（阿里巴巴集團）

1 個人信息保護發(fā)展潮流

隨著通用數(shù)據(jù)保護條例（General Data Protection Regulation，GDPR）的正式實施，許多人開始關心個人信息保護以及數(shù)據(jù)安全問題，事實上這個問題從全球來說，經(jīng)濟合作與發(fā)展組織（Organization for Economic Co-operation and Development，OECD）在1980年已經(jīng)提出隱私保護的重要基本原則，甚至更早之前在歐洲共同體（European Community）時代就開始談論隱私保護議題。但是從網(wǎng)絡開始受到人們關注到正式進入商業(yè)應用的階段，隱私保護問題比過往任何一個時間點都更加復雜?！熬W(wǎng)絡經(jīng)濟”（Internet Economy）或“虛擬經(jīng)濟”（Virtual Economy）對很多人來說已經(jīng)不再陌生，在20世紀90年代電子商務興起，2000年之后我們開始談論移動商務及社交經(jīng)濟，但現(xiàn)在我們提到網(wǎng)絡經(jīng)濟或虛擬經(jīng)濟，基本上都用一個名詞：數(shù)字經(jīng)濟（Data Economy），也有人用“數(shù)據(jù)驅(qū)動經(jīng)濟”（Data Driven Economy）來描述當前許多嶄新的商務模式或技術應用，其背后都是基于“大數(shù)據(jù)”（Big Data）發(fā)展的現(xiàn)象。由于網(wǎng)絡本身具備全球化的特性，故而造成數(shù)據(jù)流通的全球化，而數(shù)據(jù)的全球化必然帶來的是業(yè)務的全球化。在全面進入網(wǎng)絡環(huán)境前，數(shù)據(jù)是否被他人取得是非常容易觀察的，但是現(xiàn)在數(shù)據(jù)往往在產(chǎn)生的同時就存在全球化的情形，甚至數(shù)據(jù)主體（Data Subject）本身也沒有意識到個人信息已經(jīng)在全球快速的流通。

目前國際上個人信息保護及數(shù)據(jù)安全的重要潮流，是如何讓法律的規(guī)定跟技術能力能夠連結在一起，讓兩個不同的領域彼此間相互對話。跟傳統(tǒng)的數(shù)據(jù)安全（Data Security）相較，個人信息保護（Personal Data Protection）涉及的部門及人員更加廣泛，企業(yè)內(nèi)部幾乎找不到不需要接觸個人信息的員工，因此隱私保護工作的落實，需要企業(yè)內(nèi)部所有的人共同投入。但對不具備法律背景的員工來說，即便法律規(guī)定無論多么白話、再詳細，看的人如果沒辦法正確理解法律條文，再好的規(guī)定都不能在企業(yè)內(nèi)部落地，所以企業(yè)隱私合規(guī)的首要工作，是建立所謂的隱私意識以及協(xié)助所有人完整理解相關的法律規(guī)范。另一方面，如何讓技術人員也能共同參與隱私保護工作，讓隱私合規(guī)做到線上化、半自動化，甚至是全自動化，提升隱私合規(guī)工作的效率，才能減少人工處理出錯的可能。因此，目前全球都在強調(diào)一件事情，就是“隱私能力”的建設，從技術層面來說，也有人稱為“隱私強化技術”（Privacy Enhancing Technologies, PETs），而相關特定的技術概念，包括數(shù)據(jù)隱私影響評估（Data Privacy Impact Assessment, DPIA）及隱私設計（Privacy by Design）等，被正式放入了GDPR等隱私保護立法之中。

