本文来自微信公众号：腾讯研究院（ID：cyberlawrc）。

全球范围来看，数据治理正在面临三大挑战：如何在促进以大数据为要素的技术产业创新的同时，又能保护好个人数据权利，保障好国家数据安全。这三大挑战既相互关联，又彼此影响，从欧盟的法律制度和美国的司法实践看，数据治理尚未达成共识，各方仍存在较多分歧。

2018年5月，欧盟正式实施了《通用数据保护条例》（The EU General Data Protection Regulation，后称GDPR），被受国内外互联网企业和法律界关注。这部被公众称为“史上最严数据保护条例”的法案实施半年后，其对欧盟的互联网生态已经带来一些变化，其中的正负向影响都值得研究与分析。

2018年12月3日，第七届北大-斯坦福互联网法律与公共政策论坛上，探恪(上海)软件科技有限公司合规负责人 Isabelle Hajjar 就GDPR及其所带来的一些问题发表了自己的看法。

以下是 Isabelle Hajjar 演讲全文：

大家好，今天我要跟大家讲的是GDPR，以及GDPR所带来的一些问题。

首先，我们来了解一下欧盟的GDPR是什么。

数据保护是欧盟的一项根本权利，也是非常核心的权利。在上世纪50年代的时候，大家就开始讨论，希望能在欧盟当中形成这样一套数据保护的体系；到了1995年，《计算机数据保护法》颁布，每一个欧盟成员国的法律当中都引入了个人信息保护的法则；而现在，2015年新推出的GDPR取代了1995年的欧盟法令。

那么为什么要推出GDPR呢？实际上很明显，1995年的《计算机数据保护法》和各个国家的法律其实就已经在适应这个趋势了，那就是现在欧盟很多人都有一个共同的担心——个人信息和个人数据保护可能会成为一个问题。

欧盟在2014年的一个调查显示，大家对个人数据保护的关心程度是最高的，他们非常担心个人信息会被窃取，或是不小心被披露出去，从而导致网络犯罪的情况发生。最近我们做的一些新的调查也同样表明，大家对信息保护方面的担心是最高的，总是担心保护得还不够。

2017年7月英国执法部门的一个调查显示，对于执法机构对数据的保护措施，民众只有53%的信任度，而对于政府来讲，只有不到50%的信任度。

所有的这一切都表明了普通民众对于网络安全的担心。过去的几年，欧盟委员会外交事务委员会也进行了很多的调查，不管是在网络犯罪发生之前还是发生之后，这样的担心都已经存在，因此，GDPR也就应运而生了。

因为大家有这样的担心，所以我们也需要有一个新的范式。关于数据保护要有一个权利的转移，不应该是由单一的部门来做，而是应该由更多的部门甚至公众共同来做。

GDPR等于是个人数据的保护，通过一系列的原则和规则来进行保护。当任何主体要使用某个人的数据时，必须有法律依据，并且它的使用要得到严格的保护。这就要求为整个数据的获取、处理、使用制定非常严格的程序。并且，数据从获取到使用，以及它的保护，要有明确的规定。

通过这些措施，我们首先要明确一点，个人数据包括什么，以及哪些机构需要遵循GDPR的要求。

实际上有很多个人或机构在欧盟都有自己的业务，这些人或机构都要遵循欧盟的GDPR规定。

数据的使用者必须承担起责任，来保护这些数据，符合GDPR的要求。也就是说，整个数据链不是他自己使用的时候负责、而不对供应商负责就行的，他要对整个数据链的安全负责任。

因此我们采取了很多的措施，也进行了技术上的安排，使得数据的安全性更强，同时明确每一个用户使用的时候要承担的责任。

同时，监管机构也要明确自己的责任。

如果有人违反了GDPR，我们也要有追责的制度。

现在个人数据方面的罚款已经可以达到2000万欧元，对于企业，这个额度可以是全球年营业额的4%。如果发生特定情形的数据泄露事件，你必须在72小时内告知监管部门。

当然，有的时候不一定能百分之百做到，这要视当时的情况而定，但无论如何需要尽快通知监管当局。为了更好地应对个人数据泄露或是个人数据保护的问题，违反GDPR者还要积极配合，进行调查和整改，并在问题发生后，对受损的数据做出尽可能的补救。同时监管当局还会进一步进行后续的调查和研究。

推行GDPR的其中一个目的是重振公众对数据保护的信心和信任。但是它有没有成功呢？事实上是没有的。

如果你想对数据进行进一步的处理，就必须要得到用户的同意，但这存在很大的问题——比如人们会不耐烦，不想持续地点击同意，甚至有时他们会对所有的要求都拒绝，那么这个征求同意就变得没有意义了。

另外，它对学术界来说也有很大的挑战，很多研究需要用户数据，但是没有用户同意就得不到数据，也就没法进行研究。

其次，GDPR的本意是想要进行保护，但是为了合规保护，数据使用者要给用户发送太多的通知进行确认，对于有很多设备的普通人来说，他们没有办法把所有的通知都读了，然后去理解它们的影响。

