在大數(shù)據(jù)時(shí)代,要如何保護(hù)個(gè)人信息免于被泄露和販賣?
勇于向Facebok等硅谷巨頭宣戰(zhàn)的歐盟司法專員維拉·朱洛娃(Vera Jourova)對(duì)此曾有經(jīng)典形容,“今日的個(gè)人數(shù)據(jù),就如同(觀看)人們?cè)谒屦^里裸泳一樣?!?/p>
而在5月25日這一天,她驕傲地宣布,“《歐盟一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)令歐洲人可以重新控制他們自己的數(shù)據(jù)了?!?/p>
咨詢公司埃森哲在最近一份報(bào)告中則直接將GDPR形容為“近二十年來數(shù)據(jù)隱私規(guī)則領(lǐng)域發(fā)生的最重要變化”。
資料來源:埃森哲報(bào)告
“它給高科技企業(yè)帶來了巨大的影響,其影響之深遠(yuǎn)已超出歐盟,波及全球多個(gè)國家?!?埃森哲在該報(bào)告中指出,該條例適用于所有歐盟實(shí)體的數(shù)據(jù),無論其身在何地或其數(shù)據(jù)被放在什么平臺(tái)。高科技公司存儲(chǔ)、處理或交換任何歐盟公民的數(shù)據(jù)時(shí),都必須符合GDPR。
GDPR效力僅次于憲法
伴隨5月25日的臨近,第一財(cái)經(jīng)記者收到了海量GDPR條款更新郵件,來自歐洲智庫、歐洲媒體以及各類科技公司等,如此鋪天蓋地,如不仔細(xì)看還以為是垃圾郵件。
這些郵件均要求用戶更新其訂閱條款,并指出此次更新符合歐洲新數(shù)據(jù)保護(hù)法律——GDPR的標(biāo)準(zhǔn),且根據(jù)這一條例,個(gè)人用戶從今年 5 月 25 日起將享有更多的權(quán)利。
為歐盟一家政府機(jī)構(gòu)在華分支機(jī)構(gòu)工作的何女士則對(duì)第一財(cái)經(jīng)記者表示,最近趕在5月25日之前接受了GDPR的網(wǎng)上培訓(xùn)課程,學(xué)習(xí)未來企業(yè)應(yīng)當(dāng)如何在GDPR下應(yīng)對(duì)數(shù)據(jù)保護(hù)工作。
之所以大費(fèi)周章,其原因在于,GDPR的效力層級(jí)在歐盟是“條例”,編號(hào)為EU-DSGVO,其效力僅次于憲法。與以往的隱私規(guī)定相比,GDPR有何不同之處呢?
埃森哲在上述報(bào)告中指出,第一,GDPR要求責(zé)任共擔(dān)。在過去,收集和使用數(shù)據(jù)的數(shù)據(jù)擁有者需要對(duì)數(shù)據(jù)保護(hù)負(fù)責(zé)。如今,史無前例地,數(shù)據(jù)處理者(如提供數(shù)據(jù)處理服務(wù)的云服務(wù)提供商等)也將需要直接承擔(dān)合規(guī)風(fēng)險(xiǎn)和義務(wù)。在數(shù)據(jù)保護(hù)上,數(shù)據(jù)供應(yīng)鏈自上而下的各方都會(huì)被問責(zé)。網(wǎng)絡(luò)公司必須與合作伙伴們明確各自的責(zé)任和義務(wù)。
不過,埃森哲指出大多數(shù)企業(yè)尚未做好準(zhǔn)備。2016年秋季面向云服務(wù)供應(yīng)商的客戶進(jìn)行的感知調(diào)查顯示,僅6%的企業(yè)被認(rèn)為是符合GDPR、無需在新的規(guī)定條款框架下重新商談合同; 而91%的企業(yè)出于對(duì)數(shù)據(jù)處理的復(fù)雜性和成本的考慮,對(duì)自身能否符合GDPR表示出擔(dān)憂。
其次,如不遵守GDPR,則后果很嚴(yán)重。埃森哲指出,GDPR對(duì)獲取和管理個(gè)人信息提出了新的、更嚴(yán)格的要求。它賦予個(gè)人明確的權(quán)利,給高科技企業(yè)通過人工、流程和技術(shù)進(jìn)行客戶數(shù)據(jù)管理帶來了重要影響。不僅如此,GDPR還對(duì)客戶信任產(chǎn)生影響。根據(jù)埃森哲技術(shù)展望調(diào)查,83%的受訪者堅(jiān)信,信任是數(shù)字化經(jīng)濟(jì)的基石。達(dá)到GDPR所要求的數(shù)據(jù)隱私和安全要求,是維系消費(fèi)者信任和保護(hù)企業(yè)品牌的根本。同時(shí),違規(guī)將被嚴(yán)令禁止。GDPR大大增加了數(shù)據(jù)保護(hù)的強(qiáng)制性和責(zé)任性,對(duì)違規(guī)的處罰金額提高到2000萬歐元或企業(yè)全球年?duì)I業(yè)額的4%(二者取較高值)。