2 個人信息保護統(tǒng)一標準的推動

許多的法律問題例如消費者保護或反壟斷，經(jīng)過長時間的發(fā)展，基本上已經(jīng)有一些國際統(tǒng)一的規(guī)范，但是在個人信息保護領域，反而不容易制定全球性標準。最主要的原因，是個人信息保護問題往往跟一個國家的社會文化、經(jīng)濟環(huán)境，甚至人文、宗教信仰等高度相關，由于各國狀況不同，各國的隱私保護法設計很容易產(chǎn)生差異，所以不容易進一步推動放諸四海皆準的規(guī)定。另一個說明個人信息保護共通標準不易制定的例子是ISO國際標準，ISO/IEC針對數(shù)據(jù)安全管理系統(tǒng)（Information Security Management System, ISMS）制定了一系列的27000文件，其中ISO/IEC 27001作為認證標準（Certification Standard），總共提出133個確認企業(yè)是否符合數(shù)據(jù)安全標準的控制項目（Controls），無論是在哪個國家談論ISMS，它的標準是一致性的；但是在個人信息保護部分，盡管ISO/IEC在2011年針對隱私保護提出了ISO/IEC 29100，但性質(zhì)上只是一套初步的隱私保護框架（Privacy Framework），到目前為止ISO/IEC還沒有提出認證標準及具體的控制項目。

隨著個人信息的重要性日漸提高，如何打造一個全球性的保護標準，反而變成是一項難題。美國聯(lián)邦貿(mào)易委員會（Federal Trade Commission,FTC）跟日本內(nèi)閣個人信息保護辦公室提出的大數(shù)據(jù)分析報告，不約而同地提到兩個重要問題：如何提升隱私強化技術的使用，以及如何規(guī)范數(shù)據(jù)的跨境流通。對隱私強化技術應用來說，隱私保護不是只有看保護兩個字，更重要的是如何促進個人信息的合理利用，如同張衠博士談到的數(shù)據(jù)產(chǎn)權問題，個人信息保護固然重要，但更重要的應當是如何發(fā)揮個人信息本身的價值，如何通過技術的方式來同時兼顧保護與個人信息的合理運用，這是一個當時在美國跟日本都提出來的重要議題。另外，如何規(guī)范數(shù)據(jù)全球性的流動，從當前所處的環(huán)境以及技術條件觀察，可以認為在數(shù)據(jù)產(chǎn)生的時候，就是處于一個全球流動的狀況。過去數(shù)據(jù)是以外觀可見的方式保存，容易管控數(shù)據(jù)的流向，但是今天包括云計算及不斷出現(xiàn)的新興數(shù)字科技，數(shù)據(jù)不再是由數(shù)據(jù)主體主動產(chǎn)生，而是被動生成，并且在我們不知不覺的時候被他人取得并出現(xiàn)全球性流動的情況。今天受益于互聯(lián)網(wǎng)全球化的特性，互聯(lián)網(wǎng)企業(yè)紛紛走向業(yè)務全球化的過程中，如何達成合規(guī)工作的全球落地，也考驗著所有的互聯(lián)網(wǎng)公司。但是目前全球性的共同標準還沒有出現(xiàn)，還停留在區(qū)域組織性或者非強制性的產(chǎn)業(yè)標準，也使得互聯(lián)網(wǎng)企業(yè)的國際隱私合規(guī)推動存在著諸多挑戰(zhàn)。

