歐盟《通用數(shù)據(jù)保護條例》（GDPR）正式生效兩個月后，谷歌、臉書、微軟和推特宣布合作，推出一個開源的數(shù)據(jù)傳輸項目，革新數(shù)據(jù)流通方式，分散風險。GDPR到底是懸在企業(yè)頭頂?shù)囊话牙麆?，還是實際效用將有限？是該CIO還是誰來負責GDPR？它又能給我國數(shù)據(jù)監(jiān)管怎樣的啟示？讓我們一一梳理數(shù)據(jù)安全治理的來龍去脈。

　　數(shù)據(jù)安全是越來越受關(guān)注了。

　　7月20日，谷歌、臉書、微軟和推特宣布合作一個開源的數(shù)據(jù)傳輸項目（Data Transfer Project）——無需下載再重新上傳的跨平臺數(shù)據(jù)傳輸工具，旨在革新數(shù)據(jù)在不同平臺間的流通方式。項目白皮書寫道：數(shù)據(jù)的轉(zhuǎn)移在未來將需要更全面，更靈活和更開放。我們對這個項目的希望是，它將在多個公共服務(wù)公司之間建立連接，改善數(shù)據(jù)導入和導出。”

　　有人解讀，這對數(shù)據(jù)共享項目是一個微妙的時間點。Facebook的API還沒擺脫劍橋分析丑聞的影響，業(yè)界仍然在探索用戶數(shù)據(jù)所有權(quán)的問題。谷歌一直在努力應(yīng)對自己的API丑聞，第三方電子郵件應(yīng)用程序?qū)mail用戶數(shù)據(jù)處理不當引發(fā)了強烈抗議。在某些方面，這個項目對于四家公司而言將是一種管理風險的方法，可以把責任分散出去。

　　眾所周知，2018年5月25日，歐盟的《通用數(shù)據(jù)保護條例》（GDPR）正式生效。GDPR法規(guī)要求產(chǎn)品披露所有用戶信息，這意味著法規(guī)的要求非常全面，除了電子郵件或照片，位置歷史記錄和面部識別配置文件數(shù)據(jù)也被包含其中。

　　對于技術(shù)公司而言，API的優(yōu)點是，作為數(shù)據(jù)提供者它們能夠關(guān)閉渠道或?qū)θ绾问褂盟┘邮褂脳l件，而如果使用數(shù)據(jù)下載工具，數(shù)據(jù)離開之后，它們就無法再做任何有效的控制和保護了。面對愈演愈烈的壟斷質(zhì)疑，尤其是數(shù)據(jù)訪問的質(zhì)疑，對像臉書這樣的大型科技公司而言，共享數(shù)據(jù)將成為他們痛感最小的應(yīng)對方式。

　　北京理工大學軟件學院副教授閆懷志認為，從管轄地域范圍來看，GDPR的管轄范圍既包括在歐盟境內(nèi)有實體的組織，也包括在歐盟境內(nèi)提供商品或服務(wù)，或者監(jiān)控在歐盟內(nèi)歐盟居民行為的組織，而無論該組織是否在歐盟成員國內(nèi)有無實體或在成員國內(nèi)處理信息。也就是說，只要任何涉及歐盟境內(nèi)個體的個人數(shù)據(jù)的處理行為，無論誰來處理無論在哪兒處理，只要涉及歐盟境內(nèi)人員或成員國公民，均需遵循該條例，而且適用范圍也由屬地擴展到個人。“雖然GDPR表面上強調(diào)的是保護自然人的個人信息權(quán)利，但是個人信息權(quán)利是同政治、經(jīng)濟、文化、意識形態(tài)等都是息息相關(guān)的，必要時歐盟成員國可能會利用這個工具來為其國家安全、社會穩(wěn)定、經(jīng)濟競爭服務(wù)。”