資料來源:埃森哲報(bào)告
據(jù)第一財(cái)經(jīng)記者統(tǒng)計(jì),目前在28個(gè)歐盟國家中,有12個(gè)國家已經(jīng)正式更新了其國內(nèi)法,將GDPR嵌入其中,同時(shí)還有8個(gè)國家告知?dú)W盟委員會(huì)它們將在近期盡快完成其立法程序。
5月25日之后,仍有8個(gè)歐盟國家在GDPR同其國內(nèi)法融合方面毫無作為,包括保加利亞、比利時(shí)、塞浦路斯、希臘、捷克、匈牙利、立陶宛和斯洛文尼亞,大多是中東歐國家。
歐盟方面表示,已經(jīng)對(duì)上述國家做出了警告,請(qǐng)它們盡快更新法律系統(tǒng),否則將把它們告上歐洲法院。
企業(yè)可能準(zhǔn)備不足
埃森哲也在上述報(bào)告中指出,企業(yè)有可能對(duì)此準(zhǔn)備不足。要想全面落實(shí)GDPR,企業(yè)必須掌握所存儲(chǔ)和處理數(shù)據(jù)的特征,從而可以全面保護(hù)數(shù)據(jù)。目前,領(lǐng)先企業(yè)能夠成功追溯70%~80%的數(shù)據(jù)來源,但仍有許多企業(yè)尚不具備這一能力。甚至許多領(lǐng)先企業(yè)也表示難以探尋剩余20%相關(guān)數(shù)據(jù)的下落。
2015年,全球有十億條客戶記錄遭到泄露。2016年,僅一次泄露事件就造成了十億賬戶被黑客入侵。GDPR規(guī)定,如果數(shù)據(jù)遭到泄露,用戶有權(quán)快速獲取相關(guān)信息,這就要求企業(yè)必須在72小時(shí)內(nèi)向數(shù)據(jù)保護(hù)機(jī)構(gòu)報(bào)告數(shù)據(jù)泄露事件。埃森哲指出,目前只有1%的云服務(wù)供應(yīng)商能夠在24小時(shí)內(nèi)向客戶發(fā)出數(shù)據(jù)安全事故通知。
小米首席架構(gòu)師、人工智能與云平臺(tái)副總裁崔寶秋博士表示:“整個(gè)行業(yè)都需要全力提升數(shù)據(jù)安全和隱私保護(hù)的意識(shí),加大設(shè)計(jì)和研發(fā)時(shí)的投入,以加速符合GDPR的要求?!?/p>
針對(duì)企業(yè)如何更好地進(jìn)行GDPR的合規(guī),他主張從設(shè)計(jì)著手的隱私保護(hù)理念,“這項(xiàng)新規(guī)對(duì)于用戶而言是好事,用戶需要對(duì)自己的數(shù)據(jù)有一定的控制權(quán)。任何一家公司如果能夠做到遵循隱私保護(hù)的原則,就應(yīng)該在做任何產(chǎn)品之前,從用戶的角度出發(fā)來設(shè)計(jì)產(chǎn)品?!?/p>
隨著移動(dòng)互聯(lián)網(wǎng)高速發(fā)展,大量的隱私以及個(gè)人數(shù)據(jù)會(huì)存儲(chǔ)在移動(dòng)設(shè)備端,這也使得用戶對(duì)移動(dòng)設(shè)備的個(gè)人數(shù)據(jù)以及隱私資料保護(hù)非常重視?!澳壳笆袌錾系?a href="http://srfitnesspt.com/v/" target="_blank">智能設(shè)備大多數(shù)是與個(gè)人相關(guān)的產(chǎn)品,因此面臨很高的個(gè)人信息被泄露的風(fēng)險(xiǎn)。一個(gè)設(shè)備如果存在漏洞,可能被利用把用戶的視頻、音頻、日常對(duì)話等私密的信息發(fā)送出去,所以一定要引入嚴(yán)格的安全與隱私標(biāo)準(zhǔn),進(jìn)行嚴(yán)格安全檢測。
據(jù)第一財(cái)經(jīng)記者了解,目前GDPR的規(guī)定雖然強(qiáng)調(diào)了用戶的知情權(quán)、訪問權(quán)和被遺忘權(quán),用戶可以要求被告知公司掌握了自己的哪些數(shù)據(jù)并要求對(duì)其進(jìn)行刪除,然而,大多數(shù)企業(yè)在修改GDPR的用戶隱私政策時(shí),措辭仍然比較寬泛模糊。
比如硅谷科技巨頭谷歌和Facebook都已經(jīng)修改了它們的用戶政策條款,其中Facebook主要強(qiáng)調(diào)了人臉識(shí)別技術(shù)的應(yīng)用應(yīng)獲得用戶的準(zhǔn)許。目前用戶上傳照片時(shí),系統(tǒng)會(huì)自動(dòng)通過人臉識(shí)別技術(shù)標(biāo)識(shí)出照片中的人物,采取的是用戶默認(rèn)同意的條款,除非用戶自己提出異議。
