数据安全治理进行时

　　欧盟《通用数据保护条例》（GDPR）正式生效两个月后，谷歌、脸书、微软和推特宣布合作，推出一个开源的数据传输项目，革新数据流通方式，分散风险。GDPR到底是悬在企业头顶的一把利剑，还是实际效用将有限？是该CIO还是谁来负责GDPR？它又能给我国数据监管怎样的启示？让我们一一梳理数据安全治理的来龙去脉。

　　数据安全是越来越受关注了。

　　7月20日，谷歌、脸书、微软和推特宣布合作一个开源的数据传输项目（Data Transfer Project）——无需下载再重新上传的跨平台数据传输工具，旨在革新数据在不同平台间的流通方式。项目白皮书写道：数据的转移在未来将需要更全面，更灵活和更开放。我们对这个项目的希望是，它将在多个公共服务公司之间建立连接，改善数据导入和导出。”

　　有人解读，这对数据共享项目是一个微妙的时间点。Facebook的API还没摆脱剑桥分析丑闻的影响，业界仍然在探索用户数据所有权的问题。谷歌一直在努力应对自己的API丑闻，第三方电子邮件应用程序对Gmail用户数据处理不当引发了强烈抗议。在某些方面，这个项目对于四家公司而言将是一种管理风险的方法，可以把责任分散出去。

　　众所周知，2018年5月25日，欧盟的《通用数据保护条例》（GDPR）正式生效。GDPR法规要求产品披露所有用户信息，这意味着法规的要求非常全面，除了电子邮件或照片，位置历史记录和面部识别配置文件数据也被包含其中。

　　对于技术公司而言，API的优点是，作为数据提供者它们能够关闭渠道或对如何使用它施加使用条件，而如果使用数据下载工具，数据离开之后，它们就无法再做任何有效的控制和保护了。面对愈演愈烈的垄断质疑，尤其是数据访问的质疑，对像脸书这样的大型科技公司而言，共享数据将成为他们痛感最小的应对方式。

　　北京理工大学软件学院副教授闫怀志认为，从管辖地域范围来看，GDPR的管辖范围既包括在欧盟境内有实体的组织，也包括在欧盟境内提供商品或服务，或者监控在欧盟内欧盟居民行为的组织，而无论该组织是否在欧盟成员国内有无实体或在成员国内处理信息。也就是说，只要任何涉及欧盟境内个体的个人数据的处理行为，无论谁来处理无论在哪儿处理，只要涉及欧盟境内人员或成员国公民，均需遵循该条例，而且适用范围也由属地扩展到个人。“虽然GDPR表面上强调的是保护自然人的个人信息权利，但是个人信息权利是同政治、经济、文化、意识形态等都是息息相关的，必要时欧盟成员国可能会利用这个工具来为其国家安全、社会稳定、经济竞争服务。”

　　其实，数据安全的鼓不只国外在敲，我国也一样。近日，我国首次开展大数据安全整治工作，包括大数据的采集、存储、应用、传输、销毁等全生命周期的监管、安全以及保护，并重点针对大数据平台、电子邮件系统以及个人信息泄露等问题。

　　公安部网络安全保卫局总工程师郭启全表示，大数据安全整治是我国近期正在开展的全国网络安全执法大检查行动中的重要内容，这也是首次将大数据安全纳入检查对象，尤其是针对公民个人信息的保护将是执法的重中之重。此次大数据安全整治将全面对我国大数据信息内容、存储位置、所涉企业进行摸底。同时，对企业采集信息来源开展执法检查，对数据采集的合法性、应用的范围限制等进行确定。其中，对合法采集内容与非法采集内容进行分类也是重点工作之一。

