2018 年 3 月，F(xiàn)acebook 劍橋分析事件的爆出，一把扯下了科技公司各自在用戶(hù)數(shù)據(jù)保護(hù)方面披上的遮羞布。隨后 5 月，歐盟正式開(kāi)始執(zhí)行“史上最嚴(yán)的數(shù)據(jù)隱私保護(hù)法案”《通用數(shù)據(jù)保護(hù)條例》（GDPR），更是把關(guān)于數(shù)據(jù)隱私的討論推向了巔峰。

無(wú)論是連番的數(shù)據(jù)泄漏丑聞還是各國(guó)政府和機(jī)構(gòu)組織的紛紛表態(tài)，2018 年一整年，隱私和數(shù)據(jù)安全都是一個(gè)繞不開(kāi)的話(huà)題，公司和用戶(hù)都不得不開(kāi)始重視它背后的經(jīng)濟(jì)效益、利用關(guān)系以及個(gè)人權(quán)利。

  前所未有嚴(yán)苛的數(shù)據(jù)保護(hù)法《GDPR》 | GDPR 官網(wǎng)截屏

據(jù)中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心的數(shù)據(jù)顯示，截至 2018 年底，中國(guó)網(wǎng)民達(dá) 8.29 億，手機(jī)網(wǎng)民 8.17 億。在這個(gè)背景下，無(wú)論是對(duì)管理者的要求還是民意的訴求，數(shù)據(jù)安全管理規(guī)章化不可避免。

5 月 24 日，國(guó)家網(wǎng)信辦聯(lián)合國(guó)家發(fā)改委等 12 個(gè)部門(mén)起草了《網(wǎng)絡(luò)安全審查辦法(征求意見(jiàn)稿)》（以下簡(jiǎn)稱(chēng)《辦法》）。四天后，5 月 28 日，中國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱(chēng)“網(wǎng)信辦”）發(fā)表《數(shù)字安全管理辦法（征求意見(jiàn)稿）》，發(fā)布《數(shù)字安全管理辦法（征求意見(jiàn)稿）》，向社會(huì)公開(kāi)征求意見(jiàn)。6 月 28 日，《數(shù)據(jù)安全管理辦法》的意見(jiàn)反饋正式截止。

《辦法》只針對(duì)“網(wǎng)絡(luò)運(yùn)營(yíng)者”，要求它們保護(hù)國(guó)家、社會(huì)、個(gè)人在網(wǎng)上的信息和數(shù)據(jù)安全，包括個(gè)人要給企業(yè)多少數(shù)據(jù)，哪些不必再給，企業(yè)無(wú)權(quán)再要；企業(yè)要如何保護(hù)用戶(hù)個(gè)人數(shù)據(jù)，如何利用和處理已有的數(shù)據(jù)，在何種情況下把用戶(hù)數(shù)據(jù)交與政府；政府如何監(jiān)管企業(yè)不濫用個(gè)人數(shù)據(jù)。在《辦法》出臺(tái)之前，因?yàn)榇饲皸l例的模糊性，網(wǎng)絡(luò)運(yùn)營(yíng)者得以鉆了數(shù)據(jù)收集的漏洞。現(xiàn)在，《辦法》就個(gè)人隱私和數(shù)據(jù)收集、廣告和新聞精準(zhǔn)投放、app和平臺(tái)對(duì)權(quán)限的無(wú)理索求以及賬戶(hù)、平臺(tái)在停用后數(shù)據(jù)歸宿等近幾年來(lái)多發(fā)的數(shù)據(jù)隱私爭(zhēng)議點(diǎn)上作出了明確地要求，《辦法》也可能將成為中國(guó)首個(gè)圍繞網(wǎng)絡(luò)安全和數(shù)據(jù)管理落實(shí)的規(guī)章。

