引入GDPR后,企業在保護個人數據和隱私方面采取了一些措施。然而,最近由Commvault在倫敦舉行的第一屆數據保護世界論壇上進行的民意調查顯示,還有更多工作要做。在此次活動中接受調查的IT和數據專家中有80%表示,他們對企業目前遵守GDPR等數據保護法規的程度并非信心滿滿,同時仍有37%的專家認為需要更多監管法規出臺。這恰恰與不斷變化的消費者觀點不謀而合,數據隱私是一項個人人權,不能因為商業利益而犧牲。
作者:Commvault大中華區總經理 王波
以下是我對未來數據隱私保護的三大趨勢預測。
消費者數據保護意識日漸覺醒
去年11月微博網友“花總丟了金箍棒”(簡稱“花總”)發布視頻《杯子的秘密》,用11分鐘偷拍畫面揭露了14家存在衛生亂象的五星級酒店。上述視頻共引發多家高端酒店公開致歉。但爆料人“花總”的個人信息多次遭到泄露,并遭遇“死亡威脅”。經過40多天的追蹤,花總確定了泄露其個人信息的最上游,隨后正式向深圳警方報案,同時委托律師對其個人信息泄露一事進行法律維權。
在個人信息保護維權路上奔走的花總并非個例。據香港特區個人資料隱私專委黃繼兒統計,2018年全球有超過14億人的數據遭遇外泄。隱私泄露幾乎成了懸在每個人頭上的“達摩克利斯之劍”,個人信息安全成為重要的社會議題,始終牽動著公眾神經。只有越來越多的個人拿起法律武器保護自己的個人數據和隱私,才能喚起社會和監管機構對這一問題的更多關注,從而倒逼相關法律法規出臺。目前中國立法機關已經把“個人信息保護法”和“數據安全法”列入國家五年立法規劃的第一序列。這意味著,個人信息保護專門立法即將到來。
同時,對于企業而言,應不斷提升自身透明度,與消費者就如何應用其個人數據達成一致,從而贏得消費者信任。
全球范圍合規水平參差不齊
目前在28個歐盟國家中,已有21個國家將GDPR融入了國內法律,其余國家也紛紛于就GDPR的推行問題開展了公開討論或提出修訂草案,一些已經進入了立法程序。然而美國目前既沒有專門的數據保護法律法規,也沒有對應的職能部門對此進行監管。微軟首席執行官納德拉在參加2019年世界經濟論壇期間表示,對數據保護立法的改革不應該停留在歐洲,美國和世界其他國家也應該效仿,在全球范圍內達成共同標準。
在企業層面,有些跨國公司會盡最大努力遵守最嚴格的法律標準,從而使其在各個國家內的分支機構受益。有些公司會根據地域法規不同,在各個區域分別進行風險評估,并采取相應措施。還有些公司仍然只是口頭應付,因為迄今為止,實施重大處罰的案件數量十分有限。雖然對谷歌征收的5000萬歐元罰款可能會引起一些企業的關注,但大部分企業仍然處于事不關己的狀態中。對于谷歌這樣一家國際巨頭而言,5000萬歐元的罰款其實只是九牛一毛。正是因為它擁有巨大的社會影響力,才容易被視為標靶,以儆效尤。其他很多大型企業由于相對默默無聞,感覺自身仍然處于安全狀態。
個人數據自動化處理的道德問題
在對來自可穿戴設備、移動設備和物聯網的個人數據進行自動化處理時,特別是應用機器學習和AI技術分析時,對個人數據匿名,有時可以避免觸及個人隱私問題。但就如何在匿名狀態下使用和管理個人數據,我們仍然處于道德討論的初期階段。
首先,即使使用匿名數據,企業仍然可以從個人信息中獲利。我們看到一些聰明的消費者開始關注他們的信息如何變現,并且展開行動。2018年研究表明,如果讓Facebook用戶在一年內停用其賬號,用戶希望獲得的酬勞是超過1,000美元??紤]到個人數據給Facebook帶來的價值,我們也樂于看到企業為使用個人數據而付費,當然是在個人同意的前提下。
其次,匿名數據存在道德困境。比如,醫療研究人員使用AI技術對可穿戴設備跟蹤的心臟活動信息進行匿名分析。如果其中一位研究人員發現某項數據存在罹患疾病的風險,他是否有道德義務通知這項個人數據的擁有者?當然,如果數據都是匿名的,這顯然不可能。《英國數據保護法》明確禁止對個人數據實名化,處罰非常嚴重,甚至涉及坐牢。隨著深度學習和AI技術從通過各種復雜方式收集的數據中獲得更多的洞察力,如何處理這類道德問題仍將是未來幾年的爭論焦點。
那么企業如何防患于未然呢?在前面提到的民意調查中,80%的專家同意,對個人數據使用和隱私保護加強法律監管,會對企業產生有利影響。加強數據保護,就必須提高數據管理水平。這意味著企業可以節省資金,并更有效的使用自身數據應對業務挑戰,同時贏得客戶信任。這對企業和消費者來說是雙贏局面。只有當企業對個人數據保護長期有所為,我們才能看到數據隱私保護的光明未來。
