近日，全國信息安全標准化技術委員會、中國消費者協會等部門成立App專項治理工作組，對用戶數量大、與民眾生活密切相關的App隱私政策和個人信息收集使用情況進行評估並通報。通報稱，中國銀行手機銀行等10款App無隱私政策﹔趣店、探探等20款App強制用戶“一攬子”授權。

　　能否既玩消消樂又不讓你讀取我的通訊錄？如果不提供地理位置讀取授權，還能不能聽首音樂……要麼“信息裸奔”，要麼“棄之不用”，面對App的默認勾選，用戶如今依舊隻能陷入被動的困境。

　　進入數字時代以來，數據的重要性早已深入人心，“數字時代的石油”成為大家對數據的共識。互聯網企業廣泛收集用戶各類信息加以整理分析利用，從中攫取到巨大的經濟效益。在這過程中，暴露出的個人數據安全、隱私保護等問題卻被忽視。

　　隨著歐盟《一般數據保護條例》（GDPR）的生效，歐洲范圍內建立起了一套在隱私管理、個人信息安全保護和數據流動之間的復合機制。GDPR之后，越來越多的國家開始聚焦自身隱私安全問題，中國也不例外。

　　如今，GDPR已實施一年多，它的經驗得失被廣為討論、借鑒，一些隱私保護的原則與技術創新的沖突也不斷具像化。那麼，隱私保護的“中國方案”該如何完善？

　　對GDPR的反思

　　GDPR正式實施后，想進入歐洲市場的企業紛紛修改自身的隱私政策，並提升保護用戶個人數據的技術手段，來避免受到嚴厲的懲罰，這在有力地保護了用戶個人數據的同時，客觀上也加大了企業的成本支出。

　　在諸多對GDPR的“吐槽”中，最集中的一項便是企業在合規方面的支出多了，會加重企業的負擔。根據《福布斯》報告，GDPR讓美國財富500強企業多花費了78億美元合規成本。普華永道給出更明確的合規成本估計：68%的公司預計將花費100萬到1000萬美元。

　　在此環境下，企業面臨的生存壓力不小。此前，在“2019羅漢堂數字經濟年會”上，多位專家對此議題展開了討論。國際數據隱私實踐聯合主管，Bird&Bird合伙人阿裡安娜·默勒說，小型企業對於未來的發展充滿矛盾：一方面，他們需要通過遵守GDPR獲取客戶的信任﹔另一方面，遵守GDPR需要花費大量的資金，但事實上，“它們沒有足夠的資本”。

　　這一困擾引發社會對初創企業健康成長的擔憂，諾獎學者、法國圖盧茲大學產業經濟研究所科研所長讓·梯若爾正在反思這一結果，“我們不能因噎廢食，個人隱私確實需要保護，但在保護個人隱私的同時，不能遏制科技的進步和創新的發展。”

　　看上去似乎是個兩難的選擇，一面是企業的成長和創新，一面是個人隱私的保護。有企業家進一步提出，數字時代想抹掉已經泄露的個人數據幾乎是不可能的，個人的信息一旦被發布在網上，就會被互聯網永遠保留，那該如何按下“刪除鍵”呢？

　　GDPR為此規定了“被遺忘權”，該項權利主張數據主體有權要求控制者刪除相關的個人數據。

　　但對於“被遺忘權”的具體執行，仍存在許多問題。阿裡安娜·默勒表示，被遺忘權實際上規定的就是數據的持有時期——“個人數據在使用之后，能夠被合法地保留多久”。但對企業而言，執行起來仍然很困難。

　　阿裡安娜·默勒說，企業要想合規，必須按照法律進行技術設計。但現實情況卻是，法律規定自身就在不斷地變化，“雖然出台這些法律規定的初衷是好的，但他們也要意識到，在不斷地修改法規，或者對自己的法律法規不斷給出解釋的時候，並沒有真正地幫到企業和個人。”

　　而在譯言聯合創始人趙嘉敏看來，人們當前想要擁有“刪除鍵”的意識是基於隱私觀念。但現實情況是，隱私的概念本身就在不斷演化。可持續性的解決方案也許不是去要求技術來遵從我們的傳統習慣，而是要去改變我們的傳統意識和社會規范，以更好地適應技術的發展，並讓個體和群體都能從這種改變中受益。

　　完善“中國方案”

