数据保护促商业模式生变

姚尧

数据保护与产业创新看似矛盾，其实可以保持“动态平衡”。

6月28日，中国社科院发布的《中国新媒体发展报告（2018）》新媒体蓝皮书显示，去年我国数字经济规模已达27.2万亿元，占GDP超过三成，规模居世界第二。但喜人数据的背后却是数字经济的根本保障——数据保护与行业创新间的矛盾争议一直都在。

5月25日，由欧盟委员会制定的《通用数据保护条例》（简称GDPR）正式实施。这部被称为“史上最严数据保护法”因其管辖范围之广、惩罚力度之大备受瞩目。深圳市通信学会秘书长李银松告诉《中国经济信息》记者：“该法极有可能面临阻力，甚至迟滞推进，但我国完全可以借鉴欧盟的‘规范和美国的‘平衡，达到相对‘动态平衡状态，才有利于经济长久繁荣和社会长远发展。”

GDPR声震全球

维克托·迈尔·舍恩伯被认为是“大数据时代预言家”。早在2012年，他就表示：“大数据时代可能给人类带来灾害。”此后，欧盟正式起草了GDPR，并通过4年的商讨，于2016年4月14日通过了该法。其生效后，即刻对Google和Facebook提起诉讼，并可能对他们分别开出39亿欧元和37亿欧元巨额罚单，声震全球。

据知识产权方面专家分析，GDPR的影响力主要体现在两个方面，一是GDPR采用了类似于美国长臂管辖的法律模式，不仅仅限于欧盟企业，而是将执法边界延伸到了所有收集欧盟公民信息的企业，对互联网产业相对发达的中美两国企业影响尤甚。二是GDPR对违法者设置重责，即被判违法的公司需要支付罚款，数额相当于其全球营业额4%。

其实，我国法律、科技界人士也早已意识到数据保护的问题。根据《中国网民权益保护调查报告（2017）》显示，我国60%的网民认为个人信息泄露严重，77%的网民亲身感受到个人信息泄露带来的诸多不良影响。而在2018年，知名社交媒体企业Facebook就曾被曝光，泄露了约5000万名用户的个人资料，致使Facebook的市值在一天内蒸发约60亿美元。

GDPR正是希望通过法律手段向数据安全问题“Say No”。以“个人数据”一词为例，以前往往将姓名、照片、电子邮件地址、电话号码、实际地址或个人身份证号码（如银行帐号或社会安全号码）定义为个人数据。但GDPR将其扩大为包括“已确定”和“可识别”的数据。这将包括位置数据、移动设备ID以及某些情况下的IP地址。此外，健康、宗教信仰、政治观点、性取向等更是被GDPR列为高度敏感、重点保护的个人数据。

据某国际知名机构的研究报告显示，GDPR是“近20年来数据隐私规则领域发生的最重要变化”。因为GDPR要求数据供应链的各方（包括数据的收集者、存储者、使用者、处理者）责任共担，共同承担合规风险和义务。

除了前述有可能被开出巨额罚单的美国企业外，中国企业也深受该法影响。据了解，华为、腾讯、高德地图、国航、海尔等企业的网络平台最近都更新了各自的用户隐私条款。阿里巴巴旗下全球速卖通、微信海外版、新浪微博国际版等与欧洲市场关联紧密的互联网平台，也纷纷向欧洲区用户请求重新授权。腾讯曾表示，更新到5.0及以上版本的QQ国际版可继续使用，旧版本则在5月20日停止使用。

争议一直都在

近年来，大数据在广告、金融、医疗、出行、人工智能等领域的广泛应用，不仅推动了政府、企业、社会组织等的数字化转型，也使人们的生活变得更加智能化、便捷化。据预测，中国大数据产业市场未来5年内，仍将保持高速增长，到2020年，大数据产业规模将接近5万亿元。但维克托·迈尔·舍恩伯也指出：“数字化记忆加深了信息富民和信息贫民之间已经存在的鸿沟，进一步增强了权力的倾斜。”

