2018是數據保護灰色之年？ 全球數據治理面臨四大挑戰

11月30日，萬豪集團對外公布，喜達屋旗下酒店的客房預訂數據庫被黑客入侵，在2018年9月10日或之前曾在該酒店預定的最多約5億名客人的信息或被泄露。此前中國的華住酒店集團也卷入了“數據泄露”風波。

業界認為，對于數據隱私和保護來說，2018年是灰色的一年。隨著人工智能、區塊鏈、大數據等業務浸入每個普通人的生活，新技術與傳統社會秩序之間的適應性問題日益突出。

這也是全球范圍數據治理面臨的挑戰：如何在促進以大數據為要素的技術產業創新的同時，又能保護好個人數據權利，保障好國家數據安全。

12月3日，在深圳舉行的第七屆北大-斯坦?；ヂ摼W法律與公共政策研討會上，“大數據保護和隱私安全”成為來自全球30多位專家學者共議的話題。

與會專家認為， 數據治理需要精細化設計政策，促進監管干預、技術路徑和市場動機等因素充分互動。

數據保護灰色年

騰訊研究院資深專家王融表示，之所以稱2018年是數據保護灰色之年，是因為接踵而至的負面消息與挑戰。

挑戰主要來自四個方面。其一是數據泄露事件一直在發生，而且規模越來越大，“今年的數據泄露都是億級以上，如萬豪集團事件；其二是數據濫用，如影響很大的Facebook事件；其三是數據歧視，國內不斷爆出的大數據殺熟事件（指同樣的商品或服務，老客戶得到的價格反而比新客戶要貴出許多的現象）；四是執法部門對數據的跨境獲取，比如美國今年出臺了Cloud法案（海外數據使用權明確法）。

通常而言，數據治理有產業視角、個體視角和國家視角三個不同維度。國家視角強調數字經濟競爭力和跨境數據流動安全，從個體來說強調個人權利保護，產業視角則強調技術創新和商業模式、平臺數據開放和數據競爭。

由于各國對待隱私和數據保護上有不同的標準、視角和做法，目前數據治理尚未達成共識，各方仍存在較多分歧。“這些問題曝光之后，我們目前并沒有找到特別清晰的思路。”王融說。

不過，2018年，無論是中國、美國還是歐盟，都在數據治理方面有了一些新進展。中國社會科學院法學研究所研究員周漢華介紹，個人信息的保護學術界呼吁了15年以上，最近兩年好消息不斷。

“今年發布的‘十三五’立法規劃把《個人信息保護法》以及《數據安全法》列入一類計劃，民法總則雖然沒有用個人信息權的概念，但是實際上已經隱含了這個意思，同時民法總則也涉及隱私權和名譽權。”周漢華說。

他同時表示，目前個人數據的觀念仍然在形成的初期，它和個人信息到底是什么關系，目前還是在磨合，不同的主體對個人數據觀念的接受度也不盡相同。

中國以外，2018年在數據保護方面動作最大的應該是歐洲。歐盟的《一般數據保護條例（GDPR）》，是目前覆蓋面最廣的數據隱私保護法規，規定了企業在對用戶的數據收集、存儲、保護和使用時新的標準；對于自身的數據，也給了用戶更大處理權。這個法案于今年5月25日生效。

各國立法實踐和產業影響

在研討會上，產業界討論最集中的還是歐盟的GDPR（《通用數據保護條例》）。事實上2018年以來，產業界和學術界關于這份被稱為最嚴數據保護法案的討論一直沒停歇過。一些企業也是風聲鶴唳，包括推特、Facebook和谷歌等美國互聯網巨頭公司都在歐盟遭遇過多項用戶隱私相關的調查。有觀點認為，GDPR一定程度上影響了歐盟的科技產業創新。

根據 GDPR 規定，任何企業違反信息跨境流動要求和未經信息主體許可的收集、處理等行為，最大處罰額可達到 2000 萬歐元或者當年全球收營業額的 4%，且二者取較高值。

王融對此持贊同觀點。在他看來，GDPR對個人權利的保護做到了極致，引入了非常強大的權利體系，對整體產業所有的環節建立了非常嚴格的規則，引導大小公司在數據合規上面投入了更加多的力量和資源。在全球范圍內，在GDPR出臺之后到正式生效的兩年過渡期內，整個行業為數據保護的合規投入了大量的資源，從實際效果來看，企業數據處理的透明度在增加。

“但是也要看到，GDPR的域外適用性，對深度學習、神經網絡學習提出了更多的挑戰，對AI的發展也起到了一定的抑制作用。”王融說。

探恪軟件科技有限公司合規負責人 Isabelle Hajjar 也在研討會上提及GDPR對產業的負面影響。她表示，GDPR的本意是實現更加公平的競爭環境，但卻產生了適得其反的效果，合規成本將中小企業置于不利地位，反倒對大型互聯網公司更為有利。而且，GDPR的制定已經對人工智能、區塊鏈產生負面影響，比如數據最小化、匿名化與AI需要巨量的數據相沖突，解釋權雖然沒有規定在GDPR條文中，但也難適用于人工智能系統。此外，區塊鏈交易的不可逆性、不可篡改性等直接與被遺忘權、更改權相悖。物聯網、量子計算等也是法律的制定者未來需要思考、解決的問題。

對于美國的立法實踐，斯坦福大學胡佛研究所研究員Andrew Grotto介紹，美國現在對于個人信息的保護越來越重視，相關法律法規越來越多，規管的整個架構也更加明確。中國現在也是沿著這個方向在努力。

目前美國有一部綜合的、范圍覆蓋廣泛的隱私法。 Andrew Grotto建議，大法在實踐中可能并不那么有效，不如把它變成很多的小法，每個行業制定一部隱私法來規管這個行業，“這個行業的隱私要求和另外一個行業是不一樣的”。

中國的數據治理也在趨嚴。2018年，有知名大數據公司因侵犯公民信息被判刑。有報道稱，最近四年，全國法院公開宣判的公民個人信息犯罪案件超過2000件以上。

據21世紀經濟報道記者了解，在2015年創業風口上成立的一批以數據交易為主業的大數據公司，很多已轉型。一位已轉型到芯片領域的前北京大數據公司負責人告訴21世紀經濟報道記者，目前行業規范了很多，很多做數據交易的小公司都消失了，或者不再做數據業務了。