最近两会,不少代表委员建议加快个人信息保护法立法进程,个人信息保护又进入大众的视野。
在互联网时代里,我们是方便了很多,伴随着的是我们没有了隐私:你刚访问一个网站的时候,客服就打电话进来了;你搜索过或点击过什么产品后,在你后续的上网过程中这类产品一直出现在你打开的页面;你刚在社交软件给别人聊起什么,后面你总能看到这个东西的广告……
现代人是毫无隐私可言,你的一举一动都是透明的,不管你是搜索了什么,看了什么,聊什么,都会给你记录,被人变现,被转卖。
在2018年中国发展高层论坛上,百度董事长兼CEO李彦宏表示,“中国人对隐私问题的态度更开放,也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下,他们就愿意这么做。当然我们也要遵循一些原则,如果这个数据能让用户受益,他们又愿意给我们用,我们就会去使用它的。我想这就是我们能做什么和不能做什么的基本标准。”此言一出,引起很多网友的关注和争论,李彦宏称中国人愿用隐私换便利的说辞也收到央视质疑。
2019年第二季度,工信部组织对61家互联网企业和51家手机应用商店的应用软件进行检查,其中有32款应用软件(其中含两个网站)在检查中发现问题。
2020年5月15日,工业和信息化部信息通信管理局发布关于侵害用户权益行为的App通报(2020年第一批),当当、知乎日报、e代驾等16款App在列,上述16款App问题大多涉及私自收集个人信息、私自共享给第三方等。
2015年至2020年工信部公布的检测发现问题的网站和应用软件名单发现,超过1000个网站或APP存在违规收集使用用户个人信息、强制捆绑推广无关软件、恶意“吸费”等行为,其中不乏很多知名的,用户过亿、甚至数亿的APP或网站。
国外在个人信息保护立法方面,或多或少走在了中国前面,目前世界各国为了更好的保护个人用户的数据隐私已经发布很多的法律法规,如欧盟的GDPR和加州的CCPA,为个人信息保护提供法理依据,无一不是明确了责任、权利与处罚规则。
欧盟GDPR
GDPR全称General Data Protection Regulation,中文名叫《通用数据保护条例》,是一项新法律,规定了企业如何收集,使用和处理欧盟公民的个人数据。
该条例在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,于 2018 年 5 月 25 日正式生效。这部“大法”不仅取代了 1995 年的《数据保护指令》和欧盟成员国各自制定的相关法规,而且在个人隐私保护方面迈出一大步。
GDPR定义了隐私保护的七项基本原则,许可(Consent)、反对(Objection)、访问(Access)、清除(Erasure)、移动性(Portability)、安全(Security)和信息泄露通知(Breach notification)。
并提出一系列更具操作性的要求与规范。同时,GDPR的法律效果辐射到欧盟之外,其规定适用于任何向欧盟消费者推销或销售产品的企业。
执行保障机制方面,严重违反GDPR可能被处以2000万欧元或上年度全球年营业额4%的罚款,这有着极大的威慑力。
欧盟的个人数据是可以流动或存储到第三国,换句话说,到相关国家的转移将被等同于欧盟内部的数据传输,需要欧盟的认可,到目前为止欧盟委员会已经认可了安道尔,阿根廷,加拿大(商业组织),法罗群岛,根西岛,以色列,曼岛,日本,泽西岛,新西兰,瑞士,乌拉圭和美国。
欧盟的GDPR号称史上最严格的数据隐私保护,在全球范围内都影响深远,如国内的华为和小米为了符合GDPR的要求任命了数据保护官(PDO)专门负责这一块,QQ国际版不合法规的版本在GDPR生效之际都下线。
加州CCPA
CCPA全称 California Consumer Privacy Act,中文名《加利福尼亚州的消费者隐私法案》,旨在保护消费者隐私权益而设立的法案。
2018年6月加州通过CCPA,该法案已于2020年1月1日生效,并将于2020年7月1日起正式实施。这部法律出台的目的是当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权。
满足以下条件之一的加州企业,属于本法律的适用范围:
- 年收入超过 2500 万美元;
- 拥有超过 50000 个消费者、家庭或设备的商业数据;
- 消费者个人数据的销售额占年收入一半以上。
虽然是州际法律,但由于加州在美国,在世界的经济份额很大,美国90%的互联网公司都集中在加州,要知道谷歌和Facebook都是在加州,所以这个法规在全球都有很大的影响力,如Mozilla决定以CCPA的标准为全球使用者提供服务。
加拿大PIPEDA
PIPEDA全称Personal Information Protection and Electronic Documents Act,中文名是《个人信息保护及电子文档法案》。
PIPEDA在2000年通过, 2001年2002年和2004年分为三个阶段生效,PIPEDA主要规定了私人或者企业在进行商业活动时,使用个人信息时的范围与准则。
虽然加拿大在2000年就通过PIPEDA,但由于经济影响力不大,所以没什么人关注。
日本APPI
APPI全称是Amended Act on the Protection of Personal Information,中文名是《个人信息保护法》,旨在保护公民的个人数据免遭泄露,丢失或损坏; 监督处理数据的员工; 和托管数据的第三方监督。
在借鉴欧洲和美国的信息保护模式下,日本在2005年通过《个人信息保护法》,通过这部法律全方面地实现个人信息保护。日本于2017年施行了新版《个人信息保护法》
2019 年 1 月 23 日,欧盟委员会 (EU) 通过了一项针对日本的充分性决定,允许个人数据在两个经济体之间自由流动,并提供强有力的保障。
阿根廷PDPA
PDPA全称是Personal Data Protection Act,中文名是《阿根廷个人数据保护法》
于 2000 年执行,用来帮助保护个人数据隐私,并为用户提供对存储在公用和专用数据库和注册表中的任何信息的访问权限。
PDPA 与用于保护数据隐私的欧洲立法模式一致,并且阿根廷是拉丁美洲第一个获得从欧盟进行数据传输的“充足”资格的国家/地区。
中国
国内目前正在完善相关的法律法规,《个人信息保护法》在2018年被纳入立法规划,也发布了很多的办法,规定,目前是出于分散立法的尴尬局面。
如工信部印发《App违法违规收集使用个人信息行为认定方法》,如果严格执行,市面上绝大部分的APP都不合规的。
该办法里面第二类第一条:“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;”就这条,比如某个APP使用了第三方SDK,这个SDK收集什么数据,都告知了用户嘛?
这个办法确定了怎么样才算违规,然后是哪一个类型,但都没有对应的惩处措施,毫无威慑力可言。
而GDPR可能被处以2000万欧元或上年度全球年营业额4%的罚款,GDPR实施两年,累计处罚超过300起,罚款金额有高有低,最低的一起罚款 90 欧元,而最高的是英国航空泄露了50万旅客的支付信息而罚款 2.04 亿欧元,;而违反CCPA法规,机构将被处于100美元至750美元的罚款(按每位消费者/每个事件/每项赔偿)。
当然还有其他的一些国家有类似的法律法规,但由于经济因素没那么大的影响力,国外严格处罚措施催生专门的数字安全咨询公司,帮助企业满足相关的法律法规要求,如OneTrust、TrustARC、Privita等。