三、法律政策的推动:隐私计算成为持续的刚需
在市场需求产生,技术基本达到可用的情况下,法律和政策环境也在朝着保护个人隐私的方向推进。
近年来,通过立法加强数字经济下的数字安全及个人信息保护已经成为世界性的趋势。同时,数字经济下数据的战略地位凸显,相关支持政策频出。
(一)立法进展
1.欧盟GDPR生效
欧洲议会于2016年4月通过的《欧盟一般数据保护条例》( General Data Protection Regulation ,GDPR)经过两年的过渡期,于2018年5月25日在欧盟的28个成员国生效(2019年3月29日英国脱欧,现已为27个成员国)。该条例适用于所有欧盟成员国的个人信息保护,任何收集、传输、保留或处理涉及欧盟成员国内的个人信息的机构组织均受该条例的约束。
GDPR被认为是史上最严的数据保护法规,促进了全球更为严格的个人信息保护趋势。由于其约束力超越了欧盟这一地理范围,覆盖到在欧盟有相关业务的国际机构组织,GDPR实际上重构了国际个人信息保护标准。咨询公司埃森哲在一份报告中认为GDPR是“近20年来数据隐私规则领域发生的最重要变化”。
GDPR强调责任共担,数据供应链上的各方都要承担责任,改变了过去由收集和使用数据的数据拥有者负责保护数据的规则,要求数据处理者也要承担合规风险和义务。
GDPR对于违规的处罚极为严厉,处罚金额高达2000万欧元或企业全球年营业额的4%(二者取较高值)。2021年7月,亚马逊因为对个人数据的处理不符合GDRP被欧盟开出了7.46亿欧元(约合8.88亿美元)的巨额罚单。
2.美国CCPA实施
2018年6月28日,《加利福尼亚州消费者隐私保护法案》(CCPA)经州长签署公布,并于2020年1月1日起正式实施。
CCPA从消费者保护的角度,规定了个人信息处理者的义务,包括“必须披露收集的信息、商业目的以及共享这些信息的所有第三方;企业需依据消费者提出的正式要求删除相关信息”等。在处罚方面,CCPA规定违法企业面临支付给每位消费者最高750美元的赔偿金,以及最高7500美元的政府罚款的惩罚。
加州的硅谷是互联网企业的集聚地,包括世界上著名的行业巨头如微软、Google及亚马逊等,一方面,CCPA的影响会通过这些互联网企业向外辐射;另一方面,CCPA的约束范围覆盖了处理加州居民个人数据的营利性实体。从这个角度看,与GDPR一样,给相关跨国企业带来了影响。
3.中国国内法律框架体系成形
关于个人信息保护及数据安全的立法及监管,与欧美等西方国家相比,中国国内相对滞后。但随着近年来侵犯个人信息的现象频发,甚至出现了非法获取、泄露、滥用、倒卖个人信息的“黑产”,侵犯个人信息与网络诈骗及敲诈勒索等犯罪行为合流,国内的相关立法及监管也逐步完善,监管趋于严格。
在数据安全及个人信息保护方面,中国目前已经形成了包括民法、刑法及单行法在内的法律框架体系。
刑法具有最高的保护和约束效力,2017年6月,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》开始施行,明确了侵犯公民个人信息罪的定罪量刑标准。
2021年7月,最高人民法院发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,明确了人脸识别技术应用的法律边界。
2020年5月通过的《中华人民共和国民法典》中将人格权单独成编,对个人信息受法律保护的权利内容及其行使等作了原则规定。
在单行法方面,2017年6月,《中华人民共和国网络安全法》开始施行。2021年,《中华人民共和国数据安全法》及《中华人民共和国个人信息保护法》通过,并分别于9月及11月开始施行。
《中华人民共和国数据安全法》及《中华人民共和国个人信息保护法》的通过与实施是2021年以来数字领域法制建设的重大进展。
