刘合翔

北达软数据治理专家、EXIN隐私与数据保护认证培训授权讲师、北京大学博士

 

       刘合翔：大家好，很高兴今天能够来到这里跟各位行业专家做交流。今天我讲的是合规的问题，更多是关于咱们的顾客、员工，他们的隐私安全。讨论这块究竟有什么意义？我们为什么不首先来讨论国家的网络安全法？这个问题就在于，有的时候是国外的法律可能对于我们的刺激会更大，同样类型主题法律在不同领域、不同情况的应用也会有出入。就像我们现在看到的前几天的“公交坠江”事件，但这次事之后能会有相关的一些法律政策出台，甚至会激发出来很多相关的行业，我们都能想到当年的安全锤、防护栏、摄像头，这些行业其实都是来自于社会需求的倒逼。

       那么今天我们所讨论的GDPR跟我们有什么关系？GDPR从今年5月份才正式生效，但实际上它的发酵已经有两年半的时间了。我们一会儿要讨论的有两个议题：第一，为什么GDPR对于我们来讲有所谓。其次，GDPR除了是一项法规，对于我们，特别是要做一些跨国业务的，有约束之外，它还能够有利于我们做些什么事情？   

       首先，是GDPR为什么对于我们来讲有所谓。现在都在讲大数据，那么大数据背景下的个人数据是什么样的情况。因为GDPR本质是要针对个人数据进行保护的，它从原来的不可识别或者是很难识别变成了今天的相对更容易识别。从原来的没有那么敏感，到现在做数据聚集之后它会变的敏感起来。另外一方面，原有的数据，包括国内更多的是把它当成一种公司资产，一种财产权的东西来考虑，未来会越来越多的考虑人格权的问题，就是所收集的每一份个人数据它的个体，这个数据有一些什么样的权益在这个里面。

       既然是隐私与个人数据保护，那我们所挑战的隐私又是一个什么样的概念？这是今年的一个例子，当时很热的VIVO手机有一个弹出式的摄像头在使用者还没有使用需求的时候就智能启动。使用者会担心平时的说话，都会被录进去。当时百度出来辟谣说，设备要去做相应的预热。这就涉及到我们对于隐私相关的关注。当然，在今年2018年MIT评出的“全球十大突破性技术”其中有一项叫做完美网络隐私，具体的细节还不太清楚。它究竟是怎么做的，至少从这个技术来讲的话，它是我们所关注的一个非常重要的重点。

       在GDPR里面它对于隐私的定义简单来说就是具体受众或者人群不被打扰的权利。这里举个大家都熟悉的例子，微信的朋友圈，它开始可以去设定允许好友查看最近半年、最近3天和全部。这样的设置本身就是在做隐私相对的保护和设置。

       那么隐私和个人数据保护之间是什么样的关系？佳明这个产品不知道大家有没有了解，在用它的App的时候它就会提出来“我会在你隐私方面会有一些涉及，需要你去做一些确认，比如说会用到个人健康数据，你需要对它做一个相应的确认”。那么越来越多，包括大家可能也感受到了，在访问相关网站时需要做这方面确认的情况已经越来越多。

       另一个例子，滴滴上次出了事之后，推出来车上录音系统。当时承诺说录音加密保存，七天后会自动删除。这其实也是对于个人隐私的一种侵犯，因为在这里面你实际上没有一个否决权。有一些软件会提示，在一些国家通话录音是违法的，要你去确认你所生活国家通话录音是否合法。那么这样的一些确认实际上是对具体用户隐私的保护。

       数据泄露是一个典型类型的安全问题。那么对于数据泄露我们要做攻和防。往往防的这一方在面对，比如说像针对个人数据窃取的攻的时候，它的滞后性是比较显著的，而且时候这个数据已经泄露甚至产生了很大的影响之后，才有真正的去做相应的响应。

       在当前情况下，个人数据保护有什么样的困境？一是，数据主体对于数据的控制权，特别是对于他自己的数据控制权是在不断地被削弱的。你会觉得对于自己的数据越来越存在失控感。二是，数据控制者对于数据的垄断越来越强化。而且，由于数据集中导致了这方面的安全风险和数据监控风险在不断的增强。而在GDPR里面非常强调的一个关于个人数据保护的原则就是知晓同意的规则。说起来很容易，但是在大多数情况下我们都没有做到这样一点。最后，因为数据链条过长导致里面数据相关的主体非常多元，最终在追责时存在很多问题。

