編者按:5月25日,號稱歐盟「史上最嚴」的數據保護法GDPR正式生效,成為中國科技企業出海必須通過的「窄橋」。多年來,在相關法律語焉不詳、隱私保護觀念淡薄的大環境下,中國互聯網科技企業坐享龐大數據生成的發展動力,卻鮮少在保護用戶個人數據上付出努力。一部境外法規的落成,會給野心勃勃、走出國門的中國企業帶來什麼改變?又會對日後的立法、科技發展產生哪些影響?科技媒體極客公園採訪到數家科技公司,嘗試在報道中回答上述問題。
本文得到極客公園授權轉載,原標題為《面對史上最嚴數據保護法案,「重災區」在何處?中國科技企業又該如何應對?》,略有刪節。
上週,布魯塞爾的歐洲議會室裏瀰漫著草木皆兵的緊張氛圍,扎克伯格開始接受新一輪的盤問——這次是歐盟機構。三天後,歐盟的《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR) 正式上路,扎克伯克的「微笑戰術」將不再管用。
這部歐盟「史上最嚴」數據保護法案在 5 月 25 日正式生效,因其適用範圍最廣、定責條例最嚴、處罰金額最昂貴的「三最」引起各方的高度關注。「GDPR 為未來十年的全球數據保護定下了基礎,它幾乎對科技公司用個人數據來賺錢的所有環節進行了規定和限制。」《連線》雜誌對其評價。
GDPR 對個人資產的定義進行了非常廣泛地覆蓋,「除個人電話號碼、地址、健康資料、電子信箱等之外,像是指紋、人臉識別、視網膜掃描、線上辨識碼以及線上定位資料,如 Cookie、IP 位置、行動裝置 ID 等,全都納入個資範疇。」安侯法律事務所執行顧問翁士傑分析道。
就影響範圍而言,GDPR 不僅適用在歐盟設立子公司或分公司的企業,也適用所有處理歐盟居民個人資料的歐盟境外企業。這意味着,企業規模無論大小,橫跨服務、科技、製造、金融產業,都無可避免會受到影響。
靴子落地:閃轉騰挪還是直面應對?
從 2016 年至今,歐盟已經預留了足足兩年的時間給相關企業進行過渡和調整。但如今,當真金白銀的罰款數額公布後,很多公司還是一片手忙腳亂。
根據數據分析公司 SAS 的調研,全球僅有不到一半的企業(49%)表示他們能按期達到 GDPR 的合規要求。不少小公司由於缺乏資源和指導,仍然處於觀望狀態。為避免違規風險,一些企業甚至選擇在歐洲暫停訪問。 直接營銷協會(DMA)研究也發現,只有 15%的營銷人員相信他們的業務符合 GDPR。
果不其然,法案生效的第一天,Facebook 和谷歌便遭到了起訴。
奧地利運動人士施倫斯(Max Schrems)以違法運作為由,分別對谷歌(Google)的安卓系統、臉書(Facebook)及其旗下的 Instagram(IG)和 WhatsApp 的子公司提起訴訟,一共四起。
在訴狀中,施倫斯表示,這些服務要求使用者只能接受強制的隱私權條款,否則必須完全放棄使用,違反了 GDPR 讓民眾可自由選擇是否允許企業使用他們的個人資料。
訴訟要求法國、比利時、德國和奧地利的監管機構對這幾家公司進行罰款。根據 GDPR 的規定,違反該法律的公司將面臨最高 2000 萬歐元或全球年度營業額 4% 的罰款(兩者取其高)。
按此規則計算,若歐洲的監管機構定性成違法,谷歌的母公司 Alphabet 將面臨最高 37 億歐元罰款,Facebook 及其兩家子公司 WhatsApp 和 Instagram 分別面臨最高 13 億歐元罰款,其金額逼近反壟斷法的處罰力度。
此前,業界估計歐盟一年內收到的罰金可能達到 60 億美金(51 億歐元)。現在看來,這個數字很可能被低估了。
隱私維權人士憤憤不平提起訴訟,數據保護監管機構也正準備揮起執法大棒。
歐盟最高隱私監管負責人本週警告稱,可能會很快有企業遭到處罰。新上任的的歐洲信息保護委員會 (European Data Protection Board) 負責人 Andrea Jelinek 表示:可以肯定的是,這根本不用等到幾個月之後。
人心惶惶的不只有國際巨頭,中國廠商的動作和回應也變得積極起來。
今年 4 月份,QQ 國際版就已經在歐洲暫停運作。公告顯示,歐洲地區將在升級到下一個版本之後才能恢復使用,但並未就具體上線時間做出說明。
「早在 2014 年,小米就成立了隱私委員會,和官方認證機構展開隱私保護相關業務。到 2016 年,MIUI 操作系統和小米網的國內版和國際版都得到了 TRUSTe 隱私認證。」小米首席架構師、人工智能與雲平台副總裁崔寶秋博士在接受第一財經採訪時表示。
