苏奎：个人数据保护是平台的“阿克琉斯之踵”

网上有关“苏奎：个人数据保护是平台的“阿克琉斯之踵””话题很是火热，小编也是针对苏奎：个人数据保护是平台的“阿克琉斯之踵”寻找了一些与之相关的一些信息进行分析，如果能碰巧解决你现在面临的问题，希望能够帮助到您。

文/观察者网专栏作者 苏奎

毫无疑问，互联网平台是信息时代的主角。超大规模、垄断、权力巨大是其主要特征，能影响无数人的生活、利益，甚至生计。平台具有多重属性，既是一个传统企业，同时也是一种经济形态。以平台为核心构成的平台经济甚至就是一个虚拟城邦国。正如扎克伯格的名言：“在很多方面，脸书（Facebook）更像是一个政府，而不是一个传统的公司。”

平台是平台经济的绝对主宰者，它能够恣意制定规则、解释规则并执行规则，而这些规则可以影响数以亿计的人。它们与国家法律法规在本质上没有区别，却不需要遵循国家立法、司法、执法所要求的正当性程序。自从国家产生以来，政府没有面对过类似的管治对手，可以说是3000年未有之大变局。

在信息时代，如何治理平台在世界范围内都是一项巨大的挑战。反垄断、消费者保护、公平竞争等传统工具是世界范围内进行平台治理的几条主要路径。然而，反垄断、消费者保护、公平竞争这些治理工具都是传统经济时代发展而来的，面对着信息时代的巨头，它们可以说常常是捉襟见肘、力有不逮，成效多有不彰。

个人数据保护是信息时代发展出的新工具，尽管其初衷是保护个人信息，但无数人的个人信息积水成渊就成了大数据，有了大数据，算法才能从一具奄奄的躯壳化身为一头桀骜的巨兽。也就是说，算法的命门在个人信息保护。

近期欧美正在发生的平台个人信息保护的一些案例发人深思，让人兴奋，个人数据保护赋予个人更大的权力从而平衡平台在平台经济中的权力结构，可能也是平台治理的一条新路径。

劳务平台

互联网平台并不具有广泛的同一性，不同类型之间差异巨大，既有以信息服务为核心的社交平台、搜索平台，也有生产海量信息的电商平台。以网约车、外卖等为代表的劳务平台可算是后者。平台是虚拟的市场，通过平台出售劳务。但更重要的是，这些劳务平台上聚集了数百万，甚至上千万分布在全球城市的劳动人民。相比其他平台，它们不只是在为人服务，还掌握着无数人的信息。因此，这些平台与人的关系更为密切，对 社会 治理带来的挑战更大，影响也更为深远。

这些平台上的人依靠平台提供的信息而生存，为平台生成海量的信息资源，又被这些信息所管理控制。相比其他电商平台，这类平台上的人（劳动力）的几乎没有自主权，传统的劳动保护也与其无缘，因为他们被平台认为是 微型企业家 。平台依靠信息对如此庞大的劳动力队伍进行精准管理，这超过了人类 历史 上任何组织的极限，可以说是人类 历史 的奇迹，而创造这样的奇迹的核心则是隐藏在平台背后的算法。

网约车平台几乎是迄今为止对 社会 治理带来最多问题、争议最大的互联网平台。创建于2008年的优步开创了网约车行业，其月度活跃的消费者数量约1亿人，全球日均订单数近2000万（包括外卖），平台上的驾驶员人数超过400万，平均每月有5万名新驾驶员加入平台。其强硬对抗全球监管机构的做派曾经为其带来无数的麻烦，蔑视规则和法律的企业文化也使得企业本身遭遇了内伤。2017年，创始人卡拉尼克甚至被赶出了公司。除了广为人知的与各地监管机构的斗法外，优步与平台内驾驶员之间的矛盾可以说是日益尖锐，与消费者之间的龃龉也不时传出。

泄露个人信息后果很严重

1月20日，特朗普在离开白宫前公布了多达73人的赦免长名单，前军师史蒂夫·班农毫无悬念出现在名单上，但也有一些名字是出人意料的。前优步负责自动驾驶业务的高管——安东尼·莱万多斯基（Anthony Levandowski）相当幸运地逃脱了原本在2月7日就要开始的牢狱之灾，据传特朗普在硅谷中为数不多的支持者——大佬彼得·蒂尔（Peter Thiel）是其幕后的操盘手。

