2018年7月22日,一年一度的“第七届中国大数据应用论坛”活动在北京大学隆重举行。本次活动由中国新一代IT产业推进联盟指导,CIO时代学院、北大软件工程研究所主办,全国高校大数据教育联盟、北达软、万山数据协办,北大CIO班学员、CIO时代学院学员、全国高校大数据教育联盟成员、其它大数据领域专家和管理者等近两百人参加了这次论坛活动,此次活动的主题为:大数据时代的数据保护与利用。北达软数据治理专家、EXIN隐私与数据保护认证培训授权讲师、北京大学博士刘合翔在活动中发表了题为《基于GDPR的隐私与数据保护》的主题分享。以下为演讲实录:
北达软数据治理专家、EXIN隐私与数据保护认证培训授权讲师、北京大学博士 刘合翔
我相信今天会议的缘起与GDPR有莫大的关系。自今年五月份正式生效以来,无论是在国内还是国际上,对这部法规的反响都比较大。今天主要根据自己的理解,分享一些对于个人数据保护的基本认识,以及个人对GDPR要点的一点梳理。
一、大数据背景下的个人数据
在大数据的背景下,个人数据展现了新的发展问题,主要有两个方面:一方面,个人数据从过去的不可识别变成可识别。得益于于各种各样大数据采集技术,获取个人数据成本越来越低。在大家还缺乏数据保护意识的时候,这些数据就在不知不觉中被采集。另外一方面,原本不是很敏感的数据开始变得敏感,基于数据挖掘技术和交叉对比技术,当很多非敏感数据聚集时,一样能够把个人的基本情况“生动地”呈现出来,或许这并不是大家所期望的。
这两个方面的变化,让个人数据的保护也面对着新的压力。当下,个人数据保护主要面临的问题表现为以下几个方面:一是数据主体对数据的控制权是严重削弱的,数据主体并不了解自己的数据被他人的掌控程度。二是数据控制者数据垄断不断强化,对于数据控制者而言,数据垄断的情况越来越强化,很难与其对抗。三是数据集中导致的安全风险和数据监控风险增加。四是“知晓-同意”规则难以有效执行,杨部长提到知情同意原则时也承认其执行难度其实是很大的。五是责任主体多元导致责任追究难度加大,在个人数据生命周期中涉及到多方的主体,如何清晰的划分责任是我们要思考的问题。
对于我个人的经历而言,我过去从事的是人类的信息行为研究,过程中会接触很多个人的数据。除研究外,商业界也把个人数据用在了网络营销等业务中。我在从事相关工作时,会被不断地问到,这类数据的采集和分析是否合法合规。过去,我会回答全世界都在用这类技术“合法地”采集用户数据,包括国内政府、联合国、美国政府的机构和网站等。如今,面对新实施的GDPR法规,我们就需要针对性地回应其中涉及合规性的各种问题。
那本着名的《大数据时代》的作者维克托·舍恩伯格在其另一本着作《删除》中提到,大数据应用前景广阔的同时也要关注大数据带来的各方面问题,提出了包括可遗忘权等一系列的权利主张。这就让我想起亚当斯密在着有《国富论》的同时还写了《道德情操论》来与之进行价值理念的对冲。类似的,《删除》也是通过个人数据的保护来对冲个人数据利用的有关问题与风险。
二、数据治理与数据保护
当数据资产化时,便需要进行管理,数据保护是数据治理中很重要的部分。当然一般我们说的数据治理不仅包括个人数据的保护,也包括其他方面的数据保护。通过数据治理的框架我们将知道数据保护的会具体落实在哪些方面。
上图是德勤的数据保护治理框架,可以看出对于数据保护,它其实是一个组织化、机构化、多层面的工作,需要从各个层面做出相应的保证。
三、数据保护的国际比较
数据保护的美国模式
不同国家的数据保护模式是不同的。例如美国,他们更倾向于保护言论自由、促进商业活动,倾向自律自发而非政府过多介入,更多从宪法角度对其展开讨论。这就与欧盟的数据保护模式存在一定的冲突。
数据保护的欧盟模式
