在大數據時代，要如何保護個人信息免于被泄露和販賣？

勇于向Facebok等硅谷巨頭宣戰的歐盟司法專員維拉·朱洛娃(Vera Jourova）對此曾有經典形容，“今日的個人數據，就如同（觀看）人們在水族館里裸泳一樣。”

而在5月25日這一天，她驕傲地宣布，“《歐盟一般數據保護條例》（General Data Protection Regulation,GDPR）令歐洲人可以重新控制他們自己的數據了?！?/p>

咨詢公司埃森哲在最近一份報告中則直接將GDPR形容為“近二十年來數據隱私規則領域發生的最重要變化”。

資料來源：埃森哲報告

“它給高科技企業帶來了巨大的影響，其影響之深遠已超出歐盟，波及全球多個國家?！?埃森哲在該報告中指出，該條例適用于所有歐盟實體的數據，無論其身在何地或其數據被放在什么平臺。高科技公司存儲、處理或交換任何歐盟公民的數據時，都必須符合GDPR。

GDPR效力僅次于憲法

伴隨5月25日的臨近，第一財經記者收到了海量GDPR條款更新郵件，來自歐洲智庫、歐洲媒體以及各類科技公司等，如此鋪天蓋地，如不仔細看還以為是垃圾郵件。

這些郵件均要求用戶更新其訂閱條款，并指出此次更新符合歐洲新數據保護法律——GDPR的標準，且根據這一條例，個人用戶從今年 5 月 25 日起將享有更多的權利。

為歐盟一家政府機構在華分支機構工作的何女士則對第一財經記者表示，最近趕在5月25日之前接受了GDPR的網上培訓課程，學習未來企業應當如何在GDPR下應對數據保護工作。

之所以大費周章，其原因在于，GDPR的效力層級在歐盟是“條例”，編號為EU-DSGVO，其效力僅次于憲法。與以往的隱私規定相比，GDPR有何不同之處呢？

埃森哲在上述報告中指出，第一，GDPR要求責任共擔。在過去，收集和使用數據的數據擁有者需要對數據保護負責。如今，史無前例地，數據處理者（如提供數據處理服務的云服務提供商等）也將需要直接承擔合規風險和義務。在數據保護上，數據供應鏈自上而下的各方都會被問責。網絡公司必須與合作伙伴們明確各自的責任和義務。

不過，埃森哲指出大多數企業尚未做好準備。2016年秋季面向云服務供應商的客戶進行的感知調查顯示，僅6%的企業被認為是符合GDPR、無需在新的規定條款框架下重新商談合同； 而91%的企業出于對數據處理的復雜性和成本的考慮，對自身能否符合GDPR表示出擔憂。

其次，如不遵守GDPR，則后果很嚴重。埃森哲指出，GDPR對獲取和管理個人信息提出了新的、更嚴格的要求。它賦予個人明確的權利，給高科技企業通過人工、流程和技術進行客戶數據管理帶來了重要影響。不僅如此，GDPR還對客戶信任產生影響。根據埃森哲技術展望調查，83%的受訪者堅信，信任是數字化經濟的基石。達到GDPR所要求的數據隱私和安全要求，是維系消費者信任和保護企業品牌的根本。同時，違規將被嚴令禁止。GDPR大大增加了數據保護的強制性和責任性，對違規的處罰金額提高到2000萬歐元或企業全球年營業額的4%（二者取較高值）。

資料來源：埃森哲報告

據第一財經記者統計，目前在28個歐盟國家中，有12個國家已經正式更新了其國內法，將GDPR嵌入其中，同時還有8個國家告知歐盟委員會它們將在近期盡快完成其立法程序。

5月25日之后，仍有8個歐盟國家在GDPR同其國內法融合方面毫無作為，包括保加利亞、比利時、塞浦路斯、希臘、捷克、匈牙利、立陶宛和斯洛文尼亞，大多是中東歐國家。

歐盟方面表示，已經對上述國家做出了警告，請它們盡快更新法律系統，否則將把它們告上歐洲法院。

企業可能準備不足

埃森哲也在上述報告中指出，企業有可能對此準備不足。要想全面落實GDPR，企業必須掌握所存儲和處理數據的特征，從而可以全面保護數據。目前，領先企業能夠成功追溯70%~80%的數據來源，但仍有許多企業尚不具備這一能力。甚至許多領先企業也表示難以探尋剩余20%相關數據的下落。

2015年，全球有十億條客戶記錄遭到泄露。2016年，僅一次泄露事件就造成了十億賬戶被黑客入侵。GDPR規定，如果數據遭到泄露，用戶有權快速獲取相關信息，這就要求企業必須在72小時內向數據保護機構報告數據泄露事件。埃森哲指出，目前只有1%的云服務供應商能夠在24小時內向客戶發出數據安全事故通知。