最终，这些就沦为了失败的拯救机制。

此外，不同数据主体的互相矛盾的诉求也是一个问题。现在人们有多种数据，比如说照片、评论，这些数据所归属的数据主体很可能是多重的，但其实没有任何特定类别的数据主体在GDPR中是有优先权的，这就导致了一些问题。

除此之外，GDPR还有很多别的问题。GDPR的本意是想让竞争变得更加公平，但是其实更大的组织，特别是那些科技巨头，他们有更多的资源来让GDPR合规。

这样会把这些大小机构的合规行为分隔开来，或者是让这些大机构更加合规，这对所有人来说是不利的。在安全方面也有互相矛盾的地方，就是在GDPR规定的主体中[1]，数据控制者和数据处理者之间的责任并不平衡，这让数据处理者处在一个不利的境地，更增加了安全的隐患。

另外还有一些困难是跟GDPR的另外两个做法有关的。第一个是它本来想要降低欧盟内部关于数据保护的立法碎片化，把28个欧盟国家的法律整合成一个欧盟的法律；第二个是希望让这个法律更加经得起时间的检验。

但是我们看到，它并没有达到这两个目的。

说到降低立法的碎片化，在GDPR出台之后，仍有超过50个领域允许欧盟成员国自己设立额外的法律。也就是说还有许多国家有区别存在，这让整体的执行和合作都变得非常困难。

其中有一些领域是比较特别的，比如未成年人的数据：所有的成员国都开始立法了，但是却有很大的不同，因为年龄是不一样的，有些国家规定的是13~16岁，有的是14岁，有的是17岁，对未成年人的年龄都有那么多的分歧，对其他方面的分歧则更多。

除此之外，它是否能够抵抗得了时间的检验？

现在欧洲已经有一些技术在对GDPR进行挑战，比如说信息匿名化，这是一个比较大的争议。

我们现在无法判断一个匿名化的信息是否真的是有效的匿名化，因为现在有越来越多的数字的来源可以交叉验证，还有数据挖掘、人工智能，这些技术加在一起，让你想要获得一个纯粹匿名的信息越来越难。

其实，现在已经没有办法确定的知道某个数据是否真的无法追溯到原始个人身上。这对于研究和AI可能会有非常大的负面影响，因为他们可能会使用大量数据，而这些数据可能会重新被辨别它的来源人，这个威胁已经越来越大。

另外，如果你的数据真的清洗到了完全匿名的程度，那么这个数据对AI和研究可能是完全无用的。

除此之外，人工智能还会面临一些其它挑战。

首先，人工智能是绝对无法符合“数据最小化原则”[2]的，AI必须要得到巨量的数据。除此之外，人工智能也有可能把普通的个人数据变成敏感数据，比如说某人的购物车，如果你经常买某种药物，别人就会知道购买人的个人信息，比如说地理位置，如果你经常去某个教堂，或者是其它的宗教场所。使用某人的个人数据，很快会把这个数据变成敏感数据。

在GDPR的要求上，要求数据来源明确同意交出这些信息，这可能会非常困难。

另外一个跟人工智能相关的问题，就是解释性的问题，当我们谈到复杂的人工智能网络的时候，它会有个黑匣子的效应，让人们无法解释到底它的人工智能系统是怎么达成结论的。如果要解释的话，就要冒着打开黑盒子和揭露他们的IP和其它的商业秘密的危险，这对这些公司来说都是很大的问题。

另外一个是区块链，它也是比较大的问题。首先是交易的不可逆性，他们无法更改信息，这样就跟GDPR中的遗忘权和更改权是相悖的。

所有区块链的特性，都是我们需要考虑和思考的。

在区块链中，所有的参与者都可以增加文件和信息，所以也很难知道到底谁是数据控制者，到底是在区块链之中有一个数据控制者还是多个数据控制者，这也是问题。

除此之外还有保密性和同意的问题，因为所有的区块链上的人都是能够得到这个信息的，包括个人信息，无论有没有数据所有人的同意。除此之外，还有物联网、量子计算机，到底我们该怎么处理，这些都是法律的制定者在未来需要解决的问题。

欧盟下一步的做法是什么呢？大家可能也预期到了很快我们将会采取ePrivacy，就是数据隐私的法律，还有电子通讯法案，除此之外还有在混合数据集的一些指导方案以及其它的立法和法规，所以请大家持续关注。

脚注：

[1]编者注：GDPR定义了两种主体“数据控制者”、“数据处理者”，用一个例子来说明二者的区别：创业公司A在云服务商B上搭建了自己的服务，A、B分别为数据控制者、数据处理者。

[2]GDPR的七个原则之一，数据最小化原则要求所收集、处理的个人数据之于其处理目的，应当准确、相关、必要。

本文来自微信公众号：腾讯研究院（ID：cyberlawrc）。