1. 数字经济大会首页
  2. 18年嘉宾发言

欧盟数据隐私法案解读与应对策略探究

18年嘉宾发言, 嘉宾发言

中科九度(北京)空间信息技术有限责任公司总裁  魏育成

“大数据杀熟”的案例频频出现,说明了一些大数据企业对用户数据的采集以及分析,在用户不知情的情况下开展应用,进行商业获利。当用户在使用手机 APP 时,往往需要一系列授权才能使用,这些授权意味着什么?手机里的通讯录、微信、短信、麦克风甚至摄像头都会被 APP 开发者调用,很可能会涉及很多个人隐私的泄露问题。

个人隐私数据可以分成三类:第一类是属性数据,就是个人的DNA数据,包括身份证、手机号码、家庭住址、生物特征(如虹膜、指纹、笔迹等)等可以标识用户个人身份的数据;第二类是用户的行为数据,包括用户浏览网页的历史点击情况、用户的位置信息等。比如一些地图 APP 为用户提供出行服务,同时它也可以 24 小时的监控个人的位置,之后就可以利用这些监测数据做出相关分析,比如哪里是办公室、哪里是家庭住址。除此之外,用户的网页浏览、线上购物等数据往往被平台厂商利用来做“用户画像”,可以说“用户画像”本身就是平台对个人隐私进行的一种窥探;第三类数据是关系数据,比如平台方通过海量的数据积累,经过分析都可以知道个人的家人、朋友、上下级等所谓的人与人之间的关联信息。

最近 Facebook 遇到了麻烦,泄露了将近 8700 万用户及其好友的个人数据给一家英国的政治分析公司,经媒体曝光后,引起用户大量不满,各大社交网站掀起删除 Facebook 的热潮,其市值一周之内蒸发了 750 亿美元。后续 Facebook 可能面临着 2 万亿美元的重罚,而 Facebook 目前的市值估计仅有 3000 多亿美元。还有一个案例是关于被遗忘权,一个西班牙人起诉了谷歌,原因是他在谷歌看到一则多年前他由于债务困难导致房屋被拍卖的信息,由于此事已经过去很多年,所以他要求谷歌删掉相关信息。但谷歌表示无能为力,后来这个西班牙人就起诉了谷歌,而法庭支持了他的要求。

欧盟的基本理念是用户在网站上产生的所有数据都应该有被遗忘权,法律支持用户要求网站将与其不相关、不合适、已过时信息删除。但是国内目前的情况并不是很理想,最近也有南京市民状告某搜索引擎平台公司侵犯其隐私,一审虽然胜诉了,但是后来二审被推翻了,法院认为该平台公司不对用户构成隐私侵犯。

用户在网络上产生的数据到底是谁的?其实不同的国家有不同的态度,美国表现的比较矛盾:一方面强调隐私保护,另一方面同时又鼓励数据应用;而欧盟则坚定支持隐私保护、赋予个人更大的权利;虽然中国已经出台了隐私保护法,但是具体规定还不明确。

欧盟的数据保护现状

欧盟 2016 年颁布了《通用数据保护条例》,于 2018 年 5 月 25号开始实施,堪称是史上最严格的数据隐私保护法案。法案中提到了监管机构、用户、数据控制者、数据处理者、服务提供者等角色。这实际上是一种新型的互联网计算模型——在用户与互联网平台这两方之间增加了数据控制者和数据处理者,来承担起用户隐私保护这个责任。整个架构顶层设置国家级监管机构,授权数据控制者必须对数据主体(用户)提供支持和保障,数据处理者则按照用户的要求对其在互联网平台上产生的数据进行加解密操作。所有的用户数据在互联网平台上都是加密的,平台不能存储用户的明文数据,平台与用户之间的互动需要由第三方(数据操作者)进行加解密操作才能完成,用户、平台以及第三方的所有操作受数据控制者监管和记录,在这种情况下,互联网平台方才真正是运动员而不是裁判员,也不会出现所谓“店大欺客”的现象。

《通用数据保护条例》把一些对数据操作的基本权利赋予了个人,比如上文所提到的被遗忘权;二是可移动权,用户可以把个人隐私数据从一个平台移动到另一个平台,原来的平台不能保留任何数据。除了被遗忘权和可移动权,还有数据访问权、修正权等,这些都以立法的方式对用户及其在互联网平台上的行为进行切实的保护。平台方和第三方负责在技术上实现用户权益,如果违反就会受到处罚。这就是欧盟的理念——法律先行,先从法律上明确用户权利再利用技术手段实现用户权利。

对于互联网平台服务方而言,法律要求其做平台设计的时候就要考虑保护用户隐私,保护隐私是默认选项,平台必须采集最小的数据来为用户提供服务。这意味着很多 APP 应该本着“最少够用就行”原则,尽量不采集额外数据,这样 APP 在安装时就不能要求用户授权采集通讯录、位置等无关信息。

《通用数据保护条例》要求互联网公司设置专门的数据保护官,要求监管机构负责体系监督和执行,同时提醒用户提高自我保护意识等。该法案的惩罚力度很大,从 5 月 25 日开始,一旦查到互联网平台企业(如电子商务公司)对用户隐私数据的保护不符合《通用数据保护条例》要求,只要涉及欧盟公民,轻则罚款 1000 万欧元或者是年销售额的 2%、重则罚款 2000 万欧元或者是年销售额的 4%。因此中国准备通过“一带一路”走出去的互联网企业,面临欧盟对个人隐私保护的法律规定,要高度重视。数字经济企业走出去,要知道国外非常看重知识产权和数据隐私的保护,这也代表着社会发展的趋势,中国数字经济企业也必须考虑这个问题。

还有就是“长臂”管辖原则,即无论违规的企业是否在欧盟境内都要加以处罚。估计 2018 下半年国内会有很多电子商务公司收到欧盟的罚单,可能一笔就是 1000 万或者 2000 万欧元的罚款。《通用数据保护条例》核心要点有 11 章 99 条,对电子商务企业使用用户数据施加更多的约束,总体阐述了一个最基本的问题——平台使用的用户数据所有权到底属于谁?《通用数据保护条例》明确规定:用户数据属于用户个人,不属于平台,用户不同意,平台就不可以采集、挖掘数据,更不用说其他商业行为。通过立法的方式赋予用户更多的权利,保证用户对其在平台上产生的数据有绝对的控制权,电子商务平台公司一旦违规就重罚。这就是欧洲法律的“长臂”管辖原则,全球范围适用。

应对策略

对于中国企业来说目前有几条对策:一是先停止相关区域的服务;二是继续进行正常服务,等待相关处理;三是主动配合,积极应对。

我认为对于经营者来说,合规是必选项,要吃透欧盟对于个人隐私数据保护的要求,建设相应的机制,建立欧盟认可的控制机构,采用欧盟认可的数字经济计算模型和服务模式,为中国企业走出去保驾护航,这才是正确的应对策略。

中科院电子所信息技术创新工程中心与法国的 TRUSTSEED 公司共同设计了一种三元安全体系计算模式,以适应欧盟《通用数据保护条例》的最新要求。这个模式已经在欧盟地区得到了一些应用,比如欧洲 SAP 公司、巴黎银行等。

中国虽然有《网络安全法》,但该法律对个人隐私保护的内容比较少,政府应该加大制定相应法律法规的力度,不断提出更加细致的规章制度。同时在通用数据保护上,数字经济产业界要重视起来,学术界在这方面也应该开展相关的研究以适应新时代的要求。

上一篇:

下一篇:

相关新闻