通信世界网消息(CWW)近日,由人民邮电出版社主办的“2017第四届中国国际大数据大会”在北京新世纪日航酒店举办,本届大会以“数据驱动,智能引领——共享数字经济新机遇”为主题,聚焦大数据全产业链创新与发展,务实推进大数据在各行业的落地应用,深化产业交流对接,引导产业与行业的融合合作,助推大数据产业务实健康发展。在大会现场,腾讯研究院高级工程师王融分享“数据保护合规探讨”。
演讲实录
非常感谢大数据杂志邀请,我来自于腾讯研究院,腾讯研究院跟在座的各位可能有一些陌生,腾讯研究院是腾讯内部一个非技术的研究部门,更多的是从对互联网行业的法规政策、产业经济相关的一些人文社科类的角度去做一些产业的经营研究。
我所在的团队更多的是对法律政策的一些研究,今天分享的主题更多的是从数据保护合规的角度做一点简单的分享,其实有一个最基础的切入,大家对数据的重要性的认识已经非常明确了,避暑说我们现在有更多的是说数据现在是最重要的生产资源,他重要性已经超过了我们在工业经济时代的石油,但是我们可以看到,如果从我们互联网的技术或者是业务发展的形态去感知的话,我们也会感觉到数据本身的价值更在塑造一些新的产业机会,我们早期的互联网更多的是把线下的信息转化为线上的信息,因为我们最早期的门户网站、电邮这样一些平台,把线下信息转化为线上信息,本身带有信息的价值,并没有演化成数据的价值。
到了移动互联网的阶段,特别是移动互联网的应用更强的催生了每一个用户都在高频的使用一些APP的应用,这就粗生了大量的个人数据的一些累积,这样一些数据累积为大数据提供了一个发展最基础的前提,到现在我们正在步入的人工智能阶段。从纯产业或者业务阶段而言,到了人工智能这个阶段比上个阶段更加依赖于数据自身的价值,同样我们可以看到围绕着数据的竞争更加激烈,从我们做法律合规或者法务研究角度而言,除了看到产业欣欣向荣一面,我们也更关注大所发展业务所受到法律方面的一些约束,特别是我们注意到,在大数据还是人工智能的一些业务应用的整个流程里面,我们从它的全生命周期来看,其实我们的每一个阶段都会受到这样一些约束,从我们最初的对这个数据取得的这一刻开始,我们通过什么样合理的方式来获得数据,特别是符合个人数据保护法的一些基本要求,刚才陈总也讲到了他阐述这个问题,不管我们企业走出海外运营还是海外企业提供一些服务,都不可避免涉及到跨境传输,特别是我们国家现在也在制定相关的一些规定,这方面的规定越来越明确,同样作为安全的主题,如果我们掌握了大量的数据,企业不可避免的就会负载安全保障的义务,特别是数据出现泄露事件的时候,合规的角度来讲企业应该有很多的工作需要去做,包括采取相关的补救措施,包括最新的网安法里面已经规定了比较具体的强制性的义务。
最后在最终的这个阶段,当用户促销业务,用户停止使用这个服务的时候,内部怎么处理这些数据,怎么删除、销毁这些数据同样也会提出来一些要求。
同样,我们可以看到从国内的政策来看,其实整个无论从我们的民法,民事赔偿的角度还是我们的行政监管角度,还是刑事立法的方面,国内的投资和保护立法都是逐步在走向一个更加完善的阶段。或者说也更加的严格,特别是我们今年6月份正式生效的网络安全法突出了刑事立法打击的力度。特别是于网络安全法相比,民事诉讼相比较,对企业合规而言,更直接的压力来自于行政司法解释,今年6月份的司法解释在很多方面的规定比网络安全法要严格,对企业而言最直接的要做好刑事风险的防控。它的入罪门槛都体现出特点,包括敏感的信息,甚至涉及到25条,从总体上我们可以看到,我们国家这几个民事立法还是刑事立法,目前我们从现阶段而言,可能存在一个相互并不协调的运用,比如说有一些内容我们并没有认为在民事立法里面,并没有把它认定为违法的行为,但是可能在我们的刑事立法里面就上升到了一个罪名的程度,这里面存在着相互协调的问题,所以我们也关注到在明年国家可能会把个人信息保护法正式列入全国人大立法的议程,在这里面可能要更好的解决国内相关的立法在个人信息处置上并不一致的地方。
