神译局是36氪旗下编译团队,关注科技、商业、职场、生活等领域,重点介绍国外的新技术、新观点、新风向。
编者按:2018年5月25日,欧盟的《一般数据保护条例》(GDPR)正式生效。GDPR给大家一种对自己数据的绝对控制权,可以让人切实感受到自己隐私数据受保护下的安全感和满足感。这篇文章来源于科技网站Gizmodo,原标题是It’s Been One Year Since GDPR Scared the Crap Out of Silicon Valley, What’s Next?,作者是Patrick Howell O'Neill,Patrick将向你介绍,当时让硅谷科技公司恐慌不安的这部法律,这一年中到底带来了什么变化?接下来还将有什么变化?
2019年美国参议会司法委员会关于GDPR的听证会。图片来源:Alex Wong/Getty Images
相比于一年之前,如今我们的个人隐私问题有所好转吗?
今年5月25日,是欧盟颁布的世界上最重要的数据隐私法律《一般数据保护条例》(General Data Protection Regulation,简称GDPR)正式生效一周年。
一年之前,关于这部法律的各种炒作相当激烈。然而,一年过去了,我们却感觉这部法律又变得“低调”了起来。
不过,就目前的情况来看,也许接下来可以期待有所不同。
“目前,我们已经看到了多种结果,对此我们也是持有多种看法和感受,”提倡隐私保护的组织Access Now高级政策研究员埃斯特尔·马瑟(Estelle Masse)表示,“我们对GDPR的了解比较透彻。我们认为,这部法律有潜力进一步促进数据保护的加强。只不过第一年成效却不明显。”
在如今的商业社会,大家都非常重视数据,并且寄希望于通过数据实现更大的盈利。不可否认的是,在这种背景下,相关法律的制定却总是滞后于互联网的发展。因此,GDPR可以看作是一部建立并加强数字隐私权利保护的具有里程碑的法律。
表面上看,可能的确是这么一回事。然而,去年一年中,却一共有超过14.4万起针对隐私问题的投诉,而其中大多数也并没有真正得到解决。
“如果你持怀疑态度的话,你甚至可以提出‘目前所采取的针对措施到底能不能真正地促进隐私保护?’等问题,”隐私权专家国际协会( International Association of Privacy Professionals)副总裁欧玛尔·特纳(Omer Tene)说。
“很明显的是,其目标并不是通过立法等方式来解决各种投诉问题,而是真正地让每个人享受更私密的隐私权。我认为目前这个目标还在实现当中。至于到今年年底时,各大企业对数据的利用方式是否会发生改变,目前判定还为时过早。”特纳说。
图片来源:Book Like A Boss
据Brave浏览器首席隐私官约翰尼·莱恩(Johnny Ryan)称,在去年5月25日GDRP生效的当天早上,欧洲隐私保护非营利组织NOYB就提出投诉。
“我们还在等待官方的答复。官方可能需要做一些调研才能得到有建设性的答复,但这个速度太慢了。”莱恩说。
至于GDPR是否可以更好地保护数据隐私,目前这个答案并不明朗。但据有关监管者和观察员表示,接下来的一年肯定会比去年更富有成效,也许我们很快就可以看到相关成果。
其中,值得一提的是爱尔兰的隐私数据专员海伦·狄克逊(Helen Dixon)。
基于对税收原因的考虑,许多美国科技巨头都将其欧洲总部设立于爱尔兰。因此,这些硅谷企业在多方面其实都受狄克逊所在办事处的监管。
今年五月初,狄克逊向美国国会透露,其所在的办事处“目前正着手处理着50件大型调查案件”。这些案件预计将在几个月内结案。结案过后,这些案件也可以对外展示,在透明、公正、安全、责任等基本原则框架下,企业组织到底应该怎样处理各种数据。
