霍娜 楊光
歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)
正式生效兩個(gè)月后,
谷歌、臉書、微軟和推特宣布合作,
推出一個(gè)開源的數(shù)據(jù)傳輸項(xiàng)目,
革新數(shù)據(jù)流通方式,分散風(fēng)險(xiǎn)。
GDPR到底是懸在企業(yè)頭頂?shù)囊话牙麆Γ?/p>
還是實(shí)際效用將有限?
是該CIO還是誰來負(fù)責(zé)GDPR?
它又能給我國(guó)數(shù)據(jù)監(jiān)管怎樣的啟示?
讓我們一一梳理數(shù)據(jù)安全治理的來龍去脈。
為了解決因歐盟內(nèi)地域差異而導(dǎo)致的數(shù)據(jù)運(yùn)營(yíng)企業(yè)和個(gè)人的權(quán)利、義務(wù)界定不同和如何處理數(shù)據(jù)泄露帶來的隱私侵權(quán)等兩個(gè)問題,2018年5月25日,歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效,帶來了深遠(yuǎn)影響:
一是延伸了傳統(tǒng)意義上的監(jiān)管范圍,體現(xiàn)了強(qiáng)烈的國(guó)家利益色彩。二是IT 企業(yè)在經(jīng)營(yíng)跨國(guó)業(yè)務(wù)時(shí)或?qū)⒚媾R新的壁壘,造成企業(yè)合規(guī)成本的大幅提高。三是對(duì)數(shù)據(jù)跨境糾紛處理預(yù)留了一定的緩沖空間,對(duì)于新形勢(shì)下的數(shù)據(jù)監(jiān)管國(guó)際標(biāo)準(zhǔn)的爭(zhēng)奪埋下了伏筆。
數(shù)據(jù)安全是越來越受關(guān)注了。
7月20日,谷歌、臉書、微軟和推特宣布合作一個(gè)開源的數(shù)據(jù)傳輸項(xiàng)目(Data Transfer Project)——無需下載再重新上傳的跨平臺(tái)數(shù)據(jù)傳輸工具,旨在革新數(shù)據(jù)在不同平臺(tái)間的流通方式。項(xiàng)目白皮書寫道:數(shù)據(jù)的轉(zhuǎn)移在未來將需要更全面,更靈活和更開放。我們對(duì)這個(gè)項(xiàng)目的希望是,它將在多個(gè)公共服務(wù)公司之間建立連接,改善數(shù)據(jù)導(dǎo)入和導(dǎo)出?!?/p>
有人解讀,這對(duì)數(shù)據(jù)共享項(xiàng)目是一個(gè)微妙的時(shí)間點(diǎn)。Facebook 的 API 還沒擺脫劍橋分析丑聞的影響,業(yè)界仍然在探索用戶數(shù)據(jù)所有權(quán)的問題。谷歌一直在努力應(yīng)對(duì)自己的 API 丑聞,第三方電子郵件應(yīng)用程序?qū)?Gmail 用戶數(shù)據(jù)處理不當(dāng)引發(fā)了強(qiáng)烈抗議。在某些方面,這個(gè)項(xiàng)目對(duì)于四家公司而言將是一種管理風(fēng)險(xiǎn)的方法,可以把責(zé)任分散出去。
眾所周知,2018年5月25日,歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效。GDPR 法規(guī)要求產(chǎn)品披露所有用戶信息,這意味著法規(guī)的要求非常全面,除了電子郵件或照片,位置歷史記錄和面部識(shí)別配置文件數(shù)據(jù)也被包含其中。
對(duì)于技術(shù)公司而言,API 的優(yōu)點(diǎn)是,作為數(shù)據(jù)提供者它們能夠關(guān)閉渠道或?qū)θ绾问褂盟┘邮褂脳l件,而如果使用數(shù)據(jù)下載工具,數(shù)據(jù)離開之后,它們就無法再做任何有效的控制和保護(hù)了。面對(duì)愈演愈烈的壟斷質(zhì)疑,尤其是數(shù)據(jù)訪問的質(zhì)疑,對(duì)像臉書這樣的大型科技公司而言,共享數(shù)據(jù)將成為他們痛感最小的應(yīng)對(duì)方式。
北京理工大學(xué)軟件學(xué)院副教授閆懷志認(rèn)為,從管轄地域范圍來看,GDPR的管轄范圍既包括在歐盟境內(nèi)有實(shí)體的組織,也包括在歐盟境內(nèi)提供商品或服務(wù),或者監(jiān)控在歐盟內(nèi)歐盟居民行為的組織,而無論該組織是否在歐盟成員國(guó)內(nèi)有無實(shí)體或在成員國(guó)內(nèi)處理信息。也就是說,只要任何涉及歐盟境內(nèi)個(gè)體的個(gè)人數(shù)據(jù)的處理行為,無論誰來處理無論在哪兒處理,只要涉及歐盟境內(nèi)人員或成員國(guó)公民,均需遵循該條例,而且適用范圍也由屬地?cái)U(kuò)展到個(gè)人?!半m然GDPR表面上強(qiáng)調(diào)的是保護(hù)自然人的個(gè)人信息權(quán)利,但是個(gè)人信息權(quán)利是同政治、經(jīng)濟(jì)、文化、意識(shí)形態(tài)等都是息息相關(guān)的,必要時(shí)歐盟成員國(guó)可能會(huì)利用這個(gè)工具來為其國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)競(jìng)爭(zhēng)服務(wù)?!?/p>
其實(shí),數(shù)據(jù)安全的鼓不只國(guó)外在敲,我國(guó)也一樣。近日,我國(guó)首次開展大數(shù)據(jù)安全整治工作,包括大數(shù)據(jù)的采集、存儲(chǔ)、應(yīng)用、傳輸、銷毀等全生命周期的監(jiān)管、安全以及保護(hù),并重點(diǎn)針對(duì)大數(shù)據(jù)平臺(tái)、電子郵件系統(tǒng)以及個(gè)人信息泄露等問題。
公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示,大數(shù)據(jù)安全整治是我國(guó)近期正在開展的全國(guó)網(wǎng)絡(luò)安全執(zhí)法大檢查行動(dòng)中的重要內(nèi)容,這也是首次將大數(shù)據(jù)安全納入檢查對(duì)象,尤其是針對(duì)公民個(gè)人信息的保護(hù)將是執(zhí)法的重中之重。此次大數(shù)據(jù)安全整治將全面對(duì)我國(guó)大數(shù)據(jù)信息內(nèi)容、存儲(chǔ)位置、所涉企業(yè)進(jìn)行摸底。同時(shí),對(duì)企業(yè)采集信息來源開展執(zhí)法檢查,對(duì)數(shù)據(jù)采集的合法性、應(yīng)用的范圍限制等進(jìn)行確定。其中,對(duì)合法采集內(nèi)容與非法采集內(nèi)容進(jìn)行分類也是重點(diǎn)工作之一。
數(shù)據(jù)分量日重,安全需求迫切,有效治理勢(shì)在必行。那就讓我們以GDPR為契機(jī),梳理一下數(shù)據(jù)安全治理的來龍去脈。