在大數(shù)據(jù)時(shí)代，要如何保護(hù)個(gè)人信息免于被泄露和販賣(mài)？

勇于向Facebok等硅谷巨頭宣戰(zhàn)的歐盟司法專(zhuān)員維拉·朱洛娃(Vera Jourova）對(duì)此曾有經(jīng)典形容，“今日的個(gè)人數(shù)據(jù)，就如同（觀看）人們?cè)谒屦^里裸泳一樣?！?/p>

而在5月25日這一天，她驕傲地宣布，“《歐盟一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation,GDPR）令歐洲人可以重新控制他們自己的數(shù)據(jù)了?！?/p>

咨詢(xún)公司埃森哲在最近一份報(bào)告中則直接將GDPR形容為“近二十年來(lái)數(shù)據(jù)隱私規(guī)則領(lǐng)域發(fā)生的最重要變化”。

資料來(lái)源：埃森哲報(bào)告

“它給高科技企業(yè)帶來(lái)了巨大的影響，其影響之深遠(yuǎn)已超出歐盟，波及全球多個(gè)國(guó)家?！?埃森哲在該報(bào)告中指出，該條例適用于所有歐盟實(shí)體的數(shù)據(jù)，無(wú)論其身在何地或其數(shù)據(jù)被放在什么平臺(tái)。高科技公司存儲(chǔ)、處理或交換任何歐盟公民的數(shù)據(jù)時(shí)，都必須符合GDPR。

GDPR效力僅次于憲法

伴隨5月25日的臨近，第一財(cái)經(jīng)記者收到了海量GDPR條款更新郵件，來(lái)自歐洲智庫(kù)、歐洲媒體以及各類(lèi)科技公司等，如此鋪天蓋地，如不仔細(xì)看還以為是垃圾郵件。

這些郵件均要求用戶(hù)更新其訂閱條款，并指出此次更新符合歐洲新數(shù)據(jù)保護(hù)法律——GDPR的標(biāo)準(zhǔn)，且根據(jù)這一條例，個(gè)人用戶(hù)從今年 5 月 25 日起將享有更多的權(quán)利。

為歐盟一家政府機(jī)構(gòu)在華分支機(jī)構(gòu)工作的何女士則對(duì)第一財(cái)經(jīng)記者表示，最近趕在5月25日之前接受了GDPR的網(wǎng)上培訓(xùn)課程，學(xué)習(xí)未來(lái)企業(yè)應(yīng)當(dāng)如何在GDPR下應(yīng)對(duì)數(shù)據(jù)保護(hù)工作。

之所以大費(fèi)周章，其原因在于，GDPR的效力層級(jí)在歐盟是“條例”，編號(hào)為EU-DSGVO，其效力僅次于憲法。與以往的隱私規(guī)定相比，GDPR有何不同之處呢？

埃森哲在上述報(bào)告中指出，第一，GDPR要求責(zé)任共擔(dān)。在過(guò)去，收集和使用數(shù)據(jù)的數(shù)據(jù)擁有者需要對(duì)數(shù)據(jù)保護(hù)負(fù)責(zé)。如今，史無(wú)前例地，數(shù)據(jù)處理者（如提供數(shù)據(jù)處理服務(wù)的云服務(wù)提供商等）也將需要直接承擔(dān)合規(guī)風(fēng)險(xiǎn)和義務(wù)。在數(shù)據(jù)保護(hù)上，數(shù)據(jù)供應(yīng)鏈自上而下的各方都會(huì)被問(wèn)責(zé)。網(wǎng)絡(luò)公司必須與合作伙伴們明確各自的責(zé)任和義務(wù)。

不過(guò)，埃森哲指出大多數(shù)企業(yè)尚未做好準(zhǔn)備。2016年秋季面向云服務(wù)供應(yīng)商的客戶(hù)進(jìn)行的感知調(diào)查顯示，僅6%的企業(yè)被認(rèn)為是符合GDPR、無(wú)需在新的規(guī)定條款框架下重新商談合同； 而91%的企業(yè)出于對(duì)數(shù)據(jù)處理的復(fù)雜性和成本的考慮，對(duì)自身能否符合GDPR表示出擔(dān)憂(yōu)。

其次，如不遵守GDPR，則后果很?chē)?yán)重。埃森哲指出，GDPR對(duì)獲取和管理個(gè)人信息提出了新的、更嚴(yán)格的要求。它賦予個(gè)人明確的權(quán)利，給高科技企業(yè)通過(guò)人工、流程和技術(shù)進(jìn)行客戶(hù)數(shù)據(jù)管理帶來(lái)了重要影響。不僅如此，GDPR還對(duì)客戶(hù)信任產(chǎn)生影響。根據(jù)埃森哲技術(shù)展望調(diào)查，83%的受訪(fǎng)者堅(jiān)信，信任是數(shù)字化經(jīng)濟(jì)的基石。達(dá)到GDPR所要求的數(shù)據(jù)隱私和安全要求，是維系消費(fèi)者信任和保護(hù)企業(yè)品牌的根本。同時(shí)，違規(guī)將被嚴(yán)令禁止。GDPR大大增加了數(shù)據(jù)保護(hù)的強(qiáng)制性和責(zé)任性，對(duì)違規(guī)的處罰金額提高到2000萬(wàn)歐元或企業(yè)全球年?duì)I業(yè)額的4%（二者取較高值）。

資料來(lái)源：埃森哲報(bào)告

據(jù)第一財(cái)經(jīng)記者統(tǒng)計(jì)，目前在28個(gè)歐盟國(guó)家中，有12個(gè)國(guó)家已經(jīng)正式更新了其國(guó)內(nèi)法，將GDPR嵌入其中，同時(shí)還有8個(gè)國(guó)家告知?dú)W盟委員會(huì)它們將在近期盡快完成其立法程序。

5月25日之后，仍有8個(gè)歐盟國(guó)家在GDPR同其國(guó)內(nèi)法融合方面毫無(wú)作為，包括保加利亞、比利時(shí)、塞浦路斯、希臘、捷克、匈牙利、立陶宛和斯洛文尼亞，大多是中東歐國(guó)家。

歐盟方面表示，已經(jīng)對(duì)上述國(guó)家做出了警告，請(qǐng)它們盡快更新法律系統(tǒng)，否則將把它們告上歐洲法院。

企業(yè)可能準(zhǔn)備不足

埃森哲也在上述報(bào)告中指出，企業(yè)有可能對(duì)此準(zhǔn)備不足。要想全面落實(shí)GDPR，企業(yè)必須掌握所存儲(chǔ)和處理數(shù)據(jù)的特征，從而可以全面保護(hù)數(shù)據(jù)。目前，領(lǐng)先企業(yè)能夠成功追溯70%~80%的數(shù)據(jù)來(lái)源，但仍有許多企業(yè)尚不具備這一能力。甚至許多領(lǐng)先企業(yè)也表示難以探尋剩余20%相關(guān)數(shù)據(jù)的下落。

2015年，全球有十億條客戶(hù)記錄遭到泄露。2016年，僅一次泄露事件就造成了十億賬戶(hù)被黑客入侵。GDPR規(guī)定，如果數(shù)據(jù)遭到泄露，用戶(hù)有權(quán)快速獲取相關(guān)信息，這就要求企業(yè)必須在72小時(shí)內(nèi)向數(shù)據(jù)保護(hù)機(jī)構(gòu)報(bào)告數(shù)據(jù)泄露事件。埃森哲指出，目前只有1%的云服務(wù)供應(yīng)商能夠在24小時(shí)內(nèi)向客戶(hù)發(fā)出數(shù)據(jù)安全事故通知。

小米首席架構(gòu)師、人工智能與云平臺(tái)副總裁崔寶秋博士表示：“整個(gè)行業(yè)都需要全力提升數(shù)據(jù)安全和隱私保護(hù)的意識(shí)，加大設(shè)計(jì)和研發(fā)時(shí)的投入，以加速符合GDPR的要求?！?/p>

針對(duì)企業(yè)如何更好地進(jìn)行GDPR的合規(guī)，他主張從設(shè)計(jì)著手的隱私保護(hù)理念，“這項(xiàng)新規(guī)對(duì)于用戶(hù)而言是好事，用戶(hù)需要對(duì)自己的數(shù)據(jù)有一定的控制權(quán)。任何一家公司如果能夠做到遵循隱私保護(hù)的原則，就應(yīng)該在做任何產(chǎn)品之前，從用戶(hù)的角度出發(fā)來(lái)設(shè)計(jì)產(chǎn)品?！?/p>

隨著移動(dòng)互聯(lián)網(wǎng)高速發(fā)展，大量的隱私以及個(gè)人數(shù)據(jù)會(huì)存儲(chǔ)在移動(dòng)設(shè)備端，這也使得用戶(hù)對(duì)移動(dòng)設(shè)備的個(gè)人數(shù)據(jù)以及隱私資料保護(hù)非常重視?！澳壳笆袌?chǎng)上的智能設(shè)備大多數(shù)是與個(gè)人相關(guān)的產(chǎn)品，因此面臨很高的個(gè)人信息被泄露的風(fēng)險(xiǎn)。一個(gè)設(shè)備如果存在漏洞，可能被利用把用戶(hù)的視頻、音頻、日常對(duì)話(huà)等私密的信息發(fā)送出去，所以一定要引入嚴(yán)格的安全與隱私標(biāo)準(zhǔn)，進(jìn)行嚴(yán)格安全檢測(cè)。

據(jù)第一財(cái)經(jīng)記者了解，目前GDPR的規(guī)定雖然強(qiáng)調(diào)了用戶(hù)的知情權(quán)、訪(fǎng)問(wèn)權(quán)和被遺忘權(quán)，用戶(hù)可以要求被告知公司掌握了自己的哪些數(shù)據(jù)并要求對(duì)其進(jìn)行刪除，然而，大多數(shù)企業(yè)在修改GDPR的用戶(hù)隱私政策時(shí)，措辭仍然比較寬泛模糊。

比如硅谷科技巨頭谷歌和Facebook都已經(jīng)修改了它們的用戶(hù)政策條款，其中Facebook主要強(qiáng)調(diào)了人臉識(shí)別技術(shù)的應(yīng)用應(yīng)獲得用戶(hù)的準(zhǔn)許。目前用戶(hù)上傳照片時(shí)，系統(tǒng)會(huì)自動(dòng)通過(guò)人臉識(shí)別技術(shù)標(biāo)識(shí)出照片中的人物，采取的是用戶(hù)默認(rèn)同意的條款，除非用戶(hù)自己提出異議。

據(jù)報(bào)道，蘋(píng)果公司已經(jīng)停止了在機(jī)器學(xué)習(xí)和人工智能系統(tǒng)開(kāi)發(fā)中使用用戶(hù)數(shù)據(jù)，微軟也為GDPR投入了1600多名工程師，F(xiàn)acebook則將約15億用戶(hù)的注冊(cè)地從愛(ài)爾蘭轉(zhuǎn)向了美國(guó)。不過(guò)對(duì)于注冊(cè)地的遷移，愛(ài)爾蘭投資發(fā)展局中國(guó)區(qū)總監(jiān)張哲偉對(duì)第一財(cái)經(jīng)說(shuō)：“個(gè)人認(rèn)為意義不大，因?yàn)槠髽I(yè)考慮的不僅僅是數(shù)據(jù)放在哪里的問(wèn)題，同時(shí)也與數(shù)據(jù)的來(lái)源地有關(guān)?！?/p>