这些调查案件的主体,涉及众多美国互联网巨头,其中包括谷歌、苹果、Facebook、WhatsApp、Instagram、Twitter、LinkedIn以及Quantcast等多家公司。
据狄克逊预测,这些公司在接下来几个月时间内将收到巨额罚款。
图片来源:Cliqz
不久前,狄克逊开启了针对谷歌的第一项GDPR调查,其调查主题是谷歌及有关科技公司是如何处理从互联网获取的个人追踪数据的。
这项调查主要针对行业内有关公司核心业务的经营方式。然而,谷歌却宣称,其经营方式并没有任何违法行为,并称其致力于满足并遵守GDPR的有关法律条款的规定。
为了更具体地介绍有关数据的开发和利用,下文将用我们的网站Gizmodo为例来辅以说明。
当你通过浏览器登录Gizmodo官网时,你可能会天真地以为,你只是接入的Gizmodo.com这个网站。然而,实际上你却立即接入了几十个域。
在我上次访问Gizmodo网站时,我接入了50个不同的域。如果你访问其他主流网站,同样也会自动接入相应数量的域。
为什么会这样?原因则是因为普遍存在的广告技术行业。或者也可以用另一个专业术语来解释:监视资本家(Surveillance capitalists)。
当你访问某个域名时,与你密切相关的隐私数据立即就“散布”至几十家甚至上百家广告商,这些广告商又会再次将其获得的数据信息传输至上千家广告商。
然后,这些公司就可以有针对性地向这些用户投放广告。
至于其中涉及的个人隐私数据,具体而言包括你所登陆的具体设备、你的个人收入、性别年龄、地理区域、性取向以及健康状况等信息。你的所在位置,甚至可以精准到具体的经纬度。
所以,在你浏览平时最喜欢的网页或者使用最喜欢的软件应用时,你的个人ID账号实际上会“关注”你,而其背后的公司则可以基于你的用户行为习惯建立一份长时间有效的用户画像。
图片来源:DMNews.com
现目前,像我们这样的新闻站点以及大多数广告行业的企业都处于一种观望态度。
我们的站点是基于内容运营的,和其它大多数同行业站点一样,我们也在尽力做到在GDPR的框架下合法地运营。
然而,仍然还有大量的开放式问题,只有等欧洲的调查机构、执法机构或者法院裁定在接下来数年中才能回答。
莱恩之前提出了针对谷歌的隐私投诉,这一投诉展开了对谷歌的新一轮调查。莱恩说,“我们可以试着回忆之前提及的’散布(broadcast)’这个词的来源。实际上,它在无线电发明之前这个词就已经存在。农民拖着一袋种子,然后把手插入,然后手握一把种子再用力把它们撒向天空,并希望它们可以硕果累累。这就像投标一样,但却触犯了GDPR中的各项条款。”
整整一年的投诉,才使有关GDPR监管机构真正地展开对这些广告业务的全面调查。这就是目前的进展,而这只是涉及广告科技的数据隐私问题。
欧洲的监管机构还计划解决更广泛的科技相关的隐私问题,包括车联网、视频监控、人工智能以及区块链等领域。
真正要着手解决这些方面的问题,将面临各种各样的问题和挑战。而不少乐观主义者认为,这些监管机构的步伐并不会快到哪里去。
至于为什么快不起来,其背后的原因则是多样的。
资源匮乏的监管机构重新调整自己的核心关注点,并将重点瞄准至世界上最富有的一些科技公司。然而,其中还会涉及到上千份投诉及各种数据泄漏通知等问题,所以可想而知的是,这个过程很难在短时间内处理完毕。
就这些投诉而言,其本身在技术、法律和经济层面都非常复杂。涉事的科技公司也很少会主动地让步,而且它们的“活动”覆盖面却非常广泛,所以相关正当程序的展开则真的很慢。
图片来源:Acronis
过去的这一年,更像是在“打地基”。如果不出意外的话,隐私数据保护监管机构目前已经做好了各项准备。
在爱尔兰、法国、德国、比利时以及其它主要欧盟国家中,监管人员都非常迫不及待地展开执法行动。而真正要改变现状的,最终也只有靠真正的执法行动。