　　其實，數(shù)據(jù)安全的鼓不只國外在敲，我國也一樣。近日，我國首次開展大數(shù)據(jù)安全整治工作，包括大數(shù)據(jù)的采集、存儲、應(yīng)用、傳輸、銷毀等全生命周期的監(jiān)管、安全以及保護，并重點針對大數(shù)據(jù)平臺、電子郵件系統(tǒng)以及個人信息泄露等問題。

　　公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示，大數(shù)據(jù)安全整治是我國近期正在開展的全國網(wǎng)絡(luò)安全執(zhí)法大檢查行動中的重要內(nèi)容，這也是首次將大數(shù)據(jù)安全納入檢查對象，尤其是針對公民個人信息的保護將是執(zhí)法的重中之重。此次大數(shù)據(jù)安全整治將全面對我國大數(shù)據(jù)信息內(nèi)容、存儲位置、所涉企業(yè)進行摸底。同時，對企業(yè)采集信息來源開展執(zhí)法檢查，對數(shù)據(jù)采集的合法性、應(yīng)用的范圍限制等進行確定。其中，對合法采集內(nèi)容與非法采集內(nèi)容進行分類也是重點工作之一。

　　數(shù)據(jù)分量日重，安全需求迫切，有效治理勢在必行。那就讓我們以GDPR為契機，梳理一下數(shù)據(jù)安全治理的來龍去脈。

　　GDPR來了 你怎么看

　　歐盟《通用數(shù)據(jù)保護條例》(GDPR)已正式生效兩個月，其涉及面廣、影響深遠，引發(fā)了各方的深入研究和激烈討論。

　　懸在企業(yè)頭頂?shù)囊话牙麆?/p>

　　GDPR的官方網(wǎng)站顯示，GDPR開始實施后，數(shù)據(jù)泄露將不再是企業(yè)聲譽受損或營業(yè)額下降這么簡單，違反GDPR，輕者將被處以1000萬歐元或者上一年度全球營收2%的罰款，兩者取其高；重者將被處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入4%的罰款，兩者取其高。決定罰金有十大標準，包括侵權(quán)的性質(zhì)、意圖、緩解措施、預(yù)防性措施、歷史、合作、數(shù)據(jù)類型、通知、認證及其他。

　　Sophos的調(diào)查數(shù)據(jù)顯示，超過25%的企業(yè)聲稱，如此重罰會讓他們徹底倒閉（如果企業(yè)規(guī)模不足50人，將有超過一半的企業(yè)受罰后會關(guān)閉）；40%的IT決策者表示，如果遭罰，裁員將不可避免。

　　一些西方人士指出，歐盟制定GDPR的初衷是限制谷歌、臉書、優(yōu)步這些大企業(yè)，但是，結(jié)果可能是大量中小企業(yè)“躺槍”。因為大企業(yè)憑借其雄厚的資金和技術(shù)實力可以最終克服一時的困難，而對于廣大中小企業(yè)來說，它們面臨的則是生存危機。

　　中央財經(jīng)大學法學院教授吳韜認為，GDPR無疑將極大增加所有相關(guān)企業(yè)的合規(guī)成本，但是對中小企業(yè)尤甚。由于中小企業(yè)在技術(shù)、法律能力等方面的局限，它們在GDPR面前更為脆弱。無論是違法成本（高額罰款）還是為了避免違法付出的合規(guī)成本，相對于有限的盈利而言，都是不成比例的。

