数据驱动的
互联网营销和运营

始料未及的灾难性后果!欧洲的个人信息保护法实施一周年的反思

GDPR生效一周年之际,欧洲的互联网不是变得更好了,而是变得更糟糕。GDPR没有带来双赢,反而可能带来全盘皆输。

或许,是时候反思,GDPR这样激进的法律是否真的有意义?​

GDPR给欧洲互联网带来严重的负面影响

中国的广告协会、网信办以及立法机构正在热烈讨论对于互联网上个人信息保护的相关法律究竟应该如何订立之时,从大洋彼岸的欧洲,传来了令人大跌眼镜的消息。据英国《金融时报》报道,GDPR推行一年之后,欧盟科技企业获得风投大幅度减少,每笔交易平均规模下降了33%。欧盟的人工智能相关的技术和发展,显著落后于中国与美国这样的“数据更加”开放的国家。74%的被采访企业表示,GDPR是他们开发新技术时候面临的极为重大的障碍,也就是说,GDPR严重影响了企业创新。不仅如此,GDPR还给企业带来了很多额外的负担。普华永道(PriceWaterhouseCoopers)调查的公司中,有大约60%的公司表示,它们花费逾100万美元为GDPR做准备,有12%的公司则表示拨备了超过1,000万美元。普华永道对在欧洲有业务的300家美国、英国及日本公司的高管进行了调查。

但就算企业为GDPR付出了更大的成本,他们也未必能够合规。一个数据是,GDPR生效一年后,英国和法国的数据保护部门承认,大批公司上报自己的违规行为的情况,已经让他们的工作面临崩溃。

“被保护者”也不买账。欧洲民意调查中心在2019年5月发布的一项调查显示,近三分之二的欧洲人(63%)要么没有听说过GDPR,要么不知道GDPR具体是什么。GDPR或许保护了网民的个人信息,但却严重阻碍了欧盟公民获取信息的便利性,由于对该规定存在严重担忧,已经导致逾1000家美国新闻网站禁止欧洲用户访问。

另外,与GDPR生效前相比,有9个国家的互联网用户觉得自己掌握自己数据的可能性更低了,只有5个国家的网民觉得有所提高。

关于更多的GDPR一年来的“崩溃与混乱”我就不引用了,大家可以看FT中文网(英国《金融时报》的中文版)的这篇文章,强烈推荐:http://www.ftchinese.com/story/001083486

中国应该吸取什么样的教训

激进的规则不一定会带来混乱,但是却会带来萧条。保护并不见得就是无害的,不讲方法的保护也会带来巨大杀伤。欧洲的情况已经向我们提出警示,过于激进的立法是双刃剑,它对企业创新的阻碍和经济活力的抑制,可能有非常意想不到的副作用。这并不是说不应该保护个人信息,而是应该如何保护的问题。

数据从发生到灭失全部需要隐私和安全的保护,但同时,隐私和安全的保护不仅仅只是保护本身,更是为了让数据能够发挥更大的价值。

一个司机开车,他的驾驶习惯和操作数据,对他自己可能并没有太大的价值,但对于机器学习和自动驾驶,意义就非常巨大。这些数据应该在确保隐私的情况下被更好的利用,反过来造福人类。

但因为不分青红皂白的禁止而灭绝了数据的应用,那是巨大倒退。

中国仍然存在的巨大不确定性

与GDPR不一样,中国的个人信息保护立法的靴子还没有落地。但部分红线已经非常明确,即使没有正式生效的个人信息保护法,网络安全法等现行法规已经解释清晰。例如,明示同意的原则,数据出境情况的规定,窃取公民实名信息用于推销和骚扰等,这些没有争议。

但有争议的主要是个人信息的定义和范围问题。

GDPR目前的做法是,将个人相关的信息分为三类:实名信息(PII),假名信息(Pseudonymous,不知道怎么翻译,或者称为类实名信息),以及匿名信息(Anonymous)。匿名信息,是完全不可以恢复到实名信息上的一种信息;而假名信息,本质上不能直接看出来跟实名信息的关系,但可以借助其他信息让假名信息恢复为实名信息,例如,IMEI号就是一个比较典型的假名信息。

在GDPR中,实名信息、假名信息、匿名信息的保护要求均不相同,规定的很细致。

图:符合GDPR法规的一个“明示同意”的例子

但国内的立法会如何?从目前的线索看,我们可能远没有GDPR那么严格细致。似乎国家立法机构正在将假名信息也作为实名信息的一部分统一进行规范管理,这可能会带来很多后续的问题。尽管从立法的角度看,一刀切是最容易实现的方式,例如将IDFA和IMEI同等对待,但从数据保护的角度看,二者所代表的意义和可能产生的个人信息保护的风险是完全不同的。如果直接把它们同等对待,当然可以实现无差别的保护,但IDFA本身所能够带来的创新与价值也一并抹除了。GDPR有大量的违规报告均出现在假名信息的保护上,并且假名信息在欧洲各国的具体解释甚至都不是非常统一,这造成了很多混乱状况。而中国,似乎更大的麻烦还停留在实名信息上。或者说,我们连实名信息的保护,都还没有做好。而现在,我们将本来更适合定义为“假名信息”的,也作为“实名信息”,会带来什么样的结果?会否引发认知上的混淆和执行上的混乱?又或者真的令企业畏缩不前而阻碍创新?还不得而知。

但欧盟的前车之鉴,或许已经给了我们很多值得关注和思考的东西。

未经允许不得转载:DigiMaxDigiMax » 始料未及的灾难性后果!欧洲的个人信息保护法实施一周年的反思
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址