蔚然成风的隐私保护

2019年10月初发布的《2019全国网民网络安全满意度调查统计报告》显示，这一年里我国网民的网络总体安全感有所提升，个人信息保护成为关注热点，其中网民对个人信息保护和网络平台责任加强立法的诉求再次被拔高。

公安部第三研究所网络安全法律研究中心主任黄道丽曾在演讲中表示，我国在大数据发展和应用方面呈现技术利用程度不高、行业发展不充分、政府监管偏失等不足，尤其在数据安全方面，“个人信息遭受泄露、披露或公开或是被不当使用、非法使用的风险也是相当高。”

“大多数人面对数据滥用、信息泄露时，选择忍耐和消极抵抗。”中国政法大学互联网金融法律研究院院长、中国政法大学大数据与法制研究中心主任李爱君观察到，大部分人收到电话骚扰时选择列入拒接名单或挂掉电话，但在遭受财产损失后，仍有45.15%的受访者没有采取任何维权措施。

2019年9月17日，在国家网络安全周大数据安全分论坛上，中国工程院院士沈昌祥提到，”杀病毒、防火墙、入侵检测的传统’老三样’难以应对人为攻击，且容易被攻击者利用；找漏洞、打补丁的传统思路不利于整体安全。”

“要更多关注隐私政策内容本身。”中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲表示，在大部分人的理解中，现有隐私政策是一揽子、强迫用户同意，粗暴地弹一个窗口问是否同意，不同意就退出。

2019年7月13日，第四届北大互联网法律媒体研讨班上，相关行业专家提出，中国现有的个人信息保护基本法律法规框架总体是分散的，没有统一的个人信息保护法，目前最综合的法规是《网络安全法》，但其中只有几条个人信息保护相关条款，处理此类事件还是依赖部门规章。

长期以来，个人信息保护领域的很多问题尚未有定论，比如个人信息的权属问题、关于征得同意的方式方法问题等等。同时正是因为这些争议，也造成了立法本身的难度增加。

上至监管层，下至千万家，蔚然成风的隐私保护愈加强烈。

千呼万唤始出来

2020年5月25日，十三届全国人大三次会议举行第二次全体会议，在加强重要领域立法方面，工作报告指出，围绕国家安全和社会治理，制定生物安全法、个人信息保护法、数据安全法。

5月28日零点，国家互联网信息办公室发布了《数据安全管理办法》征求意见稿，其中的第二章第十六条规定，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

这是首次对爬虫问题进行了规定。

2020年6月28日，在北京举行的十三届全国人大常委会第二十次会议上，《数据安全法（草案）》初次提请会议审议。

草案的主要内容包括四大方面：确立数据安全保护管理各项基本制度，提升数据安全治理和数据开发利用水平，落实数据活动主体的安全保护义务与责任，建立政务数据安全管理制度和开放利用规则。

捣毁“窝点”不是重点，重点在法律上应明确如何处置违规开展数据活动的行为。同济大学区块链价值互联网创新应用实验室戴文浦表示，“高效且合规的模式，是以区块链贯通全产业链数据，基于整理有效数据集——信息，然后建立信用体系，也就是基于数据信息信用的新型社会治理机制。”

“要想推进人工智能、区块链等技术公司的快速发展，就一定要推进数据的合规发展。”链兴资本创始人张明镜表示，随着国家新基建整体法案的推出，算力和数据作为未来核心生产力被纳入到国家战略的规划中，是未来基础技术赛道的基础。

张明镜提出，“隐私计算+区块链”是数据要素自由流通、价值交换最好的解决方案。“前者能解决隐私保护和交换问题，后者能解决价值流转和审计追溯问题，将二者结合起来，将为很多创业公司提供新的方向。”