　　GDPR可謂懸在企業(yè)頭頂上的一把利劍。

　　實際效用有限？

　　南京信息工程大學法政學院副教授蔣潔認為，GDPR的實際效用頗為有限，甚至可以推測在很長一段時間內(nèi)不能發(fā)揮出預(yù)想中保障用戶數(shù)據(jù)權(quán)益、歐盟數(shù)據(jù)主權(quán)和提振本土數(shù)字經(jīng)濟的作用。首先，GDPR對跨境互聯(lián)網(wǎng)巨頭企業(yè)的規(guī)制作用較為有限。最初設(shè)想中，這部“史上最嚴的隱私數(shù)據(jù)保護條例”將通過用戶“明確同意”、“被遺忘權(quán)利”、“數(shù)據(jù)使用知情權(quán)”等條款強有力地規(guī)制美國谷歌、臉書公司等在歐洲地區(qū)的數(shù)據(jù)收集、存儲和使用。然而，目前不少企業(yè)更新的隱私條款采用隱性的“同意或退出”的強迫選擇方式要求用戶廣泛、明確地進行授權(quán)。同時，當前國際互聯(lián)網(wǎng)巨頭企業(yè)的數(shù)據(jù)安全防護與數(shù)據(jù)去真處理的技術(shù)和程序普遍較為完善。此前在數(shù)據(jù)收集和使用上暴露出的問題常常是因為“忘記”寫入隱私條款，而不是用戶特別重視數(shù)據(jù)隱私。GDPR不過是促使這些企業(yè)通過冗長的隱私政策將可能違反GDPR規(guī)定的內(nèi)容事無巨細地逐項寫入，進而分門別類地、輕而易舉地取得用戶的“明確同意”，順理成章地履行了合規(guī)義務(wù)。

　　GDPR落地實施的過程中，亟待對隱私政策條款“清晰而平實”的表達方式進行細化規(guī)定；對“同意或退出”的隱性強制進行廣泛梳理；對企業(yè)在使用用戶數(shù)據(jù)中保持公平、公正、公開的連貫性做法進行全面的技術(shù)規(guī)范（尤其是避免各種潛在歧視）。這些也是目前推測的GDPR解釋條款的進一步發(fā)展方向。

　　是CIO還是誰來負責GDPR

　　Veritas公司大中華區(qū)總裁楊晨告訴記者，很多企業(yè)并不十分了解企業(yè)內(nèi)部數(shù)據(jù)的管理權(quán)歸屬。企業(yè)高管常常認為CIO是負責GDPR的關(guān)鍵人物，而CIO又認為這是高管的職責。公平地說，這需要多個職能部門的配合。企業(yè)需要在創(chuàng)建合規(guī)和數(shù)據(jù)治理文化時，徹底改變思維模式。確保GDPR合規(guī)性不只是CIO一個人的職責，而是需要所有部門的共同努力。

　　北京理工大學軟件學院副教授閆懷志指出，GDPR是與當前網(wǎng)絡(luò)空間現(xiàn)狀最為契合的數(shù)據(jù)保護條例，必將對包括我國在內(nèi)的全球各國的數(shù)據(jù)保護、數(shù)據(jù)安全管理以及互聯(lián)網(wǎng)治理提供重要的借鑒藍本。他做了如下闡釋：“第一，GDPR要求設(shè)立企業(yè)和機構(gòu)設(shè)立專門的數(shù)據(jù)保護官員（Data Protection Officer）來負責數(shù)據(jù)管理，我國也可以適當考慮要求企業(yè)和機構(gòu)設(shè)立類似職位或設(shè)定類似職能。第二，GDPR不僅倒逼中國企業(yè)更加重視個人數(shù)據(jù)安全和隱私保護，而且也為中國保護個人數(shù)據(jù)安全提供了一種思路：中國也可以制定類似條例來維護我國公民的數(shù)據(jù)安全，防止國內(nèi)外機構(gòu)非法濫用。第三，中國很多企業(yè)機構(gòu)的業(yè)務(wù)流程、現(xiàn)用的大量系統(tǒng)（Web系統(tǒng)或手機App），均不同程度地不符合GDPR規(guī)定，因此，這也為相關(guān)產(chǎn)業(yè)的發(fā)展帶來了新的機遇。比如，遵照GDPR規(guī)定，開發(fā)適用于企業(yè)業(yè)務(wù)流程與所用信息系統(tǒng)的GDPR合規(guī)檢測或改造工具，可能會是一個較大的市場藍?？臻g。”

