網(wǎng)頁(yè)的歷史點(diǎn)擊情況、用戶的位置信息等。比如一些地圖 APP 為用戶提供出行服務(wù)，同時(shí)它也可以 24 小時(shí)的監(jiān)控個(gè)人的位置，之后就可以利用這些監(jiān)測(cè)數(shù)據(jù)做出相關(guān)分析，比如哪里是辦公室、哪里是家庭住址。除此之外，用戶的網(wǎng)頁(yè)瀏覽、線上購(gòu)物等數(shù)據(jù)往往被平臺(tái)廠商利用來(lái)做“用戶畫像”，可以說(shuō)“用戶畫像”本身就是平臺(tái)對(duì)個(gè)人隱私進(jìn)行的一種窺探；第三類數(shù)據(jù)是關(guān)系數(shù)據(jù)，比如平臺(tái)方通過(guò)海量的數(shù)據(jù)積累，經(jīng)過(guò)分析都可以知道個(gè)人的家人、朋友、上下級(jí)等所謂的人與人之間的關(guān)聯(lián)信息。

最近 Facebook 遇到了麻煩，泄露了將近 8700 萬(wàn)用戶及其好友的個(gè)人數(shù)據(jù)給一家英國(guó)的政治分析公司，經(jīng)媒體曝光后，引起用戶大量不滿，各大社交網(wǎng)站掀起刪除 Facebook 的熱潮，其市值一周之內(nèi)蒸發(fā)了 750 億美元。后續(xù) Facebook 可能面臨著 2 萬(wàn)億美元的重罰，而 Facebook 目前的市值估計(jì)僅有 3000 多億美元。還有一個(gè)案例是關(guān)于被遺忘權(quán)，一個(gè)西班牙人起訴了谷歌，原因是他在谷歌看到一則多年前他由于債務(wù)困難導(dǎo)致房屋被拍賣的信息，由于此事已經(jīng)過(guò)去很多年，所以他要求谷歌刪掉相關(guān)信息。但谷歌表示無(wú)能為力，后來(lái)這個(gè)西班牙人就起訴了谷歌，而法庭支持了他的要求。

歐盟的基本理念是用戶在網(wǎng)站上產(chǎn)生的所有數(shù)據(jù)都應(yīng)該有被遺忘權(quán)，法律支持用戶要求網(wǎng)站將與其不相關(guān)、不合適、已過(guò)時(shí)信息刪除。但是國(guó)內(nèi)目前的情況并不是很理想，最近也有南京市民狀告某搜索引擎平臺(tái)公司侵犯其隱私，一審雖然勝訴了，但是后來(lái)二審被推翻了，法院認(rèn)為該平臺(tái)公司不對(duì)用戶構(gòu)成隱私侵犯。

用戶在網(wǎng)絡(luò)上產(chǎn)生的數(shù)據(jù)到底是誰(shuí)的？其實(shí)不同的國(guó)家有不同的態(tài)度，美國(guó)表現(xiàn)的比較矛盾：一方面強(qiáng)調(diào)隱私保護(hù)，另一方面同時(shí)又鼓勵(lì)數(shù)據(jù)應(yīng)用；而歐盟則堅(jiān)定支持隱私保護(hù)、賦予個(gè)人更大的權(quán)利；雖然中國(guó)已經(jīng)出臺(tái)了隱私保護(hù)法，但是具體規(guī)定還不明確。

