36氪   |   張信宇

靴子落地。

再過兩個月，業界討論已久的《中華人民共和國個人信息保護法》（下稱《個人信息保護法》）就將于11月1日正式施行。此后，中國互聯網也將進入數據監管的新時代。

也就是說，大到騰訊阿里字節美團這樣的互聯網巨頭，小到電商商家、小區物業、獨立開發者，在數據問題上，任何組織與個人都被戴上了法律的鐐銬，再也不能無所顧忌地隨意收集、處理或泄露用戶數據。否則，就將面臨巨額罰款。

《個人信息保護法》的公布隨即引起了海內外的廣泛關注。硅谷科技媒體The Information將這部法律稱為“世界上最嚴格的隱私法之一”，《華爾街日報》則評價它“嚴厲程度全球居前”。

還有許多分析文章將《個人信息保護法》同歐盟于2018年生效的《通用數據保護條例》（下簡稱GDPR）相提并論，因為它們在包括核心條款、適用范圍等方面都極為相似。比如，《個人信息保護法》中要求不得過度收集個人信息、收集和處理個人信息應取得充分同意、嚴重違法罰款頂格可達營業額5%等條款，也都能在GDPR中找到一一對應的影子。

據騰訊研究院，在全球另一大經濟體美國，即便是最為嚴格的州法案《加利福尼亞州消費者隱私法案（CCPA）》，從各方面來說都要比歐盟GDPR和中國《個人信息保護法》要寬松。

歐盟最早提出GDPR的時候，曾經有分析擔憂，過于嚴苛的監管環境將會導致歐洲的互聯網產業大幅落后中國和美國。從實際情況看，這一點得到了一定程度的驗證。但它沒預計到的是，隨著互聯網狂飆突進，全球所有經濟體都意識到不能再放縱互聯網公司的監管套利，所有監管者都在向他們的歐洲同行看齊。

《個人信息保護法》規定，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的。

從倫敦到舊金山，從布魯塞爾到北京，大數據和算法要像權力一樣被關進籠子里——這已是這個時代前所未有的全球新命題。

法律賦予用戶拒絕算法的權利

那么，中國的《個人信息保護法》生效后，到底會產生什么影響呢？

前兩天有一起信息泄露事件被炒得很火。據浙江省通信管理局文件，2019年雙十一阿里云未經用戶同意擅自將用戶注冊信息泄露給第三方合作公司，后阿里云解釋稱該事件是阿里云一電銷員工將私下獲取的客戶聯系方式透露給分銷商員工，引發一名客戶投訴。阿里云稱，“已根據公司制度進行嚴肅處理”，并“積極整改”。

很明顯，如果這類事件是在2021年11月后發生，阿里云面臨就將不止是內部處理和積極整改了。

從歐盟GDPR的經驗上看，互聯網公司肯定是這類法律法規處罰的重災區，因為互聯網天然就是數字化程度最高、掌握最多用戶數據、并且最依賴大數據和各種算法的行業。Facebook和谷歌都曾在歐洲多國市場因沒有充分履行數據處理原則等違規行為而遭到GDPR罰款。就在一個月前，亞馬遜也正因“對個人數據的處理不符合GDPR”而面臨7.46億歐元罰款，如果這項處罰最終成行，將打破GDPR生效以來的罰款記錄。 

但GDPR也不只是針對互聯網公司。在其生效之后，2019年，英國航空公司由于泄露 50 萬名乘客個人信息被重罰近 2.04 億歐元，萬豪也由于此前發生的客戶數據泄露事件得到1.1億歐元的罰單。

可以想見，在過度收集人臉識別數據、算法降權營銷、大數據殺熟等行為泛濫的中國市場，任何公司如果不能在合規性上下一番功夫，此后也必將面臨這類重大罰單。

上海大邦律師事務所高級合伙人、知識產權律師游云庭在界面新聞撰文分析稱，《個人信息保護法》將會使互聯網公司的算法優勢削弱。比如，網約車平臺根據手機型號不同而導致價格不同的殺熟情況，有可能違反落地后的《個人信息保護法》。

《個人信息保護法》第二十四條規定：

個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

法條里的自動化決策即我們一般俗稱的算法，也就是說，《個人信息保護法》明確規定以后互聯網公司不能再利用算法對用戶的了解來“大數據殺熟”，并且用戶可以拒絕被算法過多了解自己。

同樣地，除了網約車場景，用戶也有權在電商App里關閉千人千面和猜你喜歡，在資訊信息流里不要個性化推薦——是的，這些都是十年來讓移動互聯網蓬勃發展的主流產品和技術。

