2019，数据保护执法元年之趋势展望

Commvault大中华区总经理王波

在欧盟《通用数据保护条例》（GDPR）正式生效后，2019年当之无愧成为数据保护的执法元年。今年1月，法国数据保护监管机构“国家信息与通信委员会”就依据GDPR向谷歌开出了5000万欧元（约合3.8亿元人民币）巨额罚单，理由是谷歌在向用户定向发送广告时缺乏透明度、信息不足，且未获得用户有效许可。这也是新欧洲隐私法生效以来开出的首张罚单。

引入GDPR后，企业在保护个人数据和隐私方面采取了一些措施。然而，最近由Commvault在伦敦举行的第一届数据保护世界论坛上进行的民意调查显示，还有更多工作要做。在此次活动中接受调查的IT和数据专家中有80％表示，他们对企业目前遵守GDPR等数据保护法规的程度并非信心满满，同时仍有37％的专家认为需要更多监管法规出台。这恰恰与不断变化的消费者观点不谋而合，数据隐私是一项个人人权，不能因为商业利益而牺牲。

以下是我对未来数据隐私保护的三大趋势预测。

消费者数据保护意识日渐觉醒

去年11月微博网友“花总丢了金箍棒”（简称“花总”）发布视频《杯子的秘密》，用11分钟偷拍画面揭露了14家存在卫生乱象的五星级酒店。上述视频共引发多家高端酒店公开致歉。但爆料人“花总”的个人信息多次遭到泄露，并遭遇“死亡威胁”。经过40多天的追踪，花总确定了泄露其个人信息的最上游，随后正式向深圳警方报案，同时委托律师对其个人信息泄露一事进行法律维权。

在个人信息保护维权路上奔走的花总并非个例。据香港特区个人资料隐私专委黃继儿统计，2018年全球有超过14亿人的数据遭遇外泄。隐私泄露几乎成了悬在每个人头上的“达摩克利斯之剑”，个人信息安全成为重要的社会议题，始终牵动着公众神经。只有越来越多的个人拿起法律武器保护自己的个人数据和隐私，才能唤起社会和监管机构对这一问题的更多关注，从而倒逼相关法律法规出台。目前中国立法机关已经把“个人信息保护法”和“数据安全法”列入国家五年立法规划的第一序列。这意味着，个人信息保护专门立法即将到来。

同时，对于企业而言，应不断提升自身透明度，与消费者就如何应用其个人数据达成一致，从而赢得消费者信任。

全球范围合规水平参差不齐

目前在28个欧盟国家中，已有21个国家将GDPR融入了国内法律，其余国家也纷纷于就GDPR的推行问题开展了公开讨论或提出修订草案，一些已经进入了立法程序。然而美国目前既没有专门的数据保护法律法规，也没有对应的职能部门对此进行监管。微软首席执行官纳德拉在参加2019年世界经济论坛期间表示，对数据保护立法的改革不应该停留在欧洲，美国和世界其他国家也应该效仿，在全球范围内达成共同标准。

在企业层面，有些跨国公司会尽最大努力遵守最严格的法律标准，从而使其在各个国家内的分支机构受益。有些公司会根据地域法规不同，在各个区域分别进行风险评估，并采取相应措施。还有些公司仍然只是口头应付，因为迄今为止，实施重大处罚的案件数量十分有限。虽然对谷歌征收的5000万欧元罚款可能会引起一些企业的关注，但大部分企业仍然处于事不关己的状态中。对于谷歌这样一家国际巨头而言，5000万欧元的罚款其实只是九牛一毛。正是因为它拥有巨大的社会影响力，才容易被视为标靶，以儆效尤。其他很多大型企业由于相对默默无闻，感觉自身仍然处于安全状态。

个人数据自动化处理的道德问题

在对来自可穿戴设备、移动设备和物联网的个人数据进行自动化处理时，特别是应用机器学习和AI技术分析时，对个人数据匿名，有时可以避免触及个人隐私问题。但就如何在匿名状态下使用和管理个人数据，我们仍然处于道德讨论的初期阶段。

首先，即使使用匿名数据，企业仍然可以从个人信息中获利。我们看到一些聪明的消费者开始关注他们的信息如何变现，并且展开行动。2018年研究表明，如果让Facebook用户在一年内停用其账号，用户希望获得的酬劳是超过1000美元。考虑到个人数据给Facebook带来的价值，我们也乐于看到企业为使用个人数据而付费，当然是在个人同意的前提下。

其次，匿名数据存在道德困境。比如，医疗研究人员使用AI技术对可穿戴设备跟踪的心脏活动信息进行匿名分析。如果其中一位研究人员发现某项数据存在罹患疾病的风险，他是否有道德义务通知这项个人数据的拥有者？当然，如果数据都是匿名的，这显然不可能。《英国数据保护法》明确禁止对个人数据实名化，处罚非常严重，甚至涉及坐牢。随着深度学习和AI技术从通过各种复杂方式收集的数据中获得更多的洞察力，如何处理这类道德问题仍将是未来几年的争论焦点。

那么企业如何防患于未然呢？在前面提到的民意调查中，80%的专家同意，对个人数据使用和隐私保护加强法律监管，会对企业产生有利影响。加强数据保护，就必须提高数据管理水平。这意味着企业可以节省资金，并更有效的使用自身数据应对业务挑战，同时赢得客户信任。这对企业和消费者来说是双赢局面。只有当企业对个人数据保护长期有所为，我们才能看到数据隐私保护的光明未来。