网上有关“苏奎：个人数据保护是平台的“阿克琉斯之踵 ”
”话题很是火热 ，小编也是针对苏奎：个人数据保护是平台的“阿克琉斯之踵”寻找了一些与之相关的一些信息进行分析
，如果能碰巧解决你现在面临的问题，希望能够帮助到您。

文/观察者网专栏作者 苏奎

毫无疑问 ，互联网平台是信息时代的主角 。超大规模 、垄断
、权力巨大是其主要特征，能影响无数人的生活、利益
，甚至生计
。平台具有多重属性，既是一个传统企业 ，同时也是一种经济形态。以平台为核心构成的平台经济甚至就是一个虚拟城邦国 。正如扎克伯格的名言：“在很多方面
，脸书（Facebook）更像是一个政府，而不是一个传统的公司。 ”

平台是平台经济的绝对主宰者 ，它能够恣意制定规则 、解释规则并执行规则
，而这些规则可以影响数以亿计的人
。它们与国家法律法规在本质上没有区别，却不需要遵循国家立法、司法
、执法所要求的正当性程序。自从国家产生以来 ，政府没有面对过类似的管治对手
，可以说是3000年未有之大变局 。

在信息时代，如何治理平台在世界范围内都是一项巨大的挑战
。反垄断、消费者保护 、公平竞争等传统工具是世界范围内进行平台治理的几条主要路径。然而 ，反垄断
、消费者保护、公平竞争这些治理工具都是传统经济时代发展而来的
，面对着信息时代的巨头，它们可以说常常是捉襟见肘 、力有不逮 ，成效多有不彰 。

个人数据保护是信息时代发展出的新工具，尽管其初衷是保护个人信息
，但无数人的个人信息积水成渊就成了大数据，有了大数据 ，算法才能从一具奄奄的躯壳化身为一头桀骜的巨兽
。也就是说
，算法的命门在个人信息保护。

近期欧美正在发生的平台个人信息保护的一些案例发人深思，让人兴奋 ，个人数据保护赋予个人更大的权力从而平衡平台在平台经济中的权力结构
，可能也是平台治理的一条新路径 。

劳务平台

互联网平台并不具有广泛的同一性，不同类型之间差异巨大 ，既有以信息服务为核心的社交平台
、搜索平台
，也有生产海量信息的电商平台
。以网约车、外卖等为代表的劳务平台可算是后者。平台是虚拟的市场，通过平台出售劳务 。但更重要的是 ，这些劳务平台上聚集了数百万
，甚至上千万分布在全球城市的劳动人民
。相比其他平台，它们不只是在为人服务 ，还掌握着无数人的信息。因此，这些平台与人的关系更为密切
，对 社会 治理带来的挑战更大，影响也更为深远 。

这些平台上的人依靠平台提供的信息而生存 ，为平台生成海量的信息资源
，又被这些信息所管理控制。相比其他电商平台，这类平台上的人（劳动力）的几乎没有自主权 ，传统的劳动保护也与其无缘
，因为他们被平台认为是 微型企业家
。平台依靠信息对如此庞大的劳动力队伍进行精准管理，这超过了人类 历史 上任何组织的极限 ，可以说是人类 历史 的奇迹
，而创造这样的奇迹的核心则是隐藏在平台背后的算法。

网约车平台几乎是迄今为止对 社会 治理带来最多问题 、争议最大的互联网平台 。创建于2008年的优步开创了网约车行业，其月度活跃的消费者数量约1亿人 ，全球日均订单数近2000万（包括外卖）
，平台上的驾驶员人数超过400万，平均每月有5万名新驾驶员加入平台
。其强硬对抗全球监管机构的做派曾经为其带来无数的麻烦 ，蔑视规则和法律的企业文化也使得企业本身遭遇了内伤。2017年，创始人卡拉尼克甚至被赶出了公司 。除了广为人知的与各地监管机构的斗法外
，优步与平台内驾驶员之间的矛盾可以说是日益尖锐，与消费者之间的龃龉也不时传出
。

