（阿里巴巴集團(tuán)）

1 個(gè)人信息保護(hù)發(fā)展潮流

隨著通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulation，GDPR）的正式實(shí)施，許多人開始關(guān)心個(gè)人信息保護(hù)以及數(shù)據(jù)安全問題，事實(shí)上這個(gè)問題從全球來說，經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Co-operation and Development，OECD）在1980年已經(jīng)提出隱私保護(hù)的重要基本原則，甚至更早之前在歐洲共同體（European Community）時(shí)代就開始談?wù)撾[私保護(hù)議題。但是從網(wǎng)絡(luò)開始受到人們關(guān)注到正式進(jìn)入商業(yè)應(yīng)用的階段，隱私保護(hù)問題比過往任何一個(gè)時(shí)間點(diǎn)都更加復(fù)雜?！熬W(wǎng)絡(luò)經(jīng)濟(jì)”（Internet Economy）或“虛擬經(jīng)濟(jì)”（Virtual Economy）對(duì)很多人來說已經(jīng)不再陌生，在20世紀(jì)90年代電子商務(wù)興起，2000年之后我們開始談?wù)撘苿?dòng)商務(wù)及社交經(jīng)濟(jì)，但現(xiàn)在我們提到網(wǎng)絡(luò)經(jīng)濟(jì)或虛擬經(jīng)濟(jì)，基本上都用一個(gè)名詞：數(shù)字經(jīng)濟(jì)（Data Economy），也有人用“數(shù)據(jù)驅(qū)動(dòng)經(jīng)濟(jì)”（Data Driven Economy）來描述當(dāng)前許多嶄新的商務(wù)模式或技術(shù)應(yīng)用，其背后都是基于“大數(shù)據(jù)”（Big Data）發(fā)展的現(xiàn)象。由于網(wǎng)絡(luò)本身具備全球化的特性，故而造成數(shù)據(jù)流通的全球化，而數(shù)據(jù)的全球化必然帶來的是業(yè)務(wù)的全球化。在全面進(jìn)入網(wǎng)絡(luò)環(huán)境前，數(shù)據(jù)是否被他人取得是非常容易觀察的，但是現(xiàn)在數(shù)據(jù)往往在產(chǎn)生的同時(shí)就存在全球化的情形，甚至數(shù)據(jù)主體（Data Subject）本身也沒有意識(shí)到個(gè)人信息已經(jīng)在全球快速的流通。

目前國際上個(gè)人信息保護(hù)及數(shù)據(jù)安全的重要潮流，是如何讓法律的規(guī)定跟技術(shù)能力能夠連結(jié)在一起，讓兩個(gè)不同的領(lǐng)域彼此間相互對(duì)話。跟傳統(tǒng)的數(shù)據(jù)安全（Data Security）相較，個(gè)人信息保護(hù)（Personal Data Protection）涉及的部門及人員更加廣泛，企業(yè)內(nèi)部幾乎找不到不需要接觸個(gè)人信息的員工，因此隱私保護(hù)工作的落實(shí)，需要企業(yè)內(nèi)部所有的人共同投入。但對(duì)不具備法律背景的員工來說，即便法律規(guī)定無論多么白話、再詳細(xì)，看的人如果沒辦法正確理解法律條文，再好的規(guī)定都不能在企業(yè)內(nèi)部落地，所以企業(yè)隱私合規(guī)的首要工作，是建立所謂的隱私意識(shí)以及協(xié)助所有人完整理解相關(guān)的法律規(guī)范。另一方面，如何讓技術(shù)人員也能共同參與隱私保護(hù)工作，讓隱私合規(guī)做到線上化、半自動(dòng)化，甚至是全自動(dòng)化，提升隱私合規(guī)工作的效率，才能減少人工處理出錯(cuò)的可能。因此，目前全球都在強(qiáng)調(diào)一件事情，就是“隱私能力”的建設(shè)，從技術(shù)層面來說，也有人稱為“隱私強(qiáng)化技術(shù)”（Privacy Enhancing Technologies, PETs），而相關(guān)特定的技術(shù)概念，包括數(shù)據(jù)隱私影響評(píng)估（Data Privacy Impact Assessment, DPIA）及隱私設(shè)計(jì)（Privacy by Design）等，被正式放入了GDPR等隱私保護(hù)立法之中。

