在過去的一個周末,歐盟史上最嚴厲隱私保護法GDPR正式生效,GDPR是二十年來數據隱私規則領域發生的最重要變化,給歐盟、乃至全世界的企業都將帶來重大影響。無論企業是否在歐盟境內,只要與歐盟企業發生業務往來,或涉及存儲、處理、交換任何歐盟公民的數據,都必須嚴格遵守該條例。
對此,小米首席架構師、人工智能與雲平臺副總裁崔寶秋博士在中國國際大數據博覽會期間接受第一財經記者獨家采訪時表示:“整個行業都需要全力提升數據安全和隱私保護的意識,加大設計和研發時的投入,以加速符合GDPR的要求。”
小米已完成隱私保護整改工作
崔寶秋博士告訴第一財經記者,小米非常重視用戶的隱私保護。他說道:“隱私在小米是一個很大的話題,我們的投入也很大。早在2014年,小米就成立了隱私委員會,和全球最大的隱私認證方案提供商、美國加州的TRUSTe(現更名為TrustArc)公司合作展開隱私保護相關業務。到2016年,小米公司MIUI操作系統和小米網(Mi.com)的國內版和國際版都得到了TRUSTe隱私認證,提高了小米在安全和隱私上的整體水平。”
TRUSTe全面審核小米的隱私操作,意味著小米所收集的移動應用敏感信息都是被加密的,所有的支付頁面都有合適的加密程序以保護用戶的私人敏感信息,並且限制相關應用在用戶手機上獲取敏感信息的請求(除非該請求是必要的)。
崔寶秋博士向第一財經記者解釋道:“小米為了符合GDPR條例已經在幾年前就開始進行多方位的投入,從法律規定的研究到雲計算基礎設施的布局,從大數據技術措施到組織措施,在所有業務中全面落實GDPR的要求。”
據第一財經記者了解,目前GDPR的規定雖然強調了用戶的知情權、訪問權和被遺忘權,用戶可以要求被告知公司掌握了自己的哪些數據並要求對其進行刪除,然而,大多數企業在修改GDPR的用戶隱私政策時,措辭仍然比較寬泛模糊。
比如矽谷科技巨頭谷歌和Facebook都已經修改了他們的用戶政策條款,其中Facebook主要強調了人臉識別技術的應用應獲得用戶的準許。目前用戶上傳照片時,系統會自動通過人臉識別技術標識出照片中的人物,采取的是用戶默認同意的條款,除非用戶自己提出異議。
崔寶秋博士對第一財經記者表示:“違反GDPR罰款很高,有一定的威懾力,企業只有三種選擇,要麽退出歐洲市場;要麽努力合規;還有一種就是承擔被罰款的風險。我想最後一個選項不是任何一家負責任的公司願意選擇的,所以真正的選擇就只有前兩個。小米選擇的顯然是努力合規。”根據規定,GDPR大大增加了數據保護的強制性和責任性,對違規的處罰提高到了2000萬歐元或企業全球年營業額的4%(二者取較高值)。
中企國際化繞不開“合規性”
針對企業如何更好地進行GDPR的合規,崔寶秋博士主張從設計著手的隱私保護理念。他對第一財經記者表示:“這項新規對於用戶而言是好事,用戶需要對自己的數據有一定的控制權。任何一家公司如果能夠做到遵循隱私保護的原則,就應該在做任何產品之前,從用戶的角度出發來設計產品。在公司內部我們一直對所有業務部門強調,要不斷自主地進行隱私意識和安全保護技術的提升,不斷地加大投入,當然有些地方難度比較大,技術要求很高。”
崔寶秋對第一財經記者表示,隨著移動互聯網高速發展,大量的隱私以及個人數據會存儲在移動設備端,這也使得用戶對移動設備的個人數據以及隱私資料保護非常重視。“目前市場上的智能設備大多數是與個人相關的產品,因此面臨很高的個人信息被泄露的風險。一個設備如果存在漏洞,可能被利用把用戶的視頻、音頻、日常對話等私密的信息發送出去,所以一定要引入嚴格的安全與隱私標準,進行嚴格安全檢測。”他說道。