堵上所有能鉆的空子

近幾年的移動(dòng)應(yīng)用的普及，新入網(wǎng)用戶(hù)激增，但同時(shí)，零基礎(chǔ)直接上手的移動(dòng)互聯(lián)網(wǎng)用戶(hù)對(duì)數(shù)據(jù)和隱私的權(quán)利概念模糊，絕大多數(shù)用戶(hù)在這方面意識(shí)薄弱，因此導(dǎo)致了不少互聯(lián)網(wǎng)公司肆意收割數(shù)據(jù)的現(xiàn)狀。在五章四十條的《辦法》中，有諸多條例都體現(xiàn)著對(duì)當(dāng)前互聯(lián)網(wǎng)亂象的“對(duì)癥下藥”。

· 《用戶(hù)協(xié)議》要“說(shuō)人話(huà)”

每當(dāng)用戶(hù)注冊(cè)一個(gè)新網(wǎng)站的賬號(hào)時(shí)，總是習(xí)慣把那些長(zhǎng)篇累牘的《平臺(tái)數(shù)據(jù)手機(jī)條約》一拉到底，點(diǎn)擊同意。對(duì)此，《辦法》第二章第八條要求：收集使用規(guī)則應(yīng)當(dāng)明確具體、簡(jiǎn)單通俗、易于訪問(wèn)，并給出了九小點(diǎn)的“具體要求凸顯的條例”。

對(duì)運(yùn)營(yíng)方面向用戶(hù)的條款作出明確規(guī)定 | 網(wǎng)信辦官網(wǎng)截屏

換句話(huà)說(shuō)，滿(mǎn)篇堆砌法律名詞，用盡各種語(yǔ)言技巧的“數(shù)據(jù)收集條約”將被取締。盡管用戶(hù)和平臺(tái)之間“不同意就不能用”的協(xié)議不會(huì)改變，但平臺(tái)必須讓用戶(hù)明確地知曉數(shù)據(jù)收集的意圖，或者說(shuō)用戶(hù)自己使用服務(wù)的代價(jià)。

· 用不到的信息不許強(qiáng)行收集

在第十一條中，《辦法》明確規(guī)定了“網(wǎng)絡(luò)運(yùn)營(yíng)者不得以改善服務(wù)質(zhì)量、提升用戶(hù)體驗(yàn)、定向推送信息、研發(fā)新產(chǎn)品等為由，以默認(rèn)授權(quán)、功能捆綁等形式強(qiáng)迫、誤導(dǎo)個(gè)人信息主體同意其收集個(gè)人信息。”

即網(wǎng)站和應(yīng)用用不到的信息，運(yùn)營(yíng)方不能強(qiáng)行收集，更不能因?yàn)橛脩?hù)不同意提供這些“用不到”的信息，就拒絕提供服務(wù)。系統(tǒng)層上，蘋(píng)果在 iOS 12 和 iOS 13 的更新中也作出了類(lèi)似的規(guī)范和限制。

· 拒絕大數(shù)據(jù)殺熟

在十三條中，《辦法》則規(guī)定了禁止對(duì)個(gè)人信息分析后進(jìn)行定價(jià)歧視，此舉也明顯針對(duì)的就是去年國(guó)內(nèi)頻繁曝出的“大數(shù)據(jù)殺熟”現(xiàn)象。

· 治理垃圾推送消息

在《辦法》第三章《數(shù)據(jù)處理使用》中第二十三條規(guī)定，運(yùn)營(yíng)者利用用戶(hù)數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等，應(yīng)當(dāng)以明顯方式標(biāo)明“定推”字樣；要對(duì)用戶(hù)提供停止接收定向推送信息的功能，并且當(dāng)用戶(hù)關(guān)閉該功能后，應(yīng)當(dāng)停止推送，并刪除已經(jīng)收集的設(shè)備識(shí)別碼等用戶(hù)數(shù)據(jù)和個(gè)人信息。

