欧盟GDPR“刷屏”时，中国数据保护也开始行动

2018年6月25日

我们的影响力

世界经济论坛为 加速 Geographies in Depth 行动做了什么？

全局信息

探索和追踪解决之道中国正在影响经济、产业和全球问题

A hand holding a looking glass by a lake

众源式创新

现在加入，用我们的数字众源平台来实现大规模的影响力

实时追踪：

中国

前段时间，欧洲居民们的电子邮箱里每天都堆满来自各大网站、商家关于“隐私政策”的邮件，这都是欧盟最新实施的一项数据保护条例引起的。

回到今年初，欧盟的政策制定者们可能不会想到，一场巨大的风波即将发生，给全球公众上了一堂“数据保护课”。3月，《纽约时报》、《卫报》、英国第四频道等媒体曝光称，位于英国的政治咨询公司“剑桥分析”及其关联公司“战略通讯实验室”以不正当方式获取并保留了5000万Facebook用户的数据。此外，还有消息称该公司的数据咨询服务参与了前年的美国总统竞选，为唐纳德·特朗普竞选阵营提供数据。

后者在随后的一系列媒体报道中得到澄清，虽然该公司确实是特朗普竞选团队雇佣的唯一一家数据咨询公司，但是该公司称只是为其提供选民“用户画像”服务，不涉及这场风波中提到的应用和用户数据。真正让该公司成为“众矢之的”的是其雇用剑桥大学研究人员亚历山大·科根（Aleksandr Kogan）在2013年开发的一款应用。通过这个应用，他得到了访问数千万用户数据的权限。Facebook在发现之后，曾要求“剑桥分析”和科根删除这些数据。但媒体报道称，他们可能并没有真正删除这些数据，事件由此“引爆”。

虽然启用了独立调查并否认这些指控，但“剑桥分析”及其母公司在舆论的声讨下最终宣布破产。同时陷入舆论漩涡的还有Facebook，这个全球最大的社交平台对用户个人数据的管理以及对第三方应用的审查等问题被推上风口浪尖。

事发一周后，Facebook的创始人兼CEO马克·扎克伯格在多家报纸上刊登道歉声明，称：“我们有责任保护您的信息。如果我们做不到，就不配为您服务。”

这场风波尚未完全平息，欧盟在5月25日正式生效了《一般数据保护条例》（General Data Protection Regulation，GDPR）。该条例对保存或处理用户信息的个人、公司或机构提出规定，比如：

● 针对用户的“隐私政策”必须使用清晰、直接的表述；

● 在得到用户数据前，相关方必须征得用户“同意”，而不是“默认”；

● 当用户信息可能会被传输到欧盟外时，用户必须被明确告知；

● 用户拥有查阅、转移自身数据的权利；

● 用户拥有“被遗忘权”等。

违反信息收集和使用基本原则的主体，最高将面临2000万欧元或营业额4%的罚款（两者中较高值）。

对此，世界经济论坛数据政策负责人安妮·托斯（Anne Toth）近日在北京录制论坛播客时表示，美国科技公司的发展历史凸显出政府在监管方面的宽松态度，因为“他们不清楚或担忧过度监管对于创新速度带来的不良后果”。

针对隐私数据保护，托斯说：“我们讨论的网络隐私数据的核心其实是第三方变现问题，因为我们既看不到谁在收集这些信息，我们通常也不知道第三方是谁。我们不确定这些机构通过在线流量能够获得多少信息和数据。这些问题引起了很多担忧。随着现在欧盟隐私保护规定的变化，我们看到了一些关于广告商业模式非常实际的规定。”

巧合的是，在这波GDPR信息“刷屏”之际，中国也出台了数据保护相关规范——《信息安全技术个人信息安全规范》。该规范于今年1月获批，5月1日正式实施，引起广泛关注。FT中文网结合国内一系列数据保护措施，称中国为“亚洲数据保护的先行者”。

该规范对个人信息的收集、保存、使用、委托处理、共享、转让、公开披露、安全事件处置以及组织的管理要求等提出一系列要求。比如，相关方在收集、共享、转让个人信息时需要得到用户“明示同意”的规定就常被人提及，称其“比欧盟还严格”。不过，该规范的起草人之一、北京大学互联网发展研究中心高级顾问洪延青曾公开表示，“规范在制定时，可能会比美国稍严一点，但是绝对不会比欧洲更严，而且与欧洲拉开了一定的距离。”

需要指出的是，该标准只是推荐性的国家标准，并不具有强制力。但是，对于它的广泛讨论显然有助于人们提升隐私数据保护的意识。

今年3月26日，百度公司董事长兼首席执行官李彦宏在2018年中国发展高层论坛上说：“中国人对隐私问题更加开放，或者说没有那么敏感，如果要用隐私来交换便捷性或者效率的话，很多情况下中国用户是愿意这么做的。”这番话在网络上引起了很大的争议，很多人直呼自己并不愿意，而是“没有选择”。尽管李彦宏在同一个演讲中还说了“用户信息安全保障是所有互联网公司的生命线，我们有责任保护用户信息安全不被侵犯”，人们的注意力还是集中到“隐私便利论”上。

舆论的情绪或许是出于对数据保护现状的不满，比如手机经常收到“垃圾短信” 、网络电信诈骗层出不穷。国家互联网金融安全技术专家委员会数据显示，截至今年 5 月，已经发现了 2万余个存在异常的互联网金融网站和近1500个互联网金融网站漏洞。5月底发布的《数字金融反欺诈白皮书》指出，2017年“网络黑产”从业人员超 150 万，年产值达千亿级别。《工人日报》报道称，去年流入“个人信息黑市”的信息达到65亿条次，平均每个中国人的个人信息都被泄露了5次。

对于这一点，在北京停留了一周的托斯谈到了文化差异的影响：“对于数据保护，没有万能的解决方案。这当中存在许多变数，也有一些在中国被认为是正常、宽容和可以接受的事情，放到美国去就完全不一样了。而美国和欧洲在思维方式和心态上又有差别。因此，没有万能之方。”因此，中国的隐私数据保护还需要政府监管、企业责任到个人意识的合力探索。

在这样的背景下，中国出台的数据保护规范只是一个新的开始。

作者：Karen Liu，Formative Content作家

以上内容仅代表作者个人观点。

本文由世界经济论坛原创，转载请注明来源并附上原文链接。

责编：张智

世界经济论坛是一个独立且中立的平台，旨在集合各方观点，讨论全球、区域及行业性重要话题。