2 個(gè)人信息保護(hù)統(tǒng)一標(biāo)準(zhǔn)的推動(dòng)

許多的法律問題例如消費(fèi)者保護(hù)或反壟斷，經(jīng)過長時(shí)間的發(fā)展，基本上已經(jīng)有一些國際統(tǒng)一的規(guī)范，但是在個(gè)人信息保護(hù)領(lǐng)域，反而不容易制定全球性標(biāo)準(zhǔn)。最主要的原因，是個(gè)人信息保護(hù)問題往往跟一個(gè)國家的社會(huì)文化、經(jīng)濟(jì)環(huán)境，甚至人文、宗教信仰等高度相關(guān)，由于各國狀況不同，各國的隱私保護(hù)法設(shè)計(jì)很容易產(chǎn)生差異，所以不容易進(jìn)一步推動(dòng)放諸四海皆準(zhǔn)的規(guī)定。另一個(gè)說明個(gè)人信息保護(hù)共通標(biāo)準(zhǔn)不易制定的例子是ISO國際標(biāo)準(zhǔn)，ISO/IEC針對(duì)數(shù)據(jù)安全管理系統(tǒng)（Information Security Management System, ISMS）制定了一系列的27000文件，其中ISO/IEC 27001作為認(rèn)證標(biāo)準(zhǔn)（Certification Standard），總共提出133個(gè)確認(rèn)企業(yè)是否符合數(shù)據(jù)安全標(biāo)準(zhǔn)的控制項(xiàng)目（Controls），無論是在哪個(gè)國家談?wù)揑SMS，它的標(biāo)準(zhǔn)是一致性的；但是在個(gè)人信息保護(hù)部分，盡管ISO/IEC在2011年針對(duì)隱私保護(hù)提出了ISO/IEC 29100，但性質(zhì)上只是一套初步的隱私保護(hù)框架（Privacy Framework），到目前為止ISO/IEC還沒有提出認(rèn)證標(biāo)準(zhǔn)及具體的控制項(xiàng)目。

隨著個(gè)人信息的重要性日漸提高，如何打造一個(gè)全球性的保護(hù)標(biāo)準(zhǔn)，反而變成是一項(xiàng)難題。美國聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission,FTC）跟日本內(nèi)閣個(gè)人信息保護(hù)辦公室提出的大數(shù)據(jù)分析報(bào)告，不約而同地提到兩個(gè)重要問題：如何提升隱私強(qiáng)化技術(shù)的使用，以及如何規(guī)范數(shù)據(jù)的跨境流通。對(duì)隱私強(qiáng)化技術(shù)應(yīng)用來說，隱私保護(hù)不是只有看保護(hù)兩個(gè)字，更重要的是如何促進(jìn)個(gè)人信息的合理利用，如同張衠博士談到的數(shù)據(jù)產(chǎn)權(quán)問題，個(gè)人信息保護(hù)固然重要，但更重要的應(yīng)當(dāng)是如何發(fā)揮個(gè)人信息本身的價(jià)值，如何通過技術(shù)的方式來同時(shí)兼顧保護(hù)與個(gè)人信息的合理運(yùn)用，這是一個(gè)當(dāng)時(shí)在美國跟日本都提出來的重要議題。另外，如何規(guī)范數(shù)據(jù)全球性的流動(dòng)，從當(dāng)前所處的環(huán)境以及技術(shù)條件觀察，可以認(rèn)為在數(shù)據(jù)產(chǎn)生的時(shí)候，就是處于一個(gè)全球流動(dòng)的狀況。過去數(shù)據(jù)是以外觀可見的方式保存，容易管控?cái)?shù)據(jù)的流向，但是今天包括云計(jì)算及不斷出現(xiàn)的新興數(shù)字科技，數(shù)據(jù)不再是由數(shù)據(jù)主體主動(dòng)產(chǎn)生，而是被動(dòng)生成，并且在我們不知不覺的時(shí)候被他人取得并出現(xiàn)全球性流動(dòng)的情況。今天受益于互聯(lián)網(wǎng)全球化的特性，互聯(lián)網(wǎng)企業(yè)紛紛走向業(yè)務(wù)全球化的過程中，如何達(dá)成合規(guī)工作的全球落地，也考驗(yàn)著所有的互聯(lián)網(wǎng)公司。但是目前全球性的共同標(biāo)準(zhǔn)還沒有出現(xiàn)，還停留在區(qū)域組織性或者非強(qiáng)制性的產(chǎn)業(yè)標(biāo)準(zhǔn)，也使得互聯(lián)網(wǎng)企業(yè)的國際隱私合規(guī)推動(dòng)存在著諸多挑戰(zhàn)。

