互联网发展的“阿喀琉斯之踵”：用户数据保护

　　钱童心

　　【一家曾在2016年帮助特朗普赢得美国总统大选的名为剑桥分析（CambridgeAnalytica）的数据分析公司违规获得了5000万脸书用户的信息。】

　　互联网时代对于用户个人隐私保护的需求日渐突出。无论是在电商平台的购物过程中，还是在微信第三方程序使用时，都有可能牵涉到个人信息的泄露。用户迫切希望掌握自身信息的处置权，以及信息被分享的知情权。

　　由此，用户隐私的担忧也成为了互联网发展大潮中的“阿喀琉斯之踵”。

　　根据腾讯社会研究中心与DCCI互联网数据中心去年联合发布的一份《网络隐私安全及网络欺诈行为研究分析报告》，手机App越界获取个人信息已经成为网络诈骗的主要源头。报告显示，高达96.6%的安卓应用会获取用户手机隐私权，iOS应用的这一比例也接近70%。

　　针对手机软件存在侵犯用户个人隐私的问题，我国工信部信息通信管理局已经约谈了百度、蚂蚁金服、今日头条等企业，要求其进行整改。尽管我国已经出台了《网络安全法》和《电信互联网用户个人信息保护规定》，但截至目前，我国还没有针对公民个人隐私信息的立法。

　　纽约大学互动媒体艺术和商业教授格雷维尔（ChristianGrewell）对第一财经记者表示：“企业对用户数据保护的根本问题取决于第三方挖掘用户数据的成本。”

　　脸书数据泄露敲响警钟

　　今年3月，脸书（Facebook）爆出惊天数据丑闻，一家曾在2016年帮助特朗普赢得美国总统大选的名为剑桥分析（CambridgeAnalytica）的数据分析公司违规获得了5000万脸书用户的信息。

　　脸书的社会影响早已超出了普通科技公司的范畴。现在的互联网巨头往往既是科技公司，也是媒体平台，又是金融公司，掌握着大量底层数据。

　　这起事件经加拿大籍一位名叫怀利（ChristopherWylie）的吹哨人曝光后引起轰动。而这起数据泄露案，也成为史上最大规模的信息泄露案之一。

　　剑桥分析承认，他们通过大数据，掌握了每个用户多达5000个数据点，其中包括他们拥有的汽车、健康状况以及经常浏览哪些媒体等。通过这些数据，以及和向第三方公司购买的数据整合，就能勾勒出网上用户的数字化路径，从而精确地知道每个人的画像。这也意味着过去曾在营销产品或者品牌的广告行业使用的手段，很可能已经被用于更广泛的领域，包括政治和大选。

　　脸书最新的用户信息侵犯事件被曝光，也引起了人们对于数据安全新的担忧。最大的问题是，脸书是否为个人隐私设置了足够高的护栏，来保护用户的信息安全？比如对与用户敏感信息分享的授权，以及对于第三方开发者使用数据的开放性和可见度的授权等。

　　针对上述问题，脸书并未给出具体的回答，其公司仅表示：“已经提升了发现和阻止第三方软件开发者违规行为的能力。”此外，脸书还表示，将不会再让开发者使用脸书的登录工具窥探用户以及用户好友名单的信息。

　　凌驾于规则之上的科技公司

　　美国共和党议员卢比奥（MarcoRubio）表示：“科技公司通常增长速度过快，获得太多正面的媒体报道，他们自负，甚至认为自己可以超越其他人，凌驾于规则之上。”

　　宾州大学数据安全专家桑达尔（ShyamSundar）教授对第一财经记者表示：“谷歌或者脸书这些科技巨头允许第三方开发者通过收集用户信息，并向用户提供精准化的服务或者内容。尽管用户可能越来越希望收到精准的服务或内容的推送，但他们不愿意以牺牲自己隐私为代价。”