《中华人民共和国数据安全法》明确了对数据利用和相关产业的支持:“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”以往对数据共享或提供持保守态度的数据“大户”,在国家鼓励及隐私计算加持来保证合规的情况下,有望更乐于对外提供数据资源,从而活跃市场。对于隐私计算厂商而言,《中华人民共和国数据安全法》的出台直接催生了大量的市场需求,推动了隐私计算产品应用迅速扩张。《中华人民共和国数据安全法》明确了数据安全保护义务:“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。”企业有义务保证数据的安全性,否则将面临罚金、暂停营业、吊销执照等惩罚。数据需求方为了响应合规需求,在数据接入和分析时急需购买隐私计算产品以实现数据在安全隐私的场景交易,从而进一步激活了隐私计算市场。除此之外,法律完善后行业合规风险降低,利于隐私计算厂商在资本市场融资。
表1-1 数据安全及个人信息保护方面的法律及相关解释(按时间顺序)
资料来源:零壹智库
《中华人民共和国个人信息保护法》对个人信息处理的基本原则、跨境提供、个人的权利、个人信息处理者的义务、敏感个人信息的处理,以及违法的法律责任等方面做出了具体规定。《中华人民共和国个人信息保护法》对违法行为的行政处罚较为严格,情节严重的,最高可处5000万元或上一年度营业额5%的罚款,超过了欧盟GDPR规定的4%,相关行业的企业违规成本提高,对隐私计算的需求形成利好。
这两部法律的实施标志着数据安全及个人信息保护的法制治理进入系统化和专门化的新阶段,将进一步提升整个社会的守法意识,也将促进数据相关企业严守业务边界,合法合规经营;而法制环境的完善,也将促进整个数据产业的健康发展,为隐私计算行业的发展带来契机。
(二)政策推动
在法律不断完善的同时,政策也成为隐私计算市场发展的助推器。
未来,数据将成为新的生产要素,释放数据红利对未来推动数字经济高质量发展至关重要。
2019年,新型冠状病毒肺炎疫情过后,全社会都更加认识到数字化发展的重要性。2020年开年之后出台的一系列政策,都对隐私计算市场的发展形成有力推动。
2020年4月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》),将数据与土地、劳动力、资本、技术一起列为生产要素,明确指出了市场化改革的内容和方向。《意见》在加快培育数据要素市场方面,指出3个要点,一是要推进政府数据共享;二是要提升社会数据资源价值;三是要加强数据资源整合和安全保护。
2020年10月,中共中央发布《关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》,明确数据作为核心生产要素的重要性。
2020年末,国家发改委等四部委联合发布《关于加快构建全国一体化大数据中心协同创新体系的指导意见》,提出数据是国家基础性战略资源和重要生产要素。
2021年5月,国家发改委等部门发布《全国一体化大数据中心协同创新体系算力枢纽实施方案》,提出“多方安全计算、区块链、隐私计算、数据沙箱等技术模式,构建数据可信流通环境,提高数据流通效率”。
2021年7月,工业和信息化部发布《网络安全产业高质量发展三年行动计划(2021—2023 年)(征求意见稿)》,提出推动包括隐私计算在内的隐私保护和溯源技术的部署及应用。
同时,关于数据安全及个人信息保护方面的监管政策也在进一步完善。在金融领域,2020年2月,中国人民银行发布《个人金融信息保护技术规范》,对个人金融信息保护提出了具体明确的要求。
根据零壹智库调研了解,政策的出台对市场的影响是巨大的。比如隐私计算厂商在拓展政务市场时,能明显感受到,政策出台后地方政府相关部门对隐私计算技术的尝试更加积极。
法律和政策环境的变化,一方面使得对个人隐私的保护成为持续稳定的市场需求,而非短暂的应对监管的行动;另一方面使得对数据价值的充分应用和挖掘的行为受到正面肯定。客观上,数据价值挖掘和个人隐私保护成为必须并行兼顾的社会目标,这使得隐私计算成为现实中的刚需。
表1-2 数据相关政策文件(按时间顺序)
资料来源:零壹智库