《麻省理工科技評論》駁斥李彥宏：誰說中國人不在乎隱私！中國新隱私法要等多久？

近日，百度 CEO 李彥宏有關「中國人更願意用隱私換便利」的論點引發全民熱議。2018 年 3 月 26 日，在參加中國發展高峰論壇時，李彥宏表示，「我想中國人可以更加開放，對隱私問題沒有那麼敏感，如果他們願意用隱私交換便捷性，很多情況下他們是願意的，那我們就可以用數據做一些事情。但我們要遵循一定的原則，如果數據會使用者受益，他也願意，我們就會去做，這是我們的基本原則，這就是什麼該做的，什麼不該做。」

圖丨李彥宏的「交換」觀點引發爭議

對於此次事件，央視新聞在第一時間給出了針鋒相對的回應，發表評論文章《誰說「中國人願意用隱私換便利」？》

圖丨央視新聞微博

而《麻省理工科技評論》美版也在The Download欄目發表的觀點文章中也提到，關於李彥宏所說「中國人不在乎他們的隱私」是一個錯誤的看法，因為在李彥宏的這番話被大舉傳播後，近日來已然在中國社交媒體上引發高度爭議，特別是根據中國互聯網協會的調查，在中國有 54％的互聯網用戶認為個人數據遭到泄露是一件非常嚴重的事。

圖丨《麻省理工科技評論》文章

事實上，百度本身原本在涉嫌侵犯用戶隱私就有許多爭議，在 2018 年初《麻省理工科技評論》就曾報道，百度未經用戶同意收集個人數據，在未獲得用戶授權同意下取得用戶的聯絡人數據、位置與電話號碼等，因而遭到中國消費者保護組織就此提起訴訟。

許多人都認為在互聯網活動發達的中國，消費者其實已經「習慣」自己的數據被互聯網企業使用，但其實大部份消費者並不真的理解其個人的數據資料有哪些被拿去使用？被用到什麼地方？更重要的是，這些被使用的數據資料，會如何影響到其自身的權益？

這些都是目前通過不同形式大量收集使用用戶數據的企業並沒有真的說清楚的問題，更簡單的說，如果用戶真的理解自己的數據資料被使用的狀況，是否還會放心讓自己的數據被這些互聯網企業使用？或者是否還願意如李彥宏所說的「中國人願意用隱私來換便利」？

李彥宏的言論或者百度的行為是與全球的隱私保護潮流背道而馳的，因為自 2017 年以來，Google、Slack 等包含互聯網業務的科技企業都在重新修訂自己的數據保護規則，絕大多數還推出了最新的數據工具。就是在為歐盟即將在 2018 年 5 月份實施《常規數據保護條例》（General Data Protection Regulation，以下簡稱 GDPR）做準備。

GDPR 是歐盟在 2016 年通過的一項法案，為企業和個人消費者的數據制定了新的保護規則。理論上來說，GDPR 的適用區僅限歐洲，然而互聯網本身的全球性使得 GDPR 變成了一項覆蓋全球的法案。

GDPR 第 3 條強調，無論數據處理的活動是否發生在歐盟境內，都統一遵循 GDPR。對於設立在歐盟外的機構來說，則適用屬人因素。只要其在提供產品或者服務的過程中處理了歐盟境內個體的個人數據，那麼該企業將同樣受制於 GDPR。這也正是上文提到的那些美國公司轉變的理由。

然而這其實很難理解，進一步翻譯 GDPR 第 3 條的話就是「任何網站甚至 APP 只要能夠被歐盟境內的個人消費者訪問、使用的語言是英語或者歐盟成員國語言、服務或者產品價格為歐元標準」，則都可以被理解為服務於歐盟境內用戶，因此受到 GDPR 管轄。當然，如果互聯網企業選擇放棄 5 億發達人口市場的歐盟國家，那麼他們將不用理會 GDPR。

事實上，任何一個中等以上的互聯網企業都在歐盟成員國開展了業務，而且前者也不可能放棄這些業務，所以 GDPR 就變成了一項所有中等規模以上互聯網公司都需要遵守的規則。中國的百度公司也在歐盟成員國有業務，該企業理應適用 GDPR。

嚴格的GDPR

GDPR 賦予了數據主體（可以是個人消費者，也可以是企業）獲取必要信息的權利，其第 10、11、12、13、14 條強調，數據控制者有責任和義務提供與數據主體有關的信息。12 條和 15 條則規定，數據主體有權利通過訪問數據控制者以及與其相關的個人數據，並在支付合理費用後可以獲得信息副本。而其第 14 條和 21 條強調，數據主體有權拒絕數據控制者基於公益、直銷等目的，對其個人數據進行處理。尤其是 GDPR 第 16 條規定，數據主體有要求數據控制者更正並且完善與其有關的個人數據的權利。

圖丨 GDPR 中，數據主體被賦予的權利

也就是說，諸如百度、Google 等數據控制者在得到數據以後，他們不僅要防止數據丟失，還要給予數據主體更多的權利，否則 GDPR 將會停止他們當前數據相關業務。

GDPR 還明確了數據主體關於刪除和更正授權的權利。第 17 條中，數據主體有權請求數據控制者立刻清楚與其有關的個人數據本身、副本、備份以及相關連接，同時，這種刪除請求是永久刪除。在第 18 條中，數據主體在法律規定的範圍內有權處理控制者的處理行為，不過需要在數據主體提出相關的法律訴訟後才能啟用，並不適用於任何時間。