相比之下，优步的另一位前高管——首席安全官乔·沙利文（Joe Sullivan）恐怕只能哀叹命运之不公了。不过这确实是咎由自取，简直就是“不作不死”。2020年8月21日，沙利文遭联邦司法部以阻碍司法和作伪证两项罪名起诉，刑期可能高达8年。而这一切均始于2016年那次对约5700万驾驶员和乘客个人信息泄露后的掩盖。

沙利文并非新手，他曾是互联网巨头脸书的首席安全官，对信息安全和个人信息保护有丰富的经验。然而，在获悉优步发生黑客入侵导致平台个人信息泄露后，他并没有依法立即向政府有关部门报告，而是在与时任CEO卡拉尼克（Travis Kalanick）商议后通过向黑客支付10万美元的封口费，买通黑客将其定性为平台主动邀请黑客发现安全漏洞。而封口费也就变成了安全奖励。

发生如此大规模的个人（包括平台的驾驶员和乘客）信息泄露，自然不会被欧美的相关监管机构放过。按照欧盟的规定，数据泄露后应在72小时内向监管机构报告。据此，其欧洲总部所在的荷兰数据保护局2018年对其处以60万欧元的罚款。宣布脱欧的英国（ICO）也对其施以38.5万英镑的罚款。

相比欧洲同行，美国本土的监管机构对其下手更重，加州检察总长与旧金山检察长联合了美国50个州和首都华盛顿特区的相关部门对其发起诉讼。2018年9月，优步主动以高达1.48亿美元的巨额赔偿金和解。看来，在个人信息保护方面，国内一直以来有关美国立法和监管更为宽松的观点恐怕并非事实。

监管深入企业的黑箱

FTC是在公平竞争和消费者保护方面的执法机构，在知悉此事后，迅速宣布2017年8月已经达成的和解协议无效，需要重新商定有关和解条款。

2018年10月 ，FTC再次宣布达成新的和解协议。作为信奉自由市场的特朗普政府，治下的FTC确实对优步手下留情，并没有如州政府予以重罚，甚至根本就没有罚款，但对优步的内部信息安全管理提出了事无巨细的要求。相比以企业外在结果为主要对象的结果保护策略，FTC的协议则是以企业内部管理为主要对象的过程保护策略。也就是说，它更多地是以事前预防的思路对企业内部可能存在的个人信息保护漏洞进行全方位的监管， 将企业内部的信息安全管理纳入公共管理。这可以说是一种新的个人信息保护模式。

事实上，我国正在开展的个人信息保护立法（包括已经完成的网络安全法，以及2020年征求意见的数据安全法、个人信息保护法）同样也采用了这种思路。不过，相比FTC的和解协议，中国的平台企业享有更多的自由。FTC的和解协议建立了相对较为完备的企业信息安全制度，主要内容包括：

优步需要立即建立综合性的个人信息（隐私）保护计划，所有计划、方案、培训均需要有书面记录。设置专门的人员负责个人信息（隐私）保护计划。

开展个人信息（隐私）风险排查、评估，确定风险点，制定整改计划。制定个人信息（隐私）风险动态监控和评估方案。

建立第三方信息（隐私）审计、评估制度，第三方审计人员需有执业资质并具有3年以上的从业经历，相关审计人员还需经过FTC消费者保护部门批准。完成评估后10天内，需将评估报告送FTC备查。在协议执行开始后半年内应完成第一次第三方审计，以后每两年应至少开展一次。

建立信息安全事故统计与报告制度。

建立文件签收与学习制度。公司所有相关人员必须学习FTC的和解协议文件，并要签名确认，有关学习记录需要书面记载。

文件签发一年后，优步需向FTC递交合规报告，报告应该宣誓内容真实可靠，否则将承担伪证罪。企业任何组织机构和实体发生变化需在14天内通知FTC，以便于监管部门检查、监督。

及时响应监管部门，收到FTC有关信息（隐私）安全的问询后，优步需在10天内回复或响应，有关合规报告或材料需要宣誓非伪证，并准备好详细记录备查。

建立信息安全档案记录，包括相关员工的档案记录（包括离职原因）、平台用户投诉记录、所有可证明公司落实文件的材料、公司对外宣传及承诺有关个人信息（隐私）保护措施、信息安全评估、审计与整改报告、安全漏洞奖发放记录、执法部门传票、调查与说明材料等。

