隐私与创新的平衡(第 1 篇)
数据被称为“新时代石油”,但多数人并不清楚什么是个人数据、谁拥有它、以及我们到底拥有哪些权利。
在进入今天的主题之前,先看一点背景。
在人类历史中,不同阶段最重要的资源并不一样:农业时代是土地,工业时代是机器、煤和石油。
进入 21 世纪后,越来越多学者、记者和产业领袖都在说:data is the new oil。
按市值看,全球最有价值的公司里有大量科技公司,而且它们都掌握着海量消费者数据。常见名字包括:
- 东方:Alibaba、Tencent、Baidu、Flipkart
- 西方:Google、Microsoft、Amazon、Facebook、IBM、Apple
世界经济论坛在报告 data policy in the Fourth Industrial Revolution 中给了另一个比喻:
在 WEF,我们更愿意把数据看作驱动第四次工业革命火焰的“氧气”。它普遍存在、不可或缺;但使用不当,也会带来危险和不受欢迎的后果。
正因为“数据”如此关键,我最近在系统学习这个主题。这篇是我“数据隐私”系列的第一篇。
我不是专家,所以会尽量做信息综合(synthesise),并附上原始来源链接。
今天先聚焦 3 个核心问题:
- 什么是个人数据?
- 谁拥有它?(答案比想象中复杂)
- 你有哪些权利?
什么是个人数据?
到目前为止,我觉得欧盟 GDPR 对个人数据的定义最完整:
个人数据是指任何与已识别或可识别自然人相关的信息;可识别自然人可以通过姓名、身份证号、位置数据、在线标识符,或该自然人在生理、遗传、心理、经济、文化、社会身份等因素被直接或间接识别。
欧盟官方也给了常见例子:here
- 邮箱地址(如 yourname@company.com)
- IP 地址
- Cookie ID(常见于浏览器)
- 手机广告标识符
其他典型例子还有:
- 私人通信内容(邮件、私信)
- 金融记录(账户余额、交易、税务信息)
- 教育记录(学校、成绩)
- 医疗记录
- 生物特征数据(指纹、人脸)
这里只列了少量例子。现实中,不同国家/地区已有超过 100 部数据保护法律。
例如新加坡 PDPC 对个人数据的定义是:
能直接识别个人的数据,或与组织已掌握/可能掌握的其他信息结合后可识别个人的数据,都属于个人数据;并受 2012 年《个人数据保护法》(PDPA)保护。
谁拥有它?
最直觉的回答通常是:这是我的数据,所以归我。
但现实比这个答案复杂很多。
政府与公共机构记录
在许多国家,政府维护着大量公民数据,如出生证明、身份证信息、生物识别数据等。
例如印度在近年推进了规模极大的生物识别 ID 计划,覆盖约 10 亿人。
有意思的是,在达沃斯“Setting the rules for the AI race”讨论中,印度政府代表提到:数据属于公共实体/政府,政府可授权公私部门访问相关个人数据。
此外,当你出国旅行或申请签证时,很多国家要求提交生物识别信息;一旦提交并签署文件,你实际上也在向他国政府共享相关数据。
观察数据与推断/预测数据
WEF 的报告提出:讨论“所有权”时必须放在具体场景里看,尤其是 observed data 和 inferred data。
- Observed data(观察数据):浏览行为、监控视频、通话明细等
- Inferred data(推断数据):信用评分、消费者画像、交通预测、疾病传播模式、定向广告等
我们每天在使用各种服务时,都会留下大量观察数据给不同机构:医院、航空公司、餐饮、网约车平台等。
那这些机构是否拥有这些数据?
在广告行业,这类数据常被称为 first-party data,表面上像是企业可使用的数据。但“能不能用、能用到什么程度”,并不总是简单。
若按 GDPR 定义,只要数据仍可识别个人,本质上仍是个人数据。只有在匿名化(anonymized)或假名化(pseudonymisation)处理后,性质才会变化。
一个关键变化是:我们并不是最近才开始留下行为数据与经济数据;真正变化的是过去十多年大数据与机器学习能力快速提升,企业存储、处理和预测大规模数据的成本显著下降。
很多推荐系统(例如 Amazon)本质上就在做这件事。
你有哪些权利?
在这个问题上,我很认可欧盟 GDPR 的表达清晰度。先说明:这里我只是介绍,不在这篇里讨论它“是否最好”。
根据 GDPR,消费者/数据主体享有的核心权利包括:
- 每个人拥有自己的个人数据
- 透明同意(Transparent with consent):企业必须用清晰易懂方式明确征得授权后,才能存储与处理个人数据
- 安全保障(Security):个人数据应受到合理安全保护
- 撤回权(Right to withdraw):可随时撤回数据处理授权
- 知情与访问权(Information and access)
- 更正权(Right to rectification)
- 限制处理权(Right to restriction of processing)
- 可携带权(Portability)
- 等等
当然,GDPR 里也定义了大量例外与豁免条款。
California Consumer Privacy、新加坡 PDPA 以及其他隐私法规,虽然完整度不尽相同,但核心精神上有不少重合。
这篇先到这里。
下一篇我会继续讨论更棘手的问题:
- 欧盟 GDPR 是否过于规定性(too prescriptive)?
- 在全球法律与经济模式差异明显的前提下,是否可能有“全球统一数据隐私法”?如果不能,全球协作路径是什么?
- 我们下一步应该如何推进?
- 如何在医疗、教育等领域平衡隐私保护与创新?
- 如何避免地方、国家与全球层面的数据垄断?
致敬,
Chandler
