中青报:隐私保护的“中国方案”该如何完善

2019-07-17 10:45:42

互联网企业广泛收集用户各类信息加以整理分析利用,从中攫取到巨大的经济效益。在这过程中,暴露出的个人数据安全、隐私保护等问题却被忽视

GDPR  隐私保护  

来源: https://finance.sina.com.cn/roll/2019-07-16/doc-ihytcerm3894188.shtml

  近日,全国信息安全标准化技术委员会、中国消费者协会等部门成立App专项治理工作组,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估并通报。通报称,中国银行手机银行等10款App无隐私政策;趣店、探探等20款App强制用户“一揽子”授权。

  能否既玩消消乐又不让你读取我的通讯录?如果不提供地理位置读取授权,还能不能听首音乐……要么“信息裸奔”,要么“弃之不用”,面对App的默认勾选,用户如今依旧只能陷入被动的困境。

  进入数字时代以来,数据的重要性早已深入人心,“数字时代的石油”成为大家对数据的共识。互联网企业广泛收集用户各类信息加以整理分析利用,从中攫取到巨大的经济效益。在这过程中,暴露出的个人数据安全、隐私保护等问题却被忽视。

  随着欧盟《一般数据保护条例》(GDPR)的生效,欧洲范围内建立起了一套在隐私管理、个人信息安全保护和数据流动之间的复合机制。GDPR之后,越来越多的国家开始聚焦自身隐私安全问题,中国也不例外。

  如今,GDPR已实施一年多,它的经验得失被广为讨论、借鉴,一些隐私保护的原则与技术创新的冲突也不断具像化。那么,隐私保护的“中国方案”该如何完善?

  对GDPR的反思

  GDPR正式实施后,想进入欧洲市场的企业纷纷修改自身的隐私政策,并提升保护用户个人数据的技术手段,来避免受到严厉的惩罚,这在有力地保护了用户个人数据的同时,客观上也加大了企业的成本支出。

  在诸多对GDPR的“吐槽”中,最集中的一项便是企业在合规方面的支出多了,会加重企业的负担。根据《福布斯》报告,GDPR让美国财富500强企业多花费了78亿美元合规成本。普华永道给出更明确的合规成本估计:68%的公司预计将花费100万到1000万美元。

  在此环境下,企业面临的生存压力不小。此前,在“2019罗汉堂数字经济年会”上,多位专家对此议题展开了讨论。国际数据隐私实践联合主管,Bird&Bird合伙人阿里安娜·默勒说,小型企业对于未来的发展充满矛盾:一方面,他们需要通过遵守GDPR获取客户的信任;另一方面,遵守GDPR需要花费大量的资金,但事实上,“它们没有足够的资本”。

  这一困扰引发社会对初创企业健康成长的担忧,诺奖学者、法国图卢兹大学产业经济研究所科研所长让·梯若尔正在反思这一结果,“我们不能因噎废食,个人隐私确实需要保护,但在保护个人隐私的同时,不能遏制科技的进步和创新的发展。”

  看上去似乎是个两难的选择,一面是企业的成长和创新,一面是个人隐私的保护。有企业家进一步提出,数字时代想抹掉已经泄露的个人数据几乎是不可能的,个人的信息一旦被发布在网上,就会被互联网永远保留,那该如何按下“删除键”呢?

  GDPR为此规定了“被遗忘权”,该项权利主张数据主体有权要求控制者删除相关的个人数据。

  但对于“被遗忘权”的具体执行,仍存在许多问题。阿里安娜·默勒表示,被遗忘权实际上规定的就是数据的持有时期——“个人数据在使用之后,能够被合法地保留多久”。但对企业而言,执行起来仍然很困难。

  阿里安娜·默勒说,企业要想合规,必须按照法律进行技术设计。但现实情况却是,法律规定自身就在不断地变化,“虽然出台这些法律规定的初衷是好的,但他们也要意识到,在不断地修改法规,或者对自己的法律法规不断给出解释的时候,并没有真正地帮到企业和个人。”

  而在译言联合创始人赵嘉敏看来,人们当前想要拥有“删除键”的意识是基于隐私观念。但现实情况是,隐私的概念本身就在不断演化。可持续性的解决方案也许不是去要求技术来遵从我们的传统习惯,而是要去改变我们的传统意识和社会规范,以更好地适应技术的发展,并让个体和群体都能从这种改变中受益。

  完善“中国方案”

