阿里云通过 全球最严数据安全审计 中国厂商仅一家
王梓辉
年初数千万Facebook用户数据泄露从而影响美国总统选举结果的事件余波刚刚过去,5月25日,被称为“全球最严”数据保护条例的GDPR正式在欧盟地区开始实施,这又一次让“数据保护”的议题成为世界舆论的中心。在这个大数据时代,欧盟略显严苛的条例为包括中国在内的世界其他国家提供了一个重要的参考方案。
欧盟颁布但影响全球
“(你們的表现)看上去更像是在最后一分钟才收到了新隐私法规的提醒,然后为了避免任何的法律后果,就匆匆忙忙地做了这些?!”在中国智能家居生产厂商Yeelight的英文版网站留言区,一位欧洲用户在十几天以前留下了上面这则愤怒的留言。而使他感到如此不悦的原因是,这家来自中国的厂商在5月24日宣布,为了更好地保障用户数据隐私并进行软件升级工作,他们将暂停其在欧洲地区的部分服务。
5月22日,Facebook公司创始人兼CEO马克·扎克伯格出席欧洲议会听证会,就Facebook公司数据外泄事件接受议员质询北京大学信息管理系副主任周庆山
作为小米生态链旗下聚焦于智能照明设备生产的企业,Yeelight在欧洲地区也有自己的业务,在一些报道中,他们被认为是仅次于飞利浦的全球第二大智能灯具出货商。然而,围绕在用户数据与隐私方面的问题使他们不得不暂别欧洲市场。尽管Yeelight CEO姜兆宁在微博回复中否认公司保存用户隐私数据,并表示此次只是暂时下线,合规后将继续上线。但业内声音普遍认为Yeelight此次下线就是因为“GDPR”的缘故。
所谓“GDPR”,其全称为《通用数据保护条例》,这项由欧盟颁布的新条例顾名思义就是要“保护数据”,而它也是目前全球范围内当之无愧的“最严”数据保护法案。自从这项条例在2016年4月在欧盟议会和欧盟理事会获得通过之后,全球都在期待它在今年5月25日的正式实施将会给世界带来哪些影响和变化,而Yeelight只是其中受到冲击的一家企业代表。国内某数据安全公司总监告诉本刊,这些问题都不是Yeelight独有的,“现行的大多数互联网服务都会有问题,甚至包括Google与Facebook。”他说道。
一个看上去只是由欧盟颁布、在欧盟地区实行的法案却影响到了中国及全世界众多的跨国公司,显然GDPR的意义和影响远不止于欧洲本身。
爱尔兰投资发展局中国区总监张哲伟告诉本刊,此条例虽然针对的保护对象是欧盟公民,但由于《条例》中对于是否为欧盟境内用户提供服务的判定标准为:“只要该网站或手机APP能够被欧盟境内个人所访问和使用,产品或服务使用的语言是英语或特定欧盟成员国语言、产品价格标识为欧元,都可以被理解为该产品、服务的目标用户包括欧盟境内用户。”因此,即使一家企业的服务器位于亚洲,但只要其中存储有任何关于欧盟用户的信息,这家企业都适用于这一新法规。“这也是《条例》在全球范围引起极大震动的原因之一,不管传统行业还是电子商务等新兴领域,都很可能落入《条例》的适用范围。”张哲伟说道。
而对于所有受影响的企业来说,想要满足GDPR的合规要求也需要付出“十分高”的代价,企业需要投入大量人力财力,才能确保执行。张哲伟总结了对企业主要的两方面影响:第一,企业必须在采集用户数据前就获得用户同意,并告知数据用途和去向,用户也有绝对权力要求查看、修改或删除个人信息;此外,GDPR更严格要求企业完善一切需要使用用户数据的信息流程,确保数据的公开和透明。而这两方面的规定与此前相比均有较大提升,未能履行的企业将承受最高达2000万欧元或4%全球总营收(两者以较高者为准)的巨额罚款。“除了罚款外,用户索赔和信用降级等都会对企业造成极大损失。”
“目前来看,我观察到的有三种企业。”中国信息通信研究院互联网法律研究中心副主任方禹也向本刊总结道,“第一种就是停止自己在欧洲的业务,比如《洛杉矶时报》和《芝加哥论坛报》等媒体就因此关闭了其欧洲网站;第二种主要是大企业,他们都在努力合规,比如阿里云已经宣布说他们符合这个要求了,但是要做到合规就是六个字:费时、费力、费钱;第三种主要是中小企业比较多,他们基本采取是的观望态度,说得不好听就是在赌博,赌你不来罚我。”
当然,不同的企业会根据其自身利益做出不同的选择。5月31日,已经停止了一周服务的Yeelight经过整改后在其官网上发表了恢复服务的声明,其中明确表示“将严格遵照本地隐私法律法规的要求,保障用户的隐私数据不被违规收集或者滥用”。但根据业内普遍的分析,其中付出的代价应该不小。事实上,就在文章开头那位用户的吐槽下面,有Yeelight的员工就向他解释说,Yeelight为了达到GDPR的要求已经努力了数月,但即使如此,他们仍然有一些问题没能来得及解决而不得不临时下线自己的服务。