據了解,小米操作系統MIUI在全球有超過2億用戶,小米網電商平臺甚至擁有更多用戶。崔寶秋向第一財經記者透露,小米手機已經進入多個歐洲國家,最近幾天也剛剛進入了法國和意大利,IoT產品也在歐洲市場迅速擴張。
隨著中國企業國際化的加速發展,隱私保護也受到越來越密切的關註。科大訊飛執行總裁胡郁早些時候在談到中國企業走向海外面臨的數據保護問題時,他對第一財經記者表示:“數據保護是每個企業所必須遵守的。到一個國家就要遵守一個國家的規矩,數據的安全性和所在地的數據擁有權是必須遵守的,國外公司如果在中國做生意,服務器必須放在中國,數據就像基因,對於任何一個國家都是非常寶貴的財富,是不能被隨便挪用的。”
科大訊飛除了擁有強大的智能語音平臺以外,硬件產品智能語音翻譯機第二代已經在國內預售。在國內,科大訊飛與中國移動展開合作,掌握了大量的用戶數據。胡郁對第一財經記者表示,公司在國際化方面,除了在日本等亞洲市場進行布局以外,也計劃進軍歐美等市場。
根據數據分析公司SAS的調研,全球僅有不到一半的企業(49%)表示他們能按期達到GDPR的合規要求。不少小公司由於缺乏資源和指導,仍然處於觀望狀態。
對此,埃森哲大中華區首席創新官劉東在中國大數據博覽會上對第一財經記者表示:“GDPR是一個比較好的契機,讓我們的企業審視自己的隱私保護政策,倒逼我們去努力合規。拒絕或者存有僥幸心理都是不對的。這一過程中需要數據公司的服務和技術上的支持,會增加客戶成本,但同時也能令企業的價值得到提升。”
近幾年,平臺經濟和大數據行業的蓬勃發展,在給公眾帶來便利的同時,個人信息泄露甚至被販賣帶來的困擾,引發的關註與探討越來越多。
5月25日,一部保護普通人隱私數據的法案《歐盟一般數據保護條例》(General Data Protection Regulation,GDPR)在歐盟地區正式生效。不過,GDPR的管轄範圍並不局限在歐盟境內,只要一家企業向歐盟境內的個人提供了商品或服務並收集或處理了個人數據,不管該企業是否在歐盟境內設有機構,都將適用。如被歐盟認定違規,最高處罰金額可至2000萬歐元或企業全球年營業額的4%(兩者中取其高值),故被稱為“史上最嚴數據保護法”。
在保護個人權利和隱私信息等方面,歐盟地區一直走在世界前列。不過在當前經濟全球化和互聯網“無國界化”的時代,歐盟此舉對於其他國家的影響不容小覷,尤其是中美兩個互聯網行業最發達、個人隱私最受關註的國家。
不久前,全球最大的社交網絡公司Facebook(臉書)被曝5000萬用戶信息數據被一家名為Cambridge Analytica(劍橋分析)的公司不當獲取,用在2016年美國總統大選中對目標受眾進行精準信息投放,可能影響到大選結果,引發軒然大波。而在中國,因為個人信息泄露,騷擾甚至詐騙信息對公眾而言已是司空見慣,近期更是爆出有互聯網企業利用大數據“殺熟”,負面影響持續發酵。
歐盟GDPR的生效,足以讓全球互聯網巨頭忌憚,因為歐盟地區作為全球擁有6億多人口的發達地區,可以說是互聯網公司全球化繞不過去的。此後,所有在歐洲有產品或服務的互聯網企業都將受到GDPR影響,漠視用戶隱私數據保護註定會成為第一批被罰者。於是,蘋果公司日前就修改了隱私政策,允許用戶徹底註銷Apple ID;谷歌則於本月初更新了文檔的語言和導航等用戶協議,允許用戶訪問並刪除這些數據;騰訊也宣布將對QQ國際版進行更新,以符合GDPR規定;小米也表示要全力提升數據安全和隱私保護意識,加大設計和研發投入,以加速符合GDPR要求。
