《麻省理工科技评论》驳斥百度李彦宏:谁说中国人不在乎隐私!欧洲新隐私法即将生效,中国还要等多久?

互联网
《麻省理工科技评论》驳斥百度李彦宏:谁说中国人不在乎隐私!欧洲新隐私法即将生效,中国还要等多久?
麻省理工科技评论 2018-03-30

2018-03-30

李彦宏的一席话确实犯了众怒,让广大互联网使用者冲冠一怒的结果,是否会为中国互联网企业营运设下更高的障碍,将十分值得观察。
网络安全
李彦宏的一席话确实犯了众怒,让广大互联网使用者冲冠一怒的结果,是否会为中国互联网企业营运设下更高的障碍,将十分值得观察。

近日,百度 CEO 李彦宏有关“中国人更愿意用隐私换便利”的论点引发全民热议。2018 年 3 月 26 日,在参加中国发展高峰论坛时,李彦宏表示,“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。但我们要遵循一定的原则,如果数据会使用者受益,他也愿意,我们就会去做,这是我们的基本原则,这就是什么该做的,什么不该做。”对于此次事件,央视新闻在第一时间给出了针锋相对的回应,发表评论文章《谁说“中国人愿意用隐私换便利”?》

1.webp.jpg

图丨央视新闻微博

今天,《麻省理工科技评论》美版在The Download栏目发表的观点文章中也提到,关于李彦宏所说“中国人不在乎他们的隐私”是一个错误的看法,因为在李彦宏的这番话被大举传播后,近日来已然在中国社交媒体上引发高度争议,特别是根据中国互联网协会的调查,在中国有 54%的互联网用户认为个人数据遭到泄露是一件非常严重的事。

1522392233132fe1433f2a5.jpg

图丨《麻省理工科技评论》文章

事实上,百度本身原本在涉嫌侵犯用户隐私就有许多争议,在 2018 年初《麻省理工科技评论》就曾报道,百度未经用户同意收集个人数据,在未获得用户授权同意下取得用户的联络人数据、位置与电话号码等,因而遭到中国消费者保护组织就此提起诉讼。许多人都认为在互联网活动发达的中国,消费者其实已经“习惯”自己的数数据被互联网企业使用,但其实大部份消费者并不真的理解其个人的数据资料有哪些被拿去使用?被用到什么地方?更重要的是,这些被使用的数据资料,会如何影响到其自身的权益。 

这些都是目前通过不同形式大量收集使用用户数据的企业并没有真的说清楚的问题,更简单的说,如果用户真的理解自己的数据资料被使用的状况,是否还会放心让自己的数据被这些互联网企业使用?或者是否还愿意如李彦宏所说的“中国人愿意用隐私来换便利”?总之,李彦宏的言论或者百度的行为是与全球的隐私保护潮流背道而驰的,因为自 2017 年以来,Google、Slack 等包含互联网业务的科技企业都在重新修订自己的数据保护规则,绝大多数还推出了最新的数据工具。就是在为欧盟即将在 2018 年 5 月份实施《常规数据保护条例》(General Data Protection Regulation,以下简称 GDPR)做准备。

GDPR 是欧盟在 2016 年通过的一项法案,为企业和个人消费者的数据制定了新的保护规则。理论上来说,GDPR 的适用区仅限欧洲,然而互联网本身的全球性使得 GDPR 变成了一项覆盖全球的法案。GDPR 第 3 条强调,无论数据处理的活动是否发生在欧盟境内,都统一遵循 GDPR。对于设立在欧盟外的机构来说,则适用属人因素。只要其在提供产品或者服务的过程中处理了欧盟境内个体的个人数据,那么改企业将同样受制于 GDPR。这也正是上文提到的那些美国公司转变的理由。

然而这其实很难理解,进一步翻译 GDPR 第 3 条的话就是“任何网站甚至 APP 只要能够被欧盟境内的个人消费者访问、使用的语言是英语或者欧盟成员国语言、服务或者产品价格为欧元标准”,则都可以被理解为服务于欧盟境内用户,因此受到 GDPR 管辖。当然,如果互联网企业选择放弃 5 亿发达人口市场的欧盟国家,那么他们将不用理会 GDPR。

事实上,任何一个中等以上的互联网企业都在欧盟成员国开展了业务,而且前者也不可能放弃这些业务,所以 GDPR 就变成了一项所有中等规模以上互联网公司都需要遵守的规则。中国的百度公司也在欧盟成员国有业务,该企业理应适用 GDPR。

 

严格的GDPR

GDPR 赋予了数据主体(可以是个人消费者,也可以是企业)获取必要信息的权利,其第 10、11、12、13、14 条强调,数据控制者有责任和义务提供与数据主体有关的信息。12 条和 15 条则规定,数据主体有权利通过访问数据控制者以及与其相关的个人数据,并在支付合理费用后可以获得信息副本。而其第 14 条和 21 条强调,数据主体有权拒绝数据控制者基于公益、直销等目的,对其个人数据进行处理。尤其是 GDPR 第 16 条规定,数据主体有要求数据控制者更正并且完善与其有关的个人数据的权利。

640.webp (1).jpg

图丨 GDPR 中,数据主体被赋予的权利

也就是说,诸如百度、Google 等数据控制者在得到数据以后,他们不仅要防止数据丢失,还要给予数据主体更多的权利,否则 GDPR 将会停止他们当前数据相关业务。GDPR 还明确了数据主体关于删除和更正授权的权利。第 17 条中,数据主体有权请求数据控制者立刻清楚与其有关的个人数据本身、副本、备份以及相关连接,同时,这种删除请求是永久删除。在第 18 条中,数据主体在法律规定的范围内有权处理控制者的处理行为,不过需要在数据主体提出相关的法律诉讼后才能启用,并不适用于任何时间。 

