數(shù)據(jù)安全治理進行時

霍娜 楊光

歐盟《通用數(shù)據(jù)保護條例》（GDPR）

正式生效兩個月后，

谷歌、臉書、微軟和推特宣布合作，

推出一個開源的數(shù)據(jù)傳輸項目，

革新數(shù)據(jù)流通方式，分散風(fēng)險。

GDPR到底是懸在企業(yè)頭頂?shù)囊话牙麆Γ?/p>

還是實際效用將有限？

是該CIO還是誰來負責(zé)GDPR？

它又能給我國數(shù)據(jù)監(jiān)管怎樣的啟示？

讓我們一一梳理數(shù)據(jù)安全治理的來龍去脈。

為了解決因歐盟內(nèi)地域差異而導(dǎo)致的數(shù)據(jù)運營企業(yè)和個人的權(quán)利、義務(wù)界定不同和如何處理數(shù)據(jù)泄露帶來的隱私侵權(quán)等兩個問題，2018年5月25日，歐盟的《通用數(shù)據(jù)保護條例》（GDPR）正式生效，帶來了深遠影響：

一是延伸了傳統(tǒng)意義上的監(jiān)管范圍，體現(xiàn)了強烈的國家利益色彩。二是IT 企業(yè)在經(jīng)營跨國業(yè)務(wù)時或?qū)⒚媾R新的壁壘，造成企業(yè)合規(guī)成本的大幅提高。三是對數(shù)據(jù)跨境糾紛處理預(yù)留了一定的緩沖空間，對于新形勢下的數(shù)據(jù)監(jiān)管國際標準的爭奪埋下了伏筆。

數(shù)據(jù)安全是越來越受關(guān)注了。

7月20日，谷歌、臉書、微軟和推特宣布合作一個開源的數(shù)據(jù)傳輸項目（Data Transfer Project）——無需下載再重新上傳的跨平臺數(shù)據(jù)傳輸工具，旨在革新數(shù)據(jù)在不同平臺間的流通方式。項目白皮書寫道：數(shù)據(jù)的轉(zhuǎn)移在未來將需要更全面，更靈活和更開放。我們對這個項目的希望是，它將在多個公共服務(wù)公司之間建立連接，改善數(shù)據(jù)導(dǎo)入和導(dǎo)出。”

有人解讀，這對數(shù)據(jù)共享項目是一個微妙的時間點。Facebook 的 API 還沒擺脫劍橋分析丑聞的影響，業(yè)界仍然在探索用戶數(shù)據(jù)所有權(quán)的問題。谷歌一直在努力應(yīng)對自己的 API 丑聞，第三方電子郵件應(yīng)用程序?qū)?Gmail 用戶數(shù)據(jù)處理不當(dāng)引發(fā)了強烈抗議。在某些方面，這個項目對于四家公司而言將是一種管理風(fēng)險的方法，可以把責(zé)任分散出去。

眾所周知，2018年5月25日，歐盟的《通用數(shù)據(jù)保護條例》（GDPR）正式生效。GDPR 法規(guī)要求產(chǎn)品披露所有用戶信息，這意味著法規(guī)的要求非常全面，除了電子郵件或照片，位置歷史記錄和面部識別配置文件數(shù)據(jù)也被包含其中。

對于技術(shù)公司而言，API 的優(yōu)點是，作為數(shù)據(jù)提供者它們能夠關(guān)閉渠道或?qū)θ绾问褂盟┘邮褂脳l件，而如果使用數(shù)據(jù)下載工具，數(shù)據(jù)離開之后，它們就無法再做任何有效的控制和保護了。面對愈演愈烈的壟斷質(zhì)疑，尤其是數(shù)據(jù)訪問的質(zhì)疑，對像臉書這樣的大型科技公司而言，共享數(shù)據(jù)將成為他們痛感最小的應(yīng)對方式。

北京理工大學(xué)軟件學(xué)院副教授閆懷志認為，從管轄地域范圍來看，GDPR的管轄范圍既包括在歐盟境內(nèi)有實體的組織，也包括在歐盟境內(nèi)提供商品或服務(wù)，或者監(jiān)控在歐盟內(nèi)歐盟居民行為的組織，而無論該組織是否在歐盟成員國內(nèi)有無實體或在成員國內(nèi)處理信息。也就是說，只要任何涉及歐盟境內(nèi)個體的個人數(shù)據(jù)的處理行為，無論誰來處理無論在哪兒處理，只要涉及歐盟境內(nèi)人員或成員國公民，均需遵循該條例，而且適用范圍也由屬地擴展到個人?！半m然GDPR表面上強調(diào)的是保護自然人的個人信息權(quán)利，但是個人信息權(quán)利是同政治、經(jīng)濟、文化、意識形態(tài)等都是息息相關(guān)的，必要時歐盟成員國可能會利用這個工具來為其國家安全、社會穩(wěn)定、經(jīng)濟競爭服務(wù)。”

其實，數(shù)據(jù)安全的鼓不只國外在敲，我國也一樣。近日，我國首次開展大數(shù)據(jù)安全整治工作，包括大數(shù)據(jù)的采集、存儲、應(yīng)用、傳輸、銷毀等全生命周期的監(jiān)管、安全以及保護，并重點針對大數(shù)據(jù)平臺、電子郵件系統(tǒng)以及個人信息泄露等問題。

公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示，大數(shù)據(jù)安全整治是我國近期正在開展的全國網(wǎng)絡(luò)安全執(zhí)法大檢查行動中的重要內(nèi)容，這也是首次將大數(shù)據(jù)安全納入檢查對象，尤其是針對公民個人信息的保護將是執(zhí)法的重中之重。此次大數(shù)據(jù)安全整治將全面對我國大數(shù)據(jù)信息內(nèi)容、存儲位置、所涉企業(yè)進行摸底。同時，對企業(yè)采集信息來源開展執(zhí)法檢查，對數(shù)據(jù)采集的合法性、應(yīng)用的范圍限制等進行確定。其中，對合法采集內(nèi)容與非法采集內(nèi)容進行分類也是重點工作之一。

數(shù)據(jù)分量日重，安全需求迫切，有效治理勢在必行。那就讓我們以GDPR為契機，梳理一下數(shù)據(jù)安全治理的來龍去脈。