李軍

2015年8月24日，隨著一聲槍響，美國(guó)新奧爾良神學(xué)院的教授兼牧師約翰·吉布森倒在了血泊之中。他是全球最著名的“偷情網(wǎng)站” Ashley Madison的注冊(cè)用戶，也是在黑客公布了370萬(wàn)Ashley Madison用戶賬戶信息后，第一個(gè)因檢索到自己的信息而自殺的人。

Ashley Madison是一家專門(mén)為已婚人士提供交友、約會(huì)服務(wù)的社交網(wǎng)站，其口號(hào)是“人生短暫，偷情無(wú)限”。為了免除用戶的后顧之憂，Ashley Madison承諾注冊(cè)用戶只要交納19美元就能把個(gè)人信息在系統(tǒng)中完全刪除。

不幸的是，Ashley Madison網(wǎng)站遭到黑客攻擊，3750萬(wàn)注冊(cè)用戶的個(gè)人數(shù)據(jù)、公司財(cái)務(wù)記錄和其他機(jī)密信息被盜。

黑客組織表示，之所以發(fā)動(dòng)攻擊，是因?yàn)锳shley Madison網(wǎng)站關(guān)于完全刪除用戶信息的承諾就是一個(gè)謊言。若Ashley Madison不立刻永久關(guān)閉網(wǎng)站，黑客組織將曝光所有用戶的信息。隨后，黑客逐步公布用戶信息，并釀成了約翰·吉布森自殺的慘劇。

在大數(shù)據(jù)時(shí)代，每個(gè)人都通過(guò)各種各樣的設(shè)備將自己的信息上傳至互聯(lián)網(wǎng)。無(wú)論是手機(jī)、汽車、可穿戴設(shè)備、家庭路由器，還是遍布城鄉(xiāng)的監(jiān)控網(wǎng)，都記錄下你的活動(dòng)、交往、健康和娛樂(lè)信息。對(duì)于充分占有這些信息的企業(yè)和組織來(lái)說(shuō)，你就是無(wú)可遁形的透明人，在大數(shù)據(jù)時(shí)代里裸奔。

歐盟數(shù)據(jù)保護(hù)立法史

2015年12月15日，歐盟執(zhí)委會(huì)（European Commission）通過(guò)了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR），以歐盟法規(guī)的形式確定了對(duì)個(gè)人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式，這將真正保護(hù)大眾，令其避免陷入裸奔尷尬。

歐盟的數(shù)據(jù)保護(hù)歷史可以追溯到上世紀(jì)90年代。歐盟1995年通過(guò)了《數(shù)據(jù)保護(hù)指令》（即“95指令”，全名為PROPOSAL FOR A COUNCIL DIRECTIVE CONCERNING THE PROTECTION OF INDIVIDUALS IN RELATION TO THE PROCESSING OF PERSONAL DATA），為歐盟成員國(guó)立法保護(hù)個(gè)人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)。

在20年前制定“95指令”時(shí)，互聯(lián)網(wǎng)還沒(méi)有廣泛被大眾使用，個(gè)人數(shù)據(jù)的收集及處理只是限定在用戶名、地址及相對(duì)簡(jiǎn)單的金融信息等。

但隨著互聯(lián)網(wǎng)飛速發(fā)展，24小時(shí)實(shí)時(shí)在線的移動(dòng)互聯(lián)網(wǎng)和社交應(yīng)用，使人們每天的生活乃至地理位置信息都成為暴露的對(duì)象?！?5指令”中包含的訪問(wèn)權(quán)（即用戶有權(quán)訪問(wèn)他們的信息并且修改不當(dāng)?shù)牡胤?，目的是確保信息的正確性）已經(jīng)不能滿足用戶的需求，用戶轉(zhuǎn)而尋求對(duì)個(gè)人數(shù)據(jù)的控制權(quán)。

互聯(lián)網(wǎng)新技術(shù)的發(fā)展和用戶控制需求的變化，使“95指令”為代表的傳統(tǒng)數(shù)據(jù)保護(hù)框架亟待重大更新。

