对外经济贸易大学数字经济与法律创新研究中心执行主任 许可 为FT中文网撰稿
美国作家爱默生说:“‘年’会教给我们‘日’所不知道的东西”。如果说2018年因欧盟《一般数据保护条例》(GDPR)生效而被称为世界数据治理元年,那么2019年就是延续与反思之年。从美欧到中国,从立法到执法,全球数据治理格局呈现出“不变中的变化”与“变化中的不变”。在新的十年的门槛上,我们不妨回望一下2019年,观察其间的大事件,思考背后的隐趋势。
个人数据保护执法:一山更比一山高
2019年,英国信息专员办公室(ICO)凭借着GDPR的利剑,对英国航空British Airways)和万豪国际(Marriot)分别开出1.8339亿英镑和9920.0396万英镑的巨额罚单。而在大西洋的彼岸,美国联邦贸易委员会不让欧洲专美于前,对Facebook开出了50亿美元的罚单,可谓前无古人。回到中国,2019年伊始,中央网信办、工信部、公安部、市场监管总局即联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,宣称2019全年在全国范围内开展专项治理。
大事件1:英国航空和万豪国际因违反GDPR遭受巨罚
2019年7月8日,英国ICO宣布其拟就英国航空违反GDPR的行为对其处以1.83亿英镑的罚款。ICO的罚款源于英国航空牵涉的一起网络安全事件,在该事件中,访问英国航空网站的用户流量被导向了一个欺诈性网站,大约50万名消费者的姓名、电邮件地址、信用卡等信息遭到泄露。
无独有偶,2019年7月9日,ICO宣布就万豪国际违反GDPR的行为对其处以9920万英镑的罚款。喜达屋酒店集团系统在2014年遭到破坏,致使3.39亿消费者的姓名、通讯地址、以及525万未加密的护照号码被窃取。尽管该案发生在万豪收购喜达屋之前,但正如英国信息专员Elizabeth Denham所指出:“GDPR明确规定,组织必须对其所持有的个人数据负责。这包括在进行公司收购时进行适当的尽职调查,以及采取适当问责措施评估获取了哪些个人数据以及采取了何等方式保护该等个人数据。”
大事件2:Facebook因8700万人数据被滥用被罚50亿美元
2018年3月,《卫报》和《纽约时报》曝出英国政治咨询公司“剑桥分析”(Cambridge Analytica)在未获得用户授权的情况下,通过在线性格测验的方式获取了8700万Facebook用户的个人信息,在2016年的美国总统大选中,这些数据被用于新闻或观点的精确投放,以帮助特朗普团队。事实上,早在2011年,美国FTC就发现Facebook未经用户授权将用户信息泄露给第三方,并通过带有欺诈性的设置和描述,随后,Facebook与FTC通过和解令而结案。在“剑桥分析”事件之后,FTC重启了对Facebook的调查,旨在探明其是否违反了和解令。经过一年多的调查,Facebook接受50亿的罚款,并FTC另外签署新的和解令。但Facebook的代价绝不限于罚款,此次针对Facebook的新和解令象征着美国联邦贸易委员(FTC)在隐私与网络安全方面监管公司的重大变化,对此可以参阅我之前《Facebook50亿美元的教训》那篇文章。
大事件3:中国App专项治理
在移动互联网时代,App成为我们进入网络空间最重要的入口,也是个人数据处理的开端。在过去一年,四部委开展APP专项治理工作,对1000余款App的协议文本、使用体验、技术细节三方面进行测试,督促问题严重的近300款App进行整改,整改问题达800余个,并制定和实施了《App违法违规收集使用个人信息行为认定方法》,明确了“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则,收集与其提供的服务无关的个人信息”等违法行为的具体含义。
在联合治理之外,公安部还单独开展的“净网2019”专项行动、市场监管总局开展的“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动、工信部网安局开展的“电信和互联网行业提升网络数据安全保护能力专项行动”、工信部信管局开展的“信息通信领域 APP 侵害用户权益专项整治行动”,亦前赴后继,形成了具有中国特色的个人信息保护执法格局。与美欧相比,中国的执法机关更分散,法律依据更多样,处置措施也更复杂。
个人数据保护立法:美国的宪法时刻?