  对于企业为合规而付出的高额成本,重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示,企业在GDPR正式实施初期,不可避免地要修改自身的隐私政策,在此过程中,企业需要支出较大的成本来达成这一任务目标。但是,只要企业的个人数据保护合规工作进入正轨,那么之后的维护成本也将大大降低,并不会过多地影响企业的技术创新问题。

  “另外,由于GDPR的实施,提升了商业环境中对个人数据安全的保护,促成了针对隐私友好型创新的发展。换言之,隐私友好型的技术创新将成为下一个技术创新的基本模式。”齐爱民说。

  法国国务顾问、法国数据保护局(CNIL)前副主席伊莎贝尔·法尔克·皮尔罗廷甚至直接反驳了“高额成本”的说法,“像法国数据保护局,他们就常开展一些教育培训,专门来辅导和教育初创企业如何做到隐私保护合规,从产品早期设计开始就考虑隐私的问题,那根本就没有多少成本。”

  无论细节上有多少差异,保护隐私已是共识。北京安理律师事务所高级合伙人王新锐曾表示,很多大型公司在做完GDPR合规后,透明度明显有提升,也给了用户更多选择。

  事实上,我国正在快速推进隐私保护工作。去年,推荐性国家标准《信息安全技术个人信息安全规范》(以下简称《规范》)正式实施。这部由33位拥有政策制定、技术标准、企业实践经验的专家共同起草,历经两年多博弈的《规范》对个人信息收集、保存、使用、流转等环节提出要求,非常明确地把《网络安全法》原则性的规定给落地了,填补了国内个人信息保护在实践标准上的空白。

  但问题也很明显,《规范》是推荐性标准而非强制性标准,因此不具备法律强制力,在齐爱民看来,《规范》在对信息主体的个人信息保护力度上是远远不够的。“虽然我国关于个人信息保护的相关法规散见于《民法总则》、《网络安全法》、《电子商务法》和《消费者权益保护法》等相关立法文件中,但是我国尚未出台一部专门的《个人信息保护法》。”

  王新锐说,下一步应该就是立法了,中国个人信息保护的立法者现在面临的是一方面要“补课”,借鉴各国立法中被证明有效的部分,另一方面又要回答中国的独特性问题,尤其是移动互联网高速发展带来的问题。

  “哪些可以借鉴国际规则,哪些必须要自己原创性的回答,这本身就是一个非常难的问题。”王新锐表示,现阶段立法还是应该以补课为主要目标,适度留有口子,而对于新型问题,可以先以位阶较低的规则加以应对,待成熟稳定后再上升为立法。

  复旦大学网络空间治理研究中心主任沈逸也认为,当前我国可通过“小步快走”的方式逐步将法规上升为法律,“推出一些原则性的规定,然后迅速地把它细化,然后在细化和实践的过程中,如果发现有些东西和实践之间发生了比较大的冲突,再做及时的调整。”

  在这方面,齐爱民认为,GDPR的经验可供借鉴。GDPR赋予信息主体强大的个人信息权利的同时,忽略了复杂多变的现实生活场景对个人信息的不同需求。“未来立法者可以考虑采用以《个人信息保护法》为主,授权相关主管部门制定该特定行业的个人信息保护配套规则的立法模式,更加灵活地处理不同场景对于个人信息的需求。”

  除此之外,沈逸认为,各国在治理互联网隐私保护时,也应考虑到互联网跨国互通的这一属性,实现联合治理。

  “把主权边界机械化地延伸到网络空间去,肯定是有问题的。”沈逸说,这极有可能将互联网“切得七零八落”。所以,使数据能在全球范围内流动和被管辖,制定一个既维护全球网络空间的稳定,又能让数据流动更有序的全球规范极为重要。

  显然,这还有很长的路要走。正如罗汉堂秘书长、湖畔大学执行教育长陈龙所言,“所有的人都同意,一定的隐私保护是应该的,但当信息的交流同时成为这个时代的动力和种种担忧的源头,同时其中的取舍对每个人都不同的时候,应该怎么做?”在这个话题上,没有简单的理所当然。

二号老头 - 2019-07-17 11:13:08

GDPR  隐私保护  Qati  百度爬虫  

122019-10
隐私保护从“剪刀手”开始amip

上海信息安全行业协会副主任张威给出一个吓人的提醒:拍照时如果镜头距离够近,“剪刀手”照片通过放大和人工智能技术提取,就能将人物的指纹信息还原出来...