3 GDPR對(duì)互聯(lián)網(wǎng)企業(yè)帶來的挑戰(zhàn)

GDPR為什么受到關(guān)注，在國內(nèi)已經(jīng)有非常多的探討，包括非歐盟公司在一定條件下必須適用GDPR，以及出現(xiàn)違法行為時(shí)將面臨的巨額罰款（2000萬歐元或以全球營收4%作為罰款，取其高者），都是國內(nèi)企業(yè)對(duì)于GPDR感到緊張的原因。但另一個(gè)更加關(guān)鍵的因素，是企業(yè)并不知道如果要完全符合GDPR的要求，所必須付出的合規(guī)成本將達(dá)到多少?，F(xiàn)階段GDPR本身仍然有些適用標(biāo)準(zhǔn)未完全明朗，特別是域外效力（Extraterritorial Effects）部分，如果非歐盟企業(yè)（Non-EU Business）對(duì)于是否適用GDPR感到不確定，在無法正確評(píng)估的前提下，先想到的往往是合規(guī)的成本，而不是可能被罰。另外，即便投入了大量的人力及物力，也不能保證一定可以符合GDPR規(guī)范，這樣的一種狀態(tài)造成人們對(duì)GDPR出現(xiàn)如履薄冰的情況。事實(shí)上不是只有企業(yè)面臨GDPR的合規(guī)壓力，對(duì)歐盟成員國的隱私監(jiān)管機(jī)關(guān)（Data Protection Authority,DPA）也是，今年1月時(shí)歐盟委員會(huì)（European Commission）曾經(jīng)指出成員國中只有德國及奧地利配合GDPR要求，完成該國的隱私保護(hù)立法的修正，而截至5月25日GDPR正式生效后，仍然有部分歐盟成員國尚未完成實(shí)施所有GDPR規(guī)定的準(zhǔn)備工作。

GDPR對(duì)于互聯(lián)網(wǎng)企業(yè)帶來的影響，有以下出幾點(diǎn)：

（1）受規(guī)范的可能性高

相較于傳統(tǒng)行業(yè)或者以往面對(duì)面交易的商業(yè)模式，互聯(lián)網(wǎng)企業(yè)受到GDPR規(guī)范的可能性較高。依據(jù)GDPR的域外效力規(guī)定，非歐盟公司只要鎖定歐盟境內(nèi)的數(shù)據(jù)主體進(jìn)行商品銷售或服務(wù)提供，就會(huì)被要求適用GDPR。而且歐盟境內(nèi)的數(shù)據(jù)主體并未區(qū)分是“本國人”或“外國人”，所以中國游客即便短暫停留在歐盟境內(nèi)，理論上也可能被認(rèn)定為歐盟境內(nèi)的數(shù)據(jù)主體。在網(wǎng)絡(luò)隨時(shí)隨地可以連結(jié)及使用的情況下，互聯(lián)網(wǎng)企業(yè)被認(rèn)定鎖定歐盟境內(nèi)數(shù)據(jù)主體進(jìn)行商品銷售或服務(wù)提供的可能性一定是高于傳統(tǒng)企業(yè)的。

