對于GDPR的影響�,Veeam中國區(qū)總經理施勤建議,企業(yè)首先應當任命數(shù)據(jù)保護專家,以為確保企業(yè)滿足GDPR合規(guī)要求����、提供數(shù)據(jù)備份和專業(yè)工具方面提供支持和建議�����。同時為了解自身所儲存處理的數(shù)據(jù)��,企業(yè)應當組織數(shù)據(jù)審計��。
經過兩年的過渡期后����,歐盟《數(shù)據(jù)保護通用條例》(General Data Protection Regulation�,簡稱GDPR)5月25日正式生效。
該條例被視為“史上最嚴”數(shù)據(jù)監(jiān)管條例��。一方面��,它對于“合法”的定義極為嚴苛�,還賦予了數(shù)據(jù)主體廣泛的數(shù)據(jù)權利和自由。另一方面���,它設定了天價罰款���,對于違法行為�,輕者處以1000萬歐元或者上一年度全球營收的2%(兩者取其高)的罰款���;重者處以2000萬歐元或者企業(yè)上一年度全球營收的4%(兩者取其高)的罰款��。
從實施角度而言���,GDPR覆蓋范圍也極廣。不僅成立地在歐盟的機構必須遵循�����,甚至成立地非歐盟的機構���,但只要提供產品或服務的過程中涉及歐盟境內個體數(shù)據(jù)���,便必須遵循GDPR����。
根據(jù)普華永道的調查數(shù)據(jù)顯示,68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規(guī)要求����,另有9%企業(yè)預計將花費超過1000萬美元�。Ovum公司調查結果則顯示��,52%的受訪IT決策者預計會因為違規(guī)行為而面臨罰款���。
圍繞GDPR將帶來的影響�,Veeam中國區(qū)總經理施勤建議�����,企業(yè)首先應當任命數(shù)據(jù)保護專家��,以為確保企業(yè)滿足GDPR合規(guī)要求���、提供數(shù)據(jù)備份和專業(yè)工具方面提供支持和建議����。同時為了解自身所儲存處理的數(shù)據(jù)���,企業(yè)應當組織數(shù)據(jù)審計��。
施勤還指出���,由于公民對個人數(shù)據(jù)享有更大權利�,為了不在滿足民眾數(shù)據(jù)需求上花費過多精力�����,并且在必要時能夠找到所需數(shù)據(jù)���,企業(yè)需確保使用合理方法為每個數(shù)據(jù)點定位�����。而在數(shù)據(jù)泄露事件發(fā)生時���,根據(jù)GDPR的數(shù)據(jù)泄露通知要求,企業(yè)必須在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時內通知相關部門�����,因此企業(yè)最好事先制定合理的方案����。
數(shù)據(jù)的合規(guī)使用
GDPR要求個人數(shù)據(jù)處理必須要有合規(guī)的理由和方式,而對于“合規(guī)”的定義非常嚴苛�����。
首先�,GDPR強調數(shù)據(jù)所有者的知情權,規(guī)定數(shù)據(jù)使用必須事先征得數(shù)據(jù)主體的同意���,而且“同意”必須是具體的���、清晰的,是用戶在充分知情的前提下自由做出的�。如果數(shù)據(jù)使用范圍擴大,無論是將數(shù)據(jù)提供給第三方或作為企業(yè)對外服務的一部分���,都必須重新獲取數(shù)據(jù)主體的授權和同意�;數(shù)據(jù)主體還可以隨時撤回同意權利�。
其中,GDPR強調了使用者在使用數(shù)據(jù)時��,需表明其特定的使用目的��,這也就意味著過度獲取數(shù)據(jù)將受到控制��。事實上����,21世紀經濟報道記者發(fā)現(xiàn)�����,當前大量企業(yè)尤其互聯(lián)網企業(yè)提供服務的前提是用戶“同意”個人數(shù)據(jù)的授權使用�����,而這些授權數(shù)據(jù)中許多是不合理的����。
