靴子落地。
再过两个月,业界讨论已久的《中华人民共和国个人信息保护法》(下称《个人信息保护法》)就将于11月1日正式施行。此后,中国互联网也将进入数据监管的新时代。
也就是说,大到腾讯阿里字节美团这样的互联网巨头,小到电商商家、小区物业、独立开发者,在数据问题上,任何组织与个人都被戴上了法律的镣铐,再也不能无所顾忌地随意收集、处理或泄露用户数据。否则,就将面临巨额罚款。
《个人信息保护法》的公布随即引起了海内外的广泛关注。硅谷科技媒体The Information将这部法律称为“世界上最严格的隐私法之一”,《华尔街日报》则评价它“严厉程度全球居前”。
还有许多分析文章将《个人信息保护法》同欧盟于2018年生效的《通用数据保护条例》(下简称GDPR)相提并论,因为它们在包括核心条款、适用范围等方面都极为相似。比如,《个人信息保护法》中要求不得过度收集个人信息、收集和处理个人信息应取得充分同意、严重违法罚款顶格可达营业额5%等条款,也都能在GDPR中找到一一对应的影子。
据腾讯研究院,在全球另一大经济体美国,即便是最为严格的州法案《加利福尼亚州消费者隐私法案(CCPA)》,从各方面来说都要比欧盟GDPR和中国《个人信息保护法》要宽松。
欧盟最早提出GDPR的时候,曾经有分析担忧,过于严苛的监管环境将会导致欧洲的互联网产业大幅落后中国和美国。从实际情况看,这一点得到了一定程度的验证。但它没预计到的是,随着互联网狂飙突进,全球所有经济体都意识到不能再放纵互联网公司的监管套利,所有监管者都在向他们的欧洲同行看齐。
《个人信息保护法》规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
从伦敦到旧金山,从布鲁塞尔到北京,大数据和算法要像权力一样被关进笼子里——这已是这个时代前所未有的全球新命题。
法律赋予用户拒绝算法的权利
那么,中国的《个人信息保护法》生效后,到底会产生什么影响呢?
前两天有一起信息泄露事件被炒得很火。据浙江省通信管理局文件,2019年双十一阿里云未经用户同意擅自将用户注册信息泄露给第三方合作公司,后阿里云解释称该事件是阿里云一电销员工将私下获取的客户联系方式透露给分销商员工,引发一名客户投诉。阿里云称,“已根据公司制度进行严肃处理”,并“积极整改”。
很明显,如果这类事件是在2021年11月后发生,阿里云面临就将不止是内部处理和积极整改了。
从欧盟GDPR的经验上看,互联网公司肯定是这类法律法规处罚的重灾区,因为互联网天然就是数字化程度最高、掌握最多用户数据、并且最依赖大数据和各种算法的行业。Facebook和谷歌都曾在欧洲多国市场因没有充分履行数据处理原则等违规行为而遭到GDPR罚款。就在一个月前,亚马逊也正因“对个人数据的处理不符合GDPR”而面临7.46亿欧元罚款,如果这项处罚最终成行,将打破GDPR生效以来的罚款记录。
但GDPR也不只是针对互联网公司。在其生效之后,2019年,英国航空公司由于泄露 50 万名乘客个人信息被重罚近 2.04 亿欧元,万豪也由于此前发生的客户数据泄露事件得到1.1亿欧元的罚单。
可以想见,在过度收集人脸识别数据、算法降权营销、大数据杀熟等行为泛滥的中国市场,任何公司如果不能在合规性上下一番功夫,此后也必将面临这类重大罚单。
上海大邦律师事务所高级合伙人、知识产权律师游云庭在界面新闻撰文分析称,《个人信息保护法》将会使互联网公司的算法优势削弱。比如,网约车平台根据手机型号不同而导致价格不同的杀熟情况,有可能违反落地后的《个人信息保护法》。
《个人信息保护法》第二十四条规定:
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
法条里的自动化决策即我们一般俗称的算法,也就是说,《个人信息保护法》明确规定以后互联网公司不能再利用算法对用户的了解来“大数据杀熟”,并且用户可以拒绝被算法过多了解自己。