而且,歐盟GDPR生效並非僅僅關系到少數在歐盟有業務的互聯網公司。一方面,歐盟立法機構除了自己落實GDPR之外,還在聯合包括中、美、日、韓等互聯網市場大國實施類似法規。可以預見,肆無忌憚地收集用戶數據,販賣濫用數據的商業模式行將逝去。
更為重要的是,GDPR有利於限制互聯網公司“作惡”,一旦在歐盟實施獲得正面效應,未來有望成為全球網絡空間規則的基石。不可否認的是,如今從網約車、共享單車,到電商購物、社交媒體,平臺經濟已經成為社會治理中繞不開的話題。眾多平臺對海量用戶數據的收集、占有甚至濫用,日益引發公眾對於平臺經濟負面影響的反思。
換言之,這些平臺對數據的占用涉及個人信息泄露、數據交易、數據濫用等一系列問題,當平臺經濟發展涉及諸如道德倫理、公平正義等價值判斷時,市場可能無法自發調整解決,這時候就需要完善數據保護方面的立法。
當然,GDPR也有自身的瑕疵。包括可行性受到質疑,因為相關規定過於嚴苛,當企業無法遵守時,往往會選擇規避,這將讓數據保護初衷大打折扣;而且要達到GDPR要求,門檻較高,一些財力不足的中小互聯網企業將被擋在門外,被迫退出行業,不利於新經濟的創新發展。
總體來說,GDPR作為解決數據保護的途徑,目前雖然只在歐洲生效,但其影響是全球性的。基於搜集個人信息和隱私驅動的整個互聯網產業收入模式,沖擊將不可避免,因為即便其他國家不照搬歐盟,但個人隱私信息保護已是大勢所趨。
5月25日,在歐盟成員國陸續完成本國法律修訂之後,歐盟《一般數據保護條例》(GeneralDataProtectionRegulation,GDPR)開始正式生效,以取代1995年的《數據保護指令》。GDPR自2012年制訂時起就引發了全球的關註和爭議,如今正式實施,更是牽動了全球跨境企業的心弦。
新《條例》的目標與特點
隨著大數據、雲計算等技術的發展和廣泛應用,“如何平衡個人數據隱私保護與數據利益”成為擺在各國政府和企業面前的一個重要命題。GDPR在此背景下應運而生,其主要目標和特點有:
強化數據保護。GDPR雖然沿用了《數據保護指令》在數據處理方面的“合法性”、“公平性”、“透明性”等核心原則,但又有所加強。比如在問責制度上嚴格了很多。從地域上看,不僅歐盟內部設立數據控制和處理企業受到管轄,對於歐盟以外的企業,只要從事與歐盟個人數據有關的業務,都在其保護範圍之中。因此,其管轄範圍極其廣泛,不僅微軟、谷歌、Facebook、阿里雲這樣的跨國企業受到影響,一些小企業也難以幸免。小米生態鏈公司智能燈具品牌Yeelight就暫時下線了其產品。
重視數據主體的控制權。GDPR大大增加了企業在數據控制與處理方面的義務,增強了個人對數據的控制權。比如,增加了數據主體的“同意”條件,只有經過其自願做出具體、明確的同意才能進行數據處理。在適用範圍上也非常廣泛,“全自動、半自動,以及形成或旨在形成用戶畫像的非自動個人數據處理”,都在其保護範圍之內。還有個人對數據的“訪問權”、“限制處理權”、“拒絕權”、“可攜帶權”、“被遺忘權”等規定,都充分證明了歐盟這一里程碑式的立法對個人權利的尊重和保護。
確保數據安全和自由流動。歐盟大費周章制訂GDPR,不僅僅是為了個人權益的保護,還有更深層的原因:為了個人數據的收集、處理更為方便和安全,而且能夠自由流動。通過近乎嚴苛的數據收集和處理規則,以及嚴厲的問責和制裁手段,GDPR更想實現的目標是數據安全,不要輕易就被犯罪分子所用,不要出現諸多Facebook那樣的大規模數據泄露事件。
當然,歐盟也非常關註數據的跨國自由流動。由於“可攜帶權”的設立,用戶不僅可以將個人數據傳輸給其他主體,還可以要求對數據進行打包,轉換成其他便於利用的格式。這樣,數據在各國間的自動流動就不存在障礙了。歐盟一直希望建立數字單一市場,數據的自由流動是第一步,也是極其重要的一步。
