云绾宁墨晔小说

二隐私泄露与保护措施（第2页）

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

根据《中华人民共和国网络安全法》的规定，违反上述三条法规的，根据情节严重程度，有可能被处以罚款、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚措施。

但这些法律条文流于宽泛，把个人信息安全问题完全归结于网络，也不尽合适。自由裁量权太大，对于恶意泄露个人（或法人）隐私行为，起不到震慑作用，更难以应对人工智能环境下的隐私危机。目前，我国公安和司法机关打击违法犯罪活动的主要依据，是刑法中的侵犯公民个人信息罪。刑法打击犯罪卓有成效，但受害者仍很难得到有效的法律救济。要厘清个人信息在民事、刑事、行政范围内的界限，建议《民法总则》和其他民事规范进一步明晰侵害个人信息的民事责任。对于不宜入刑的侵害个人信息的行为，应当明确行政责任，由行政机关对相关企业和负责人进行行政处罚。某种程度上来说，正是对于个人隐私保护尺度的宽松，促使了中国类似百度之类的互联网企业迅速发展，构成了互联网发展的隐性成本。

相比之下，经过欧盟议会四年讨论，2018年5月25日开始实施的欧盟的《一般数据保护条例》（GeaPrulation，简称GDPR）实施，就具体严格得多，它分十大部分九十九个具体条款。

我们在此把关键内容汇总如下：

适用范围：

（1）GDPR适用于在欧盟境内设有业务机构（establishment）的组织，只要这些组织在业务机构在欧盟境内的活动中处理个人数据（而不论此类处理行为是否实际发生在欧盟境内）。

（2）如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用GDPR。如果非欧盟组织机构意图向欧盟境内个人提供商品或服务，则其将被视为在欧盟境内提供商品或服务。

（3）GDPR适用于非欧盟组织处理欧盟境内个人的个人数据，只要此类处理行为涉及对这些个人的行为进行监控，且该处理行为发生在欧盟。

GDPR强调了“同意”的重要性。“同意”是处理个人数据的六项法律依据之一，在没有法律依据的情况下处理个人数据是不被允许的。GDPR也规定，“同意”是数据处理的法律基础。GDPR的多个部分都提到了同意机制。

“同意”是什么呢？就是数据主体依照其意愿自由作出的特定的、知情的指示。首先，同意必须是自由作出的。这意味着数据主体在作出同意时，其选择是真实的，例如，不存在受到胁迫或者欺诈的风险。同意必须是特定的。无明确目的的概括式的同意是无效的。同意应当清晰准确地指明数据处理的范围和结果。特定的同意条款需要与一般条款相区分。其次，同意必须是在知情的情况下作出的。数据控制者必须向数据主体提供一定的关于数据处理的最低限度的信息。被提供的信息应足以保证数据主体能够作出充分知情的选择。至于信息的质量，信息提供必须使用数据主体能够理解的语言。

另外，同意机制还适用于对于儿童的保护，所有在线服务，无论是免费的或付费的，包括社交媒体都应当适用同意规则。只不过这种同意机制比较特殊，原因是儿童一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。任何信息和沟通都应当以清晰且简明的语言表达，使得儿童容易理解。值得一提的是，只有在儿童年满16周岁时，基于同意的数据处理才是合法的。如果儿童未满该年龄，则只有在有监护权的父母同意（或授权）的情况下，数据处理才是合法的。欧盟各成员国可以规定更低的年龄门槛，但不得低于13周岁。

同时还制定了违约罚则：

（1）对违法企业的罚金最高可达2000万欧元（约合1。5亿元人民币）或者其全球营业额的4％，以高者为准。

（2）网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理。

（3）企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处获取数据使用许可。

（4）明文规定了用户的“被遗忘权”（righttotten），即用户个人可以要求责任方删除关于自己的数据记录。

考虑到刑事、民事救济手段都存在滞后性和局限性，中国可参考美国的联邦贸易委员会、欧盟的数据保护委员会、日本的个人数据保护委员会等，也设立专门的数据保护执法机构，以发挥行政监管体制的作用，快速、有效地解决纠纷，维护市场的正常发展。

首先，跨国、跨境的信息流动，需要重点关注。要在《网络安全法》的基础上切实保护我国的数据安全，也要加强我国的信息跨境流动制度与国际框架，加强国家间行政机构的合作，促进区域间个人信息的合理流动。

其次，在个人信息保护立法中，必须考虑为未成年人提供特殊保护。我国青少年网民数量已超过3亿人，青少年的生活方式甚至思想意识都与互联网大数据息息相关，保护其信息权是迫在眉睫的大事。

当然，人工智能时代，除了完善隐私保护的法律、加强行业自律管理之外，作为数据信息的提供者，每个人也应当培养法治意识，积极学习互联网安全知识，养成良好的上网习惯，加强个人隐私安全保护能力。

在使用软件之前，需要认真阅读隐私条款再决定是否接受，而不是直接勾选“同意”陷入可能泄露自己隐私的风险中；在公共网络环境下，警惕可能入侵自己手机或者计算机的黑客，安装杀毒软件或防火墙，完善电子设备的防御系统；及时清除浏览器历史记录，重要资料离线缓存，充分保护好自己的隐私。

总之，大数据的开发和利用是互联网经济的必然趋势，各国视大数据为新的“黄金”资源，特别是人工智能的广泛应用，个人数据采集已成为常态，限制数据的利用会错失发展机会。但在运用大数据发展产业同时，也要注意保护个人隐私，做到法律惩戒和个人预防并举，才能防患于未然。