本文作者：蘇寧金融研究院研究員李加慶

如果你曾經(jīng)受過垃圾電話或者垃圾信息的騷擾，那么很可能你的個(gè)人信息已經(jīng)被賣了。個(gè)人隱私信息，特別是個(gè)人身份、銀行賬號(hào)、人臉/指紋等生物特征信息泄露的危害極大，輕則垃圾短信、垃圾郵件不斷，重則詐騙/栽贓找上門。 

一、你的隱私值多少錢？

據(jù)說幾毛錢就能買到你在外賣平臺(tái)的個(gè)人信息和賬單詳情，不到2元就能拿到你在網(wǎng)上購物的詳情和偏好以及網(wǎng)絡(luò)借貸的信息。

如果有人向你當(dāng)面出價(jià)購買你的基本信息和消費(fèi)記錄等個(gè)人隱私數(shù)據(jù)，多高的價(jià)格你會(huì)同意出售呢？可能再高的價(jià)格也不會(huì)同意吧，甚至出價(jià)越高，越會(huì)讓你感到不安。

在旅游景點(diǎn)或者購物中心等人員密集的地方，經(jīng)常有商家免費(fèi)送禮品，只要留下身份證號(hào)、手機(jī)號(hào)、姓名等信息，或者用微信掃一掃就可以拿走價(jià)值幾元的禮品，這種時(shí)候往往會(huì)看到男女老少趨之若鶩的場(chǎng)景。

很多人態(tài)度上極為關(guān)注隱私，然而在做法上又不那么注重隱私，這個(gè)現(xiàn)象叫做“隱私悖論”。哈佛大學(xué)的研究員Dan Svirsky做過一項(xiàng)調(diào)查，當(dāng)受訪者被直接問及是否愿意將Facebook的個(gè)人資料以50美分到2.5美元不等的價(jià)格出售時(shí)，超過64%的人選擇拒絕。然而，當(dāng)Dan Svirsky改變策略，讓受訪者需要打開一個(gè)新的頁面來確認(rèn)該調(diào)查是否涉及到個(gè)人信息時(shí)，拒絕分享數(shù)據(jù)的人數(shù)下降到40%。

前些天，李開復(fù)的“口誤”捅了企業(yè)數(shù)據(jù)隱私這一敏感話題的馬蜂窩。在全球創(chuàng)業(yè)者峰會(huì)（HICOOL）的一個(gè)演講中，李開復(fù)提到曾經(jīng)在“早期幫助曠視科技尋找了合作伙伴，讓他們拿到了大量人臉數(shù)據(jù)……”。這番話很快引來了熱議，涉事公司很快做了澄清，李開復(fù)本人也隨后在微博做了致歉。

這個(gè)事件很快在網(wǎng)上發(fā)酵，各種關(guān)于人臉識(shí)別應(yīng)用涉及公眾隱私的聲討文章，以及公眾該如何注重隱私的文章，一時(shí)間如雨后春筍般出現(xiàn)。在共情效應(yīng)以及人們回避風(fēng)險(xiǎn)的本能驅(qū)動(dòng)下，每當(dāng)有類似涉及隱私數(shù)據(jù)泄露的話題，公眾對(duì)于隱私問題會(huì)立刻開始重視起來，并且將輿論熱情沖到一個(gè)高峰。

二、隱私無價(jià)，有法律保護(hù)

我們身處一個(gè)數(shù)據(jù)時(shí)代，在我們每一天的生活當(dāng)中，無時(shí)無刻不在與數(shù)據(jù)打交道，大量的數(shù)據(jù)應(yīng)用圍繞著我們?nèi)说男袨樽鑫恼隆脑缟弦槐犙坶_始，我們每個(gè)人都在產(chǎn)生數(shù)據(jù)，早晨的起床時(shí)間、上下班路上騎共享單車去公交地鐵站的位置路線、公交地鐵或者打車出行的行程信息，在公司吃飯點(diǎn)的外賣、飲食習(xí)慣和偏好，以及一整天刷手機(jī)的各種瀏覽Cookie信息等等，這些都是我們的行為產(chǎn)生的數(shù)據(jù)，并且被商家利用起來推送廣告和服務(wù)。

正如我們開頭說的“隱私悖論”，我們大部分人是不愿意出售自己的隱私信息的，諷刺的是，在移動(dòng)互聯(lián)網(wǎng)的今天，我們卻坦然接受各種APP提供的免費(fèi)產(chǎn)品和服務(wù)，同時(shí)免費(fèi)奉上自己的個(gè)人信息，甚至當(dāng)APP要獲取手機(jī)定位權(quán)限、通訊錄權(quán)限、相機(jī)權(quán)限、麥克風(fēng)權(quán)限，甚至讀取手機(jī)已安裝APP信息的權(quán)限的時(shí)候，眼都不眨一下就點(diǎn)擊同意了，更別提APP彈出的冗長(zhǎng)晦澀的《用戶協(xié)議和隱私保護(hù)協(xié)議》，閱讀是不可能閱讀的，這輩子都不可能閱讀的。