而大公司则有更多的资源来做更充分的准备。如果你是一位资深互联网用户,你应该自5月上旬起就会收到不少来自大公司们的隐私通知邮件。比如谷歌公司在5月15日就像其全球用户发送了“隐私权政策和隐私控制设置方面的诸多改进”的邮件,其中明确表示“之所以做出这些更新,是因为欧盟即将实施新的数据保护条例”。而微软方面也向本刊表示,他们自2016年GDPR获欧盟通过后便投入了大量的人力物力来确保其产品和服务符合GDPR相关要求,其中参与的工程师人数超过1600位。
另一方面,如同张哲伟上面所解释的那样,这种影响绝不仅限于互联网行业。事实上,只要你的服务涉及收集或使用用户的个人数据,无论你身处哪行哪业,你都会受到影响。比如因为我此前曾用邮箱注册了伦敦希思罗机场的账号,他们也在GDPR颁布之际向我发出了更改隐私条款的邮件。而国内的国航、东航均在5月24日对其APP和官方网站的隐私政策条款进行了更新,在最新版的隐私政策中,这几家航空公司将可能收集的个人信息的范围列得更加详细。
“从某种意义上来说,GDPR的实施就像一个企业新的管理系统,企业不仅需要对旧的系统进行评估,做出调整,也要适应新的系统。”张哲伟说道。所以他认为不管是运营流程,还是员工培训,乃至客户层面,都需要做出相应的改变,并且要付出一定的投入,因为“如果违反GDPR,企业将面对严重的处罚”。
引领时代还是过犹不及?
事实上,虽然在外界看来,欧盟选择在颁布这样一个极为严苛的法令有些突然,但早在1995年,欧盟就通过了《数据保护指令》(Data Protection Directive,以下简称“九五指令”),其中就对个人数据的处理进行了基本的规则制定,而中国在前一年才刚刚接入互联网。可以说,相比世界其他国家和地区,欧盟在个人数据安全保护方面拥有一贯的传统。方禹也告诉本刊,业界普遍对“九五指令”的评价非常高,认为这个法令很合理、很有效,只是随着技术的不断进步,法律条文也到了需要做出改变的时候。
如果将2011年作为社会进入移动互联网时代的标志,那么在方禹看来,欧盟花了5年时间在2016年出台了GDPR,就制定一部法律来说已经算比较快的了,而且也适应了时代发展的需求。但从这项法律本身来讲,其包括前言说明在内长达260页的篇幅确实非常庞杂,且本身处理的就是一个较有争议的话题,这也使得舆论中对其的理解声音分歧较大。两三年前就将GDPR翻译成了中文的中国人民大学法学院未来法治研究院副院长丁晓东也告诉本刊,这个条例的争议“非常非常大”。而争议的核心就是如何处理“保护权利”与“保护发展”之间的关系。
一类声音认为,GDPR保护用户个人数据安全的用意虽好,但存在着过犹不及的情况,无论从理念还是技术实践上都值得商榷。北京师范大学法学院教授刘德良就撰文指出,GDPR在4个方面存在问题。第一,并非所有的个人数据都与人格自由直接相关,个人数据也不等同于法律上的隐私;第二,极端个人主义本位有碍社会经济快速发展;第三,技术上有过时之嫌;第四,实施效果可能有悖于立法初衷。
华东政法大学大数据政策法律研究中心主任高富平也持有相似的观点,他同样认为GDPR是建立在个人本位的基础之上,是以个人主义为基础而构建的一套体系,但没有考虑个人信息在社会中流通和使用的场景,“更没有从大数据时代数据已经成为资源的角度来考虑问题”。因此在他看来,欧洲建立起来的这套规则“其实是完全不适应我们这个时代需要的”。
而另一些意见则认为GDPR的出现让个人的数据安全真正得到了重视。北京大学信息管理系教授周庆山告诉本刊,其实这个条例体现了欧洲一贯的价值观,那就是将“个人”放到第一位。丁晓东则将GDPR的整体思路总结为“数据属于个人”,“就是把控制数据的权力从平台还给了个人”。
已经呼吁了十几年个人信息保护的周庆山就非常不同意“过犹不及”的说法,在他看来,国内目前的问题不是发展受到了阻碍,反而是个人数据信息的无节制泛滥。今年1月,四川省公安厅召开“向人民报告”网安专场新闻通气会,会上透露,2017年仅四川省就有250余亿条公民个人信息被泄露。“如果任由一个行业混乱地去发展,我觉得它发展不好。”周庆山对本刊说道,“真正的发展是什么?是因为我相信你,我才愿意把数据给你。而现在的结果是大家出卖了自己的信息去交换了少数公司的发展,这个从价值观上也是不合适的。”
