背景

随着越来越多的公司将服务转向到互联网，有关个人生活的方方面面的信息很大程度上都已经被各式各样的网络服务提供商所获取并记录在数据库中。大规模的个人隐私泄露事件越来越频繁，仅2018年，包括Facebook、圆通、万豪酒店、华住酒店等知名公司发生数据泄露事件，且涉及的数据条目都到达1亿条以上^[2]。因此，近几年，政府、公众、企业也越来越重视个人数据隐私。不少国家已经出台或正在制定相关法规。

最为知名的莫过于欧盟出台的《通用数据保护条例》（General Data Protection Regulations，下文简称GDPR）。该条例已于2018年5月正式生效。

另一项重要的法案是北美的《加利福尼亚消费者隐私法案》（California Consumer Privacy Act，下文简称CCPA）。该条例将于2020年1月1日生效。

我国专门针对个人信息保护的相关条例有2个，虽然尚未达到欧美的水平，但在亚洲已属前列。一个是已经于2018年5月实施的《信息安全技术 个人信息安全规范》（下称《安全规范》），由中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会颁布；另一个是《信息安全技术 移动互联网应用（App）收集个人信息基本规范》（下称《APP基本规范》），由国家市场监督管理总局中国国家标准化管理委员会发布，目前处于征求意见阶段，尚未颁布。
前者类似GDPR，是一个通用的关于组织与个人数据交互中需要遵循的规范；后者是一个更有针对性的规范，主要目的在于明确移动互联网应用（即APP），其对于APP的分类和每个分类下可收集的最小信息（minimum information）有明确的规定。如“地图导航”类目下的最少信息仅为“网络日志”和“精准定位信息”，其他的信息在该类APP下为非必要的信息。
本文仅针对同一类型的法案进行比较，因此将聚焦于《信息安全技术 个人信息安全规范》，不会对《APP基本规范》做过多的讨论。

《GDPR》

现今在数据保护领域最重要的法律，已成为其他各国和地区制定数据保护法案的最重要的参考。
早在1995年，欧盟就颁布了数据保护指引（Data Protection Directive）^[1]，基于隐私和人权的角度对数据处理过程和数据转移进行规范。2012年，欧盟宣布会将欧盟内的数据保护法律统一成为GDPR。其中一个重要的改进就是加强用户对于个人身份相关的数据的控制。

《CCPA》

由美国加州于2018年颁布，将于2020年1月1日生效。虽然该法案仅仅是美国一个州的法案，但由于以下原因，该法案的影响将会影响到全美甚至是全球：

1. 虽然该法案旨在保护加州居民的隐私权和个人数据，但只要公司的数据中包含任何加州居民，就必须受该法案的约束。因此诸多加州以外的公司将必须修改相应政策。
2. 加州是高科技企业的聚集地，众多互联网公司汇聚于此。为使自身业务合规，并且从成本角度以及全球各地区极有可能在未来数年内陆续出台类似的法案来看，这些公司大概率将会针对所有用户修改相应的政策。

《信息安全技术 个人信息安全规范》

《安全规范》是一份国家层面的“推荐性标准”，“适用于规范各类组织个人信息处理活动”，它并不是法律、法规，因此对于企业和组织并没有强制约束力。但是它为今后制定和实施个人信息保护的相关法律法规奠定了基础。文件开篇即说明“本标准……也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。”。在支付宝年度账单事件中，有关部门也明确指出了其做法不符合《安全规范》。

GDPR、CCPA、安全规范之间的比较

本文重点在于比较美国、欧洲、中国的相关法律和条例中的重要部分，讨论它们将会对企业处理、分享、转让个人信息造成怎样的影响。

1. 立法初衷

GDPR第一条第2款提到“本法规保护自然人的基本权利和自由，尤其是自然人保护其个人资料的权利。”CCPA摘要部分提到“加利福尼亚州宪法赋予一项隐私权”。
两者字面上的差别为“人权”和“隐私权”，立意角度相近。
《安全规范》引言提到“本标准……旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。”，措辞上更偏向于整顿乱象。从全文内容来看，也更偏向于规范企业行为，对个人权利的提升力度不及另外两者。

2. 涉及主体

GDPR中义务实体为“控制者”、“处理者”，权利主体为“数据主体”。“控制者”类似公司或组织的负责人的概念，“处理者”为直接对个人数据进行操作的实体。“数据主体”便是需要收到保护的自然人。GDPR中对于义务实体并没有规模上的特殊规定，意味着几乎将所有类型的机构都纳入监管范畴。
地域范围的设定上，涵盖范围较广，包括属地原则——在欧盟有分支机构的组织；属人原则——数据处理的对象是欧盟内的数据主体；还包括国际公法——“本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。”。