（2）合規(guī)成本大幅增加

GDPR的嚴(yán)格規(guī)范造成企業(yè)合規(guī)的成本大幅增加。根據(jù)Veritas在2017年發(fā)布的調(diào)查數(shù)據(jù)，全球約有86%的企業(yè)擔(dān)心未遵守GDPR規(guī)定將對(duì)其業(yè)務(wù)產(chǎn)生重大影響，其中更有20%企業(yè)覺得未能合規(guī)恐將造成企業(yè)邁向破產(chǎn)之路。Veritas指出平均每家企業(yè)在GDPR合規(guī)上所付出的成本達(dá)到了130萬歐元（約為1000萬人民幣），高額成本無形中迫使企業(yè)必須做出選擇，如果GDPR合規(guī)所支出的經(jīng)費(fèi)將遠(yuǎn)高于堅(jiān)守歐盟市場帶來的收益，企業(yè)就有可能直接放棄歐盟市場，所以已有幾個(gè)美國本土的網(wǎng)站，如新聞?lì)惖穆迳即墪r(shí)報(bào)（Los Angeles Times）及芝加哥論壇報(bào)（Chicago Tribune），以及提供網(wǎng)絡(luò)文章保存服務(wù)的Instapaper等，在GDPR生效后采取封鎖歐盟地區(qū)用戶的作法。有些網(wǎng)站如Pottery Barn則是不屏蔽，但是拒絕接受來自于歐盟的訂單，這些企業(yè)都是在合規(guī)與否的選擇下，最終決定退出歐盟市場的例子。

（3）影響技術(shù)創(chuàng)新與應(yīng)用

GDPR也被認(rèn)為可能對(duì)新興技術(shù)的應(yīng)用產(chǎn)生影響。舉例來說，GDPR賦予數(shù)據(jù)主體的隱私權(quán)利中，有關(guān)個(gè)人化自主決策（Automated Individual Decision-making）的規(guī)定可能影響了機(jī)器學(xué)習(xí)（Machine Learning）及人工智能（Artificial Intelligence）關(guān)聯(lián)技術(shù)的應(yīng)用，而被遺忘權(quán)（Right to be Forgotten）則被認(rèn)為與區(qū)塊鏈（Blockchain）技術(shù)的特性產(chǎn)生沖突。區(qū)塊鏈的成功因素在于幾個(gè)關(guān)鍵性的底層技術(shù)，包括：P2P、分布式賬本及數(shù)位簽名，比特幣（Bitcoin）作為最早的區(qū)塊鏈應(yīng)用模式，就是通過數(shù)字簽名，以數(shù)學(xué)演算加密方式設(shè)定了比特幣的總量上限（2100萬個(gè)），在物以稀為貴的概念下，吸引人們爭相追逐比特幣，也讓一個(gè)比特幣曾經(jīng)一度達(dá)到兩萬美金的驚人價(jià)格。數(shù)字簽名及非對(duì)稱式加密算法（Asymmetric Cryptographic Algorithm）確保區(qū)塊上的數(shù)據(jù)的真實(shí)性，任何人都無法篡改或修正。在這一特性下，假設(shè)用戶要求更正或要求刪除區(qū)塊鏈上的信息，基本上將難以滿足用戶的請(qǐng)求，這也是區(qū)塊鏈技術(shù)被認(rèn)為可能與被遺忘權(quán)產(chǎn)生沖突的主要原因。

（4）用戶流失及商譽(yù)受損

最后，GDPR的實(shí)施也可能造成用戶的大量流失。Facebook在2018年7月25日公布第二季財(cái)報(bào)，公開表示受到GDPR的影響，歐盟用戶在近二年首次出現(xiàn)負(fù)增長情形，其中，日活用戶（Daily Active Users, DAUs）較2018年第一季減少300萬人；月活用戶（Monthly Active Users,MAUs）則較2018年第一季減少100萬人。用戶流失導(dǎo)致企業(yè)的市場價(jià)值遭受損害，F(xiàn)acebook公布?xì)W盟用戶下跌情形后，當(dāng)日股價(jià)隨即下跌18.96%，市值減少超過1200億美元（約8200億人民幣）。是將GDPR視為一個(gè)發(fā)展的契機(jī)、一個(gè)危機(jī)還是一個(gè)阻力，某程度上決定了互聯(lián)網(wǎng)企業(yè)是要持續(xù)擁抱歐盟市場，還是暫時(shí)觀望，或者干脆放棄整個(gè)歐盟市場。