儘管如此,小米旗下生態鏈企業的小米智能燈(YeeLight)還是因為無法及時符合 GDPR 法規而被迫關閉服務。當智慧燈泡一秒退化成普通燈泡,有人懷疑是因為該電燈會記錄使用者的開關燈記錄。
Yeelight CEO 姜兆寧則在回覆中否認了此行為,並表示關閉數據服務是基於 GDPR 對於非歐盟地區公司的 API 測試規定所致,只是暫時下線。
這讓問題開始聚焦於物聯網企業在數據蒐集的合規性上,其中可能涉及到智能家居、智能機器人、無人機、智能穿戴等一眾中國創業公司。
「大疆在歐洲市場的一切運行正常。我們和數據打交道,但我們並不會涉及到數據隱私或者「個人數據」,」大疆公關總監謝闐地向極客公園表示,「數據處理都在本地進行。」
而事實上,去年大疆曾受到美國陸軍(US Army)關於「網絡安全漏洞」的指控,還一度要求各部門停用大疆無人機。隨後,由美國國家海洋和大氣管理局 (NOAA) 出具的數據安全報告,確認大疆無人機在飛行途中沒有收集任何數據,才得以讓指控平息。
在這個案例中,大疆主要通過第三方的數據機構來調查證明企業的數據安全問題。
目前,為配合低空飛行監管,所屬美國和中國地區的無人機用戶已經強制實行實名認證。面向歐洲市場,大疆方面表示,實名制的執行將根據每個國家甚至國家中不同省份地區的要求確定,大疆以配合為主。
對於用戶的飛行軌跡等數據,大疆方面回應,除非是用戶主動提交做飛行分析,否則不會觸碰該類數據。憑藉多年的海外市場實戰經驗,大疆在面向比國內更為嚴苛的市場環境時顯得更加自如。
在極客公園與優必選、出門問問等相對更為年輕的創業公司就如何應對 GDPR 進行交流時,他們的應對策略和態度更為積極和主動——主要採取多管齊下的方式,包括從設計流程,業務運營以及關鍵硬件等三個方面入手。
首先,為了應對 GDPR 更為嚴苛的新規,公司在運營層面都迅速成立了專題項目組,包括由專門高管擔任 DPO(數據保護官員),同時加強相關人員的教育,提高數據保護意識。
在 GDPR 的細則中已經提到,相關公司必須設立 DPO 崗位。如果組織是公共機構,正在進行需要定期或系統監控的加工業務,或者有大規模的加工活動時,這點更加重要。
在產品設計流程層面,出門問問 CEO 李志飛向極客公園表示,公司已經從數據加密、脱敏及分類分級管理上開展了相應措施。在產品設計上需要進行特定優化,以保證用戶可以實現 GDPR 要求的用戶權利,比如刪除、更正用戶信息、撤回同意等。
談到 GDPR 落地後對於公司在歐洲市場的影響,優必選 CEO 周劍對極客公園表示,「在合作伙伴的篩選過程中將更加嚴格,要求合作伙伴在涉及到相關條例時也必須合規。」
合作伙伴的調整必將在一定程度上影響原有的市場推進效率,周劍認為,這是實施全球化戰略必須要經歷的。
「GDPR 對公司在歐洲市場的運營一定會有影響,」李志飛介紹道,比如原來的 opt-out 需要變成 opt-in 模式;對用戶權利的保護上更加全面了,比如說需要提供通道給用戶刪除其信息以實現 GDPR 的被遺忘權。
根據業內不具名的人士分析,在涉及到物聯網、互聯網這種本身存在數據生意的領域,使用一些通用協議的廠商需要等待更新。而使用私有協議,或者說自主技術的公司則不會有太多影響。即便有確實需要調整的,調整自己的協議也是很快的。
對於準備積極投身全球市場的互聯網企業而言,國內過於野蠻生長的市場環境和「中國式」的快節奏發展實際上掩蓋了很多問題和漏洞。
「像是以前國內軟件廠商推行的全民開機時間 PK,在歐洲是不可想像的,因為那完全涉及到個人隱私。國內很多博噱頭的運營方式在歐盟新規下就未必合適了。」
可以說,GDPR 對數據隱私的部分保護條款甚至有違背我們的「常理」,而這又是出海企業不得不面對的問題,否則只能放棄歐盟市場,所以才更值得企業的領導層面以及產品業務的設計者重視和學習。
「重災區」
更新後的 GDPR 法案長達 91 個條文,共 204 頁,我們很難在此一一贅述。參考專業人士分析,前中國移動業務支撐系統部經理、通信行業老兵寧宇在其個人主頁上的分析,GDPR 影響最為重要的約束包括兩個方面:
其一,根據 GDPR 的要求,處理個人數據必須要有合法理由和方式,而對於"合法"的定義非常嚴苛。
除了拓寬「個人數據」的範圍、並將高度保護個人隱私的「數據可攜權」和「被遺忘權」明確寫入法條之外,GDPR 還強調了數據保護要由「屬地」向「屬人」轉變。
這意味着,條例的適用範圍不再局限於歐盟境內,任何企業只要向歐盟市場提供商品服務,收集或處理個人數據,都受到管轄。無疑,這對從事數據收集和處理的企業及其產業鏈,都提出了極高的要求。