歐盟第一次修正努力始于2002年。歐盟在當(dāng)年7月12日發(fā)布的《隱私與電子通訊指令》（Directive on privacy and electronic communications，Directive 2002/58/EC）中，詳細(xì)規(guī)定了通信和互聯(lián)網(wǎng)服務(wù)商需要采取適當(dāng)?shù)拇胧?，保證通信和互聯(lián)網(wǎng)服務(wù)的安全性；禁止在未征得用戶同意的情況下存儲(chǔ)和使用用戶的數(shù)據(jù)；服務(wù)提供商應(yīng)該保障用戶的知情權(quán)，如告知用戶所收集的數(shù)據(jù)及進(jìn)一步處理此類數(shù)據(jù)的意圖和用戶有權(quán)不同意等。

這一次個(gè)人數(shù)據(jù)保護(hù)修正的內(nèi)容確定了未來(lái)互聯(lián)網(wǎng)個(gè)人數(shù)據(jù)保護(hù)的基本原則，但是在具體操作層面還較為粗略，也缺乏明確的違規(guī)懲罰措施。

2009年11月25日，歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)措施又進(jìn)行了一次重要修正，通過(guò)了《歐洲Cookie指令》（EU Cookie Directive，DIRECTIVE 2009/136/EC），并確定其于2011年5月25日在歐盟正式啟用。

《歐洲Cookie指令》的核心內(nèi)容，是對(duì)電子商務(wù)中Cookie的使用加以規(guī)范和必要的信息披露管理。

Cookie是互聯(lián)網(wǎng)常用的用戶跟蹤和識(shí)別技術(shù)。用戶在使用瀏覽器進(jìn)行網(wǎng)站內(nèi)容瀏覽時(shí)，網(wǎng)站可以在用戶電腦本地存放Cookie以識(shí)別和記錄用戶的登錄、瀏覽和購(gòu)買信息。

盡管Cookie可以被用戶手工操作關(guān)閉，但對(duì)于絕大多數(shù)非IT背景的用戶來(lái)說(shuō)，如果網(wǎng)站在未明確提示下使用Cookie記錄相關(guān)信息，用戶是毫無(wú)察覺(jué)的。

2002年的《隱私與電子通訊指令》要求網(wǎng)站告知用戶啟用Cookie及如何刪除或作廢Cookie，但絕大多數(shù)網(wǎng)站都會(huì)把這部分內(nèi)容放置在用戶注冊(cè)時(shí)必須“同意”的用戶協(xié)議中，而協(xié)議內(nèi)容幾乎沒(méi)有用戶真的會(huì)去完整閱讀。

《歐洲Cookie指令》則要求網(wǎng)站在用戶初始使用時(shí)網(wǎng)站必須關(guān)閉Cookie的使用，直到用戶明確同意啟用Cookie時(shí)才能開(kāi)啟此功能。

《歐洲Cookie指令》是《隱私與電子通訊指令》的重要補(bǔ)充，它一方面強(qiáng)化了用戶的知情權(quán)，讓用戶對(duì)網(wǎng)站收集、存儲(chǔ)和跟蹤用戶信息有了清晰明確的了解；另一方面，指令也對(duì)網(wǎng)站生成、使用和管理以Cookie為核心的用戶個(gè)人數(shù)據(jù)提出了完整規(guī)范的管控要求，以避免網(wǎng)站濫用或以不夠安全的方式操作與存儲(chǔ)用戶個(gè)人數(shù)據(jù)。

最重要的是，在互聯(lián)網(wǎng)世界中有著除Cookie以外的眾多不規(guī)范甚至非法收集跟蹤用戶數(shù)據(jù)的技術(shù)手段?！稓W洲Cookie指令》劃清了對(duì)用戶個(gè)人數(shù)據(jù)合法操作與非法操作的界限，讓歐盟管控互聯(lián)網(wǎng)并進(jìn)行個(gè)人數(shù)據(jù)保護(hù)有了明確的依據(jù)。

歐盟內(nèi)各國(guó)信息化主管部門(mén)隨后也以此為標(biāo)準(zhǔn)對(duì)本國(guó)的網(wǎng)站以及移動(dòng)應(yīng)用進(jìn)行審查。