4 互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)GDPR

互聯(lián)網(wǎng)企業(yè)面臨GDPR帶來的挑戰(zhàn)，可以做些什么，以下3點(diǎn)很重要：

（1）歐盟用戶及歐盟市場的明確界定

許多人是出于避免受到2000萬歐元或全球營收4%的罰款，才關(guān)注GDPR。但如果我們自己無法清楚界定是否擁有歐盟用戶的話，是否會(huì)遭到歐盟處罰事實(shí)上只是一個(gè)想象中或假設(shè)的問題。但要怎么去界定歐盟用戶，企業(yè)到底有沒有針對(duì)歐盟境內(nèi)的數(shù)據(jù)主體進(jìn)行商品銷售或服務(wù)提供？事實(shí)上這個(gè)問題并不是GDPR生效后才出現(xiàn)，也不是隱私保護(hù)領(lǐng)域獨(dú)有的議題。從90年代網(wǎng)際網(wǎng)絡(luò)進(jìn)入商業(yè)應(yīng)用的時(shí)候就開始出現(xiàn)了，而其他的法律領(lǐng)域如反壟斷或國際私法，事實(shí)上也曾出現(xiàn)相似討論。90年代的時(shí)候我們可能以網(wǎng)絡(luò)服務(wù)器（Server）所在地作為分支機(jī)構(gòu)（Establishment）的判斷標(biāo)準(zhǔn)之一，當(dāng)時(shí)曾將這一概念稱為黃金法則（Golden Rule），但現(xiàn)在進(jìn)入云計(jì)算（Cloud Computing）時(shí)代，多數(shù)企業(yè)已無須實(shí)際采購網(wǎng)絡(luò)服務(wù)器，這個(gè)判斷標(biāo)準(zhǔn)也很快地不適用于當(dāng)前的云服務(wù)環(huán)境。

可以一并留意的地方則是網(wǎng)站性質(zhì)的明確界定：有沒有鎖定特定用戶進(jìn)行商品銷售或服務(wù)提供，某程度上可以說與“網(wǎng)絡(luò)管轄權(quán)”判斷問題高度雷同，美國1997年Zippo案曾提出了知名的“滑動(dòng)測(cè)試標(biāo)準(zhǔn)”（Sliding Scale Test）并將網(wǎng)站區(qū)分為三大類型：第一類是絕對(duì)商業(yè)性網(wǎng)站，它就是以商品銷售/服務(wù)提供為目的，因此認(rèn)定目標(biāo)用戶所在地法院有管轄權(quán)是毫無爭議的，另一類是單純的資訊提供網(wǎng)站，在不涉及商業(yè)目的下，不能認(rèn)為網(wǎng)站有鎖定用戶進(jìn)行商業(yè)活動(dòng)的意圖，所以用戶所在地法院并不具有管轄權(quán)；而第三類則是處在兩者之中的互動(dòng)性網(wǎng)站，但互動(dòng)性網(wǎng)站是否具備商業(yè)性質(zhì)，則必須透過個(gè)案事實(shí)進(jìn)行認(rèn)定，并無法一概而論。觀察90年代與當(dāng)前的網(wǎng)絡(luò)環(huán)境，早期的網(wǎng)站是否具備商業(yè)屬性判斷上相對(duì)容易，但現(xiàn)今的網(wǎng)站基本上都可以泛稱為Zippo案中的互動(dòng)性網(wǎng)站，所以滑動(dòng)測(cè)試標(biāo)準(zhǔn)放到今天來看，好像又變成似是而非的觀點(diǎn)。今天有沒有GDPR合規(guī)的必要性，我們無可避免的必須先完整的梳理出有哪些商業(yè)模式，同時(shí)在可能的商業(yè)模式下，歐盟是不是會(huì)被認(rèn)定為企業(yè)的目標(biāo)市場。

