□李军/文
2015年8月24日,随着一声枪响,美国新奥尔良神学院的教授兼牧师约翰·吉布森倒在了血泊之中。他是全球最著名的“偷情网站” Ashley Madison的注册用户,也是在黑客公布了370万Ashley Madison用户账户信息后,第一个因检索到自己的信息而自杀的人。
Ashley Madison是一家专门为已婚人士提供交友、约会服务的社交网站,其口号是“人生短暂,偷情无限”。为了免除用户的后顾之忧,Ashley Madison承诺注册用户只要交纳19美元就能把个人信息在系统中完全删除。
不幸的是,Ashley Madison网站遭到黑客攻击,3750万注册用户的个人数据、公司财务记录和其他机密信息被盗。
黑客组织表示,之所以发动攻击,是因为Ashley Madison网站关于完全删除用户信息的承诺就是一个谎言。若Ashley Madison不立刻永久关闭网站,黑客组织将曝光所有用户的信息。随后,黑客逐步公布用户信息,并酿成了约翰·吉布森自杀的惨剧。
在大数据时代,每个人都通过各种各样的设备将自己的信息上传至互联网。无论是手机、汽车、可穿戴设备、家庭路由器,还是遍布城乡的监控网,都记录下你的活动、交往、健康和娱乐信息。对于充分占有这些信息的企业和组织来说,你就是无可遁形的透明人,在大数据时代里裸奔。
欧盟数据保护立法史
2015年12月15日,欧盟执委会(European Commission)通过了《一般数据保护条例》(General Data Protection Regulation,简称GDPR),以欧盟法规的形式确定了对个人数据的保护原则和监管方式,这将真正保护大众,令其避免陷入裸奔尴尬。
欧盟的数据保护历史可以追溯到上世纪90年代。欧盟1995年通过了《数据保护指令》(即“95指令”,全名为PROPOSAL FOR A COUNCIL DIRECTIVE CONCERNING THE PROTECTION OF INDIVIDUALS IN RELATION TO THE PROCESSING OF PERSONAL DATA),为欧盟成员国立法保护个人数据设立了最低标准。
在20年前制定“95指令”时,互联网还没有广泛被大众使用,个人数据的收集及处理只是限定在用户名、地址及相对简单的金融信息等。
但随着互联网飞速发展,24小时实时在线的移动互联网和社交应用,使人们每天的生活乃至地理位置信息都成为暴露的对象。“95指令”中包含的访问权(即用户有权访问他们的信息并且修改不当的地方,目的是确保信息的正确性)已经不能满足用户的需求,用户转而寻求对个人数据的控制权。
互联网新技术的发展和用户控制需求的变化,使“95指令”为代表的传统数据保护框架亟待重大更新。
欧盟第一次修正努力始于2002年。欧盟在当年7月12日发布的《隐私与电子通讯指令》(Directive on privacy and electronic communications,Directive 2002/58/EC)中,详细规定了通信和互联网服务商需要采取适当的措施,保证通信和互联网服务的安全性;禁止在未征得用户同意的情况下存储和使用用户的数据;服务提供商应该保障用户的知情权,如告知用户所收集的数据及进一步处理此类数据的意图和用户有权不同意等。
这一次个人数据保护修正的内容确定了未来互联网个人数据保护的基本原则,但是在具体操作层面还较为粗略,也缺乏明确的违规惩罚措施。
2009年11月25日,欧盟对个人数据保护措施又进行了一次重要修正,通过了《欧洲Cookie指令》(EU Cookie Directive,DIRECTIVE 2009/136/EC),并确定其于2011年5月25日在欧盟正式启用。
《欧洲Cookie指令》的核心内容,是对电子商务中Cookie的使用加以规范和必要的信息披露管理。
Cookie是互联网常用的用户跟踪和识别技术。用户在使用浏览器进行网站内容浏览时,网站可以在用户电脑本地存放Cookie以识别和记录用户的登录、浏览和购买信息。
尽管Cookie可以被用户手工操作关闭,但对于绝大多数非IT背景的用户来说,如果网站在未明确提示下使用Cookie记录相关信息,用户是毫无察觉的。
2002年的《隐私与电子通讯指令》要求网站告知用户启用Cookie及如何删除或作废Cookie,但绝大多数网站都会把这部分内容放置在用户注册时必须“同意”的用户协议中,而协议内容几乎没有用户真的会去完整阅读。
《欧洲Cookie指令》则要求网站在用户初始使用时网站必须关闭Cookie的使用,直到用户明确同意启用Cookie时才能开启此功能。
《欧洲Cookie指令》是《隐私与电子通讯指令》的重要补充,它一方面强化了用户的知情权,让用户对网站收集、存储和跟踪用户信息有了清晰明确的了解;另一方面,指令也对网站生成、使用和管理以Cookie为核心的用户个人数据提出了完整规范的管控要求,以避免网站滥用或以不够安全的方式操作与存储用户个人数据。
最重要的是,在互联网世界中有着除Cookie以外的众多不规范甚至非法收集跟踪用户数据的技术手段。《欧洲Cookie指令》划清了对用户个人数据合法操作与非法操作的界限,让欧盟管控互联网并进行个人数据保护有了明确的依据。