史上最嚴格隱私權保護法案
GDPR被稱為史上最嚴格的個人隱私法案,名為數據保護,而其目標實際上是保護個人隱私。進入數字時代以來,如何在數據利益和個人隱私之間實現平衡,始終是各國政府面臨的核心議題。
隨著物聯網、社交媒體的廣泛應用,這一問題變得更為複雜和突出。兩者之間如何取舍?歐盟和美國這兩個世界上最大的經濟體做出了不同的抉擇。
美國雖然同樣註重網絡安全和個人隱私保護,但在行動上則主要采取行業自律模式,即更多依賴數據處理相關企業的自我約束和行業監督;而經濟利益是其優先關註的目標,微軟、Facebook、谷歌可以在法律允許範圍內獲取最大的經濟利益。
而歐盟顯然采取了不同的路徑。GDPR明顯確立了人權保護優先的原則,雖然GDPR也關註網絡安全和數據保護,但更重視個人隱私保護。歐盟一直將隱私權視為一項重要的人權,因此一直致力於從立法上完善對隱私權的保護。從“訪問權”、“限制處理權”到“可攜帶權”和“被遺忘權”,這些權利的創設和明確規定都說明了一個道理:在數字時代,當個人隱私權與數據利益發生沖突時,歐盟寧可犧牲經濟發展,也要保護個人隱私。這非常符合歐盟在促進經濟發展與保護個人權利之間的一貫立場。
歐美兩種截然不同的保護模式很難說孰優孰劣,因為這深深根植於歐美在人文傳統、法律價值理念和經濟發展優先程度等方面的巨大差異。
歐洲有著上千年的文化積累,在法律價值理念上較為重視人的基本權利保護。當然,或許也和二次世界大戰之前歐洲人權受到的深深傷害和踐踏有關,歐盟一直非常重視包括隱私權在內的人權保護。因此,當人權與經濟發展撞車時,歐洲人會優先選擇人權。美國則有所不同。美國發展至今只有230年的歷史,雖然其文化、宗教和法律價值理念與歐洲有著天然的聯系,但依然有很大不同。美國雖口口聲聲保護人權,但在人權保護與經濟利益沖突時,美國會毫不猶豫選擇經濟利益優先。
跨國企業合規壓力劇增
當然,在歐盟做出優先保護個人隱私權的選擇後,企業在數據處理方面的合規性壓力驟然增大,而跨國企業尤為突出。GDPR被大量媒體稱為“歐盟史上最嚴數據保護法案”,主要在於其懲罰措施極為嚴厲。比如Facebook,如果再犯出現數據泄露這樣的問題,面臨的處罰將是其全球營收的4%。按其在2017年406.53億美元的營收計算,Facebook可能就要交出16.26億美元罰金。這幾乎是微軟在歐盟因幾次違反競爭法而被罰款數額的總和。
面對這樣嚴厲的處罰規定,幾家歡喜幾家愁。在GDPR生效前,大大小小的公司就在忙於整理自己的數據保護和隱私政策。蘋果已經做出修改,允許用戶徹底註銷AppleID;谷歌則低調更新了其文檔的語言和導航等用戶協議,讓用戶更清楚其收集和存儲用戶數據的方式,並允許他們訪問並刪除這些數據;而騰訊QQ國際版則暫停運作。更有企業幹脆避開歐盟業務。
歐盟制訂如此嚴厲的數據保護法案,是否會打擊大量的中小企業甚至跨國企業的積極性,影響到歐盟的產業發展和經濟的整體運行?這也是一直存在很大爭議的問題。畢竟,隨著GDPR的出臺,企業在合規方面付出的人力物力成本大增,對於微軟、谷歌這樣的大企業或許並不在乎這點成本,而諸多中小企業或因為承受不了合規的成本而不得不關閉相關業務,或者離開歐盟市場。
當然,這些問題都是暫時的,這只是歐盟數字單一市場建立之前的陣痛。在加強數據監管、實現國家間的數據跨境流通這一方面,歐盟無疑走在了前面。更為重要的是,還會引起“布魯塞爾效應”,即觸發企業合規性修改的全球性影響。不管美國、中國還是其他國家,或許都要考慮緊跟其後或多或少提高數據監管和隱私權保護的門檻。這樣一來,歐盟又將站立在全球數據監管的標準之上。這才是歐盟制訂GDPR的最大收獲。
