GDPR 能否解决公众对于数据安全的担忧？

小提示：您能找到这篇{GDPR 能否解决公众对于数据安全的担忧？}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的GDPR 能否解决公众对于数据安全的担忧？内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

来源：腾讯研究院 （ID：cyberlawrc）

出海注：本文由腾讯研究院（ID：cyberlawrc） 撰写/授权提供，转载请注明原出处。商业转载/使用请联系寻求作者授权。

全球范围来看，数据治理正在面临三大挑战：如何在促进以大数据为要素的技术产业创新的同时，又能保护好个人数据权利，保障好国家数据安全。这三大挑战既相互关联，又彼此影响，从欧盟的法律制度和美国的司法实践看，数据治理尚未达成共识，各方仍存在较多分歧。

2018 年 5 月，欧盟正式实施了《通用数据保护条例》（The EU General Data Protection Regulation，后称 GDPR），备受国内外互联网企业和法律界关注。这部被公众称为“史上最严数据保护条例”的法案实施半年后，其对欧盟的互联网生态已经带来一些变化，其中的正负向影响都值得研究产品发布网与分析。

2018 年 12 月 3 日，第七届北大-斯坦福互联网法律与公共政策论坛上，探恪(上海)软件科技有限公司合规负责人 Isabelle Hajjar 就 GDPR 及其所带来的一些问题发表了自己的看法。

以下是演讲全文：

大家好，今天我要跟大家讲的是 GDPR，以及 GDPR 所带来的一些问题。

首先，我们来了解一下欧盟的 GDPR 是什么。

数据保护是欧盟的一项根本权利，也是非常核心的权利。上世纪50 年代的时候，大家就开始讨论，希望能在欧盟当中形成这样一套数据保护的体系；到了 1995 年，《计算机数据保护法》颁布，每一个欧盟成员国的法律当中都引入了个人信息保护的法则；而现在， 2015 年新推出的 GDPR 取代了 1995 年的欧盟法令。

那么为什么要推出 GDPR 呢？实际上很明显，1995 年的《计算机数据保护法》和各个国家的法律其实就已经在适应这个趋势了，那就是现在欧盟很多人都有一个共同的担心——个人信息和个人数据保护可能会成为一个问题。

欧盟在 2014 年的一个调查显示，大家对个人数据保护的关心程度是最高的，他们非常担心个人信息会被窃取，或是不小心被披露出去，从而导致网络犯罪的情况发生。最近我们做的一些新的调查也同样表明，大家对信息保护方面的担心是最高的，总是担心保护的还不够。

2017 年 7 月英国执法部门的一个调查显示，对于执法机构对数据的保护措施，民众只有 53% 的信任度，而对于政府来讲，只有不到 50% 的信任度。

所有的这一切都表明了普通民众对于网络安全的担心。过去的几年，欧盟委员会外交事务委员会也进行了很多的调查，不管是在网络犯罪发生之前还是发生之后，这样的担心都已经存在，因此，GDPR 也就应运而生了。

因为大家有这样的担心，所以我们也需要有一个新的范式。关于数据保护要有一个权利的转移，不应该是由单一的部门来做，而是应该由更多的部门甚至公众共同来做。

GDPR 等于是个人数据的保护，通过一系列的原则和规则来进行保护。当任何主体要使用某个人的数据时，必须有法律依据，并且它的使用要得到严格的保护。这就要求为整个数据的获取、处理、使用制定非常严格的程序。并且，数据从获取到使用，以及它的保护，要有明确的规定。

通过这些措施，我们首先要明确一点，个人数据包括什么，以及哪些机构需要遵循 GDPR 的要求。

实际上有很多个人或机构在欧盟都有自己的业务，这些人或机构都要遵循欧盟的 GDPR 规定。数据的使用者必须承担起责任，来保护这些数据，符合 GDPR 的要求。

因此我们采取了很多的措施，也进行了技术上的安排，使得数据的安全性更强。同时，明确每一个用户使用的时候要承担的责任。

此外，监管机构也要明确自己的责任。

如果有人违反了 GDPR，我们也要有追责的制度。

现在个人数据方面的罚款已经可以达到 2000 万欧元，对于企业，这个额度可以是全球年营业额的 4%。如果发生特定情形的数据泄露事件，你必须在 72 小时内告知监管部门。

当然，有的时候不一定能百分之百做到，这要视当时的情况而定，但无论如何需要尽快通知监管当局。为了更好地应对个人数据泄露或是个人数据保护的问题，违反 GDPR 者还要积极配合，进行调查和整改，并在问题发生后，对受损的数据做出尽可能的补救。同时监管当局还会进一步进行后续的调查和研究。

推行 GDPR 的其中一个目的是，重振公众对数据保护的信心和信任。但是它有没有成功呢？事实上是没有的。

如果你想对数据进行进一步的处理，就必须要得到用户的同意，但这存在很大的问题——比如人们会不耐烦，不想持续地点击同意，甚至有时他们会对所有的要求都拒绝，那么这个征求同意就变得没有意义了。

