截至2018年底,全球约120个国家和地区制定了综合的隐私保护法规。这些法规大多借鉴或模仿欧盟《通用数据保护条例》和美国《加州消费者隐私保护法案》,形成个人数据保护的法律框架,以应对隐私数据无障碍跨境流动的挑战,争夺数据治理的国际话语权。及至2019年,法律法规的制度配套、司法解释、合规指南、指导建议、实践手册密集出台,填补了法律框架骨骼下的内容肌理,构建出数据保护的制度体系。同时,2019年亦是数据保护执法常态化的一年,日常化的执法行动曝光大量数据安全事件和泄露案例,并催生破纪录的巨额罚款,助推数据保护制度向专业化、细分化方向发展。
一、2019年数据泄露状况研究
(一)2019年国外数据泄露分析
2019年,世界各国的数据安全制度逐步落实,执法监管力度趋大,但在经济利益的驱动和新型技术的庇护下,网络攻击事件持续增多,数据泄露情况依然严峻。本报告爬取国外主流媒体、科技网站以及网络平台的公开报道并作交叉验证,获取2019年间整100例国外数据泄露案例,按照数据泄露量/数量进行排名,同时分析其所属行业、泄露原因以及数据敏感度,总结出2019年国外十大数据泄露事件(见表1)。其中,数据敏感度主要依据欧盟《通用数据保护条例》(GDPR)第9条规定以及具体的情景设立五个等级,分别标注“1”“20”“300”“4000”“50000”。
表1 2019年国外十大数据泄露事件
可见,2019年十大事件主要发生在美国、俄罗斯和印度。其中,数据泄漏量排名第一、二的事件分别发生于俄罗斯和美国,后果最为严重的是美国网络软件公司思杰(Citrix)内网被黑客入侵而导致的数据泄露。根据本报告统计的100例国外数据泄露事件,2019年国外数据泄漏量约达97亿,较2018年急剧增加。数据泄露涉及领域主要集中于网站(25%)、医疗健康(21%)、零售(9%)、金融服务(9%)和信息技术(7%)等行业或领域的机构(见图1)。这些机构均大量收集、处理或交易个人数据,牵涉巨大商业利益,因此存在泄漏的高风险。从泄漏原因看,以黑客入侵为主(62%),被窃取的数据被投放到黑市、暗网上出售,或被用于敲诈勒索。巨额泄漏数据量的背后,经济价值依然是侵权行为的主要诱因。其他原因有数据系统或数据库的安全性差或是内部人员操作(见图2)。从数据泄露的类型看,53%的事件中泄露个人姓名,为最常见的数据类型,其次是电子邮件地址(50%)、地址或位置信息(46%)、密码(34%)、用户名(31%)和身份识别号(25%)(见图3)。这些数据类型需要引起数据主体和数据控制者的特别注意或警惕,必要时可做脱敏处理。总体来看,数据泄漏统计量的增加,也与各国数据泄露通知制度的不断完善有关。在数据泄露通知制度的规范下,数据泄露瞒报或延报的情况有所改善,数据侵权行为的公开更加及时、透明,隐藏在“数据冰川模式”下的数据泄露事件得以及时披露。
图1 2019年数据泄露事件(N=100)所属行业或领域
图2 2019年数据泄露原因分析(N=100)
图3 2019年国外数据泄露事件(N=100)泄露的数据类型分析
(二)2019年国内数据安全状况
通过爬取主流媒体、专业媒体、科技网站以及社交平台的报道、数据并作交叉验证,本报告收集到12例国内数据安全事件,按照数据泄露数量进行排名,同时分析其所属行业、泄露原因以及数据敏感度,总结出2019年国内十大数据泄露事件(见表2)。其中,泄露数据敏感度主要依据中国国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2017)第3条第2款(包括附录B)以及具体的情景,设立“低敏感度”、“高敏感度”两个等级,分别用“1”“2”表示。
表2 2019年国内十大数据泄露事件
通过横向对比国外、纵向对比2018年,2019年国内数据泄露事件呈现以下特征。
