譚婧

2015年 8月24日。一聲槍響，一位時(shí)年56歲的美國牧師倒在了血泊之中，太陽穴四周被灼傷。他每天勤懇工作，待人和善。應(yīng)該沒有人會(huì)知道這位牧師也是“偷情社交網(wǎng)站” Ashley Madison的老用戶。

這件不匹配神職人員身份的事，終究沒有藏住。

黑客攻入網(wǎng)站，曝光了370萬該網(wǎng)站賬戶信息。此事之后，他在互聯(lián)網(wǎng)上搜到了自己的偷情“史”。失業(yè)、非議、眼光……可能是壓垮了，他舉起了槍。

他叫約翰·吉布森，一個(gè)因?yàn)榫W(wǎng)絡(luò)隱私泄露而自殺的現(xiàn)代人。

吉布森的妻子失去丈夫，女兒失去父親……越來越多的網(wǎng)民們也在失去隱私?；ヂ?lián)網(wǎng)隱私問題就好比，全世界都在流血，從前也一直在流血，血像瀑布樣奔騰直瀉，像倒香檳一樣汩汩流淌。

在中國，個(gè)人行蹤軌跡已經(jīng)成為法定公民個(gè)人信息（《刑法》第253條）。但是，敢問又有幾個(gè)人在意隱私數(shù)據(jù)，不如現(xiàn)在打開iPhone手機(jī)，復(fù)查一下“定位”、“廣告追蹤功能”吧。

為了生動(dòng)說明什么是“個(gè)人數(shù)據(jù)保護(hù)”，歐盟委員會(huì)“不賣悲，不賣慘，不催淚”。請(qǐng)了一位帥哥在公益廣告里，上演一名男子“一絲不掛”城市一日游。不惜“辣眼睛”來博取關(guān)注度。

這個(gè)視頻掛在歐盟委員官網(wǎng)，數(shù)據(jù)保護(hù)專題里。

很清楚，歐盟將“公共場合裸奔”與“個(gè)人數(shù)據(jù)保護(hù)不足”劃等號(hào)。

是時(shí)候出臺(tái)一項(xiàng)強(qiáng)制性法律，保護(hù)自然人的“個(gè)人數(shù)據(jù)”了——《一般數(shù)據(jù)保護(hù)條例》英文名General Data Protection Regulation（GDPR）。它是在“七大洲四大洋”巡邏的警察，一股沖向四海八荒的力量。

據(jù)Gartner說，全球智能手機(jī)銷量2020年將達(dá)到15.7億部，預(yù)計(jì)2023年全球智能手機(jī)連接數(shù)將達(dá)65.7億。僅這種貼身使用的電子設(shè)備，每天產(chǎn)生的“個(gè)人數(shù)據(jù)”的規(guī)模就在不停增長、軟硬件迭代快、科技發(fā)展變數(shù)大……

這一切都將提高“個(gè)人維權(quán)，企業(yè)守法”的難度系數(shù)。

想要保護(hù)得好，又不能穿太重的防彈衣。這時(shí)候就需要平衡這門“藝術(shù)”。立法者在隱私保護(hù)和科技創(chuàng)新之間取得一個(gè)平衡，以免妨礙科技發(fā)展。

你以為歐盟的法太嚴(yán)，那就放棄這個(gè)5億發(fā)達(dá)人口的市場，這事干脆就結(jié)束了。恐怕想錯(cuò)了。《一般數(shù)據(jù)保護(hù)條例》被譽(yù)為“歐盟數(shù)據(jù)憲章”，有很多知識(shí)點(diǎn)，也有很多“但書（proviso）”，即很多例外，也就是“對(duì)特別情形和例外情況進(jìn)行了十分細(xì)致的規(guī)定”。

Van Quathem律師認(rèn)為：“與其說《一般數(shù)據(jù)保護(hù)條例》是一場革命，不如說是一次進(jìn)化”。通讀整個(gè)條例，非常痛苦，一些知識(shí)點(diǎn)可能會(huì)有用。

需要注意的是，以下假設(shè)性舉例，都需要加上一句前提——“大多數(shù)情況下”。

美國互聯(lián)網(wǎng)企業(yè)求生欲最強(qiáng)，《一般數(shù)據(jù)保護(hù)條例》出臺(tái)前，收到修正意見的數(shù)量高得罕見，超過4400份，而其中大部分意見來自于美國。歐盟高管說：“我們歐盟委員會(huì)（的人），并不反對(duì)來自大西洋彼岸的科技巨頭。但是前提是，他們必須守規(guī)矩。”

假如一個(gè)歐洲人在新浪微博注冊(cè)了賬號(hào)，當(dāng)想刪除賬號(hào)時(shí)，新浪微博應(yīng)該無條件刪除，不得保留其它備份。2020年春節(jié)前，碾壓故宮地面的女奔馳車主默默地擦了擦眼淚，她的微博內(nèi)容是她一條一條手動(dòng)刪除的，但是賬號(hào)還在，印記擦不掉。

