我要投稿 | 留言给我

第一部大数据时代个人信息的隐私法案出现它让腾讯和 Facebook 都紧张起来

※发布时间:2018-4-24 7:49:35   ※发布作者:平民百姓   ※出自何处: 

  4月12日,有截图显示: QQ 国际版要在欧洲停止运作。截图中的链接也说明因为“运营需要,QQ 将从5 月 20 日开始停止运营”。一般认为这是为了避开欧盟即将执行的《通用数据保案》(PR)。

  一天之后,腾讯在微博上发声明称,自己公司早先发布的公告其实是,让用户不要。现在打开公告链接,文字被改成了目前版本在 5 月 20 日停止运营,但升级到下一个大版本之后就能恢复使用。至于什么时候发布更新,公告并无说明。

  具体怎么回事还不明确,但反正腾讯此次前后矛盾的公告让欧盟的 PR 法案在中国被关注。5 月 25 日,《通用数据保案》(以下简称 PR )将正式开始实施,这部法规由欧盟委员会制定,长达 260 页。

  担心 PR 的不只是中国公司。就在 QQ 国际版要在欧洲停止运作的消息开始时,扎克伯格正在面对第二场 5 小时的质询,他面前的本子上清楚写着一条加粗的顾问,“不要说我们已经完成了 PR 的要求。”

  确实得担心。《连线》称 PR 这部法律为未来 10 年的全球数据定下了基础,它几乎对科技公司用个人数据来赚钱的所有环节进行了和。

  对于互联网巨头来说,几亿人口的欧洲市场显然不能放弃。但如果不遵守 PR ,代价最高会是公司年营收 4% 的罚金。以腾讯为例,去年腾讯整年营收 363.87 亿美元,如果 QQ 国际版违反了 PR ,罚金将高达 14.6 亿美元。而如果是一家利润少的小公司违法,欧盟也做好了准备——PR 的罚金是从 2000 万欧元起算的。

  Facebook 数据泄密的丑闻发酵后,美国也开始讨论数据立法可能。而他们也已经在关注先行的欧洲。

  在 Facebook 的听证会上,议员们也反复提及 PR。扎克伯格用了很长的回答来强调称:Facebook 肯定会在全球范围内推出和欧盟 PR 法规程度相同的数据。

  在此之前,互联网公司虽然也受法律管辖,但在搜集、使用用户数据方面,互联网公司基本还是按照自己的规则行事——现在我们都知道,那基本就是怎么赚钱怎么来。

  2012 年 1 月 25 日,以 Google,Amazon 和 Facebook 为主的美国互联网巨头们组成了庞大的游说团,在布鲁塞尔欧洲议会总部所在地展开了旷日持久的院外游说活动。

  就在这里,欧洲议会第一次公布了《通用数据保案》草案,这个草案的内容预示着个人数据管理提到了前所未有的高度。

  在 PR 出现之前,无论是欧盟还是美国的法律,对于用户数据的定义都很模糊。在欧盟最早的《数据指令》中对于用户数据的定义仅包含了登陆名、密码和购物记录等内容。

  对于这些数据的,PR 中明确,服务提供商不可以在未经用户同意的情况下处理这些数据。也就是说,不能未经允许就用这些数据来卖广告。

  这基本上包含了大部分可用于直接或间接识别用户的数字信息。它完全从用户的角度来考虑个人数据需要的边界。

  PR 较大的不同还在于了法规管辖范围不是严格按照国家划分,而是按照数据的分布来认定。

  PR 向欧盟居民提供产品或者服务,甚至只是收集或相关数据的非欧盟企业和组织都必须遵守 PR,而与这些企业和组织所在无关。

  传统意义上,执法的管辖权通常是按照国家或者地域进行划分的。硅谷公司遵守的是美国法律,但互联网不受地域的特点,可以让他们将服务推向全球。

  PR 的法规显然更贴近互联网这个虚拟世界的特点,所以,虽然是欧盟的数据条例,却能应用到全球任何为欧盟居民提供服务的企业身上。

  “按最低 2000 万欧元或公司年营收的 4% 进行处罚,其中金额较高的数字被认定为罚金。”

