2019年数据保护政策趋势展望

来源：中国信息产业网  作者：王融、余春芳

　　在全球数据保护法律政策中，欧美仍将扮演引领性角色。欧盟“e-PR”或带来更严格规制。美国联邦与地方隐私立法互补。

　　在GDPR之后，欧盟未来的数据保护立法重点无疑在《隐私与电子通信条例》（Regulation on Privacy and Electronic Communications，又称“e-Privacy Regulation”，e-PR）。2017年1月10日，欧盟委员会公布了e-PR草案，旨在规范电子通信服务并保护与用户终端设备相关的个人信息。e-PR将取代当前的《电子隐私指令》（e-Privacy Directive，简称e-PD），实现更严格更全面的电子通信数据保护，也将作为GDPR的特别法与之并行，在电子通信数据方面对GDPR进行具体化和补充。e-PR将适用于在线通信服务、使用在线跟踪技术或从事电子直接营销的企业，包括即时通信、VoIP等OTT服务商，如WhatsApp、Facebook Messenger、Skype 等；保护范围不仅包括通信内容，还涉及时间、地点、来源等标记通信内容的元数据。e-PR的前身e-PD经常被称为cookie指令，但其实，e-PD 和e-PR不仅仅是关于cookie信息留存和访问的规定，它还涉及电子通信和保密权、隐私数据保护等数据安全的其他方面。

　　考虑到美国各州差异巨大，能在联邦层面达成共识的隐私立法不会过于详实，具体的执法细则应根据各州的具体情况进行规定，制度规范也不会像GDPR那般严苛，而是更加注重消费者保护的实际效果和促进企业发展、技术创新之间的平衡。美国各州都制定了数据泄露通知法，很多州立法中引入了向受数据泄露影响的个人提供免费信用监测服务的规定，例如特拉华州要求公司在特定情况下向受数据泄露影响的个人提供一年的免费信用监测服务。

　　2018年，面部识别技术发展迅猛，在安防、管理、金融、消费、社交、娱乐等多个领域得到应用。然而，面部识别技术大规模、多领域的全面应用，带来的不仅是安全有序的社会环境、高效便捷的服务体验，同时也造成了对隐私保护、数据安全的担忧。面部识别技术已经产生了一些引人注目的诉讼案件。2018年12月29日，谷歌面部识别诉讼案落下帷幕，尽管在诉讼中，谷歌并未败诉，但为了避免面部识别技术可能带来的潜在风险，谷歌宣布了包含结合隐私设计原则等在内的人工智能原则，并提出在解决重要的技术和政策问题之前，主动推迟提供通用的面部识别API功能。消费者知情同意问题是面部识别技术应用的另一争议点。2018年4月6日，电子隐私信息中心（EPIC）等组织向美国联邦贸易委员会（FTC）申诉，投诉针对Facebook在2018年初生效的功能更新，即在未经人像主体或上传照片的人同意的情况下，定期扫描用户发布的照片进行面部匹配和标签。EPIC强调，这种自动的、欺骗性的、不必要的个人身份识别破坏了用户的隐私，目前此案尚在调查中。

　　除了消费者知情同意问题，面部识别的数据准确性也引发争议。同时，面部识别技术往往与庞大的个人数据库相联系，因此其带来的更深刻的问题是公共空间的匿名性悖论。在公共活动中一张脸的单个图像可以通过查阅数据库被快速识别，而如果该数据库与其他数据库相连，则可能链接到无尽的个人信息。政府执法部门可以利用该技术持续、实时、大规模监测民众言行举止，商家可以利用该技术记录甚至分享消费者的购物情况及喜好。在公共空间内，公民原来匿名环境中的安宁与自由以及隐私的基本期待被彻底颠覆。暴露在外的面部就像一扇门，而面部识别技术则可能是打开潘多拉魔盒的万能钥匙，未经主人同意就开门索取门内个人相关信息的行为，显然存在道德伦理上的问题。

　　与人脸识别技术更依赖于科技伦理来引导相比，区块链技术则面临现实的合规性问题。尽管区块链技术将有利于提升人们对个人数据的控制权，但区块链去中心化的数据处理模式却导致其与传统中心化范式的GDPR难以兼容。面对区块链应用带来的数据保护合规问题，法国数据保护机构CNIL在2018年9月发布了区块链GDPR指南，对于如何界定区块链中的数据控制者和数据处理者，如何在区块链上履行最小化原则以尽可能减少对数据主体的风险，如何确保有效行使GDPR规定的数据权利，区块链的安全性等问题，作出了首次官方回应。除了CNIL的指导外，民间的咨询机构也给出了相关意见。其中比较有代表性的是咨询机构“Tech GDPR”强调的区块链隐私保护需要遵循“设计隐私”理念，阐述了其所包含的七个重要原则：采取事前预防措施；将隐私作为默认设置；将隐私融入设计；隐私保护和功能性兼顾；通过端到端的防护实现数据全生命周期的保护；实践可见性与透明度，保持开放；尊重用户隐私，以用户为中心。

　　总体看，不论是人脸识别技术，还是区块链技术，都体现了现有数据法规难以适用的落差。解决的思路可以从两端出发，一是科技行业主动自律，正如谷歌、微软积极提出人脸识别技术及其他AI技术的使用原则，以“科技向善”的理念进行自我约束，明确技术不能突破的底线；二是立法与监管也需要不断创新，以创造性提出解决方案。展望2019年，数据主权、数据跨境流动、数据保护合规、数据泄露、数据滥用、数据权属、数据共享有望成为数据保护政策领域的关键词。