1. 数据泄露事件锐减,数据泄露规模扩大。“净网2019”专项行动对数据窃取、盗用等网络犯罪分子起到震慑作用,网络环境从源头上得以整治。与此同时,根据本报告统计,在2019年泄露数量达十亿级以上的11起数据安全事件中,5起为国内数据泄露事件;国内数据泄露总量达49亿,约占全球年度数据泄露总量的1/3。随着国家对网络违法犯罪行为的惩治力度不断加大,各地数据管理规定的出台,以及数据安全、隐私保护相关法规的不断健全,国内网络安全状况有所改善。但作为数据生产、使用、交易大国,中国的数据保障仍面临挑战。
2. 电商零售、智能家居为数据泄露重灾行业。随着电子商务与移动支付的快速普及和发展,数据的深层价值得到进一步挖掘,但信息泄露带来的财务损失风险也在增加。另一方面,在大数据、云计算等底层技术的支撑下,万物互联的物联网时代加速来临,数据产出的规模更加庞大。这对物联网公司的数据保护意识与能力提出高标准要求。但2019年智能家居公司泄露近40亿条个人数据总量表明,物联网背后的隐私安全问题不容小觑。
3. 管理薄弱、缺乏安全保障为主要泄露原因。从泄露原因来看,国内数据泄露主要是由数据存储防护措施不当、安全性较差所致。上述国内十大数据泄露事件中有九起均为数据云储存服务器未加密致使数据公开。调研发现,2019年,云中存储数据量的快速增长与企业组织的云安全保护策略之间的差距越来越大,仅49%的组织对云中的敏感数据进行了加密。若云服务器暴露,任何人均可通过网络浏览器访问个人数据。而且,难以把控泄露数据的去向,即便及时采取救济措施,企业依旧面临泄露的数据被第三方获取的风险。企业应未雨绸缪,重视服务器安全问题,及时更新软件补丁,定期进行漏洞扫描与检查,降低不必要的数据泄露风险。
二、国外数据保护制度总体分析
放眼全球,2019年是数据保护的“制度配套建设元年”,亦是“人脸识别元年”。“双元年”具有承前启后的意义。
(一)制度配套方案密集出台,政企联动推进执法落地
2019年是制度配套、司法解释、合规指南、指导建议、实践手册不断更新的一年(见表3)。国外各主要经济体分别围绕欧盟《通用数据保护条例》(GDPR)的实施、中国《网络安全法》的执行、美国加州《消费者隐私保护法案》的颁布不断更新的配套执法方案,形成日臻完善的司法解释、行政建议、行业指南多维体系。在欧盟,GDPR对27个成员国(当前不包含英国)统一适用并具有一致的法律效力,但也允许成员国各自的国内数据保护法规中在50多处有不同规定。欧盟成员国之间仍然有不同的司法解释和执法实践的空间。例如,GDPR实施后,法国对个人数据保护法规进行更新,通过《第2018-1125号命令》“简化实施程序并进行必要更正,以确保与欧盟数据保护法保持一致”,并于2019年6月1日生效。欧洲数据保护委员会(EDPB)接替“第29条”工作组,为GDPR的落地密集发布制度阐释和合规指南。在美国,内华达、纽约州、新罕布什尔州纷纷于加州之后制定数据安全法案,作为对《加州消费者隐私保护法案》的响应。作为数据侵权主体,互联网巨头Facebook、Google等在遭遇系列危机事件后,开始主动作为,陆续发布隐私保护原则以及《数据可携性与隐私白皮书》,以期影响政策制定者,降低法律风险和经济成本,从而实现效益最优化。
表3 2019年国外数据保护制度配套
人脸识别技术被广泛应用于金融交易与验证、司法侦查与鉴证、公安防范与执法、教育评估与管理,以及边检、航天、电力、医疗及企事业单位管理等领域。由于具有高便捷性、准确性与实时性,人脸识别技术在资本、政府、市场需求等多种因素的裹挟下迅速应用开来。国际市场研究机构Gen Market Insights发布报告称,中国人脸识别的市场规模在世界范围内处于领先地位,2017年占全球市场的29.29%,预计在2023年占44.59%。目前,大多数国家和地区没有建立起人脸识别应用及面部特征数据使用的制度规范,但欧盟、美国都在积极探索立法立规,将人脸识别应用纳入法制轨道。2019年11月,欧盟基本权利局发布《面部识别技术:执法中的基本权利考量》探讨了实时人脸识别技术应用于执法时对基本权利构成的挑战,其中影响最大的权利包括尊重私生活和保护个人数据、非歧视、儿童及老人的权利等。而在美国,伊利诺伊等三个州早在2008年就制定全面的生物识别信息保护框架,并在2019年的执法中对Facebook的人像标签应用实施了巨额罚款;公共管理领域,先后有一批城市通过了禁止警察及市政机关使用面部识别技术的法案;2019年12月,美国国家标准与技术研究院(NIST)评估了种族、年龄和性别等因素对人脸识别效果的影响,发现大多数人脸识别算法会因人口统计学差异而产生不同的误差,并对可能存在的歧视发出警示。可见,美国对面部识别应用的限制正逐步加深和拓展。