除此之外,GDPR 第 20 条规定,数据控制者基于数据主体的同意或者为履行与数据主体之间合同内容,且以自动化方式处理数据主体提供的与其有关的个人数据时,数据主体有权从数据控制者处获得以结构化、通用化和机读形式呈现的上述个人数据;数据主体有权将该数据转移给其他控制者而不受元数据控制者的阻碍;在技术允许的情况下,要求数据控制者直接将这些数据转移给另一个控制者。

第 20 条有些晦涩难懂,但其实指的就是数据控制者不要用“人工智能”、“算法”等事物作为向个人消费者索要数据的借口,否则数据主体就会有更多的权利。今日头条、百度等公司常谈起人工智能和算法,在 GDPR 实施以后,两者若想继续在欧盟成员国开展业务,那么他们就必须重新制定规则。尤其是今日头条,该企业自称算法和人工智能是企业的核心竞争力。题外话,GDPR 还规定数据控制者不得处理数据主体性生活、性取向、健康信息等敏感资料。以今日头条为例,如果一个新的账号在今日头条搜索敏感词条后,该企业向数据主体推送相关内容,那么该企业就违反了 GDPR。

 

GDPR 的监管

欧盟在网络隐私保护上非常严格,正是因为 GDPR 的发布,欧盟还特地成立了相关机构 以监管各国的网络隐私权。根据欧盟的要求,数据控制者要承担合法的数据处理,还要及时告知数据主体。在 GDPR 第 56、60、61 条中,欧盟采取了一站式监管机制(one stop shop)。这是指所有数据控制企业主成立第所在国家的监管机构将作为主导的监管机构,对企业的所有数据活动进行监管,数据控制者由此不再需要和多个不同成员国的监管机构打交道,从而缩短了实现 GDPR 标准的时间。

目前来看,一站式监管机制的辐射范围仅有整个欧洲,这意味着,百度、Google、Facebook 等企业需要特地跑到欧洲监管机构那里递交申请、等待审核,才能在欧盟成员国开展业务。欧盟规定,在实行 GDPR 后,每个欧盟成员国都要成立一个关于 GDPR 的监管机构,现有的各国数据保护机构则继续履行数据保护的职责,并不能由后者取代前者。GDPR 第 58 条加强了监管机构的执法权,并在第 83 条规定了严苛的罚金。第 26 条、80 条、82 条则规定了司法救济的权利可以由消费者机构代表数据主体行使。

 

GDPR 的意义

如果熟悉现有的数据保护法(DPA),那么就会发现其实 GDPR 和 DPA 的概念和大致原则是相同的。也就是说,那些遵守 DPA 的企业不需要大规模调整也能达到 GDPR 的标准。相较之下,GDPR 更强调数据管理者必须通过相关的文件来证明其责任。在 GDPR 项目中,主要设计了 40 种人的权利与义务,他们大致分为三类:数据管理者、数据参与者和数据监管者。中国《网络安全法》第 76 条规定,个人信息是指电子或者其他形式记录的,能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生年月、身份证号、住址、联系方式等等。

640.webp (2).jpg

图丨GDPR 中的权利与义务

结合 Facebook 泄密事件就会发现,在隐私意识缺乏的当下,我们应该拥护 GDPR 的理念。平安科技 CTO 肖京对 DT 君表示“GDPR 对平安集团来说是好事,金融机构被监管是最严的。如果企业品牌的价值高,就不会为了小利去冒风险。坚决拥护监管,监管是非常必要的。太乱了就会导致正常经营的企业收到影响,劣币驱逐良币。优质的企业都支持监管。”欧盟拥有较为完善的数据保护立法框架,这便是 GDPR 的立法背景。但是欧盟的网络数据保护的立法模式与美国不同,后者偏好通过行业自律规则保护网络隐私,前者则是把个人数据保护的重点放在了立法规制上。中国在某种程度上和美国很相似,但是截止至目前,我国还没有很完善的网络数据保护条例。

诚如《麻省理工科技评论》所提到的,中国人其实非常在乎他们的隐私,而 Facebook 的事件,提醒了中国互联网用户他们过去可能遗漏的一些必须注意的重点。事实上,李彦宏的言论反应的其实是一种旧时代的互联网巨头思维,也就是“用免费的数据资源赚钱”,但这是在过去野蛮初生的数字经济时代的思维。在未来全新的数字经济时代,数据资源是关键资源,但当用户对于自身的数据资料权越来越有自觉,也就是越来越重视自己的隐私被保护的程度,那么,过去在互联网巨头眼中看似取之不尽、用之不竭的数据资源,将不再那么理所当然。

李彦宏的一席话确实犯了众怒,让广大互联网使用者冲冠一怒的结果,是否会为中国互联网企业营运设下更高的障碍,将十分值得观察。相较于目前仅需要花费收集成本就可拿来营运获利的数据资源,未来可能还得加上处理保护用户数据的成本,甚至必须对消费者更具有吸引力、进而愿意贡献分享数据的服务,这对所有的互联网企业而言,都是一个不容小觑的挑战。以即将在 5 月上路的欧盟 GDPR 法案来看,似乎离中国消费者很远,但蝴蝶的翅膀已然拍动,中国互联网有关数据资源使用的一场大雷雨即将到来。

麻省理工科技评论

From Tech to Deeptech