（2）技術(shù)概念入法及對(duì)應(yīng)的隱私合規(guī)工具開發(fā)

早期的隱私保護(hù)立法，可以說就是單純的從法律層面談?wù)撊绾伪Ｗo(hù)個(gè)人信息，但現(xiàn)今的隱私保護(hù)立法則是越來越重視技術(shù)的重要性，甚至開始將特定的技術(shù)概念直接訂入隱私保護(hù)立法。例如GDPR所要求的“數(shù)據(jù)隱私影響評(píng)估”，最早只是列在ISO/IEC 27005中的產(chǎn)業(yè)標(biāo)準(zhǔn)，2002年美國聯(lián)邦數(shù)據(jù)安全管理法（Federal Information Security Management Act, FISMA）正式將PIA納到法律當(dāng)中，從數(shù)據(jù)安全立法到隱私保護(hù)立法，技術(shù)概念現(xiàn)在已經(jīng)變成個(gè)人信息保護(hù)立法的一個(gè)重要趨勢(shì)。對(duì)于合規(guī)來說應(yīng)該怎么轉(zhuǎn)換法律的語言，這也是前面所說的如何讓法律的規(guī)定跟技術(shù)能力能夠連結(jié)在一起，讓兩個(gè)不同的領(lǐng)域彼此間相互的對(duì)話，互聯(lián)網(wǎng)企業(yè)是有條件能夠做好這件事情。

（3）個(gè)人信息保護(hù)與個(gè)人信息合理使用的取舍

現(xiàn)階段全世界都面對(duì)到的共同問題是個(gè)人信息保護(hù)與個(gè)人信息合理使用的取舍。談數(shù)據(jù)安全、談個(gè)人信息保護(hù)，絕對(duì)不是只有側(cè)重在所謂的“保護(hù)層面”。如何兼顧個(gè)人信息的“合理使用”，也受到了高度關(guān)注。談到合理使用法律人經(jīng)常會(huì)以另外一部法規(guī)作為對(duì)比：著作權(quán)法，而著作權(quán)本身又可以區(qū)分為著作人格權(quán)及著作財(cái)產(chǎn)權(quán)，兼具人格及財(cái)產(chǎn)屬性事實(shí)上跟個(gè)人信息是相近的，所以個(gè)人信息保護(hù)立法應(yīng)不應(yīng)該有類似于著作權(quán)法的合理使用（Fair Use），甚至是“公共領(lǐng)域”（Public Domain）的概念，開始出現(xiàn)許多的討論。但就性質(zhì)來說，個(gè)人信息保護(hù)跟著作權(quán)還是有著本質(zhì)上的差異，著作權(quán)本身是一種后天的權(quán)利，換句話說，人們必須將腦海中的創(chuàng)意適度地表現(xiàn)出來，才會(huì)構(gòu)成著作權(quán)，光只有想法是不夠的。但個(gè)人信息被視為是一種與生俱來的權(quán)利，這在學(xué)術(shù)上就產(chǎn)生很多討論，包括它到底是不是一種憲法上的基本權(quán)利，還是只是民事上的權(quán)利，在民法典上需不需要納入人格權(quán)法，以及在財(cái)產(chǎn)法體系下又應(yīng)該如何體現(xiàn)它的價(jià)值。

目前國內(nèi)剛好處在東西方隱私文化匯集的當(dāng)下，從美國的產(chǎn)業(yè)自律思維，到歐盟強(qiáng)調(diào)的立法保護(hù)，在今天來看，我們似乎受到了歐盟較大的影響。但在發(fā)展的過程中，如何找到一條適合國內(nèi)的道路，希望能從GDPR對(duì)于互聯(lián)網(wǎng)企業(yè)產(chǎn)生的影響中，及互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)產(chǎn)生一些想法。