　　数据分量日重，安全需求迫切，有效治理势在必行。那就让我们以GDPR为契机，梳理一下数据安全治理的来龙去脉。

　　GDPR来了 你怎么看

　　欧盟《通用数据保护条例》(GDPR)已正式生效两个月，其涉及面广、影响深远，引发了各方的深入研究和激烈讨论。

　　悬在企业头顶的一把利剑

　　GDPR的官方网站显示，GDPR开始实施后，数据泄露将不再是企业声誉受损或营业额下降这么简单，违反GDPR，轻者将被处以1000万欧元或者上一年度全球营收2%的罚款，两者取其高；重者将被处以2000万欧元或者企业上一年度全球营业收入4%的罚款，两者取其高。决定罚金有十大标准，包括侵权的性质、意图、缓解措施、预防性措施、历史、合作、数据类型、通知、认证及其他。

　　Sophos的调查数据显示，超过25%的企业声称，如此重罚会让他们彻底倒闭（如果企业规模不足50人，将有超过一半的企业受罚后会关闭）；40%的IT决策者表示，如果遭罚，裁员将不可避免。

　　一些西方人士指出，欧盟制定GDPR的初衷是限制谷歌、脸书、优步这些大企业，但是，结果可能是大量中小企业“躺枪”。因为大企业凭借其雄厚的资金和技术实力可以最终克服一时的困难，而对于广大中小企业来说，它们面临的则是生存危机。

　　中央财经大学法学院教授吴韬认为，GDPR无疑将极大增加所有相关企业的合规成本，但是对中小企业尤甚。由于中小企业在技术、法律能力等方面的局限，它们在GDPR面前更为脆弱。无论是违法成本（高额罚款）还是为了避免违法付出的合规成本，相对于有限的盈利而言，都是不成比例的。

　　GDPR可谓悬在企业头顶上的一把利剑。

　　实际效用有限？

　　南京信息工程大学法政学院副教授蒋洁认为，GDPR的实际效用颇为有限，甚至可以推测在很长一段时间内不能发挥出预想中保障用户数据权益、欧盟数据主权和提振本土数字经济的作用。首先，GDPR对跨境互联网巨头企业的规制作用较为有限。最初设想中，这部“史上最严的隐私数据保护条例”将通过用户“明确同意”、“被遗忘权利”、“数据使用知情权”等条款强有力地规制美国谷歌、脸书公司等在欧洲地区的数据收集、存储和使用。然而，目前不少企业更新的隐私条款采用隐性的“同意或退出”的强迫选择方式要求用户广泛、明确地进行授权。同时，当前国际互联网巨头企业的数据安全防护与数据去真处理的技术和程序普遍较为完善。此前在数据收集和使用上暴露出的问题常常是因为“忘记”写入隐私条款，而不是用户特别重视数据隐私。GDPR不过是促使这些企业通过冗长的隐私政策将可能违反GDPR规定的内容事无巨细地逐项写入，进而分门别类地、轻而易举地取得用户的“明确同意”，顺理成章地履行了合规义务。

　　GDPR落地实施的过程中，亟待对隐私政策条款“清晰而平实”的表达方式进行细化规定；对“同意或退出”的隐性强制进行广泛梳理；对企业在使用用户数据中保持公平、公正、公开的连贯性做法进行全面的技术规范（尤其是避免各种潜在歧视）。这些也是目前推测的GDPR解释条款的进一步发展方向。

　　是CIO还是谁来负责GDPR

　　Veritas公司大中华区总裁杨晨告诉记者，很多企业并不十分了解企业内部数据的管理权归属。企业高管常常认为CIO是负责GDPR的关键人物，而CIO又认为这是高管的职责。公平地说，这需要多个职能部门的配合。企业需要在创建合规和数据治理文化时，彻底改变思维模式。确保GDPR合规性不只是CIO一个人的职责，而是需要所有部门的共同努力。

　　北京理工大学软件学院副教授闫怀志指出，GDPR是与当前网络空间现状最为契合的数据保护条例，必将对包括我国在内的全球各国的数据保护、数据安全管理以及互联网治理提供重要的借鉴蓝本。他做了如下阐释：“第一，GDPR要求设立企业和机构设立专门的数据保护官员（Data Protection Officer）来负责数据管理，我国也可以适当考虑要求企业和机构设立类似职位或设定类似职能。第二，GDPR不仅倒逼中国企业更加重视个人数据安全和隐私保护，而且也为中国保护个人数据安全提供了一种思路：中国也可以制定类似条例来维护我国公民的数据安全，防止国内外机构非法滥用。第三，中国很多企业机构的业务流程、现用的大量系统（Web系统或手机App），均不同程度地不符合GDPR规定，因此，这也为相关产业的发展带来了新的机遇。比如，遵照GDPR规定，开发适用于企业业务流程与所用信息系统的GDPR合规检测或改造工具，可能会是一个较大的市场蓝海空间。”

