对于GDPR的影响,Veeam中国区总经理施勤建议,企业首先应当任命数据保护专家,以为确保企业满足GDPR合规要求、提供数据备份和专业工具方面提供支持和建议。同时为了解自身所储存处理的数据,企业应当组织数据审计。
经过两年的过渡期后,欧盟《数据保护通用条例》(General Data Protection Regulation,简称GDPR)5月25日正式生效。
该条例被视为“史上最严”数据监管条例。一方面,它对于“合法”的定义极为严苛,还赋予了数据主体广泛的数据权利和自由。另一方面,它设定了天价罚款,对于违法行为,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。
从实施角度而言,GDPR覆盖范围也极广。不仅成立地在欧盟的机构必须遵循,甚至成立地非欧盟的机构,但只要提供产品或服务的过程中涉及欧盟境内个体数据,便必须遵循GDPR。
根据普华永道的调查数据显示,68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规要求,另有9%企业预计将花费超过1000万美元。Ovum公司调查结果则显示,52%的受访IT决策者预计会因为违规行为而面临罚款。
围绕GDPR将带来的影响,Veeam中国区总经理施勤建议,企业首先应当任命数据保护专家,以为确保企业满足GDPR合规要求、提供数据备份和专业工具方面提供支持和建议。同时为了解自身所储存处理的数据,企业应当组织数据审计。
施勤还指出,由于公民对个人数据享有更大权利,为了不在满足民众数据需求上花费过多精力,并且在必要时能够找到所需数据,企业需确保使用合理方法为每个数据点定位。而在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门,因此企业最好事先制定合理的方案。
数据的合规使用
GDPR要求个人数据处理必须要有合规的理由和方式,而对于“合规”的定义非常严苛。
首先,GDPR强调数据所有者的知情权,规定数据使用必须事先征得数据主体的同意,而且“同意”必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。如果数据使用范围扩大,无论是将数据提供给第三方或作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意;数据主体还可以随时撤回同意权利。
其中,GDPR强调了使用者在使用数据时,需表明其特定的使用目的,这也就意味着过度获取数据将受到控制。事实上,21世纪经济报道记者发现,当前大量企业尤其互联网企业提供服务的前提是用户“同意”个人数据的授权使用,而这些授权数据中许多是不合理的。
“一个P图工具为什么要用户授权使用通讯录等信息?”中国互联网协会研究中心秘书长胡钢向21世纪经济报道记者质疑道。在他看来,企业在要求用户授权使用数据的时候,应当遵循正当、必要、最小化原则,否则就是违法行为。
此外,GDPR强调数据主体的“被遗忘权”和“数据可携权”,前者是指用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给第三方使用,企业还有责任通知使用者予以删除。
“数据可携权”则表示数据主体有权将一个数据控制者的个人数据转移到另一个数据控制主体中。比如Facebook的用户可以将其账号中的照片以及其他资料转移到其他社交服务网络上。该权利不仅适用于社交网络服务,还包括云计算、手机应用等自动数据处理系统。
揭开算法“黑箱”
除了强调数据主体的“网络主权”之外,在数据处理方式上,GDPR也有规定,要求数据控制者说明如何收集处理个人数据,包括数据接受者类型、个人数据保留周期及采取该周期的理由等。
值得注意的是,GDPR要求,如涉及自动化数据处理(如数据画像等),数据控制者还需要提供基本的算法逻辑及针对个人的运算结果。这赋予了个人对人工智能和其他算法所做决定的“解释要求权”,也就意味着AI算法的“黑箱”需要在一定程度上透明化。
事实上,近年来随着人工智能在生活中的应用,与之伴生的数据安全问题日益突出。今年3月,Facebook被曝超过5000万用户信息在未经用户同意的情况下被滥用。
“人工智能需要教养。”埃森哲大中华区信息技术服务总裁陈笑冰向21世纪经济报道记者表示,“从技术层面而言,这涉及两块内容,一块是信息安全保密性,要防止信息泄露问题;另一块则是算法在合理程度上的透明。我们需要理解AI行为来源再去教育它,来保障信息没有被滥用。”
在这个过程中,考虑到企业的趋利性,外部环境需要有所制约。而对企业的制约性便是此次GDPR的亮点所在。
首先是适用范围方面,GDPR覆盖成立地在欧盟的机构及为欧盟境内个体提供服务和产品的机构。“GDPR数据保护的对象不仅是欧盟公民,甚至是欧盟居民,哪怕是在欧盟短期旅居的人士也将受到条例保护。”胡钢告诉21世纪经济报道记者。
另一大亮点则是处罚力度空前。“GDPR的相关规定及惩罚力度预示着,欧盟将个人信息的权利列为欧盟公民的基本人权,这个高度是空前的。”胡钢表示。
不过,在外部环境对企业制约的同时,用户个人信息保护意识也极为关键。“用户需要意识到个人信息的重要性,而非为了使用便利而‘被绑架’地将个人信息提供出去。”陈笑冰向记者强调,“技术、环境和用户形成三角组合,才能保证人工智能相关技术不被滥用,不会带来恶毒的后果。”