欧盟内各国信息化主管部门随后也以此为标准对本国的网站以及移动应用进行审查。
以英国为例,在Cookie合规性检查之前,英国排名前50的网站只有12%遵照《欧洲Cookie指令》的要求,在网站上弹出窗口或在指定的页眉页脚提供Cookie信息确认提示或信息说明。而法国和德国的前50大网站则全部不合规(根据TRUSTe2012年10月的统计报告)。
尽管欧盟在不同阶段通过了不同的数据保护修正指令,但是这些修正内容还是架构在1995年颁布的《数据保护指令》基本框架之上。欧盟希望能够有一个全新的完整框架用来代替20年前构建的、已经不能适应移动互联网时代需求的陈旧框架。
严厉的新法规
新的个人数据保护框架终于诞生了。2012年1月25日,欧洲议会公布了《一般数据保护条例》草案并希望在欧盟内部尽快三读通过。
这个条例草案的内容预示着个人数据保护管理提到了前所未有的高度。条例甚至通过制定详细的管理规范,使其具备了在企业内控和合规管理方面的可操作性,适用对象也从欧盟内的企业扩展到向欧盟用户提供互联网和商业服务的所有企业。
在《一般数据保护条例》长达206页的文件中,我们可以看到一些关键的变化:
★从地域/国家划分转向基于数据内容划分
传统的立法管辖权通常是按照国家/地域进行划分的。但在本条例中,数据保护约束同样适用于向欧盟居民提供产品或者服务,甚至只是收集或监控相关数据的非欧盟企业和组织,而与这些企业和组织所在位置无关。
换句话说,非欧盟的企业和组织向欧盟用户提供服务,哪怕是免费的服务,也需要严格遵从欧盟这份数据保护条例的要求。
这就开了一个独特的先例:法律管辖范围不是严格按照国家/地域划分,而是按照数据的分布来认定。
由于互联网上数据分布本身也是在动态变化的,这还意味着法律管辖范围也有可能按照数据的迁移而不断变化。
所以,虽然是欧盟的数据保护条例,但却有可能应用到全球任何企业身上。
★进一步严格的内控和监管
企业和组织在对个人数据进行操作时,必须记录所有的操作流程和步骤。换句话说,企业必须建立个人数据操作监控记录机制,以备政府和相关监管机构检查。由于条例是全欧盟内部统一的,所以大型跨国公司可以使用一套标准的监控记录机制对欧盟内所有国家的分公司进行监控和管理。
对于个人数据被广泛使用的情况下,例如个人数据被公共机构或团体使用、被超过250名雇员的企业使用、或者个人数据在特定目的下被持续和系统地收集监控,那么进行数据处理或控制的企业或组织应该任命有专门数据保护知识的数据保护专员(Data Protection Officer, DPO)。
DPO的任职期限至少为两年并可连任,任命过程应该是透明的,向公众及监管机构通报其姓名及详细的联系方式。
DPO会确保企业遵从个人数据保护条例的规定,并在企业发生个人数据操作违规时承担相应的法律责任。
当发生严重的数据泄露时,条例要求公司及组织第一时间通知相关国家监管机构,并把数据泄露的数量、方式、渠道以及可能的影响范围上报。
如果数据泄露会对数据所有者(用户)产生负面影响,公司及组织也必须毫不延误地通知数据所有者(用户)以便其采取必要的措施消除影响。
英国宽带服务提供商TalkTalk在2015年曾多次出现用户数据被黑客窃取而没有及时上报,在条例生效后,TalkTalk这样的行为预计会被处以接近惩罚上限的巨额罚单。
★数据保护的前瞻性要求/最简化原则和数据操作的告知权
条例把数据保护作为基本要求,强制企业在业务设计初期就必须考虑。
这包含了两方面的要求:第一,在设计新的业务系统、业务流程和服务时,处理个人数据的环节就必须按照条例要求的方式进行构造。企业还必须提供相关信息证明自己满足了上述要求。
第二,当系统、流程和服务包含了个人数据被共享的多个不同级别时,默认的缺省选项必须是共享内容最小的选项——不共享任何内容,这就是数据保护的最简化原则。
另外,数据操作的告知权在条例中也进行了严格限定。数据操作者(企业或组织)在收集和使用个人数据前必须向数据所有者(用户)明确告知数据的收集内容和使用方式,并且需要获得数据所有者的明确同意。条例不认可任何形式的“缺省同意”,对于企业基于大数据的业务创新,这可能成为一道沉重的枷锁。
★数据所有者(用户)的个人数据删除权
数据所有者的个人数据删除权,(有时也被称为“数据被遗忘权”,“right to be forgotten”)也在条例中明确提出。当数据所有者(用户)撤回自己向企业或组织授予的个人数据使用权时,相关企业或组织必须立即无条件删除所有的个人数据。
换句话说,当一个欧盟居民要求删除自己的新浪微博账号和相关内容时,新浪微博必须无条件删除微博账号内的所有信息并不得保留其他备份。
数据删除权并不像大众想象的那样清晰且易于执行。
对于一个大型企业来说,用户信息往往分布在从营销、销售、客服乃至财务和供应链等多个系统中,甚至还会存在于一些excel文件中。一旦需要把某个用户的数据完全删除,就要依靠一套数据同步机制确保删除没有遗漏,这是非常困难且成本高昂的操作。
对于面向公众的互联网企业,这个问题就更为复杂了。
以新浪微博账号删除为例,尽管微博账号已经删除了,但是搜索引擎如Google或百度,还存在着原账号的搜索镜像数据。搜索引擎是否有义务配合把所有相关的搜索数据一并删除?
