隐私保护风暴将至:中国企业意欲何为

隐私 时间:2018-06-22 浏览:
隐私保护风暴将至:中国企业意欲何为 令国外人心惶惶的《通用数据保护条例》(GDPR),在国内企业中能发挥多大的作用,又是否会将隐私保护的风暴刮至中国互联网企业,成了许多人关心的问题。 ■本报记者 王佳雯 大数据时代无隐私,这已成为许多业内人士深

隐私保护风暴将至:中国企业意欲何为

令国外人心惶惶的《通用数据保护条例》(GDPR),在国内企业中能发挥多大的作用,又是否会将隐私保护风暴刮至中国互联网企业,成了许多人关心的问题。

■本报记者 王佳雯

大数据时代无隐私,这已成为许多业内人士深知的一个事实。一个简单的ID就可以获取一位网民的身份、家庭住址、工作地址、消费能力等信息。比亲人、朋友更了解你,对大数据而言已不是难事。

然而,近日开始正式实施的《通用数据保护条例》(GDPR)无疑为大数据的使用划定了一个界限,套上了一个缰绳。令国外人心惶惶的GDPR,在国内企业中能发挥多大的作用,又是否会将隐私保护的风暴刮至中国互联网企业,成了许多人关心的问题。

联想起此前,扎克伯格忙着为隐私泄露道歉之际,国内百度CEO李彦宏却发表了饱受争议的“中国用户愿用隐私换便利”的观点,不禁让中国网民对国内互联网企业的隐私保护感到担忧与怀疑。只是,在严格的GDPR强势来袭的大环境下,中国企业当真能够隔岸观火吗?

数据为王,界限在哪儿

不久前,武汉举办了一场特别的当代艺术展,艺术家邓玉峰利用他从黑市购买来的34.6万个个人信息,做成了触目惊心的隐私展。虽然展览在两天后便被叫停,但“数据人”在互联网时代毫无隐私的生存状态在展览中表现得淋漓尽致。

有数据显示,2016年中国境内活跃的智能手机已达23.3亿部,截至2018年第一季度已有超过10亿人每月使用中文版或英文版微信,颇受欢迎的短视频App日活用户已经超过1.5亿……

用户在频繁使用智能手机、使用为其提供服务的App时,也在为平台创造海量数据,企业挖掘现实生活中一个个具象个体的精准画像,了解其生活习惯、信息获取喜好,为用户提供更好服务的同时,也能精准推送广告、获取利润。

然而,合理的数据应用与侵犯隐私的界限在哪儿?在掌握了用户数据的互联网企业中讳莫如深的这一话题,是学界十分关注的重点议题,却仍然无法解除“界限模糊不清”的困境。

但如今,在上海交通大学计算机科学与工程系教授朱浩瑾看来,GDPR明确地告诉了人们“界”在哪里。“GDPR要求企业清晰地告诉用户它们采集数据的使用目的。”他说。

GDPR的强势推行,让增加数据使用的透明度成为大势所趋。朱浩瑾发现,国内许多公司获取用户数据时,使用目的并不透明。“大数据的服务,对用户是不透明的,我给企业时是基于A目的,你拿了数据却用于B目的。”

用户对企业商业模式不熟悉,对企业业务流程、范围的了解不深入,为数据挖掘留下了巨大的空间,而在这个空间中,企业是否游走在侵犯用户隐私的边缘,是一个很难理清的话题。

2017年初,DCCI发布的《2016年中国Android手机隐私安全报告》显示,30.2%的安卓手机App越界获取了隐私权限。在《2017年中国Android手机隐私安全报告》中,同样的情况并没有得到显著改善,如投资理财类App越界获取“读取通话记录”“读取信息位置”“访问联系人”,游戏类App越界“获取位置信息”“读取短信记录”“读取设备信息”等现象仍然存在。

上述行为,按照GDPR的要求,显然已经越过了数据合理使用的界线,迈进了侵犯用户隐私的沼泽,而面临巨额罚款。或许有人认为严苛的GDPR画出的这条清晰界线,无法影响国内企业。但按照业内人士的说法,这条线的威慑力不会仅仅被禁锢在欧洲。

避得了一时 避不了一世

其实在专家看来,短期内或许国内企业,特别是没有“出海”的企业仍在一定程度上可以规避触碰GDPR的红线。但从长期来看,对GDPR毫无应对措施的企业,显然是短视的。

国内外频繁爆发的数据泄露事件带来的影响,正在促使用户更多地关注个人隐私保护,用户的隐私保护需求也会推动互联网企业更好地规范自己的数据获取、使用等行为。

“随着用户保护隐私的意识不断提高,那些需要获取个人信息的服务需要提供更加准确、细粒度的权限需求。类似功能的服务之间存在竞争,那些需要过多不必要权限的服务将逐渐失去用户市场。”浙江大学网络空间安全研究中心主任任奎告诉《中国科学报》记者。

GDPR即使无法直接监管中国互联网企业,但专家看到的是它所起到的示范效应。如若外国企业纷纷以GDPR为标准来对自身服务的隐私条款进行调整,在某种程度上也会对国内企业形成强大的推动力,推动其更好地向着为国际同行所接纳的标准靠拢。

事实上,国内有相关业务的企业已经开始做出积极调整。如欧盟地区使用WeChat的用户针对欧盟地区注册的微信用户发布修订的撤销公众号条款称,“当欧盟地区微信用户撤销授权该公众号获取其个人信息时,会以邮件形式告知公众号的注册邮箱删除欧盟用户的信息”,同时,还明确了删除方法,“如果公众号运营者在自己的服务器中存储了以上范围内的用户的信息,需要在三周内,从自己的服务器中删除该用户相关的所有信息,包括用户的昵称、头像以及与该用户关联的服务信息”。

迁延观望还是积极应对?

麒麟合盛(APUS)曾在讨论GDPR时提供了产品经理、工程师和律师共同探讨如何使业务符合GDPR规范问题的一个有趣场景,即合规动作如何通过技术手段实现。但这一场景的深意更是体现出,在GDPR合规上公司所需要承担的额外的人力、物力成本,以及解决问题的复杂程度。

事实上,对于出海的中国企业而言,“观望”是最讨巧的应对办法。但APUS在其官方公号发表的文章中,一语道破了问题的核心所在:假如所有人都选择“敬而远之”的角色,或“藏着掖着”的态度,那么GDPR在国内将会变得越发神秘,GDPR的规则和理念也会变成只有少数人掌握的“珍稀资源”。出海企业对这样的一部外国法律,更加难以实践和落地。

针对GDPR采取应对措施,对于出海中国企业是迫切的现实需求,或许许多其他企业仍心存侥幸,但不正视GDPR已然落地的现实,将来会遇到更大的阻碍。

在朱浩瑾看来,即使是不出海的互联网企业也应当重新思考业务模式和未来走向。“欧洲这样的做法是对的,未来很有可能在大数据隐私这一块,各国政府在出台类似法案时会参考这一条例。”