　　從GDPR看我國數(shù)據(jù)監(jiān)管新路徑

　　2018年3月，美國國會通過了CLOUD法案，歐洲議會近期也宣布將實施歐盟通用的《通用數(shù)據(jù)保護條例》（即GDPR法案）。CLOUD法案與GDPR法案，都明確了數(shù)據(jù)保護法規(guī)的適用范圍和對象，并就數(shù)據(jù)主權(quán)和數(shù)據(jù)管轄權(quán)作出了清晰界定。

　　美國CLOUD法案主要是為了解決兩個場景：一是美國執(zhí)法部門所需的數(shù)據(jù)恰好存儲在美國境外；二是外國執(zhí)法機構(gòu)需要訪問存儲在美國的數(shù)據(jù)。

　　歐盟GDPR法案是為了解決兩個問題：一是因歐盟內(nèi)地域差異而導致的數(shù)據(jù)運營企業(yè)和個人的權(quán)利、義務(wù)界定不同；二是如何處理數(shù)據(jù)泄露帶來的隱私侵權(quán)問題。

　　歐盟GDPR法案帶來了深遠影響。一是延伸了傳統(tǒng)意義上的監(jiān)管范圍，體現(xiàn)了強烈的國家利益色彩。將數(shù)據(jù)監(jiān)管的適用范圍從境內(nèi)擴大到了境外，很大程度上維護了國家的數(shù)據(jù)主權(quán)與信息安全。二是IT企業(yè)在經(jīng)營跨國業(yè)務(wù)時或?qū)⒚媾R新的壁壘，在美國或歐盟建設(shè)和運營數(shù)據(jù)中心時會出現(xiàn)一系列新的障礙，造成企業(yè)合規(guī)成本的大幅提高。三是兩個法案均對數(shù)據(jù)跨境糾紛處理預(yù)留了一定的緩沖空間，對于新形勢下的數(shù)據(jù)監(jiān)管國際標準的爭奪埋下了伏筆。

　　法案對我國數(shù)據(jù)安全保護和監(jiān)管帶來很大啟示：

　　數(shù)據(jù)管轄權(quán)應(yīng)納入國家安全的核心范疇。無論是美國CLOUD法案還是歐盟GDPR法案，都明確了數(shù)據(jù)管轄權(quán)的范圍，這體現(xiàn)了美國和歐盟對數(shù)據(jù)管轄權(quán)的高度重視。當前，數(shù)據(jù)安全已愈發(fā)成為國家安全戰(zhàn)略的重要組成部分，維護國家對數(shù)據(jù)監(jiān)管的合理性與合法性，是保障國家安全不可或缺的關(guān)鍵戰(zhàn)略之一。我國現(xiàn)行的《網(wǎng)絡(luò)安全法》十分清晰地界定了企業(yè)、監(jiān)管部門、責任人等方面的權(quán)利與義務(wù)，但對于數(shù)據(jù)管轄權(quán)尚無清晰明確的表述。出于填補上述法理性空白、維護國家戰(zhàn)略安全的考慮，及時出臺明晰的數(shù)據(jù)監(jiān)管法律條例是防止國家利益受損的必要措施。

　　數(shù)據(jù)監(jiān)管法的制定應(yīng)基于國際視野。在全球數(shù)字經(jīng)濟發(fā)展大潮下，數(shù)據(jù)的跨境流動、交易、管轄等方面是數(shù)據(jù)監(jiān)管的主要聚焦點。我國目前尚未出臺針對國際跨境數(shù)據(jù)隱私安全糾紛的處理辦法，操作細則以及處罰措施。海外數(shù)據(jù)運營商在我國運營應(yīng)適用哪些法律和管理條例，我國數(shù)據(jù)運營商在海外應(yīng)如何調(diào)整企業(yè)自身法務(wù)戰(zhàn)略，都是全球合作和競爭必須考慮的問題?？梢灶A(yù)見，未來涉及跨境數(shù)據(jù)監(jiān)管與國際執(zhí)法糾紛將層出不窮，國際監(jiān)管標準的制定有望成為解決國際數(shù)據(jù)糾紛的重要手段。