· 標(biāo)注機(jī)器生成內(nèi)容

隨著人工智能的愈發(fā)成熟，機(jī)器替代人工回復(fù)消息甚至生產(chǎn)內(nèi)容正在慢慢成為一種趨勢(shì)。比如前幾年開(kāi)始在社交網(wǎng)絡(luò)上流行的各類(lèi) bot 就屬于該類(lèi)，各類(lèi)服務(wù)中的自動(dòng)客服回復(fù)和智能助手也可歸為該類(lèi)。在《辦法》第二十四條規(guī)定，利用大數(shù)據(jù)和人工智能合成的新聞、博文、帖子、評(píng)論等信息，應(yīng)以明顯方式表明“合成”字樣。

· 設(shè)立“數(shù)據(jù)安全負(fù)責(zé)人”職位

《辦法》中也要求網(wǎng)絡(luò)運(yùn)營(yíng)方要有“數(shù)據(jù)安全負(fù)責(zé)人”職位，這個(gè)職位要求有數(shù)據(jù)安全專(zhuān)業(yè)知識(shí)的人員擔(dān)任，專(zhuān)員需要參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策，且運(yùn)營(yíng)方要保證這個(gè)職位“獨(dú)立履行職責(zé)”。

· 對(duì)已有數(shù)據(jù)的保護(hù)

《辦法》第三章規(guī)定，如運(yùn)營(yíng)方被兼并或破產(chǎn)，所擁有的數(shù)據(jù)要么交接要么刪除，不得保留；個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件，或者發(fā)生數(shù)據(jù)安全事件風(fēng)險(xiǎn)明顯加大時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)立即采取補(bǔ)救措施，及時(shí)告知用戶(hù)并向網(wǎng)信部門(mén)報(bào)告。

網(wǎng)絡(luò)運(yùn)營(yíng)者在用戶(hù)注銷(xiāo)賬號(hào)后應(yīng)當(dāng)及時(shí)刪除其個(gè)人信息，保存?zhèn)€人信息也不應(yīng)超出收集使用規(guī)則中的保存期限，繼要求運(yùn)營(yíng)方“只收集最必要的，有期限的保留，且當(dāng)用戶(hù)要求平臺(tái)方刪除或離開(kāi)平臺(tái)后，運(yùn)營(yíng)方要主動(dòng)刪除用戶(hù)數(shù)據(jù)。”

· 強(qiáng)制“溯源”

《辦法》中還規(guī)定“對(duì)于用戶(hù)通過(guò)社交網(wǎng)絡(luò)轉(zhuǎn)發(fā)他人制作的信息，應(yīng)自動(dòng)標(biāo)注信息制作者在該社交網(wǎng)絡(luò)上的賬戶(hù)或不可更改的用戶(hù)標(biāo)識(shí)?！睋Q言之，這是一種強(qiáng)制“溯源”，新浪微博在最新版本更新中加入了標(biāo)注“博主”的功能，可以在評(píng)論區(qū)中明顯辨認(rèn)出“原博”。但該條例規(guī)定的則是在社交網(wǎng)絡(luò)中常見(jiàn)的“轉(zhuǎn)發(fā)鏈條”里，無(wú)論多少人轉(zhuǎn)發(fā)，社交網(wǎng)絡(luò)平臺(tái)需要對(duì)“原博”作出不可更改的標(biāo)注。此規(guī)定的前提，是網(wǎng)絡(luò)運(yùn)營(yíng)者要督促提醒用戶(hù)對(duì)自己的網(wǎng)絡(luò)行為負(fù)責(zé)、加強(qiáng)自律。