此外,GDPR的实施生效,也产生了一些重要的直接影响。
在国际方面,对待隐私的整体观点发生了改变,当然相关法律也不断地在修改和完善之中。
随着GDPR的生效,包括巴西和日本在内的国家都通过并颁布了与类似的隐私法律。此外,印度也在积极地制定有关法律过程中。而在GDPR的影响下,美国加利福尼亚州新的隐私法律,也将在2020年生效。
加利福利亚州的行动,逼迫美国联邦政府展开了空前的持续讨论,并且有可能还会出台一部联邦数据隐私保护法律。
如果提到慢动作的话,也许没有人希望美国需要花至少两年时间来完成数据立法有关的工作。到那个时候,正是2020年美国大选的时间,国会的关注点也许就无法真正地放在这个方面。
图片来源:Ericsoft
过去一年中,也有不少值得关注的GDPR实施结果。
截至目前,最令人关注的是谷歌因故意隐瞒关于用户数据的披露信息,导致法国监管机构对其开出了5700万美元巨额罚款账单。这个数字,是谷歌年收入的0.04%。对此,谷歌也表示不满,并决定将上诉法国监管机构。
“监管机构直接对美国公司开出上百万金额的罚款,并不现实。”美国民主与科技中心(Center for Democracy and Technology)乔·杰罗姆(Joe Jereme)说。
在这之前,欧洲各地的监管机构就已经开出过上百张小额罚单。但大多数情况中,罚款金额基本都是几千美元,而且受罚公司都是小规模公司。
澳大利亚监管机构曾因未报备的前提下展开了对公共区域的监控,从而对某零售商开出了5300美元的罚单。
对于相对较高的合规遵循成本,小型公司可能不太吃得消。然而,这些成本对获利轻松且较多的硅谷科技巨头而言,却最多只是九牛一毛。
我们可能注意到,硅谷在过去几个月中的风向标也发生了改变。
在各种大型活动中,比如谷歌的I/O开发者大会和Facebook的F8开发者大会,我们都可以发现对数据的更加关注。在几乎所有的新产品发布后,这些公司都不会忘了提及新产品的隐私功能和相关承诺。
硅谷的科技巨头负责人,包括Facebook创始人马克·扎克伯格(Mark Zuckerberg)、谷歌CEO桑达尔·皮查伊(Sundar Pichai)以及苹果CEO蒂姆·库克(Tim Cook),都在呼吁美国政府尽快出台类似GDPR的隐私法律。
但这种呼吁,更像是一种宣传手段,并希望以此让大众改变对其的情绪和看法,但真正对细节问题的关注和相关影响,却并没有太多值得关注的内容。
经验法则告诉我们,美国公司都喜欢呼吁相关监管和规定,因为他们知道有许多的说客在积极地起草对他们而言有利又有漏洞可钻的相关法案。
“这种慢效,正是野兽的本性。而正义之轮,正在缓缓地转动。”特纳说。
据特纳估计,今年之内可能看到主要的数据隐私执行行动。在这之后,我们就可能看到不可避免的官司和上诉案件。
“即便是上百万美元的罚款,对这些科技巨头而言最多只是象征性的罚款。”特纳说。
但我不知道这是否会改变其深层的商业模式。这不仅仅是这个公司的商业模式,而是整个互联网产业的商业模式。互联网的建立和发展以及现在盛行的商业模式,并没有特别注重隐私。如果想要改变,那就需要从根本上做出痛苦性的调整。
图片来源:Codeburst
过去一年中,我们主要见到的是各种吸引注意力的假设说法,而各种潜在的巨额罚款更是萦绕其中。
Facebook在欧洲因为密码安全问题面临着20亿美元的罚款,而在美国也有可能因为违法隐私相关法律而面临50亿美元的罚款。预计爱尔兰针对这些巨头的巨额罚款也将达十位数美元。
而这可能就是将来长期持续的官司之起点。
在接下来的一年中,我们可能会看到GDPR所带来的更大也更有影响力的结果。
但更重要的是,在互联网隐私问题真正可以得到解决之前(包括所有和你相关但被全球散布和销售的隐私),整个全球都可能要经历足够漫长的过程。
译者:井岛俊一