在GDPR的影响下,大西洋彼岸出现了“美国版GDPR”的呼声,2018年加州率先出台了《加州消费者隐私法案》(CCPA),但加州并非独行者。在美国各地,激烈的公众讨论和行动将可能导致传统隐私权的结构性变化,以至于2019年已成为美国个人数据保护的宪法性时刻(Privacy’s Constitutional Moment)。
大事件4:《加州消费者隐私法案》的重大发展
10月10日,加利福尼亚州总检察长Xavier Becerra宣布发布CCPA实施条例草案,为2020年1月1日生效的CCPA铺平了道路。尽管CCPA相对宽松,但在有些方面,它比GDPR走得更远。CCPA的实施条例特别规定了企业在收集个人信息之时或之前向消费者履行的告知义务;关于选择退出出售个人信息之权利的告知义务(如设置“请勿出售”按钮);关于为收集、出售或删除个人信息而可能提供的财务激励或者价格或服务差异的告知义务;以及企业隐私政策必须包含的内容。此外,它还强调了“无区别对待”原则。企业不得因消费者行使其在CCPA下的权利而区别对待该等消费者。但这不意味着企业不能提供差异化的价格或服务,前提是该等差异与相应消费者数据向企业提供的价值“直接相关”。
大事件5: 美国联邦隐私法案的提出
在CCPA的刺激下,伊利诺伊州、纽约州和华盛顿州都在筹备自己的个人信息保护法,层出不穷的立法使得科技公司开始支持联邦层面的统一立法。11月26日,多名民主党参议员联合提出了《消费者线上隐私权法》(COPRA)。这份综合性隐私法案由参议员MariaCantwell(D-WA)、BrianSchatz(D-HI)、AmyKlobuchar(D-MN)和EdMarkey(D-MA)联合发起,其将向个人授予对他们数据的广泛控制权、设置关于数据处理的新义务、以及扩大美国联邦贸易委员会(FTC)在数字隐私方面的执法职能。Cantwell参议员的话颇具感染力:“在不断发展的线上世界中,消费者应当得到两样东西:隐私权和落实隐私权的强有力的法律。它们应当如同您的米兰达权利一样,人们应当明确知道它们是什么以及什么情况构成侵权。”与CCPA相比,COPRA首先明确了个人一系列数据权利,包括访问权、删除权、更正权和可携带权以及反对数据转移给第三方的权利。其次,它指示FTC成立一个新的部门专门负责隐私和数据安全问题,并设立一个“数据隐私和安全救济基金”,用于补偿受影响的个人。COPRA还指示FTC发布实施条例,例如进一步定义敏感的涵盖数据,并建立相应流程以供个人反对涵盖数据的转移。最后,COPRA向个人赋予了私人诉讼权,个人每天就每一侵权行为可以获得的一般损害赔偿从100美元至1000美元不等。
数据跨境流动:云深不知处
在全球化和数字化转型的大背景下,数据跨境流动是国际数据治理中的关键性议题,不论是GDPR,还是美国《澄清境外合法使用数据法案》(“《CLOUD法案》”),均尝试着确立数据跨境流动的新规则。不过,GDPR所规制的主要是贸易场景下大规模而持续的数据流动,而《CLOUD法案》所讨论的则是执法协作场景中跨境电子证据调取机制。自2018年3月出台以来,《CLOUD法案》引发了无穷争议,但也迫使相关国家启动与美国的双边谈判,重构数字时代的数据流动框架。
大事件6: 欧洲数据保护委员会发布关于美国《CLOUD 法案》以及对GDPR之域外效力的意见
2019年7月10日,欧洲数据保护委员会(“EDPB”)和欧洲数据保护监督机构(“EDPS”)发表了一项联合评估,指出《CLOUD法案》的域外效力可能导致服务提供商“较易面临美国法律与GDPR及其他适用的欧盟法律或成员国国内法律之间的法律冲突”。
两部门指出,GDPR第48条规定,非欧盟权力机构要求在欧盟以外转移个人数据的任何命令都必须得到司法互助条约(“MLAT”)等国际协议的承认,方才有效。因此,据两部门称,“欧盟企业通常应当拒绝直接的请求并且请发出请求的第三国权力机构依照现行有效的法律互助条约或协议行事。”但在另一方面,这并不意味着GDPR与《CLOUD法案》绝对不相容,在保护生命或人身安全等个人“重要利益”的情形下,相关数据可以跨境传输。但这显然是不够的,两部门建议欧盟和美国就一项新的国际协议开展谈判,该协议应包含强有力的程序保障措施并保护基本权利,同时支持“双重犯罪”原则。
平台数据之争:公地还是私域?