(作者系同濟大學德國研究中心研究員、上海國際知識產權學院副教授)
在歐盟的GDPR(《一般數據保護條例》)正式生效後,全球不少科技企業忙著更新隱私政策,或者下架向歐盟用戶提供的服務。
此前,Facebook被曝5000萬用戶數據被CambridgeAnalytica公司不當獲取,並用於2016年美國總統大選的精準信息投放,可能影響到大選結果。這個可能是目前涉及用戶數據泄露影響最大的事件。
GDPR條例生效當天,科技巨頭如谷歌和Facebook就被指控強迫用戶共享個人數據。在該項訴訟中,奧地利隱私活動家MaxSchrems要求分別對Facebook、谷歌罰款39億和37億歐元(兩者總和約88億美元)。
6月5日,國際信息系統審計協會(ISACA)全球董事會主席RobClyde在接受第一財經等媒體記者采訪時表示,GDPR對全球公司而言都有著重大的影響,這不僅適於歐洲的企業或者公民,而是適用於全世界所有和歐洲企業或居民有業務往來的公司,“不管這個公司在哪里,都適用於GDPR的管轄”。Rob指出,如果中國企業在歐洲有投資、有業務,或者想和歐洲的公民有合作,就要受到GDPR的管轄。
ISACA是信息科技管治、監控、保安,以及標準合規的領導組織。6月5日,ISACA中國辦公室正式在北京宣布成立。在2018年3月,該組織發布了《網絡安全實施框架指南》,分析了中國最新的網絡安全政策並為全球企業提出了技術層面實現合規的指導意見。
Rob指出,這一事件大大提升了大家對個人信息安全方面的認識。此前,有很多公司在個人數據保護以及隱私保護方面存在違規操作問題,而這也是一個全球性的問題。而包括人工智能、物聯網、機器人、自動化還有量子計算等新技術的出現也會對這方面的治理帶來種種挑戰。現在隨著歐洲的GDPR,以及其他一些個人數據保護或隱私保護規則的推出,這一領域產生了非常巨大的變化。“這就意味著世界各地的人已經開始有個人數據和隱私保護的權利了,所以對於中國的公司也好,美國的公司也好,不管哪個國家的公司,都面臨一樣的風險。”
ISACA首席執行官MattLoeb對第一財經記者表示,GDPR的正式實施傳遞了重大的信息,即“如果公司不註意數據方面的管理,那麽現在是時候讓他們開始做好這件事了,因為這涉及到企業在數據治理方面的能力建設。如果歐洲通過GDPR在數據保護方面做到了有效的監管,肯定會引發全球各地類似的政策趨勢。”
GDPR將強制執行,違規將被嚴令禁止,並受到嚴厲處罰。埃森哲近期報告指出,與以往的隱私規則相比,GDPR的影響更為深遠。在數據保護上,數據供應鏈自上而下的各方(包括數據的擁有者和使用者)都會被問責;在獲取和管理個人信息上,GDPR提出了新的、更嚴格的要求,並賦予個人明確的權利,為企業通過人工、流程和技術進行客戶數據管理都帶來了一定的沖擊;而且,GDPR還大大增加了數據保護的強制性和責任性,對違規的處罰提高到了2000萬歐元或企業全球年營業額的4%(二者取較高值)。
根據一項面向雲服務供應商的客戶感知調查,僅6%的企業被認為符合GDPR、無需在新的規定條款框架下重新商談合同;而91%的企業出於對數據處理的複雜性和成本的考慮,對自身能否符合GDPR表現出了擔憂。
為了應對GDPR,中國互聯網巨頭騰訊旗下的微信海外版WeChat、阿里巴巴旗下的全球速賣通AliExpress等均向歐洲用戶更新了隱私政策。根據官網顯示,WeChat在5月10日修改了隱私政策,AliExpress則在5月24日進行了更新。