CCPA中义务实体为“事务实体”(business)、“服务提供者”(service provider)，权利主体为“消费者”。从词语上讲更倾向于商业环境下的监管，并且从它对“事务实体”的监管范围来看，也能清楚地体现这一点。
“事务实体”必须是盈利性组织，也即俗称的“公司”，并且需要符合“年营收达到2500万美元以上”、“处理的个人信息数量达到5万条以上”、“年收入的50%以上来源为销售消费者信息所得”三个条件中的至少1项。简而言之，CCPA只针对大中型企业或主营业务为销售客户信息的公司。
地域范围设定上，权利主体，即消费者，与纳税主体一致，为加利福尼亚居民。

《安全规范》中的义务实体为“个人信息控制者”，权利主体为“个人信息主体”，对应于GDPR中的两个概念，但并没有处理者这样的角色。而8.1部分“委托处理”部分，又规范了受委托处理个人信息的实体的行为要求。因此这一部分的“受委托者”对应GDPR中的“处理者”。对于我国绝大部分互联网公司来说，多个职位可能会符合“受委托者”的定义，包括产品、开发、大数据等多个条线的员工，因此要符合规范中的要求，存在一定的挑战。
《安全规范》对于义务实体和权利主体并没有地域或者规模的额外规定。作为一份推荐性标准，它更为重要的作用在于对企业行为进行指导，因此这类额外规定的缺失是可以理解的，也给未来更为完善的法律法规留下了定义的空间。

儿童保护层面看，GDPR中对16周岁以下儿童信息的处理为非法，而CCPA中只有在出售时为非法；《安全规范》中，将14岁以下儿童的个人信息和自然人的隐私信息定义为“个人敏感信息”，其他地方并未专门针对儿童信息作出明确规定。从儿童信息保护层面来看，GDPR最严，CCPA和《安全规范》较为宽松。

3. 各项权利

数据访问权、知情权

该项权利基于数据主体了解关于自身数据的各项事宜的权利，如数据类型、用途、获得数据的第三方等。
CCPA中，该项权利中包含了消费者可以获得关于自身的具体信息的内容。而在GDPA中，该项权利单独列了出来，被称为数据可移植性权利。
《安全规范》中，也有单独的“个人信息主体获取个人信息副本”的规定。

数据可移植性权利(Data Portability Right) —— GDPR

GDPR中的该项权利的重点是要求将数据主体的数据呈现为机器可读的形式，以方便移植：“数据主体有权以结构化、通用和机器可读的格式接收其提供给控制者的与其有关个人数据，……数据主体有权将这些数据不受提供该个人信息的控制者阻碍地传输给另一个控制者……在技术可行的前提下，数据主体有权将个人数据直接从一个控制者传输给另一个控制者”。这一要求极大地降低了数据主体将数据迁移到其他服务提供商的过程中的数据导出、转换、导入的繁琐过程，以降低数据主体对单个服务提供商依赖，导致这一要求带有一定的反垄断色彩。

个人信息主体获取个人信息副本 —— 《安全规范》

《安全规范》要求控制者提供个人信息主体获取其特定信息的方法，信息内容限定为个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息。初看之下个人可获得的信息涵盖范围较少，不及欧美，但也反映出我国对于个人信息权利和服务提供商的执行成本之间冲突的平衡。

删除权

删除权事关在特定情形下删除与自身相关数据的权利。在三个法规条例中，又有相当的区别。
GDPR中的删除权要求控制者删除与个人有关的数据，无论数据来源如何；CCPA中明确规定删除信息满足“从消费者处直接收集”和“该信息与消费者相关”的条件。因此GDPR赋予的删除权中包含的个人信息内容更多。《安全规范》中个人信息接近于GDPR，也未对收集来源做成特别规定。
从删除的条件来看，GDPR和CCPA从多个角度考量，在多个条件下允许数据主体或消费者要求删除个人信息；《安全规范》中则较为简单，可提炼为在“违法法律法规”或“违反约定”的条件下，个人信息主体可要求删除数据。这也体现了本规范的侧重点在于对违法违规行为的遏制之上。

拒绝权、选择退出权

CCPA的选择退出权要求事务主体在出售个人信息时明确给与消费者退出该次销售的机会。
GDPR的拒绝权主要在与控制者基于直接营销目的进行的处理，数据主体有权撤销。
相较而言，选择退出权旨在对于数据流通环节一定程度上保护个人信息，而由于该项权利默认消费者允许事务主体出售个人信息，因而这项保护是在对数据流通影响最小的情况下进行的。而GDPR的拒绝权旨在基于数据主体对数据处理行为过程中的干预。体现了不同的侧重点。