泄露个人信息后果很严重

1月20日 ，特朗普在离开白宫前公布了多达73人的赦免长名单
，前军师史蒂夫·班农毫无悬念出现在名单上，但也有一些名字是出人意料的。前优步负责自动驾驶业务的高管——安东尼·莱万多斯基（Anthony Levandowski）相当幸运地逃脱了原本在2月7日就要开始的牢狱之灾 ，据传特朗普在硅谷中为数不多的支持者——大佬彼得·蒂尔（Peter Thiel）是其幕后的操盘手 。

相比之下
，优步的另一位前高管——首席安全官乔·沙利文（Joe Sullivan）恐怕只能哀叹命运之不公了
。不过这确实是咎由自取，简直就是“不作不死”。2020年8月21日 ，沙利文遭联邦司法部以阻碍司法和作伪证两项罪名起诉
，刑期可能高达8年 。而这一切均始于2016年那次对约5700万驾驶员和乘客个人信息泄露后的掩盖
。

沙利文并非新手，他曾是互联网巨头脸书的首席安全官 ，对信息安全和个人信息保护有丰富的经验。然而
，在获悉优步发生黑客入侵导致平台个人信息泄露后，他并没有依法立即向政府有关部门报告 ，而是在与时任CEO卡拉尼克（Travis Kalanick）商议后通过向黑客支付10万美元的封口费，买通黑客将其定性为平台主动邀请黑客发现安全漏洞 。而封口费也就变成了安全奖励。

发生如此大规模的个人（包括平台的驾驶员和乘客）信息泄露
，自然不会被欧美的相关监管机构放过
。按照欧盟的规定，数据泄露后应在72小时内向监管机构报告。据此 ，其欧洲总部所在的荷兰数据保护局2018年对其处以60万欧元的罚款 。宣布脱欧的英国（ICO）也对其施以38.5万英镑的罚款
。

相比欧洲同行
，美国本土的监管机构对其下手更重，加州检察总长与旧金山检察长联合了美国50个州和首都华盛顿特区的相关部门对其发起诉讼。2018年9月 ，优步主动以高达1.48亿美元的巨额赔偿金和解 。看来
，在个人信息保护方面，国内一直以来有关美国立法和监管更为宽松的观点恐怕并非事实
。

监管深入企业的黑箱

FTC是在公平竞争和消费者保护方面的执法机构 ，在知悉此事后
，迅速宣布2017年8月已经达成的和解协议无效，需要重新商定有关和解条款。

2018年10月  ，FTC再次宣布达成新的和解协议 。作为信奉自由市场的特朗普政府
，治下的FTC确实对优步手下留情，并没有如州政府予以重罚 ，甚至根本就没有罚款，但对优步的内部信息安全管理提出了事无巨细的要求
。相比以企业外在结果为主要对象的结果保护策略
，FTC的协议则是以企业内部管理为主要对象的过程保护策略。也就是说，它更多地是以事前预防的思路对企业内部可能存在的个人信息保护漏洞进行全方位的监管 ， 将企业内部的信息安全管理纳入公共管理 。这可以说是一种新的个人信息保护模式
。

事实上
，我国正在开展的个人信息保护立法（包括已经完成的网络安全法，以及2020年征求意见的数据安全法
、个人信息保护法）同样也采用了这种思路。不过 ，相比FTC的和解协议
，中国的平台企业享有更多的自由 。FTC的和解协议建立了相对较为完备的企业信息安全制度，主要内容包括：

优步需要立即建立综合性的个人信息（隐私）保护计划 ，所有计划、方案 、培训均需要有书面记录。设置专门的人员负责个人信息（隐私）保护计划
。

开展个人信息（隐私）风险排查
、评估
，确定风险点，制定整改计划。制定个人信息（隐私）风险动态监控和评估方案 。

建立第三方信息（隐私）审计、评估制度 ，第三方审计人员需有执业资质并具有3年以上的从业经历
，相关审计人员还需经过FTC消费者保护部门批准
。完成评估后10天内，需将评估报告送FTC备查。在协议执行开始后半年内应完成第一次第三方审计 ，以后每两年应至少开展一次 。

建立信息安全事故统计与报告制度
。

建立文件签收与学习制度。公司所有相关人员必须学习FTC的和解协议文件，并要签名确认
，有关学习记录需要书面记载 。

文件签发一年后，优步需向FTC递交合规报告 ，报告应该宣誓内容真实可靠
，否则将承担伪证罪
。企业任何组织机构和实体发生变化需在14天内通知FTC，以便于监管部门检查 、监督。

