數據安全治理進行時

霍娜 楊光

歐盟《通用數據保護條例》（GDPR）

正式生效兩個月后，

谷歌、臉書、微軟和推特宣布合作，

推出一個開源的數據傳輸項目，

革新數據流通方式，分散風險。

GDPR到底是懸在企業頭頂的一把利劍，

還是實際效用將有限？

是該CIO還是誰來負責GDPR？

它又能給我國數據監管怎樣的啟示？

讓我們一一梳理數據安全治理的來龍去脈。

為了解決因歐盟內地域差異而導致的數據運營企業和個人的權利、義務界定不同和如何處理數據泄露帶來的隱私侵權等兩個問題，2018年5月25日，歐盟的《通用數據保護條例》（GDPR）正式生效，帶來了深遠影響：

一是延伸了傳統意義上的監管范圍，體現了強烈的國家利益色彩。二是IT 企業在經營跨國業務時或將面臨新的壁壘，造成企業合規成本的大幅提高。三是對數據跨境糾紛處理預留了一定的緩沖空間，對于新形勢下的數據監管國際標準的爭奪埋下了伏筆。

數據安全是越來越受關注了。

7月20日，谷歌、臉書、微軟和推特宣布合作一個開源的數據傳輸項目（Data Transfer Project）——無需下載再重新上傳的跨平臺數據傳輸工具，旨在革新數據在不同平臺間的流通方式。項目白皮書寫道：數據的轉移在未來將需要更全面，更靈活和更開放。我們對這個項目的希望是，它將在多個公共服務公司之間建立連接，改善數據導入和導出。”

有人解讀，這對數據共享項目是一個微妙的時間點。Facebook 的 API 還沒擺脫劍橋分析丑聞的影響，業界仍然在探索用戶數據所有權的問題。谷歌一直在努力應對自己的 API 丑聞，第三方電子郵件應用程序對 Gmail 用戶數據處理不當引發了強烈抗議。在某些方面，這個項目對于四家公司而言將是一種管理風險的方法，可以把責任分散出去。

眾所周知，2018年5月25日，歐盟的《通用數據保護條例》（GDPR）正式生效。GDPR 法規要求產品披露所有用戶信息，這意味著法規的要求非常全面，除了電子郵件或照片，位置歷史記錄和面部識別配置文件數據也被包含其中。

對于技術公司而言，API 的優點是，作為數據提供者它們能夠關閉渠道或對如何使用它施加使用條件，而如果使用數據下載工具，數據離開之后，它們就無法再做任何有效的控制和保護了。面對愈演愈烈的壟斷質疑，尤其是數據訪問的質疑，對像臉書這樣的大型科技公司而言，共享數據將成為他們痛感最小的應對方式。

北京理工大學軟件學院副教授閆懷志認為，從管轄地域范圍來看，GDPR的管轄范圍既包括在歐盟境內有實體的組織，也包括在歐盟境內提供商品或服務，或者監控在歐盟內歐盟居民行為的組織，而無論該組織是否在歐盟成員國內有無實體或在成員國內處理信息。也就是說，只要任何涉及歐盟境內個體的個人數據的處理行為，無論誰來處理無論在哪兒處理，只要涉及歐盟境內人員或成員國公民，均需遵循該條例，而且適用范圍也由屬地擴展到個人。“雖然GDPR表面上強調的是保護自然人的個人信息權利，但是個人信息權利是同政治、經濟、文化、意識形態等都是息息相關的，必要時歐盟成員國可能會利用這個工具來為其國家安全、社會穩定、經濟競爭服務。”

其實，數據安全的鼓不只國外在敲，我國也一樣。近日，我國首次開展大數據安全整治工作，包括大數據的采集、存儲、應用、傳輸、銷毀等全生命周期的監管、安全以及保護，并重點針對大數據平臺、電子郵件系統以及個人信息泄露等問題。

公安部網絡安全保衛局總工程師郭啟全表示，大數據安全整治是我國近期正在開展的全國網絡安全執法大檢查行動中的重要內容，這也是首次將大數據安全納入檢查對象，尤其是針對公民個人信息的保護將是執法的重中之重。此次大數據安全整治將全面對我國大數據信息內容、存儲位置、所涉企業進行摸底。同時，對企業采集信息來源開展執法檢查，對數據采集的合法性、應用的范圍限制等進行確定。其中，對合法采集內容與非法采集內容進行分類也是重點工作之一。

數據分量日重，安全需求迫切，有效治理勢在必行。那就讓我們以GDPR為契機，梳理一下數據安全治理的來龍去脈。