个人数据与隐私保护 企业应自觉担当

本篇文章1596字，读完约4分钟

中国是当今世界上一个网络大国。特别是，各种移动应用的蓬勃发展补充了许多传统行业，给消费者带来了巨大的利益和收益。与此同时，与网络产业密切相关的个人数据保护问题日益突出。今年5月，欧盟《通用数据保护条例》生效，掀起了中国个人信息保护的制度反思和实践反思的浪潮。在数字经济时代，面对网民普遍存在的“隐私焦虑”，如何正确处理创新、发展与公民隐私保护的关系？网络企业应该对个人数据持什么态度？在数据收集和利用方面，我们怎么能不触及底线或红线呢？这些都是社会非常关注的问题。

8月22日，作为移动支付、技术和金融领域的领先企业，蚂蚁金服率先发布了《隐私保护和数据安全白皮书》，系统地披露了其在个人信息保护和数据安全领域的理念、原则、实践和愿景。不管白皮书的内容如何，此次行动的意义在于向用户和社会明确推荐了一个姿态，这表明蚂蚁金服等领先互联网企业在个人信息保护方面正从被动走向自觉。无论是大数据还是人工智能，网络技术和产品的任何进步最终都将服务于用户，用户是企业利润的最终来源。因此，一个明智的企业总是把用户作为其核心资源，把维护用户利益作为其核心价值。因此，隐私保护不是企业的被动负担，而是一种自觉的责任。不重视用户隐私保护，甚至以企业商业利益为由反对个人数据保护，对企业来说是致命的短视；只有自觉承担隐私保护社会责任的企业才能实现可持续发展。

隐私权是人们一项重要的基本权利，隐私权保护不仅关系到个人利益，也关系到公共利益。正因为如此，我国《网络安全法》将个人信息保护作为其重要关注点，确立了以“合法性、正当性和必要性”为主体，以“知情同意”为用途的基本保护规则，这是互联网企业个人信息收集和利用行为的“底线”和“红线”。根据白皮书，蚂蚁金服在个人信息保护方面的具体措施侧重于“知道”和“同意”两个维度。让用户充分了解公司隐私政策，这是保护用户知情权最重要的基础和内容；只有当用户充分了解企业的隐私政策，他们才能做出合理的产品选择。隐私政策的公开性或透明性至少应该包括两个内涵:一个容易获得，另一个容易理解。当用户不仅能够容易地获得隐私策略，而且能够容易地理解其内容时，就实现了完全透明。在“易懂”方面，蚂蚁金服做出了重要努力，以简单易懂的方式发布隐私政策，让用户真正了解自己的个人信息是如何收集和使用的。这是用户选择蚂蚁金融产品的重要依据。在“同意”维度上，蚂蚁金服提出了个人数据收集和利用的三条红线，即“不要对用户负责，不要滥用数据，不要从未知来源收集数据”，为践行“知情同意”原则、保障用户同意权提供了重要的制度支持。

大型互联网企业在保护隐私权方面的作用也体现在对研发和科学技术应用的投资上。对海量数据的有效管理必须有足够强大的技术力量作为后盾，而大型企业在这方面具有得天独厚的优势。数据收集的合法性审查、数据利用中的数据分类、敏感数据的识别、数据调用的监控以及相关风险的处置都需要强大的算法和计算能力的支持。蚂蚁金服不仅通过应用前沿技术实现了对个人数据收集和利用的有效管理和风险防控，还将这些技术进一步开发成产品，以满足合作企业的数据管理需求，从而进一步提高整个产品生态系统的个人数据保护水平。

个人数据和隐私保护总是在路上。作为信息产业的最终体现，网络产业的突出特征是数据驱动。数据收集、保存和利用是网络行业各种业务模式的基本表现。因此，保护个人数据和隐私将是伴随网络产业生命周期的永恒主题。蚂蚁的实践和白皮书只是“重要的一小步”。随着大数据、人工智能和区块链等更多新信息技术的应用，将会有更多创新产品来满足用户多样化和个性化的需求，同时也将对个人数据和隐私保护提出越来越大的挑战。为加强对个人数据和隐私的保护，国家无疑应继续推进法治进程，完善相关法律制度，创新监管手段。同时，我们希望业界，特别是其中的龙头企业，要有正确的态度，自觉承担责任。

(作者吴昊，中央财经大学法学院教授)