移動(dòng)互聯(lián)網(wǎng)時(shí)代，每天的生活都要跟各種APP產(chǎn)品打交道，想要做到完全隱私，根本不可能，除非不用互聯(lián)網(wǎng)和智能手機(jī)。在數(shù)據(jù)經(jīng)濟(jì)時(shí)代，單靠個(gè)人的謹(jǐn)慎是很難做到隱私保護(hù)的，也不能因噎廢食回到?jīng)]有互聯(lián)網(wǎng)的舊時(shí)代，隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)深度融合，數(shù)據(jù)即“石油”，數(shù)據(jù)也成為很多企業(yè)發(fā)展的基礎(chǔ)。

一條條的數(shù)據(jù)可能會(huì)被標(biāo)上價(jià)格在黑市賤賣，而個(gè)人的隱私卻是無價(jià)的，現(xiàn)在隱私數(shù)據(jù)被濫用的“代價(jià)”也的確很高。個(gè)人隱私的保護(hù)還得依賴法律法規(guī)和監(jiān)管，隨著2018年歐洲GDPR的出臺(tái)，企業(yè)不得不正視公司運(yùn)營(yíng)涉及的公眾隱私數(shù)據(jù)，如果管理不善可能帶來巨額罰款。

美國(guó)政府和歐盟監(jiān)管機(jī)構(gòu)已經(jīng)對(duì)互聯(lián)網(wǎng)公司侵犯隱私權(quán)的行為進(jìn)行調(diào)查，美國(guó)聯(lián)邦貿(mào)易委員對(duì)Facebook包括“英國(guó)劍橋分析公司事件”在內(nèi)的侵犯隱私行為開出了50億美元的罰款單，創(chuàng)造了美國(guó)政府機(jī)構(gòu)企業(yè)罰款的歷史最高紀(jì)錄。

GDPR是歐洲通用數(shù)據(jù)保護(hù)條例的簡(jiǎn)稱，出臺(tái)兩年多，現(xiàn)在已經(jīng)是數(shù)據(jù)各行各業(yè)無法繞開的隱私管理規(guī)范和準(zhǔn)則。GDPR的目標(biāo)是保護(hù)歐盟公民免受隱私和數(shù)據(jù)泄露的影響。世界各地的公司，無論在地球上哪個(gè)地方進(jìn)行公司數(shù)據(jù)存儲(chǔ)和處理，只要在歐盟成員國(guó)境內(nèi)開展業(yè)務(wù)，就必須保護(hù)歐盟成員國(guó)民眾的個(gè)人資料與隱私，就算公司業(yè)務(wù)范圍不在歐盟境內(nèi)，但只要公司有任何來自歐盟成員國(guó)的客戶，也必須遵守GDPR。

GPPR保護(hù)的范圍至少包括與你相關(guān)的以下類型的隱私數(shù)據(jù)：

基本的身份信息，如姓名、年齡、家庭地址和身份證號(hào)碼等；

網(wǎng)絡(luò)數(shù)據(jù)，如定位信息、IP地址、瀏覽器Cookie數(shù)據(jù)等；

醫(yī)療健康數(shù)據(jù)；

生物識(shí)別數(shù)據(jù)，如人臉、指紋、虹膜等；

種族或民族數(shù)據(jù)；

政治觀點(diǎn)；

性取向。

國(guó)內(nèi)對(duì)數(shù)據(jù)安全與隱私保護(hù)的重視程度也逐漸向國(guó)際接軌，在2020年4月國(guó)務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》中，數(shù)據(jù)被納入生產(chǎn)要素的范疇，《意見》還提到要“加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)”。

今年6月28日，第十三屆全國(guó)人大常委會(huì)第二十次會(huì)議審議了《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》（簡(jiǎn)稱《數(shù)據(jù)安全法》）并隨后面向社會(huì)征求了意見?！稊?shù)據(jù)安全法》強(qiáng)調(diào)總體國(guó)家安全觀，對(duì)國(guó)家利益、公共利益和個(gè)人、組織合法權(quán)益的全面保護(hù)。數(shù)據(jù)安全已成為事關(guān)國(guó)家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大議題。