以英國(guó)為例，在Cookie合規(guī)性檢查之前，英國(guó)排名前50的網(wǎng)站只有12%遵照《歐洲Cookie指令》的要求，在網(wǎng)站上彈出窗口或在指定的頁(yè)眉頁(yè)腳提供Cookie信息確認(rèn)提示或信息說(shuō)明。而法國(guó)和德國(guó)的前50大網(wǎng)站則全部不合規(guī)（根據(jù)TRUSTe2012年10月的統(tǒng)計(jì)報(bào)告）。

盡管歐盟在不同階段通過(guò)了不同的數(shù)據(jù)保護(hù)修正指令，但是這些修正內(nèi)容還是架構(gòu)在1995年頒布的《數(shù)據(jù)保護(hù)指令》基本框架之上。歐盟希望能夠有一個(gè)全新的完整框架用來(lái)代替20年前構(gòu)建的、已經(jīng)不能適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代需求的陳舊框架。

嚴(yán)厲的新法規(guī)

新的個(gè)人數(shù)據(jù)保護(hù)框架終于誕生了。2012年1月25日，歐洲議會(huì)公布了《一般數(shù)據(jù)保護(hù)條例》草案并希望在歐盟內(nèi)部盡快三讀通過(guò)。

這個(gè)條例草案的內(nèi)容預(yù)示著個(gè)人數(shù)據(jù)保護(hù)管理提到了前所未有的高度。條例甚至通過(guò)制定詳細(xì)的管理規(guī)范，使其具備了在企業(yè)內(nèi)控和合規(guī)管理方面的可操作性，適用對(duì)象也從歐盟內(nèi)的企業(yè)擴(kuò)展到向歐盟用戶提供互聯(lián)網(wǎng)和商業(yè)服務(wù)的所有企業(yè)。

在《一般數(shù)據(jù)保護(hù)條例》長(zhǎng)達(dá)206頁(yè)的文件中，我們可以看到一些關(guān)鍵的變化：

★從地域/國(guó)家劃分轉(zhuǎn)向基于數(shù)據(jù)內(nèi)容劃分

傳統(tǒng)的立法管轄權(quán)通常是按照國(guó)家/地域進(jìn)行劃分的。但在本條例中，數(shù)據(jù)保護(hù)約束同樣適用于向歐盟居民提供產(chǎn)品或者服務(wù)，甚至只是收集或監(jiān)控相關(guān)數(shù)據(jù)的非歐盟企業(yè)和組織，而與這些企業(yè)和組織所在位置無(wú)關(guān)。

換句話說(shuō)，非歐盟的企業(yè)和組織向歐盟用戶提供服務(wù)，哪怕是免費(fèi)的服務(wù)，也需要嚴(yán)格遵從歐盟這份數(shù)據(jù)保護(hù)條例的要求。

這就開(kāi)了一個(gè)獨(dú)特的先例：法律管轄范圍不是嚴(yán)格按照國(guó)家/地域劃分，而是按照數(shù)據(jù)的分布來(lái)認(rèn)定。

由于互聯(lián)網(wǎng)上數(shù)據(jù)分布本身也是在動(dòng)態(tài)變化的，這還意味著法律管轄范圍也有可能按照數(shù)據(jù)的遷移而不斷變化。

所以，雖然是歐盟的數(shù)據(jù)保護(hù)條例，但卻有可能應(yīng)用到全球任何企業(yè)身上。

★進(jìn)一步嚴(yán)格的內(nèi)控和監(jiān)管

企業(yè)和組織在對(duì)個(gè)人數(shù)據(jù)進(jìn)行操作時(shí)，必須記錄所有的操作流程和步驟。換句話說(shuō)，企業(yè)必須建立個(gè)人數(shù)據(jù)操作監(jiān)控記錄機(jī)制，以備政府和相關(guān)監(jiān)管機(jī)構(gòu)檢查。由于條例是全歐盟內(nèi)部統(tǒng)一的，所以大型跨國(guó)公司可以使用一套標(biāo)準(zhǔn)的監(jiān)控記錄機(jī)制對(duì)歐盟內(nèi)所有國(guó)家的分公司進(jìn)行監(jiān)控和管理。

