国际风云 | 数据安全与个人隐私保护

数说君

发布于 2021-02-02 10:57:30

1.6K0

发布于 2021-02-02 10:57:30

2021年，隐私和安全的数字时代已全面到来，数据安全和隐私保护甚至成为全球企业所面临的“头等大事”：

在欧洲，史上最严数据安全法 GDPR 开出了多个刷新记录的大额罚单；
全球包括东南亚、南美洲、非洲在内的多国陆续颁布了自己的隐私法案；
跨国科技巨头不断加码数据安全投入，成立专门的数据安全和隐私保护团队；
我们的王毅外长提出了《全球数据安全倡议》，呼吁各国深化合作，共商应对数据安全风险之策，共谋全球数字治理之道。

但另一方面，数据安全也成为国际间相互攻讦的政治武器，披上了意识形态的外衣。印度以“国家安全和隐私保护”为由下架了59款中国应用，美国“净网”计划直指中国公司，Tiktok 险些被封禁。特朗普在离任的前几天还签署了一项行政命令，禁止与包括支付宝、微信支付在内的8款中国应用程序交易，认为这些程序会窃取个人信息，并且被用来“追踪联邦雇员和承包商的位置、以及建立个人信息档案”。

下面，我们就具体看一下数据安全的国际大事件以及风险形势。内容包括：

1、中国企业面临的「跨境隐私合规」压力

1）从 Tiktok 事件说起

2020年7月的最后一天，时任美国总统特朗普突然对媒体宣布要对字节跳动旗下的APP Tiktok 进行封杀，一周后的8月6日，正式签署行政命令，勒令字节跳动在45天内出售Tiktok，否则将被封禁。

特朗普在行政令中称Tiktok “自动从其用户那里捕获了大量信息......例如位置数据以及浏览和搜索历史记录，此数据收集不仅威胁到了美国公民的财产与信息安全，而且可能被用于勒索与间谍活动。”

此后，字节跳动集团与美国政府陷入了漫长自救和持续打压状态。这边厢，字节跳动集团一方面不断声明美国用户数据只在美国储存；另一方面聘用大量政治说客、起诉特朗普政府违宪。那边厢，美国法院和商务部不断暂缓、叫停和宽限禁令的情况下，特朗普政府仍在尝试新的行政封杀令和推翻法院的“宽免”裁决。

就在1月5日，特朗普下达了一项新的行政命令，禁止与支付宝、微信支付、QQ钱包、WPS Office等8款中国应用软件进行交易，理由是这些信息可能被用来“追踪联邦雇员和承包商的位置、以及建立个人信息档案”。

2）美国“净网”计划

就在 TikTok 事件持续发酵的同时，美国启动了“净网”计划，意在从运营商、应用商店、应用、云、到电缆五个方面全面切断与中国的合作关系，理由是“防止对美国人民的隐私和数据的侵入”。

（时任美国国务卿蓬佩奥在Twitter上介绍净网计划）

在“净网”计划的记者发布会上，时任美国国务卿蓬佩奥直接点名中国七家科技公司，包括华为、中国移动、百度、阿里巴巴等在中国极具影响力的企业。

美国政府对 Tiktok 的一系列操作的背后，既有国家和数据安全考虑，亦有科技巨头之间的博弈背景，也有老头子自己对政治利益的保护。

3）科技博弈

近年来中国经济的崛起，以及在互联网、5G等领域的飞速发展，挤压了美国科技巨头的利益空间。

眼红于Tiktok成为美国月度下载量最高的应用，Facebook先后推出了两款非常相似的产品 Lasso 和 Instagram Reels。在两款产品中，用户都可以拍摄15秒的小视频，可以进行简单的编辑，并且作品会通过算法来进行用户推荐。然而，这两款产品最终都无法与Tiktok相抗衡，Lasso甚至很快淡出了市场。

除了抄袭和模仿，Facebook创始人扎克伯格多次在公开场合点名Tiktok干预美国言论自由，并且允许特朗普在facebook和Instagram（Facebook收购）上投放针对Tiktok的不利广告。

而特朗普政府发起的“净网行动”，更是借着“5G网络传输中的数据安全”为名义，从运营商、应用程序、应用商店、云服务、光纤电缆五个领域全面清理中国企业，并怂恿了30多个国家一起孤立打压中国5G技术的发展，为美国的5G发展清洁道路。

4）特朗普往事

如果特朗普说“没人比我更懂数据安全的重要性”，我真的信，不是因为他是“懂王”，而是因为在当年的“剑桥分析事件”中，他就是通过对大量民众的政治倾向数据的分析和操纵，才顺利坐上总统的宝座，又称“Facebook数据门”。