據(jù)報(bào)道,蘋果公司已經(jīng)停止了在機(jī)器學(xué)習(xí)和人工智能系統(tǒng)開發(fā)中使用用戶數(shù)據(jù),微軟也為GDPR投入了1600多名工程師,F(xiàn)acebook則將約15億用戶的注冊(cè)地從愛爾蘭轉(zhuǎn)向了美國。不過對(duì)于注冊(cè)地的遷移,愛爾蘭投資發(fā)展局中國區(qū)總監(jiān)張哲偉對(duì)第一財(cái)經(jīng)說:“個(gè)人認(rèn)為意義不大,因?yàn)槠髽I(yè)考慮的不僅僅是數(shù)據(jù)放在哪里的問題,同時(shí)也與數(shù)據(jù)的來源地有關(guān)。”
埃森哲大中華區(qū)首席創(chuàng)新官劉東在中國大數(shù)據(jù)博覽會(huì)上對(duì)第一財(cái)經(jīng)記者表示:“GDPR是一個(gè)比較好的契機(jī),讓我們的企業(yè)審視自己的隱私保護(hù)政策,倒逼我們?nèi)ヅ弦?guī)。拒絕或者存有僥幸心理都是不對(duì)的。這一過程中需要數(shù)據(jù)公司的服務(wù)和技術(shù)上的支持,會(huì)增加客戶成本,但同時(shí)也能令企業(yè)的價(jià)值得到提升?!?/p>
根據(jù)數(shù)據(jù)分析公司SAS上個(gè)月的一份調(diào)研報(bào)告,隨著GDPR大限到來,只有7%的企業(yè)完成了合規(guī),近半數(shù)的受訪企業(yè)表示這一新規(guī)將對(duì)公司的人工智能相關(guān)項(xiàng)目產(chǎn)生重大影響。全球僅有不到一半的企業(yè)(49%)表示它們能按期達(dá)到GDPR的合規(guī)要求。不少小公司由于缺乏資源和指導(dǎo),仍然處于觀望狀態(tài)。
中企國際化繞不開“合規(guī)性”
違反GDPR罰款很高,有一定的威懾力,企業(yè)只有三種選擇,要么退出歐洲市場;要么努力合規(guī);還有一種就是承擔(dān)被罰款的風(fēng)險(xiǎn)。最后一個(gè)選項(xiàng)不是任何一家負(fù)責(zé)任的公司愿意選擇的,所以真正的選擇就只有前兩個(gè)。
第一財(cái)經(jīng)記者注意到,國航、東航均在5月24日對(duì)其APP和官方網(wǎng)站的隱私政策條款進(jìn)行了更新,東航也在5月作出了調(diào)整,以前的隱私政策條款相對(duì)籠統(tǒng),在如何收集個(gè)人信息、收集哪些類型的個(gè)人信息、收集后如何使用等方面的規(guī)定并不細(xì)致,而在最新版的隱私政策中,這幾家航空公司將可能收集的個(gè)人信息的范圍列得更加詳細(xì)。國內(nèi)其他幾家開設(shè)有歐盟航線的航空公司,如海航、四川航空,尚未對(duì)隱私政策進(jìn)行調(diào)整。
張哲偉表示:“GDPR合規(guī)要求十分高,企業(yè)需要投入大量人力財(cái)力,才能確保執(zhí)行。對(duì)于中國企業(yè)來說,必須立刻敲響警鐘,做好充分準(zhǔn)備,加強(qiáng)對(duì)數(shù)據(jù)安全和用戶隱私的保護(hù)工作?!?他建議,在數(shù)據(jù)保護(hù)方面,中國企業(yè)可以選擇一個(gè)歐盟成員國作為主溝通國,通過這個(gè)國家跟其他成員國的相關(guān)監(jiān)管當(dāng)局打交道。
方興東認(rèn)為,GDPR將成為未來全球網(wǎng)絡(luò)空間規(guī)則的基石,即以數(shù)據(jù)為抓手,與美國過去掌控的另一大基石,即底層技術(shù)治理相得益彰。低估GDPR,將會(huì)付出巨大代價(jià)。最首當(dāng)其沖的,就是基于搜集個(gè)人信息和隱私驅(qū)動(dòng)的整個(gè)中國互聯(lián)網(wǎng)產(chǎn)業(yè)主體收入模式將產(chǎn)生重大影響,甚至是顛覆性影響。
-
互聯(lián)網(wǎng)
+關(guān)注
關(guān)注
54文章
11042瀏覽量
102470 -
人工智能
+關(guān)注
關(guān)注
1789文章
46415瀏覽量
236657 -
智能設(shè)備
+關(guān)注
關(guān)注
5文章
1031瀏覽量
50217
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論