《個人信息保護法》生效后，將賦予用戶拒絕被過度數字化的權利。這當然會給各大公司帶來損失，經營效率的下降——因為那種無所顧忌采集用戶個人信息，用來當作飼料喂養算法的行為，將會受到法律的懲罰。

可如果仔細思考就知道，容易做的業務一定做不長久，高毛利的行業一定會被調節。

但《個人信息保護法》也并非是要讓我們倒退一個時代，不要把它極端理解為反工業化、反數字化。

中國今年通過的十四五規劃綱要仍然要求加快數字化發展，仍然要求培育壯大數字產業。只是所有互聯網巨頭都走得太著急了，他們常常忘了等一等他們的用戶。因此，為了保障個人權利，保障普通消費者的利益，就必須立法保護個人信息，遏制互聯網巨頭的無序發展。

2021年7月，在政界和學界都享有盛名的清華大學兼職教授黃奇帆在一個行業會議上指出當前消費互聯網領域的四個問題：燒錢擴規模以取得行業壟斷、利用人性弱點設計產品、利用壟斷地位采集信息侵犯隱私、互聯網殺熟等。

其中，反壟斷監管正在如火如荼地進行中，而其它幾個方面，正是《個人信息保護法》想要解決的問題。互聯網公司已經在弱數據監管的環境下蒙眼狂奔夠久了，如果現在開始能學會敬畏一些東西，不失為因禍得福，甚至能會活得更久。

時代的情緒已經變了

很多互聯網巨頭都曾在對技術過于迷信。

馬云曾經說，“人類正在從IT時代走向DT時代（Data technology）”，他認可并推銷數據的價值，并且希望幫助所有人適應在這個越來越數字化的時代里生存。張一鳴也曾對算法推薦分發推崇備至，因為對算法的重視正是今日頭條和抖音成功的重要原因。而李彥宏更是在一次公開論壇中失言刺痛了公眾神經：中國消費者愿意用一定的個人數據去換取便捷服務。

這些都是對數據和算法的認知，大佬們獲取經驗和信息的來源都遠比一般人豐富，基于那樣的經驗和信息，他們在特定時期得出了這些結論和判斷。

現在我們已經知道，如果放任由單純的商業競爭來驅動數據的無序發展，往往會出現一些始料未及的后果。

人們已經越來越意識到，基于大數據和算法的各種社交網絡、視頻平臺、電商軟件、搜索推薦引擎，早已不是什么單純的工具。它們把用戶視為流量，對用戶有所訴求，它會引誘你、操縱你，想從你身上獲利。它們不停地向你索要更多的數據權限，向你索要電話號碼、真實照片、家庭住址、銀行卡號、身份證號以及社交關系，并且用這些數據去推斷你的經濟能力、社會地位、興趣愛好或者風險偏好。

確實有相當多的人會很痛快地滿足所有App的一切需求，因為短視的我們總是在貪圖更便捷的生活，而想不到為此需要付出的代價。

但隨著我們對數據力量的認知越來越直觀和深刻，這兩年的民間已不斷展現出對個人數據被過度收集的反感情緒。

人們開始發現，所謂的“個性化推薦”、“新客優惠”容易變成“大數據殺熟”；“邀請朋友來砍一刀”利用了人性的貪婪，消耗的是你的社交貨幣；如果沒給平臺交稅，你的內容和商品不管多好都可能被算法降權。

今年的央視315晚會像是一次預演，將商店偷偷采集人臉信息、App套取或泄露個人信息明確視為侵犯消費者權利的行為。而在疫情期間，各種途徑泄露出來的個人信息帶來了一輪又一輪的網絡圍觀與網絡暴力，這些都引起了反思。

都2021年了，人們被逼得逛超市結賬得下載App綁定電話和支付寶，吃一頓烤串也要關注微信公眾號，明明有服務員和菜單卻非要你掃碼下單，洗個牙買套衣服就要添加店員的企業微信，每次進小區大門的時候被物業的新機器掃臉。人們需要這些服務也想要這些服務，但人們不想在使用這些服務時還非得把各種數據給出去。

《個人信息保護法》的意思就是，法律允許人們不把數據給出去，也能在當代社會正常衣食住行。

20世紀的政治學習慣于提醒人民警惕絕對的權力壟斷和階級的不平等，但到了21世紀，無處不在、無所不知、無所不能的算法或許才是更可怕的那一個。希望“賽博朋克”的世界只留在那些充滿想象力的文學、電影和游戲作品中，希望“high tech，low life”（科技水平高，但生活秩序混亂）的擔憂不要成真。