其二,GDPR 中明確定義了數據主體的權利,在為個人有效行使權利提供法律保障的同時,也對企業處理和使用數據提出了苛刻的要求。
這意味着,那些拿客戶數據打標籤做畫像的創業,將被要求公開其基本算法邏輯和運算結果。
除此之外,目前熱門的大數據分析公司,因個人資料保護範圍更廣,想運用 AI 工具做資料分析的運作空間,也將大大縮水。
為此,來自劍橋和倫敦大學學院的創業團隊 MediaGamm 則給出一條不錯的思路模型。這是一家在線用戶行為預測公司,基於特定的算法對廣告技術公司的競價算法進行優化,幫助廣告主深度挖掘媒體數據,進而優化廣告投放方案。
MediaGamm CEO Rael Cline 在接受採訪時表示,「我們必須做出改變以確保能遵守 GDPR,其中包括限制我們持有授權數據的時間,以及確保在客戶要求刪除特定記錄時能夠應答。」
Rael Cline 還提到了應用 Look-a-like 相似人群擴展的方式來提升用戶精度,與此同時,降低對於用戶基數的要求。這和當下提倡的小規模數據模型很相似。
例如,在線廣告行業中,隨着同意(企業新隱私條款)的用戶數量的減少,可以應用人工智能來對這些已同意的用戶的行為進行建模,然後根據共享屬性找到相似的用戶。
在雲服務層面,雲計算倡導多層次連接和互用組合的理念與 GDPR 的「有跡可循」要求存在着不可調和的矛盾。GDPR 對數據的控制者和數據的處理者都提出了同樣的要求,共同承擔起數據安全保護的責任,但這同時涉及到雲服務的提供商和雲計算的客戶兩個環節的權益。
在雲服務的基礎設施服務、平台、應用三個層級間,數據的流通和空間的共享等複雜多線程問題究竟該取得哪些人的同意還很難說清楚。
一名英特爾的顧問就憂心地指出,歐盟的 GDPR 主要用來限制個人資料使用,卻沒有建立一套規則協助重度使用資料的公司運作。
就當下而言,最為重要的還是為用戶爭取到最基本的刪除權、知情權等。
阿里雲表示,其產品規劃中遵從默認隱私設計(Privacy by Design)規範,已提供帳號刪除功能,全球客戶可以自助操作完成。所有新發表的雲產品上線之前,也都通過安全與隱私設計的雙重評估。
微軟透露,已經為 GDPR 項目投入 1600 多名工程師,他們將為全球客戶提供正在為歐洲建設的符合 GDPR 的工具,微軟的客戶可以查看、刪除和移動他們的個人數據。
數據「嚴法」的下一站:不止於歐盟
歐盟通過單行法(GDPR)來覆蓋各行各業的個人信息處理行為,在數據驅動的時代下,除了保護個人數據,更為重要的是彰顯了保護基本人權的理念。
事實上,歐盟之後再立數據嚴法的潛在地區已經可以想像。「這部法案不僅對於北美,對於亞洲、海灣阿拉伯地區的數據保護都有參考意義。」業內人士向極客公園分析道。
在扎克伯克現身美國國會接受數據泄露醜聞事件質詢時,民主黨領袖 Frank Pallone 就曾建議,「我們需要全面的隱私和數據安全立法」,作為在社交網絡上出現外國干擾時,「保護我們的民主」的步驟,國會議員們也反覆提及 GDPR。
有分析人士認為,歐盟過去訂立的環保標準最終成為全球標準,如今邁入物聯網時代,大數據分析傳輸已經無可避免,面對這項號稱史上最嚴格的資料保護令,企業要有心理準備,GDPR 非常有可能成為資料保護的全球通用標準。
出門問問李志飛及其法務則提到,在通用性數據保護方案的普及問題上,還需要注意到國家層面的數據戰略方向。
他們表示,歐洲與美國對於數據/隱私保護與科技發展的思維是不一樣的,以人工智能為例,全球都處於發展人工智能的浪潮中,歐洲採取人工智能法律和倫理規則先行,已經試圖用正確的價值觀來約束技術開發與應用。
而美國在人工智能有法律提案時,更多涉及如何促進技術創新應用,進行事後監管加自律,以最佳實踐來回應各種挑戰,最後立法。GDPR 對個人隱私的保護力度之全面,應當是有標桿作用的,但各國是否會完全按照歐盟的做法來參照,還要取決於國家對數據保護的戰略性方向。
但是數據的流通性必然涉及國家間的數據跨境流動,這一定會對北美甚至全球都帶來一定的影響,也會為其他國家改善監管思路與數據立法起到一定的參考意義。
「單挑」黑盒子
GDPR 數據法案落地,也激起了學術界的熱烈討論。GDPR 一項關於強調「透明處理原則」的條例,近乎將深度學習算法推上了被告席的位置。
今年初,華盛頓大學計算機科學與工程學教授 Pedro Domingos 就曾在 Twitter 上說道,GDPR 要求算法有可解釋性,這讓深度學習成了違法行為!
