原标题：中信银行与池子事件引发的思考，看看微软怎么保护用户隐私！ 来源：天冕大数据实验室

近日池子起诉笑果文化、 中信银行 侵犯隐私一事引起广泛关注。5月6日，脱口秀演员池子在个人微博账号上发布了一则长文，控诉中信银行上海虹口支行未经授权将个人账户明细提供给笑果文化，并晒出了律师函。一时间，“中信银行涉嫌侵犯公民个人隐私”冲上了热搜，引起网络上的热议。次日凌晨，中信银行通过官方微博发表致歉声明，并声称已按制度规定对相关员工予以处分，对支行行长予以撤职。 5月9日，银保监会消费者权益保护局通报称，2020年3月，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定，严重侵害消费者信息安全权，损害了消费者合法权益。银保监会消保局表示，将按照相关法律法规，启动立案调查程序，严格依法依规进行查处。“池子事件”的背后是银行私自随意泄露公民隐私的不合规操作。即使中信银行在事发后火速回应向当事人郑重道歉，但仍有不少网友不买账。“销卡”、“不再使用中信银行”的声音依然在网络中此起彼伏。无疑，此事对中信银行的形象和声誉造成了极大的负面影响。池子是公众人物，所以他投诉的问题能让中信银行迅速道歉，但如果是一个无权无势的普通人呢？这让广大 老百姓 吃惊不已——印象中对合规要求相当严格的银行居然会如此轻易泄露用户隐私！存有用户隐私数据的可不仅仅只有金融机构，还有科技公司。像微软、谷歌、脸书这样的科技巨头存有全球数十亿用户的数据，可能比任何一家金融机构都多。那么他们在面对第三方索取数据时，会如何应对呢？微软是个比较好的研究对象。向中信银行索取数据的只是笑果文化这样的中小企业，而微软面对的，则是政府。 微软的应对1986年，里根总统签署了《电子通信隐私法》ECPA，ECPA的一部分被称为《存储通信法》，它创造了一种全新形式的搜查令。如果出于合理的理由，政府可以寻求法院批准针对个人电子邮件的搜查令。但政府不会向个人出示该搜查令，而是转而向存储个人电子邮件和电子文件的科技公司出示。公司则有义务调出邮件并提供给政府。在某些情况下，这一法律实际上把科技公司变成了政府的代理人。在通知搜查对象政府正从科技公司获取其电子邮件与文件的方式上，美国国会采用了一种更为复杂的方法。它制定了一项法令，使政府有权申请封口令，从而迫使科技公司对搜查令保密。这项法令赋予政府5项要求保密的依据，从表面上看，这些依据并非不合理。例如，“如果披露会导致政府的毁灭或对证人的恐吓，或以其他方式进行危机调查时，法官可以在签发搜查令的同时附以一份所谓不披露令”。一家科技公司可能会同时收到这两份命令，第一份要求它交出电子数据文件，第二份则要求它对这一要求保密。为了应对政府的要求，微软组建了一支包括合规专家、律师、工程师和安全专业人员等20多名全职员工在内的专业队伍——他们在微软内部被称为LENS（透镜）团队，其任务非常简单——根据不同国家的法律和微软对客户的合同义务，在全球范围内审查和响应执法请求。LENS团队在三大洲6个国家的7个地点开展业务，每年，他们通常会处理来自75个国家超过5万份的搜查令和传票。微软收到的搜查令通常是通过电子邮件发送的。在收到搜查令后，一位合规经理将审查该要求，以确保其合法有效且有法官签字。如果一切得到确认，合规经理将从微软的数据中心提取所需证据。提取的数据将由另一团队进行二次审查，以确保只提取了搜查令中要求的内容，然后将其发送给提出要求的部门。如果合规经理判定，搜查令范围过广或请求超出了该政府机构的管辖范围时，事情将上报给律师。有时微软会要求缩小搜查令的范围，有时微软会认定搜查令不合法并拒绝配合。诉诸法律，而不是屈服微软认为存储在数据中心的信息并不属于他们，他们只是管理者，而不是所有者，用户才是这些信息的主人。作为合格的管理者，微软在使用这些数据时需要立足于服务数据的所有者，而不是只考虑他们自己。以此为出发点，微软制定了隐私、安全、合规、透明的原则。2014年，微软公开声明，如果收到针对企业和政府客户数据的法律命令，他们将通知这些客户。如果微软同时收到一项封口令，禁止其告知客户，他们将通过司法流程对该命令提出异议。同时，微软还将请政府机构直接向他们的客户寻求有关信息或数据，并且会通过司法程序坚持这一行为。但制定清晰的原则和将其应用在工作中是两个完全不同的挑战。一旦新的形势严峻并要求微软做出抉择时，他们将面临真正的考验：即其能够在多大程度上坚守承诺。第一次考验很快到来。2014年，联邦调查局向微软发出了一份国家安全信函，要求微软提供属于一家企业客户的数据，并禁止其告知客户。微软仔细研究了这封信函，发现联邦调查局并无任何合理依据禁止他们通知客户，更不用说要求他们提供数据，而不是直接要求客户提供。于是微软拒绝了这个要求并提起诉讼，走上了西雅图的联邦法院。法官对微软的论点表示支持，而联邦调查局则在收到消息后撤回了信。 法官并不总是支持微软2016年1月，微软还是拒绝政府要求并提起诉讼，但这次法官没有站在微软这边，微软迎来了一场注定会失败的战斗，而且可能是一个代价高昂的失败——罚款金额在2000万美元以上。微软的诉讼团队没有放弃，还是夜以继日的工作，他们觉得只要罚款金额控制在2000万美元以下，就算赢得了道义上的胜利。最后微软输掉了官司，但完全免除了藐视法庭罚款。之后，微软继续用法律手段捍卫用户的信息安全。2016年4月，微软再次提起诉讼，诉讼中提供了过去18个月的数据，显示微软在此期间收到了超过2500份针对个人信息的封口令。这些封口令中的68%没有截止日期，这意味着微软实际上被永远禁止告诉客户，政府已经获得了他们的数据。司法部与微软多次讨论后，发布了一项新政策，明确限定了检察官在何种情况下才可以寻求封口令。此外，司法部还颁布新的指南，指示检察官在发出企业搜查令时，应在向云服务提供商提出要求之前，先寻求企业的配合。秘密搜查令将只在必要和特定的时间段内使用，双方同意终止关于封口令的诉讼。微软完全履行了自己的承诺。最后不论是商业银行，还是大型科技公司，作为大量个人数据的管理者，要清醒地意识到数据被不正当使用的后果。这次的“池子事件”给全行业敲响了一个警钟：尊重和保护用户的隐私，不仅仅是一个职业道德问题，更是一个法律原则问题。它是底线，更是红线，不容触碰。在面对高压时，个人数据的管理者该如何守住自己的底线呢？或许，我们可以从微软与政府的抗争之路中获得启示。