相較于《數(shù)據(jù)安全法》更關(guān)注數(shù)據(jù)安全對(duì)于國(guó)家安全的意義，即將在2020年10月1日實(shí)施的GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（簡(jiǎn)稱《規(guī)范》）則更側(cè)重于對(duì)個(gè)人信息、隱私等涉及公民自身安全的保護(hù)，它是對(duì)2018年開始實(shí)施的GB/T35273-2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的修訂，除了對(duì)個(gè)人信息的收集、儲(chǔ)存和使用做了明確的規(guī)定，還將重點(diǎn)打擊APP的“強(qiáng)制索權(quán)、捆綁授權(quán)、過度索權(quán)、超范圍收集”等現(xiàn)象。

其實(shí)，關(guān)于隱私立法早已有之，只不過在數(shù)字時(shí)代之前，隱私數(shù)據(jù)問題不突出，相關(guān)的法律體系還不成熟。歐洲國(guó)家最早開始重視隱私的保護(hù)，隨著國(guó)際化和互聯(lián)網(wǎng)技術(shù)的發(fā)展，歐盟對(duì)于隱私保護(hù)的強(qiáng)烈需求成為世界隱私保護(hù)的主要推手，GDPR將隱私保護(hù)推到了一個(gè)前所未有的高度，目前已經(jīng)有近百個(gè)國(guó)家和地區(qū)制定了關(guān)于隱私保護(hù)的法律。

三、隱私安全：“達(dá)摩克利斯之劍”

從GPPR屢屢開出的巨額罰單，到李開復(fù)的“口誤”道歉風(fēng)波，無不暗示了當(dāng)下隱私安全已經(jīng)成為懸在企業(yè)頭上的“達(dá)摩克利斯之劍”。隨著大眾不斷覺醒的個(gè)人信息保護(hù)意識(shí)，隱私保護(hù)已經(jīng)不是企業(yè)做不做的問題，而是如何做和怎么做好的問題。

人工智能、大數(shù)據(jù)、云計(jì)算和5G等新興科技的發(fā)展正在推動(dòng)很多企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型，數(shù)字化轉(zhuǎn)型既帶來機(jī)遇也帶來挑戰(zhàn)，隱私保護(hù)便是企業(yè)數(shù)字化轉(zhuǎn)型之路上最嚴(yán)峻的挑戰(zhàn)。隱私保護(hù)不力將會(huì)給企業(yè)帶來巨大損失，輕則產(chǎn)品下架整改、名譽(yù)受損，重則顛覆既有商業(yè)模式，甚至導(dǎo)致企業(yè)主要負(fù)責(zé)人承擔(dān)刑事責(zé)任。前不久，工信部便下架了23款A(yù)PP，原因是侵害用戶權(quán)益，且未按要求完成整改。

從今年開始，對(duì)于侵害用戶隱私權(quán)益的打擊力度是空前的。自從工信部去年11月份發(fā)布《開展APP侵害用戶權(quán)益專項(xiàng)整治工作的通知》以來，已經(jīng)通報(bào)下架數(shù)批侵害用戶權(quán)益的APP，具體下架APP的名單在工信部網(wǎng)站上均可以查到。目前，工信部每月開展常態(tài)化APP抽查，這些APP主要在四個(gè)方面受到工信部的審查和整治：

違規(guī)收集用戶個(gè)人信息；

違規(guī)使用用戶個(gè)人信息；

不合理索取用戶權(quán)限；

為用戶賬號(hào)注銷設(shè)置障礙。

APP是獲取用戶最直接的入口，從對(duì)APP的整治力度可以看出目前國(guó)家層面對(duì)于數(shù)據(jù)安全以及用戶隱私數(shù)據(jù)的監(jiān)管逐漸趨嚴(yán)，從國(guó)內(nèi)國(guó)外看，這也是整個(gè)數(shù)據(jù)產(chǎn)業(yè)的大趨勢(shì)。企業(yè)作為數(shù)據(jù)的收集方、使用方、存儲(chǔ)方，隱私保護(hù)當(dāng)仁不讓的責(zé)任主體，為了適應(yīng)監(jiān)管，為將來的發(fā)展?jié)M足合規(guī)要求，企業(yè)必須提高自身的隱私風(fēng)險(xiǎn)管理能力。

四、隱私風(fēng)險(xiǎn)管理

有人將隱私問題歸罪于技術(shù)，認(rèn)為是人工智能、大數(shù)據(jù)等新技術(shù)創(chuàng)新帶來了隱私泄露、濫用等問題，持這樣觀點(diǎn)的人認(rèn)為解決隱私問題需要從限制技術(shù)的使用入手。這樣的觀點(diǎn)是很正常的，然而從歷史的進(jìn)程中我們發(fā)現(xiàn)，技術(shù)的創(chuàng)新和更迭是一個(gè)不斷自我完善的過程。汽車剛出現(xiàn)的時(shí)候，經(jīng)常出現(xiàn)安全事故造成人員傷亡，但是人類并沒有放棄這項(xiàng)技術(shù)，而是通過安全氣囊、紅綠燈、斑馬線、交通法規(guī)等技術(shù)和管理上的創(chuàng)新，來規(guī)避風(fēng)險(xiǎn)和減少傷亡事故。

