中国是当今世界的网络大国。尤其是各种移动应用的蓬勃发展,与许多传统产业形成有力互补,为消费者带来了极大福利和获得感。与此同时,与网络产业紧密相联的个人数据保护问题也日益突出。今年5月欧盟《通用数据保护条例》的生效,在我国掀起了一波关于个人信息保护的制度反思和实践检讨。在数字经济时代,面对网络用户普遍存在的“隐私焦虑”,如何妥善处理创新、发展与公民隐私保护的关系?网络企业应对个人数据持何种姿态?在数据收集和利用方面如何才能“不踩底线、不触红线”?这些都是社会重点关注的问题。
8月22日,作为移动支付和科技金融领域的领导企业,蚂蚁金服率先发布《隐私保护与数据安全白皮书》,就本企业在个人信息保护和数据安全领域的理念、原则、做法和愿景,面向社会进行了系统的披露。除却白皮书的内容不论,这一行动的意义在于向用户和社会明确表彰了一种姿态,体现了像蚂蚁金服这样的互联网领导性企业在个人信息保护方面正在从被动走向自觉。无论是大数据还是人工智能,网络技术和产品的任何进步,最终是要服务于用户,用户才是企业利润的最终来源。因此,明智的企业始终把用户作为企业的核心资源,把用户利益的维护作为企业的核心价值。故隐私保护不是企业被动的负担,而应当是自觉的担当。不注重用户隐私保护甚至把个人数据保护与企业的商业利益对立起来,对企业而言是一种致命的短视;在隐私保护方面自觉承担起社会责任的企业,才会获得可持续发展。
隐私权是人的重要基本权,隐私保护不仅关乎个人利益,而且关乎公共利益。正因为如此,我国《网络安全法》将个人信息保护作为其重要关切,并确立了以“合法、正当、必要”为体,以“知情同意”为用的基本保护规则,这就是互联网企业个人信息收集利用行为的“底线”和“红线”。白皮书显示,蚂蚁金服在个人信息保护方面的具体举措正是紧紧围绕用户“知情”和“同意”两个维度展开。让用户充分了解企业隐私政策,是保障用户的知情权的最重要的基础和内容;用户只有充分了解了企业的隐私政策,才能进而做出理性的产品选择。隐私政策的公开或透明度至少应包括两方面的内涵:一是易得,二是易解。当用户不仅能轻易获得隐私政策,而且还能轻松理解其内容时,才是完整的透明度。在“易解”方面,蚂蚁金服做出了重要的努力,用简明易懂的方式公布隐私权政策,使用户切实了解自己的个人信息如何被收集和使用。这是用户选择使用蚂蚁金服产品的重要基础。在“同意”这一维度上,蚂蚁金服提出了个人数据收集和利用的三条红线,即“不替用户做主、不滥用数据、不采集来历不明的数据”,为践行“知情同意”原则,保障用户同意权提供了重要的制度支撑。
互联网大企业对于保护隐私权的担当,还体现在研发的投入和科技的应用。对海量数据实施有效管理,必须有足够强大的技术实力作后盾,大企业在这方面得天独厚。对数据收集的合法性审查,数据利用中的数据分级分类、敏感数据的识别、数据调用的监控以及相关风险处置,都需要有强大的算法和计算能力的支持。蚂蚁金服不仅通过前沿技术的应用实现了对个人数据收集利用的有效管理和风险防控,而且还进一步将这些技术开发成产品,满足合作企业的数据管理需求,从而进一步提升了整个产品生态圈的个人数据保护水平。
个人数据和隐私保护永远在路上。作为信息产业的极致体现,网络产业的突出特征是数据驱动。数据收集、持有、利用是网络产业各种商业模式的本质表现,因此,个人数据和隐私保护将是伴随网络产业生命周期的永恒主题。蚂蚁的做法和白皮书,只是“重要的一小步”。随着大数据、人工智能、区块链等更多信息新技术的应用,将会有更多创新产品满足用户的多元化、个性化需求,同时,也将对个人数据和隐私保护提出更多更大的挑战。对于加强个人数据和隐私保护,毫无疑问,国家要持续推进法治化进程、完善相关法律制度、创新监管手段,与此同时,我们更希望产业界尤其是其中的领导性企业,要端正姿态,自觉担当。
(作者吴韬,中央财经大学法学院教授)
(责任编辑:张明江)