　　尽管美国的互联网最为发达，但欧盟在个人用户数据保护方面采取的法律手段最为严苛。继通过了“个人数据保护指令”、“电子通讯数据保护指令”、“互联网隐私保护原则”等法律法规后，欧盟又于今年5月出台了史上最为严厉的《通用数据保护条例》（GDPR），其中明确规定对泄露用户数据的互联网公司的处罚标准，最高将达到其全球营业额的4%。比如脸书2017年年收入约407亿美元，按照4%的比例计算，将缴纳罚金16亿美元。

　　欧盟专员尤罗瓦（VeraJourova）明确表示：“我们不希望看到用户数据泄露的事情发生，因此会采取一切法律手段，包括更加严格的数据监管保护来制止企业滥用数据的行为。”

　　在GDPR出台后，谷歌、脸书这些科技巨头都已经改写了用户政策条款，以符合欧盟数据保护新规。根据GDPR的规则，无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都必须严格遵守该条例。

　　新的GDPR条例要求企业用通俗的语言向用户解释他们是如何收集用户数据的。比如谷歌就用了YouTube的视频来解释他们的理念。GDPR还列出了企业处理用户数据的六种方式，其中包括履行合同义务，或者在以广告为目的的用户信息收集过程中，必须征得用户同意。企业同时被要求给予欧盟用户进入或者删除个人数据的权利；企业还必须告诉用户他们将用户数据保留多久。

　　GDPR难以覆盖全球

　　值得注意的是，GDPR目前仅针对欧盟用户。一些企业将至少一部分欧盟数据保护条例延伸至欧盟之外的用户，但是针对这部分用户，如果涉及GDPR不履行的问题，企业并不会受到惩罚，除非那些市场也将GDPR列入法律框架。但目前来看，近期美国和其他市场并不会跟随欧洲。

　　GDPR推出于脸书的数据丑闻之后，这无疑给脸书施加了压力。脸书创始人CEO扎克伯格在数据泄露丑闻之后的两会作证时已经承诺将在全球范围内都执行欧盟数据监管标准，不过对于具体该如何做仍然采取较为模糊的措词。当被问到美国用户是否能够像欧盟用户享受到同样的数据隐私保护待遇时，扎克伯格回答道：“我目前还不确定我们在美国会怎么做。”

　　事实上，包括谷歌和脸书在内的大大小小的科技公司都已经修改了他们的用户政策条款，不过大部分企业条款的变化并不大，甚至有些模糊和宽泛。谷歌在修改条款时，出现了一个微妙的变化，悄悄将其长期坚持的座右铭“不作恶”（Don’tbeevil）的条款移到了最后一条，提及的次数也明显减少。

　　咨询和技术服务提供商埃森哲建议全球企业，也包括中国公司，尽快在内部制定GDPR合规战略，并对企业运营达标情况展开评估，制定最佳合规解决方案，确保数据处理供应商与合作伙伴安全可靠。

　　小米首席架构师崔宝秋博士此前接受第一财经记者采访时表示：“整个行业都需要全力提升数据安全保护和隐私保护的意识，加大设计和研发时的投入，以加速符合GDPR的要求。”

　　数据分析公司SAS最新的一份调研报告显示，随着GDPR大限到来，只有7%的企业完成了合规，近半数的受访企业表示这一新规将对公司的人工智能相关项目产生重大影响。全球仅有不到一半的企业（49%）表示他们能按期达到GDPR的合规要求。不少小公司由于缺乏资源和指导，仍然处于观望状态。

　　大多数受访企业认为，GDPR将能够提升企业在用户隐私保护方面的数据治理，并且增强企业与客户之间的信任，提升个人数据的质量和企业形象，并建立起由数据驱动的企业管理体系，这些都是GDPR合规带来的好处。

　　SAS资深产品营销经理赖特（ToddWright）对第一财经记者表示：“中国公司，就像世界各地的其他公司一样，如果它们处理欧盟居民的个人数据，那么现在必须遵守GDPR的规则。中国的每个组织都需要进行全面的数据评估，以确定它们在欧盟居民中是否拥有和拥有多少数据。如果它们确实掌握了这些数据，他们将需要采取措施制定企业GDPR计划，其中涉及IT、法律和营销等部门。”