同样地,除了网约车场景,用户也有权在电商App里关闭千人千面和猜你喜欢,在资讯信息流里不要个性化推荐——是的,这些都是十年来让移动互联网蓬勃发展的主流产品和技术。
《个人信息保护法》生效后,将赋予用户拒绝被过度数字化的权利。这当然会给各大公司带来损失,经营效率的下降——因为那种无所顾忌采集用户个人信息,用来当作饲料喂养算法的行为,将会受到法律的惩罚。
可如果仔细思考就知道,容易做的业务一定做不长久,高毛利的行业一定会被调节。
但《个人信息保护法》也并非是要让我们倒退一个时代,不要把它极端理解为反工业化、反数字化。
中国今年通过的十四五规划纲要仍然要求加快数字化发展,仍然要求培育壮大数字产业。只是所有互联网巨头都走得太着急了,他们常常忘了等一等他们的用户。因此,为了保障个人权利,保障普通消费者的利益,就必须立法保护个人信息,遏制互联网巨头的无序发展。
2021年7月,在政界和学界都享有盛名的清华大学兼职教授黄奇帆在一个行业会议上指出当前消费互联网领域的四个问题:烧钱扩规模以取得行业垄断、利用人性弱点设计产品、利用垄断地位采集信息侵犯隐私、互联网杀熟等。
其中,反垄断监管正在如火如荼地进行中,而其它几个方面,正是《个人信息保护法》想要解决的问题。互联网公司已经在弱数据监管的环境下蒙眼狂奔够久了,如果现在开始能学会敬畏一些东西,不失为因祸得福,甚至能会活得更久。
时代的情绪已经变了
很多互联网巨头都曾在对技术过于迷信。
马云曾经说,“人类正在从IT时代走向DT时代(Data technology)”,他认可并推销数据的价值,并且希望帮助所有人适应在这个越来越数字化的时代里生存。张一鸣也曾对算法推荐分发推崇备至,因为对算法的重视正是今日头条和抖音成功的重要原因。而李彦宏更是在一次公开论坛中失言刺痛了公众神经:中国消费者愿意用一定的个人数据去换取便捷服务。
这些都是对数据和算法的认知,大佬们获取经验和信息的来源都远比一般人丰富,基于那样的经验和信息,他们在特定时期得出了这些结论和判断。
现在我们已经知道,如果放任由单纯的商业竞争来驱动数据的无序发展,往往会出现一些始料未及的后果。
人们已经越来越意识到,基于大数据和算法的各种社交网络、视频平台、电商软件、搜索推荐引擎,早已不是什么单纯的工具。它们把用户视为流量,对用户有所诉求,它会引诱你、操纵你,想从你身上获利。它们不停地向你索要更多的数据权限,向你索要电话号码、真实照片、家庭住址、银行卡号、身份证号以及社交关系,并且用这些数据去推断你的经济能力、社会地位、兴趣爱好或者风险偏好。
确实有相当多的人会很痛快地满足所有App的一切需求,因为短视的我们总是在贪图更便捷的生活,而想不到为此需要付出的代价。
但随着我们对数据力量的认知越来越直观和深刻,这两年的民间已不断展现出对个人数据被过度收集的反感情绪。
人们开始发现,所谓的“个性化推荐”、“新客优惠”容易变成“大数据杀熟”;“邀请朋友来砍一刀”利用了人性的贪婪,消耗的是你的社交货币;如果没给平台交税,你的内容和商品不管多好都可能被算法降权。
今年的央视315晚会像是一次预演,将商店偷偷采集人脸信息、App套取或泄露个人信息明确视为侵犯消费者权利的行为。而在疫情期间,各种途径泄露出来的个人信息带来了一轮又一轮的网络围观与网络暴力,这些都引起了反思。
都2021年了,人们被逼得逛超市结账得下载App绑定电话和支付宝,吃一顿烤串也要关注微信公众号,明明有服务员和菜单却非要你扫码下单,洗个牙买套衣服就要添加店员的企业微信,每次进小区大门的时候被物业的新机器扫脸。人们需要这些服务也想要这些服务,但人们不想在使用这些服务时还非得把各种数据给出去。
《个人信息保护法》的意思就是,法律允许人们不把数据给出去,也能在当代社会正常衣食住行。
20世纪的政治学习惯于提醒人民警惕绝对的权力垄断和阶级的不平等,但到了21世纪,无处不在、无所不知、无所不能的算法或许才是更可怕的那一个。希望“赛博朋克”的世界只留在那些充满想象力的文学、电影和游戏作品中,希望“high tech,low life”(科技水平高,但生活秩序混乱)的担忧不要成真。