  这是欧盟对违反 PR 的公司开出的罚单,要对这个数字有些具体认识的话,苹果公司是个不错的例子。

  苹果公司最近两年的年收入都超过了 2000 亿美元,所以假如苹果公司违反了 PR 的,那么罚金就有可能高达 80 亿美元。没有多少公司愿意承担如此高额的罚金。

  与之相对的,如果苹果公司在美国了相同等级的隐私条例,那通常情况下,罚金大概只有几十万到几百万美金。

  欧盟此前就已经对科技公司开出过巨额罚单,2017 年 6 月 27 日,欧盟委员会宣布Google 违反,开出了 27 亿美元的罚单。

  欧盟委员会巴罗佐此前就表示,罚金的意义是让科技公司意识到隐私的严重性,最终可以在公司的流程上进行改进,从而对欧盟居民的信息进行。

  听上去这和现在的情况没有什么区别,我们在注册时也必须点击同意用户协议才能免费使用服务。虽然绝大部分人都不会认真看复杂的用户协议。

  PR 则要求公司在收集和使用个人数据前必须向用户明确告知数据的收集和使用方法,并且需要在获得用户明确同意后才可以进行。

  这里的明确同意指的就是不可以和用户协议,必须要在网站或应用内专门说明,并获取用户同意,同时可以随时便捷地取消和管理。

  就在半个月前,Facebook 更新了该平台的隐私工具。让用户可以查看或删除 Facebook 所持有的用户个人信息、删除搜索历史、设置广告偏好、设置帖子可见性范围等。

  与上述更新同步推出的还有一种名为“Access Your Information”(获取你的信息)的工具,这种工具允许用户查看自己分享过的评论或帖子,并且可以选择删除。

  Facebook 表示,这些工具原计划在 5 月发布,就是想要遵守 PR 的要求,但因为剑桥事件而不得不提前发布。

  苹果也在同一时间发布声明,表示将在未来几个月内更新 Apple ID 的功能,让用户可以下载存储其中的所有数据副本,同时暂时停用其帐户并将账户内容彻底删除。

  Facebook 和苹果公司都在强调可以彻底删除储存的用户数据,是源自一个在欧盟讨论很久的——彻底遗忘权(right to be forgotten)。

  这个概念从 2006 年就在欧盟内部提出,当用户向公司或组织撤回自己同意的个人数据使用权后,相关的企业和组织必须要立刻无条件地删除所有的个人数据。

  在 PR 中,遗忘权被当作成用户的基本。条例要求科技公司必须能够在系统中无条件地快速删除用户的数据。这也能用户不会因为遗留的个人数据,遭受未知的影响。

  换句话说,当一个欧盟居民要求删除自己的新浪微博账号和相关内容时,新浪微博必须无条件删除微博账号内的所有信息并不得保留其它备份,同时所有相关的分析或广告公司也必须删除保存的信息。

  这个概念最初引发了很大的争议,美国和欧盟的分歧很大。直到 2014 年,西班牙冈萨雷斯向 Google 西班牙公司提起诉讼,要求删去 Google 搜索结果中关于自己欠钱的 2 篇新闻报道,理由是自己已经还清了欠款。

  经过多方上诉和多轮讨论后,欧盟法院最终裁决称,被遗忘权是的一部分,要求 Google 删除冈萨雷斯的新闻。从此确立了被遗忘权的重要性。截至 2014 年 5 月,Google 已经删除了 13.9 万个网址。其中有 95% 的申请来自于普通用户。

  整个过程并不那样清晰且易于执行。尤其是对于一个大型公司来说,用户信息往往分布在营销、销售、客服乃至财务和供应链等多个系统中,甚至还会存在于一些本地文件中。

  一旦需要把某个用户的数据完全删除,就必须要依靠一套数据同步机制确保删除没有遗漏,目前来看,这常困难且成本高昂的操作。

  不止是事后删除,PR 之所以被称为规范了未来 10 年用户数据使用方式的法规,在于它强制要求企业在业务设计初期就要考虑对于个人隐私数据的处理。

  这包含了两方面的要求。首先,科技公司今后在设计新的业务系统、业务流程和服务时,处理个人数据的环节必须按照 PR 要求的方式进行设计。企业还必须提供相关信息证明自己满足了上述要求。

