如果你曾經受過垃圾電話或者垃圾資訊的騷擾，那麼很可能你的個人資訊已經被賣了。個人隱私資訊，特別是個人身份、銀行賬號、人臉/指紋等生物特徵資訊洩露的危害極大，輕則垃圾簡訊、垃圾郵件不斷，重則詐騙/栽贓找上門。

你的隱私值多少錢？

據說幾毛錢就能買到你在外賣平臺的個人資訊和賬單詳情，不到2元就能拿到你在網上購物的詳情和偏好以及網路借貸的資訊。

如果有人向你當面出價購買你的基本資訊和消費記錄等個人隱私資料，多高的價格你會同意出售呢？可能再高的價格也不會同意吧，甚至出價越高，越會讓你感到不安。

在旅遊景點或者購物中心人員密集的地方，經常有商家免費送禮品，只要留下身份證號、手機號、姓名等資訊，或者用微信掃一掃就可以拿走價值幾元的禮品，這種時候往往會看到男女老少趨之若鶩的場景。

很多人態度上極為關注隱私，然而在做法上又不那麼注重隱私，這個現象叫做“隱私悖論”。哈佛大學的研究員Dan Svirsky做過一項調查，當受訪者被直接問及是否願意將Facebook的個人資料以50美分到2.5美元不等的價格出售時，超過64%的人選擇拒絕。然而，當Dan Svirsky改變策略，讓受訪者需要開啟一個新的頁面來確認該調查是否涉及到個人資訊時，拒絕分享資料的人數下降到40%。

前些天，李開復的“口誤”捅了企業資料隱私這一敏感話題的馬蜂窩。在全球創業者峰會（HICOOL）的一個演講中，李開復提到曾經在“早期幫助曠視科技尋找了合作伙伴，讓他們拿到了大量人臉資料……”。這番話很快引來了熱議，涉事公司很快做了澄清，李開復本人也隨後在微博做了致歉。

這個事件很快在網上發酵，各種關於人臉識別應用涉及公眾隱私的聲討文章，以及公眾該如何注重隱私的文章，一時間如雨後春筍般出現。在共情效應以及人們迴避風險的本能驅動下，每當有類似涉及隱私資料洩露的話題，公眾對於隱私問題會立刻開始重視起來，並且將輿論熱情衝到一個高峰。

隱私無價，有法律保護

我們身處一個數據時代，在我們每一天的生活當中，無時無刻不在與資料打交道，大量的資料應用圍繞著我們人的行為做文章。從早上一睜眼開始，我們每個人都在產生資料，早晨的起床時間、上下班路上騎共享單車去公交地鐵站的位置路線、公交地鐵或者打車出行的行程資訊，在公司吃飯點的外賣、飲食習慣和偏好，以及一整天刷手機的各種瀏覽Cookie資訊等等，這些都是我們的行為產生的資料，並且被商家利用起來推送廣告和服務。

正如我們開頭說的“隱私悖論”，我們大部分人是不願意出售自己的隱私資訊的，諷刺的是，在移動網際網路的今天，我們卻坦然接受各種APP提供的免費產品和服務，同時免費奉上自己的個人資訊，甚至當APP要獲取手機定位許可權、通訊錄許可權、相機許可權、麥克風許可權，甚至讀取手機已安裝APP資訊的許可權的時候，眼都不眨一下就點選同意了，更別提APP彈出的冗長晦澀的《使用者協議和隱私保護協議》，閱讀是不可能閱讀的，這輩子都不可能閱讀的。

移動網際網路時代，每天的生活都要跟各種APP產品打交道，想要做到完全隱私，根本不可能，除非不用網際網路和智慧手機。在資料經濟時代，單靠個人的謹慎是很難做到隱私保護的，也不能因噎廢食回到沒有網際網路的舊時代，隨著網際網路、大資料、人工智慧和實體經濟深度融合，資料即“石油”，資料也成為很多企業發展的基礎。