福布斯网上关于该案件的报道截图

加州检察总长联合各州与优步达成的和解协议在巨额赔偿之外其实也提出了类似的一系列企业信息安全合规要求，包括企业需要设置首席安全官，以及云存储密码、认证强化制度、建立信息安全员工培训与违规处罚制度、第三方信息审计人员资格制度（需要5年以上的从业经历）、个人信息安全情况作为董事会的固定议题制度、事故确认与报告中的律师参与制度、公司内部违规举报制度等。

孔子曰：“不教而杀谓之虐，不戒视成谓之暴。”美国联邦和州相关监管机构利用优步违法的契机，构建了一套非常严格的企业内部个人信息保护机制，特别强调内部部门监督、外部审计、员工培训等，将此前以负面清单方式的事后监管模式推进到以作为的义务为主的事前事中监管模式，也就是从惩戒为主模式转换到以预防为主的模式。

平台企业不再是一个黑箱。通过一个设计精密的内部监督机制，平台的保护更为透明，个人信息保护的目标有更加可靠的保障。其意义在于，只有在个人信息保护有了更为可靠的保障，个人信息保护以外的平台经济治理功能才有了其他可能。

算法统治平台

4名驾驶员做出这样的动作也是事出有因。按照优步的说法，4名驾驶员均是因为欺骗性行为或者违规操纵（不当使用）驾驶员手机应用程序。直白地说，就是驾驶员或因为挑单以等价格上涨后的好单（game the surge），或是因为私自安装其他应用程序改变手机状态欺骗优步的驾驶员应用程序（如改变位置），被平台算法判定为严重违规而被除名（在优步平台上没有开除的概念，永久冻结账号则是一个等同的说法），而做出这些决策的都是平台的算法。换句话说，4名驾驶员都是被算法监控到有违规行为并被算法除名（开除）的。

不过，驾驶员并不这样认为，他们认为是自己只是行使了自由选择工作时间的权利，而这也是优步平台一向对外宣称驾驶员所具有的权利，并且也正是具有这样的自由，驾驶员才不被平台认为是平台的雇员，而是自由职业者，甚至是所谓的“微型企业家”。平台与驾驶是合作伙伴。4名驾驶员否认存在欺诈或不当行为，且优步没有提供申述机会，使得他们的命运被算法所掌控。因此，他们向优步欧洲总部所在的荷兰阿姆斯特丹地方法院提起了诉讼。

驾驶员起诉优步最主要的法律依据就是2018年5月开始施行的欧盟通用数据保护法。按照欧盟通用数据保护法第15条，数据主体有权访问个人数据并获知数据处理的目的、数据类型以及有权要求纠正不准确的数据。第22条则涉及自动化决策和用户画像，“数据主体有权反对此类决策：完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”。

按照欧盟通用数据保护法的定义，“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、 健康 、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。显然，所谓的自动化决策（用户画像）就是平台算法。这本质上是一条算法监管条款。不过22条也特意列出了例外情形，包括 (a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的；……(c)当决策建立在数据主体的明确同意基础之上。

显然，这次诉讼的争议聚焦在对22条的理解，如完全自动化决策的认定标准是什么？何种人为的干预程度可以达到排除完全自动化决策的标准？考虑到平台每天数千万甚至上亿的有关驾驶员的决策需求规模（包括派单、定价、评价等环节），自动化决策是否可以被看作平台履行与驾驶员合同的必要措施？

平台权力结构平衡

驾驶员们希望通过一个第三方非盈利机构（工人信息交换中心WIE Ltd.）实现个人数据携带，也就是优步将驾驶员在工作中产生的个人数据直接转移给WIE这家第三方数据交换中介，第三方数据机构成为个人的数据信托（data trust）机构，可以帮助驾驶员分析其个人行为以及监督平台的算法逻辑是否与其对外宣称的处理逻辑一致且公平合理、评估平台对服务价格是否正确计算、驾驶员真实的劳动数量和质量、以及分析不同驾驶员评分差异的原因。

通过掌握并有能力处理这些关键数据，驾驶员可以减少或者消除平台的信息优势，驾驶员就有可能与平台进行更平等的集体谈判，成为更为平等的对手。

根据法律规定，优步有责任在30天内向数据主体（驾驶员）提供相关数据，但优步并没有提供驾驶员所要求的全部数据，或者说驾驶员要求的关键内容都遭到了事实上的拒绝。尽管订单数据（如上下车时间、乘客支付费用）包括在提供的数据清单内，但驾驶员上线、下线时间、完整的GPS位置信息记录都没有提供。这些内容事关驾驶员工作时间的确定（英国上诉法院已经判决驾驶员的工作时间是从上线开始计算，而不是从接单开始计算），而平台却不希望驾驶员掌握这些可能对自己不利的数据。