　　對於企業為合規而付出的高額成本，重慶大學國家網絡空間安全與大數據法治戰略研究院院長齊愛民表示，企業在GDPR正式實施初期，不可避免地要修改自身的隱私政策，在此過程中，企業需要支出較大的成本來達成這一任務目標。但是，隻要企業的個人數據保護合規工作進入正軌，那麼之后的維護成本也將大大降低，並不會過多地影響企業的技術創新問題。

　　“另外，由於GDPR的實施，提升了商業環境中對個人數據安全的保護，促成了針對隱私友好型創新的發展。換言之，隱私友好型的技術創新將成為下一個技術創新的基本模式。”齊愛民說。

　　法國國務顧問、法國數據保護局(CNIL)前副主席伊莎貝爾·法爾克·皮爾羅廷甚至直接反駁了“高額成本”的說法，“像法國數據保護局，他們就常開展一些教育培訓，專門來輔導和教育初創企業如何做到隱私保護合規，從產品早期設計開始就考慮隱私的問題，那根本就沒有多少成本。”

　　無論細節上有多少差異，保護隱私已是共識。北京安理律師事務所高級合伙人王新銳曾表示，很多大型公司在做完GDPR合規后，透明度明顯有提升，也給了用戶更多選擇。

　　事實上，我國正在快速推進隱私保護工作。去年，推薦性國家標准《信息安全技術個人信息安全規范》（以下簡稱《規范》）正式實施。這部由33位擁有政策制定、技術標准、企業實踐經驗的專家共同起草，歷經兩年多博弈的《規范》對個人信息收集、保存、使用、流轉等環節提出要求，非常明確地把《網絡安全法》原則性的規定給落地了，填補了國內個人信息保護在實踐標准上的空白。

　　但問題也很明顯，《規范》是推薦性標准而非強制性標准，因此不具備法律強制力，在齊愛民看來，《規范》在對信息主體的個人信息保護力度上是遠遠不夠的。“雖然我國關於個人信息保護的相關法規散見於《民法總則》、《網絡安全法》、《電子商務法》和《消費者權益保護法》等相關立法文件中，但是我國尚未出台一部專門的《個人信息保護法》。”

　　王新銳說，下一步應該就是立法了，中國個人信息保護的立法者現在面臨的是一方面要“補課”，借鑒各國立法中被証明有效的部分，另一方面又要回答中國的獨特性問題，尤其是移動互聯網高速發展帶來的問題。

　　“哪些可以借鑒國際規則，哪些必須要自己原創性的回答，這本身就是一個非常難的問題。”王新銳表示，現階段立法還是應該以補課為主要目標，適度留有口子，而對於新型問題，可以先以位階較低的規則加以應對，待成熟穩定后再上升為立法。

　　復旦大學網絡空間治理研究中心主任沈逸也認為，當前我國可通過“小步快走”的方式逐步將法規上升為法律，“推出一些原則性的規定，然后迅速地把它細化，然后在細化和實踐的過程中，如果發現有些東西和實踐之間發生了比較大的沖突，再做及時的調整。”

　　在這方面，齊愛民認為，GDPR的經驗可供借鑒。GDPR賦予信息主體強大的個人信息權利的同時，忽略了復雜多變的現實生活場景對個人信息的不同需求。“未來立法者可以考慮採用以《個人信息保護法》為主，授權相關主管部門制定該特定行業的個人信息保護配套規則的立法模式，更加靈活地處理不同場景對於個人信息的需求。”

　　除此之外，沈逸認為，各國在治理互聯網隱私保護時，也應考慮到互聯網跨國互通的這一屬性，實現聯合治理。

　　“把主權邊界機械化地延伸到網絡空間去，肯定是有問題的。”沈逸說，這極有可能將互聯網“切得七零八落”。所以，使數據能在全球范圍內流動和被管轄，制定一個既維護全球網絡空間的穩定，又能讓數據流動更有序的全球規范極為重要。

　　顯然，這還有很長的路要走。正如羅漢堂秘書長、湖畔大學執行教育長陳龍所言，“所有的人都同意，一定的隱私保護是應該的，但當信息的交流同時成為這個時代的動力和種種擔憂的源頭，同時其中的取舍對每個人都不同的時候，應該怎麼做？”在這個話題上，沒有簡單的理所當然。（中國青年報·中國青年網記者 張均斌 實習生 張雅婕）

分享讓更多人看到