歐盟的數(shù)據(jù)保護(hù)現(xiàn)狀

歐盟 2016 年頒布了《通用數(shù)據(jù)保護(hù)條例》，于 2018 年 5 月 25號(hào)開始實(shí)施，堪稱是史上最嚴(yán)格的數(shù)據(jù)隱私保護(hù)法案。法案中提到了監(jiān)管機(jī)構(gòu)、用戶、數(shù)據(jù)控制者、數(shù)據(jù)處理者、服務(wù)提供者等角色。這實(shí)際上是一種新型的互聯(lián)網(wǎng)計(jì)算模型——在用戶與互聯(lián)網(wǎng)平臺(tái)這兩方之間增加了數(shù)據(jù)控制者和數(shù)據(jù)處理者，來(lái)承擔(dān)起用戶隱私保護(hù)這個(gè)責(zé)任。整個(gè)架構(gòu)頂層設(shè)置國(guó)家級(jí)監(jiān)管機(jī)構(gòu)，授權(quán)數(shù)據(jù)控制者必須對(duì)數(shù)據(jù)主體（用戶）提供支持和保障，數(shù)據(jù)處理者則按照用戶的要求對(duì)其在互聯(lián)網(wǎng)平臺(tái)上產(chǎn)生的數(shù)據(jù)進(jìn)行加解密操作。所有的用戶數(shù)據(jù)在互聯(lián)網(wǎng)平臺(tái)上都是加密的，平臺(tái)不能存儲(chǔ)用戶的明文數(shù)據(jù)，平臺(tái)與用戶之間的互動(dòng)需要由第三方（數(shù)據(jù)操作者）進(jìn)行加解密操作才能完成，用戶、平臺(tái)以及第三方的所有操作受數(shù)據(jù)控制者監(jiān)管和記錄，在這種情況下，互聯(lián)網(wǎng)平臺(tái)方才真正是運(yùn)動(dòng)員而不是裁判員，也不會(huì)出現(xiàn)所謂“店大欺客”的現(xiàn)象。

《通用數(shù)據(jù)保護(hù)條例》把一些對(duì)數(shù)據(jù)操作的基本權(quán)利賦予了個(gè)人，比如上文所提到的被遺忘權(quán)；二是可移動(dòng)權(quán)，用戶可以把個(gè)人隱私數(shù)據(jù)從一個(gè)平臺(tái)移動(dòng)到另一個(gè)平臺(tái)，原來(lái)的平臺(tái)不能保留任何數(shù)據(jù)。除了被遺忘權(quán)和可移動(dòng)權(quán)，還有數(shù)據(jù)訪問(wèn)權(quán)、修正權(quán)等，這些都以立法的方式對(duì)用戶及其在互聯(lián)網(wǎng)平臺(tái)上的行為進(jìn)行切實(shí)的保護(hù)。平臺(tái)方和第三方負(fù)責(zé)在技術(shù)上實(shí)現(xiàn)用戶權(quán)益，如果違反就會(huì)受到處罰。這就是歐盟的理念——法律先行，先從法律上明確用戶權(quán)利再利用技術(shù)手段實(shí)現(xiàn)用戶權(quán)利。

對(duì)于互聯(lián)網(wǎng)平臺(tái)服務(wù)方而言，法律要求其做平臺(tái)設(shè)計(jì)的時(shí)候就要考慮保護(hù)用戶隱私，保護(hù)隱私是默認(rèn)選項(xiàng)，平臺(tái)必須采集最小的數(shù)據(jù)來(lái)為用戶提供服務(wù)。這意味著很多 APP 應(yīng)該本著“最少夠用就行”原則，盡量不采集額外數(shù)據(jù)，這樣 APP 在安裝時(shí)就不能要求用戶授權(quán)采集通訊錄、位置等無(wú)關(guān)信息。

《通用數(shù)據(jù)保護(hù)條例》要求互聯(lián)網(wǎng)公司設(shè)置專門的數(shù)據(jù)保護(hù)官，要求監(jiān)管機(jī)構(gòu)負(fù)責(zé)體系監(jiān)督和執(zhí)行，同時(shí)提醒用戶提高自我保護(hù)意識(shí)等。該法案的懲罰力度很大，從 5 月 25 日開始，一旦查到互聯(lián)網(wǎng)平臺(tái)企業(yè)（如電子商務(wù)公司）對(duì)用戶隱私數(shù)據(jù)的保護(hù)不符合《通用數(shù)據(jù)保護(hù)條例》要求，只要涉及歐盟公民，輕則罰款 1000 萬(wàn)歐元或者是年銷售額的 2%、重則罰款 2000 萬(wàn)歐元或者是年銷售額的 4%。因此中國(guó)準(zhǔn)備通過(guò)“一帶一路”走出去的互聯(lián)網(wǎng)企業(yè)，面臨歐盟對(duì)個(gè)人隱私保護(hù)的法律規(guī)定，要高度重視。數(shù)字經(jīng)濟(jì)企業(yè)走出去，要知道國(guó)外非?？粗刂R(shí)產(chǎn)權(quán)和數(shù)據(jù)隱私的保護(hù)，這也代表著社會(huì)發(fā)展的趨勢(shì)，中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)也必須考慮這個(gè)問(wèn)題。

