用户隐私保护现状

1. 介绍

随着全球信息化建设的不断推进和日益增长的互联网应用，使我国社会的政治、经济、文化、科技等领域发生了深刻的变化。给人民的生活带来了极大便利。数字驱动技术如机器人技术、人工智能 AI、量子计算和纳米技术通过赋予科学力量，支持创新并推动经济增长。然而，尽管这些技术在许多方面推动了社会的进展，但这种转变也带来了我国当前应对的各种挑战。

如今，由于各种原因，大量的个人数据被收集，使用，进行复杂的基础处理和分析，甚至转移给第三方组织。这种趋势在成倍增长。然而在推动社会发展和技术变革的同时，这种趋势也向企业和个人的信息保护提出了新的挑战。尤其是云计算等新技术大规模的运用，大量互联网企业开始采用更先进的数据分析工具对个人数据进行剖析，全面刺激了对个人信息的搜集、分析以及循环应用。个人信息在被各类应用挖掘和利用的同时，信息泄露所引发的侵权、欺诈等犯罪行为日益严重。个人信息泄露已经为全社会造成了巨大的损失，严重影响了社会的安定。

2. 典型隐私泄漏案例

2008 年，Facebook 被爆料出将 8700 万用户信息数据分享给剑桥分析公司用于进行政治用途。可能直接影响了当年英国脱欧以及 2016 年美国总统的大选。通过此次事件，我们发现，在云应用或云服务供应商与业务伙伴交换用户隐私信息之前，很可能忽略了对数据接收者的应有的隐私数据识别和完全的合规调查。这些“从不发生”的隐私泄露事件频繁发生，每一次都可能以灾难告终。这意味着用户隐私信息的泄露已不再是简单的经济问题，可能演变成重大的政治事件、经济事件、科技事件等多重深层次问题。

随着人们在生活中接触并使用越来越多的智能设备和传感器，不少人开始因为生活的便捷而忽视了对个人隐私的关注。这就是我们今天讨论的隐私保护越来越困难的原因。很多人都说隐私已死（最著名的观点是来自 20 世纪 Sun Microsystems 公司的 Scott McNealy 发表的“您毫无隐私，克服它”）。同样的现状也发生在中国，根据中国消费者协会 2018 年的一项调查发现，有 85％ 的消费者经历了某种形式的个人数据泄露。2018 年在北京举行的中国高层发展论坛上，某知名企业 CEO 在提及关于用户数据和隐私问题时公开表示“中国人对隐私问题态度更加开放，也相对没有那么敏感。他们愿意用隐私交换便捷性，企业可以利用这些隐私做一些事情”。该事件说明当今社会企业利用个人的隐私数据转化成企业的商业利益已成为社会常态。

在过去的一年内，中国发生了多起隐私泄漏事件，包括但不限于：

1. 2 月某 AI 安防企业泄露 250 万人的人脸数据
2. 国内多家企业的 MongoDB 和 ElasticSearch 服务器因暴露泄露 5.9 亿份简历，
3. 9月国内医疗 PACS 服务器泄露涉及中国近 28 万条患者记录。

据不完全统计，过去一年内信息泄漏最多的种类依然是个人基本隐私信息、收入信息、医疗敏感信息为主。泄漏的信息包括姓名、住址、出生日期、身份证件号码和电话号码等。同时大数据 AI 智能应用的广泛推广也引起黑客对新的敏感隐私信息种类的关注，例如生物识别敏感信息。

3. 全球及区域法律法规隐私监管要求

对于个人隐私的保护各个国家有自己独特的主张和理解，所对应的法律法规也有所不同。对于大多数人来说，“个人信息”是指诸如社会保险号，帐号以及他们独有的其他信息之类的信息。然而，这种关注范围太狭窄。各种来源的数据聚集和关联使得越来越多的可能将匿名信息链接到特定个人，并推断有关他们的特征。今天，越来越多的数据有可能成为个人信息，即唯一地识别个体。很少有法律或法规解决这一新现实。