“一個P圖工具為什么要用戶授權使用通訊錄等信息�����?”中國互聯(lián)網協(xié)會研究中心秘書長胡鋼向21世紀經濟報道記者質疑道����。在他看來,企業(yè)在要求用戶授權使用數(shù)據(jù)的時候���,應當遵循正當���、必要���、最小化原則�����,否則就是違法行為���。
此外�,GDPR強調數(shù)據(jù)主體的“被遺忘權”和“數(shù)據(jù)可攜權”����,前者是指用戶提出數(shù)據(jù)刪除要求時,企業(yè)需要在數(shù)據(jù)庫內找到數(shù)據(jù)并刪除����,如果數(shù)據(jù)已傳播或提供給第三方使用,企業(yè)還有責任通知使用者予以刪除��。
“數(shù)據(jù)可攜權”則表示數(shù)據(jù)主體有權將一個數(shù)據(jù)控制者的個人數(shù)據(jù)轉移到另一個數(shù)據(jù)控制主體中���。比如Facebook的用戶可以將其賬號中的照片以及其他資料轉移到其他社交服務網絡上���。該權利不僅適用于社交網絡服務��,還包括云計算�、手機應用等自動數(shù)據(jù)處理系統(tǒng)����。
揭開算法“黑箱”
除了強調數(shù)據(jù)主體的“網絡主權”之外,在數(shù)據(jù)處理方式上�,GDPR也有規(guī)定,要求數(shù)據(jù)控制者說明如何收集處理個人數(shù)據(jù)��,包括數(shù)據(jù)接受者類型���、個人數(shù)據(jù)保留周期及采取該周期的理由等�。
值得注意的是���,GDPR要求����,如涉及自動化數(shù)據(jù)處理(如數(shù)據(jù)畫像等)��,數(shù)據(jù)控制者還需要提供基本的算法邏輯及針對個人的運算結果�����。這賦予了個人對人工智能和其他算法所做決定的“解釋要求權”,也就意味著AI算法的“黑箱”需要在一定程度上透明化��。
事實上��,近年來隨著人工智能在生活中的應用���,與之伴生的數(shù)據(jù)安全問題日益突出。今年3月���,F(xiàn)acebook被曝超過5000萬用戶信息在未經用戶同意的情況下被濫用�。
“人工智能需要教養(yǎng)�������!卑I艽笾腥A區(qū)信息技術服務總裁陳笑冰向21世紀經濟報道記者表示�����,“從技術層面而言�,這涉及兩塊內容,一塊是信息安全保密性���,要防止信息泄露問題��;另一塊則是算法在合理程度上的透明���。我們需要理解AI行為來源再去教育它�����,來保障信息沒有被濫用���������!
在這個過程中����,考慮到企業(yè)的趨利性,外部環(huán)境需要有所制約�����。而對企業(yè)的制約性便是此次GDPR的亮點所在。
首先是適用范圍方面�����,GDPR覆蓋成立地在歐盟的機構及為歐盟境內個體提供服務和產品的機構�������!癎DPR數(shù)據(jù)保護的對象不僅是歐盟公民�����,甚至是歐盟居民�����,哪怕是在歐盟短期旅居的人士也將受到條例保護����!焙摳嬖V21世紀經濟報道記者���。
另一大亮點則是處罰力度空前。“GDPR的相關規(guī)定及懲罰力度預示著�����,歐盟將個人信息的權利列為歐盟公民的基本人權����,這個高度是空前的���!焙摫硎�。
不過�����,在外部環(huán)境對企業(yè)制約的同時����,用戶個人信息保護意識也極為關鍵���!坝脩粜枰庾R到個人信息的重要性���,而非為了使用便利而‘被綁架’地將個人信息提供出去���!标愋Ρ蛴浾邚娬{�,“技術、環(huán)境和用戶形成三角組合����,才能保證人工智能相關技術不被濫用,不會帶來惡毒的后果���������!
