11月30日,万豪集团对外公布,喜达屋旗下酒店的客房预订数据库被黑客入侵,在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。此前中国的华住酒店集团也卷入了“数据泄露”风波。
业界认为,对于数据隐私和保护来说,2018年是灰色的一年。随着人工智能、区块链、大数据等业务浸入每个普通人的生活,新技术与传统社会秩序之间的适应性问题日益突出。
这也是全球范围数据治理面临的挑战:如何在促进以大数据为要素的技术产业创新的同时,又能保护好个人数据权利,保障好国家数据安全。
12月3日,在深圳举行的第七届北大-斯坦福互联网法律与公共政策研讨会上,“大数据保护和隐私安全”成为来自全球30多位专家学者共议的话题。
与会专家认为, 数据治理需要精细化设计政策,促进监管干预、技术路径和市场动机等因素充分互动。
数据保护灰色年
腾讯研究院资深专家王融表示,之所以称2018年是数据保护灰色之年,是因为接踵而至的负面消息与挑战。
挑战主要来自四个方面。其一是数据泄露事件一直在发生,而且规模越来越大,“今年的数据泄露都是亿级以上,如万豪集团事件;其二是数据滥用,如影响很大的Facebook事件;其三是数据歧视,国内不断爆出的大数据杀熟事件(指同样的商品或服务,老客户得到的价格反而比新客户要贵出许多的现象);四是执法部门对数据的跨境获取,比如美国今年出台了Cloud法案(海外数据使用权明确法)。
通常而言,数据治理有产业视角、个体视角和国家视角三个不同维度。国家视角强调数字经济竞争力和跨境数据流动安全,从个体来说强调个人权利保护,产业视角则强调技术创新和商业模式、平台数据开放和数据竞争。
由于各国对待隐私和数据保护上有不同的标准、视角和做法,目前数据治理尚未达成共识,各方仍存在较多分歧。“这些问题曝光之后,我们目前并没有找到特别清晰的思路。”王融说。
不过,2018年,无论是中国、美国还是欧盟,都在数据治理方面有了一些新进展。中国社会科学院法学研究所研究员周汉华介绍,个人信息的保护学术界呼吁了15年以上,最近两年好消息不断。
“今年发布的‘十三五’立法规划把《个人信息保护法》以及《数据安全法》列入一类计划,民法总则虽然没有用个人信息权的概念,但是实际上已经隐含了这个意思,同时民法总则也涉及隐私权和名誉权。”周汉华说。
他同时表示,目前个人数据的观念仍然在形成的初期,它和个人信息到底是什么关系,目前还是在磨合,不同的主体对个人数据观念的接受度也不尽相同。
中国以外,2018年在数据保护方面动作大的应该是欧洲。欧盟的《一般数据保护条例(GDPR)》,是目前覆盖面广的数据隐私保护法规,规定了企业在对用户的数据收集、存储、保护和使用时新的标准;对于自身的数据,也给了用户更大处理权。这个法案于今年5月25日生效。
各国立法实践和产业影响
在研讨会上,产业界讨论最集中的还是欧盟的GDPR(《通用数据保护条例》)。事实上2018年以来,产业界和学术界关于这份被称为最严数据保护法案的讨论一直没停歇过。一些企业也是风声鹤唳,包括推特、Facebook和谷歌等美国互联网巨头公司都在欧盟遭遇过多项用户隐私相关的调查。有观点认为,GDPR一定程度上影响了欧盟的科技产业创新。
根据GDPR规定,任何企业违反信息跨境流动要求和未经信息主体许可的收集、处理等行为,大处罚额可达到2000万欧元或者当年全球收营业额的4%,且二者取较高值。
王融对此持赞同观点。在他看来,GDPR对个人权利的保护做到了极致,引入了非常强大的权利体系,对整体产业所有的环节建立了非常严格的规则,引导大小公司在数据合规上面投入了更加多的力量和资源。在全球范围内,在GDPR出台之后到正式生效的两年过渡期内,整个行业为数据保护的合规投入了大量的资源,从实际效果来看,企业数据处理的透明度在增加。
“但是也要看到,GDPR的域外适用性,对深度学习、神经网络学习提出了更多的挑战,对AI的发展也起到了一定的抑制作用。”王融说。
探恪软件科技有限公司合规负责人Isabelle Hajjar也在研讨会上提及GDPR对产业的负面影响。她表示,GDPR的本意是实现更加公平的竞争环境,但却产生了适得其反的效果,合规成本将中小企业置于不利地位,反倒对大型互联网公司更为有利。而且,GDPR的制定已经对人工智能、区块链产生负面影响,比如数据最小化、匿名化与AI需要巨量的数据相冲突,解释权虽然没有规定在GDPR条文中,但也难适用于人工智能系统。此外,区块链交易的不可逆性、不可篡改性等直接与被遗忘权、更改权相悖。物联网、量子计算等也是法律的制定者未来需要思考、解决的问题。
对于美国的立法实践,斯坦福大学胡佛研究所研究员Andrew Grotto介绍,美国现在对于个人信息的保护越来越重视,相关法律法规越来越多,规管的整个架构也更加明确。中国现在也是沿着这个方向在努力。
目前美国有一部综合的、范围覆盖广泛的隐私法。 Andrew Grotto建议,大法在实践中可能并不那么有效,不如把它变成很多的小法,每个行业制定一部隐私法来规管这个行业,“这个行业的隐私要求和另外一个行业是不一样的”。
中国的数据治理也在趋严。2018年,有知名大数据公司因侵犯公民信息被判刑。有报道称,最近四年,全国法院公开宣判的公民个人信息犯罪案件超过2000件以上。
据21世纪经济报道记者了解,在2015年创业风口上成立的一批以数据交易为主业的大数据公司,很多已转型。一位已转型到芯片领域的前北京大数据公司负责人告诉21世纪经济报道记者,目前行业规范了很多,很多做数据交易的小公司都消失了,或者不再做数据业务了。
相关阅读: