宋星的数字观
GDPR生效一周年之际,欧洲的互联网不是变得更好了,而是变得更糟糕。GDPR没有带来双赢,反而可能带来全盘皆输。
GDPR给欧洲互联网带来严重的负面影响
不仅如此,GDPR还给企业带来了很多额外的负担。普华永道(PriceWaterhouseCoopers)调查的公司中,有大约60%的公司表示,它们花费逾100万美元为GDPR做准备,有12%的公司则表示拨备了超过1,000万美元。普华永道对在欧洲有业务的300家美国、英国及日本公司的高管进行了调查。
但就算企业为GDPR付出了更大的成本,他们也未必能够合规。一个数据是,GDPR生效一年后,英国和法国的数据保护部门承认,大批公司上报自己的违规行为的情况,已经让他们的工作面临崩溃。
“被保护者”也不买账。欧洲民意调查中心在2019年5月发布的一项调查显示,近三分之二的欧洲人(63%)要么没有听说过GDPR,要么不知道GDPR具体是什么。GDPR或许保护了网民的个人信息,但却严重阻碍了欧盟公民获取信息的便利性,由于对该规定存在严重担忧,已经导致逾1000家美国新闻网站禁止欧洲用户访问。
另外,与GDPR生效前相比,有9个国家的互联网用户觉得自己掌握自己数据的可能性更低了,只有5个国家的网民觉得有所提高。
关于更多的GDPR一年来的“崩溃与混乱”我就不引用了,大家可以看FT中文网(英国《金融时报》的中文版)的这篇文章,强烈推荐:http://www.ftchinese.com/story/001083486
中国应该吸取什么样的教训
这并不是说不应该保护个人信息,而是应该如何保护的问题。
数据从发生到灭失全部需要隐私和安全的保护,但同时,隐私和安全的保护不仅仅只是保护本身,更是为了让数据能够发挥更大的价值。
一个司机开车,他的驾驶习惯和操作数据,对他自己可能并没有太大的价值,但对于机器学习和自动驾驶,意义就非常巨大。这些数据应该在确保隐私的情况下被更好的利用,反过来造福人类。
但因为不分青红皂白的禁止而灭绝了数据的应用,那是巨大倒退。
中国仍然存在的巨大不确定性
例如,明示同意的原则,数据出境情况的规定,窃取公民实名信息用于推销和骚扰等,这些没有争议。
但有争议的主要是个人信息的定义和范围问题。
GDPR目前的做法是,将个人相关的信息分为三类:实名信息(PII),假名信息(Pseudonymous,不知道怎么翻译,或者称为类实名信息),以及匿名信息(Anonymous)。匿名信息,是完全不可以恢复到实名信息上的一种信息;而假名信息,本质上不能直接看出来跟实名信息的关系,但可以借助其他信息让假名信息恢复为实名信息,例如,IMEI号就是一个比较典型的假名信息。
在GDPR中,实名信息、假名信息、匿名信息的保护要求均不相同,规定的很细致。
图:符合GDPR法规的一个“明示同意”的例子
GDPR有大量的违规报告均出现在假名信息的保护上,并且假名信息在欧洲各国的具体解释甚至都不是非常统一,这造成了很多混乱状况。而中国,似乎更大的麻烦还停留在实名信息上。或者说,我们连实名信息的保护,都还没有做好。而现在,我们将本来更适合定义为“假名信息”的,也作为“实名信息”,会带来什么样的结果?会否引发认知上的混淆和执行上的混乱?又或者真的令企业畏缩不前而阻碍创新?还不得而知。
但欧盟的前车之鉴,或许已经给了我们很多值得关注和思考的东西。