小米首席架構師、人工智能與云平臺副總裁崔寶秋博士表示：“整個行業都需要全力提升數據安全和隱私保護的意識，加大設計和研發時的投入，以加速符合GDPR的要求。”

針對企業如何更好地進行GDPR的合規，他主張從設計著手的隱私保護理念，“這項新規對于用戶而言是好事，用戶需要對自己的數據有一定的控制權。任何一家公司如果能夠做到遵循隱私保護的原則，就應該在做任何產品之前，從用戶的角度出發來設計產品。”

隨著移動互聯網高速發展，大量的隱私以及個人數據會存儲在移動設備端，這也使得用戶對移動設備的個人數據以及隱私資料保護非常重視?！澳壳笆袌錾系?a href="http://m.1cnz.cn/v/" target="_blank">智能設備大多數是與個人相關的產品，因此面臨很高的個人信息被泄露的風險。一個設備如果存在漏洞，可能被利用把用戶的視頻、音頻、日常對話等私密的信息發送出去，所以一定要引入嚴格的安全與隱私標準，進行嚴格安全檢測。

據第一財經記者了解，目前GDPR的規定雖然強調了用戶的知情權、訪問權和被遺忘權，用戶可以要求被告知公司掌握了自己的哪些數據并要求對其進行刪除，然而，大多數企業在修改GDPR的用戶隱私政策時，措辭仍然比較寬泛模糊。

比如硅谷科技巨頭谷歌和Facebook都已經修改了它們的用戶政策條款，其中Facebook主要強調了人臉識別技術的應用應獲得用戶的準許。目前用戶上傳照片時，系統會自動通過人臉識別技術標識出照片中的人物，采取的是用戶默認同意的條款，除非用戶自己提出異議。

據報道，蘋果公司已經停止了在機器學習和人工智能系統開發中使用用戶數據，微軟也為GDPR投入了1600多名工程師，Facebook則將約15億用戶的注冊地從愛爾蘭轉向了美國。不過對于注冊地的遷移，愛爾蘭投資發展局中國區總監張哲偉對第一財經說：“個人認為意義不大，因為企業考慮的不僅僅是數據放在哪里的問題，同時也與數據的來源地有關?！?/p>

埃森哲大中華區首席創新官劉東在中國大數據博覽會上對第一財經記者表示：“GDPR是一個比較好的契機，讓我們的企業審視自己的隱私保護政策，倒逼我們去努力合規。拒絕或者存有僥幸心理都是不對的。這一過程中需要數據公司的服務和技術上的支持，會增加客戶成本，但同時也能令企業的價值得到提升。”

根據數據分析公司SAS上個月的一份調研報告，隨著GDPR大限到來，只有7%的企業完成了合規，近半數的受訪企業表示這一新規將對公司的人工智能相關項目產生重大影響。全球僅有不到一半的企業（49%）表示它們能按期達到GDPR的合規要求。不少小公司由于缺乏資源和指導，仍然處于觀望狀態。

中企國際化繞不開“合規性”

違反GDPR罰款很高，有一定的威懾力，企業只有三種選擇，要么退出歐洲市場；要么努力合規；還有一種就是承擔被罰款的風險。最后一個選項不是任何一家負責任的公司愿意選擇的，所以真正的選擇就只有前兩個。

第一財經記者注意到，國航、東航均在5月24日對其APP和官方網站的隱私政策條款進行了更新，東航也在5月作出了調整，以前的隱私政策條款相對籠統，在如何收集個人信息、收集哪些類型的個人信息、收集后如何使用等方面的規定并不細致，而在最新版的隱私政策中，這幾家航空公司將可能收集的個人信息的范圍列得更加詳細。國內其他幾家開設有歐盟航線的航空公司，如海航、四川航空，尚未對隱私政策進行調整。

張哲偉表示：“GDPR合規要求十分高，企業需要投入大量人力財力，才能確保執行。對于中國企業來說，必須立刻敲響警鐘，做好充分準備，加強對數據安全和用戶隱私的保護工作?！?他建議，在數據保護方面，中國企業可以選擇一個歐盟成員國作為主溝通國，通過這個國家跟其他成員國的相關監管當局打交道。

方興東認為，GDPR將成為未來全球網絡空間規則的基石，即以數據為抓手，與美國過去掌控的另一大基石，即底層技術治理相得益彰。低估GDPR，將會付出巨大代價。最首當其沖的，就是基于搜集個人信息和隱私驅動的整個中國互聯網產業主體收入模式將產生重大影響，甚至是顛覆性影響。