但优步也有自己的解释：没提供的数据或是因为没有，或是因为如果向驾驶员提供将损害其他人的隐私权。

如果说上面这些数据驾驶员可以自己记录，管理驾驶员的算法是如何运行的则只有平台才有可能知道。驾驶员最希望知道的其实是平台算法的秘密：它究竟是如何通过驾驶员的行为和乘客评价数据对驾驶员进行画像，以及驾驶员画像是如何影响驾驶员的利益的？比如，驾驶员的评分与派单机制的关系是怎样的？驾驶员的评分如何触发平台除名机制（驾驶员认为是解雇）？

驾驶员在诉状中特别提出优步没有回应他们所要求的驾驶员标签数据。这确实是整个争执的核心。优步不会认为这些是驾驶员需要知道的个人数据信息，甚至是不是个人信息都有巨大的分歧。而且，这些内容几乎可以肯定将被用于英国最高法院正在审理的驾驶员与平台的劳动关系案件，因此也是优步不能输的案子。

而原告驾驶员法勒（Farrar）也暗示了这些内容的用途：“我们要看一眼这个奥威尔式（意指严格统治而失去人性的 社会 ）的工作世界。在这里工人们被机器所统治，没有任何权力。”

事实上，驾驶员有关了解算法秘密的诉求也是有法律依据的。根据欧盟通用个人数据保护法第15条，数据主体应当有权从控制者那里得到有效信息。比如存在自动化决策的就包括数据分析，对于相关逻辑就包括此类处理对于数据主体的预期后果。

尽管优步否认对驾驶员的除名处理是由算法完成的（优步发言人声称在算法检测到驾驶员存在违规行为后，是由管理人员做出除名决定），但难以解释的是，公司网站上有介绍算法MasterMind的材料，其中明确写道：MasterMind负责监督管理驾驶员的欺骗行为。在驾驶员应用程序的隐私政策更是白纸黑字写道，优步会使用自动化决策对于涉嫌违规行为的驾驶员予以除名。

平台算法决定了驾驶员的工作机会、工作量和收入，甚至永远失去平台工作机会。它对于驾驶员的重要性恐怕没有多少分歧。数据自动化处理的逻辑，也就是算法的秘密，是平台的商业机密。究竟要提供到何种程度才算达到15条要求的数据访问权标准，在保护个人数据与企业的知识产权（商业秘密）上如何达成平衡，非常考验法官的智慧。

可以说，这是欧盟通用个人数据保护法实施以来最为重要的案件，其意义远远超过了这个案子涉及的4名驾驶员本身（事实上，这些驾驶员正在组织更多的网约车驾驶员和外卖骑手加入），其裁判标准可以说相当于是又一次欧盟个人信息保护立法。几乎可以肯定，这个案子最终会提交到欧盟最高法院审判。

平台经济的金丝雀

“对于每一个人来说，这是一场事关未来的战场”，驾驶员法勒说道。优步平台上的零工就是 历史 上地下矿山里的金丝雀，这是一场不能输的战斗。

数据就是权力，平台经济进一步放大了企业作为雇主所拥有的传统信息优势。通过第三方数据信托实现数据携带权，通过数据对驾驶员赋权赋能，还有谁能比网约车驾驶员、外卖骑手更有动力监督平台呢？可以说，这就是一种全新的平台监管思路，以信息权对治大数据。

如果说到谷歌、大众 汽车 、Facebook这些不同行业的巨头公司，很多人都非常的熟悉，他们在世界上拥有强大的号召力，但是即便如此，在 历史 上也会因为一些自身的因素，而收到天价的罚单，不仅造成了经济损失，同时在声誉方面，也遭受到了严重的打击，希望通过这些公司的教训，能够给其他一些企业带来一定的警示，那么根据这方面，我就来分享一下，天价罚单！由于某种原因，而遭遇巨额罚款的7个著名公司！

2011年发生在福岛核泄漏，是继切尔诺贝利之后最严重的核灾难，这场灾难是由地震和海啸引发的，地震和海啸导致 3 次核反应堆熔毁，和 3 次氢爆炸，释放出不同装置的放射性污染，因此，核电站周围的大片区域都被疏散。

福岛灾难发生后，批评人士指责能源公司东京电力，缺乏针对此类事件的安全措施，虽然日本一家法院，在 2019 年免除了东京电力公司三名高管的过失刑事案件，但该公司不得不支付 4500 亿美元的巨额罚款。