　　从GDPR看我国数据监管新路径

　　2018年3月，美国国会通过了CLOUD法案，欧洲议会近期也宣布将实施欧盟通用的《通用数据保护条例》（即GDPR法案）。CLOUD法案与GDPR法案，都明确了数据保护法规的适用范围和对象，并就数据主权和数据管辖权作出了清晰界定。

　　美国CLOUD法案主要是为了解决两个场景：一是美国执法部门所需的数据恰好存储在美国境外；二是外国执法机构需要访问存储在美国的数据。

　　欧盟GDPR法案是为了解决两个问题：一是因欧盟内地域差异而导致的数据运营企业和个人的权利、义务界定不同；二是如何处理数据泄露带来的隐私侵权问题。

　　欧盟GDPR法案带来了深远影响。一是延伸了传统意义上的监管范围，体现了强烈的国家利益色彩。将数据监管的适用范围从境内扩大到了境外，很大程度上维护了国家的数据主权与信息安全。二是IT企业在经营跨国业务时或将面临新的壁垒，在美国或欧盟建设和运营数据中心时会出现一系列新的障碍，造成企业合规成本的大幅提高。三是两个法案均对数据跨境纠纷处理预留了一定的缓冲空间，对于新形势下的数据监管国际标准的争夺埋下了伏笔。

　　法案对我国数据安全保护和监管带来很大启示：

　　数据管辖权应纳入国家安全的核心范畴。无论是美国CLOUD法案还是欧盟GDPR法案，都明确了数据管辖权的范围，这体现了美国和欧盟对数据管辖权的高度重视。当前，数据安全已愈发成为国家安全战略的重要组成部分，维护国家对数据监管的合理性与合法性，是保障国家安全不可或缺的关键战略之一。我国现行的《网络安全法》十分清晰地界定了企业、监管部门、责任人等方面的权利与义务，但对于数据管辖权尚无清晰明确的表述。出于填补上述法理性空白、维护国家战略安全的考虑，及时出台明晰的数据监管法律条例是防止国家利益受损的必要措施。

　　数据监管法的制定应基于国际视野。在全球数字经济发展大潮下，数据的跨境流动、交易、管辖等方面是数据监管的主要聚焦点。我国目前尚未出台针对国际跨境数据隐私安全纠纷的处理办法，操作细则以及处罚措施。海外数据运营商在我国运营应适用哪些法律和管理条例，我国数据运营商在海外应如何调整企业自身法务战略，都是全球合作和竞争必须考虑的问题。可以预见，未来涉及跨境数据监管与国际执法纠纷将层出不穷，国际监管标准的制定有望成为解决国际数据纠纷的重要手段。

　　数据监管法的执行应考虑平衡掣肘。一方面，数据监管的执法尺度需要从商业市场的实际角度出发，做到谨慎拿捏。GDPR法案中对企业和个人用户的数据权利进行了明确划分，这种设计思想包含了对国家监管权利、企业正当利益、个人隐私保护等多方的平衡考虑，符合市场长远发展的需求。

　　另一方面，美国和欧盟的法案都预留了执法的变通机制。目前，我国《网络安全法》和《个人信息安全规范》等有关法律条例已经对网络运营商和个人敏感信息的保护办法做出详细的规定，但是对于例外情况、特定事件和场景的商榷余地有待完善，后续在制定、执行有关数据法律时应充分弥补在这一点上的空缺。

　　（赛迪研究院 钟新龙 黄文鸿）

　　厘清欧盟GDPR六大认识误区

　　误区1 会限制经济社会发展

　　《条例》要求，不能以保护个人数据为由，对欧盟内部个人数据的自由流动进行限制或禁止。《条例》认为，数据主体享有的权利并不是绝对的，有关数据权利应当与其他权利及正当利益之间形成恰当的平衡关系，以更好地促进经济社会发展，比如公共利益、科学研究、社会统计、言论自由、新闻传播、个人其他权益等需要。

