支持單位: 全國警用裝備标準化技術委員會 , 公安部安全與警用電子産品質量檢測中心 , 公安部特種警用裝備質量監督檢驗中心 , 國家安全防範報警系統産品質量監督檢驗中心
jiangbei
曆屆評選

隐私保護的“中國方案”該如何完善

2019-07-16 11:36:08  作者 : 張均斌  來源 : 中國青年報 
關鍵詞: 隐私 APP


        警用裝備網訊: 近日,全國信息安全标準化技術委員會、中國消費者協會等部門成立App專項治理工作組,對用戶數量大、與民衆生活密切相關的App隐私政策和個人信息收集使用情況進行評估并通報。通報稱,中國銀行手機銀行等10款App無隐私政策;趣店、探探等20款App強制用戶“一攬子”授權。



  能否既玩消消樂又不讓你讀取我的通訊錄?如果不提供地理位置讀取授權,還能不能聽首音樂……要麼“信息裸奔”,要麼“棄之不用”,面對App的默認勾選,用戶如今依舊隻能陷入被動的困境。



  進入數字時代以來,數據的重要性早已深入人心,“數字時代的石油”成為大家對數據的共識。互聯網企業廣泛收集用戶各類信息加以整理分析利用,從中攫取到巨大的經濟效益。在這過程中,暴露出的個人數據安全、隐私保護等問題卻被忽視。



  随着歐盟《一般數據保護條例》(GDPR)的生效,歐洲範圍内建立起了一套在隐私管理、個人信息安全保護和數據流動之間的複合機制。GDPR之後,越來越多的國家開始聚焦自身隐私安全問題,中國也不例外。



  如今,GDPR已實施一年多,它的經驗得失被廣為讨論、借鑒,一些隐私保護的原則與技術創新的沖突也不斷具像化。那麼,隐私保護的“中國方案”該如何完善?



  對GDPR的反思



  GDPR正式實施後,想進入歐洲市場的企業紛紛修改自身的隐私政策,并提升保護用戶個人數據的技術手段,來避免受到嚴厲的懲罰,這在有力地保護了用戶個人數據的同時,客觀上也加大了企業的成本支出。



  在諸多對GDPR的“吐槽”中,最集中的一項便是企業在合規方面的支出多了,會加重企業的負擔。根據《福布斯》報告,GDPR讓美國财富500強企業多花費了78億美元合規成本。普華永道給出更明确的合規成本估計:68%的公司預計将花費100萬到1000萬美元。



  在此環境下,企業面臨的生存壓力不小。此前,在“2019羅漢堂數字經濟年會”上,多位專家對此議題展開了讨論。國際數據隐私實踐聯合主管,Bird&Bird合夥人阿裡安娜·默勒說,小型企業對于未來的發展充滿矛盾:一方面,他們需要通過遵守GDPR獲取客戶的信任;另一方面,遵守GDPR需要花費大量的資金,但事實上,“它們沒有足夠的資本”。



  這一困擾引發社會對初創企業健康成長的擔憂,諾獎學者、法國圖盧茲大學産業經濟研究所科研所長讓·梯若爾正在反思這一結果,“我們不能因噎廢食,個人隐私确實需要保護,但在保護個人隐私的同時,不能遏制科技的進步和創新的發展。”



  看上去似乎是個兩難的選擇,一面是企業的成長和創新,一面是個人隐私的保護。有企業家進一步提出,數字時代想抹掉已經洩露的個人數據幾乎是不可能的,個人的信息一旦被發布在網上,就會被互聯網永遠保留,那該如何按下“删除鍵”呢?



  GDPR為此規定了“被遺忘權”,該項權利主張數據主體有權要求控制者删除相關的個人數據。



  但對于“被遺忘權”的具體執行,仍存在許多問題。阿裡安娜·默勒表示,被遺忘權實際上規定的就是數據的持有時期——“個人數據在使用之後,能夠被合法地保留多久”。但對企業而言,執行起來仍然很困難。



  阿裡安娜·默勒說,企業要想合規,必須按照法律進行技術設計。但現實情況卻是,法律規定自身就在不斷地變化,“雖然出台這些法律規定的初衷是好的,但他們也要意識到,在不斷地修改法規,或者對自己的法律法規不斷給出解釋的時候,并沒有真正地幫到企業和個人。”



  而在譯言聯合創始人趙嘉敏看來,人們當前想要擁有“删除鍵”的意識是基于隐私觀念。但現實情況是,隐私的概念本身就在不斷演化。可持續性的解決方案也許不是去要求技術來遵從我們的傳統習慣,而是要去改變我們的傳統意識和社會規範,以更好地适應技術的發展,并讓個體和群體都能從這種改變中受益。



