个人信息保护能为企业带来效益

诚然，企业落实个人信息保护措施会在一定程度上阻碍其经济利益在某一特定阶段的最大化，尤其是在云计算、大数据技术引领发展潮流的背景下。然而，我们认为，为争取眼前利益而忽视用户的权利保护犹如“饮鸩止渴”“作茧自缚”。用户的个人信息权意识正在日益增长，在这种意识达到一定程度之后，用户自然愿意选择个人信息保护级别更高的产品、愿意接受个人信息保护考量更周全的服务。在个人信息保护友好与不友好的应用或软件之间，用户必定会选择前者。对用户个人信息的过度利用只会让企业逐渐失去用户群体，而保护友好的企业却正好相反。从长远发展来看，加强对用户个人信息的保护其实最终是利大于弊的，用户个人信息的保护和企业盈利的目的是可以同时实现的。因此，企业应将个人信息保护作为一项战略性要求进行规定，在事先降低个人信息安全风险的前提下实现用户与企业的共赢。

（一）提升企业商誉与建立用户信任

商誉和用户信任对企业十分重要，它们是企业“软实力”的重要组成部分之一。2010年爆发的“3Q大战”使腾讯与奇虎陷入隐私侵权“漩涡”中，用户对其个人信息安全产生了质疑，两大中国互联网公司的商誉也都受到了一定的影响。CSDN数据泄露事件也让CSDN这一“全球最大中文IT社区”品牌遭受无形损失。2011年，据Inside Facebook网站（一个专门分析社交网站的网站）称，“社交之王”Facebook因个人信息安全问题在一个月内流失了大约600万的美国用户。^[1]2012年年底，美国CBS新闻网站也发文称，相关报告显示图片分享应用Instagram流失了大约25%的用户，而导致这一流失的重要原因之一就和Instagram修改个人信息保护条款有关。^[2]2013年，国际知名隐私认证机构TRUSTe所做的一项调查显示，91%的消费者表示他们不会同个人信息保护水平欠佳的公司进行交易。^[3]由此可见个人信息保护水平在企业商誉和信用方面的重要性。如果企业从产品应用的开发阶段就采取充分的措施来保护个人信息，制定完善的保护政策对用户个人和其他利益相关者进行告知，时刻以用户为核心、尊重个人信息权利，那么将有利于企业树立良好的企业形象，提升企业的商誉。同时，企业与用户之间的关系也会在这个过程中得到巩固，个人用户会因为自己的权利受到重视而更加信任企业。那么，最终受益的还是企业本身。

（二）规避个人信息风险，减少成本支出

提升个人信息保护水平给企业带来的效益还包括：减少公司在开发或应用相关信息技术产品、开展商业实践中可能遇到的相关风险；规避企业在信息泄露事件中可能会承担的法律责任；使个人信息侵权在发生前就被解决，而不是事后弥补，一定程度上也减少了企业为修复技术漏洞而支付的成本。整个企业个人信息保护水平的提升，使企业在进行产品开发或商业实践开展之前，就能够对他们在运行、销毁环节中可能面临的个人信息安全风险进行预测，并采取可替代性的措施尽量消除风险或将影响降到最低。这就为企业规避了来自法律、技术、行业规则等方面潜在的风险。^[4]同时，企业在已尽到相应的保护义务的前提之下，可减少其在相关个人信息泄露事件中可能会承担的责任。人格权不同于生命权，是可以放弃的权利。因此，在采取高标准保护措施的前提下，对个人信息的收集、使用、公开等获得了信息主体的同意，那么就能够最大限度地避免承担法律责任。此外，如果企业不是事先采取了足够的安全保护措施，而是在信息泄露事件发生之后进行弥补，势必要付诸大量的人力、财力和时间。而企业不仅要花费成本去弥补这些漏洞或改进相关技术，还要考虑如何获取用户的再次信任和良好评价，这些都是“得不偿失”。N－Dimension Solutions公司CEO Doug Westlund就曾指出，“在智能电网建设之后添加隐私和安全保护功能，将比事先预置该功能多花费3至5倍的成本”。^[5]

