一����、數據隱私的內涵與外延
“數據”是用來記錄客觀事物或事件的符號�����,既包括網絡數據也包括線下物理場所存在的數據����。歐盟《通用數據保護條例》(GDPR)將“個人數據”定義為與已識別或可識別的自然人(“數據主體”)相關的任何信息����;“個人數據泄露”是指導致意外或非法破壞����、丟失����、更改����、未經授權披露或訪問傳輸����、存儲或以其他方式處理的個人數據的安全漏洞����。中國《民法典》界定����,“隱私”是自然人的私人生活安寧和不愿為他人知曉的私密空間�����、私密活動����、私密信息����,強調了信息的私密性�����;“個人信息”是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息�����,強調了信息的可識別性�����。這與歐盟GDPR中突出可識別和關聯性的“個人數據”內涵基本一致����。數據隱私在數據收集�����、存儲�����、使用等各個環節均有涉及�����?���!靶畔⑺诫[”“數據私隱”及“數據保護”等詞常被同義使用����,是數據安全治理的重要組成部分����,數據安全治理則是從決策層到技術層�����,從管理制度到工具支撐����,自上而下建立的數據安全保障體系和保護生態����。
二�����、企業違規案例頻發����,監管機構執法力度加大
各國對企業的監管和處罰力度越趨嚴格����,特別是歐盟����。從歐盟數據保護委員會(EDPB)2021年8月發布的統計數據來看����,總體上�����,歐洲經濟體的監管機構(EEA SAs)分配到的資金(圖1)和人力(圖2)以及執法案件總數(圖3)呈上升態勢����。
圖1:2020/2021 EEA SAs 資金
圖2:2020/2021 EEA SAs 人力
圖3:2018.5—2021.5 EEA SAs執法案件總數
來源:EDPB數據統計報告�����。
除了歐美等加強監管外����,新西蘭《2020年隱私法》要求收集個人數據的企業在發生隱私泄露的情況下�����,必須通知受影響的個人以及隱私專員辦公室����,否則每次違規將面臨高達1萬新西蘭元的重罰�����。加拿大《個人信息保護和電子文檔法》(PIPEDA)是該國最主要的聯邦法規之一�����,規定了私人或者企業在進行商業活動時使用個人信息的范圍與準則�����,PIPEDA一直是隱私權的保障����,加拿大所有企業在從事商業活動的過程中收集�����、使用和披露個人信息時�����,均受到其制約����。
受此影響�����,企業合規壓力上升����。中國貿促會《歐盟營商環境報告2019/2020》曾做過調查����,統計數據顯示����,96.1%受訪企業認為GDPR增加了企業成本����,其中90.3%受訪企業表示管理成本增加����,其次是人工成本和客戶服務成本����。律師事務所DLA Piper 2021年發布的報告顯示�����,自歐盟GDPR生效以來�����,數據保護當局已經執行了2.725億歐元的罰款�����。該律所發現����,近三年意大利數據保護局(DPA)已經開出了大約6930萬歐元的罰單�����,為歐盟最高����;德國�����、法國����、英國和西班牙的DPA則包攬了前五名(圖4)����。而2021年1月以來全球范圍內數據隱私安全事件頻發�����,各國數據保護局開出的罰單力度總體是有增無減(不考慮受疫情影響等特殊因素而降低的罰款額度)�����。
圖4:2018年5月至2021年1月GDPR罰款累計