        既然有这样的一些问题，所以从法律界、从产业界其实有很多方面的尝试，那么这也是我们今天所讲的，为什么欧盟推出了这样一项法律。对于欧美的很多公司来讲GDPR对于他们来讲也是一个挺恐怖的存在。虽然已经预演了有两年时间，但是直到今年正式发布实施，生效的时候，大部分企业很难做到GDPR完全合规。那么GDPR到底是什么？欧盟会定期发布官方内容。国内针对这项文件也有相应的书籍已经出版。有兴趣的话可以看一下对应的原文内容。

       2018年GDPR正式生效，共11章99个条款，涉及内容非常多。把握它的基本原则、主体和基本概念就可以更好的消化。在欧洲或者说在全世界可能其他地方对于GDPR是非常重视，BBC专门为GDPR出了系列专题片来向欧洲的公民去宣扬这块的效力和作用。

       世界各大厂商都相应的发出声明、做出相应的措施，比如说Google针对GDPR做的相关的声明，针对他的合作伙伴做了相关政策的强调。对于中国的影响也是一样，立竿见影。当时小米的一些海外服务直接停止，包括微信，当时针对欧盟的数据保护条例也发出公开函，要求公众号对于欧盟公民的信息采集要去做处理。

       其实，对于来自于欧洲或者欧盟的各种标准已经见怪不怪，我们有很多的欧洲标准在国内执行或者说受它约束，那么未来GDPR也会变成一个很重要的，在国内会有很大影响的一个标准。但实际上这个GDPR不是平地生出来的，欧洲有非常长的关于个人数据保护和隐私的传统。

       GDPR的基本出发点。第一，优先考虑如何保护自然人的利益，而不是关注公司本身的权益。另外，同时也会考虑你在保护个人相关自由的同时，还要去保护自由贸易方面的平。还有一点，他们知道他没有办法让所有人否决那些相关的信息服务所要求他们所提供的个人数据，但是法律为所有的被服务者提供的一个选项。这是GDPR基本的几个出发点。

        处罚，分两个层级。一档是一千万欧元的罚款，或者是企业一年全球总营业额的2%。另外一个标准就是双倍。最后会根据实际情况，两者取高的一项进行罚款。GDPR生效的那一天，Facebook和Google同时被告，认为他们都会对个人数据采集有用户强迫存在，并提出了39亿欧元和37亿欧元的惩罚。

       所以总的结论是，只要你但凡涉及到，特别是欧盟或一些国际事务，最好是能够考虑怎么样能让你的业务跟GDPR合规。那么对于金融业的影响，除了刚刚讲到的细节点之外，我们还看到金融业最近的一些新的动向，实际上是会更多的摄入到GDPR所约束的范畴。比如，在支付领域要做身份识别，我们都特别推崇人脸识别。但是人脸识别这块，包括指纹、虹膜、语音识别，这其实都是对于个人数据的采集。

       GDPR跟之前的法律有什么样的区别？我们都关心的GDPR适用范围到底跟我们有没有关系？有几个基本原则。首先，它是直接适用于欧盟经济区国家，是在欧盟国家的基础之上再加了三个欧盟经济区的国家，只要是在这些国家地面上发生的个人数据采集处理行为，都要受法律的规制。除此之外，他会对于，哪怕我只是访问这个国家的过程当中做了一些数据采集，或者在这些国家上面所处理的其他国家的数据也都在其中的范围之类，甚至还包括各个成员国的使领馆做数据处理。

       当然也有一些例外，比如说在做一些具体研究统计的时候，实际上是可以不受法律的约束，对于那种小企业也有免责的权利。而且，不是所有的安全事件都属于数据泄露，主要的是泄露到底有没有对数据主体造成强的伤害。也不是说所有的数据泄露都需要向监管部门上报和通告，但是在披露的时候相关的披露信息它是有明确要求的。

最终我们需要记住一点，GDPR是一个二元的立法。它的目标是保护个人权利并促进个人数据的流动。立法第一条开宗明义指出了：不能以保护个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。

       这里面有一个很严肃的考虑就是未来个人税保护会不会变成一个像工程里面环评的工作，变成一个前置的任务。因为他有可能会变成国与国之间，包括企业与企业之间竞争的壁垒。当然也可以主动设壁垒，或者在行业里设这样一些内容。包括数据治理框架，德勤人物数据保护是体系化的事情，而不是单一某个部门的。这里边也有几个关于合规时间的建议，包括3P模型，针对流程、人员、产品的，还有一个3D模型，去做发现、监测、防御这三个方面。

       我本人的身份是EXIN隐私与数据保护认证讲师，这是目前在国内推行的这方面的唯一的认证，目前也是在国内已经开了第一期的培训班。如果大家有兴趣的话可以做相应的关注和了解。谢谢大家！