還有就是“長(zhǎng)臂”管轄原則，即無(wú)論違規(guī)的企業(yè)是否在歐盟境內(nèi)都要加以處罰。估計(jì) 2018 下半年國(guó)內(nèi)會(huì)有很多電子商務(wù)公司收到歐盟的罰單，可能一筆就是 1000 萬(wàn)或者 2000 萬(wàn)歐元的罰款?！锻ㄓ脭?shù)據(jù)保護(hù)條例》核心要點(diǎn)有 11 章 99 條，對(duì)電子商務(wù)企業(yè)使用用戶數(shù)據(jù)施加更多的約束，總體闡述了一個(gè)最基本的問(wèn)題——平臺(tái)使用的用戶數(shù)據(jù)所有權(quán)到底屬于誰(shuí)？《通用數(shù)據(jù)保護(hù)條例》明確規(guī)定：用戶數(shù)據(jù)屬于用戶個(gè)人，不屬于平臺(tái)，用戶不同意，平臺(tái)就不可以采集、挖掘數(shù)據(jù)，更不用說(shuō)其他商業(yè)行為。通過(guò)立法的方式賦予用戶更多的權(quán)利，保證用戶對(duì)其在平臺(tái)上產(chǎn)生的數(shù)據(jù)有絕對(duì)的控制權(quán)，電子商務(wù)平臺(tái)公司一旦違規(guī)就重罰。這就是歐洲法律的“長(zhǎng)臂”管轄原則，全球范圍適用。

應(yīng)對(duì)策略

對(duì)于中國(guó)企業(yè)來(lái)說(shuō)目前有幾條對(duì)策：一是先停止相關(guān)區(qū)域的服務(wù)；二是繼續(xù)進(jìn)行正常服務(wù)，等待相關(guān)處理；三是主動(dòng)配合，積極應(yīng)對(duì)。

我認(rèn)為對(duì)于經(jīng)營(yíng)者來(lái)說(shuō)，合規(guī)是必選項(xiàng)，要吃透歐盟對(duì)于個(gè)人隱私數(shù)據(jù)保護(hù)的要求，建設(shè)相應(yīng)的機(jī)制，建立歐盟認(rèn)可的控制機(jī)構(gòu)，采用歐盟認(rèn)可的數(shù)字經(jīng)濟(jì)計(jì)算模型和服務(wù)模式，為中國(guó)企業(yè)走出去保駕護(hù)航，這才是正確的應(yīng)對(duì)策略。

中科院電子所信息技術(shù)創(chuàng)新工程中心與法國(guó)的 TRUSTSEED 公司共同設(shè)計(jì)了一種三元安全體系計(jì)算模式，以適應(yīng)歐盟《通用數(shù)據(jù)保護(hù)條例》的最新要求。這個(gè)模式已經(jīng)在歐盟地區(qū)得到了一些應(yīng)用，比如歐洲 SAP 公司、巴黎銀行等。

中國(guó)雖然有《網(wǎng)絡(luò)安全法》，但該法律對(duì)個(gè)人隱私保護(hù)的內(nèi)容比較少，政府應(yīng)該加大制定相應(yīng)法律法規(guī)的力度，不斷提出更加細(xì)致的規(guī)章制度。同時(shí)在通用數(shù)據(jù)保護(hù)上，數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)界要重視起來(lái)，學(xué)術(shù)界在這方面也應(yīng)該開展相關(guān)的研究以適應(yīng)新時(shí)代的要求。