总体而言,刚才我们所展示的是现在总体对企业的约束会越来越具体,越来越细致。大钱当前最为紧迫来看企业做好刑事风险的防范,这里面企业内部的分级管理,我们有一个基础思路对个人信息做分类管理,在企业内部针对信息敏感度和安全程度做一些保障措施。
第二个因为我们行政司法解释里面严格打击两类型,现在更多的体现对合规法的对外提供,这里面要做一些应对的策略,首先获取用户授权这分析做的更加完善,要强化相关技术手段的配套。从技术角度来看,数据匿名化并不是一个绝对的状态,具体的司法载量中的相对标准,企业应采取相对充分的匿名化措施。不但要有技术措施,还要根据技术措施制定比较完整的安排,因为目前来看,关于数据的一些具体的详细的规则并没有特别清晰的法律方面的一些规范,所以我们更多的是在实务中通过业务协议就是合同的方式来约定双方权利义务和责任,同时要履行相关主管部门的要求和具体规定,特别是公安部和工信部的一些具体要求,在这些方面可能也会为企业规避个人信息保护类的刑事风险提供一些有利的帮助。
同样,我们现在可以看到,就是刚才大家提到的合规最大的一个抗辩的理由,就是我们能够证明从用户那里拿到授权,实际上这种授权模式,特别是我们这种一揽子授权模式也随着监管部门对网络安全法的一个落地执行可以更加的细化,包括刚才讲到了,四部委对十家典型互联网企业的隐私政策的审查,当然,腾讯的微信产品在这一次评比中排分最高,大家也可以体验到腾讯作为一个社交类产品,本身对安全的基线要求比较高,对用户隐私更友好,这一次隐私政策评估里面,微信的评放拿到了第一名的成绩。
这个事情并不是说明腾讯在这方面做的怎么样,更多的是用户授权方面在面临调整,特别是在用户获得一些敏感信息的时候,根据监管部门的一些要求,可能这种一揽子的授权模式也会面临着很多的挑战。在我们的业务本身的设计或者本身政策制定方面都需要做出一些调整,特别是针对一些敏感类的信息,我们推荐在业务使用中还是使用单次的授权和使用。
当然,如果我们的业务具有海外的情况来看,如果我们从全球的数据保护,或者是数据安全合规的要求上来看,如果我们的业务在海外拓展的情况,其实我们也面临着很复杂合规要求,不仅像腾讯、阿里这样一些大的互联网企业已经有的一些出海的进展,实际上我们的一些发展独角兽的企业,包括我们的ofo、膜拜、共享单车,我们可以看到在欧美已经有一些在试用型,欧盟在保护最严格的地区,当我们这些企业在跨境提供这样服务,或者在本地运营的时候,可能要更多的关注到这样的特别典型的要求,比如说膜拜在欧盟、意大利提供具体服务的时候,可能在获取用户的地理位置信息,或者用户注册这样一些信息环节,可能就要遵循特别详细的一些具体的规定。欧盟GPPR会在明年5月份生效,同样具体细致的规定也会反映到业务协议里面,比如说在欧盟面向用户的一些授权同意的时候,我们可能会要用户提供一些撤回同意的环节,比如说用户在某一段时间不适用这个业务的话那么可能会有权力撤回自己的个人信息的授权同意。同样,我们在像儿童用户提供服务的时候,我们可能也会在业务设计上要增加一个监护人接入的环节来征得监护人的同意。
