编者按:本文来自碳链价值,作者:白夜,编译:白夜,Odaily星球日报经授权发布。2018年5月25日,欧盟基于1995年制定的《计算机数据保护法》正式出台《通用数据保护条例》。“有趣”的是,虽然该法规出台已有一年多时间,但似乎很少有人关注,直到最近英国信息委员会办公室发表声明称英国航空因违反《通用数据保护条例》被罚近2亿英镑、以及万豪酒店因泄露客户数据被罚近1亿英镑之后,这个“条例”才引起了业内的广泛警惕——原来,海外监管机构罚起款来也一点不手软啊!什么是《通用数据保护条例》?
《通用数据保护条例》可以算是欧盟有史以来最为严格的网络数据管理法规,其最大的特点在于限制企业对个人用户数据的使用权,简单来说,就是只要在欧盟地区开展业务经营的企业,尤其是互联网公司,在使用用户个人数据前必须先征得用户的同意,无论这家企业的业务范围是什么、从事的行业是什么、或是企业的经营形式是什么。为什么会“忽然”开出巨额罚单?
实际上,欧盟《通用数据保护条例》早在2016年4月就已经酝酿推出,当时给了各大企业大约两年时间来“缓冲”。更重要的是,经过欧洲议会和欧盟理事会通过的《通用数据保护条例》在法律框架内属于“条例”,这意味着它无需通过成员国的本国议会同意,可以直接在各个欧盟成员国内直接执行实施,要知道目前欧盟一共有28个成员国,该条例覆盖的总人口超过5.1亿,监管部门征收罚款的权力一下子被大大提升了。有观点指出,欧盟境内近年出现贸易主义抬头的倾向,《通用数据保护条例》合规有可能会成为欧盟本土保护的新手段,不合规的企业很容易被监管机构盯上,就像上文提到的英国航空和万豪酒店一样。欧盟成员国政府也有可能出于保护本国企业的目的实施针对性地调查,很多在欧盟地区开展业务的海外企业将因此面临巨大的处罚风险。另一方面,随着支持英国脱欧的保守党鲍里斯·约翰逊当选为该国首相,本次针对英国公司的罚款似乎有一种“不罚来不及”的感觉——虽然目前还不清楚英国脱欧之后是否会对《通用数据保护条例》在该国实施产生影响。当然,也有人也提出过一个“阴谋论”,认为欧洲很多国家的经济状况表现并不尽如人意,因此希望通过巨额罚款来补充自己的财政收入。《通用数据保护条例》可以对公司罚多少钱?
为了确保企业认真对待《通用数据保护条例》的监管要求,该法规赋予欧盟各国数据监管机构最高2000万欧元、或全球年度营业额的4%的罚款,根据违规严重程度以金额较大的数字为准。举个例子,这次英国航空公司被罚款的金额是其全球年度营业额的1.5%,如果按照最高罚款比例的话,罚金可能会达到4.89亿英镑。由此我们可以看出,被爆出“剑桥分析丑闻”的Facebook可以说躲过了一劫。此前,Facebook将8700万用户数据在未经用户充分同意的条件下共享给了第三方开发商、战略公司剑桥分析,该公司涉嫌左右了美国总统特朗普胜选和英国脱欧投票。但最终,因为该事件发生时《通用数据保护条例》尚未实施,因此Facebook公司仅被罚款50万英镑。鉴于Facebook在2017年全球收入为407亿美元,如果按照《通用数据保护条例》新规执行的话,他们将会被处以最高12.6亿英镑的罚款。社交网络公司也许还有暂时规避的办法,但依赖攫取工业数据的公司也许今后很难应对数据保护法案合规的挑战了。罚款的钱最后会流到哪里?
这个问题很简单,因为——《通用数据保护条例》罚款的钱最后将会返还给各国财政部。企业可以与《通用数据保护条例》“对抗”吗?