3 GDPR對互聯(lián)網(wǎng)企業(yè)帶來的挑戰(zhàn)

GDPR為什么受到關注，在國內(nèi)已經(jīng)有非常多的探討，包括非歐盟公司在一定條件下必須適用GDPR，以及出現(xiàn)違法行為時將面臨的巨額罰款（2000萬歐元或以全球營收4%作為罰款，取其高者），都是國內(nèi)企業(yè)對于GPDR感到緊張的原因。但另一個更加關鍵的因素，是企業(yè)并不知道如果要完全符合GDPR的要求，所必須付出的合規(guī)成本將達到多少。現(xiàn)階段GDPR本身仍然有些適用標準未完全明朗，特別是域外效力（Extraterritorial Effects）部分，如果非歐盟企業(yè)（Non-EU Business）對于是否適用GDPR感到不確定，在無法正確評估的前提下，先想到的往往是合規(guī)的成本，而不是可能被罰。另外，即便投入了大量的人力及物力，也不能保證一定可以符合GDPR規(guī)范，這樣的一種狀態(tài)造成人們對GDPR出現(xiàn)如履薄冰的情況。事實上不是只有企業(yè)面臨GDPR的合規(guī)壓力，對歐盟成員國的隱私監(jiān)管機關（Data Protection Authority,DPA）也是，今年1月時歐盟委員會（European Commission）曾經(jīng)指出成員國中只有德國及奧地利配合GDPR要求，完成該國的隱私保護立法的修正，而截至5月25日GDPR正式生效后，仍然有部分歐盟成員國尚未完成實施所有GDPR規(guī)定的準備工作。

GDPR對于互聯(lián)網(wǎng)企業(yè)帶來的影響，有以下出幾點：

（1）受規(guī)范的可能性高

相較于傳統(tǒng)行業(yè)或者以往面對面交易的商業(yè)模式，互聯(lián)網(wǎng)企業(yè)受到GDPR規(guī)范的可能性較高。依據(jù)GDPR的域外效力規(guī)定，非歐盟公司只要鎖定歐盟境內(nèi)的數(shù)據(jù)主體進行商品銷售或服務提供，就會被要求適用GDPR。而且歐盟境內(nèi)的數(shù)據(jù)主體并未區(qū)分是“本國人”或“外國人”，所以中國游客即便短暫停留在歐盟境內(nèi)，理論上也可能被認定為歐盟境內(nèi)的數(shù)據(jù)主體。在網(wǎng)絡隨時隨地可以連結及使用的情況下，互聯(lián)網(wǎng)企業(yè)被認定鎖定歐盟境內(nèi)數(shù)據(jù)主體進行商品銷售或服務提供的可能性一定是高于傳統(tǒng)企業(yè)的。

（2）合規(guī)成本大幅增加

GDPR的嚴格規(guī)范造成企業(yè)合規(guī)的成本大幅增加。根據(jù)Veritas在2017年發(fā)布的調(diào)查數(shù)據(jù)，全球約有86%的企業(yè)擔心未遵守GDPR規(guī)定將對其業(yè)務產(chǎn)生重大影響，其中更有20%企業(yè)覺得未能合規(guī)恐將造成企業(yè)邁向破產(chǎn)之路。Veritas指出平均每家企業(yè)在GDPR合規(guī)上所付出的成本達到了130萬歐元（約為1000萬人民幣），高額成本無形中迫使企業(yè)必須做出選擇，如果GDPR合規(guī)所支出的經(jīng)費將遠高于堅守歐盟市場帶來的收益，企業(yè)就有可能直接放棄歐盟市場，所以已有幾個美國本土的網(wǎng)站，如新聞類的洛杉磯時報（Los Angeles Times）及芝加哥論壇報（Chicago Tribune），以及提供網(wǎng)絡文章保存服務的Instapaper等，在GDPR生效后采取封鎖歐盟地區(qū)用戶的作法。有些網(wǎng)站如Pottery Barn則是不屏蔽，但是拒絕接受來自于歐盟的訂單，這些企業(yè)都是在合規(guī)與否的選擇下，最終決定退出歐盟市場的例子。