  无论是产品经理还是策划,都必须掌握 PR 中详细的要求。从而让用户数据的概念和产品需求同时被考虑。

  同时,很多时候互联网公司都会表示允许用户如何如何。但它们很清楚的是大多数人不会调整默认的选项。

  所以 PR 另一个原则是,当个人数据在系统、流程和服务中可能被多个不同级别的需求调用的话,默认的选项必须是共享内容最小的选项——不共享任何内容。

  简单地说,微博关联的淘宝想要获取你的点赞记录来推荐商品,默认的情况下微博将不可以直接共享任何内容。只能进一步请求,提高需求级别才能获取信息,这通常需要用户的同意。

  根据 PR 中的要求,公司必须任据专员来实施 PR 计划并监测完成的情况。职责还要求 DPO 直接向公司领导层报告,负责推出各项措施来确保不会违反 PR。

  其中儿童也拥有数据权,PR 要求公司必须获得家长同意,才能处理 16 岁以下儿童在线服务的个人数据。国可以就较低的同意年龄立法,但不能低于 13 岁。

  要求公司一旦发现数据泄漏,必须在 72 小时内向数据机构 DPA 报告可能对个人构成风险的数据泄露事件,并不可以无故拖延地向受影响个人通知。

  在扎克伯格回应剑桥分析事件的时候,他就声称 Facebook 在三年前就已经从卫报记者那里了解到剑桥分析违反规获取 Facebook 的用户数据,但 Facebook 并没有及时对这个事情进行处理。

  不止是 Facebook,例如打车应用 Uber、美国信用服务公司 Equix 都曾爆出客户数据遭到窃取的事件,但它们都没有及时,甚至 Uber 当时的管理层还选择私下给黑客钱来解决。

  所以 PR 的严苛条款并不是凭空被想出来的,而是从过去二十年里众多数据泄密事件的错误中吸取的。

  欧盟的数据历史可以追溯到上世纪九十年代。1995 年,欧盟通过了《数据指令》,它也被称为 “95指令”。第一次为欧盟国立法个人数据设立了明确标准。

  在 1995 年,个人数据的概念仅仅限定在用户名、家庭地址及邮编号码这样相对简单的信息。95 指令的内容也只是让用户拥有访问权,用户有权访问他们的信息并修改其中错误的地方,确保信息正确。

  但互联网的发展,尤其是移动互联网在过去 20 年里的快速发展,让当时制定的法律无法覆盖层出不穷的新变化和漏洞。

  2002 年,欧盟第一次决定修正 95 指令。在当年 7 月 12 日,新的的《隐私与电子通讯指令》发布。

  其中详细了科技公司在未征得用户同意的情况下存储和使用用户的数据,服务提供商应该保障用户的知情权,如告知用户所收集的数据及进一步处理此类数据的意图和用户有权不同意等。

  这基本构建了现在隐私条款的基础,但《隐私与电子通讯指令》在具体操作层面还较为粗略,也缺乏明确的违规惩罚措施,并没有让科技公司重视起来。

  Cookie 是互联网常用的用户和识别技术。2000 年之后,eBay 这类的电子商务网站在全球流行,用户在使用浏览器进行网站内容浏览时,网站可以在用户电脑本地存放 Cookie 以识别和记录用户的登陆、浏览和购买信息。

  尽管 Cookie 可以被用户手工操作关闭,但对于绝大多数的用户来说,如果网站在未明确提示下使用 Cookie 记录相关信息,用户是很难知道已经被记录的。

  在当时,记录用户登陆密码,购买等信息是一种在用户协议里默认同意的做法。网站将这些信息进行分类来向用户推荐商品。但这也留下了黑客破解等安全问题。

  2009 年 11 月 25 日,欧盟对个人数据措施又进行了一次重要修正,通过了《欧洲Cookie指令》,并确定 2011 年 5 月 25 日在欧盟正式启用。

  《欧洲Cookie指令》要求网站在用户初始使用时网站必须关闭 Cookie 的使用,直到用户明确同意启用时才能此功能。这进一步具体规范了用户的知情权。

  隐私调查机构 TRUSTe 在 2012 年 10 月的统计报告里称,《欧洲Cookie指令》推出之前,英国排名前 50 的网站只有 12% 遵照关于 Cookie 设置的要求,在网站上弹出窗口或在指定的页眉页脚提供 Cookie 信息确认提示或信息说明。而法国和的前 50 大网站则全部不合规。