不可否认,《通用数据保护条例》未来的监管力度只会越来越大,尤其是在在数字时代,企业对个人用户数据的使用权一直饱受争议。英国航空和万豪酒店已经为其他公司提供了警示,当然《通用数据保护条例》允许企业就罚款数额提出上诉,并有28天时间进行辩解。此外,从发布拟议的罚款通知到最终做出判决,监管机构最多有十六周时间。但问题是,今后企业在“监管高压”之下是不是会对数据使用变得畏手畏脚了呢?毕竟对任何一家企业而言,每年拿出4%的收入交罚款绝不是个小数字,但又该如何既满足《通用数据保护条例》的规定,又能让自己手上的数据发挥最大价值呢?事实上,区块链技术此时就能给出一个答案:如果我们构建一个区块链网络,不仅可以有效追踪原始数据来源和去向,而且还能确保网络内的所有用户使用的数据都是加密且符合监管要求。比如Lisk上首个侧链项目、柏林区块链公司Madana就在遵守《通用数据保护条例》“Privacy-by-Design隐私设计”要求的基础上为跨行业数据共享和数据分析提供了一个透明的平台,让用户自己掌握自己的“数据主权”。作为一个开源DApp平台,Lisk两位联合创始人MaxKordek和OliverBeddows一直期望利用侧链技术解决内容和数字资产在不同区块链之间的互相转移。事实上,这个技术恰恰是《通用数据保护条例》所需要的,因为当用户数据归属到“自己手上”之后不可能只在一个平台上使用,所以只有解决了不同系统之间的互操作性问题,才能做到在满足《通用数据保护条例》监管要求下实现“个人数据”的跨行业应用。如果我们分析一下MADANA的系统架构,就会明白为什么他们如此有信心能满足《通用数据保护条例》的监管要求了。如下图所示,用户的个人数据都是存储在他们自己的设备上,基于去中心化数据存储,MADANA系统只有在获得许可之后才能访问数据,之后他们会对每个独立数据进行加密,每个人将拥有独一无二的密钥,意味着只有他们自己才能在需要的时候“解密”个人数据。更重要的是,MADANA这种模式可以最大程度地限制黑客攻击威胁,因为通过去中心化数据存储,黑客不得不一个个去破解密钥,高昂的成本将使他们不得不放弃攻击。
基于此,MADANA公司还提出了一个所谓“隐私科技”的全新概念,即:在不丢失信息系统功能的情况下,并在最小化拥有个人数据的同时,依法保护数据的技术。根据该公司分析,随着《通用数据保护条例》监管力度不断加强,包括数字生命科学、银行和金融服务业、汽车OEM、航空公司和机场、电信、以及零售这些对个人数据需求极大的行业将对隐私科技产品的需求大幅增加,预计到2020年这一领域的市场规模将会达到2100亿美元,年复合增长率约为11%。值得一提的是,MADANA已经为他们的区块链数据参与平台申请了专利,允许用户使用自己的受保护数据参与数据市场。欧盟渴望“数据主权”
一些将商品销往欧洲市场、并且提供支付交易服务的电商网站都会收集和处理用户的一些基本信息,比如亚马逊和阿里巴巴。针对这些跨国公司,包括德国和法国在内的许多欧洲国家其实已经意识到将敏感数据存放在国外服务器上可能带来的“数据主权”威胁,除了使用《通用数据保护条例》在政策上进行约束之外,一个泛欧云端项目“Gaia-X”也孕育而出,旨在减少欧洲对亚马逊AWS和阿里云的依赖。据悉,思爱普、西门子、博世、德国电信等德国大企业和法国信息技术服务公司源讯都可望参与“Gaia-X”,该项目2020年下半年就可推出相关应用。根据德国经济部的规划,欧洲云端的重点不仅是数据储存,更重要的是统一数据安全规格,让欧洲企业放心用匿名的方式交换数据,催生新的商业模式。正如MADANA创始人兼首席执行官ChristianJunger所说,数据已经成为当今社会最伟大的资产,今后也将变得越来越重要,即便有了《通用数据保护条例》,数据安全仍然是一个最重要的问题,而区块链公司同样需要与经验丰富的企业和机构合作,在商业和监管上找到最佳的契合点。数据“可用不可见”会是应对欧盟《通用数据保护条例》的取胜之匙吗?
不得不说,《通用数据保护条例》给企业提出了一个两难的问题:一方面要企业保证数据不可触及,即实际操作的计算方不知道明文数据是什么;另一方面,企业自身有非常渴望使用明文数据进行实际计算。好在“办法总比困难多”,业内已经开始探索用所谓“可用不可见”的密文计算方法来解决这个问题了。知名市场分析公司Gartner已经将“数据隐私”列为2019年十大战略技术趋势之一,而“可用不可见”则是实现数据隐私的关键技术。就在欧洲监管机构依照《通用数据保护条例》开出巨额罚款的同时,中国国内也悄然出现强调数据“可用不可见”的趋势。当前,业界实现数据“可用不可见”的技术路线可以归纳为两类:第一类是基于密码学技术的密态计算,以安全多方计算、可搜索加密、同态加密、零知识证明等技术为代表。其核心思想是设计特殊的加密算法和协议,从而支持在加密数据之上直接进行计算,得到所需的计算结果,同时不接触数据明文内容;第二类是基于可信执行环境技术的可信计算,以Intel的SGX,AMD的SEV,ARM的TrustZone等技术作为代表。其核心思想是以可信硬件为载体,提供硬件级强安全隔离和通用计算环境,在完善的密码服务加持下形成“密室”,数据仅在“密室”内才进行解密并计算,除此之外任何其他方法都无法接触到数据明文内容,数据在离开“密室”之前又会被自动加密,从而实现“可用不可见”。对于将商品销往欧洲市场、并且提供支付交易服务的阿里巴巴来说,最近几年已经开始探索第二类TEE可信计算计算、同时尝试使用TEE技术实现密文计算支持新型数字经济发展了,比如阿里巴巴旗下蚂蚁金服推出的安全计算平台“数巢”系统和“摩斯”系统就支持基于TEE为基础的密文计算,而且已广泛应用于联合金融风控、保险快速理赔、民生政务、多方联合营销、多方联合科研、跨境数据合作等多个领域总结虽然我们一直在鼓励企业和机构共享数据,但在目前互联网生态里想要安全地实现这一目的难度极高,因此需要隐私科技加持,才能打破数据孤岛,真正实现数据互联互通,发挥大数据的威力。后套用中国一句老话:兵来将挡水来土掩,虽然《通用数据保护条例》“来势汹汹”,但至少给出了明确的监管方向和要求,随着MADANA、以及Lisk区块链上越来越多其他隐私科技项目的出现,相信企业的曙光也会慢慢到来。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。