隱私泄露有時是黑客的「杰作」，但更多時候，那些被我們信任的企業(yè)，往往成為泄露數據的源頭。

即便在涉及個人信息交易時，我們都會謹慎選擇規(guī)模較大的正規(guī)企業(yè)，最后卻像是全世界都知道了我們的隱私。

從無到有的法律建設不久前諾頓委托獨立研究機構 The Harris Poll 對全球 16 個市場，超過 16000 名 18 歲以上個人用戶進行在線調查，發(fā)布了《2018 年諾頓網絡安全調查報告》。

對中國過用戶的調查結果顯示，2018 年有超過五分之一的中國消費者曾遭遇身份盜竊，近 7300 萬人受到影響。

在今年的 315 晚會中，電話詐騙產業(yè)鏈被曝光，涉及 APP 安裝(隱私截取)、探針盒子(隱私下載)、大數據分析(隱私數據整理)和 AI 語音電話騷擾(隱私變現)等一系列對個人信息有組織的侵犯。

個人信息問題首次出現在 315 晚會是在 2012 年，中國電信被曝群發(fā)垃圾短信出售信息通道，之后更是多年榜上有名;2013 年，高德地圖被曝位置共享服務會違規(guī)收集用戶信息，網易郵箱被曝根據用戶郵件內容分析用戶習慣并發(fā)送精準廣告;2014 年，大唐旗下高鴻等公司被曝向智能手機植入惡意程序等問題，不僅會惡意扣費，還會泄露用戶的個人信息;2015 年，中國移動、鐵通被曝為騷擾電話提供支持，招商銀行、工商銀行等銀行內部員工被曝泄露出售客戶信息……被點名的企業(yè)不乏知名企業(yè)和行業(yè)巨頭，恰如冰山一角，過去十幾年中不為人知的對用戶數據的濫用只會更多。

這讓中國人對企業(yè)的信任不斷下降的同時，對隱私泄露的不安也日益提升。

諾頓的報告顯示，50% 的中國受訪者對政府保護個人信息的能力表示信任，對金融機構只有 24%，而對電商只有 11%，社交媒體更是低至 8%。

雖然互聯網便利了人們的生活，但消費者在獲得便利的同時，安全感卻再在逐漸消失。

針對個人信息泄露、騷擾信息泛濫的情況，2014 年 3 月重新修訂的《消費者權益保護法》，規(guī)定了經營者收集、使用消費者個人信息的原則。

其中第 29 條第 1 款規(guī)定：「經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。

經營者收集、使用消費者個人信息，應當公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

」第 3 款規(guī)定：「經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。

」這一立法顯示，隱私保護在我國已經成為重要的社會問題，民眾作為消費者的權益受到了侵犯。

實際早在我國立法之前，這一問題在國際上就得到了廣泛的關注。

早在 1980 年，經濟合作與發(fā)展組織(OECD)就頒布了《隱私保護與個人信息跨國流通指南》，隨著信息化程度的不斷提高，世界各國與地區(qū)也紛紛出臺相應法律，比如 2012 年新加坡國會發(fā)布的《個人數據保護法》，2013 年 4 月 25 日香港特區(qū)發(fā)布的《香港隱私保護條例》等。

相比之下，我國在個人信息保護方面的法律法規(guī)建設，正從無到有，處于不斷完善的階段，僅僅《消費者權益保護法》的少數條款顯然不足以覆蓋范圍越來越大的隱私保護問題。

2017 年 6 月 1 日，我國正式實施《網絡安全法》，這是我國第一部全面規(guī)范網絡安全管理方面問題的基礎性法律，共有 11 條條款定義個人信息保護的保護規(guī)定。

其中第 22 條、41 條、44 條和 45 條，要求網絡運營者收集、使用個人信息時，要向用戶明示并取得同意，不得超范圍濫用個人信息，不得已非法方式獲取、提供和出售個人信息。

第 43 條規(guī)定，個人有權要求網絡運營者刪除和更改其個人信息。

不過《網絡安全法》大多只是原則性規(guī)定，且個人信息保護主要集中在第四章網絡信息安全，仍有許多不足。

而一年后實施的歐盟《一般數據保護條例》(GDPR)，被認為是史上最嚴苛的數據保護法案，以及隨后在 2018 年 6 月 28 日經加州州長簽署公布的《加利福尼亞州消費者隱私保護法案》(CCPA)，條款都更加全面和細化，為我們提供了可供參考的范本。