對(duì)于個(gè)人數(shù)據(jù)被廣泛使用的情況下，例如個(gè)人數(shù)據(jù)被公共機(jī)構(gòu)或團(tuán)體使用、被超過(guò)250名雇員的企業(yè)使用、或者個(gè)人數(shù)據(jù)在特定目的下被持續(xù)和系統(tǒng)地收集監(jiān)控，那么進(jìn)行數(shù)據(jù)處理或控制的企業(yè)或組織應(yīng)該任命有專門(mén)數(shù)據(jù)保護(hù)知識(shí)的數(shù)據(jù)保護(hù)專員（Data Protection Officer， DPO）。

DPO的任職期限至少為兩年并可連任，任命過(guò)程應(yīng)該是透明的，向公眾及監(jiān)管機(jī)構(gòu)通報(bào)其姓名及詳細(xì)的聯(lián)系方式。

DPO會(huì)確保企業(yè)遵從個(gè)人數(shù)據(jù)保護(hù)條例的規(guī)定，并在企業(yè)發(fā)生個(gè)人數(shù)據(jù)操作違規(guī)時(shí)承擔(dān)相應(yīng)的法律責(zé)任。

當(dāng)發(fā)生嚴(yán)重的數(shù)據(jù)泄露時(shí)，條例要求公司及組織第一時(shí)間通知相關(guān)國(guó)家監(jiān)管機(jī)構(gòu)，并把數(shù)據(jù)泄露的數(shù)量、方式、渠道以及可能的影響范圍上報(bào)。

如果數(shù)據(jù)泄露會(huì)對(duì)數(shù)據(jù)所有者（用戶）產(chǎn)生負(fù)面影響，公司及組織也必須毫不延誤地通知數(shù)據(jù)所有者（用戶）以便其采取必要的措施消除影響。

英國(guó)寬帶服務(wù)提供商TalkTalk在2015年曾多次出現(xiàn)用戶數(shù)據(jù)被黑客竊取而沒(méi)有及時(shí)上報(bào)，在條例生效后，TalkTalk這樣的行為預(yù)計(jì)會(huì)被處以接近懲罰上限的巨額罰單。

★數(shù)據(jù)保護(hù)的前瞻性要求/最簡(jiǎn)化原則和數(shù)據(jù)操作的告知權(quán)

條例把數(shù)據(jù)保護(hù)作為基本要求，強(qiáng)制企業(yè)在業(yè)務(wù)設(shè)計(jì)初期就必須考慮。

這包含了兩方面的要求：第一，在設(shè)計(jì)新的業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程和服務(wù)時(shí)，處理個(gè)人數(shù)據(jù)的環(huán)節(jié)就必須按照條例要求的方式進(jìn)行構(gòu)造。企業(yè)還必須提供相關(guān)信息證明自己滿足了上述要求。

第二，當(dāng)系統(tǒng)、流程和服務(wù)包含了個(gè)人數(shù)據(jù)被共享的多個(gè)不同級(jí)別時(shí)，默認(rèn)的缺省選項(xiàng)必須是共享內(nèi)容最小的選項(xiàng)——不共享任何內(nèi)容，這就是數(shù)據(jù)保護(hù)的最簡(jiǎn)化原則。

另外，數(shù)據(jù)操作的告知權(quán)在條例中也進(jìn)行了嚴(yán)格限定。數(shù)據(jù)操作者（企業(yè)或組織）在收集和使用個(gè)人數(shù)據(jù)前必須向數(shù)據(jù)所有者（用戶）明確告知數(shù)據(jù)的收集內(nèi)容和使用方式，并且需要獲得數(shù)據(jù)所有者的明確同意。條例不認(rèn)可任何形式的“缺省同意”，對(duì)于企業(yè)基于大數(shù)據(jù)的業(yè)務(wù)創(chuàng)新，這可能成為一道沉重的枷鎖。

★數(shù)據(jù)所有者（用戶）的個(gè)人數(shù)據(jù)刪除權(quán)