（“剑桥分析”事件）

2015年，剑桥大学一位教授开发了一款心理学应用，通过Facebook的接口收集使用者的个人心理学数据、以及通讯录好友信息；
该应用通过35万使用者收集到了5000万Facebook的个人信息；
随后数据被转卖给了一家叫“剑桥分析”的公司；
这家公司通过对数据中的个人爱好等心理学因素进行分析，构建心理学模型，预测政治立场；
分析结论被用于帮助特朗普团队进行定向政治宣传，投放政治广告，影响大选。

最终的结果大家都知道，特朗普登上了总统的宝座，这件丑闻也在2018年被曝光，随后剑桥分析公司破产，扎克伯格接受国会询问，并启动了多项整治措施。

所以，也许真的没人比特朗普更加明白数据安全的重要性了......

5）印度的封杀

1月26日的新闻，大家都看到了，印度宣布以“数据安全和隐私、非法获取信息”为由，永久禁止59款中国APP，包含Tiktok、Wechat（微信）、Weibo（微博）、Baidu map（百度地图）等。

与美国不太一样的是，印度似乎全民对中国APP都带有敌意。2020年5月，一款印度APP “Remove China APPs” 火爆网络，这款APP可以一键删除手机上的中国应用。

（图来源网络，侵删）

但很快，谷歌应用市场删除了这款应用，为此，印度网友还骂谷歌“是中国的宠物狗”......

2020年6月，印度政府出手了，宣布临时封禁59款中国APP，并要求这些公司解释对遵守隐私和安全要求的立场，半年后的1月26日，不顾多方质疑，印度政府正式宣布“永久下架”这59款中国应用。

2、全球隐私保护形势

前面这些针对中国公司的打压，虽然说是以“隐私保护”为名义参杂了大量的政治意图，但也确实给中国公司的出海道路上带来了巨大的隐私合规的压力，各巨头不敢在这方面出一点问题。

其实，不仅中国，全球其他国家的企业也面临越来越大的隐私合规压力。

1）GDPR 持续开出巨额罚单

欧洲的GDPR（General Data Protection Regulation，《通用数据保护条例》）被称为史上最严数据安全法，自2018年生效后，欧盟对全球很多科技巨头都开出了巨额罚单，下表是目前落实的金额最大的5个罚款：

我们来逐一看看这些罚款：

谷歌在法国被罚5000万欧元，为目前GDPR落实的最大罚单，但1年后谷歌刷了新自己的记录！ 2019年初，GDPR刚生效不久，谷歌就因“向用户定向发送广告时缺乏透明度、信息不足，且未获得用户有效许可”被法国政府罚了这笔目前还是最高记录保持者的5千万欧元（约4亿人民币）罚款。但这并不是谷歌最后一次被罚，就在2020年12月，谷歌再一次刷新自己的记录，因“未经事先征得适当同意就使用网络Cookie跟踪用户活动”又被法国政府开出了1亿欧元的罚款！但所幸这次给了3个月的时间来整改，具体落实的金额，还要看整改的情况。
再也不能随意监控员工！H&M集团因收集员工个人数据，被罚3000多万欧元 2020年10月，德国汉堡数据保护局以“过度收集员工信息、非法监控员工隐私的行为”为由，对跨国快消品巨头H&M处以约3525万欧元（约2.8亿元人民币）的罚款，为欧盟GDPR史上第二大单。中国企业可能对于员工的隐私保护不是那么在意，但对于有跨境业务的就要特别小心了！如果企业在欧盟有分支机构、有欧盟的员工，同样会收到GDPR的管辖，而且罚款的金额不是看你在欧洲的业务量大小来定的，而是看你全球营业额！后面要说的万豪2千万罚款就是这么跪的......
欧洲对电信骚扰进行整治！意大利电信运营商被罚款2780万欧元 2020年1月，意大利数据保护机构Garante向电信运营商TIM开出2780万欧元的罚单，理由是缺乏有效同意的数字营销，比如电话、短信营销等。其实，这一单罚款针对的就是我们经常说的电信骚扰。我们平时接到的很多骚扰电话、垃圾短信，有些还能精准知道我们最近的活动，比如去了哪里消费、使用哪些APP等，一部分的泄露源就来自短信/电话的泄露、流量被劫持等。上几个新闻给大家看看：个人信息泄露，电信运营商成为矛头所向，都是“内鬼”的错?（https://www.sohu.com/a/377582354_442599）电信公司如何平衡消费者隐私和定向广告（https://zhuanlan.zhihu.com/p/149175548）为了提升用户体验，以及降低诈骗短信等带来的风险，铁路部门对消息通知方式进行了调整这些情况将不再发送短信通知（https://mp.weixin.qq.com/s/-0n_2pKlQy6Yj9INGxk4Ug）
42万用户泄露！1.83亿英镑罚款！终因疫情被免去了近90% 2019年9月，英国ICO（Information Commissioner"s Office，信息专员办公室）决定对英国航空开出1.83亿英镑（约15.8亿人民币）的罚单。原因是因为英国航空的官网因被攻击而泄露了42万用户的姓名、住址、账号密码、信用卡信息和订单信息。随后英国航空以疫情造成的经济影响等原因进行上诉辩护，最终在2020年10月，英国ICO将罚金改为2千万英镑（约1.7亿人民币）。否则1.83亿英镑将妥妥成为的史上最高罚款。