（3）影響技術創(chuàng)新與應用

GDPR也被認為可能對新興技術的應用產(chǎn)生影響。舉例來說，GDPR賦予數(shù)據(jù)主體的隱私權利中，有關個人化自主決策（Automated Individual Decision-making）的規(guī)定可能影響了機器學習（Machine Learning）及人工智能（Artificial Intelligence）關聯(lián)技術的應用，而被遺忘權（Right to be Forgotten）則被認為與區(qū)塊鏈（Blockchain）技術的特性產(chǎn)生沖突。區(qū)塊鏈的成功因素在于幾個關鍵性的底層技術，包括：P2P、分布式賬本及數(shù)位簽名，比特幣（Bitcoin）作為最早的區(qū)塊鏈應用模式，就是通過數(shù)字簽名，以數(shù)學演算加密方式設定了比特幣的總量上限（2100萬個），在物以稀為貴的概念下，吸引人們爭相追逐比特幣，也讓一個比特幣曾經(jīng)一度達到兩萬美金的驚人價格。數(shù)字簽名及非對稱式加密算法（Asymmetric Cryptographic Algorithm）確保區(qū)塊上的數(shù)據(jù)的真實性，任何人都無法篡改或修正。在這一特性下，假設用戶要求更正或要求刪除區(qū)塊鏈上的信息，基本上將難以滿足用戶的請求，這也是區(qū)塊鏈技術被認為可能與被遺忘權產(chǎn)生沖突的主要原因。

（4）用戶流失及商譽受損

最后，GDPR的實施也可能造成用戶的大量流失。Facebook在2018年7月25日公布第二季財報，公開表示受到GDPR的影響，歐盟用戶在近二年首次出現(xiàn)負增長情形，其中，日活用戶（Daily Active Users, DAUs）較2018年第一季減少300萬人；月活用戶（Monthly Active Users,MAUs）則較2018年第一季減少100萬人。用戶流失導致企業(yè)的市場價值遭受損害，F(xiàn)acebook公布歐盟用戶下跌情形后，當日股價隨即下跌18.96%，市值減少超過1200億美元（約8200億人民幣）。是將GDPR視為一個發(fā)展的契機、一個危機還是一個阻力，某程度上決定了互聯(lián)網(wǎng)企業(yè)是要持續(xù)擁抱歐盟市場，還是暫時觀望，或者干脆放棄整個歐盟市場。

4 互聯(lián)網(wǎng)企業(yè)如何應對GDPR

互聯(lián)網(wǎng)企業(yè)面臨GDPR帶來的挑戰(zhàn)，可以做些什么，以下3點很重要：

（1）歐盟用戶及歐盟市場的明確界定

許多人是出于避免受到2000萬歐元或全球營收4%的罰款，才關注GDPR。但如果我們自己無法清楚界定是否擁有歐盟用戶的話，是否會遭到歐盟處罰事實上只是一個想象中或假設的問題。但要怎么去界定歐盟用戶，企業(yè)到底有沒有針對歐盟境內(nèi)的數(shù)據(jù)主體進行商品銷售或服務提供？事實上這個問題并不是GDPR生效后才出現(xiàn)，也不是隱私保護領域獨有的議題。從90年代網(wǎng)際網(wǎng)絡進入商業(yè)應用的時候就開始出現(xiàn)了，而其他的法律領域如反壟斷或國際私法，事實上也曾出現(xiàn)相似討論。90年代的時候我們可能以網(wǎng)絡服務器（Server）所在地作為分支機構（Establishment）的判斷標準之一，當時曾將這一概念稱為黃金法則（Golden Rule），但現(xiàn)在進入云計算（Cloud Computing）時代，多數(shù)企業(yè)已無須實際采購網(wǎng)絡服務器，這個判斷標準也很快地不適用于當前的云服務環(huán)境。

