中国内部意外地寻求 “保护数据隐私” ,这意味着什么

  • 这是MIT的文章,它选择了另一个侧面来看中国。它没有下结论,而是展示了一些现象,这些现象的确会显示中国社会对隐私的关注正在升温。但如果您是敏感人士、甚至只是简单地喜欢谈论政治,您需要知道,当局的任何做法或承诺,您都不应该信任

2016年夏末,徐玉玉接到了一个承诺改变她人生的电话。

她被告知,她的高考成绩,为她赢得了南京邮电大学英语系的录取。徐玉玉住在山东临沂市,这是中国的一个沿海省份,位于北京的东南部。她来自一个贫穷的家庭,全家人只能依靠父亲的微薄收入。但她的父母辛辛苦苦为她攒下了学费,她的亲戚中很少有人上过大学。

几天后,徐玉玉又接到另一个电话,电话中的人告诉她还获得了奖学金。要想领取 2600元奖学金,她需要先将9900元的 “激活费” 打入大学账户。由于前几天才申请了助学贷款,她就把钱汇到了电话那头给她的号码上。

当晚,家人急忙报警,称被骗了。徐的父亲后来说,他最后悔的就是问警官,他们的钱还能不能拿回来。答案是 —— “可能拿不回来了”,这更加剧了徐父的悲痛。在回家的路上,徐心脏病突发,两天后在医院去世。

经调查确定,虽然第一个电话是真的,但第二个电话是骗子打来的,他们花钱雇了一个黑客,挖到了徐的号码、录取情况和申请资助的情况。

对于太熟悉数据被盗的中国消费者来说,徐玉玉的死亡成了一个象征。她的死引发了全国性的呼声,要求加强数据隐私保护。

就在那件事发生的几个月前,欧盟通过了《通用数据保护条例》(GDPR),试图让欧洲公民控制自己的个人数据如何被使用。

与此同时,特朗普(Donald Trump)即将赢得美国总统大选,部分原因是其竞选活动广泛依赖选民数据。这些数据包括8700万个 Facebook 账户的详细信息,由现在已经臭名昭著的剑桥分析公司非法获得。中国监管机构和法律学者密切关注着这些事件。

在西方,人们普遍认为中国政府和中国人民 “都不关心隐私”。美国科技巨头们利用了这种所谓的冷漠,这些寡头认为严苛的隐私法会让他们在与中国企业的竞争中处于劣势。

在2018年剑桥分析公司丑闻发生后,Facebook 的CEO马克-扎克伯格(Mark Zuckerberg)在参议院的证词中敦促监管机构:不要对人脸识别等技术进行过于严厉的打击。他说,“我们仍然需要让美国公司能够在这些领域进行创新,否则我们就会落后于中国竞争对手和全球其他公司。”

实际上,认为中国人不关心隐私的态度早已经过时了。在过去的几年里,中国政府为了加强消费者对数字经济的信任和参与,已经开始宣称实施在许多方面类似于美国和欧洲今天的隐私保护措施。

但是,即使政府加强了消费者的隐私,它也加大了国家监控的力度。它使用DNA样本和其他生物识别技术,如人脸和指纹识别,来监控全国各地的公民。它加强了互联网审查,并开发了一个所谓的 “社会信用” 评分系统,惩罚当局不喜欢的任何人。在疫情期间,它部署了一个 “健康码” 应用程序,根据人们携带冠状病毒的风险来决定谁可以旅行。它还使用了一系列侵入性监视技术,对新疆西北部地区的穆斯林维吾尔人进行严厉地镇压。

耶鲁大学和华盛顿特区智库 “新美国” 的中国学者 Samm Sacks 表示,这种矛盾已经成为中国新兴数据隐私制度的一个决定性特征。它提出了一个问题:一个系统能不能承受强大的消费者隐私保护, 且几乎不会打扰政府的窥视?这个问题的答案不仅影响到中国。中国科技公司的足迹已经越来越遍布全球,世界各地的监管机构都在关注中国的政策决定。在下面看到报告

2000年11月,可以说是中国现代监控国家的诞生。当月,监督日常执法的政府机构 —— 公安部在北京的一次展会上宣布了一个新项目。该机构设想建立一个集中式的国家监视系统,利用最新技术整合物理和数字监控。该项目被命名为 “金盾”。