  完善“中國方案”



  對于企業為合規而付出的高額成本,重慶大學國家網絡空間安全與大數據法治戰略研究院院長齊愛民表示,企業在GDPR正式實施初期,不可避免地要修改自身的隐私政策,在此過程中,企業需要支出較大的成本來達成這一任務目标。但是,隻要企業的個人數據保護合規工作進入正軌,那麼之後的維護成本也将大大降低,并不會過多地影響企業的技術創新問題。



  “另外,由于GDPR的實施,提升了商業環境中對個人數據安全的保護,促成了針對隐私友好型創新的發展。換言之,隐私友好型的技術創新将成為下一個技術創新的基本模式。”齊愛民說。



  法國國務顧問、法國數據保護局(CNIL)前副主席伊莎貝爾·法爾克·皮爾羅廷甚至直接反駁了“高額成本”的說法,“像法國數據保護局,他們就常開展一些教育培訓,專門來輔導和教育初創企業如何做到隐私保護合規,從産品早期設計開始就考慮隐私的問題,那根本就沒有多少成本。”



  無論細節上有多少差異,保護隐私已是共識。北京安理律師事務所高級合夥人王新銳曾表示,很多大型公司在做完GDPR合規後,透明度明顯有提升,也給了用戶更多選擇。



  事實上,我國正在快速推進隐私保護工作。去年,推薦性國家标準《信息安全技術個人信息安全規範》(以下簡稱《規範》)正式實施。這部由33位擁有政策制定、技術标準、企業實踐經驗的專家共同起草,曆經兩年多博弈的《規範》對個人信息收集、保存、使用、流轉等環節提出要求,非常明确地把《網絡安全法》原則性的規定給落地了,填補了國内個人信息保護在實踐标準上的空白。



  但問題也很明顯,《規範》是推薦性标準而非強制性标準,因此不具備法律強制力,在齊愛民看來,《規範》在對信息主體的個人信息保護力度上是遠遠不夠的。“雖然我國關于個人信息保護的相關法規散見于《民法總則》、《網絡安全法》、《電子商務法》和《消費者權益保護法》等相關立法文件中,但是我國尚未出台一部專門的《個人信息保護法》。”



  王新銳說,下一步應該就是立法了,中國個人信息保護的立法者現在面臨的是一方面要“補課”,借鑒各國立法中被證明有效的部分,另一方面又要回答中國的獨特性問題,尤其是移動互聯網高速發展帶來的問題。



  “哪些可以借鑒國際規則,哪些必須要自己原創性的回答,這本身就是一個非常難的問題。”王新銳表示,現階段立法還是應該以補課為主要目标,适度留有口子,而對于新型問題,可以先以位階較低的規則加以應對,待成熟穩定後再上升為立法。



  複旦大學網絡空間治理研究中心主任沈逸也認為,當前我國可通過“小步快走”的方式逐步将法規上升為法律,“推出一些原則性的規定,然後迅速地把它細化,然後在細化和實踐的過程中,如果發現有些東西和實踐之間發生了比較大的沖突,再做及時的調整。”



  在這方面,齊愛民認為,GDPR的經驗可供借鑒。GDPR賦予信息主體強大的個人信息權利的同時,忽略了複雜多變的現實生活場景對個人信息的不同需求。“未來立法者可以考慮采用以《個人信息保護法》為主,授權相關主管部門制定該特定行業的個人信息保護配套規則的立法模式,更加靈活地處理不同場景對于個人信息的需求。”



  除此之外,沈逸認為,各國在治理互聯網隐私保護時,也應考慮到互聯網跨國互通的這一屬性,實現聯合治理。



  “把主權邊界機械化地延伸到網絡空間去,肯定是有問題的。”沈逸說,這極有可能将互聯網“切得七零八落”。所以,使數據能在全球範圍内流動和被管轄,制定一個既維護全球網絡空間的穩定,又能讓數據流動更有序的全球規範極為重要。



  顯然,這還有很長的路要走。正如羅漢堂秘書長、湖畔大學執行教育長陳龍所言,“所有的人都同意,一定的隐私保護是應該的,但當信息的交流同時成為這個時代的動力和種種擔憂的源頭,同時其中的取舍對每個人都不同的時候,應該怎麼做?”在這個話題上,沒有簡單的理所當然。




  新聞稿件歡迎直接聯系:QQ 34004818 微信公衆号:cpsjyzb