及时响应监管部门 ，收到FTC有关信息（隐私）安全的问询后
，优步需在10天内回复或响应，有关合规报告或材料需要宣誓非伪证 ，并准备好详细记录备查 。

建立信息安全档案记录
，包括相关员工的档案记录（包括离职原因）、平台用户投诉记录
、所有可证明公司落实文件的材料、公司对外宣传及承诺有关个人信息（隐私）保护措施 、信息安全评估
、审计与整改报告、安全漏洞奖发放记录 、执法部门传票
、调查与说明材料等
。

福布斯网上关于该案件的报道截图

加州检察总长联合各州与优步达成的和解协议在巨额赔偿之外其实也提出了类似的一系列企业信息安全合规要求，包括企业需要设置首席安全官 ，以及云存储密码、认证强化制度 、建立信息安全员工培训与违规处罚制度
、第三方信息审计人员资格制度（需要5年以上的从业经历）、个人信息安全情况作为董事会的固定议题制度 、事故确认与报告中的律师参与制度
、公司内部违规举报制度等。

孔子曰：“不教而杀谓之虐
，不戒视成谓之暴 。
”美国联邦和州相关监管机构利用优步违法的契机，构建了一套非常严格的企业内部个人信息保护机制 ，特别强调内部部门监督、外部审计 、员工培训等，将此前以负面清单方式的事后监管模式推进到以作为的义务为主的事前事中监管模式
，也就是从惩戒为主模式转换到以预防为主的模式。

平台企业不再是一个黑箱
。通过一个设计精密的内部监督机制，平台的保护更为透明 ，个人信息保护的目标有更加可靠的保障。其意义在于
，只有在个人信息保护有了更为可靠的保障，个人信息保护以外的平台经济治理功能才有了其他可能 。

算法统治平台

4名驾驶员做出这样的动作也是事出有因
。按照优步的说法 ，4名驾驶员均是因为欺骗性行为或者违规操纵（不当使用）驾驶员手机应用程序。直白地说
，就是驾驶员或因为挑单以等价格上涨后的好单（game the surge），或是因为私自安装其他应用程序改变手机状态欺骗优步的驾驶员应用程序（如改变位置） ，被平台算法判定为严重违规而被除名（在优步平台上没有开除的概念
，永久冻结账号则是一个等同的说法），而做出这些决策的都是平台的算法 。换句话说 ，4名驾驶员都是被算法监控到有违规行为并被算法除名（开除）的
。

不过
，驾驶员并不这样认为，他们认为是自己只是行使了自由选择工作时间的权利 ，而这也是优步平台一向对外宣称驾驶员所具有的权利，并且也正是具有这样的自由
，驾驶员才不被平台认为是平台的雇员，而是自由职业者 ，甚至是所谓的“微型企业家”。平台与驾驶是合作伙伴 。4名驾驶员否认存在欺诈或不当行为
，且优步没有提供申述机会，使得他们的命运被算法所掌控
。因此 ，他们向优步欧洲总部所在的荷兰阿姆斯特丹地方法院提起了诉讼。

驾驶员起诉优步最主要的法律依据就是2018年5月开始施行的欧盟通用数据保护法 。按照欧盟通用数据保护法第15条
，数据主体有权访问个人数据并获知数据处理的目的、数据类型以及有权要求纠正不准确的数据
。第22条则涉及自动化决策和用户画像，“数据主体有权反对此类决策：完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策 ”。

按照欧盟通用数据保护法的定义 ，“用户画像
”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理
，特别是为了评估自然人的工作表现
、经济状况、 健康 、个人偏好
、兴趣、可靠性 、行为方式
、位置或行踪而进行的处理 。显然，所谓的自动化决策（用户画像）就是平台算法。这本质上是一条算法监管条款
。不过22条也特意列出了例外情形 ，包括 (a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的；……(c)当决策建立在数据主体的明确同意基础之上。

显然
，这次诉讼的争议聚焦在对22条的理解，如完全自动化决策的认定标准是什么？何种人为的干预程度可以达到排除完全自动化决策的标准？考虑到平台每天数千万甚至上亿的有关驾驶员的决策需求规模（包括派单、定价 、评价等环节） ，自动化决策是否可以被看作平台履行与驾驶员合同的必要措施？