美国思科公司、芬兰电信巨头诺基亚公司和加拿大北电网络公司等西方公司急于捞钱,与中国公安部在所谓的 “金盾” 监视项目的不同部分进行合作。这些西方公司帮助建立了一个全国性的数据库,用于存储所有中国成年人的信息,并开发了一个先进的系统来控制互联网上的信息流 —— 这就是后来的 “GFW”

事实上,这个大规模监视系统中所涉及的大部分设备在美国已经实现了标准化,使监控工作变得更加容易,这是1994年美国的《通信协助执法法案 CALEA》的结果。

  • 执法为什么依赖监视?“情报主导型警务” 的概念是英国最先发明的,而通过监视每个人的一举一动形成针对大众的行为监控和分析,这种做法是美国创立的并流行全球,即 监视资本主义的起源。现在已经在中国 “发扬光大” …《警察情报中心如何跟踪抗议活动:通过BLM(1)

尽管有了标准化的设备,但所谓的金盾监视项目还是受到中国政府内部数据孤岛和地盘争夺战的影响。

随着时间的推移,中国公安部对一个单一的、统一的系统的追求变成了两个独立的业务:一个是专门收集和存储信息的监控和数据库系统,另一个是约40个政府部门参与的社会信用评分系统。

当人们屡次做出政府不喜欢的事时 —— 从乱穿马路到参与商业腐败 —— 他们的社会信用分数就会下降,并可能被阻止购买火车票和飞机票或申请抵押贷款。更多被惩罚的 “罪行” 见《“深夜上网”都会降低你的“社会信用评分”?无人能摆脱这种强制性监视》。

就在公安部公布金盾监视工程的那一年,洪延庆(音)考入了北京的警察大学。但经过7年的训练,拿到了学士和硕士学位后,洪延庆开始对当警察产生了二心。他转而申请出国留学。2007年秋天,他来到荷兰,开始攻读由中国政府批准并资助的国际人权法博士学位。

在接下来的四年里,他通过博士研究和在国际组织的一系列实习,熟悉了西方的法律实践。他曾在国际劳工组织从事全球工作场所歧视法的研究,在世界卫生组织从事中国道路安全的研究。

“在西方,这是一种非常法制化的文化 —— 这真的让我印象深刻。人们似乎经常上法庭”,他说。“例如,对于人权法,大部分的教科书都是关于法院解决人权问题的重要案例。”

洪认为这种做法效率奇低。他认为诉诸法庭是弥补法律缺陷的最后手段,而不是当初建立法律的主要工具。他认为,与美国那种通过胡乱积累判例法而拼凑起来的制度相比,经过更全面和更深思熟虑的立法会取得更好的结果。

毕业后,他带着这些想法在2012年习近平登上国家主席宝座的前夕回到北京。洪曾在联合国开发计划署工作,后来在中国最大的官方报纸《人民日报》当记者,该报为政府所有。

习近平开始迅速扩大政府审查的范围。有影响力的评论员,或者说 “大V” —— 因其在社交媒体上的验证账号而得名 —— 已经习惯于批评和嘲讽中共;2013年秋天,中共以 “恶意造谣” 为由逮捕了数百名微博用户,并在国家电视台上对一名特别有影响力的微博用户进行了 “认罪” 仪式,以儆效尤。

这一刻,标志着一个新的审查时代的开始。第二年,“中国网络空间管理局” 成立。这个新的中央机构负责一切涉及互联网监管的事务,包括所谓的国家安全、媒体和言论审查、以及数据保护。洪那时离开了《人民日报》,加入该机构的国际事务部。他代表该机构出席联合国和其他全球机构的会议,并与其他国家政府开展 “网络安全” 合作。

到2015年7月,中国的这个网络空间管理局发布了第一部法律草案。2017年6月生效的《网络安全法》要求企业在收集个人信息时必须征得人们的同意。同时,它通过 **禁止匿名用户** 也就是全面实名制,加强了互联网审查 —— 这一规定通过政府定期检查互联网服务提供商的数据来执行。

2016年春天,洪延庆想重返学术界,但机构要求他留下。《网络安全法》曾刻意对个人数据保护的监管模糊不清,但消费者数据泄露和被盗已经达到了难以忍受的程度。

中国互联网协会2016年的一项研究发现,84%的受访者曾遭受过至少一些数据泄露,包括电话号码、地址、和银行账户信息。这正促使人们对需要获取个人信息的数字服务提供商越来越不信任,比如打车、送餐和金融应用。徐玉玉的死亡将这一状况推向了高峰。