因?yàn)椤兑话銛?shù)據(jù)保護(hù)條例》規(guī)定：“中國企業(yè)和向歐盟用戶提供服務(wù)”，也在其管轄范圍內(nèi)。

數(shù)據(jù)存的時(shí)間過長也可能被罰。2019年6月，在柏林，對(duì)德國最大的私人房地產(chǎn)所有者德國Deutsche Wohnen SE罰款1450萬歐元，原因圍繞在一些租戶的敏感數(shù)據(jù)上，公司缺少刪除這些數(shù)據(jù)的時(shí)間周期。

《一般數(shù)據(jù)保護(hù)條例》規(guī)定：“身份數(shù)據(jù)的保存期限不得超過實(shí)現(xiàn)及處理目的所需要的時(shí)間。”數(shù)據(jù)能存多久？這個(gè)問題需要企業(yè)合理解釋存儲(chǔ)的目的。解釋不了，企業(yè)就沒有權(quán)超期存這些個(gè)數(shù)據(jù)。

云計(jì)算服務(wù)商被“盯上”了，以前是哪個(gè)公司的數(shù)據(jù)，哪個(gè)公司負(fù)責(zé)到底，對(duì)于云計(jì)算廠商這種“基礎(chǔ)設(shè)備提供者”，大部分情況下，提出了同等要求。

眼鏡、手套、手表、手環(huán)、服飾及鞋襪等穿戴式智能設(shè)備或者健康監(jiān)測(cè)類產(chǎn)品的公司也被“盯上”，都屬于管理范圍內(nèi)。

不僅只約束企業(yè)，還約束公共管理機(jī)構(gòu)。在很多國家，如果政府管理部門泄露數(shù)據(jù)，只是行政處罰，而政府部門管理的數(shù)據(jù)越來越多，潛在風(fēng)險(xiǎn)也越來越高。

《一般數(shù)據(jù)保護(hù)條例》的臺(tái)詞：“不要惹我，我兇起來，兄弟部門都不放過”。

光有結(jié)果不行，把過程也得記清楚。公司必須建立個(gè)人數(shù)據(jù)操作監(jiān)控記錄機(jī)制，以備檢查。因?yàn)椤兑话銛?shù)據(jù)保護(hù)條例》規(guī)定：“企業(yè)和組織在對(duì)個(gè)人數(shù)據(jù)進(jìn)行操作時(shí)，必須記錄所有的操作流程和步驟。”

數(shù)據(jù)保護(hù)官的上任臺(tái)詞：“不要亂來，CEO我都不放過?！?因?yàn)閿?shù)據(jù)保護(hù)官任期至少兩年，企業(yè)發(fā)生個(gè)人數(shù)據(jù)操作違規(guī)時(shí)，承擔(dān)相應(yīng)的法律責(zé)任。

在數(shù)據(jù)的自動(dòng)化處理中，《一般數(shù)據(jù)保護(hù)條例》的約束非常細(xì)致，細(xì)到對(duì)“數(shù)據(jù)畫像（profiling）”這一類別進(jìn)行了專門的規(guī)定，引言部分有十余條條款涉及或者提及。

假想臺(tái)詞：“夠不上罰錢的，拉出去辱罵五分鐘。”監(jiān)管機(jī)構(gòu)的矯正能力并不僅限于罰金，包括：警告，申誡，要求數(shù)據(jù)控制者、處理者改正、要求對(duì)個(gè)人數(shù)據(jù)予以更正或擦除等。

美國互聯(lián)網(wǎng)巨頭谷歌，亞馬遜和臉書，在《一般數(shù)據(jù)保護(hù)條例》出臺(tái)前，空前團(tuán)結(jié)，組成了龐大的游說團(tuán)，曾經(jīng)在比利時(shí)的首都布魯塞爾歐洲議會(huì)總部所在地，展開了曠日持久的游說活動(dòng)。

假想臺(tái)詞：“屁股擦不干凈，還有可能會(huì)面臨無窮無盡的訴訟?！比绻麑?duì)個(gè)人數(shù)據(jù)進(jìn)行了公開傳播，那么需要?jiǎng)h除時(shí)，不僅自己掌控的數(shù)據(jù)需要?jiǎng)h除，而且需要負(fù)責(zé)讓其他復(fù)制的人也刪除。以前，本來自己管好自己，現(xiàn)在，還得管副本，欲哭無淚。

假設(shè)，一個(gè)房東想把從“貝殼找房APP”換成“自如租房APP”，就可以把關(guān)于房屋、家具的介紹直接導(dǎo)入另一個(gè)平臺(tái)。因?yàn)椤皵?shù)據(jù)可攜帶權(quán)”將使得個(gè)人可以在同類或相似服務(wù)的不同服務(wù)商之間輕松轉(zhuǎn)換。比如，要求銀行把自己支付數(shù)據(jù)轉(zhuǎn)移到另一家支付機(jī)構(gòu)，從而促進(jìn)服務(wù)競爭。這使得用戶要想棄用更容易了。

假想，羅斯柴爾德家族（美國最古老的富豪家族）打電話：“喂，你好啊，最近服務(wù)變差了，麻煩把我家族200年來，所有生意相關(guān)賬戶的交易信息，轉(zhuǎn)移到中國建設(shè)銀行。要快！”

互聯(lián)網(wǎng)高利貸公司，就是P2P公司，一些追債的人會(huì)在個(gè)人用戶信息中收集了貸款人父母甚至朋友的信息。這類做法，明顯違反“數(shù)據(jù)最小化原則”。

因?yàn)?，“企業(yè)所收集、處理的個(gè)人數(shù)據(jù)對(duì)其處理目的，應(yīng)該準(zhǔn)確、相關(guān)和必要?！?/p>

手機(jī)通話記錄，除了你自己的手機(jī)號(hào)碼之外，還會(huì)有你和其他通過話的人的號(hào)碼。也就是說，個(gè)人數(shù)據(jù)可能同時(shí)關(guān)涉其他個(gè)人的數(shù)據(jù)。

例如：通訊錄信息、電話記錄信息、聊天信息、郵件往來信息、轉(zhuǎn)賬記錄信息等等。行使“數(shù)據(jù)可攜帶權(quán)”時(shí)，則往往可能對(duì)其他第三方個(gè)人的基本權(quán)利帶來侵害。因?yàn)檫@些其他人根本沒有機(jī)會(huì)得知自己的數(shù)據(jù)被他人提交給了別人。

假如，歐洲也有一款微信app，為了實(shí)現(xiàn) “數(shù)據(jù)可攜權(quán)”，同時(shí)，也得開發(fā)一個(gè)功能用于用戶數(shù)據(jù)的導(dǎo)出以及剔除涉及其他人數(shù)據(jù)，不允許“拔蘿卜帶出泥”。

1995年，《一般數(shù)據(jù)保護(hù)條例》的親大哥《95指令》出生，親二哥《歐洲Cookie指令》2009年出生，歐洲在隱私保護(hù)方面已經(jīng)有很長時(shí)間的積累。你以為《一般數(shù)據(jù)保護(hù)條例》是一個(gè)人在戰(zhàn)斗嗎？，他們是一家子在戰(zhàn)斗。（Cookie是互聯(lián)網(wǎng)常用的用戶跟蹤和識(shí)別技術(shù)。）

2019年6月，西班牙數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)低成本航空公司Vueling處以30000歐元罰款，因其違反有關(guān)cookie條款。

事前知情不報(bào)也會(huì)被“清算”。因?yàn)椤兑话銛?shù)據(jù)保護(hù)條例》規(guī)定，如果評(píng)估表明數(shù)據(jù)處理工作將會(huì)是高風(fēng)險(xiǎn)的，就應(yīng)該向監(jiān)管機(jī)構(gòu)報(bào)備。

“發(fā)通知”不是讓公司方便，而是要群眾方便。如果公司想對(duì)數(shù)據(jù)進(jìn)行處理，就必須要得到用戶的同意，是告知義務(wù)。Bisnode是歐洲最大的智能數(shù)據(jù)和分析供應(yīng)商，1989年成立，在19個(gè)國家運(yùn)營。

公司以賺錢為目的，處理用戶數(shù)據(jù)的通知僅在公司網(wǎng)站上發(fā)布，2019年5月，在波蘭，它收到220000歐元罰單。

有公司誤認(rèn)為，有了《一般數(shù)據(jù)保護(hù)條例》就是數(shù)據(jù)完全不能出國？錯(cuò)誤。是在數(shù)據(jù)跨境前加了很多條件，比如授權(quán)，解釋數(shù)據(jù)使用場景和目的等，換句話說，不是不讓出國，而是層層門檻。假想臺(tái)詞：“數(shù)據(jù)要出國嘛？請(qǐng)等一下，我們要求把數(shù)據(jù)處理者，把采集數(shù)據(jù)的目的、場景等項(xiàng)說清楚。不多，也就幾百項(xiàng)……”“哎，你怎么扭頭就走了？” 20. 運(yùn)動(dòng)員和興奮劑、新聞、藝術(shù)和文學(xué)都寫進(jìn)了《一般數(shù)據(jù)保護(hù)條例》。其中，“消除運(yùn)動(dòng)員在運(yùn)動(dòng)中使用興奮劑”是管轄范圍里的例外。藝術(shù)和文學(xué)的目的性，也是例外。

現(xiàn)在數(shù)據(jù)管理環(huán)境仍處在混沌之中，但是，“人，這種卑劣的東西，什么都會(huì)習(xí)慣的?！薄兑话銛?shù)據(jù)保護(hù)條例》很難立馬360度無死角的保護(hù)“個(gè)人”，自我防范也很重要，需要保護(hù)兩種身份。既要保護(hù)現(xiàn)實(shí)世界里“肉身”的安全，也要對(duì)抗“數(shù)字孿生”世界的惡意。對(duì)企業(yè)來說，《一般數(shù)據(jù)保護(hù)條例》并非寫寫文件材料的“法務(wù)”，也非單純公司內(nèi)部的流程，而是上上下下達(dá)成的共識(shí)，是思維模式。它也不是一條“標(biāo)準(zhǔn)線”，達(dá)標(biāo)就夠了。畢竟，懲罰力度那么大。那些敢于踐踏法律而獲得的利潤，最后很可能變成罰金和訴訟費(fèi)。