312019-08
换脸软件ZAO疯传背后存巨大风险,建议注册时谨慎点击“同意”!amip

这款8月30日刚刚在各大应用商店正式上线的App,在 31 凌晨就出现了服务器满负荷的情况。“人太多太多了,工程师在买服务器……”今天中午,ZAO官方助手发微博说...

262019-08
如何加大个人隐私保护力度?——民法典人格权编、侵权责任编草案三审稿四大看点amip

近年来,各地宾馆、民宿、试衣间等场所针孔摄像头偷拍事件屡有发生,引发公众担忧;另一方面,大量电子邮箱地址、公众人物行踪信息等被不法分子盗取放在网络平台上售卖,造成严重的人...

262019-08
新标速递 | 【隐私保护大会】汇集思想领袖,解读全新标准ISO/IEC 27701:2019,隐私至关重要amip

2019年8月7日重磅发布的ISO/IEC 27701隐私信息管理体系(PIMS)国际标准,针对涉及个人数据处理的各种类型(不论其是否盈利性组织,不论其规模有多大)的组织...

182019-07
大数据时代下,“匿名化”真的能保护我们的隐私安全吗?amip

大数据时代下,数据的收集与应用在带来巨大社会价值的同时,也带来了个人隐私保护方面的难题。如何在对数据进行挖掘应用的过程中保护个人隐私,防止敏感信息的泄露成为新的挑战...

172019-07
人民日报势所必然:兼顾人工智能应用和隐私保护amip

如何在人工智能应用中兼顾隐私保护,确保安全、可靠、可控,是一项亟须关注的伦理课题...

152019-07
点开网页瞬间被窃取隐私 访客手机号码被卖1元1条amip

记者亲测了网络售卖的“最新抓取技术”,用4台不同号码的智能手机浏览“做了手脚”的网站,其中2台手机的号码被成功抓取...

152019-07
Chrome隐身模式可能没有你想得那么能保护个人隐私amip

使用隐身模式后,您的雇主、您的互联网服务提供商或者您访问的网站本身,还是可以查看您的网站访问活动记录。...

142019-07
Cookie 浏览器隐私保护amip

Cookie可以帮助你一键查看和清除所有安装的浏览器内的Cookie、历史记录、缓存,并且可以防止网站Cookie的追踪,提高对个人数据隐私的保护...

142019-07
Hider 隐私保护工具amip

Hider是mac平台上最实用的隐私保护工具。对比Hider一代软件,Hider 2 for Mac版无论是功能还是风格上软件都做了较大的改进,还新增了类似1Passwo...

142019-07
浅谈GDPR技术措施中的五个关键场景amip

GDPR在欧盟地区正式全面实施,尽管只是一部只在欧盟区域内部实行的法律,却也在国际范围内引起了广泛的关注...

132019-07
中国网民个人隐私状况调查:我们在意隐私吗?amip

报告显示,经常担心自己信息在网上泄露的网民比例占将近四成,完全不担心的网民比例不到10%...

132019-07
大数据时代,无处安放的个人隐私amip

大数据时代,互联网企业平台收集用户信息该如何衡量?数据的使用边界到底在哪里?谁来为消费者的隐私安全护航?...

132019-07
因数据泄露,脸书或被重罚50亿美元!amip

美国联邦贸易委员会当天批准与脸书公司达成一项约50亿美元的和解协议。如果协议最终通过,将成为美国政府对科技公司开出的最大罚单...

132019-07
大数据时代的隐私还能保护吗?amip

全球的个人隐私相关法律却在大数据和算法的时代却是蹒跚前行。...

122019-07
德勤:2017亚太区隐私与个人信息保护白皮书amip

亚太经合组织《隐私保护框架》提出了共同原则,有助于实现亚太各国家/地区隐私与个人信息保护法规要求的协调一致。虽然该框架目前已包括跨境传输相关原则,但不具有约束力,但该框架...

122019-07
国务院政策例行吹风会:将从多方面对个人隐私进行保护amip

健康医疗信息的泄露,不但给个人造成很大的困扰,同时也会造成经济损失,如果像基因这样特别的数据流失的话,可能对我们国家安全造成威胁...

122019-07
欧盟个人信息保护法律实践-个人数据保护指令amip

在欧盟,典型的个人信息保护法律是1995年的《个人数据保护指令》(Data Protection Directive)。该指令源于美国早期的FIPs原则,从法系上讲受德国...