不可被歧视权 —— CCPA

CCPA中要求事务主体不能将行使任何相关权利的消费者与其他消费者区别对待，以保障消费者在行使权力之后不会遭到事务主体的报复性行为。GDPR和《安全规范》并未有相关的明确表述。

更正权

更正权赋予一种可要求更正自身相关信息的权利。

4. 惩罚力度

GDPR对于违反规定的控制者的惩罚分为2档，情节较轻的为“最高2000万欧元或者年营收额的2%，两者取较高者”，情节较重的则调整为4000万欧元和4%；CCPA按照违规行为次数计算，每次违规罚款最高至7500美元。但对于“每次”的定义，是以违规时涉及到的消费者数量计算，还是仅以违规行为的次数计算，扔存在变数。鉴于两种口径的罚款金额可能相差数万倍，部分企业仍在游说希望将标准确定为后者，以大幅减少违规成本。
《安全规范》是一份推荐性标准，因此并不涉及违规惩罚的相关规定。

5. 惩罚案例

欧洲

• 2019年1月，法国依据GDPR对谷歌实施5000万欧元的罚款。法国政府认定谷歌在收集用户信息的过程中，相关条款的披露不够明显和简洁，使用户在不知情的情况下，不得不同意谷歌的条款，并向用户推送定制化广告，该行为违反了GDPR。
• 2019年7月，英国航空遭受1.83亿英镑罚款，因网站被劫持导致50万用户资料泄露。
• 2018年6月，意大利执法机构因误导消费者错误地使用隐私数据，对其实施了1000万欧元的罚款。

美国

• Facebook以50亿美元的代价和美国贸易委员会关于泄露用户隐私之事达成和解。
• Youtube因非法收集和分享儿童个人信息，违反《儿童在线隐私保护法》(Children's Online Privacy Protection Act，COPPA)，被罚款1.7亿美元。
• 抖音国际版（TikTok）因违反美国《儿童在线隐私保护法》，被处以570万美元罚款。

中国

• 2017、2018年连续2年，中央网信办等部门开展了隐私条款专项工作，对若干用户数量大、知名度较高的app的隐私条款进行了审查和评估，并公示评审结果。该专项工作针对隐私条款的条文进行评估，而并非针企业对个人信息处理的实际操作过程。可见中国目前仍然以公众舆论压力对企业进行软性约束，尚未出现因隐私相关问题而产生大额罚款的案例。

结语

目前欧美已日益重视个人信息和隐私的保护，在企业层面和个体层面都已开始逐渐提升信息和隐私保护的意识。我国的相关法规条例在亚洲已处于领先地位，但和欧美地区相比，完善程度和惩罚力度仍有较大的差距。个体对于自身隐私的保护意识薄弱，面对个人信息被滥用、随意倒卖的事实，只能无奈的接受。
虽然如此，目前各企业已逐渐开始重视用户数据和隐私的保护，用户的个人隐私保护意识也开始起步。因此，接下来会有什么样的市场机会，可以帮助企业或者个人在不影响效率的情况下，提升数据保护能力？是否存在某种“范式转换”，可以颠覆当今的企业和用户的数据交互过程，使企业在技术上无法掌握个人信息的情况下仍然提供优质的服务？区块链领域存在怎样的机会，可以潜在地实现某种范式转换？

在未来的文章中，我将对以上议题进行讨论。

参考

1. https://en.wikipedia.org/wiki/Data_Protection_Directive, 维基百科
2. https://www.zhihu.com/question/38799810, 知乎, 近几年网络隐私泄露的经典案例都有哪些？
3. https://www.zhihu.com/question/298587883, 知乎, 2018年5月1日开始实施的《个人信息安全规范》对互联网企业和普通用户有哪些影响？
4. http://www.cbdio.com/BigData/2018-01/30/content_5671227.htm, 《个人信息安全规范》生效在即，金融科技从业人员应了解这些事
5. https://datatransferproject.dev/, Data Transfer Project
6. http://www.xinhuanet.com/world/2019-01/23/c_1210044994.htm, 英媒：Google违反欧盟隐私条例被罚5000万欧元
7. https://www.ithome.com.tw/news/131739， GDPR上路後最嚴厲處分！英航遭重罰年營收1.5％高達1.8億英鎊
8. https://nosec.org/home/detail/2056.html, GDPR第二例罚款——Facebook因侵犯隐私被罚款1130万美元