一條條的資料可能會被標上價格在黑市賤賣，而個人的隱私卻是無價的，現在隱私資料被濫用的“代價”也的確很高。個人隱私的保護還得依賴法律法規和監管，隨著2018年歐洲GDPR的出臺，企業不得不正視公司運營涉及的公眾隱私資料，如果管理不善可能帶來鉅額罰款。

美國政府和歐盟監管機構已經對網際網路公司侵犯隱私權的行為進行調查，美國聯邦貿易委員對Facebook包括“英國劍橋分析公司事件”在內的侵犯隱私行為開出了50億美元的罰款單，創造了美國政府機構企業罰款的歷史最高紀錄。

GDPR是歐洲通用資料保護條例的簡稱，出臺兩年多，現在已經是資料各行各業無法繞開的隱私管理規範和準則。GDPR的目標是保護歐盟公民免受隱私和資料洩露的影響。世界各地的公司，無論在地球上哪個地方進行公司資料儲存和處理，只要在歐盟成員國境內開展業務，就必須保護歐盟成員國民眾的個人資料與隱私，就算公司業務範圍不在歐盟境內，但只要公司有任何來自歐盟成員國的客戶，也必須遵守GDPR。

GPPR保護的範圍至少包括與你相關的以下型別的隱私資料：

（1）基本的身份資訊，如姓名、年齡、家庭地址和身份證號碼等；

（2）網路資料，如定位資訊、IP地址、瀏覽器Cookie資料等；

（3）醫療健康資料；

（4）生物識別資料，如人臉、指紋、虹膜等；

（5）種族或民族資料；

（6）政治觀點；

（7）性取向。

國內對資料安全與隱私保護的重視程度也逐漸向國際接軌，在2020年4月國務院釋出的《關於構建更加完善的要素市場化配置體制機制的意見》中，資料被納入生產要素的範疇，《意見》還提到要“加強資料資源整合和安全保護”。

今年6月28日，第十三屆全中國人大常委會第二十次會議審議了《中華人民共和國資料安全法（草案）》（簡稱《資料安全法》）並隨後面向社會徵求了意見。《資料安全法》強調總體國家安全觀，對國家利益、公共利益和個人、組織合法權益的全面保護。資料安全已成為事關國家安全與經濟社會發展的重大議題。

相較於《資料安全法》更關注資料安全對於國家安全的意義，即將在2020年10月1日實施的GB/T 35273-2020《資訊保安技術 個人資訊保安規範》（簡稱《規範》）則更側重於對個人資訊、隱私等涉及公民自身安全的保護，它是對2018年開始實施的GB/T35273-2017《資訊保安技術 個人資訊保安規範》的修訂，除了對個人資訊的收集、儲存和使用做了明確的規定，還將重點打擊APP的“強制索權、捆綁授權、過度索權、超範圍收集”等現象。

其實，關於隱私立法早已有之，只不過在數字時代之前，隱私資料問題不突出，相關的法律體系還不成熟。歐洲國家最早開始重視隱私的保護，隨著國際化和網際網路技術的發展，歐盟對於隱私保護的強烈需求成為世界隱私保護的主要推手，GDPR將隱私保護推到了一個前所未有的高度，目前已經有近百個國家和地區制定了關於隱私保護的法律。

隱私安全：“達摩克利斯之劍”

從GPPR屢屢開出的鉅額罰單，到李開復的“口誤”道歉風波，無不暗示了當下隱私安全已經成為懸在企業頭上的“達摩克利斯之劍”。隨著福斯不斷覺醒的個人資訊保護意識，隱私保護已經不是企業做不做的問題，而是如何做和怎麼做好的問題。

人工智慧、大資料、雲端計算和5G等新興科技的發展正在推動很多企業進行數字化轉型，數字化轉型既帶來機遇也帶來挑戰，隱私保護便是企業數字化轉型之路上最嚴峻的挑戰。隱私保護不力將會給企業帶來巨大損失，輕則產品下架整改、名譽受損，重則顛覆既有商業模式，甚至導致企業主要負責人承擔刑事責任。前不久，工信部便下架了23款APP，原因是侵害使用者權益，且未按要求完成整改。