欧盟的基本模式是以政府为主导来实现个人数据资料的保护。在欧盟内,除了英国外,大多数国家属于大陆法系的国家,他强调的是要明文规定,把每条法则落实,他们非常重视具体法规的制定和遵守。GDPR的出台并不是偶然,已经有很长的历史。如今看来个人隐私权会变得越来越重要,而且会成为基本的人权,针对个人数据保护而出台的新保护措施,国内也需要有相应的应对。
国内的个人数据保护
在国内,在个人数据的保护方面也做过不少尝试和努力,出台了很多相关个人数据保护的条令法规。法规虽多,但它分散在了各个小的领域,且只有片段的规范保护的措施。目前,国内没有专业全方位的数据保护监管机构,各地区的监管条例不同,各自为政,监管协调性很难得到保证。中国保护个人数据的主要目的是维护市场秩序、维护国家安全,扩展和增强国家对个人数据相应的监管能力,与欧盟宣称的主要维护个人权益是有些不同的。
数据保护壁垒
最近贸易战打的很凶,未来不排除出现针对个人数据保护的贸易战。过去强调知识产权,未来可能隐私权的保护会成为新的贸易壁垒。我们需要制定相关法律与国际标准接轨,否则会让其他国家对中国的国际贸易设置贸易壁垒,对中国的经济产生难以估量的影响。相关行业内的企业若不能通过欧盟的个人保护认证或者安全测评,是不能进入欧洲市场的。
四、GDPR的边界与要点
GDPR现已生效,很多企业已应声而动,例如Google事前已发布相关影响的预警,苹果公司把保护隐私作为产品新的售卖点。Facebook出问题当时,扎克伯格也得去欧盟接受质询。对于中国,很多企业也做出了相应的行动,做出了相应的声明和调整,甚至临时撤销服务。例如小米和腾讯,他们就在第一时间发出了及时声明并采取了临时性措施。可以说,欧洲虽然没有信息巨头,但是他们有很强的法律。
其实我们日常中执行了很多欧盟标准,如欧III、WCDMA都是欧盟的标准,还包括出口到欧盟的食品、玩具等,都要受到欧盟的标准和法规限制。对于欧盟市场,任何一个有志的中国企业都是无法忽略的,所以必须要考虑如何严肃对待GDPR合规性的问题。
GDPR与GDP
我们都熟悉GDP,GDPR本身与GDP本身是没有关系的,但我们不妨可以做下关联类比。我们可以认为受保护的数据资产属于可计提资产,应属于GDP的一部分。而未受保护的数据资产则是属于表外资产,走的是地下钱庄。数据资产未来或许也会纳入到GDP统计和计量的范畴,但前提是要它已得到相应的保护。
GDPR制定的出发点
GDPR指定的出发点大概有以下几方面:一是在处理个人数据方面优先保护自然人,不论其国籍或居住地如何,都应尊重他们的基本权利和自由,特别是保护个人数据的权利。二是在保护个人自由的关切与在支持自由贸易的可能性之间找到平衡。三是很多用户仍然同意收集关于他们的信息以换取免费的服务。GDPR 无法改变这一点,但至少它会给我们提供一个纠正自己选择的机会。
GDPR的使用范围
GDPR之所以影响范围大,在于受它影响的主体不仅包括在欧盟创办的公司,只要与欧盟的公司、欧盟的用户有关系,都会受到其制约。例如加拿大的公司处理阿根廷公民的数据,此时阿根廷公民跑到欧洲国家访问要做一些涉及其个人数据的处理,也会受到GDPR的约束。还有一些冰岛、挪威等的国家也纳入该体系。包括欧盟的船舶在公海上航行、欧盟国家的领事馆等。
GDPR的例外
GDPR当然也有例外,一方面,涉及到公共利益、科学研究公共福祉领域时,GDPR会网开一面,但也要求相应的保障。另一方面是对小型企业,因为做数据保护是有相应成本的,对于小于250人企业,只要不涉及到一些特定的数据处理,也会免于相关的约束。
数据保护包括对数据跨国传输的考量。此时也有一个例外是美国,由于美国和欧洲的模式是不同的,在交易时,它们是通过制定特定的协议来解决问题。
GDPR不适用情况