在此次的法案中，也多次针对于涉及数据管理运作业务的企业机构进行提示。

例如，草案第二十五条规定，开展数据活动的机构及企业应当建立健全全流程，并定期组织开展数据安全教育培训；该条规则还特别提到，重要数据的处理者应当设立数据安全负责人和管理机构，落实数据安全保护责任。

草案第二十七条则指出，当数据安全出现缺陷、漏洞等风险时，除了要立即采取补救措施，还要及时告知用户，最大程度上降低损失。

草案第二十九条强调，任何组织或个人对于数据的使用不得超过必要的限度。

合理地应用数据这项珍贵的资产，是在企业日常的经营管理中至关重要的一个环节。一方面，要运用先进的技术水平和创新思维将数据价值最大化，另一方面，也要远离触犯个人隐私和数据安全的“红线”。

在草案的基础上，下一步，就是将这条“红线”描绘得更醒目，难以撼动。

路漫漫其修远兮

2019年G20国家数字竞争力指数评价结果表明，中国在G20国家数字竞争力指数排名中位居第二，尤其在数字经济和数字服务方面具有较强的竞争优势，相关指数排名位列G20国家首位。但数字治理与数字安全两项指数的排名却是十名开外。

全国人大代表，中国移动集团公司董事，浙江移动党委书记、董事长、总经理郑杰已经连续两年提出加快制定《数据安全法》的提案，他表示，“数据垄断不利于市场有序竞争”、公共数据的利用存在“不愿”、“不敢”和“不会”共享开放等也是目前存在的问题。此外，国家数据主权未确立，中国在数据跨境流动中处于劣势这个问题也值得关注。

放眼国外可参考的历史经验，早在1974年，美国联邦就制定了《隐私法》，2015年通过的《网络安全信息共享法》进一步规定了个人隐私、自由等私权利的保护；在此基础上，2018年，欧盟在《通用数据保护条例》(GDPR)中，首次明确了数据处理者也需要直接承担合规风险和义务。

郑杰分析，随着各国之间数据资源竞争愈发激烈，“长臂管辖”效应不断扩散，数据主权成为各方博弈的焦点。中国如不确立数据主权，将在数据跨境转移以及国际数据竞争中面临劣势。

产品设计有一个天然的“不可能三角”：廉价、便捷、隐私。

要便宜免费、要保护隐私，这其中有天生矛盾。站在企业的角度，难免喊冤，毕竟消费者所感知到的是个人信息保护外侧的内容，而无论企业花费多少财力去打造数据防护的壁垒，仍然存在被攻击的可能，此时矛头都会直接指向企业的防护措施不当、风控水平不佳上。

特别是对于囊中羞涩的中小企业，难以权衡在数据保护上的花费与成效，无奈之下只好抱着侥幸的心理钻监管的空子。

类似这样的隐性问题又该如何解决？

IDC统计结果表明，全球数据容量从2018年的33ZB到2025年将超过175ZB。我们假设让一个人以25Mb/s的速度去下载这些数据，竟需要整整18亿年。如此庞大的数据体量中，既包含用户个人隐私数据，也包含具有重大商业价值的企业数据和涉及到国家政府安全的机密数据。

多年来，我国的监管层始终像是辛勤的“消防员”，只能在每一次东窗事发后，再去力挽狂澜、起死回生，而实际上，能够未雨绸缪、防患于未然不才是更好的实践途径吗？

有法可依，算是开了一个好头。

数据隐私，这个细思极恐的话题，能否在这一次真正进入“完结篇”，我们拭目以待。

致谢：

感谢链兴资本创始人张明镜，同济大学区块链价值互联网创新应用实验室戴文浦教授，基于本文所接受的采访。

参考文献：

《公安部专家谈大数据安全与政策法规》BDTC前瞻；

《数据安全是大数据行业立法重点》中国经济网；

《中国工程院院士沈昌祥：网络安全“老三样”难以应对网络战》环球网；

《数据安全与个人信息保护的监管趋向》法制网。

作者： 曼卿 来源：亿欧