從今年開始，對於侵害使用者隱私權益的打擊力度是空前的。自從工信部去年11月份釋出《開展APP侵害使用者權益專項整治工作的通知》以來，已經通報下架數批侵害使用者權益的APP，具體下架APP的名單在工信部網站上均可以查到。目前，工信部每月開展常態化APP抽查，這些APP主要在四個方面受到工信部的審查和整治：

（1）違規收集使用者個人資訊；

（2）違規使用使用者個人資訊；

（3）不合理索取使用者許可權；

（4）為使用者賬號登出設定障礙。

APP是獲取使用者最直接的入口，從對APP的整治力度可以看出目前國家層面對於資料安全以及使用者隱私資料的監管逐漸趨嚴，從國內國外看，這也是整個資料產業的大趨勢。企業作為資料的收集方、使用方、儲存方，隱私保護當仁不讓的責任主體，為了適應監管，為將來的發展滿足合規要求，企業必須提高自身的隱私風險管理能力。

隱私風險管理

有人將隱私問題歸罪於技術，認為是人工智慧、大資料等新技術創新帶來了隱私洩露、濫用等問題，持這樣觀點的人認為解決隱私問題需要從限制技術的使用入手。這樣的觀點是很正常的，然而從歷史的程序中我們發現，技術的創新和更迭是一個不斷自我完善的過程。汽車剛出現的時候，經常出現安全事故造成人員傷亡，但是人類並沒有放棄這項技術，而是通過安全氣囊、紅綠燈、斑馬線、交通法規等技術和管理上的創新，來規避風險和減少傷亡事故。

人工智慧和大資料等技術創新與隱私保護並非硬幣的兩面，不是對立的關係，只不過新技術的推動將以前的隱私問題從線下搬到了線上，如果回到十幾年前來說隱私問題，你想到的關鍵詞可能是偷窺、狗仔隊等等，現在說隱私問題，關鍵詞變成了資料：定位資料、消費資料、生物特徵資料、瀏覽器Cookie資料等等。

隱私安全問題恰恰反映技術創新和管理創新的不足。新技術時代，我們對於隱私問題的認識不能停留在以前，不可能通過捂著藏著來解決隱私問題，我們也不需要回到沒有網際網路的舊時代。現在新技術的創新也正在隱私保護的路上不斷探索。

技術的創新和迭代需要時間，隱私保護還需要從管理上進行創新，對於企業來說，隱私風險管理其實就是隱私合規風險管理，企業需要將隱私風險管理納入企業的風險管理框架中，以提升企業的全面風險管理能力。

美國國家標準與技術協會（NIST）在今年年初發布了一個針對隱私風險管理的框架：《NIST隱私框架：通過企業風險管理來提升隱私的工具》。該框架不是法律也不是標準，它定位為一個用於企業隱私風險管理的工具，旨在幫助企業定義隱私目標，識別隱私風險，優化個人資訊的使用，同時限制侵犯隱私的行為。該隱私框架可適用於各種規模的企業，不侷限於特定的技術、行業、法律或司法管轄區域，框架通過採用比較通用的方法（即適用於企業資料處理生態系統中的各種角色）來幫助企業進行隱私風險管理，比如：

（1）對於影響個人的系統、產品、服務，在設計和部署時將隱私考慮在內；

（2）對於隱私的實踐進行溝通；

（3）鼓勵企業各類人員（比如高管、法務和資訊科技人員）在配置開發、實施層級選擇以及成果實現的過程中進行協作。

該隱私框架分為三個部分：核心、配置以及實施層，每個部分通過業務或任務驅動、組織角色和責任以及隱私保護活動之間的聯絡來加強企業對於隱私風險的管理。通過溝通和協作機制，來加強企業的隱私管理流程與問責。

結語

隱私是一個發展的概念，隱私的定義不是一成不變的，隱私始終在隨著社會的進步而不斷髮生變化。不同的技術發展階段，隱私的內容和形式不相同，對於隱私保護的方法也不同。隨著技術手段和管理模式的不斷創新，相信對於隱私的保護也越來越完善，企業也只有緊跟潮流，積極主動做好隱私風險管理，才能在“達摩克利斯劍”之下安然無恙。