沈逸专栏丨辩证认识与理性看待数据隐私保护

21世纪经济报道 沈逸
2019-10-17 07:00

复旦大学网络空间治理研究中心主任、研究员 沈逸

2020年1月,美国加利福尼亚州的消费者隐私法案(CCPA),将走完过渡性的缓冲时期,最终生效。根据这项法案,所有和美国加利福尼亚州居民有关的商业数据业务行为,都将被纳入监管体系之中。这种监管,将着眼于数据的来源,也就是说,不管相关企业或者公司的地理位置,只要其提供的服务涉及来自加州和纽约州的居民,则公司就必须遵守法律,达到合规标准,否则就会遭到罚款。

这是全球范围仿效欧盟通用数据保护条例(GDPR),推进个人数据和隐私保护的立法实践所取得的最新成效。当然,在联邦制的美国,这部消费者隐私法案,是州级立法机关推出的方案,不是一部联邦级的法案。从内容上看,该法案是比较纯粹的隐私保护条例,试图对个人数据的采集和使用进行有效的规制,重点在于赋予消费者在访问、删除和分享企业收集到的个人数据上以新的权利。

根据CCPA官方网站相关的信息,根据该法案,收集消费者数据的企业必须披露收集的信息、收集信息的商业目的以及会共享这些信息的所有第三方组织和机构。而企业需依据消费者提出的正式要求删除相关信息,如果消费者有这样的需求。此外,消费者可选择出售他们的信息,而企业则不能随意改变价格或服务水平。具体来说,处于该法案保护下的加州居民可以获得对个人数据相关的诸多权利,其中主要包括:数据访问权;数据删除权;不被歧视的权利;在产品页面挂出明显的“不出售个人信息”选项,并披露新的隐私政策;未成年人和监护人授权;私人诉讼权。

除了数据隐私保护这一目的,CCPA 还希望帮助公众了解他们的什么数据会被收集,而且这些数据会被怎样出售或公开。

和GDPR一样,CCPA主要依靠罚款作为工具。相关新闻显示,CCPA罚款机制的触发条件比GDPR稍高一些,但是,一旦触发之后,惩戒的力度,比GDPR更高。

这样一部法律,是全球范围个人数据保护大趋势下的产物;同时,也凸显了当前个人数据保护问题面临的复杂形势:一方面,人们对保护个人数据的必要性和迫切性有着显著的共识;另一方面,如何平衡个人隐私保护、国家安全以及正当的商业发展利益之间的关系,仍然没有有效的解决方案。这种情况,和全球气候变化机制面临的态势具有很强的相似性:都知道需要保护环境,减少二氧化碳排放,但究竟是通过树立所谓“罢课环保”的未成年人来进行政治化的表演,还是建立金融化的碳排放交易机制,又或者是通过有组织的造林来绿化地球,仍然存在显著的分歧,有待找到务实的解决方案。

数据保护的问题也一样,GDPR在欧洲率先出台,某种意义上被看做是欧盟因为自身在互联网产业上的相对劣势导致的“极端化”政策选择;CCPA也有类似的风险,相关新闻显示,根据欧美相关组织的调查,仅有2%的企业做好了准备。如何正确的认识和理解个人数据保护的“初心”,如何避免陷入某种片面强调个人隐私保障的“政治正确”,如何避免陷入某种炫耀性出台“高标准”个人数据保护机制的无畏竞赛,显然是各方都需要考虑的问题。

从人类历史实践来看,技术发展早期导致的冲击是全面而深刻的;同样,在遭遇早期冲击导致的风险和挑战后,“捣毁机器”运动之类的行动,往往成为某种近似本能的反应。从全球范围来看,信息技术高速拓展和大数据时代的来临,也在不同程度上导致了同样的反应:一方面,确实有迹象显示,随着大数据时代的不断发展,用户的隐私遭到侵犯甚至用于不当牟利的情况层出不穷,并且各国有关数据隐私的立法往往跟不上互联网的发展速度;另一方面,迄今为止的实践仍然证明,即使存在这些缺陷和问题,信息技术带来的正面效益,无论是经济繁荣还是社会发展,都远超过其可能带来的负面影响。显而易见的,需要做的,是系统的提升治理能力,实施治理体系的必要变革,立法及其执行,也都应该服从和服务于这种辩证的看法,形成理性的认识。用户数据遭滥用和隐私遭侵犯的现象必须得到纠正,但信息技术和相关的大数据应用不能因此被妖魔化,也没有必要实施极端的一刀切。构建均衡而有效的治理体系,恰如其分的予以企业更多的监管,使用户数据得到适当和必要的保障,应该成为努力的方向。

(编辑:祝乃娟)