老大哥在看着你

这本书我一直以为出版不了了。我是17年3月份交的稿件，到21年1月出版，整整4年。由于稿费早就结清，所以我也就不对这本书的出版有任何希望了。

《数据安全实操指南》在当今这个时机出版其实也不错：

• 2017年6月1日，《网络安全法》实施。
• 2018年5月1日，《GB/T 35273-2017信息安全技术 个人信息安全》生效。
• （2018年，GDPR成为欧盟所有成员国必须遵守的法律）。
• 2020年10月，《个人信息保护法》草案。
• 2021年1月1日，《民法典》生效。首次规定了隐私权和个人信息的保护原则，界定了个人信息的概念，列明了处理个人信息的合法基础，规范了个人信息处理者的义务、自然人对其个人信息的权利以及行政机关的职责。尽管存在诸多问题有待在未来的《个人信息保护法》中予以解决，但《民法典》为该领域的未来立法奠定了基础。隐私权第一次上升到“人格权”。

虽说中国在数据保护¹立法过程中，起步比欧美国家晚，但可以看出其追赶的步伐很快。

通过比较欧美的立法，我们可以很清楚的看出两者之间的出发点和框架是不同过。那么一个很自然的问题是：中国在立法过程中借鉴了（或者更多地借鉴了）哪套系统？

我进行了一些粗浅的研究，总结成如下的一个表格：

看得出来，中国因为采用大陆法系，所以更偏向与同样采用大陆法系的欧洲（英国除外，反正英国脱欧之后也不受GDPR的影响了）。其核心点是：政府是老大哥，担负起数据保护——也就包括隐私保护——的最终负责人，但目前还没有一个中心机构对此负起核心功能，也就是说，用户如果认为自己的数据（隐私）受到侵犯，就必须自己找到那个部门。

但我怀疑，众多涉事其中的部门会以数据保护为借口，拒绝承认或者消极配合，从而使得用户追溯的难度极大地被提高。最后如果因此对政府提起诉讼，我看是很难会得到支持的。这方面的判例还太少，法律条款也有待进一步完善。

特别地，上表中“消费者”一词明确地限定了数据保护和隐私保护的主体，而政府和公民之间的关系怎么说都不是“消费者”和“供应商”吧？

因此，在一些评论中，这被批评为只对“私人”企业进行了约束和限制，却没有进一步明确政府的合法行为和违法责任。

再简单地谈谈“遗忘权”。美国法律界一般认为，遗忘权会对言论自由造成侵犯。脚注2中的案例1已经分析得很透彻了。他们的担心是，一旦遗忘权获得法律认定，那么所谓的极权国家就可以以此要求搜索引擎删除他国用户可以访问到的资源。原文是：“欧洲的数据管理者不应被允许做出这样的决定，决定世界上的互联网用户在使用搜索引擎时该看到怎样的内容。【法庭】必须限制遗忘权的范围，以保护全球互联网用户的权力使其获得在线的信息。”

脚注2中的案例1发生在中国。有兴趣的读者可以自行浏览。这个案例也算比较新的，感觉对未来的相关案例会有非常深远的影响，因为中国虽然是大陆法系，但是目前也渐渐出现“循例”的趋势。我不是法律专家，所以无法就此作出进一步分析，只能拭目以待。

不过，“保护”不等于“隐私”。举个简单的例子：你在微信、其他应用或者线下的一些表单中提交并被保存的数据，都会被保护得很好，一般而言不会出现黑客攻破了后台而整个被盗库或者某个服务商的文件仓库被偷盗的风险。这些数据中肯定有你的“隐私”数据，但是这些数据是不是也有”隐私“则是另外一个问题了。

所以，正确的状态应该是：既有对数据的保护，使得未经授权的访问者无法访问到这些敏感数据，也要防止数据被授权地“滥用”、“贩卖”。我认为，这才是数据保护最根本的问题。