★巨额的惩罚上限
条例中最吸引眼球的就是巨额的惩罚上限。
尽管条例中规定违法的惩罚金额由成员国自行确定,但惩罚上限确是处于欧盟立法中相当高的水准:对于不太严重的违法,罚款上限是1000万欧元或前一年全球营业收入的2%(两值中取大者);
对于严重的违法,罚款上限是2000万欧元或前一年全球营业收入的4%(两值中取大者)。如果是Google或者Facebook这样的公司按照全球营业收入罚款,那就是几亿甚至几十亿美元的罚单。
《一般数据保护条例》和“95指令”具有完全不同的法律效力。欧盟的“指令”(Directive)是需要各成员国据此在本国立法并加以执行的,所以“95指令”和后续的各个修正指令是不能直接应用到各成员国的。
而“条例”(Regulation)在通过之后,立即在整个欧盟范围内生效,无需在各成员国内立法确认。这一点恰恰是欧盟希望以统一的标准推进个人数据保护所要达到的效果。
不过,考虑到欧盟各成员国内部的文化、经济发展和习惯的差异,欧盟允许各成员国政府就条例出台一些补充规定,以适应本国特殊的数据保护需求。
对遏制创新的担忧
《一般数据保护条例》草案的出台,直接震动了向个人提供互联网服务、同时大量收集用户个人数据的互联网巨头们。欧洲和美国的行业组织提出警告说,条例中严格的数据保护约束将极大阻碍数据的商业价值挖掘,并将给企业带来相当大的额外成本。
以Google、Amazon和Facebook为主的美国互联网巨头们,在获知草案内容后组成了庞大的游说团,在布鲁塞尔欧洲议会总部所在地展开了旷日持久的院外游说活动。
Google和Facebook等企业希望推迟草案的通过时间,甚至修订草案的内容,以便现存的互联网用户信息收集和使用方式能够持续下去。
欧洲议会曾就《一般数据保护条例》草案收到超过4400份修正意见,数量之多为欧盟立法修正案中所罕见,而其中大部分修正意见来自于美国互联网企业。
目前看来,相关公司的游说并未取得显著效果。欧盟执委会(European Commission)已经率先通过了《一般数据保护条例》。预计2016年初,欧洲议会(European Parliament)和欧洲理事会(European Council)将批准通过该条例,两年过渡准备期后,《一般数据保护条例》将于2018年正式生效,并成为欧盟数据保护法的核心框架。由于《一般数据保护条例》增加的数据保护要求和实施的复杂性远高于原先的“95指令”,对于中大型企业的业务调整和IT系统改造来说,两年的过渡准备期,时间并不很充裕。
未来欧洲的大数据时代,有可能在《一般数据保护条例》的约束与引导下走上一条与美国有较大差异的道路。一方面,企业自由收集、分析和管理用户信息的权限将会被严格限定和监管,大数据所带来的创新空间会受到明显约束;另一方面,严格的个人数据保护所带来的额外成本、复杂的数据使用授权(尤其是跨企业数据共享)和政府过度监管的风险,也会让企业的信息资产管理的运营成本显著增加。而美国在个人数据保护上采用相对宽松的管理理念,保证信息能够充分地自由流动,有可能给企业带来更为灵活与广泛的大数据创新空间。
无论如何,政府都需要在个人数据保护和数据融合创新之间取得一个平衡。那么,欧盟在为大数据时代裸奔的大众穿上衣服的同时,会不会束缚了大众自由活动的手脚?这就要看欧盟在《一般数据保护条例》执行上的平衡艺术了。
作者为埃森哲前资深顾问