平台权力结构平衡

驾驶员们希望通过一个第三方非盈利机构（工人信息交换中心WIE Ltd.）实现个人数据携带，也就是优步将驾驶员在工作中产生的个人数据直接转移给WIE这家第三方数据交换中介
，第三方数据机构成为个人的数据信托（data trust）机构，可以帮助驾驶员分析其个人行为以及监督平台的算法逻辑是否与其对外宣称的处理逻辑一致且公平合理
、评估平台对服务价格是否正确计算、驾驶员真实的劳动数量和质量 、以及分析不同驾驶员评分差异的原因 。

通过掌握并有能力处理这些关键数据 ，驾驶员可以减少或者消除平台的信息优势
，驾驶员就有可能与平台进行更平等的集体谈判，成为更为平等的对手
。

根据法律规定 ，优步有责任在30天内向数据主体（驾驶员）提供相关数据
，但优步并没有提供驾驶员所要求的全部数据，或者说驾驶员要求的关键内容都遭到了事实上的拒绝。尽管订单数据（如上下车时间
、乘客支付费用）包括在提供的数据清单内 ，但驾驶员上线、下线时间 、完整的GPS位置信息记录都没有提供 。这些内容事关驾驶员工作时间的确定（英国上诉法院已经判决驾驶员的工作时间是从上线开始计算
，而不是从接单开始计算），而平台却不希望驾驶员掌握这些可能对自己不利的数据
。

但优步也有自己的解释：没提供的数据或是因为没有 ，或是因为如果向驾驶员提供将损害其他人的隐私权。

如果说上面这些数据驾驶员可以自己记录
，管理驾驶员的算法是如何运行的则只有平台才有可能知道 。驾驶员最希望知道的其实是平台算法的秘密：它究竟是如何通过驾驶员的行为和乘客评价数据对驾驶员进行画像，以及驾驶员画像是如何影响驾驶员的利益的？比如 ，驾驶员的评分与派单机制的关系是怎样的？驾驶员的评分如何触发平台除名机制（驾驶员认为是解雇）？

驾驶员在诉状中特别提出优步没有回应他们所要求的驾驶员标签数据
。这确实是整个争执的核心。优步不会认为这些是驾驶员需要知道的个人数据信息，甚至是不是个人信息都有巨大的分歧 。而且
，这些内容几乎可以肯定将被用于英国最高法院正在审理的驾驶员与平台的劳动关系案件，因此也是优步不能输的案子
。

而原告驾驶员法勒（Farrar）也暗示了这些内容的用途：“我们要看一眼这个奥威尔式（意指严格统治而失去人性的 社会 ）的工作世界。在这里工人们被机器所统治 ，没有任何权力 。”

事实上
，驾驶员有关了解算法秘密的诉求也是有法律依据的。根据欧盟通用个人数据保护法第15条，数据主体应当有权从控制者那里得到有效信息
。比如存在自动化决策的就包括数据分析 ，对于相关逻辑就包括此类处理对于数据主体的预期后果。

尽管优步否认对驾驶员的除名处理是由算法完成的（优步发言人声称在算法检测到驾驶员存在违规行为后
，是由管理人员做出除名决定），但难以解释的是 ，公司网站上有介绍算法MasterMind的材料
，其中明确写道：MasterMind负责监督管理驾驶员的欺骗行为 。在驾驶员应用程序的隐私政策更是白纸黑字写道，优步会使用自动化决策对于涉嫌违规行为的驾驶员予以除名
。

平台算法决定了驾驶员的工作机会、工作量和收入 ，甚至永远失去平台工作机会。它对于驾驶员的重要性恐怕没有多少分歧 。数据自动化处理的逻辑
，也就是算法的秘密，是平台的商业机密
。究竟要提供到何种程度才算达到15条要求的数据访问权标准 ，在保护个人数据与企业的知识产权（商业秘密）上如何达成平衡，非常考验法官的智慧。

可以说
，这是欧盟通用个人数据保护法实施以来最为重要的案件，其意义远远超过了这个案子涉及的4名驾驶员本身（事实上 ，这些驾驶员正在组织更多的网约车驾驶员和外卖骑手加入）
，其裁判标准可以说相当于是又一次欧盟个人信息保护立法 。几乎可以肯定，这个案子最终会提交到欧盟最高法院审判
。