數(shù)據(jù)所有者的個(gè)人數(shù)據(jù)刪除權(quán)，（有時(shí)也被稱為“數(shù)據(jù)被遺忘權(quán)”，“right to be forgotten”）也在條例中明確提出。當(dāng)數(shù)據(jù)所有者（用戶）撤回自己向企業(yè)或組織授予的個(gè)人數(shù)據(jù)使用權(quán)時(shí)，相關(guān)企業(yè)或組織必須立即無(wú)條件刪除所有的個(gè)人數(shù)據(jù)。

換句話說(shuō)，當(dāng)一個(gè)歐盟居民要求刪除自己的新浪微博賬號(hào)和相關(guān)內(nèi)容時(shí)，新浪微博必須無(wú)條件刪除微博賬號(hào)內(nèi)的所有信息并不得保留其他備份。

數(shù)據(jù)刪除權(quán)并不像大眾想象的那樣清晰且易于執(zhí)行。

對(duì)于一個(gè)大型企業(yè)來(lái)說(shuō)，用戶信息往往分布在從營(yíng)銷、銷售、客服乃至財(cái)務(wù)和供應(yīng)鏈等多個(gè)系統(tǒng)中，甚至還會(huì)存在于一些excel文件中。一旦需要把某個(gè)用戶的數(shù)據(jù)完全刪除，就要依靠一套數(shù)據(jù)同步機(jī)制確保刪除沒(méi)有遺漏，這是非常困難且成本高昂的操作。

對(duì)于面向公眾的互聯(lián)網(wǎng)企業(yè)，這個(gè)問(wèn)題就更為復(fù)雜了。

以新浪微博賬號(hào)刪除為例，盡管微博賬號(hào)已經(jīng)刪除了，但是搜索引擎如Google或百度，還存在著原賬號(hào)的搜索鏡像數(shù)據(jù)。搜索引擎是否有義務(wù)配合把所有相關(guān)的搜索數(shù)據(jù)一并刪除？

★巨額的懲罰上限

條例中最吸引眼球的就是巨額的懲罰上限。

盡管條例中規(guī)定違法的懲罰金額由成員國(guó)自行確定，但懲罰上限確是處于歐盟立法中相當(dāng)高的水準(zhǔn)：對(duì)于不太嚴(yán)重的違法，罰款上限是1000萬(wàn)歐元或前一年全球營(yíng)業(yè)收入的2%（兩值中取大者）；

對(duì)于嚴(yán)重的違法，罰款上限是2000萬(wàn)歐元或前一年全球營(yíng)業(yè)收入的4%（兩值中取大者）。如果是Google或者Facebook這樣的公司按照全球營(yíng)業(yè)收入罰款，那就是幾億甚至幾十億美元的罰單。

《一般數(shù)據(jù)保護(hù)條例》和“95指令”具有完全不同的法律效力。歐盟的“指令”（Directive）是需要各成員國(guó)據(jù)此在本國(guó)立法并加以執(zhí)行的，所以“95指令”和后續(xù)的各個(gè)修正指令是不能直接應(yīng)用到各成員國(guó)的。

而“條例”（Regulation）在通過(guò)之后，立即在整個(gè)歐盟范圍內(nèi)生效，無(wú)需在各成員國(guó)內(nèi)立法確認(rèn)。這一點(diǎn)恰恰是歐盟希望以統(tǒng)一的標(biāo)準(zhǔn)推進(jìn)個(gè)人數(shù)據(jù)保護(hù)所要達(dá)到的效果。

不過(guò)，考慮到歐盟各成員國(guó)內(nèi)部的文化、經(jīng)濟(jì)發(fā)展和習(xí)慣的差異，歐盟允許各成員國(guó)政府就條例出臺(tái)一些補(bǔ)充規(guī)定，以適應(yīng)本國(guó)特殊的數(shù)據(jù)保護(hù)需求。