2019 年 10 月 31 日,第十九届中央委员会第四次全体会议通过的《推进国家治理体系和治理能力现代化若干重大问题的决定》中首次将“数据”纳入与劳动、资本、土地并驾齐驱的生产要素,这凸显了数据的经济地位。但由于数据自身的特殊性,数据在“使用上的排他性”和“享有上的竞争性”方面与传统财产迥异,这使得确立数据使用规则困难重重。2019年围绕网络平台数据的中外诉争恰恰显示了这一分歧。
大事件7:hiQ Labs 诉LinkedIn案上诉判决出炉
2019年9月9日,美国第九巡回上诉法院对“hiQ诉LinkedIn案”做出裁决,认定HiQ Labs公司从领英(LinkedIn)上抓取公开的个人信息数据的行为并未违反《计算机欺诈和滥用法案》,维持此前做出的对hiQ Labs公司有利的裁决。
作为一家为客户提供雇员评估服务的公司,hiQLabs的服务基础是对市场上公开获取的数据(特别是领英公开数据)进行统计分析。2017年5月,领英向hiQLabs发函,要求其停止非授权性数据抓取以及其他违反领英用户协议的行为。领英认为,hiQ未获授权进入领英的计算机系统抓取相关信息,违反了《计算机欺诈与滥用法》(CFAA)。作为回应,hiQLabs提起诉讼,认为领英构成不正当商业行为,提出动议请求法院作出临时禁令。2017年8月,美国加州北区联邦地方法院华裔法官Edward M. Chen针对领英的行为颁布了临时禁令。
在本案中,hiQLabs对公开信息的爬取行为是否构成CFAA下“未经授权访问”,是本案的核心争点。对此,上诉法院着重指出:CFAA此处禁止的是类似“破坏并闯入”计算机的行为,而非仅仅“使用”计算机的行为。因此,CFAA是一部“反侵入”法,而非反“滥用数据”法。领英网站数据默认对所有人公开,人人得以访问,不适用CFAA,hiQLabs不构成“未经授权访问”。
大事件8:腾讯诉今日头条不正当竞争案
2019年1月15日,今日头条推出短视频社交产品多闪,其下载链接短时间内被微信屏蔽,理由是“网页包含不安全内容”。三天后,今日头条母公司字节跳动官网的链接(bytedance.com)步其后尘,微信页面显示:“网页包含诱导分享、关注等诱导行为内容,被多人投诉,为维护绿色上网环境,已停止访问。”一周后,事态进一步升级,抖音的新用户无法以微信授权的方式登录抖音APP。2019年2月28日,腾讯一纸诉状,将头条诉诸法院。2019年3月20日,天津市滨海新区人民法院公布了对腾讯起诉字节跳动旗下抖音、多闪涉嫌违规使用用户数据一事的裁定结果。法院裁定,抖音立刻停止在抖音中向抖音用户推荐好友时使用来源于微信/QQ开放平台的微信用户头像、昵称;立刻停止将微信/QQ开放平台为抖音提供的已授权微信/QQ的登录服务提供给多闪使用,并不得以类似方式将其提供给抖音以外的应用使用;抖音、多闪立刻停止在多闪中使用来源于微信/QQ开放平台的微信用户头像、昵称。
与hiQ Labs 诉LinkedIn案不同,本案并不涉及数据爬取,而是经由腾讯开放平台应用编程接口(Open API)的数据调取,故此,法院所审查的重心自然落在了Open API的数据调取规则,也就是双方签署的开放平台《开发者协议》上。根据《开发者协议》,抖音和多闪是由不同的企业主体运营的独立应用,多闪并未申请接入微信/QQ开放平台,也并未与腾讯达成《开放者协议》,并非合同的一方,不享有通过Open API调取任何数据的权利。同时,根据《开发者协议》第2.7.6条,它也不能从抖音那里间接获取数据,因而,多闪应当将非法获取的头像和昵称删除。其次,对于抖音而言,其固然有权调取数据,但必须在《开发者协议》授权的范围内。《开发者协议》第2.7.2和2.7.3条明确规定,抖音不得将所合法获得的前述数据自行或提供给其用户、客户用于创建、补充或维护自身关系链,不得利用合法获得的数据(包括但不限于微信用户关系链等)实施或变相实施任何形式的推广、营销、广告行为。因此,尽管抖音获取数据并未违约,可它展示头像和昵称进行推广的数据使用方式却违反了《开发者协议》。