在墨西哥湾作业的深水地平线石油钻井平台，在2010年4月20日发生了大规模爆炸，造成 11 名工人死亡，并喷出超过 400 万桶石油，位于路易斯安那州海岸外 70 英里受到污染，油井中的石油在海洋里持续流动超过 87 天。

在这87天的时间，石油已经覆盖了六个州的 1000 英里海岸线，和墨西哥湾的 40000 多平方英里，这是 历史 上最大的海上漏油事故，作为石油公司的英国石油公司，为这次环境破坏付出了高昂的代价，最终被罚款 640 亿美元，才和美国司法部和解。

德国著名 汽车 制造商大众公司，一直以是质量优质保障作为口碑，但是在 历史 上，大众也有过质量不过关，而遭受到巨额罚款的问题，比如在2015年，因改装 汽车 以通过排放测试而被处以约 140 亿美元的罚款。

大众 汽车 官方承认，它们生产了1100万辆 汽车 ，这些 汽车 装有一种被称为“作弊装置”的软件，用于在排放测试中作弊，该设备在测试时，改变了 汽车 的性能以提高结果，该公司被发现隐藏了大量有毒柴油，来自世界各地的数千辆 汽车 被召回，由于人们对气候变化持谨慎态度，这一丑闻对 汽车 行业来说是个坏消息，也让大众品牌经济和声誉都严重受损。

我们都知道，在 2008 年金融危机期间，使美国许多人失去了毕生的积蓄、住房和工作，这场危机的主要原因，是廉价的信贷和宽松的贷款标准，金融机构持有价值数万亿美元的投资，几乎没有偿还的希望，这是一笔次级贷款，数以百万计的美国房主所欠的债务超过了他们房屋的价值。

专家称这些导致经济崩溃的金融行为是“不道德的、不恰当的和鲁莽的”，但这些行为并不违法，因此很难受到惩罚，不过，最终所有卷入这场危机的银行，还是付出了惨重的代价，其中美国银行在 2014 年支付了 170 亿美元罚款，这也是该银行有史以来最大的罚款金额。

科技 巨头谷歌，几乎每一年都会受到一些处罚，但是一般情况下数额都比较小，然而在2018年，却遭受95亿美元的巨额罚款，据了解，欧盟向谷歌收取了 50 亿美元的费用，理由是 以使用 其 Android 手机软件阻止其竞争，谷歌的软件控制着全球超过 80% 的智能手机，这迫使其客户使用固定搜索引擎，从而削弱了与之竞争的搜索提供商和应用程序制造商。

之后，因在其搜索引擎中推广谷歌购物而不是其他购物服务而被收取 27 亿美元的费用，同时，针对谷歌的进一步系列指控，还涉及涉嫌反竞争做法、在线隐私、数据保护和对网络安全的担忧，总金额约为 95 亿美元，这也创造了 历史 上处罚谷歌最大的金额。

除了谷歌之外，Facebook（脸书）也曾遭遇过天价罚单，在2019年，美国联邦贸易委员会对 Facebook 处以创纪录的 50 亿美元罚款，罪名是参与不公平行为和侵犯消费者隐私，其实在2018 年，美国联邦贸易委员会就 Facebook 隐私事件的重大担忧展开了调查。

发现该公司未能保护其数百万客户的隐私，同时，Facebook误导其用户控制其个人信息隐私的权力，对于侵犯用户隐私，这是有史以来对 科技 公司收取的最大罚款，这笔罚款也对Facebook公司的声誉，带来了严重的打击，至今该问题，也成为了一些网友“黑”Facebook的最好证据。

全球医疗保健巨头葛兰素史克的“黑 历史 ”并不少，其中最具争议的一次，就是在2012年，在美国因非法促销某些处方药，和虚假价格报告行为，而产生的刑事和民事责任，受到了食品和药物管理局起诉处罚。

最终罚款了30亿美元，这是制药公司为解决其刑事和民事责任而支付的最大一笔罚款，根据认罪协议的条款，葛兰素史克公司必须支付10亿美元，其中包括约9.5亿美元的刑事罚款，和 5000万美元的没收金额，并为解决刑事责任，向联邦政府支付了20亿美元，其实这样的巨额罚款，也是针对所有保健品制造商的一个警示。

关于“苏奎：个人数据保护是平台的“阿克琉斯之踵””这个话题的介绍，今天小编就给大家分享完了，如果对你有所帮助请保持对本站的关注！