万豪旗下喜达屋住房数据泄露，罚款万豪全球营业额3%！也因疫情被免大部分 2019年，与英航一同被ICO开出罚单的，还有万豪集团，原因是其旗下的喜达屋酒店遭到黑客攻击，导致全球3.39亿住房数据被窃取，其中，有3000万条记录和欧洲经济区的31个国家居民有关，700万条与英国居民有关。 GDPR对一个企业的罚款，是按照这个企业（上一年度）的全球营业额来的，所以ICO初始开出了9900万英镑（约8.7亿人民币）的天价罚款，占其全球营业额的3%，后来也因疫情等原因只落实了2000万英镑（约1.8亿人民币）。 喜达屋发生数据泄露是在2014年，但万豪收购喜达屋是在2016年，可以说万豪这笔不仅罚的一脸懵X，也很委屈。

如今GDPR已实施了2年多的时间，截止1月26日，已经开出了510张共2.85亿欧元（约22.36亿）的落地罚单，最大罚单谷歌的5000万欧元，最小罚单48欧元，罚款范围从科技巨头、运营商、政党、到医院甚至个人，比如德国有一个Youtube的用户，因为上传的东西暴露了他人隐私，被罚了200欧元。

（GDPR罚款统计，截止1月26日）

（德国某YouTube用户的罚单详情）

2）全球多地陆续颁布隐私法案

除了欧洲的GDPR，其他比较有代表性的就是美国的《加州消费者隐私法案》（CCPA），被称为全美最严厉隐私保护法，于2018年6月颁布，2020年1月1日生效，CCPA的一个特点是设立了“改正期”制度，总检察长发出不合规通知之后，如果企业在30天内做出了整改，则将不予进行罚金诉讼。

此外，全球很多国家都有了自己的隐私保护法案，下图是安永整理的全球隐私法案地图，可以看到，南非、智利、泰国、菲律宾这些国家也都陆续颁布了相关法律。

（图片来自安永，侵删）

中国对隐私保护的力度也越来越大，近年来多项规范、指南、标准不断发布，去年还发布了《数据安全法（草案）》和《个人信息保护法（草案）》，目前正在征求意见中，预计今年正式法案将会发布，在下一集中将会重点解读。

3、科技巨头纷纷加码数据安全投入

在这样的隐私合规压力下，跨国巨头们纷纷加码数据安全和隐私保护的投入，从制度、法务、合规、技术、产品全链路上锻造自己的隐私保护能力。

1）Tiktok的努力

处在风口浪尖中的 Tiktok 和字节跳动集团多次宣布会扩大数据安全和隐私保护团队。

今年8月，Tiktok宣布斥资4.2亿欧元（约33亿人民币）在爱尔兰建立首个欧洲数据中心，用于存储欧洲用户的数据。

细心点你会发现，目前有很多科技巨头的欧洲总部都设在爱尔兰，如Twitter、Google、APPLE等，除了税率很低，爱尔兰整体的营商环境都非常好，甚至包括监管。根据GDPR的规定，“主营业场所”的政府为该企业在欧洲的主要监管机构，所以，你懂的......

比如2020年12月15日，Twitter因数据泄露事件，被爱尔兰DPC（数据保护委员会）处罚了仅45万欧元：

2020年12月15日，Twitter因数据泄露事件被处于仅45万欧元的罚款，就是爱尔兰DPC开出的。因为Twitter的欧洲总部在爱尔兰，所以Twitter的数据泄露事件由爱尔兰DPC主导调查，起初给出的罚款额度甚至更低，在征求意见的时候，向其他欧盟数据保护机构均提出了反对意见，如奥地利要求处以至少2500万欧元罚款，德国则要求处以730~2200万欧元的罚款。

除了Tiktok，跨境科技巨头都纷纷加码数据安全相关投入。

1）B/A/T相继成立自己的隐私平台

目前，腾讯、阿里、百度，都成立了自己专门的隐私平台，宣传自己隐私保护能力、产品的合规性、隐私保护价值观等等。