在“大數(shù)據(jù)殺熟”、個(gè)人信息被販賣(mài)、私密信息被盜用或流傳、注銷(xiāo)刪除賬號(hào)難、商業(yè)廣告和新聞推送霸屏的當(dāng)下，《辦法》對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)方作出了諸多規(guī)定，并且將執(zhí)法部門(mén)從中央下發(fā)至“地（市）及以上網(wǎng)信部門(mén)”，這將使執(zhí)法難度下降，用戶(hù)更易維權(quán)，這無(wú)疑是數(shù)據(jù)保護(hù)上的提升。但另一方面，《辦法》中許多條例的模糊性也容易使得網(wǎng)絡(luò)運(yùn)營(yíng)方明確知曉自己的義務(wù)，但個(gè)人用戶(hù)卻不知自己有何權(quán)利。同時(shí)，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)方數(shù)據(jù)管理的要求也是雙向的，一方面?zhèn)€人用戶(hù)將更“被動(dòng)地”保護(hù)自己數(shù)據(jù)，另一方面，政府也更“主動(dòng)地”對(duì)運(yùn)營(yíng)方提出了數(shù)據(jù)審查要求。

變化內(nèi)容

《辦法》是中國(guó)版 GDPR 嗎？

雖說(shuō)《辦法》有望成為中國(guó)首個(gè)圍繞網(wǎng)絡(luò)安全和數(shù)據(jù)管理落實(shí)的規(guī)章，從內(nèi)容上也是政府站在用戶(hù)角度，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)方就用戶(hù)數(shù)據(jù)作出收集、處理、刪除等各個(gè)環(huán)節(jié)的要求。

《辦法》發(fā)布之后難免被拿來(lái)與 GDPR 相比。兩者相同之處頗多。

兩部法案都提到了數(shù)據(jù)保護(hù)官類(lèi)似崗位的設(shè)置；數(shù)據(jù)在泄露后，運(yùn)營(yíng)方告知用戶(hù)的職責(zé)；也對(duì)國(guó)際間數(shù)據(jù)轉(zhuǎn)移作出了要求，GDPR 僅允許數(shù)據(jù)控制者將數(shù)據(jù)轉(zhuǎn)移到歐洲經(jīng)濟(jì)區(qū)EEA以外的、當(dāng)?shù)胤梢驯粴W盟批準(zhǔn)為充分保護(hù)的國(guó)家或地區(qū)，中國(guó)并未在此名單中，GDPR 的目的更傾向于“把數(shù)據(jù)放在有法律監(jiān)管的地區(qū)”，換言之，你不能把 GDPR 范圍區(qū)的數(shù)據(jù)轉(zhuǎn)移到非范圍區(qū)的地方，然后再故技重施濫用數(shù)據(jù)。

又比如，對(duì)企業(yè)不能再使用難以理解的冗長(zhǎng)語(yǔ)言來(lái)讓用戶(hù)簽訂隱私政策；用戶(hù)對(duì)自己數(shù)據(jù)的“被遺忘權(quán)”，在主動(dòng)提出刪除賬戶(hù)后，運(yùn)營(yíng)方對(duì)過(guò)往數(shù)據(jù)不再有保留權(quán)等。

還有一些問(wèn)題，GDPR 和《辦法》有共同認(rèn)識(shí)，但實(shí)施做法和思路不盡相同。

《辦法》對(duì)境內(nèi)境外數(shù)據(jù)流通做出要求的目的就不同于 GDPR?！掇k法》要求網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前，應(yīng)當(dāng)評(píng)估可能帶來(lái)的安全風(fēng)險(xiǎn)，并報(bào)經(jīng)行業(yè)主管監(jiān)管部門(mén)同意；境內(nèi)用戶(hù)訪問(wèn)境內(nèi)互聯(lián)網(wǎng)的，其流量不得被路由到境外。此規(guī)定是為了防止?jié)撛诘牧髁拷俪帧?