　　为此，《条例》应兼顾平衡，对个人数据保护权利作出适当限制，对义务、责任予以适当豁免。例如，数据访问权、被遗忘权、数据可携权等条款，均要在有限定条件下实行，规模在250人以下的中小企业可以豁免其数据活动文档化记录义务，引入多种变通机制来调和不同权利，在原则性禁止条款中设置用户同意例外。

　　误区2 个人信息使用必须征得个人同意

　　《条例》未将用户同意作为数据收集和使用的唯一合法理由。考虑到数据处理的多种可能场景以及其他正当利益需求，除了数据主体同意之外，《条例》还规定了五类个人数据处理情形，可以默认为“同意”的替代机制，包括：数据控制者为了公共利益或履行法律职责的需要，为了履行数据主体所参与的合同，为了保护数据主体或其他自然人的核心利益，保护数据控制者或第三方所追求的正当利益等五种情况。

　　误区3 个人随时可以主张删除数据

　　《条例》提出的“被遗忘权”，是指当用户依法撤回同意或控制者不再享有合法理由继续处理数据等情形时，用户有权要求删除数据，该权利是传统个人数据保护法中“删除权”的升级。《条例》要求数据控制者采取所有合理方式予以删除，并通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接等。但在开放的网络空间，要控制者去确定并通知所有第三方删除，操作难度非常大，几乎难以完成。此外，《条例》规定了不适用“被遗忘权”例外情形，包括基于表达自由、信息自由、公共利益、履行法律职责、历史记录、社会统计、科学研究、合法权利等多种情形。

　　误区4 数据可携权无条件限制

　　《条例》明确了个人有权获得其提供给数据控制者的相关个

　　人数据、且获得的个人数据应当是结构化的、普遍可使用的和机器可读的。同时，《条例》也明确了“可携权”适用的两个限定条件：在“用户同意”基础上的数据处理活动和处理通过自动化方式完成。《条例》同时要求可携带不能对他人的权利或自由产生负面影响，对于涉及到其他第三方个人数据的数据转移，只能将此类数据用于个人和家庭事务目的。《条例》同时认为，如果技术可行，数据主体应当有权将个人数据直接从一个控制者传输给另一个控制者，考虑到技术可行性，《条例》并没有将可携权上升到推广强制性的互兼容和互操作技术标准的程度。

　　误区5 数据跨境传输比以前更为严格

　　《条例》对跨境数据流动政策进行了大幅度改革，开辟了更多的合法数据跨境方式，提升跨境流动的灵活度。针对事前许可制度却带来官僚主义问题，《条例》简化了数据跨境传输机制，取消许可管理做法，只要符合了《条例》中跨境数据流动的相关条件，成员国则不得再通过许可方式予以限制。增加了充分性认定的对象类型，除了国家之外，还可针对一国的特定地区、行业领域，以及国际组织的保护水平作出评估判断。扩展“标准合同条款”，为企业提供更多符合实际需求的跨境转移合同文本选择。将“有约束力的公司规则”正式确定为法定有效的数据跨境机制，使得个人数据可以从集团内的一个成员合法传输给另一个成员。

　　误区6 数据控制者权益被极大剥夺

　　《条例》将数据控制者的正当利益与用户同意并列作为数据处理的合法理由，表明了个人的权利并不总是优先，而是需要在用户个人权利与数据控制者的合法利益之间做出平衡。比如，在下列情况下，数据控制者的权利将得到法律保护：基于交易历史的直接推广、以预防欺诈为目的的数据处理活动、出于保障网络信息安全目的处理个人信息、在集团或者系统内部出于行政管理需要的数据披露、向主管部门报告犯罪或者公共安全重大威胁。（赛迪研究院 陆峰）

　　本报记者 霍娜 杨光

关注读览天下微信， 100万篇深度好文， 等你来看……