2019，資料保護執法元年之趨勢展望

作者：Commvault大中華區總經理 王波

引入GDPR後，企業在保護個人資料和隱私方面採取了一些措施。然而，最近由Commvault在倫敦舉行的第一屆資料保護世界論壇上進行的民意調查顯示，還有更多工作要做。在此次活動中接受調查的IT和資料專家中有80％表示，他們對企業目前遵守GDPR等資料保護法規的程度並非信心滿滿，同時仍有37％的專家認為需要更多監管法規出臺。這恰恰與不斷變化的消費者觀點不謀而合，資料隱私是一項個人人權，不能因為商業利益而犧牲。

以下是我對未來資料隱私保護的三大趨勢預測。

消費者資料保護意識日漸覺醒

去年11月微博網友“花總丟了金箍棒”（簡稱“花總”）釋出視訊《杯子的祕密》，用11分鐘偷拍畫面揭露了14家存在衛生亂象的五星級酒店。上述視訊共引發多家高階酒店公開致歉。但爆料人“花總”的個人資訊多次遭到洩露，並遭遇“死亡威脅”。經過40多天的追蹤，花總確定了洩露其個人資訊的最上游，隨後正式向深圳警方報案，同時委託律師對其個人資訊洩露一事進行法律維權。

在個人資訊保護維權路上奔走的花總並非個例。據香港特區個人資料隱私專委黃繼兒統計，2018年全球有超過14億人的資料遭遇外洩。隱私洩露幾乎成了懸在每個人頭上的“達摩克利斯之劍”，個人資訊保安成為重要的社會議題，始終牽動著公眾神經。只有越來越多的個人拿起法律武器保護自己的個人資料和隱私，才能喚起社會和監管機構對這一問題的更多關注，從而倒逼相關法律法規出臺。目前中國立法機關已經把“個人資訊保護法”和“資料安全法”列入國家五年立法規劃的第一序列。這意味著，個人資訊保護專門立法即將到來。

同時，對於企業而言，應不斷提升自身透明度，與消費者就如何應用其個人資料達成一致，從而贏得消費者信任。

全球範圍合規水平參差不齊

目前在28個歐盟國家中，已有21個國家將GDPR融入了國內法律，其餘國家也紛紛於就GDPR的推行問題開展了公開討論或提出修訂草案，一些已經進入了立法程式。然而美國目前既沒有專門的資料保護法律法規，也沒有對應的職能部門對此進行監管。微軟執行長納德拉在參加2019年世界經濟論壇期間表示，對資料保護立法的改革不應該停留在歐洲，美國和世界其他國家也應該效仿，在全球範圍內達成共同標準。

在企業層面，有些跨國公司會盡最大努力遵守最嚴格的法律標準，從而使其在各個國家內的分支機構受益。有些公司會根據地域法規不同，在各個區域分別進行風險評估，並採取相應措施。還有些公司仍然只是口頭應付，因為迄今為止，實施重大處罰的案件數量十分有限。雖然對谷歌徵收的5000萬歐元罰款可能會引起一些企業的關注，但大部分企業仍然處於事不關己的狀態中。對於谷歌這樣一家國際巨頭而言，5000萬歐元的罰款其實只是九牛一毛。正是因為它擁有巨大的社會影響力，才容易被視為標靶，以儆效尤。其他很多大型企業由於相對默默無聞，感覺自身仍然處於安全狀態。

個人資料自動化處理的道德問題

在對來自可穿戴裝置、移動裝置和物聯網的個人資料進行自動化處理時，特別是應用機器學習和AI技術分析時，對個人資料匿名，有時可以避免觸及個人隱私問題。但就如何在匿名狀態下使用和管理個人資料，我們仍然處於道德討論的初期階段。

首先，即使使用匿名資料，企業仍然可以從個人資訊中獲利。我們看到一些聰明的消費者開始關注他們的資訊如何變現， 並且展開行動。 2018年研究表明，如果讓Facebook使用者在一年內停用其賬號，使用者希望獲得的酬勞是超過1,000美元。考慮到個人資料給Facebook帶來的價值，我們也樂於看到企業為使用個人資料而付費，當然是在個人同意的前提下。

其次，匿名資料存在道德困境。比如，醫療研究人員使用AI技術對可穿戴裝置跟蹤的心臟活動資訊進行匿名分析。如果其中一位研究人員發現某項資料存在罹患疾病的風險，他是否有道德義務通知這項個人資料的擁有者？當然，如果資料都是匿名的，這顯然不可能。《英國資料保護法》明確禁止對個人資料實名化，處罰非常嚴重，甚至涉及坐牢。隨著深度學習和AI技術從通過各種複雜方式收集的資料中獲得更多的洞察力，如何處理這類道德問題仍將是未來幾年的爭論焦點。

那麼企業如何防患於未然呢？在前面提到的民意調查中，80%的專家同意，對個人資料使用和隱私保護加強法律監管，會對企業產生有利影響。加強資料保護，就必須提高資料管理水平。這意味著企業可以節省資金，並更有效的使用自身資料應對業務挑戰，同時贏得客戶信任。這對企業和消費者來說是雙贏局面。只有當企業對個人資料保護長期有所為，我們才能看到資料隱私保護的光明未來。