迈向公共治理的数据治理
数据不仅仅是企业的投入品,更是国家经济运行机制的重要生产要素,是国家治理能力的“基础性战略资源”;数据亦不仅仅是企业的产出品,更关乎世界范围内的生产、流通、分配、消费活动,具有全球化和跨国界的天然属性;数据也不仅仅限于企业,在数字化生存的时代,它改变了普罗大众对自我和对隐私的观念,同时塑造了人与人交往的方式。随着整个社会的数字化转型,在过去一年,数据治理开始从个人和企业的私领域日益向公共领域迈进。
大事件9:公共的“人脸”
我们的脸属于谁?这似乎是一个无需置疑的问题。但在2019年,一系列事件恰恰反映出这一问题的复杂性。
2019年7月,上海中医药大学附属闵行蔷薇小学成为首家“AI+学校”。利用智慧课堂行为分析系统,学校可以实时捕捉学生上课时的举手、练习、听课、发言等课堂状态和面部情绪变化,定量分析学生的学习状态、学习兴趣,如果有走姿倾斜、不良坐姿和睡眠不良等情况,系统会及时识别并生成预警报告。面部识别并不仅仅在学校,北京地铁也拟应用人脸识别技术,对乘客实施分类安检,以提高乘客的通行效率。对脸的关注令浙江理工大学特聘副教授郭兵于2019年10月28日向杭州市富阳区人民法院提起了诉讼。这一案件肇始于一封短信。作为杭州野生动物世界的年卡用户,杭州野生动物世界通过短信的方式告知郭兵“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,未注册人脸识别的用户将无法正常入园,同时也无法办理退费”。 郭兵认为,人脸识别等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害消费者人身和财产安全。
人脸不但可能被识别,还可能被替换。9月份,陌陌科技旗下AI换脸APP“ZAO”红极一时。只要向“ZAO”上传一张正脸照,每个人都能“逢脸造戏”,将自己替换为影视作品中的人物,生成逼真的视频。然而,“ZAO”在娱乐自己、欢乐大家的同时,也面临着用户隐私协议不规范、数据安全堪忧的质疑。在遭到工信部问询约谈之后,陌陌科技立即修改了用户隐私协议,并承诺全面加强内容管理、完善各项管理机制,确保用户个人信息安全和数据安全。
人脸固然属于每一个人,但不管是在过去还是当代,人脸同样也是社会交往的必要信息,如果人人带上面具,那么社会交往和信任就无法形成,而这也是《反蒙面法》的底层逻辑。但如何平衡脸的私人性和公共性,依然是暂时无解的问题。
大事件10:国家网信办发布《数据安全管理办法》(征求意见稿)《网络信息内容生态治理规定》
数据是个人、企业、社会、国家利益的聚合点,2019年5月28日发布的《数据安全管理办法》(征求意见稿)回应了这一趋势,将个人信息、国家重要数据和企业数据资源均囊括其中,形成了“狭义数据安全”(保密性、完整性、可用性、可控性)和“广义数据安全”(避免因数据的收集、存储、处理和使用给个人、社会和国家造成危害)的复合结构。
12月25日发布的《网络信息内容生态治理规定》进一步提升了数据治理的公共性。遵循着网络空间共享共治的理念,该规定以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,要求政府、企业、社会、网民等各个主体各负其责,开展弘扬正能量、处置违法和不良信息等相关活动。放宽视野看,这一规定站在网络空间的宏观视角上重新思考数据解决之道,未尝不能成为数据公共治理的新思路。
在1982年上映的经典电影《银翼杀手》中,2019年被想象为一个科技挑战、颠覆人本身的“奇观社会”。如今未来已来,“复制人”没有到来,但人的数字化却不可逆转,前路是福是祸?我想,人类只有在科技、伦理与法律的互动之中寻找正确的方向。
(本文为对外经济贸易大学数字经济与法律创新研究中心执行主任许可 为金融时报(FT)中文网撰稿)
