莫以企业发展的名义买卖“我”

近年来，世界范围内用户信息安全事件频发，以Facebook泄密门为最大的导火索，个人信息与隐私保护引起互联网大时代背景下所有“线上”用户的关注。针对同一话题，国内国外却在进行着截然相反的“大讨论”。

放眼国外，无论是民众、企业还是政府，呈现的是这样一种情形：欧盟为了有效应对消费者信息与隐私保护这一时代命题，加紧颁布了举足轻重的GDPR，在欧盟从事任何与消费者有关的交易，都将必须严格遵从该条例。明天，GDPR将正式生效。而Facebook因“泄密门”遭遇了自面世以来的最大危机，股票暴跌、政府调查等一系列事件接踵而至。创始人扎克伯格在其个人社交媒体上发文表示：“有义务保护用户的隐私数据，如果没有做到，就不配继续为用户提供服务”。

自上而下，所有人都在反思，新技术因何冲击了个人信息与隐私保护，几乎所有人都在努力，朝着维护个人基本权利的方向做出改变。

反观国内，我们一边关注着扎克伯格如何声泪俱下地致歉，探讨着中国企业该如何适应或者为了顺利进驻欧美而调整战略，一边却对滴滴“顺风车事件”所暴露的乘客信息严重泄露导致威胁人身安全的问题，在口诛笔伐几天之后偃旗息鼓，对“顺风车”功能自查一周后重新上线无动于衷。好像国内的个人信息保护情况完全应该置于国际影响力和社会利益之后讨论。好像企业有理由为了进驻欧美而实行双重标准，就如网传QQ将下线欧洲业务而在国内依然如常收集和利用用户信息，或社会可以容忍为了技术领先世界而牺牲部分个人权利的论调。这种后发国家在成长中广泛存在的急于求成的心态，令我们的行为往往呈现出内外矛盾。

今天，技术的快速发展超越了法律更新的速度，一些收集、利用、泄露个人信息的行为缺乏法律规制而肆意疯长。在一些社会性事件发生后，我们难道不该及时觉醒和做出改变吗？

是该企业让步还是该个人让步的讨论实在荒唐。国家可以因为个人违法犯罪行为达到一定严重程度而发出通缉，企业可以因为执法需要而向公权力机关提供其掌握的个人数据。个人权利确实可以为了社会公益而让步，也可以为了特殊事件而让步。但前提是，法律有明确规定并且这种让步是必要而紧迫的。互联网发展的需要显然永远无法超越国家执法的紧急、必要和严肃程度，那么，企业何敢言让保护个人信息和隐私权让渡于技术发展？

我们看到，欧美发达国家及国际组织早在上个世纪70年代已开启制定关于个人数据保护方面的法规的探索实践。1970年，德国黑森州颁布了世界上第一部专门针对个人数据保护的法律。1973年，美国健康、教育与福利部设立的顾问委员会发布了一份名为《电脑、记录和公民权利》的政府报告。我国的数据安全保护以2017年《网络安全法》的颁布为标志才进入系统发展阶段。此次GDPR的出台，其实是为了让欧盟其他国家关于数据保护的立法水平追上德国、荷兰等国的步伐，其中“创新点被遗忘权、数据最小化原则”等本身早已存在于德国联邦数据保护法中。欧盟发达国家对于个人信息的保护力度，远超我们的想象。

有数据指出，GDPR生效时，其影响将超出整个欧盟的范围，“所有处理和持有欧盟居民个人资料的公司，不论公司地理位置设置在哪里”，都将受到该条例的规制，半数以上的企业将不得不重新评估安全处理个人数据的措施。

很多国内企业嗅觉敏锐，面对高达2000万欧元或全球年营业额4％的罚款威胁，迅速调整出海方案。但可以预见，GDPR将成为继去年税收事件后欧盟保护境内自身企业、制衡中国企业的又一利器。因为企业单兵作战、逐一应对，永远抵不过对方的一纸新规，铺天盖地。

过去30年，中国因知识产权保护问题备受诟病，至今仍成为国际贸易争端中的一大焦点。如今，大数据时代之势不可逆转，如果我们还是以见招拆招的方式先求发展而后谋布局，未来30年，“个人信息保护不力”会不会仍然成为我国不可言说的痛？没有真正从做法上领先世界，谈何话语权？