首先要明确GDPR主要保护的是个人数据,非个人数据是不在其管制之内的。另外,纯粹自然人相关的个人信息处理活动也不适用该法规。
关于个人数据的认定
关于个人数据的认定,既包括直接数据,还包括间接数据,通过很多间接数据也可追踪到本人,这也是非敏感的数据逐渐变成敏感数据的原因。
GDPR涉及的主体
GDPR涉及的主体除了数据主体(特别强调了针对儿童的特别保护)外,还包括数据的控制者、处理者、相关的代理方、监管机构和其他的第三方。其中还特别强调了对于政府、公共机构、国际组织、宗教团体对应的约束要求。
GDPR涉及的权利
GDPR主要是强调数据主体的权利。数据主体可以随时获取被采集到的个人数据,可以反对对其个人数据的采集和撤销之前的同意、限制数据采集后的使用范围和方式、纠正错误的个人信息。而且数据可随时迁移,以方便转换到其他服务商上。这对于把数据作为竞争壁垒的公司而言是一个很大的挑战,真正执行时相信也会遇到很多的困难。除了这些权利外,数据主体还具有被遗忘权、擦除权,以及申诉和申请法律救济的权力。
GDPR涉及的原则
欧盟要求所有涉及到个人数据采集的服务商,需要先声明所采集的数据主体享有哪些权利,确认采集的目的是正当的和合理的。服务商只能在特定的目的范围内进行数据处理的工作。在采集必要数据时,服务商要随时证明在使用数据时的“清白”,保留过程文档,使其具备可问责性。服务商还需要说明数据采集的必要性,如果制定的目标可以不通过个人数据采集完成,那么个人采集则被禁止。
当然,它给企业留了“活口”,当采取相应数据保护时,其成本要与数据保护的范围与程度相适应,如果成本过高,也会留有相对权衡的余地。另外GDPR还要求在采集数据、处理数据的前应设定期限,期限过后数据是应当被擦除或禁止使用的,同时GDPR本身没有提及具体技术,在这些保障措施中技术是中立的。
GDPR工具、策略集
GDPR为相关主体,主要是针对数据控制者和处理者提供了一些工具和策略集,包括数据保护影响评估、数据保护审计、行为指南、认证、约束性公司条约以及针对数据跨境流动的“充分性决定”( Adequacy decision)。
违规的处罚
GDPR关于违规的处罚分两类:一类违规是当没有采取相应预防措施时,出现数据泄露的情况,对应的是1000万欧元和2%全球营业额的罚款,另一类类是当有意违规和造成特大影响时,处罚是2000万欧元和4%全球总营业额的处罚。
五、GDPR的价值与机会
可以打一个比喻,数据保护就像穿正装出门,而不是衣不遮体。虽然是一种约束,但文明的本质之一就是约束。当数据保护成为常态,做不好数据保护的公司就与穿睡衣上街一样扎眼。另一个比喻是,数据保护法规就像地铁线,没有地铁的城市发展是缓慢的,而有了地铁后城市才开始变得有条理、有效率、有保障、有安全感。
GDPR实施以来,除了需要警惕和防范外,它对我们是有益处的。未来数据保护会成为一项真正的业务,无论在公司内部还是外部,可以向公司提及把它作为降低公司在财务方面影响和损失的一个专项投资企划,另外,做一个合规的数据保护公司,对于公司的宣传是有利的,对打开欧盟的市场也有很大的帮助。
前面提到的在应对GDPR的相关策略中,包含了认证的手段,包括对于企业和个人的认证。未来将出现一类新的职位--数据保护官,数据保护官将形成一个群体,而针对这类职业现在也开始有相应的一些认证。我通过参加针对GDPR开发的隐私与数据保护的认证考试,发现这类认证考试,可帮助你迅速地掌握GDPR的一些核心精髓,将相关的知识内容更加体系化,让你可以了解在具体的企业运作当中,如何安排好的公司策略来保护个人数据,让公司的运转更加合规,同时也为你胜任这类工作提供一个强有力的证明。这或许也是为全社会范围内促进个人保护所能提供的一种有力的助推。
好,我今天的分享就到这里。谢谢大家!