中国政府担心这种情绪会削弱对数字经济的参与,而数字经济已经成为中国支撑国家经济增长战略的核心部分 —— 这也是为什么IYP一开始便认为所谓的 “地摊经济” 是个骗局,监视资本主义才是经济支柱,要维护这个支柱就需要将更多人更长时间地留在互联网上。电商和社交媒体是其中的关键。

GDPR的出现也让中国政府意识到,中国科技巨头要想在海外扩张,就必须符合全球隐私规范。

洪延庆被安排负责一个新的特别工作组,该工作组将编写一份个人信息保护规范(PIPS),以帮助解决这些挑战。该文件虽然不具约束力,但将告诉公司监管机构打算如何实施《网络安全法》。政府希望在这个过程中,能够促使他们自行采用新的数据保护规范。

洪的工作小组开始将他们能找到的所有相关文件翻译成中文。他们翻译了经济合作与发展组织及其对应机构 —— 亚太经合组织发布的隐私指南;他们翻译了GDPR和加州消费者隐私法;他们甚至翻译了2012年白宫消费者隐私权利法案,该法案由奥巴马政府提出,但是,从未成为法律。同时,洪还定期与欧美数据保护监管机构和学者会面。

从文件和咨询中,一点一滴地形成了一个普遍的选择。“人们用很简单的语言说,’我们有欧洲模式和美国模式’”,洪回忆说。要知道,这两种方式在理念和实施上有很大的分歧。选择哪种模式成为中国这个工作队的第一次辩论。

欧洲模式的核心思想是,人们有保护其数据的基本权利。GDPR要求数据收集者(如公司)承担举证责任,证明他们为什么需要数据。相比之下,美国模式则是行业优先于消费者 —— 企业自行定义什么是合理的数据收集;消费者只能选择是否接受该企业的数据收集。美国有关数据保护的法律也远比欧洲零碎,由部门监管机构和具体州分担。

当时,由于没有一部中央法律或单一机构负责数据保护,中国的模式更接近美国的模式。不过,这个工作组认为欧洲的做法很有说服力。“欧洲的规则结构、整个体系更加清晰”,洪说。

但是,这个工作组的大部分成员都是来自中国科技巨头的代表,如百度、阿里巴巴和华为,和美国寡头一样,他们也认为 GDPR 的限制性太强。所以他们采用了它的大体笔触 —— 包括对数据收集的限制以及对数据存储和数据删除的要求,然后放宽了一些语言。

例如,GDPR的数据最小化原则认为,只有必要的数据才应该被收集,以换取服务。中国的 PIPS 则为收集与所提供服务相关的其他数据留有余地。

PIPS 于2018年5月生效,同月 GDPR 终于生效。但当中国官员看着美国因 Facebook 和剑桥分析公司丑闻而发生的动荡时,他们意识到,一个不具约束力的协议是不够的。

中国的《网络安全法》没有一个强有力的机制来执行数据保护。监管机构只能对违规者处以最高100万元(14万美元)的罚款,对于大公司来说,这个数额简直太毛毛雨了。

不久之后,中国最高立法机构 —— 全国人民代表大会决定,在目前的五年立法期内开始起草《个人信息保护法》,该法将于2023年结束。该法将加强数据保护条款,规定更严厉的惩罚措施,并有可能建立一个新的执法机构。

剑桥分析公司丑闻之后,洪说:“政府机构明白,‘如果你不能真正落实或执行这些隐私规则,那么你可能会看到重大丑闻,甚至影响到政治事物。”

当地警方对徐玉玉的死因进行调查,最终确定了给她打电话的骗子。这是一个七人团伙,他们利用非法获取的个人信息,骗取了很多其他受害者的56万余元。法院判决,徐玉玉的死亡是由于家庭积蓄丢失的压力直接导致的。正因为如此,加上这个骗子还参与策划了其他数万个诈骗电话的实施,22岁的诈骗组织头目陈文辉被判处无期徒刑。其他人被判处3至15年徒刑。

中国媒体和消费者开始更加公开地批评侵犯隐私的行为。2018年3月,互联网搜索巨头百度的CEO李彦宏在暗示中国消费者愿意 “用隐私换取安全、便利或效率” 后,引发了社交媒体上的集体愤怒。“胡说八道!” 一位社交媒体用户写道,后来被《人民日报》引用。“更准确的说法是,[我们的隐私]不可能得到有效的保护。”