GDPR规定了数据的被遗忘权和可携带权，即用户可以要求公司清除其个人数据，并禁止第三方获取这些数据；用户也可以带着他们的数据转移去不同的服务提供商。但在李银松看来，这是当下比较难做到的。

被遗忘权类似于我国网络安全法确定的删除权，但本质上却不甚相同；数据可携带权更是非常大胆突破了数据利用的商业界限。但实际上，被遗忘权和数据可携带权的使用不可能是无限制的，在具体适用时，仍然要参考公共利益、数据迁移成本等。此外，GDPR还要求网络服务提供者要响应数据主体的访问请求，欧盟居民有权要求查阅公司收集的个人信息；用户可以要求删除、纠正个人信息，甚至可以要求以文件的形式拿到数据。

有观点认为，在个人数据已经存在于网络上众多节点的今天，一味地强调用户对个人数据的绝对控制已经不现实。欧盟的互联网产业发展速度较慢，与其对网络数据的严格管理有一定关系，而我国要发展大数據及互联网产业，不能盲目照抄欧盟的立法，否则会阻碍产业创新。

互联网法律律师麻策认为，我国应该吸收国际上对于数据保护的共同性规则，例如对数据主体权益、个人信息定义、数据画像等问题的规定。若一味强调（对其的）所有权，实不利于这个行业的发展。

有业内人士表示，个人数据经脱敏、脱密后，其所有权属于个人，使用权由数据拥有者授权使用，收益权由个人或其授权的主体拥有。例如，如果把病人的姓名、身份证等信息脱敏脱密后，将成千上万的病例数据提供给医疗研究机构，可以减少误诊、误判的情况。而边界不清楚、权属不明晰，才会给数据产业发展埋下障碍。这也是数据保护与产业发展之间必须要回答的问题。

创新在所难免

“很明显，这一法规正在颠覆现有的商业模式，或者至少对现有的商业模式构成一定的影响。”有来自互联网界人士表示，面对GDPR，相关企业都应考虑如何避免进入欧盟市场可能带来的潜在影响。

李银松评论道，中美欧三个经济体，在互联网经济的推进和发展方面，走了三个不同的方向，现在看来，中国更为激进。所以，百度李彦宏认为“中国可以让渡隐私，去大力发展大数据、人工智能等互联网新经济、新产业”。欧洲更关注个体隐私的保护，在法律层面，对相关经济、商业和社会运行，都进行了界定。德国有一流产品出口，二流产品自用的说法，实际上也反映了这个趋势。他们更追求稳、平衡。

“美国侧重于隐私与创新的平衡，既有立法，也有社会公约，对企业、个人、政府使用‘非脱敏数据，有约束，和自律。”李银松说。某种意义上，美国是中欧之间的一个平衡。对产业有促进，同时，也保护个人隐私。尽管如此，美国也发生了一系列的“非正当”使用大数据，并利用大数据的问题。

以YouTube为例，GDPR对其从事的第三方广告服务的数字广告业务已经产生了巨大的影响。互联网很大一部分收入的来源是数字广告，通过数字广告平台，大数据的精准推荐广告，原本都是合法的。但GDPR的出现及其对隐私权的保护正将这一模式推上潜在违法的灰色地带。因此有人表示：“下一步互联网依靠大数据做增值服务的商业模式也该走到尽头了。还是将互联网服务进行收费最省心。”

目前，我国法律仅明确“用户同意”是网络运营者对个人信息收集和使用的唯一前提，这与我国许多网络应用权限过高、过度收集用户隐私信息的现实存在一定差距。但加快建设数字中国，对于大数据的监管也需要新的思路。“如何切实保护消费者权益、促进数据合规运用、建立公平有序的竞争环境，需要带有审慎包容的态度，及时应对大数据领域的变化。”国家工商总局网络商品交易监管司有关负责人如是说。