“您好，我是***服务中心，请问您目前还有深圳……”

一听“深圳”，条件反射之下，我迅速挂掉电话。

这是半个月内接到的第四通同内容骚扰电话。追溯事件的起因，是之前无意中在搜索引擎上点击了“深圳落户条件”相关的网页。携带浏览痕迹的Cookies勾勒出我的用户画像，或许打上“想在深圳落户”的标签，然后上传到相关数据库。当然，电话号码也已经是公开的秘密。这些数据反馈给广告供应商，通常来说价高者得。

总之，我在毫不知情的情况下被“卖”了。

在数据隐私保障有缺陷的智能时代，这只是冰山一角，进阶版的还有被央视点名的“窃听风云”：你今天与朋友闲聊时提到想买房，明天就有App给你推荐房产信息。这种看似贴心的个性化服务却令人细思极恐：App正在“窃听”你们的谈话。

所见、所听、所说，一举一动都在监控之下，用户就像在智能时代裸奔的透明人，或许最开始沉醉于这种自由奔放的科技体验，但被无数双眼睛“视奸”后就会感觉瑟瑟发抖。

不久前，周鸿祎提及“数据裸奔”的概念，再次唤起了人们对隐私数据及网络安全的反思。

对于用户来说，拒绝使用一切智能产品可以有效避免该问题，但这种因噎废食的处理方式几乎不可能实现。那么，如何既保护数据安全，又不影响发展？法律法规的强硬干预则是一剂猛药。

没有规矩不成方圆

近年来正在发生社会生产方式的革命，智能化时代来势汹汹，而数据就是这个新时代的建设基石。有人将数据形象地比作石油，一方面，AI的模型训练离不开数据，数据也是云计算的主体，数据与众多新技术的诞生与爆发有莫大的渊源。另一方面， AIoT等技术在应用过程中有在不断地？产生新的海量数据。再加上新基建的推动，大数据中心被称为海量信息时代的诺亚方舟，数据也自然成为新基建的底层建筑。

用户是数据原生产和应用的主体，企业用技术加持不断挖掘数据价值，提供服务，逻辑上来说这是一个积极向上的正循环，两个角色合力，高度智能化时代指日可待。但事实上是，双方对于数据的掌控权极度不平衡，友谊的小船说翻就翻。

中国互联网网络信息中心数据显示，截止到2020年3月，中国手机网民共9.04亿。这意味着海量的位置信息、个人信息、购物支付信息，都会留下痕迹。此外，随着物联网设备的渗透，许多私密的的生活场景也被数据化。

消费升级需求导致服务转化，逃不过马斯洛需求理论，用户群体正在寻求个性化的服务与产品。既然是个性化，那么企业必须通过海量、全方位的数据来进行用户画像刻画，这样才能做到千人千面。所以，一方面，企业疯狂地收集多类型的用户数据，并拿到数据的主要控制权；另一方面，市场上科技巨头的竞争也以数据为圆心，辐射到智能化，局面逐渐白热化。

但作为数据的较大受益方，企业从主观和客观两方面却有数据安全保障的风险。首先，企业应用数据的本质是商业掘金，越能主导数据，自由使用数据对企业的商业发展更加有利。当然，也并非是所有的企业都是“盲目趋利者”，许多大企业也在安全方面做了努力。从客观因素方面来看，目前的安全防护技术还需要进一步优化，特别是大型企业这样的大目标，备受攻击者青睐，风险是长期存在的。

2019年上半年，大约有8亿条个人信息在暗网上出售，7亿个邮件地址及密码被窃，6亿中国人的简历被泄露。 支付宝年度账单“蚂蚁服务”窥探隐私事件、百度身陷隐私权限门事件……数据安全事件此起彼伏。

当然，关于保护数据安全的责任，用户自身也需要承担。在2018年的中国发展高层论坛上，李彦宏曾说：中国人对于隐私问题比较开放，或者说没那么敏感。如果通过交换隐私而获得便捷、效率、安全，很多情况下他们是愿意这么做的。当时李彦宏这段“大实话“几乎引起了“公愤”，不过可怕的是：这种现象的确大量存在。

据《2020应用便捷与安全曲线报告：隐私与便利间的悖论》显示，亚太地区的用户在使用应用时更注重体验，因此常会忽略安全风险;七成以上的用户会在应用程序上共享或存储个人数据，以此获得个性化的服务与更好体验。平均69%的亚太地区用户选择以数据隐私为代价以换取更好的体验。比如，来自中国(82%)、印度(79%)和印度尼西亚(79%)的受访者最愿意分享他们的数据。一个最简单的例子：应用程序的用户协议几乎很少有人会认真看完，我们面临的协议漏洞或者霸权主义威胁竟然是自己当时默认的。