另外，它对学术界来说也有很大的挑战，很多研究需要用户数据，但是没有用户同意就得不到数据，也就没法进行研究。

其次，GDPR 的本意是想要进行保护，但是为了合规保护，数据使用者要给用户发送太多的通知进行确认，对于有很多设备的普通人来说，他们没有办法把所有的通知都读了，然后去理解它们的影响。

最终，这些就沦为了失败的拯救机制。

此外，不同数据主体的互相矛盾的诉求也是一个问题。现在人们有多种数据，比如说照片、评论，这些数据所归属的数据主体很可能是多重的，但其实没有任何特定类别的数据主体在 GDPR 中是有优先权的，这就导致了一些问题。

除此之外，GDPR 还有很多别的问题。GDPR 的本意是想让竞争变得更加公平，但是其实更大的组织，特别是那些科技巨头，他们有更多的资源来 GDPR 合规。

这样会把这些大小机构的合规行为分隔开来，或者是让这些大机构更加合规，这对所有人来说是不利的。在安全方面也有互相矛盾的地方，就是在 GDPR 规定的主体中[1]，数据控制者和数据处理者之间的责任并不平衡，这让数据处理者处在一个不利的境地，更增加了安全的隐患。

另外还有一些困难是跟 GDPR 的另外两个做法有关的。第一个是它本来想要降低欧盟内部关于数据保护的立法碎片化，把 28 个欧盟国家的法律整合成一个欧盟的法律；第二个是希望让这个法律更加经得起时间的检验。

但是我们看到，它并没有达到这两个目的。

说到降低立法的碎片化，在 GDPR 出台之后，仍有超过 50 个领域允许欧盟成员国自己设立额外的法律。也就是说还有许多国家有区别存在，这让整体的执行和合作都变得非常困难。

其中有一些领域是比较特别的，比如未成年人的数据：所有的成员国都开始立法了，但是却有很大的不同，因为年龄是不一样的，有些国家规定的是 13—16网络公关报价 岁，有的是 14 岁，有的是 17 岁，对未成年人的年龄都有那么多的分歧，对其他方面的分歧则更多。

除此之外，它是否能够抵抗得了时间的检验？

现在欧洲已经有一些技术在对 GDPR 进行挑战，比如说信息匿名化，这是一个比较大的争议。

我们现在无法判断一个匿名化的信息是否真的是有效的匿名化，因为现在有越来越多的数字的来源可以交叉验证，还有数据挖掘、人工智能，这些技术加在一起，让你想要获得一个纯粹匿名的信息越来越难。

其实，现在已经没有办法确定的知道某个数据是否真的无法追溯到原始个人身上。这对于研究和 AI 可能会有非常大的负面影响，因为他们可能会使用大量数据，而这些数据可能会重新被辨别它的来源人，这个威胁已经越来越大。

另外，如果你的数据真的清洗到了完全匿名的程度，那么这个数据对AI 和研究可能是完全无用的。

除此之外，人工智能还会面临一些其它挑战。

首先，人工智能是绝对无法符合“数据最小化原则”[2]的，AI 必须要得到巨量的数据。除此之外，人工智能也有可能把普通的个人数据变成敏感数据，比如说某人的购物车，如果你经常买某种药物，别人就会知道购买人的个人信息，比如说地理位置，如果你经常去某个教堂，或者是其它的宗教场所。使用某人的个人数据，很快会把这个数据变成敏感数据。

在 GDPR 的要求上，要求数据来源的明确同意交出这些信息，这可能会非常困难。

另外一个跟人工智能相关的问题，就是解释性的问题，当我们谈到复杂的人工智能网络的时候，它会有个黑匣子的效应，让人们无法解释到底它的人工智能系统是怎办理各类海外公司么达成结论的。如果要解释的话，就要冒着打开黑盒子和揭露他们的 IP 和其它的商业秘密的危险，这对这些公司来说都是很大的问题。

另外一个是区块链，它也是比较大的问题。首先是交易的不可逆性，他们无法更改信息，这样就跟 GDPR 中的遗忘权和更改权是相悖的。

所有区块链的特性，都是我们需要考虑和思考的。

在区块链中，所有的参与者都可以增加文件和信息，所以也很难知道到底谁是数据控制者，到底是在区块链之中有一个数据控制者还是多个数据控制者，这也是问题。

除此之外还有保密性和同意的问题，因为所有的区块链上的人都是能够得到这个信息的，包括个人信息，无论有没有数据所有人的同意。除此之外，还有物联网、量子计算机，到底我们该怎么处理，这些都是法律的制定者在未来需要解决的问题。

欧盟下一步的做法是什么呢？大家可能也预期到了，很快我们将会采取 ePrivacy，就是数据隐私的法律，还有电子通讯法案，除此之外还有在混合数据集的一些指导方案以及其它的立法和法规，所以请大家持续关注。