另一方面，橫向?qū)Ρ葍刹糠ò福珿DPR 比《辦法》會(huì)更細(xì)致一些，GDPR 是站在用戶(hù)一方，對(duì)數(shù)據(jù)收集方提出了在當(dāng)下的“數(shù)據(jù)隱私權(quán)”以及維護(hù)這一權(quán)利所建立起的法律保護(hù)框架。而《辦法》則更多地是針對(duì)數(shù)據(jù)的提供者和使用者要如何對(duì)待數(shù)據(jù)。

從兩部法案的保護(hù)主體個(gè)人用戶(hù)的角度來(lái)看，GDPR給予了個(gè)人用戶(hù)對(duì)其數(shù)據(jù)更大的控制權(quán)，并明確了這些權(quán)利，而《辦法》則更強(qiáng)調(diào)給予用戶(hù)“知情權(quán)”，運(yùn)營(yíng)方像是在被《辦法》推著走，而非被用戶(hù)監(jiān)管和維權(quán)。在個(gè)人敏感數(shù)據(jù)方面，GDPR 給出了七類(lèi)可視為個(gè)人敏感數(shù)據(jù)的數(shù)據(jù)類(lèi)型，從種族民族性取向到個(gè)人生物識(shí)別技術(shù)和基因數(shù)據(jù)都在這個(gè)范圍內(nèi)，《辦法》中則并未詳細(xì)展開(kāi)“個(gè)人信息”的覆蓋數(shù)據(jù)類(lèi)型。而用戶(hù)，也就是 GDPR 中所提到的“數(shù)據(jù)主體”，GDPR 中用了三個(gè)章節(jié)詳細(xì)闡述了數(shù)據(jù)主體對(duì)數(shù)據(jù)的知情權(quán)、訪問(wèn)權(quán)、更正權(quán)和可攜權(quán)、刪除權(quán)、限制處理權(quán)、反對(duì)權(quán)和自動(dòng)化個(gè)人決策相關(guān)權(quán)利。這些權(quán)利在《辦法》中不難找到對(duì)應(yīng)的法規(guī)，但個(gè)人用戶(hù)到底對(duì)自己的數(shù)據(jù)有哪些權(quán)利，這是在《辦法》中并未明晰的。

在 GDPR 中，還用了大量的篇幅來(lái)傳遞一個(gè)概念：“意愿”。GDPR 要求用戶(hù)要在意愿自由、不存在被脅迫或欺詐、知情權(quán)明確、運(yùn)營(yíng)方提供給用戶(hù)的信息明確到用戶(hù)都不能輕易忽略……諸多前提條件后，用戶(hù)按下的“同意協(xié)議”才是真的“同意”，才會(huì)真正從法律層面讓協(xié)約生效。這個(gè)同意不能有任何不明確的空間，只要用戶(hù)還對(duì)協(xié)議有合理的懷疑，就判定用戶(hù)的意愿不明確。

而后 GDPR 還就“同意意愿”分為了兒童對(duì)同意的判斷、有效同意的要件、同意的法律框架等做了更詳細(xì)的要求和闡述。用戶(hù)意愿是 GDPR 中的一個(gè)高頻詞，而在《辦法》中，更多出現(xiàn)的則是“要求運(yùn)營(yíng)方”。

盡管在《辦法》最后規(guī)定，若網(wǎng)絡(luò)運(yùn)營(yíng)者違反《辦法》，將面臨公開(kāi)曝光、沒(méi)收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或吊銷(xiāo)營(yíng)業(yè)執(zhí)照等處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。但用戶(hù)通過(guò)何種途徑可以得知平臺(tái)濫用數(shù)據(jù)，得知后如何投訴舉報(bào)立案，對(duì)運(yùn)營(yíng)方的懲罰措施和力度等細(xì)節(jié)都并未在《辦法》中得到具體說(shuō)明。

無(wú)論《辦法》如何落地，至少表達(dá)了一個(gè)信號(hào)：運(yùn)營(yíng)者必須重視數(shù)據(jù)安全和用戶(hù)個(gè)人隱私管理。對(duì)用戶(hù)來(lái)說(shuō)，也不是有了法規(guī)就萬(wàn)事大吉。保護(hù)個(gè)人數(shù)據(jù)隱私，無(wú)論對(duì)于個(gè)人、企業(yè)還是政府，仍舊是一個(gè)漫長(zhǎng)且艱巨的博弈過(guò)程。