對(duì)遏制創(chuàng)新的擔(dān)憂

《一般數(shù)據(jù)保護(hù)條例》草案的出臺(tái)，直接震動(dòng)了向個(gè)人提供互聯(lián)網(wǎng)服務(wù)、同時(shí)大量收集用戶個(gè)人數(shù)據(jù)的互聯(lián)網(wǎng)巨頭們。歐洲和美國(guó)的行業(yè)組織提出警告說(shuō)，條例中嚴(yán)格的數(shù)據(jù)保護(hù)約束將極大阻礙數(shù)據(jù)的商業(yè)價(jià)值挖掘，并將給企業(yè)帶來(lái)相當(dāng)大的額外成本。

以Google、Amazon和Facebook為主的美國(guó)互聯(lián)網(wǎng)巨頭們，在獲知草案內(nèi)容后組成了龐大的游說(shuō)團(tuán)，在布魯塞爾歐洲議會(huì)總部所在地展開(kāi)了曠日持久的院外游說(shuō)活動(dòng)。

Google和Facebook等企業(yè)希望推遲草案的通過(guò)時(shí)間，甚至修訂草案的內(nèi)容，以便現(xiàn)存的互聯(lián)網(wǎng)用戶信息收集和使用方式能夠持續(xù)下去。

歐洲議會(huì)曾就《一般數(shù)據(jù)保護(hù)條例》草案收到超過(guò)4400份修正意見(jiàn)，數(shù)量之多為歐盟立法修正案中所罕見(jiàn)，而其中大部分修正意見(jiàn)來(lái)自于美國(guó)互聯(lián)網(wǎng)企業(yè)。

目前看來(lái)，相關(guān)公司的游說(shuō)并未取得顯著效果。歐盟執(zhí)委會(huì)（European Commission）已經(jīng)率先通過(guò)了《一般數(shù)據(jù)保護(hù)條例》。預(yù)計(jì)2016年初，歐洲議會(huì)（European Parliament）和歐洲理事會(huì)（European Council）將批準(zhǔn)通過(guò)該條例，兩年過(guò)渡準(zhǔn)備期后，《一般數(shù)據(jù)保護(hù)條例》將于2018年正式生效，并成為歐盟數(shù)據(jù)保護(hù)法的核心框架。由于《一般數(shù)據(jù)保護(hù)條例》增加的數(shù)據(jù)保護(hù)要求和實(shí)施的復(fù)雜性遠(yuǎn)高于原先的“95指令”，對(duì)于中大型企業(yè)的業(yè)務(wù)調(diào)整和IT系統(tǒng)改造來(lái)說(shuō)，兩年的過(guò)渡準(zhǔn)備期，時(shí)間并不很充裕。

未來(lái)歐洲的大數(shù)據(jù)時(shí)代，有可能在《一般數(shù)據(jù)保護(hù)條例》的約束與引導(dǎo)下走上一條與美國(guó)有較大差異的道路。一方面，企業(yè)自由收集、分析和管理用戶信息的權(quán)限將會(huì)被嚴(yán)格限定和監(jiān)管，大數(shù)據(jù)所帶來(lái)的創(chuàng)新空間會(huì)受到明顯約束；另一方面，嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)所帶來(lái)的額外成本、復(fù)雜的數(shù)據(jù)使用授權(quán)（尤其是跨企業(yè)數(shù)據(jù)共享）和政府過(guò)度監(jiān)管的風(fēng)險(xiǎn)，也會(huì)讓企業(yè)的信息資產(chǎn)管理的運(yùn)營(yíng)成本顯著增加。而美國(guó)在個(gè)人數(shù)據(jù)保護(hù)上采用相對(duì)寬松的管理理念，保證信息能夠充分地自由流動(dòng)，有可能給企業(yè)帶來(lái)更為靈活與廣泛的大數(shù)據(jù)創(chuàng)新空間。

無(wú)論如何，政府都需要在個(gè)人數(shù)據(jù)保護(hù)和數(shù)據(jù)融合創(chuàng)新之間取得一個(gè)平衡。那么，歐盟在為大數(shù)據(jù)時(shí)代裸奔的大眾穿上衣服的同時(shí)，會(huì)不會(huì)束縛了大眾自由活動(dòng)的手腳？這就要看歐盟在《一般數(shù)據(jù)保護(hù)條例》執(zhí)行上的平衡藝術(shù)了。

作者為埃森哲前資深顧問(wèn)