埃森哲大中華區(qū)首席創(chuàng)新官劉東在中國(guó)大數(shù)據(jù)博覽會(huì)上對(duì)第一財(cái)經(jīng)記者表示：“GDPR是一個(gè)比較好的契機(jī)，讓我們的企業(yè)審視自己的隱私保護(hù)政策，倒逼我們?nèi)ヅ弦?guī)。拒絕或者存有僥幸心理都是不對(duì)的。這一過(guò)程中需要數(shù)據(jù)公司的服務(wù)和技術(shù)上的支持，會(huì)增加客戶(hù)成本，但同時(shí)也能令企業(yè)的價(jià)值得到提升?！?/p>

根據(jù)數(shù)據(jù)分析公司SAS上個(gè)月的一份調(diào)研報(bào)告，隨著GDPR大限到來(lái)，只有7%的企業(yè)完成了合規(guī)，近半數(shù)的受訪(fǎng)企業(yè)表示這一新規(guī)將對(duì)公司的人工智能相關(guān)項(xiàng)目產(chǎn)生重大影響。全球僅有不到一半的企業(yè)（49%）表示它們能按期達(dá)到GDPR的合規(guī)要求。不少小公司由于缺乏資源和指導(dǎo)，仍然處于觀望狀態(tài)。

中企國(guó)際化繞不開(kāi)“合規(guī)性”

違反GDPR罰款很高，有一定的威懾力，企業(yè)只有三種選擇，要么退出歐洲市場(chǎng)；要么努力合規(guī)；還有一種就是承擔(dān)被罰款的風(fēng)險(xiǎn)。最后一個(gè)選項(xiàng)不是任何一家負(fù)責(zé)任的公司愿意選擇的，所以真正的選擇就只有前兩個(gè)。

第一財(cái)經(jīng)記者注意到，國(guó)航、東航均在5月24日對(duì)其APP和官方網(wǎng)站的隱私政策條款進(jìn)行了更新，東航也在5月作出了調(diào)整，以前的隱私政策條款相對(duì)籠統(tǒng)，在如何收集個(gè)人信息、收集哪些類(lèi)型的個(gè)人信息、收集后如何使用等方面的規(guī)定并不細(xì)致，而在最新版的隱私政策中，這幾家航空公司將可能收集的個(gè)人信息的范圍列得更加詳細(xì)。國(guó)內(nèi)其他幾家開(kāi)設(shè)有歐盟航線(xiàn)的航空公司，如海航、四川航空，尚未對(duì)隱私政策進(jìn)行調(diào)整。

張哲偉表示：“GDPR合規(guī)要求十分高，企業(yè)需要投入大量人力財(cái)力，才能確保執(zhí)行。對(duì)于中國(guó)企業(yè)來(lái)說(shuō)，必須立刻敲響警鐘，做好充分準(zhǔn)備，加強(qiáng)對(duì)數(shù)據(jù)安全和用戶(hù)隱私的保護(hù)工作。” 他建議，在數(shù)據(jù)保護(hù)方面，中國(guó)企業(yè)可以選擇一個(gè)歐盟成員國(guó)作為主溝通國(guó)，通過(guò)這個(gè)國(guó)家跟其他成員國(guó)的相關(guān)監(jiān)管當(dāng)局打交道。

方興東認(rèn)為，GDPR將成為未來(lái)全球網(wǎng)絡(luò)空間規(guī)則的基石，即以數(shù)據(jù)為抓手，與美國(guó)過(guò)去掌控的另一大基石，即底層技術(shù)治理相得益彰。低估GDPR，將會(huì)付出巨大代價(jià)。最首當(dāng)其沖的，就是基于搜集個(gè)人信息和隱私驅(qū)動(dòng)的整個(gè)中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)主體收入模式將產(chǎn)生重大影響，甚至是顛覆性影響。