　　數(shù)據(jù)監(jiān)管法的執(zhí)行應(yīng)考慮平衡掣肘。一方面，數(shù)據(jù)監(jiān)管的執(zhí)法尺度需要從商業(yè)市場的實際角度出發(fā)，做到謹慎拿捏。GDPR法案中對企業(yè)和個人用戶的數(shù)據(jù)權(quán)利進行了明確劃分，這種設(shè)計思想包含了對國家監(jiān)管權(quán)利、企業(yè)正當利益、個人隱私保護等多方的平衡考慮，符合市場長遠發(fā)展的需求。

　　另一方面，美國和歐盟的法案都預(yù)留了執(zhí)法的變通機制。目前，我國《網(wǎng)絡(luò)安全法》和《個人信息安全規(guī)范》等有關(guān)法律條例已經(jīng)對網(wǎng)絡(luò)運營商和個人敏感信息的保護辦法做出詳細的規(guī)定，但是對于例外情況、特定事件和場景的商榷余地有待完善，后續(xù)在制定、執(zhí)行有關(guān)數(shù)據(jù)法律時應(yīng)充分彌補在這一點上的空缺。

　?。ㄙ惖涎芯吭?鐘新龍 黃文鴻）

　　厘清歐盟GDPR六大認識誤區(qū)

　　誤區(qū)1 會限制經(jīng)濟社會發(fā)展

　　《條例》要求，不能以保護個人數(shù)據(jù)為由，對歐盟內(nèi)部個人數(shù)據(jù)的自由流動進行限制或禁止?！稐l例》認為，數(shù)據(jù)主體享有的權(quán)利并不是絕對的，有關(guān)數(shù)據(jù)權(quán)利應(yīng)當與其他權(quán)利及正當利益之間形成恰當?shù)钠胶怅P(guān)系，以更好地促進經(jīng)濟社會發(fā)展，比如公共利益、科學研究、社會統(tǒng)計、言論自由、新聞傳播、個人其他權(quán)益等需要。

　　為此，《條例》應(yīng)兼顧平衡，對個人數(shù)據(jù)保護權(quán)利作出適當限制，對義務(wù)、責任予以適當豁免。例如，數(shù)據(jù)訪問權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等條款，均要在有限定條件下實行，規(guī)模在250人以下的中小企業(yè)可以豁免其數(shù)據(jù)活動文檔化記錄義務(wù)，引入多種變通機制來調(diào)和不同權(quán)利，在原則性禁止條款中設(shè)置用戶同意例外。

　　誤區(qū)2 個人信息使用必須征得個人同意

　　《條例》未將用戶同意作為數(shù)據(jù)收集和使用的唯一合法理由?？紤]到數(shù)據(jù)處理的多種可能場景以及其他正當利益需求，除了數(shù)據(jù)主體同意之外，《條例》還規(guī)定了五類個人數(shù)據(jù)處理情形，可以默認為“同意”的替代機制，包括：數(shù)據(jù)控制者為了公共利益或履行法律職責的需要，為了履行數(shù)據(jù)主體所參與的合同，為了保護數(shù)據(jù)主體或其他自然人的核心利益，保護數(shù)據(jù)控制者或第三方所追求的正當利益等五種情況。

　　誤區(qū)3 個人隨時可以主張刪除數(shù)據(jù)