（三）构建内部个人信息保护生态系统

个人信息保护问题如今已成为诸多中国互联网公司一个十分敏感的问题。中国长期以来个人信息保护环境的薄弱和保护意识的欠缺，使许多企业在产品设计和商业实践的开展中并没有过多考虑这一问题。在CSDN事件、阿里云数据泄露事件发生以后，企业的个人信息保护工作面临新的压力。个人信息保护绝非简单的通过制定保护政策就能够解决。在个人信息权意识日益觉醒的今天，保护政策也已不能满足用户的预期，用户更希望看到的是自己的合法权利被切实地尊重。简而言之，企业应该具备真实、全面的个人信息保护能力，真正实现个人信息在企业内部的生态循环。个人信息保护能力是现代企业不可或缺的一项能力要求，它能防止或减少企业因信息泄露而带来的损失，协助应对信息技术环境中数以万计的相关威胁。在纷繁复杂的国际竞争中，该项能力更是极为重要。而遗憾的是，中国的信息技术企业的这种能力建设还比较不足。从中国到2012年才诞生第一位“首席隐私官”这个事实来看，中国企业与欧美等国的企业在个人信息保护能力建设上着实存在不小的差距。如果CSDN网站从一开始不是通过“明文”方式来存储用户的密码，那么泄露事件本身的影响将要小得多。将个人信息保护嵌入到产品的整个生命周期中，使个人信息保护从一开始就是产品、系统功能的一部分，这对于企业能力建设（尤其是个人信息保护能力建设）的作用是不言而喻的。同时，对个人信息从收集、存储、加工、使用、销毁等各个阶段都加以保护，也是个人信息在企业内部实现生态循环的重要保障。个人信息在企业内部从“诞生”到“死亡”的生态循环，是大数据环境下信息技术企业健康发展的必然要求。

（四）发展新型隐私经济，增加企业收益

在充分尊重和保护个人信息的前提下，合理利用个人信息，还能为企业带来现实的经济利益。个人信息的商业化利用已不是新的议题，但我们在此要论述的是一种新的经济形式。在互联网促进个人信息权利意识日益增强的背景下，这种新的经济形式正在“生根发芽”。传统的隐私经济是指贩卖用户个人信息、分析用户网络行为投放定向广告等，它主要是面向企业，个人信息主体并不参与其中，个人并没有获益。也正是这样，这种利用个人信息或贩卖个人信息的行为受到了广泛的批判和质疑。

新型隐私经济则不同，发展该种经济的基础是企业对用户的个人信息给予了足够的尊重和保护。它要求企业、组织采用严格的保护标准、遵循相关法律法规或给予更高级别的保护措施。具体到这种新型隐私经济的内容，有一些隐私专家建议，“与其采取Cookies跟踪消费者的网络行踪，不如让个人对他们的个人信息进行控制，也许还可以通过收费的方式为网络用户提供访问权限”。还有一些专家倡议，“互联网公司可以提供这种服务：让用户发现目前互联网上都有关于他们的哪些个人信息；让用户对错误的信息进行修改；如有必要，甚至可以让用户对这些现存的个人信息进行控制和分享”。^[6]可见，这种经济模式是双赢的，企业能够通过其合法收集到的个人信息获得收益，用户个人也能满足自己的保护需求。我们始终认为，企业采取个人信息保护措施，并非意味着停止收集和使用个人信息，而是促进个人信息的合法、合理收集和利用，促进信息的自由流动，并在这些环节中确保整体的安全，而这正是发展信息隐私经济所需要的。虽然目前不具备发展该种经济的良好外部环境，但对于具有长远战略目光的企业来说，这未尝不是一种新型的盈利点。目前，国际上已有一些比较有名的这类实体，如Reputation．com，Personal Data Ecosystem Consortium，Singly等，其中Reputation．com的用户已超过100万人。中国目前也存在类似的隐私经济形式，如腾讯QQ空间中黄钻用户有权查看访问空间的记录详情（如图6．1所示），并进行删除操作。这实际上就是一种用户对个人信息的收费控制模式。

图6．1　腾讯QQ空间中黄钻用户的特权

（五）有利于企业提升国际竞争力

自中国加入WTO以后，所有企业都面对着国际竞争国内化、国内竞争国际化的竞争格局。作为市场竞争的主体，所有企业都将直接或间接参与到全球竞争中。而且，企业的国际竞争力也已不仅关系到企业自身的发展，更会影响到整个国家的综合实力。信息技术在全球普及的过程中，个人信息保护逐渐成为一项新的贸易壁垒，个人信息保护水平成为企业竞争力的一个重要方面，它对参与国际市场竞争的主体提出了新的挑战。对中国而言，由于长期缺乏个人信息保护的意识和制度，在应对这些新兴的贸易壁垒时必定会处于劣势。中国企业想要走出中国、走向世界，也会面临重重阻碍。因此，中国企业要想步入国际舞台，增强自身的国际竞争力，在个人信息保护方面必须有所作为。奇虎加入全球最大的隐私保护组织IAPP（隐私专业人员国际协会），^[7]网秦加入TRUSTe认证体系，^[8]都是这些企业走向国际、提升自身国际竞争力的体现。

综上所述，中国网络企业应将个人信息保护作为一项战略性的竞争优势进行培养，积极提升企业自身的个人信息保护水平和个人信息安全风险应对能力。