人工智能和大數(shù)據(jù)等技術(shù)創(chuàng)新與隱私保護(hù)并非硬幣的兩面，不是對(duì)立的關(guān)系，只不過新技術(shù)的推動(dòng)將以前的隱私問題從線下搬到了線上，如果回到十幾年前來說隱私問題，你想到的關(guān)鍵詞可能是偷窺、狗仔隊(duì)等等，現(xiàn)在說隱私問題，關(guān)鍵詞變成了數(shù)據(jù)：定位數(shù)據(jù)、消費(fèi)數(shù)據(jù)、生物特征數(shù)據(jù)、瀏覽器Cookie數(shù)據(jù)等等。

隱私安全問題恰恰反映技術(shù)創(chuàng)新和管理創(chuàng)新的不足。新技術(shù)時(shí)代，我們對(duì)于隱私問題的認(rèn)識(shí)不能停留在以前，不可能通過捂著藏著來解決隱私問題，我們也不需要回到?jīng)]有互聯(lián)網(wǎng)的舊時(shí)代?，F(xiàn)在新技術(shù)的創(chuàng)新也正在隱私保護(hù)的路上不斷探索。

技術(shù)的創(chuàng)新和迭代需要時(shí)間，隱私保護(hù)還需要從管理上進(jìn)行創(chuàng)新，對(duì)于企業(yè)來說，隱私風(fēng)險(xiǎn)管理其實(shí)就是隱私合規(guī)風(fēng)險(xiǎn)管理，企業(yè)需要將隱私風(fēng)險(xiǎn)管理納入企業(yè)的風(fēng)險(xiǎn)管理框架中，以提升企業(yè)的全面風(fēng)險(xiǎn)管理能力。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)（NIST）在今年年初發(fā)布了一個(gè)針對(duì)隱私風(fēng)險(xiǎn)管理的框架：《NIST隱私框架：通過企業(yè)風(fēng)險(xiǎn)管理來提升隱私的工具》。該框架不是法律也不是標(biāo)準(zhǔn)，它定位為一個(gè)用于企業(yè)隱私風(fēng)險(xiǎn)管理的工具，旨在幫助企業(yè)定義隱私目標(biāo)，識(shí)別隱私風(fēng)險(xiǎn)，優(yōu)化個(gè)人信息的使用，同時(shí)限制侵犯隱私的行為。該隱私框架可適用于各種規(guī)模的企業(yè)，不局限于特定的技術(shù)、行業(yè)、法律或司法管轄區(qū)域，框架通過采用比較通用的方法（即適用于企業(yè)數(shù)據(jù)處理生態(tài)系統(tǒng)中的各種角色）來幫助企業(yè)進(jìn)行隱私風(fēng)險(xiǎn)管理，比如：

對(duì)于影響個(gè)人的系統(tǒng)、產(chǎn)品、服務(wù)，在設(shè)計(jì)和部署時(shí)將隱私考慮在內(nèi)；

對(duì)于隱私的實(shí)踐進(jìn)行溝通；

鼓勵(lì)企業(yè)各類人員（比如高管、法務(wù)和信息技術(shù)人員）在配置開發(fā)、實(shí)施層級(jí)選擇以及成果實(shí)現(xiàn)的過程中進(jìn)行協(xié)作。

該隱私框架分為三個(gè)部分：核心、配置以及實(shí)施層，每個(gè)部分通過業(yè)務(wù)或任務(wù)驅(qū)動(dòng)、組織角色和責(zé)任以及隱私保護(hù)活動(dòng)之間的聯(lián)系來加強(qiáng)企業(yè)對(duì)于隱私風(fēng)險(xiǎn)的管理。通過溝通和協(xié)作機(jī)制，來加強(qiáng)企業(yè)的隱私管理流程與問責(zé)。

隱私是一個(gè)發(fā)展的概念，隱私的定義不是一成不變的，隱私始終在隨著社會(huì)的進(jìn)步而不斷發(fā)生變化。不同的技術(shù)發(fā)展階段，隱私的內(nèi)容和形式不相同，對(duì)于隱私保護(hù)的方法也不同。隨著技術(shù)手段和管理模式的不斷創(chuàng)新，相信對(duì)于隱私的保護(hù)也越來越完善，企業(yè)也只有緊跟潮流，積極主動(dòng)做好隱私風(fēng)險(xiǎn)管理，才能在“達(dá)摩克利斯劍”之下安然無恙。

本文作者：蘇寧金融研究院研究員李加慶