除此之外，GDPR 第 20 條規定，數據控制者基於數據主體的同意或者為履行與數據主體之間合同內容，且以自動化方式處理數據主體提供的與其有關的個人數據時，數據主體有權從數據控制者處獲得以結構化、通用化和機讀形式呈現的上述個人數據；數據主體有權將該數據轉移給其他控制者而不受元數據控制者的阻礙；在技術允許的情況下，要求數據控制者直接將這些數據轉移給另一個控制者。

第 20 條有些晦澀難懂，但其實指的就是數據控制者不要用「人工智慧」、「演算法」等事物作為向個人消費者索要數據的借口，否則數據主體就會有更多的權利。今日頭條、百度等公司常談起人工智慧和演算法，在 GDPR 實施以後，兩者若想繼續在歐盟成員國開展業務，那麼他們就必須重新制定規則。尤其是今日頭條，該企業自稱演算法和人工智慧是企業的核心競爭力。

題外話，GDPR 還規定數據控制者不得處理數據主體性生活、性取向、健康信息等敏感資料。以今日頭條為例，如果一個新的賬號在今日頭條搜索敏感詞條後，該企業向數據主體推送相關內容，那麼該企業就違反了 GDPR。

GDPR 的監管

歐盟在網路隱私保護上非常嚴格，正是因為 GDPR 的發布，歐盟還特地成立了相關機構 以監管各國的網路隱私權。根據歐盟的要求，數據控制者要承擔合法的數據處理，還要及時告知數據主體。

在 GDPR 第 56、60、61 條中，歐盟採取了一站式監管機制（one stop shop）。這是指所有數據控制企業主成立第所在國家的監管機構將作為主導的監管機構，對企業的所有數據活動進行監管，數據控制者由此不再需要和多個不同成員國的監管機構打交道，從而縮短了實現 GDPR 標準的時間。

目前來看，一站式監管機制的輻射範圍僅有整個歐洲，這意味著，百度、Google、Facebook 等企業需要特地跑到歐洲監管機構那裡遞交申請、等待審核，才能在歐盟成員國開展業務。

歐盟規定，在實行 GDPR 後，每個歐盟成員國都要成立一個關於 GDPR 的監管機構，現有的各國數據保護機構則繼續履行數據保護的職責，並不能由後者取代前者。GDPR 第 58 條加強了監管機構的執法權，並在第 83 條規定了嚴苛的罰金。第 26 條、80 條、82 條則規定了司法救濟的權利可以由消費者機構代表數據主體行使。

GDPR 的意義

如果熟悉現有的數據保護法（DPA），那麼就會發現其實 GDPR 和 DPA 的概念和大致原則是相同的。也就是說，那些遵守 DPA 的企業不需要大規模調整也能達到 GDPR 的標準。

相較之下，GDPR 更強調數據管理者必須通過相關的文件來證明其責任。在 GDPR 項目中，主要設計了 40 種人的權利與義務，他們大致分為三類：數據管理者、數據參與者和數據監管者。

圖丨GDPR 中的權利與義務

中國《網路安全法》第 76 條規定，個人信息是指電子或者其他形式記錄的，能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生年月、身份證號、住址、聯繫方式等等。

結合 Facebook 泄密事件就會發現，在隱私意識缺乏的當下，我們應該擁護 GDPR 的理念。平安科技 CTO 肖京對 DT 君表示「GDPR 對平安集團來說是好事，金融機構被監管是最嚴的。如果企業品牌的價值高，就不會為了小利去冒風險。堅決擁護監管，監管是非常必要的。太亂了就會導致正常經營的企業收到影響，劣幣驅逐良幣。優質的企業都支持監管。」

歐盟擁有較為完善的數據保護立法框架，這便是 GDPR 的立法背景。但是歐盟的網路數據保護的立法模式與美國不同，後者偏好通過行業自律規則保護網路隱私，前者則是把個人數據保護的重點放在了立法規制上。中國在某種程度上和美國很相似，但是截止至目前，我國還沒有很完善的網路數據保護條例。

誠如《麻省理工科技評論》所提到的，中國人其實非常在乎他們的隱私，而 Facebook 的事件，提醒了中國互聯網用戶他們過去可能遺漏的一些必須注意的重點。

事實上，李彥宏的言論反應的其實是一種舊時代的互聯網巨頭思維，也就是「用免費的數據資源賺錢」，但這是在過去野蠻初生的數字經濟時代的思維。

圖丨互聯網巨頭貪婪獲取數據資源

在未來全新的數字經濟時代，數據資源是關鍵資源，但當用戶對於自身的數據資料權越來越有自覺，也就是越來越重視自己的隱私被保護的程度，那麼，過去在互聯網巨頭眼中看似取之不盡、用之不竭的數據資源，將不再那麼理所當然。

李彥宏的一席話確實犯了眾怒，讓廣大互聯網使用者衝冠一怒的結果，是否會為中國互聯網企業營運設下更高的障礙，將十分值得觀察。相較於目前僅需要花費收集成本就可拿來營運獲利的數據資源，未來可能還得加上處理保護用戶數據的成本，甚至必須對消費者更具有吸引力、進而願意貢獻分享數據的服務，這對所有的互聯網企業而言，都是一個不容小覷的挑戰。

以即將在 5 月上路的歐盟 GDPR 法案來看，似乎離中國消費者很遠，但蝴蝶的翅膀已然拍動，中國互聯網有關數據資源使用的一場大雷雨即將到來。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！