大家可以看到一个细节,facebook这个案子下载的程序是26万人下载那个CA公司提供的一个APP,但是它产生了有可能是5000万的用户数据泄露,那些人完全是躺着中枪,那些好友在完全不知道的情况下,自己的数据就产生了泄露。所以,作为中间做服务的,包括云服务提供商也有同样的问题。数据处理缺乏透明度这个其实是相关的,对于服务提供商你在过程中怎么样去进行数据处理,要不要进行数据处理,如果你不进行数据处理,假如国家对于平台、对于运营者的安全上有些义务,比如说有害信息的处理,你怎么办?数据的泄露和滥用,这个大家都好理解,在这个时代我们再提数据的滥用,我觉得大家已经都有一个认知了,但是之前我们听到一些云的服务提供商,在他的商业模式中包含了用大量的数据挖掘,到一个程度其实是能够把很多用户存储在上面的信息挖掘出来使用的。这种挖掘合法性和正当性在什么地方,这里涉及到了用户、云服务商,很多云服务在上面有很多接口,是有其他第三方的,比如图象识别、云识别,他是把很多服务集成在云上的。这些第三方服务商,比如说人工智能技术的处理方,它跟云是什么关系。数据删除不彻底这个好理解,如果中间该停止这个服务,我的数据删除掉了,他要继续使用有什么样的问题。跨界传输对于大家是一个越来越大的问题,随着配套措施现在正在征求意见,对于大的平台来说都会涉及到这个问题。但是如果你现在运行的说我就是提供给中国境内的商户,我就是来给他们提供服务,其实这个问题还好。
第二部分,合规要求主要是来自于网安法,我想把有关于这部分稍微梳理一下。网安法对于大家来说,其实是一个相对抽象的法律,这个法律的特点是它比较有原则性。网安法在立法过程中也提到把一些具体的制度要去跟一些后续的法规去进行衔接,意味着大家看到网安法的时候会有些疑惑,有些规定在落地时怎么执行,可能会有这样一些问题。我觉得我们作为云服务提供商,您肯定毫无疑问要受到网安法的管理,一个是网络安全保护制度和核心网络运营保护者的义务,一方面你要保证安全,另一方面你跟用户数据和隐私保护之间的冲突。在网安法中专门有一章是关于用户个人信息的部分,当然我觉得可能还是一个技术创新,其实有很多时候对于一些文件的识别,对于一些有害信息的识别,到时候怎么样把它识别出来,同时又能脱离用户信息。
有一段时间大家可能注意到了网盘脱离服务,还有你存在云盘的信息可能没有了,比如说盗版的视频,包括一些淫秽色情信息或者有害信息。这一部分就涉及到了如果将来有用户去挑战说你凭什么把我的信息删了,到底你是从有害信息的角度是更高的,还是说用户的个人信息。刚才我提到的阿里云的案子其实就是一个问题,作为平台来说,当我去完成我的安全保护义务时,我跟用户个人信息这部分是怎么样的一个关系。
个人信息这块我多讲两句,这一块之前是全国人大有相应的规定,之后比较大的一个变化实际上就是《网络安全法》中关于个人信息的规定,之后出了一个非常非常重要的目前还没有引起大家注意的就是个人信息安全规范,作为企业来说,尤其是作为云服务提供商来说,我觉得完全适用于拿来作为合规指南使用。因为这有关在网安法颁布以后,个人信息怎么处理的问题。大家注意到十家大的网络安全公司做了个人信息保护的修改,就是根据这个个人信息安全规范,今年5月份会生效。这里面很多东西就涉及到前面说的这些具体的个人信息合规的角度,实际上这个角度特别简单,我觉得我们可以把它归结为非常简单的原则,个人信息的保护首先就是用户知情,如果用户不知情,要让用户明示同意。所以在收集用户信息过程中,是要让用户同意的。这里对于云服务商来说有什么建议呢?当你跟第三方商户合作的时候,他去收集信息的时候是不是在通过什么样的方式能够获得用户的授权,而且非常明确的一点,如果你的行业比如说你是做跟医疗有关的,医疗云、金融云、教育云,这些云里其实有很多很明显的行业涉及到用户的敏感信息,比如金融类、医疗类的信息,包括未成年人,这些信息都是敏感信息,这个过程中一定要获得用户的明示的授权同意。
个人信息的规定口子是什么?要不然就做匿名化,要不然就去获得用户的同意。其实我觉得这个事情的法律规定非常复杂,规范涉及到很多细节,但作为律师来说,我们给企业提供建议就两大点,要么获得用户授权,要么匿名化。因为个人信息核心的原则就是可识别性,什么叫个人信息?这个概念就是强调我直接或者间接结合其他信息识别你。比如说在会场这些人,最后能精确识别到一个人,这就是个人信息,如果识别的是这三五个人中的一个,它就不是个人信息。我们在处理上会宽泛一些,数据的敏感性和要求会低一些。如果做到匿名化也很好,就意味着它不再是个人信息,匿名化的意思是当它匿名化以后,我们就识别不了了。比如说我们在很多场景下涉及到对一群人的营销,其实你是把身份去掉了,所以个人信息的合规归结起来很简单,要不然就是获得用户的同意,要不然就是匿名化。中间地带,我在一些情况下,例如用户对这个信息不敏感的情况下,用户的默示行不行?业界现在有一定的争议,可能看起来也是合理的,因为这里面就涉及到立法考量的问题。