  现在打开英国最大的生活服务网站 GumTree 服务平台,你可以在最顶上很明显地看到关于 Cookie 的使用提示,这个提示很难被忽略。

  尽管欧盟不断通过了不同的数据修正指令来完善用户数据的,但是这些修正内容还是架构在 1995 年颁布的《数据指令》基本框架之上。

  2008 年 10 月,Facebook 宣布在的都设立国际总部,开始在欧洲推广社交网络。互联网调研机构 comScore 的数据显示,一年后,四分之三的欧洲网民都成为了社交网站 Facebook 的用户。在 Facebook 之后,推特也进入了欧洲。

  用户的个人隐私信息从基本的登陆密码,购物记录逐渐变成了每天的转发、照片、点赞和浏览记录等一系列信息。但当时,所有关于用户隐私数据的都没有明确地适应这个变化。

  欧盟希望能够有一个全新的完整框架用来代替二十年前构建的、已经不能适应移动互联网时代需求的陈旧框架。

  在上主持对扎克伯格质询的 Bill Nelson 在听证会的开场时说:“如果 Facebook 以及其他社交公司不按规则来,那我们任何一个人的隐私都将不存。”

  受到硅谷科技公司全球化的影响,欧盟国家内的科技服务基本被美国科技公司垄断,无论是社交 Facebook 、Instagram 还是打车应用 Uber 等,这些才是欧盟居民常用的服务。

  目前,欧洲并没有大型的互联网公司,这样让数据隐私的法规可以比较容易推进和立法。同时由于自身法律体系的完善和注重等特点,欧盟一直在用户上做的更早,更有标杆性。

  严苛的 PR 草案在 2012 年公布后收到超过 4400 份修正意见,数量之多为欧盟立法修正案中所罕见,而其中大部分修正意见来自于美国互联网企业。光是讨论这些修正意见就花费了 4 年的时间,但最终 PR 还是以 640 多票同意,10 票反对获得了通过。

  2015 年美国统计,美国科技企业每年在游说上的支出高达 26 亿美元,甚至超过了美国每年的预算( 12 亿美元、 8.6 亿美元)。而大企业进行游说的支出回报比甚至高达 220 倍。

  其中,亚马逊和 Google 的支出最多。尤其是在特朗普上台之后,科技公司为了拉近和白宫在政策上的分歧,游说花费每年都会突破新高。

  投行美银美林的报告显示:在美国,科技股是目前受监管最轻的一个行业板块,仅面临着 2.7 万条监管条例,而相比之下制造业的监管条例有 21.5 万条,金融行业也有 12.8 万条。

  但现在,这个情况开始发生变化。 PR 完全从用户的角度发出制定的内容获得了美国组织的广泛好评。越来越多的美国开始讨论 PR 这类严格的条例是否应该引入美国。

  非盈利组织与技术中心的杰夫切斯特接受采访的时候表示,“倒计时正在开始,我们将看到因为压力而最终采取行动“,他认为扎克伯格的听证会是帮助来理解用户隐私问题的重要门口。大众的正在积累,现在正是美国互联网隐私战争的开始,而不是结束。

  而硅谷风投公司 True Ventures 的合伙人奥姆马利克则表示,他非常肯定硅谷将遭到监管的冲击。“甚至这一切将由亚马逊、Google 和 Facebook 来推动,这并不令人意外,立法将可以防止规模较小的竞争对手收集数据,来获得商业上的优势。”

  但消费者权益组织 Public Knowledge 的总裁 Gene Kimmelman 则提出反对意见,他认为即使有强烈的两党共识,但立法行动是一个大问题,在这种下立法将非常困难。他预测可能需要几年时间美国才能推出和 PR 一样严苛的立法。

  与此同时,多个其它国家也开始立法数据流出国境,中国和俄罗斯都是先行者,但侧重点和 PR 差别比较大。在中国,苹果公司被要求将 iCloud 用户数据留在中国,以便于国营公司去管理这些数据。

  俄罗斯则在 2014 年推出了网络信息管理的法律修正案。修正案,外国通讯服务、搜索引擎和社交网站必须将俄罗斯用户的个人数据存储在俄罗斯境内,互联网服务供应商也必须在进行登记。

  当时,立法仅仅提供了一个模糊的用户数据的概念,但没有清晰的具体要求。互联网公司们一步一步来修订这《用户协议》,尝试从用户信息中挖掘出商机,同时尽可能地避免法律责任。

