图 1中科九度总裁魏育成发表主题演讲（图片来源：中国经济网）

附：《欧盟数据隐私法案解读与应对策略探究》

大数据时代，隐私何在？

在互联网时代，大数据、人工智能、区块链等技术的蓬勃发展，给数据挖掘的广度和深度带来几何式的增长，个人信息的保护面临着前所未有的挑战。近日，某出行门户网站被爆出对用户的历史数据进行分析，推出了针对不同用户的差异化定价，给部分用户造成了经济损失，大数据“杀熟”成为时下热议话题。今年，全球最大的社交网站Facebook因间接导致近8700万用户信息泄露而要接受美国联邦贸易委员会的调查。据报道，Facebook可能要面对高达数万亿美金的罚款。

图 2被指不恰当地获取多达8700万名Facebook用户信息的剑桥分析宣布倒闭（图片来源：凤凰网科技）

隐私数据的三个层面

隐私概念的提出，要追溯到Warren在1890年发表的《隐私权》，它成为美国传统法律的开创性著作。其中指出，个人隐私权是一项独特的权利，应该受到保护，免遭他人对个人生活中想保守秘密细节的无根据发布。欧盟针对个人数据的定义相对宽泛，指任何指向可识别的自然人（“数据主体”）的信息。通过该信息，自然人能够被直接或间接地识别。我国2017年发布的《信息安全技术 个人信息安全规范》（GB/T 35273-2017）中定义个人信息的类别包含身份、生物识别、健康、教育、财产、通信、联系人、上网记录、设备及位置等。

我们认为，个人数据应包含三个层面的内容，即属性数据、行为数据和关系数据。属性数据，我们称之为“DNA数据”，如个人的姓名、身份证号、银行帐号、指纹、虹膜等，即可直接定义和识别一个人身份信息的数据；行为数据包含行为标识与行为记录，贯穿每个人的出行、消费等行为，如出行位置轨迹、上网记录、网络购物、酒店预订/住宿记录等；而关系数据则是对属性数据和行为数据的进一步泛化，包括家庭成员、家庭住址、工作单位、同事同学等，可更为广泛地折射出个人的社会信息。

GDPR–史上最严厉的数据保护法案

近年来，世界各国都在个人数据隐私的保护上出台了相应的法案。2012年美国白宫公布了《消费者隐私权利法案》，欧盟的《通用数据保护条例》将于 2018 年 5 月 25 日在欧盟全面实施。我国自2017年实施《网络安全法》后，今年5月正式实施了《个人信息安全规范》国家标准。相对来说，欧盟GDPR因其严厉的处罚措施和广泛的影响范围，被称之为“史上最严厉的数据保护法案”。

图 4欧盟出台史上最严厉的数据保护法案（图片来源于网络）

《通用数据保护条例》(General Data Protection Regulation，GDPR)作为95法令的替代法案，从数据主体、义务主体、监管机构等方面为欧盟公民数据处理制定了一套统一的法律和更严格的规定，同时也对处罚方式和管辖范围进行了界定。

针对数据主体，GDPR赋予了更加强大的权利。不仅对公民的“同意权”、“知情权”和“访问权”进行了补充和加强，而且特别强调提出了“遗忘权”、“删除权”、“可携带权”，进一步加大了公民的权利，为公民创造了更多的便利。

针对以企业为代表的义务主体，增加了更多的要求和限制，以增强企业的责任意识。其中，核心的要求主要集中在六个方面:

1)隐私设计

在信息采集和处理系统的设计阶段就要充分考虑用户隐私保护问题。

2)默认隐私

默认情况下，为满足特定目标而采集必要的用户数据，不能挪作他用。

3)任命数据保护官

增设数据保护官（Data Protection Officer，DPO）这一职位，负责监督和评估本企业的商业活动以确保所有行为遵从GDPR规定，还可作为监管机构与企业之间的协调人进行沟通合作。

4)安全技术措施

针对数据保护的具体要求采取必要的技术措施。

5)泄漏报告

企业在发生数据泄漏后的72小时内应向监管机构报告，并且配合监管机构以降低进一步的损失。

6)影响评估

在采用新的技术方案之前，要对该方案可能造成用户数据滥用或泄漏等风险进行全面评估。

在监管机构上，GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构，负责GDPR在每一个国家的执行，同时设立“一站式”投诉服务，以便于消费者在欧盟内进行跨境投诉。

在监管处罚上，对于数据收集和处理上的违法行为，GDPR加大了行政处罚的力度，最高可达2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)。

在管辖范围上，打破以往法案的“属地主义原则”，增加“属人主义原则”和“行为主义原则”。简单来说，世界上任何一家与欧盟有相关贸易往来的数字经济企业，即使没有在欧盟境内设立任何机构，也可能受GDPR的管辖和监控，不管该企业位于何地。

如何应对

在我国正在推行“一带一路”倡议的大背景下，GDPR广泛的保护范围和严厉的处罚手段将对中国企业乃至整个行业带来巨大的挑战，甚至可能成为阻挡我国企业“走出去”的障碍。一方面个人数据权利要保护，另一方面技术要创新、市场要发展，二者之间发生冲突在所难免，如何积极应对处理这一矛盾将是未来很长一段时间我国政府和企业所面临的问题。

我们认为需要从政府、行业和企业三个层面采取积极主动的措施，提升数据管理水平，降低GDPR合规风险。

1）政府层面

借鉴欧洲在隐私保护方面的经验，更加重视并且加快个人数据保护法的制定。与欧盟积极沟通，完善对话协商机制，减少不必要的处罚和贸易纠纷，为我国数字经济企业的海外发展保驾护航。

2）行业层面

立足于整个行业发展的共同利益，通过平等互助原则，建立通用数据保护产业联盟和专门的数据保护研究机构，形成有针对性的行之有效的管理应对手段、安全技术方案以及相关行业标准，指导并帮助企业积极应对潜在风险。

3）企业层面

应当对GDPR有清醒的认识和准确的预判，尽早制定周密的战略计划，运用适当的组织措施与技术手段，确保数据处理符合GDPR的基本原则与合法性条件，减少和规避不合规造成的损失。

互联网的迅猛发展使得个人数据隐私问题愈发突出，自由合法的数据流通成为数字时代经济持续健康发展的基石。欧盟GDPR的出台为我国企业敲响了数据隐私的警钟，我们应充分重视个人数据保护问题，从政府、行业和企业三个层面出发积极应对，加强数据的安全保障，确保我国企业的合规健康发展。

中科院电子所信息技术创新工程中心

中科院电子所信息技术创新工程中心长期从事网络信息安全关键技术及解决方案的研发，针对欧盟GDPR规范进行了深入研究，并与GDPR相关制定机构保持深度合作，基于我国企业的实际情况制定出一套满足GDPR要求的企业信息安全解决方案，向企业提供涵盖现状问题发现、改造建议、系统方案实施、安全培训、违规协助在内的全流程合规信息服务。