看上去,丁晓东向我们提出“天才与荒谬并存”的观点颇能总结GDPR的争议性。一方面,GDPR在全球個人信息保护领域是当之无愧的引领性法案,它的确是把隐私保护提高到了一个前所未有的程度,“除了中国和美国之外,很多国家都在效仿它推出相似的法案,甚至直接就照抄了过来。”另一方面,它的很多规则在某种程度上恰恰与这个大数据时代的很多特征是背道而驰的,以其原则中的“目的限定原则”为例,这条原则规定收集来的数据只能用于最初规定好的目的,但从公共利益的角度来讲,大数据的跨界使用在这个时代是非常普遍的,而GDPR则从一定程度上阻隔了数据的流动,比如一个国家想要精准扶贫,但它按GDPR的规定也无法调用电商平台的消费数据。
“所以它的天才里面也存在很多偏差的地方。”丁晓东说道。
对中国的影响和启示
“GDPR虽然是一项欧盟法规,但它所建立的隐私和安全准则将对全球市场带来表率作用和深远的影响。无论在欧洲、全球,还是中国市场,符合全球标准的数据隐私和安全保护,将成为越来越重要的信息安全准则。”微软大中华区副总裁康容如此告诉本刊。
随着走出国门的中国企业越来越多,努力适应这种在全球视野下的行为规范也变得愈发重要。同样耕耘海外市场多年的AI机器人企业优必选就称,海外的法律法规对消费者的保护条例非常完整,中国企业要走出去,必须严格遵守当地法律法规,在欧洲、美国出现违反法律法规的事情,面临的罚款或者是惩罚力度会非常大。
除了上文中的Yeelight之外,目前产品覆盖全球近200个国家和地区的人工智能平台公司涂鸦智能也对本刊透露,其所在的人工智能与物联网行业确实受到了不小的影响,也已经有一些企业暂时关停了对欧洲地区的服务。
因为GDPR的巨大冲击,最近找方禹了解这个事情的公司和媒体非常多。作为工信部直属的官方智库,方禹告诉我们,除了帮助中国企业适应海外的法律法规之外,他们如此关注GDPR也是因为他们同时在做关于《个人信息保护法》的技术研究工作。作为理想状态下“对标”GDPR的法案,我国早在2003年就开始了相关的工作,当时的国务院信息化办公室正式部署了立法研究工作,2005年相关学者完成了《个人信息保护法(专家建议稿)》。然而该建议稿并没有进入正式的立法程序,甚至当2008年“国信办”被并入工业和信息化部之后,立法工作还被搁置了下来。之后,尽管每年“两会”期间,关于个人信息保护立法的人大建议、政协提案也屡见不鲜,但《个人信息保护法》在正式立法议程中却长时间不见踪影。
根据不完全统计,目前联合国成员中,已有113个国家制定了自己的《个人信息保护法》,毫无疑问,这就是目前的主流趋势。“因为大家都觉得个人信息保护肯定是必需的,所以这是一个高度共识。”丁晓东说道。但他同时也表示,要立这个法可能有了共识,但是怎样去立还有很大的争议。
问题仍然回到了:安全与发展究竟孰轻孰重?毕竟如果能实现完美平衡才是最理想的情况,但就像鱼和熊掌不可兼得的道理一样,在一定的历史时期内一定会有所侧重。
目前我国在这方面的主要法规是去年6月1日正式生效的《中华人民共和国网络安全法》。在这部以“安全”命名的法律中,用了大概10条左右的内容阐述了个人信息保护的原则。但因为《网络安全法》本身层级较高,因此它缺乏对具体实施细则的规定。以针对个人信息保护的《网络安全法》第41条为例:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。”上海京衡律师事务所隋兵律师告诉本刊,合法当然是必需的,那么关键就落在“正当”和“必要”这两个概念上了,但由于“正当”和“必要”这两个概念比较宽泛,所以很多公司目前都是在形式上做到所谓的“合法”,然后在“正当”和“必要”上面打擦边球。
因此,方禹认为我国未来仍然需要一部专门性的立法来解决安全与发展之间的关系,并在这个基本法的框架下分不同的领域来解决个人信息保护的整体问题。而GDPR在这个方面给我们的最重要的思考是:它将控制个人数据的权力都交给了我们每一个人,而这是否是一条最佳道路?
GDPR规定获取公民个人数据要征求个人的同意,使用的时候也要公民个人授权,公民授权之后还有一系列诸如访问权、纠正权、被遗忘权等一系列权利。丁晓东就觉得从某种程度上来看,这种更偏向“个人自治”的方式虽然看上去有利于保护个人数据的安全,但在一个愈发专业化的领域,个人的力量在很多时候也很难完全保护到自己,这个前提是必须要有一整套国家的制度设计,比如说设立一些专门的数据保护机构来进行对它进行合规化控制,帮助公民个体提前规避掉很多风险。“只有这个环节做得越安全,公民在个人数据被使用的时候才越放心。”