平台经济的金丝雀

“对于每一个人来说 ，这是一场事关未来的战场 ”
，驾驶员法勒说道。优步平台上的零工就是 历史 上地下矿山里的金丝雀，这是一场不能输的战斗 。

数据就是权力 ，平台经济进一步放大了企业作为雇主所拥有的传统信息优势
。通过第三方数据信托实现数据携带权
，通过数据对驾驶员赋权赋能，还有谁能比网约车驾驶员
、外卖骑手更有动力监督平台呢？可以说 ，这就是一种全新的平台监管思路
，以信息权对治大数据。

在很长一段时间里，中国人对于黑客并没有太明确的认识 ，很多人印象中他们都是属于“电脑玩得很厉害
”的人 。而伴随着网络迅速的发展，人们也逐渐认识到黑客的地位越来越重要
，在互联网渗透到人类生活各个方面的今天，一名顶级黑客能做的事情实在是太多了 ，他们可以成为军事利器、成为企业核心 、也能成为互联网的灾难。在中国
，提到互联网公司，很多人最先会想到阿里巴巴 ，各个领域均有涉猎的阿里公司像一台功能繁多又庞大的机器
，这么多年它能一直安全运行，离不开一位天才黑客的功劳 ，他也是今天本文的主人公——中国天才黑客吴瀚清
。

看到吴瀚清的第一眼
，实在没有什么特别，一个相貌普通身材偏瘦的小伙子 ，放到人堆里可能很多人不会看第二眼。但就是这样一个不起眼的人
，却是国内黑客中最顶尖的人才 。吴瀚清出生在湖南一个教师家庭，从小就聪明是当地有名的小神童 ，15岁考入985高校西安交大的少年班
。了解过各大高校少年班的人应该知道，能进入这个班级的都是各地有名的高智商学生。而吴瀚清的高智商不仅体现在学习上
，更体现在网络技术上 。他16岁创建安全信息组织“幻影论坛”，集结了当时国内很多顶级的安全技术人才 ，当时的吴瀚清就已经在国内黑客圈子里闯出了名气
。

21岁大学毕业
，吴瀚清选中了阿里巴巴，在面试时吴瀚清被要求展示自己的技术。结果吴瀚清当着面试官 ，花了3分钟左右便黑进了阿里巴巴内网一台路由设备
，使得阿里内网中断，就这样吴瀚清留在阿里巴巴 。可以说 ，吴瀚清毕业就是人生巅峰的开始
，后面的几年里一路开挂的人生更是彪悍
。

23岁时，吴瀚清已成为阿里最年轻的高级技术专家；28岁时 ，吴瀚清带领团队抵御了当时互联网史上最大的DDoS攻击；30岁时作为阿里首席安全专家每天帮助中国37%的网站抵御16亿次黑客攻击；32岁被《麻省理工学院技术评论》评为全球35位35岁以下的青年科技创新人才
，这个奖项的设立旨在寻找改变世界的牛人，谷歌创始人拉里.佩奇
、脸书创始人扎克伯格都曾是该荣誉的获得者。

可以说 ，阿里的领头人是马云，但真正为阿里保驾护航的是吴瀚清 。这位中国传奇的黑客
，在国际上也极富名气，吴瀚清曾被多次邀请在国际安全会议上演讲 ，是当之无愧国内互联网安全技术****
。

马云之所以敢自信的表示黑客黑不了阿里巴巴
，很大程度上还是因为有吴瀚清这样的大佬坐镇，像他这样顶尖的白帽黑客 ，是黑帽黑客最怕的安全技术大神。很多人好奇吴瀚清在阿里能拿多少钱
，网上有数据表示，吴瀚清年薪在500万左右 ，堪称中国身价最高的黑客之一
，但我想这数据只可能多不会少，因为俗话说“千金易得 ，人才难求 ”
，马云肯定也懂这个道理 。

关于“苏奎：个人数据保护是平台的“阿克琉斯之踵
””这个话题的介绍，今天小编就给大家分享完了 ，如果对你有所帮助请保持对本站的关注！