你的数据隐私什么时候才能受到保护？

在规定企业合规使用用户数据的界限上，GDPR在第六条规定，企业需要主动获取数据主体即用户的明确同意，个人对其数据有知情权，删除个人数据、限制处理个人数据等相关权利，同时有‘合法利益’的概念。在预防犯罪、欺诈监测、员工背景调查和收集分析明星数据等情况下，证明‘合法利益’的企业可以不经同意合法处理个人数据；在CCPA中没有‘合法利益’这一概念，消费者有权要求企业披露收集个人信息的类别和具体要求、目的以及信息共享的第三方，并有权选择不出售个人信息和要求企业删除收集的个人信息等。360法律研究院将两者对个人数据使用的法案内容归纳为，GDPR规定个人数据的使用‘原则上禁止，有合法授权时允许’；而CCPA则是‘原则上允许，有条件禁止’。

对于数据跨境，GDPR的有严格的规定，而CCPA没有进行限制，这与美国相对鼓励数据流通有关。但对于违规行为，处罚的力度都很大。GDPR规定企业会面临最高2000万欧元或上一财年全球营业额4%的行政处罚（以较高者为准）；而CCPA规定企业会面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的罚款。

自GDPR开始执行之后，Facebook、Google等巨头都相继收到巨额罚单，对于隐私保护的政策争议也一直未停止。3月下旬，阿里巴巴罗汉堂曾邀请全球顶尖学者进行三天闭门的会议，讨论隐私与数据治理的问题。据《钱江晚报》报道，即使是来自欧美的学者，也普遍对GDPR表达了一些担心。比如法国图卢兹经济学院教授JeanTirole就认为，GDPR太过复杂，如果不允许收集数据，就类似于‘想倒掉洗澡水，把宝宝也泼出去了’，甚至有学者将150多年前英国颁布的《红旗法案》与之相比较，《红旗法案》旨在保护汽车司机和乘客的安全，却也让英国错过了汽车产业的腾飞。美国伯克利大学教授JimDempsey则表示，现在针对隐私的政策大多基于假设，‘我们现在缺乏足够的经济学、社会学层面对隐私问题的研究’。亚洲商业法数据隐私项目负责人ClarisseGirot说：‘关于对数据的保护，一个国家单枪匹马是不够的，我们需要所有的国家、所有的司法管辖区域，共同的相互协作。目前，什么叫相互协作、相互运作、相互运营，这些词眼对我来说也并不是特别清楚，但我相信未来是清楚的。’

博弈中曲折前进

回到国内，在《网安》法之后，我国同样在不断推进相关的制度建设。《个人信息安全规范》就是目前主要针对个人隐私保护领域，进展较快的标准。虽然不具备强制性，但对处理个人信息和各类组织提出了具体的保护要求，也为制定和实施个人信息保护相关法律法规奠定了基础。

今年2月初，经过修正，由国家市场监督管理总局和中国国家标准化管理委员会发布的《信息安全技术个人信息安全规范（草案）》针对个人信息面临的安全问题，规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。

在这份标准之中，同样充满了利益的博弈和妥协。从标准起草单位和主要起草人来看，既有中国电子技术标准化研究院、清华大学、公安部第一研究所等政府、学术机构，也有阿里巴巴（北京）软件服务公司、深圳腾讯计算机系统有限公司、阿里云计算有限公司、华为技术有限公司等企业。

据《中国青年报》报道，‘企业对于个人信息保护责任边界到底在哪儿’，是起草组争论的核心问题，起草组成员、阿里巴巴安全部总监郑斌回忆，这个问题起草组讨论了近一年的时间。‘我们每两个月左右会开一次讨论会，大概讨论了五六次，每一次这个问题都会提出来。’

争论的重点，是个人信息在数据流转时，企业所要担负的责任。对企业来说，理想的结果是企业只负责自己掌握的个人数据不出现泄漏、滥用等安全问题，而经过用户授权，流转到第三方的数据出现问题时，企业不承担法律责任，即，前普遍的存在授权链即可的观念。

而学术专家更倾向于，企业应该对自身搭建的产业链上下游协同能力进行充分的评估，并为合作伙伴承担责任。例如剑桥分析曾经利用Facebook上5000万名用户资料进行分析并进而影响美国大选，Facebook就因此遭到美国、欧盟等多方质询。

一个现实是，即使过程完全合规，绝大部分用户实际并不会去看动辄几千字的用户协议，因此‘同意’并不意味着‘知情’。北京大学金融法研究中心季旭在《支付宝年度账单反思录》一文中谈到，我国个人信息收集的原则是‘告知—同意’规则，即信息控制者和信息处理者在收集、处理数据前需事先告知用户，并得到用户明示或默示的许可同意。这一规则源于美国，被美国联邦贸易委员会（FTC）认定为线上隐私保护的‘最为重要的原则’。并且有告知成本低廉（只需发布统一的隐私条款），尊重个人意愿，监管模式简单等优点。

但实践证明，很少有用户阅读隐私条款，即使用户阅读了冗长的隐私条款，也很难理解复杂的法律术语以及隐私条款的含义，最后，用户难做出理性的判断。尤其当谈判桌的另一端，坐着的是理性、商业化、法务体系健全的企业时，看似均衡的天平就完全失衡了。

很多消费者甚至没有注意到这一行字

因此，让企业承担更多的责任，类似在追求‘结果正义’，而对企业来说，这意味着更高的成本和风险，是难以接受的。因此，直到最后，争论双方也都没有说服另一方，只能在许多条款中达成妥协。‘所以在《规范》里，并没有很好地去解决数据流转过程中数据保护的责任。’郑斌说。

不过即使如此，在《规范》起草组成员、中国信息安全研究院副院长左晓栋看来，这依旧是有着积极的意义。尽管《规范》是国家推荐性标准，不是强制性标准，不具备法律强制力，缺少实践性，也缺少技术上的可执行性。但至少填补了我国相应体系的部分空白，为判断合规性提供了一个标准，而且可以通过实践不断地改进，也为以后相关法律的起草、发布和实施奠定基础。

中国用户的隐私意识正在不断觉醒，《诺顿网络安全报告》中数据显示，85%的中国受访者比以往更关注自己的个人信息安全，90%希望为之做些什么，但66%的都不知道能怎么做。目前缺失的，正是相应法律法规的建设，以及企业对用户信息保护的重视和积极参与。随着整体生态的不断改善，一个重视用户隐私安全的商业环境，将更有利于良性的商业竞争和发展，也最终将反馈给整个社会。

参考文献：

ISACA《网络安全实施框架指南》

诺顿：《诺顿网络安全调查报告》

中国青年报：《信息安全技术个人信息安全规范》出台的背后

360法律研究院：《国内外看CCPA与GDPR的对比》

钱江晚报：《315过后，我们的隐私数据谁来保护》