而且可能更多的与国内互联网的业务实践特别区别的一点,就是在欧盟我们可能很难适用一揽子授权的同意。
同样,如果在美国市场拓展一些业务,可能要澄清一些基本的错误的认知,总体上虽然美国合规的环境会比欧盟要宽松一些,但实际上它的特点是体现出更加的复杂性,如果欧盟的立法更多的呈现出特别明确,特别严格,特别统一的一个特点,就像美国的立法他是更为分散的,而且各个行业包括联邦各州也有很多的不同,特别实际上它的一些执法,其实是比欧盟的执法更加活跃,包括联邦层级和各州监管委员会都有可能会对用户的消费者权益保护的角度会采取一些方法,美国可能会面临大量的集体诉讼。从最近一两年的执法实践或者司法实践来看,无论是大型的企业还是中小型的网络企业,在面临集体诉讼方面的压力会越来越大。
比如说我们最近关注到雅虎的数据泄露的事件,雅虎在2013年和2016年都曾出现过大规模的用户数据的泄露,除了面对行政处罚之外,现在更大的压力是来自于集体诉讼的一些临时赔偿的压力。我们在开展互联网业务还是大数据业务,可能第一要做的是一个基本的合规工作,我要避开合规的陷阱,同时从经营的理念或者运营的策略上来讲,可能我们需要从这个里面去挖掘更多的商机。
实际上从我们对国外的这样一些互联网业务的观察来看,尽管我们说随着产业或者互联网业务发展用户会更多的习惯于把个人信息让步出来获得更强的一些便利性或者获得一些免费的服务,但从目前至少未来5年甚至10年、10年发展阶段来看,用户对于隐私的关注程度并没有完全消失,从经营理念跳出一般合规工作的要求,从经营理念里面去挖掘一些点。比如说挖掘到国外的企业里面,把这个作为卖点或者企业运营独特的一些经营特色,实际上是在这里面有一个市场价值可以去挖掘的。比如说国外的同样产品,比如说DuckDuckGO这样一些产品都会从关注用户隐私角度去设计,比如说现在看到Snapchat现在最主要的功能已经是成长的非常快,而且在成为了Facebook最大的竞争对手之一。DuckDuckGO同样提供搜索的产品里面,他不记录你的搜索记录,用户使用它的时候会有更亲友好感和黏性,这里面从企业运营里面给我们一些启示,企业可以从中挖掘一些价值。
很多时候会把隐私和市场对应起来,认为用户约束了业务各个方面,当然可能会有一些直接冲突的方面,比如说国内的刑事立法确实提到了一个限制性的作用,实际上刚才讲的一些业务的类型里面,可以看到仍然是有挖掘的点。特别是我们可以看到不仅仅是从业务用户的一个喜好偏好来讲,实际上,如果从我们的一般的调研来看,就是说在目前这个阶段,如果对个人实行特别强的一个监控和故意不友好产品的设计,实际上用户的体验和效率是反向的,是一个负面的,所以我们在开展相关的业务的时候,其实加强用户的隐私保护反而是更多的去有利于我们业务的一些开展,最直接的用户会更加信任你的企业,长远来看为产品提供更好的倍数。
最后,我想分享的总结,首先我们刚才讲到了数据本身的价值正在凸显出来,区别于我们的最早期的互联网的发展阶段或者移动互联网+的阶段,更多的可能还是信息本身的价值。目前来看数据越来越体现为自身独特的价值,并且成为企业竞争的一个核心竞争力。在企业运营当中,特别要关注这一方面的合规的一些要求,特别是在国内国外这方面政策法规越来越趋向于高压环境下,可能我们最主要的是避免跌入合规陷阱。
最后从业务设计流程和运营理念来看,我们不要把它对立起来,相反,我们可能从中挖掘一些相关的市场价值。以上就是我今天的一些简单的分享,谢谢大家!