對比我國《網安》法中相應條款，GDPR 和 CCPA 都對個人信息作了比較廣泛地定義，強調個用戶對個人信息的自決權，新增了數據可攜帶權、刪除個人信息權等，并規(guī)范了企業(yè)處理數據的行為，比如要求企業(yè)告知用戶收集、使用、共享數據的具體信息，強化了企業(yè)和數據相關的責任，并設立較為嚴格的處罰，但也設置了多種合規(guī)路徑，鼓勵數據以合法的途徑流通。

兩者間的不同之處在于，GDPR 和《網絡安全法》有所類似，都是基于監(jiān)管者的立場，強調有關責任主體主動規(guī)范數據處理的行為，對數據保護的規(guī)定更為全面;CCPA 更側重規(guī)范數據的商業(yè)化利用，基本是消費者隱私保護的內容，和《消費者權益保護法》的出發(fā)點類似。

相比較之下，GDPR 要更嚴格和全面，涉及的對象范圍也更廣，對象是任何擁有歐盟公民個人數據的組織;CCPA 主要針對達到相應體量(年度總收入超過 2500 萬美元，或為商業(yè)目的購買、出售、分享超過 50000 個消費者、家庭或設備的個人信息，或通過銷售消費者個人數據取得的年收入超過總收入 50%)的處理加州居民個人數據的營利性實體。

在規(guī)定企業(yè)合規(guī)使用用戶數據的界限上，GDPR 在第六條規(guī)定，企業(yè)需要主動獲取數據主體即用戶的明確同意，個人對其數據有知情權，刪除個人數據、限制處理個人數據等相關權利，同時有「合法利益」的概念。

在預防犯罪、欺詐監(jiān)測、員工背景調查和收集分析明星數據等情況下，證明「合法利益」的企業(yè)可以不經同意合法處理個人數據;在 CCPA 中沒有「合法利益」這一概念，消費者有權要求企業(yè)披露收集個人信息的類別和具體要求、目的以及信息共享的第三方，并有權選擇不出售個人信息和要求企業(yè)刪除收集的個人信息等。

360 法律研究院將兩者對個人數據使用的法案內容歸納為，GDPR 規(guī)定個人數據的使用「原則上禁止，有合法授權時允許」;而 CCPA 則是「原則上允許，有條件禁止」。

對于數據跨境，GDPR 的有嚴格的規(guī)定，而 CCPA 沒有進行限制，這與美國相對鼓勵數據流通有關。

但對于違規(guī)行為，處罰的力度都很大。

GDPR 規(guī)定企業(yè)會面臨最高 2000 萬歐元或上一財年全球營業(yè)額 4% 的行政處罰(以較高者為準);而 CCPA 規(guī)定企業(yè)會面臨支付給每位消費者最高 750 美元的賠償金以及最高 7500 美元的罰款。

自 GDPR 開始執(zhí)行之后，Facebook、Google 等巨頭都相繼收到巨額罰單，對于隱私保護的政策爭議也一直未停止。

3 月下旬，阿里巴巴羅漢堂曾邀請全球頂尖學者進行三天閉門的會議，討論隱私與數據治理的問題。

據《錢江晚報》報道，即使是來自歐美的學者，也普遍對 GDPR 表達了一些擔心。

比如法國圖盧茲經濟學院教授 Jean Tirole 就認為，GDPR 太過復雜，如果不允許收集數據，就類似于「想倒掉洗澡水，把寶寶也潑出去了」，甚至有學者將 150 多年前英國頒布的《紅旗法案》與之相比較，《紅旗法案》旨在保護汽車司機和乘客的安全，卻也讓英國錯過了汽車產業(yè)的騰飛。

美國伯克利大學教授 Jim Dempsey 則表示，現在針對隱私的政策大多基于假設，「我們現在缺乏足夠的經濟學、社會學層面對隱私問題的研究」。

亞洲商業(yè)法數據隱私項目負責人 Clarisse Girot 說：「關于對數據的保護，一個國家單槍匹馬是不夠的，我們需要所有的國家、所有的司法管轄區(qū)域，共同的相互協作。

