2019,資料保護執法元年之趨勢展望
作者:Commvault大中華區總經理 王波
引入GDPR後,企業在保護個人資料和隱私方面採取了一些措施。然而,最近由Commvault在倫敦舉行的第一屆資料保護世界論壇上進行的民意調查顯示,還有更多工作要做。在此次活動中接受調查的IT和資料專家中有80%表示,他們對企業目前遵守GDPR等資料保護法規的程度並非信心滿滿,同時仍有37%的專家認為需要更多監管法規出臺。這恰恰與不斷變化的消費者觀點不謀而合,資料隱私是一項個人人權,不能因為商業利益而犧牲。
以下是我對未來資料隱私保護的三大趨勢預測。
消費者資料保護意識日漸覺醒
去年11月微博網友“花總丟了金箍棒”(簡稱“花總”)釋出視訊《杯子的祕密》,用11分鐘偷拍畫面揭露了14家存在衛生亂象的五星級酒店。上述視訊共引發多家高階酒店公開致歉。但爆料人“花總”的個人資訊多次遭到洩露,並遭遇“死亡威脅”。經過40多天的追蹤,花總確定了洩露其個人資訊的最上游,隨後正式向深圳警方報案,同時委託律師對其個人資訊洩露一事進行法律維權。
在個人資訊保護維權路上奔走的花總並非個例。據香港特區個人資料隱私專委黃繼兒統計,2018年全球有超過14億人的資料遭遇外洩。隱私洩露幾乎成了懸在每個人頭上的“達摩克利斯之劍”,個人資訊保安成為重要的社會議題,始終牽動著公眾神經。只有越來越多的個人拿起法律武器保護自己的個人資料和隱私,才能喚起社會和監管機構對這一問題的更多關注,從而倒逼相關法律法規出臺。目前中國立法機關已經把“個人資訊保護法”和“資料安全法”列入國家五年立法規劃的第一序列。這意味著,個人資訊保護專門立法即將到來。
同時,對於企業而言,應不斷提升自身透明度,與消費者就如何應用其個人資料達成一致,從而贏得消費者信任。
全球範圍合規水平參差不齊
目前在28個歐盟國家中,已有21個國家將GDPR融入了國內法律,其餘國家也紛紛於就GDPR的推行問題開展了公開討論或提出修訂草案,一些已經進入了立法程式。然而美國目前既沒有專門的資料保護法律法規,也沒有對應的職能部門對此進行監管。微軟執行長納德拉在參加2019年世界經濟論壇期間表示,對資料保護立法的改革不應該停留在歐洲,美國和世界其他國家也應該效仿,在全球範圍內達成共同標準。
在企業層面,有些跨國公司會盡最大努力遵守最嚴格的法律標準,從而使其在各個國家內的分支機構受益。有些公司會根據地域法規不同,在各個區域分別進行風險評估,並採取相應措施。還有些公司仍然只是口頭應付,因為迄今為止,實施重大處罰的案件數量十分有限。雖然對谷歌徵收的5000萬歐元罰款可能會引起一些企業的關注,但大部分企業仍然處於事不關己的狀態中。對於谷歌這樣一家國際巨頭而言,5000萬歐元的罰款其實只是九牛一毛。正是因為它擁有巨大的社會影響力,才容易被視為標靶,以儆效尤。其他很多大型企業由於相對默默無聞,感覺自身仍然處於安全狀態。
個人資料自動化處理的道德問題
在對來自可穿戴裝置、移動裝置和物聯網的個人資料進行自動化處理時,特別是應用機器學習和AI技術分析時,對個人資料匿名,有時可以避免觸及個人隱私問題。但就如何在匿名狀態下使用和管理個人資料,我們仍然處於道德討論的初期階段。
首先,即使使用匿名資料,企業仍然可以從個人資訊中獲利。我們看到一些聰明的消費者開始關注他們的資訊如何變現, 並且展開行動。 2018年研究表明,如果讓Facebook使用者在一年內停用其賬號,使用者希望獲得的酬勞是超過1,000美元。考慮到個人資料給Facebook帶來的價值,我們也樂於看到企業為使用個人資料而付費,當然是在個人同意的前提下。
其次,匿名資料存在道德困境。比如,醫療研究人員使用AI技術對可穿戴裝置跟蹤的心臟活動資訊進行匿名分析。如果其中一位研究人員發現某項資料存在罹患疾病的風險,他是否有道德義務通知這項個人資料的擁有者?當然,如果資料都是匿名的,這顯然不可能。《英國資料保護法》明確禁止對個人資料實名化,處罰非常嚴重,甚至涉及坐牢。隨著深度學習和AI技術從通過各種複雜方式收集的資料中獲得更多的洞察力,如何處理這類道德問題仍將是未來幾年的爭論焦點。
那麼企業如何防患於未然呢?在前面提到的民意調查中,80%的專家同意,對個人資料使用和隱私保護加強法律監管,會對企業產生有利影響。加強資料保護,就必須提高資料管理水平。這意味著企業可以節省資金,並更有效的使用自身資料應對業務挑戰,同時贏得客戶信任。這對企業和消費者來說是雙贏局面。只有當企業對個人資料保護長期有所為,我們才能看到資料隱私保護的光明未來。