2019年10月底,社交媒体上开始流传某学校学生佩戴脑电波监测头带的照片,据说是为了 “提高学生的注意力和学习效率”,随后,社交媒体用户再次表示愤怒。当地教育主管部门最终出面,告诉学校停止使用头带,因为头带侵犯了学生的隐私。

一周后,一名中国法学教授起诉杭州一家野生动物园,称该动物园用人脸识别取代了以指纹为基础的进入系统,并称该动物园没有征得他的同意存储他的图像。

但公众对侵犯消费者隐私的敏感度越来越高,却并没有导致对政府监控的许多限制,甚至也没有对其进行太多审查。

正如人权观察的研究员所指出的,这部分是因为大多数中国公民不知道政府行动的规模或范围。在中国,这点与美国和欧洲一样,数据隐私法有广泛的所谓国家安全豁免。例如,《网络安全法》允许政府要求私人行为者提供数据,以协助刑事法律调查。公安部也直接积累了大量的个人数据。因此,可以在没有大幅限制政府部门获取信息的情况下,加强工业领域的数据隐私。

然而,疫情的爆发扰乱了这种令人不安的平衡。

2月11日,总部位于上海西南城市杭州的金融科技巨头蚂蚁金融发布了一款名为 “健康码” 的应用平台。同一天,杭州市政府发布了利用该平台打造的一款 App。杭州的 App 要求人们自我报告自己的旅行和健康信息,然后给每个人一个红色、黄色或绿色的颜色代码。

突然间,杭州的1000万居民都被要求出示绿色码才能乘坐地铁、买菜或进入商场。一周之内,100多个城市的地方政府都使用健康码开发了自己的应用。竞争对手科技巨头腾讯迅速跟进,推出了自己的平台来构建它们。

这些应用程序让人们看到了令人担忧的国家监控水平,并引发了新一波的公众辩论。

3月,北京大学新闻学教授胡泳认为,政府的疫情数据收集已经越界。他写道,这不仅导致了信息被窃取的事例,而且还为这些数据被超出其最初目的的使用打开了大门。他问道:“历史有没有表明,政府一旦拥有监控工具,在使用这些工具时就会保持谦虚谨慎的态度?”

事实上,在5月底,泄露的文件显示,杭州政府计划制作一个更永久性的健康码应用程序,对市民的运动、吸烟和睡眠等行为进行评分。在舆论哗然之后,市政府官员取消了该项目。国有媒体也发表了批评该应用的报道。

争论很快就传到了中央。当月,全国人民代表大会宣布打算快速通过《个人信息保护法》。代表们表示,由于疫情期间收集到的数据规模庞大,使得强有力的执行更加迫切,并强调需要明确政府在特殊紧急情况下的数据收集和数据删除程序的范围。

到了7月,立法机构提出了新的 “严格审批” 程序,要求政府主管部门在收集民间平台的数据前必须经过该程序。Sacks 和 “新美国” 智库的中国学者们写道,这一措辞再次保持模糊,稍后将被充实 —— 也许是通过另一份不具约束力的文件,但此举 “可能标志着向限制现有政府对所谓国家安全的豁免的广泛范围迈出了一步”。

洪同样认为,行业管理规则和政府数据收集规则之间的差异不会持久,政府将很快开始限制自己的范围。“我们不能简单地解决一个行为体,而把另一个行为体排除在外”,他说,“这不会是一个非常科学的方法。”

但是。其他观察人士则不同意这点。人权观察组织的王说,政府可以很容易地做出表面上的努力来解决公众对可见数据收集的反感,而不会真正触及公安部全国监视业务的核心。她补充说,任何法律都可能会被不均衡地执行。“在新疆,穆斯林居民对他们的待遇没有任何发言权。”

不过,这个洪延庆仍然是一个乐观主义者。7月,他开始在北京大学从事法律教学工作,现在他维护着一个关于网络安全和数据问题的博客。每个月,他都会和中国一个新兴的数据保护官员群体见面,他们仔细观察世界各地的数据治理是如何发展的。⚪️

Inside China’s unexpected quest to protect data privacy 有付费墙,别忘了《如何穿越付费墙:12个省钱大法

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据