一、数据隐私的内涵与外延
“数据”是用来记录客观事物或事件的符号,既包括网络数据也包括线下物理场所存在的数据。欧盟《通用数据保护条例》(GDPR)将“个人数据”定义为与已识别或可识别的自然人(“数据主体”)相关的任何信息;“个人数据泄露”是指导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据的安全漏洞。中国《民法典》界定,“隐私”是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,强调了信息的私密性;“个人信息”是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,强调了信息的可识别性。这与欧盟GDPR中突出可识别和关联性的“个人数据”内涵基本一致。数据隐私在数据收集、存储、使用等各个环节均有涉及。“信息私隐”“数据私隐”及“数据保护”等词常被同义使用,是数据安全治理的重要组成部分,数据安全治理则是从决策层到技术层,从管理制度到工具支撑,自上而下建立的数据安全保障体系和保护生态。
二、企业违规案例频发,监管机构执法力度加大
各国对企业的监管和处罚力度越趋严格,特别是欧盟。从欧盟数据保护委员会(EDPB)2021年8月发布的统计数据来看,总体上,欧洲经济体的监管机构(EEA SAs)分配到的资金(图1)和人力(图2)以及执法案件总数(图3)呈上升态势。
图1:2020/2021 EEA SAs 资金
图2:2020/2021 EEA SAs 人力
图3:2018.5—2021.5 EEA SAs执法案件总数
来源:EDPB数据统计报告。
除了欧美等加强监管外,新西兰《2020年隐私法》要求收集个人数据的企业在发生隐私泄露的情况下,必须通知受影响的个人以及隐私专员办公室,否则每次违规将面临高达1万新西兰元的重罚。加拿大《个人信息保护和电子文档法》(PIPEDA)是该国最主要的联邦法规之一,规定了私人或者企业在进行商业活动时使用个人信息的范围与准则,PIPEDA一直是隐私权的保障,加拿大所有企业在从事商业活动的过程中收集、使用和披露个人信息时,均受到其制约。
受此影响,企业合规压力上升。中国贸促会《欧盟营商环境报告2019/2020》曾做过调查,统计数据显示,96.1%受访企业认为GDPR增加了企业成本,其中90.3%受访企业表示管理成本增加,其次是人工成本和客户服务成本。律师事务所DLA Piper 2021年发布的报告显示,自欧盟GDPR生效以来,数据保护当局已经执行了2.725亿欧元的罚款。该律所发现,近三年意大利数据保护局(DPA)已经开出了大约6930万欧元的罚单,为欧盟最高;德国、法国、英国和西班牙的DPA则包揽了前五名(图4)。而2021年1月以来全球范围内数据隐私安全事件频发,各国数据保护局开出的罚单力度总体是有增无减(不考虑受疫情影响等特殊因素而降低的罚款额度)。
图4:2018年5月至2021年1月GDPR罚款累计