关于信息安全,欧盟又出招啦【宁宇专栏-275】
【摘要】这次的新规又说了什么?
| 科 | 技 | 杂 | 谈 |
中国通信行业第一自媒体
原中国移动业务支撑系统部经理,现华为业务软件部专家
愿意和大家分享运营商的辉煌与没落,成功与失败,他用他的故事和分析诉说:运营商和你们想的不一样。
欧盟今年开始实行GDPR(General Data Protection Regulations,通用数据保护条例),我曾经分析过条例的要求和罚则,认为大数据和云计算产业受的威胁和影响最严重。(谁会成为GDPR的枪下鬼?(上);谁会成为GDPR的枪下鬼?(下))
10月4日,欧盟议会又通过了一则新的与信息安全有关的条例,叫做《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data),这次的新规又说了什么?
【新条例试图推动欧洲数字经济发展】
GDPR在个人隐私保护方面表现出强硬态度,并对侵害个人隐私行为制定了严厉处罚规则,因此在条例发布和执行后,行业的主流观点是:这一条例会对欧洲的数字化进程会产生严重的负面影响。
然而很少有人注意到:相对于更早的欧盟《数据保护指令》(1995年颁布执行),GDPR在数据的跨界流动方面还是有"进步"的:在GDPR中,不再要求"只有当第三方国家通过相关国内法或者国际承诺,对个人数据提供充分保护时,才允许欧盟公民个人信息的转移、存储到该第三方国家进行处理",而且收回了欧盟各国对规则的解释权和个性化执行资格。因此,在界定了隐私的范围和边界的基础上,GDPR对所有国家一视同仁,涉及个人隐私的数据要保护,其余数据可以在欧盟外的任何国家进行存储和处理。这些条款意味着,给予中国的IT企业和美国企业同等待遇。
随着全球数字经济的迅速发展,欧盟内部对数据自由流动的呼声也越来越高。欧盟委员会"数字经济和社会专员"玛利亚·加布里尔表示:"数据是当今数字经济的支柱,欧洲数字经济有望成为推动增长、创造新岗位、开启新商业模式和创新机会的强大驱动力。"而推动这次《非个人数据自由流动条例》的,是欧盟委员会副主席安德鲁斯·安西普,他积极推进欧盟一体化的数字市场,认为"数据本地化限制是保护主义的标志之一,在一体化数字市场中不应该存在",因此,"非个人数据的自由流动有助于驱动科技创新,产生新的商业模式,并为所有类型的数据创建欧洲数据空间。"
在这样的背景下制定出来的《非个人数据自由流动条例》,特别关注数据的流动和使用规则。一方面在条例中设定了数据在欧盟全境内进行存储和处理的框架,尤其强调严禁对数据进行本地化限制,为欧洲数字化经济的发展创造了条件;另一方面条例还强调:公共部门可访问欧盟任何地方存储和处理数据,并进行审查和监督控制,相当于直接提出了数据跨境流动的需求,有助于相关技术标准的制定和普及,为之后数据开放和调用创造了条件。
欧盟此次欧洲议会对《非个人数据自由流动条例》投票时,有520名议员支持,81名反对,足见议员们对这种导向还是很支持的。新条例生效时间预计是今年年底,而GDPR从颁布到执行花了两年多的时间,从这当中也可以看出,面对中美数字化经济飞速发展,欧洲也希望尽快能实现数据的开放和流动,通过数字化来带动经济增长。
【新条例并未改变数字化世界整体格局】
不过IT企业先别急着欢呼,非个人数据自由流动新条例并不是对GDPR的修订,欧洲为保护个人隐私而建立的门槛和陷阱仍然存在。
首先,从前面的分析可以看出,新条例的主要目的是取消欧盟境内数据自由流动壁垒,推动欧洲数字一体化市场的建立以及数字化经济的增长,受益者主要是欧盟企业,绝没有表达对欧盟之外企业的示好之意。近年来数字化的领头羊和受益者主要是美国和中国,而欧盟发展数字化是既希望发展自己又不希望让中美企业获益,这种骑墙的方式未必能让受保护的欧盟企业发展起来。
其次,按照新条例中的表述,涉及的数据范围不涵盖个人数据,对于涉及个人隐私的信息仍需遵从GDPR的规则,两个条例并不矛盾。但事实上,在数字化的世界里,这两类数据的边界未必能定义清晰准确。
互联网时代数据开放带来的隐私保护问题一直存在争议。理论上数据可以进行脱敏和去隐私处理,但如果数据可以进行回溯,或者将不同源的数据进行匹配,仍可能导致隐私泄露。更何况还有数据的产权归属问题等,这些都可能导致对非个人数据的处理触碰到GDPR的范围。
另外,欧盟委员会的议员们对于专业技术的理解不足,导致有些一厢情愿的条款难以落地。比如在《非个人数据自由流动条例》中鼓励企业制定云服务行为准则,原本的目的是让用户更放心地使用云服务:如果云服务提供商的服务即将中止,要将服务切换至不同的云服务提供商。貌似使用云服务更加安心,但从我个人理解,除非是简单的云存储,否则无论是对云服务提供商还是使用者,这种操作都有难度。
由此可见,欧盟议会虽然有心推动数字化经济的发展,但模式还是非常传统和保守,认为通过政策和立法的推动作用,让企业循规蹈矩地往前跑。事实上,无论是在美国还是在中国,对ICT产业都采取了先放后收、先发展再规范的模式,先给予数字化经济充分的自由度和创新空间,待到发展到一定程度的时候再进行约束和限制。如果欧洲的政府和企业还是按部就班地做事,与中美在数字化领域的差距只会越拉越远。
2013年度最佳IT原创自媒体
2014年度最佳新媒体人
2014年度最受企业关注自媒体
2016年度T+自媒体睿见之星
| 新科技 | 睿思想 |
已入驻百度百家、腾讯新闻、搜狐新闻、今日头条、网易阅读
一点资讯、互联网实验室,北京时间等
犀牛财经自媒体联盟(xinews)成员
WeMedia成员
转载授权、商务合作,联系微信号:sophie0306