可以一并留意的地方則是網(wǎng)站性質(zhì)的明確界定：有沒有鎖定特定用戶進行商品銷售或服務提供，某程度上可以說與“網(wǎng)絡管轄權”判斷問題高度雷同，美國1997年Zippo案曾提出了知名的“滑動測試標準”（Sliding Scale Test）并將網(wǎng)站區(qū)分為三大類型：第一類是絕對商業(yè)性網(wǎng)站，它就是以商品銷售/服務提供為目的，因此認定目標用戶所在地法院有管轄權是毫無爭議的，另一類是單純的資訊提供網(wǎng)站，在不涉及商業(yè)目的下，不能認為網(wǎng)站有鎖定用戶進行商業(yè)活動的意圖，所以用戶所在地法院并不具有管轄權；而第三類則是處在兩者之中的互動性網(wǎng)站，但互動性網(wǎng)站是否具備商業(yè)性質(zhì)，則必須透過個案事實進行認定，并無法一概而論。觀察90年代與當前的網(wǎng)絡環(huán)境，早期的網(wǎng)站是否具備商業(yè)屬性判斷上相對容易，但現(xiàn)今的網(wǎng)站基本上都可以泛稱為Zippo案中的互動性網(wǎng)站，所以滑動測試標準放到今天來看，好像又變成似是而非的觀點。今天有沒有GDPR合規(guī)的必要性，我們無可避免的必須先完整的梳理出有哪些商業(yè)模式，同時在可能的商業(yè)模式下，歐盟是不是會被認定為企業(yè)的目標市場。

（2）技術概念入法及對應的隱私合規(guī)工具開發(fā)

早期的隱私保護立法，可以說就是單純的從法律層面談論如何保護個人信息，但現(xiàn)今的隱私保護立法則是越來越重視技術的重要性，甚至開始將特定的技術概念直接訂入隱私保護立法。例如GDPR所要求的“數(shù)據(jù)隱私影響評估”，最早只是列在ISO/IEC 27005中的產(chǎn)業(yè)標準，2002年美國聯(lián)邦數(shù)據(jù)安全管理法（Federal Information Security Management Act, FISMA）正式將PIA納到法律當中，從數(shù)據(jù)安全立法到隱私保護立法，技術概念現(xiàn)在已經(jīng)變成個人信息保護立法的一個重要趨勢。對于合規(guī)來說應該怎么轉換法律的語言，這也是前面所說的如何讓法律的規(guī)定跟技術能力能夠連結在一起，讓兩個不同的領域彼此間相互的對話，互聯(lián)網(wǎng)企業(yè)是有條件能夠做好這件事情。

（3）個人信息保護與個人信息合理使用的取舍

現(xiàn)階段全世界都面對到的共同問題是個人信息保護與個人信息合理使用的取舍。談數(shù)據(jù)安全、談個人信息保護，絕對不是只有側重在所謂的“保護層面”。如何兼顧個人信息的“合理使用”，也受到了高度關注。談到合理使用法律人經(jīng)常會以另外一部法規(guī)作為對比：著作權法，而著作權本身又可以區(qū)分為著作人格權及著作財產(chǎn)權，兼具人格及財產(chǎn)屬性事實上跟個人信息是相近的，所以個人信息保護立法應不應該有類似于著作權法的合理使用（Fair Use），甚至是“公共領域”（Public Domain）的概念，開始出現(xiàn)許多的討論。但就性質(zhì)來說，個人信息保護跟著作權還是有著本質(zhì)上的差異，著作權本身是一種后天的權利，換句話說，人們必須將腦海中的創(chuàng)意適度地表現(xiàn)出來，才會構成著作權，光只有想法是不夠的。但個人信息被視為是一種與生俱來的權利，這在學術上就產(chǎn)生很多討論，包括它到底是不是一種憲法上的基本權利，還是只是民事上的權利，在民法典上需不需要納入人格權法，以及在財產(chǎn)法體系下又應該如何體現(xiàn)它的價值。

目前國內(nèi)剛好處在東西方隱私文化匯集的當下，從美國的產(chǎn)業(yè)自律思維，到歐盟強調(diào)的立法保護，在今天來看，我們似乎受到了歐盟較大的影響。但在發(fā)展的過程中，如何找到一條適合國內(nèi)的道路，希望能從GDPR對于互聯(lián)網(wǎng)企業(yè)產(chǎn)生的影響中，及互聯(lián)網(wǎng)企業(yè)如何應對產(chǎn)生一些想法。