對于GDPR的影響,Veeam中國區總經理施勤建議,企業首先應當任命數據保護專家,以為確保企業滿足GDPR合規要求、提供數據備份和專業工具方面提供支持和建議。同時為了解自身所儲存處理的數據,企業應當組織數據審計。
經過兩年的過渡期后,歐盟《數據保護通用條例》(General Data Protection Regulation,簡稱GDPR)5月25日正式生效。
該條例被視為“史上最嚴”數據監管條例。一方面,它對于“合法”的定義極為嚴苛,還賦予了數據主體廣泛的數據權利和自由。另一方面,它設定了天價罰款,對于違法行為,輕者處以1000萬歐元或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元或者企業上一年度全球營收的4%(兩者取其高)的罰款。
從實施角度而言,GDPR覆蓋范圍也極廣。不僅成立地在歐盟的機構必須遵循,甚至成立地非歐盟的機構,但只要提供產品或服務的過程中涉及歐盟境內個體數據,便必須遵循GDPR。
根據普華永道的調查數據顯示,68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規要求,另有9%企業預計將花費超過1000萬美元。Ovum公司調查結果則顯示,52%的受訪IT決策者預計會因為違規行為而面臨罰款。
圍繞GDPR將帶來的影響,Veeam中國區總經理施勤建議,企業首先應當任命數據保護專家,以為確保企業滿足GDPR合規要求、提供數據備份和專業工具方面提供支持和建議。同時為了解自身所儲存處理的數據,企業應當組織數據審計。
施勤還指出,由于公民對個人數據享有更大權利,為了不在滿足民眾數據需求上花費過多精力,并且在必要時能夠找到所需數據,企業需確保使用合理方法為每個數據點定位。而在數據泄露事件發生時,根據GDPR的數據泄露通知要求,企業必須在發現數據泄露的72小時內通知相關部門,因此企業最好事先制定合理的方案。
數據的合規使用
GDPR要求個人數據處理必須要有合規的理由和方式,而對于“合規”的定義非常嚴苛。
首先,GDPR強調數據所有者的知情權,規定數據使用必須事先征得數據主體的同意,而且“同意”必須是具體的、清晰的,是用戶在充分知情的前提下自由做出的。如果數據使用范圍擴大,無論是將數據提供給第三方或作為企業對外服務的一部分,都必須重新獲取數據主體的授權和同意;數據主體還可以隨時撤回同意權利。
其中,GDPR強調了使用者在使用數據時,需表明其特定的使用目的,這也就意味著過度獲取數據將受到控制。事實上,21世紀經濟報道記者發現,當前大量企業尤其互聯網企業提供服務的前提是用戶“同意”個人數據的授權使用,而這些授權數據中許多是不合理的。
“一個P圖工具為什么要用戶授權使用通訊錄等信息?”中國互聯網協會研究中心秘書長胡鋼向21世紀經濟報道記者質疑道。在他看來,企業在要求用戶授權使用數據的時候,應當遵循正當、必要、最小化原則,否則就是違法行為。
此外,GDPR強調數據主體的“被遺忘權”和“數據可攜權”,前者是指用戶提出數據刪除要求時,企業需要在數據庫內找到數據并刪除,如果數據已傳播或提供給第三方使用,企業還有責任通知使用者予以刪除。
“數據可攜權”則表示數據主體有權將一個數據控制者的個人數據轉移到另一個數據控制主體中。比如Facebook的用戶可以將其賬號中的照片以及其他資料轉移到其他社交服務網絡上。該權利不僅適用于社交網絡服務,還包括云計算、手機應用等自動數據處理系統。
揭開算法“黑箱”
除了強調數據主體的“網絡主權”之外,在數據處理方式上,GDPR也有規定,要求數據控制者說明如何收集處理個人數據,包括數據接受者類型、個人數據保留周期及采取該周期的理由等。
值得注意的是,GDPR要求,如涉及自動化數據處理(如數據畫像等),數據控制者還需要提供基本的算法邏輯及針對個人的運算結果。這賦予了個人對人工智能和其他算法所做決定的“解釋要求權”,也就意味著AI算法的“黑箱”需要在一定程度上透明化。
事實上,近年來隨著人工智能在生活中的應用,與之伴生的數據安全問題日益突出。今年3月,Facebook被曝超過5000萬用戶信息在未經用戶同意的情況下被濫用。
“人工智能需要教養。”埃森哲大中華區信息技術服務總裁陳笑冰向21世紀經濟報道記者表示,“從技術層面而言,這涉及兩塊內容,一塊是信息安全保密性,要防止信息泄露問題;另一塊則是算法在合理程度上的透明。我們需要理解AI行為來源再去教育它,來保障信息沒有被濫用。”
在這個過程中,考慮到企業的趨利性,外部環境需要有所制約。而對企業的制約性便是此次GDPR的亮點所在。
首先是適用范圍方面,GDPR覆蓋成立地在歐盟的機構及為歐盟境內個體提供服務和產品的機構。“GDPR數據保護的對象不僅是歐盟公民,甚至是歐盟居民,哪怕是在歐盟短期旅居的人士也將受到條例保護。”胡鋼告訴21世紀經濟報道記者。
另一大亮點則是處罰力度空前。“GDPR的相關規定及懲罰力度預示著,歐盟將個人信息的權利列為歐盟公民的基本人權,這個高度是空前的。”胡鋼表示。
不過,在外部環境對企業制約的同時,用戶個人信息保護意識也極為關鍵。“用戶需要意識到個人信息的重要性,而非為了使用便利而‘被綁架’地將個人信息提供出去。”陳笑冰向記者強調,“技術、環境和用戶形成三角組合,才能保證人工智能相關技術不被濫用,不會帶來惡毒的后果。”
