2019,数据保护执法元年之趋势展望
2019-02-18
作者:王波
来源:Commvault大中华区总经理
在欧盟《通用数据保护条例》(GDPR)正式生效后,2019年当之无愧成为数据保护的执法元年。今年1月,法国数据保护监管机构“国家信息与通信委员会”就依据GDPR向谷歌开出了5000万欧元(约合3.8亿元人民币)巨额罚单,理由是谷歌在向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可。这也是新欧洲隐私法生效以来开出的首张罚单。
引入GDPR后,企业在保护个人数据和隐私方面采取了一些措施。然而,最近由Commvault在伦敦举行的第一届数据保护世界论坛上进行的民意调查显示,还有更多工作要做。在此次活动中接受调查的IT和数据专家中有80%表示,他们对企业目前遵守GDPR等数据保护法规的程度并非信心满满,同时仍有37%的专家认为需要更多监管法规出台。这恰恰与不断变化的消费者观点不谋而合,数据隐私是一项个人人权,不能因为商业利益而牺牲。
以下是我对未来数据隐私保护的三大趋势预测。
消费者数据保护意识日渐觉醒
去年11月微博网友“花总丢了金箍棒”(简称“花总”)发布视频《杯子的秘密》,用11分钟偷拍画面揭露了14家存在卫生乱象的五星级酒店。上述视频共引发多家高端酒店公开致歉。但爆料人“花总”的个人信息多次遭到泄露,并遭遇“死亡威胁”。经过40多天的追踪,花总确定了泄露其个人信息的最上游,随后正式向深圳警方报案,同时委托律师对其个人信息泄露一事进行法律维权。
在个人信息保护维权路上奔走的花总并非个例。据香港特区个人资料隐私专委黃继儿统计,2018年全球有超过14亿人的数据遭遇外泄。隐私泄露几乎成了悬在每个人头上的“达摩克利斯之剑”,个人信息安全成为重要的社会议题,始终牵动着公众神经。只有越来越多的个人拿起法律武器保护自己的个人数据和隐私,才能唤起社会和监管机构对这一问题的更多关注,从而倒逼相关法律法规出台。目前中国立法机关已经把“个人信息保护法”和“数据安全法”列入国家五年立法规划的第一序列。这意味着,个人信息保护专门立法即将到来。
同时,对于企业而言,应不断提升自身透明度,与消费者就如何应用其个人数据达成一致,从而赢得消费者信任。
全球范围合规水平参差不齐
目前在28个欧盟国家中,已有21个国家将GDPR融入了国内法律,其余国家也纷纷于就GDPR的推行问题开展了公开讨论或提出修订草案,一些已经进入了立法程序。然而美国目前既没有专门的数据保护法律法规,也没有对应的职能部门对此进行监管。微软首席执行官纳德拉在参加2019年世界经济论坛期间表示,对数据保护立法的改革不应该停留在欧洲,美国和世界其他国家也应该效仿,在全球范围内达成共同标准。
在企业层面,有些跨国公司会尽最大努力遵守最严格的法律标准,从而使其在各个国家内的分支机构受益。有些公司会根据地域法规不同,在各个区域分别进行风险评估,并采取相应措施。还有些公司仍然只是口头应付,因为迄今为止,实施重大处罚的案件数量十分有限。虽然对谷歌征收的5000万欧元罚款可能会引起一些企业的关注,但大部分企业仍然处于事不关己的状态中。对于谷歌这样一家国际巨头而言,5000万欧元的罚款其实只是九牛一毛。正是因为它拥有巨大的社会影响力,才容易被视为标靶,以儆效尤。其他很多大型企业由于相对默默无闻,感觉自身仍然处于安全状态。
个人数据自动化处理的道德问题
在对来自可穿戴设备、移动设备和物联网的个人数据进行自动化处理时,特别是应用机器学习和AI技术分析时,对个人数据匿名,有时可以避免触及个人隐私问题。但就如何在匿名状态下使用和管理个人数据,我们仍然处于道德讨论的初期阶段。
首先,即使使用匿名数据,企业仍然可以从个人信息中获利。我们看到一些聪明的消费者开始关注他们的信息如何变现,并且展开行动。2018年研究表明,如果让Facebook用户在一年内停用其账号,用户希望获得的酬劳是超过1,000美元。考虑到个人数据给Facebook带来的价值,我们也乐于看到企业为使用个人数据而付费,当然是在个人同意的前提下。
其次,匿名数据存在道德困境。比如,医疗研究人员使用AI技术对可穿戴设备跟踪的心脏活动信息进行匿名分析。如果其中一位研究人员发现某项数据存在罹患疾病的风险,他是否有道德义务通知这项个人数据的拥有者?当然,如果数据都是匿名的,这显然不可能。《英国数据保护法》明确禁止对个人数据实名化,处罚非常严重,甚至涉及坐牢。随着深度学习和AI技术从通过各种复杂方式收集的数据中获得更多的洞察力,如何处理这类道德问题仍将是未来几年的争论焦点。
那么企业如何防患于未然呢?在前面提到的民意调查中,80%的专家同意,对个人数据使用和隐私保护加强法律监管,会对企业产生有利影响。加强数据保护,就必须提高数据管理水平。这意味着企业可以节省资金,并更有效的使用自身数据应对业务挑战,同时赢得客户信任。这对企业和消费者来说是双赢局面。只有当企业对个人数据保护长期有所为,我们才能看到数据隐私保护的光明未来。