目前，什么叫相互協作、相互運作、相互運營，這些詞眼對我來說也并不是特別清楚，但我相信未來是清楚的。

」博弈中曲折前進回到國內，在《網安》法之后，我國同樣在不斷推進相關的制度建設。

《個人信息安全規(guī)范》就是目前主要針對個人隱私保護領域，進展較快的標準。

雖然不具備強制性，但對處理個人信息和各類組織提出了具體的保護要求，也為制定和實施個人信息保護相關法律法規(guī)奠定了基礎。

今年 2 月初，經過修正，由國家市場監(jiān)督管理總局和中國國家標準化管理委員會發(fā)布的《信息安全技術 個人信息安全規(guī)范(草案)》針對個人信息面臨的安全問題，規(guī)范了個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環(huán)節(jié)中的相關行為。

在這份標準之中，同樣充滿了利益的博弈和妥協。

從標準起草單位和主要起草人來看，既有中國電子技術標準化研究院、清華大學、公安部第一研究所等政府、學術機構，也有阿里巴巴(北京)軟件服務公司、深圳騰訊計算機系統(tǒng)有限公司、阿里云計算有限公司、華為技術有限公司等企業(yè)。

據《中國青年報》報道，「企業(yè)對于個人信息保護責任邊界到底在哪兒」，是起草組爭論的核心問題，起草組成員、阿里巴巴安全部總監(jiān)鄭斌回憶，這個問題起草組討論了近一年的時間。

「我們每兩個月左右會開一次討論會，大概討論了五六次，每一次這個問題都會提出來。

」爭論的重點，是個人信息在數據流轉時，企業(yè)所要擔負的責任。

對企業(yè)來說，理想的結果是企業(yè)只負責自己掌握的個人數據不出現泄漏、濫用等安全問題，而經過用戶授權，流轉到第三方的數據出現問題時，企業(yè)不承擔法律責任，即，前普遍的存在授權鏈即可的觀念。

而學術專家更傾向于，企業(yè)應該對自身搭建的產業(yè)鏈上下游協同能力進行充分的評估，并為合作伙伴承擔責任。

例如劍橋分析曾經利用 Facebook 上 5000 萬名用戶資料進行分析并進而影響美國大選，Facebook 就因此遭到美國、歐盟等多方質詢。

一個現實是，即使過程完全合規(guī)，絕大部分用戶實際并不會去看動輒幾千字的用戶協議，因此「同意」并不意味著「知情」。

北京大學金融法研究中心季旭在《支付寶年度賬單反思錄》一文中談到，我國個人信息收集的原則是「告知—同意」規(guī)則，即信息控制者和信息處理者在收集、處理數據前需事先告知用戶，并得到用戶明示或默示的許可同意。

這一規(guī)則源于美國，被美國聯邦貿易委員會(FTC)認定為線上隱私保護的「最為重要的原則」。

并且有告知成本低廉(只需發(fā)布統(tǒng)一的隱私條款)，尊重個人意愿，監(jiān)管模式簡單等優(yōu)點。

但實踐證明，很少有用戶閱讀隱私條款，即使用戶閱讀了冗長的隱私條款，也很難理解復雜的法律術語以及隱私條款的含義，最后，用戶難做出理性的判斷。

尤其當談判桌的另一端，坐著的是理性、商業(yè)化、法務體系健全的企業(yè)時，看似均衡的天平就完全失衡了。

因此，讓企業(yè)承擔更多的責任，類似在追求「結果正義」，而對企業(yè)來說，這意味著更高的成本和風險，是難以接受的。

因此，直到最后，爭論雙方也都沒有說服另一方，只能在許多條款中達成妥協。

「所以在《規(guī)范》里，并沒有很好地去解決數據流轉過程中數據保護的責任。

」鄭斌說。

不過即使如此，在《規(guī)范》起草組成員、中國信息安全研究院副院長左曉棟看來，這依舊是有著積極的意義。

盡管《規(guī)范》是國家推薦性標準，不是強制性標準，不具備法律強制力，缺少實踐性，也缺少技術上的可執(zhí)行性。

但至少填補了我國相應體系的部分空白，為判斷合規(guī)性提供了一個標準，而且可以通過實踐不斷地改進，也為以后相關法律的起草、發(fā)布和實施奠定基礎。