  通过《用户协议》, 互联网公司一步一步让用户允许公开自己更多的数据,从而分析用户的喜好,利用算法在信息流中针对性的推荐用户喜欢的内容。

  在这个过程中,先行者 Facebook 一次次道歉,一次次被原谅,而全球的互联网公司都效仿着它的做法。这个具体的过程,《好奇心日报》在上周的报道中有详细回顾。

  “烟草行业(1992年)、金融行业(2010年)和生物技术行业(2015年)都已经证明,监管浪潮会带来投资低下的结果。”美银美林的首席投资策略师迈克尔·哈特奈特(Michael Hartnett)发布的一份研究报告中写道。他在报告中列出了一系列理由,说明他为何认为应在今年减持科技股,而预计将有的监管压力加大是其中第十条,也是最后一条。

  报告指出,美国和欧盟即将实施的监管措施,比如说提高在线销售税等手段,可能会导致科技公司遭受大约 4% 的营收损失。

  严格的个人数据所带来的高额成本,复杂的数据使用授权(尤其是跨企业数据共享)和过度监管的风险,会让企业的信息资产管理的运营成本显著增加。

  同时欧盟、中国、俄罗斯等地的数据法案都根据用户所在地区管辖数据,也会进一步改变互联网公司全球化的生意。

  根据Ovum公司提供的调查报告显示,52%的科技公司管理者预计他们会因为违规行为而面临罚款。而管理咨询公司奥利弗·怀曼(Oliver Wyman)报告称,欧盟在第一年可能会收到高达60亿美元的罚款金额。

  今天所有主要互联网服务的快速扩张基本都可以追溯到收集更多信息、打破隐私边界的行为上,例如扫描通讯录、拿聊天记录和邮箱的信息打广告、和其它公司交换用户数据、利用用户协议让用户“自愿”交出越来越多的数据。

  当这些行为陆续被监管起来之后,用户的数据是会更安全,但这也意味着新公司越来越难拿到数据。与此同时,今天的巨头们已经拿到的数据、建立起来的对我们每个人的分析都还在。同时它们也有更多利润在应对数据监管所增加的成本。

  时政 Vox 称,PR 更深层次的意义是,这个法案将广泛地解决全球各个行业必须面对的用户数据问题,还包括依靠数据来增强控制的和机构。

  在互联网出现之前,监管能够做到的事情是极其有限的,很难做到大规模地掌握的个人数据,有的只是姓名、住址这类必须登记的简单信息。

  在印度总理纳兰德拉莫迪的领导下,印度正在从那里收集大量数据,包括使用生物识别设备追踪公共部门员工的工作表现。而中国也在正在积累大量有关其的数据,包括面部数据,公共场合的行动等等信息,最终依靠这些数据建立“ 社会信用 ” 排名。

  而美国的棱镜事件也让公识到正在通过科技公司个人数据隐私,EFF 等机构不断呼吁为隐私信息进行立法。

  计算机科学家亚隆·兰尼尔(Jaron Lanier)在这个月进行的 TED 大会上总结了目前社交网络对于整个社会的问题。

  兰尼尔引述 1950 年代计算机科学家 Norbert Wiener 探讨了一种可能:一个全球的计算机系统,人们每天随身带着设备,设备根据人们的行为给予反馈,这样整个人类的行为都会被系统。这样的社会实在太疯狂了,没法下去。

  兰尼尔说Wiener 当时不太担心这个问题,因为他觉得技术上难以实现,只能是一个思想实验。现场一片笑声,如今这样的设备人人都有。

  是的,移动互联网的便捷让人们将太多的生活,想法和信息都放在了网络上了。互联网公司通过算法分析数据来让你花更多的时间在平台上,这样才会看更多广告。

  当计算机变得越加聪明、算法更加精准,所有的设计、所有的内容,就为了让你在小屏幕上多留一分钟而存在。这些刺激很有效。就像心理学上经典的巴普洛夫案例,如果每次在给狗送食物前摇铃铛,久而久之,一摇铃铛,狗就会开始分泌唾液,铃铛成了条件“刺激”。社交在某种程度上也成了人类的某种“象征性刺激。”

  技术不但让每个人花更多时间在网上,还鼓励每个人发布可以帮助消耗更多时间的内容,为平台带来更多广告收入。与此同时,并不是我们的一切行为都可以被数据量化。但在精准广告驱动的互联网产品里,不能数据化的信息就不存在。

  在这样的机制下,获得更多的信息总是那些可以为平台带来收入的或者者想要传递的信息,而不一定是对受众有帮助的。