用户的数据、隐私安全意识提高是一项长远工程，不可能一朝一夕实现，而企业本质是追逐更大化的商业利益，也不可能实现数据方面的“绝对自觉“或”绝对安全”。没有规矩不成方圆，法律法规成为了数据安全市场的破局之道。

有法可依，数据不再裸奔

面临数据、隐私安全问题，《中华人民共和国网络安全法》的出台成为了市场健康化的重要里程碑。

首先，该法案明确了对公民个人信息安全进行保护，这是基本的原则。此外，法案也明确了各主体的义务与责任，增加并细化了相关政府部门的职责，加大了监管力度。紧接着，各地方的网络安全相关的法律法规不断出台，甚至针对多个细节场景有专门的规定。

有法可依，令种种劣迹行为浮出水面，执法必严，打击了相关的违法行为。种种努力的效果显著，近年来，相关政府部门高频地通报、公示违法APP，并监督其合规。如滥采用户个人信息屡禁不止，相关部门则展开地毯式的监管，隐藏的违法行为被频频点名，如：

• 去年7月，由相关组织发布了《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》；
• 今年5月，21款App涉嫌超范围采集个人隐私被查；
• 7月，工信部发布通知称，工信部部决定开展纵深推进App侵害用户权益专项整治行动。此次行动中，2020年8月底前上线运行全国APP技术检测平台管理系统，12月10日前完成覆盖40万款主流APP检测工作。

网络安全法从大方向上拦截了部分数据、隐私的潜在犯罪，近期发布的首部《数据安全法（草案）》则进行了精细化地管理，有望有效防护细枝末节的违法行为。

其主要内容包括：确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度；明确开展数据活动的组织、个人的数据安全保护义务，落实数据安全保护责任；坚持安全与发展并重，规定支持促进数据安全与发展的措施；建立保障政务数据安全和推动政务数据开放的制度措施。

可以预测，未来针对数据安全责任的划分将会更加明确。简单来说，《数据安全法》生效后，企业、单位出现数据重大数据涉密事件，其责任人会被问责！此前，国内的企业对于数据泄露并不重视。如前不久中信银行因泄露脱口秀明星池子的个人信息，被后者在微博声讨。随后被扒出该银行的泄露行为并非首次，2018年，其就曾因类似问题遭行政处罚罚款50万元。

是什么让犯罪行为屡禁不止？打击力度不够。50万罚款，对于一个大型银行来说仅仅是不痒不痛，并不会让其足够忌惮。相比之下，众所周知，令科技巨头忌惮三分的GDPR在该方面的惩罚力度就颇为铁腕。该组织因Google 的定向广告向其开出了五千万欧元的罚单。此外， FTC因Facebook隐私违规行为，欲对其进行高达数十亿美元的罚款。高额的罚款总会令犯罪行为望而却步。

随着GDPR的实施，越来越多的企业高管开始意识到了隐私法规的重要性，法律法规的细化令企业日常运营如履薄冰。Gartner2019年度的一项调查显示，在网络安全方面，“加速隐私监管”的优先级已经超过了“人才短缺”，成为了2019年第一季度的风险监测调查中的最新风险。

Gartner管理副总裁兼风险实践负责人Matt Shinkman表示，法律和信息安全行业的预算基本都用于解决GDPR合规问题，加利福尼亚州生效的消费者隐私法案（CCPA）就是个很好的例子。

该法律的一些重要条款包括：企业必须披露收集的信息、商业目的以及共享这些信息的所有第三方；企业需依据消费者提出的正式要求删除相关信息；消费者可选择出售信息，企业不能随意改变价格或服务水平；政府有权对违法企业给予罚款，每次违法行为将被处以7500美元的罚款。

在强监管的国际数据安全氛围中，以政府机构牵头的国内数据安全新环境，会发生哪些微妙的变化？

首先，对于掌握大数据的企业来说，基于社会责任和法律红线，都需要内而外的安全体系构建。据《数据泄露典型判例分析报告》显示，数据泄露角色80%来自内部人员，企业的“内鬼”生存空间会越来越狭窄。此外，外部人员中90%的攻击来源是黑客，黑客利用漏洞或者开展社会工程学攻击。为了避免这些风险，企业可以借力AI、区块链等新技术打造坚实的防御体系。当然，他们可能会增加内部安全团队的投入，也可能会加大第三方安全产品的采购。

此外，个人用户层面，安全隐私的保护意识会有大幅度提高，这或许会体现到用户的需求中——今后，用户的产品使用要求不仅强调个性体验，还需要安全保障。新的需求会反馈驱动企业的产品设计。

总而言之，政府、企业、与个人的共同参与才是相对健康的生态，当正循环开启以后，整个市场发展会驶向快车道。