在 GDPR 的條例中明確表示,針對「個人化自動決策」賦予用戶請求解釋、拒絕適用的權利,換句話說,就是將近年來學術討論逐漸熱絡的「可信任/解釋的人工智能」直接納入法律,試圖引起全面性的重視。
但實際上,機器學習,尤其深度學習,有如在黑盒子內進行的過程,就像人類的神經網路,究竟如何決定數據的關聯性與權重以形成決策,向來是個難解的謎團。
為此,企業至少需要有能力在足以保護用戶權益的範圍內,簡要說明怎樣的數據會導致怎樣的決策、數據的變動如何影響決策的變動,並賦予用戶可以拒絕適用、表達意見、介入判斷的權利。
舉例來說,如果線上個人保險業務完全透過算法、自動決定用戶的保費金額,企業必須能夠說明如何計算保費高低?是由哪些因素所決定?例如,是受到用戶年齡、健康狀況、駕駛習慣、肇事紀錄等因素影響。而如果用戶認為權益受損,則可以表示異議。
但同時也有分析人士指出,這可能加重算法中作弊的可能。
另一方面,最小限度利用個人數據原則的提出,為企業在數據層面的評判和算法能力提出了更高要求。「即使在大數據條件下,小部分人刪掉數據之後,用小數據也要能夠學會大智慧。」微軟首席語音科學家、IEEE/ACM 雙科院士黃學東向極客公園表示。
而邊緣處理方案則避免了數據交叉使用的可能。如今,蘋果、華為等手機巨頭廠商紛紛推出自研芯片,正在試圖將此前在「雲端」處理的操作轉移到設備端的本地完成。
華為歐洲西部分公司首席營銷官 Andrew Garrihy 接受採訪時表示,移動 AI 讓我們能夠在設備中執行大量 AI 計算和智能。這意味着非常敏感的個人數據將不再需要去雲端。專用芯片可能成為一種幫助消費者控制自己的數據結束位置的工具。
在物聯網和人工智能時代,「數據就是新石油」的認知被越來越多人接受,但與此同時,我們無法對於數據濫用和違規的問題熟視無睹,為規整步伐而降低速度的做法將成為政府的折中選擇。
為邁過這段過渡期,獻上明日法律事務所主持律師王琍瑩的錦囊一副——「兼顧天平的兩端,在策略方向上,必須掌握數據作為商業競爭的致勝關鍵,而在執行層面,仍應落實個人資料歸個人控制的原則,不能偏廢。」
文中說GDPR有91個條文,共204頁,請問資料從何而來?
我在另一篇報導見到GDPR的Full Text只有88頁,99個articles.
http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
如果直接搜尋"Regulation (EU) 2016/679" (即GDPR),也能找到相同結果。
隐私保护当然是好事了,不过我好奇的是Google、Facebook这些根据用户数据推广广告的怎么办?像各个音乐、视频、购物网站因为地区版权原因需要用户地理信息或者IP地址的怎么处理?又比如连线的地图导航轨迹数据怎么处理?类似此类的模糊地带还非常的多。我个人的看法是这些都需要慢慢形成一个社会共识的平衡,而不是极端的一刀切。
从法律层面来说,美国带头以国内法限制他国企业的行为,各国也在跟进。这次欧盟从属地转向属人,如果各国也跟进类似的话,那么怎么办?我个人看法是最好全球在类似联合国或者WTO类似架构下统一对应标准。