　　《條例》提出的“被遺忘權(quán)”，是指當用戶依法撤回同意或控制者不再享有合法理由繼續(xù)處理數(shù)據(jù)等情形時，用戶有權(quán)要求刪除數(shù)據(jù)，該權(quán)利是傳統(tǒng)個人數(shù)據(jù)保護法中“刪除權(quán)”的升級?！稐l例》要求數(shù)據(jù)控制者采取所有合理方式予以刪除，并通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者，刪除關(guān)于數(shù)據(jù)主體所主張的個人數(shù)據(jù)鏈接等。但在開放的網(wǎng)絡(luò)空間，要控制者去確定并通知所有第三方刪除，操作難度非常大，幾乎難以完成。此外，《條例》規(guī)定了不適用“被遺忘權(quán)”例外情形，包括基于表達自由、信息自由、公共利益、履行法律職責、歷史記錄、社會統(tǒng)計、科學研究、合法權(quán)利等多種情形。

　　誤區(qū)4 數(shù)據(jù)可攜權(quán)無條件限制

　　《條例》明確了個人有權(quán)獲得其提供給數(shù)據(jù)控制者的相關(guān)個

　　人數(shù)據(jù)、且獲得的個人數(shù)據(jù)應(yīng)當是結(jié)構(gòu)化的、普遍可使用的和機器可讀的。同時，《條例》也明確了“可攜權(quán)”適用的兩個限定條件：在“用戶同意”基礎(chǔ)上的數(shù)據(jù)處理活動和處理通過自動化方式完成?！稐l例》同時要求可攜帶不能對他人的權(quán)利或自由產(chǎn)生負面影響，對于涉及到其他第三方個人數(shù)據(jù)的數(shù)據(jù)轉(zhuǎn)移，只能將此類數(shù)據(jù)用于個人和家庭事務(wù)目的?！稐l例》同時認為，如果技術(shù)可行，數(shù)據(jù)主體應(yīng)當有權(quán)將個人數(shù)據(jù)直接從一個控制者傳輸給另一個控制者，考慮到技術(shù)可行性，《條例》并沒有將可攜權(quán)上升到推廣強制性的互兼容和互操作技術(shù)標準的程度。

　　誤區(qū)5 數(shù)據(jù)跨境傳輸比以前更為嚴格

　　《條例》對跨境數(shù)據(jù)流動政策進行了大幅度改革，開辟了更多的合法數(shù)據(jù)跨境方式，提升跨境流動的靈活度。針對事前許可制度卻帶來官僚主義問題，《條例》簡化了數(shù)據(jù)跨境傳輸機制，取消許可管理做法，只要符合了《條例》中跨境數(shù)據(jù)流動的相關(guān)條件，成員國則不得再通過許可方式予以限制。增加了充分性認定的對象類型，除了國家之外，還可針對一國的特定地區(qū)、行業(yè)領(lǐng)域，以及國際組織的保護水平作出評估判斷。擴展“標準合同條款”，為企業(yè)提供更多符合實際需求的跨境轉(zhuǎn)移合同文本選擇。將“有約束力的公司規(guī)則”正式確定為法定有效的數(shù)據(jù)跨境機制，使得個人數(shù)據(jù)可以從集團內(nèi)的一個成員合法傳輸給另一個成員。

　　誤區(qū)6 數(shù)據(jù)控制者權(quán)益被極大剝奪

　　《條例》將數(shù)據(jù)控制者的正當利益與用戶同意并列作為數(shù)據(jù)處理的合法理由，表明了個人的權(quán)利并不總是優(yōu)先，而是需要在用戶個人權(quán)利與數(shù)據(jù)控制者的合法利益之間做出平衡。比如，在下列情況下，數(shù)據(jù)控制者的權(quán)利將得到法律保護：基于交易歷史的直接推廣、以預(yù)防欺詐為目的的數(shù)據(jù)處理活動、出于保障網(wǎng)絡(luò)信息安全目的處理個人信息、在集團或者系統(tǒng)內(nèi)部出于行政管理需要的數(shù)據(jù)披露、向主管部門報告犯罪或者公共安全重大威脅。（賽迪研究院 陸峰）

　　本報記者 霍娜 楊光

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……