美国在 1974 年制定了《隐私法》，从行政的角度出发，对政府应当如何搜集资料、资料如何保管、资料的开放程度等作了系统的规定。1986 年美国也通过了《联邦电子通讯隐私法》，禁止截取电子通讯的行为。此外，2000 年 4 月 21 日，《儿童网络隐私保护法》也在美国正式生效。这部法律旨在保护儿童网络隐私，是美国进入网络时代的第一部有关保护个人网络隐私的正式联邦法律。尽管美国出台了多个隐私法案，但由于国内各大企业的商业要求，美国一直对个人数据持积极利用的态度，数据保护的法律规定较为宽松。坚持以市场为主导、以行业自律为主要手段，美国政府至今没有出台全面的联邦数据隐私法。

而欧洲早在 1973 年，由瑞典制定了带有保护隐私权性质的《数据法》，并且成立了“瑞典数据监督局”。1995 年，欧盟发布了《关于个人数据处理保护与自由流动指令》，将所有欧盟国家纳入了隐私保护的范围。欧洲乃至全球最重要的隐私法案出现在 2018 年 5 月 25 日启用的欧盟《通用数据保护条例》(GDPR)。该条例目前已经影响了在欧盟设立机构的企业或者向欧盟境内提供产品和服务的各国企业。条例要求这类企业在处理欧盟数据主体的个人数据时都应当遵从该要求。截止至 2020 年 1 月，该条例所罚的企业罚金总和已经超过1亿欧元，其中谷歌和 Facebook 均因为泄露用户隐私而收到了来自欧盟 GDPR 委员会的天价罚款。

近年来，我国的隐私保护法案发展较晚。随着对隐私保护的不断重视，我国不断完善对个人隐私信息的各类保护法案。中国隐私保护法案建立的历程从 2009 年《中华人民共和国刑法修正案》第 7 条针对个人信息犯罪做了规定开始。然后是《民法总则》中明确规定自然人的个人信息受到法律保护。接下来在《刑法》中详细规定了对违反国家规定，向他人提供公民个人信息，情节严重的，将受到刑事处罚。2017 年 6 月 1 日正式实行的《网络安全法》，首次成体系地从法律层面对个人数据保护的相关规则进行了梳理和确认。在 2018 年 5 月 1 日起我国通过《个人信息安全规范》对个人信息进行了迄今为止最为详细的定义，即以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。同时该规范对个人信息收集、保存、使用、流转等环节提出具体要求，填补了实践标准的空白。2019 年 1 月，中央网信办、工信部、公安部和市场监管总局宣布开展 App 违法违规收集使用个人信息专项治理行动，并建立了个人信息保护的长效监管机制。

4. 隐私保护现状、调研报告结论

在中国，相当多的情况下会使用私人信息，包括预订机票或火车票，在酒店办理登机手续，从银行获得信用卡，购买保险产品或去医院等。在这些过程中，很可能会公开和收集个人信息。在某些情况下，收集的信息可能会被非法用于保险电话销售，广告甚至电信欺诈等活动。

隐私保护问题给中国政府带来了巨大挑战。当今社会数据隐私的侵权行为相当严重，不仅体现在数据隐私侵权的数量占比，同时还表现出信息数据的商业利益化的趋势。由于企业对隐私保护的意识不足，企业在享受数字化经济带来的红利时，往往忽视了对个体隐私的保护。尤其在接受GDPR条例方面，相比中国政府和美国企业，中国的企业的行动有所滞后。除了少数几家大企业外，大多数中国企业还没真正开始行动。

另外，我国已基本形成在法律法规层面对个人隐私权的保护体系，尽管相关的法律法规仍然分散。没有采取足够的技术手段进行保护，为信息数据的商业市场买卖提供了市场。但各行业对隐私保护已经开始重视。无论将来中国对隐私保护的要求是什么，总体趋势是隐私保护越来越严格。肯定会要求公司和组织满足这些保护要求。