三、国内数据保护制度创新分析
(一)数据保护进入立法日程,专业细分的数据保护制度开启
首先,《个人信息保护法》《数据安全法》的草拟出台,意味着个人隐私与信息保护进入综合立法的日程。隐私与个人信息的保护将真正实现有法可依。在此之前,国务院、工信部、网信办、公安部等多部门联动,于2019年先后拟定几十个规范性文件,为《个人信息保护法》《数据安全法》的出台营造司法环境(见表4)。同时,未成年人个人信息保护也已进入立法日程,未成年人保护法修订案中增加了对未成年人网络信息的保护规定。网络用户低龄化、儿童信息敏感化、信息保护零散化、儿童维权艰难化、儿童权利救济缺位等问题都表明,应该对未成年人(尤其是儿童)的个人信息保护实施特殊的制度化安排。其次,人工智能专业领域的行业约束与自律进一步强化。《新一代人工智能行业自律公约》《人工智能安全与法治导则(2019)》等行业准则明确人工智能的发展应加强个人隐私保护。这些法律法规、行业准则与《网络安全法》等合力构建了保护个人隐私与数据的完整制度闭环。强制化、自律化、专业化、细分化的个人数据保护制度建设步入加速期。最后,地方政府参与制定相关规则的意识增强、行动加快。《北京市公共数据管理办法(征求意见稿)》《上海市公共数据开放暂行办法》《天津市数据安全管理办法(暂行)》《贵州省大数据安全保障条例》等地方行政规定都考虑到公共数据的开放、大数据产业的发展必须以尊重个人数据权利为前提。
表4 2019年国内数据保护制度的配套规定
(二)促进数据收集与交易标准化,整治手机App违规收集个人信息
2019年,全国信息安全标准化技术委员会以及中国国家标准化管理委员会先后发布《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》《信息安全技术 数据交易服务平台通用功能要求》《信息安全技术 数据交易服务安全要求》《网络安全实践 移动互联网应用业务功能个人信息收集必要性规范》以及《人工智能安全标准化白皮书》等国家标准、行业标准,分别约束手机App过度收集个人信息行为、指引人工智能安全操作、规范数据交易行为等,以落实《网络安全法》关于“网络运营者收集、使用个人信息”的规定。尤其值得关注的是,四部门联合开展的APP违法违规收集、使用个人信息的专项整治行动,持续近一年,并印发《App违法违规收集使用个人信息行为认定方法》(简称《方法》)。《方法》明确以下几点:(1)须区别对待收集到的个人信息和企业信息;(2)手机App的隐私政策(privacy policy)须满足一些具体要求、达到一定标准;(3)认定未经用户同意而收集信息的九种情形;(4)明确未经同意向第三方提供个人信息行为的处罚规定;(5)信息的删除、更正、投诉与举报等。《方法》作为国家部委的规范性文件,虽不具有法律属性,但在执行层面为国家决策层提供了正式规则与实施机制,具有制度化、精细化、创新性等特征。
四、数据保护制度创新趋势展望
基于2019年国内外数据保护制度的探讨,我们可预见未来数据保护制度创新的如下趋势:
第一,健康及生物识别等敏感数据的保护将是制度创新的重点,人脸识别执法的推进将带来更多破纪录罚款。
第二,立法实现突破、国标配套完善、信息出境得到保护、信息保护执法持续化将是中国未来数据保护制度创新的总体趋势。
作者简介:王敏,武汉大学媒体发展研究中心研究员,武汉大学新闻与传播学院副教授;曹放,武汉大学新闻与传播学院硕士研究生。
基金:本文系国家社科基金(青年项目)“大数据时代个人隐私的分级保护研究”(17CXW027)的阶段性成果,亦是武汉大学人文社科青年团队“数据保护制度创新研究”的成果之一。