數(shù)據(jù)，已經(jīng)成為當(dāng)今社會(huì)最偉大的資產(chǎn)。——MADANA創(chuàng)始人兼首席執(zhí)行官Christian Junger

2018年5月25日，歐盟基于1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》正式出臺(tái)《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）。

“有趣”的是，雖然該法規(guī)出臺(tái)已有一年多時(shí)間，但似乎很少有人關(guān)注，直到最近英國(guó)信息委員會(huì)辦公室發(fā)表聲明稱英國(guó)航空（British Airways）因違反《通用數(shù)據(jù)保護(hù)條例》被罰近2億英鎊、以及萬豪酒店因泄露客戶數(shù)據(jù)被罰近1億英鎊之后，這個(gè)“條例”才引起了業(yè)內(nèi)的廣泛警惕——原來，海外監(jiān)管機(jī)構(gòu)罰起款來也一點(diǎn)不手軟?。?/p>

什么是《通用數(shù)據(jù)保護(hù)條例》？

《通用數(shù)據(jù)保護(hù)條例》可以算是歐盟有史以來最為嚴(yán)格的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī)，其最大的特點(diǎn)在于限制企業(yè)對(duì)個(gè)人用戶數(shù)據(jù)的使用權(quán)，簡(jiǎn)單來說，就是只要在歐盟地區(qū)開展業(yè)務(wù)經(jīng)營(yíng)的企業(yè)，尤其是互聯(lián)網(wǎng)公司，在使用用戶個(gè)人數(shù)據(jù)前必須先征得用戶的同意，無論這家企業(yè)的業(yè)務(wù)范圍是什么、從事的行業(yè)是什么、或是企業(yè)的經(jīng)營(yíng)形式是什么。

為什么會(huì)“忽然”開出巨額罰單？

實(shí)際上，歐盟《通用數(shù)據(jù)保護(hù)條例》早在2016年4月就已經(jīng)醞釀推出，當(dāng)時(shí)給了各大企業(yè)大約兩年時(shí)間來“緩沖”。更重要的是，經(jīng)過歐洲議會(huì)（下議院）和歐盟理事會(huì)（上議院）通過的《通用數(shù)據(jù)保護(hù)條例》在法律框架內(nèi)屬于“條例”，這意味著它無需通過成員國(guó)的本國(guó)議會(huì)同意，可以直接在各個(gè)歐盟成員國(guó)內(nèi)直接執(zhí)行實(shí)施，要知道目前歐盟一共有28個(gè)成員國(guó)，該條例覆蓋的總?cè)丝诔^5.1億，監(jiān)管部門征收罰款的權(quán)力一下子被大大提升了。

有觀點(diǎn)指出，歐盟境內(nèi)近年出現(xiàn)貿(mào)易主義抬頭的傾向，《通用數(shù)據(jù)保護(hù)條例》合規(guī)有可能會(huì)成為歐盟本土保護(hù)的新手段，不合規(guī)的企業(yè)很容易被監(jiān)管機(jī)構(gòu)盯上，就像上文提到的英國(guó)航空和萬豪酒店一樣。歐盟成員國(guó)政府也有可能出于保護(hù)本國(guó)企業(yè)的目的實(shí)施針對(duì)性地調(diào)查，很多在歐盟地區(qū)開展業(yè)務(wù)的海外企業(yè)將因此面臨巨大的處罰風(fēng)險(xiǎn)。

另一方面，隨著支持英國(guó)脫歐的保守黨鮑里斯·約翰遜當(dāng)選為該國(guó)首相，本次針對(duì)英國(guó)公司的罰款似乎有一種“不罰來不及”的感覺——雖然目前還不清楚英國(guó)脫歐之后是否會(huì)對(duì)《通用數(shù)據(jù)保護(hù)條例》在該國(guó)實(shí)施產(chǎn)生影響。

當(dāng)然，也有人也提出過一個(gè)“陰謀論”，認(rèn)為歐洲很多國(guó)家的經(jīng)濟(jì)狀況表現(xiàn)并不盡如人意，因此希望通過巨額罰款來補(bǔ)充自己的財(cái)政收入。

《通用數(shù)據(jù)保護(hù)條例》可以對(duì)公司罰多少錢？

為了確保企業(yè)認(rèn)真對(duì)待《通用數(shù)據(jù)保護(hù)條例》的監(jiān)管要求，該法規(guī)賦予歐盟各國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)最高2000萬歐元、或全球年度營(yíng)業(yè)額的4%的罰款，根據(jù)違規(guī)嚴(yán)重程度以金額較大的數(shù)字為準(zhǔn)。舉個(gè)例子，這次英國(guó)航空公司被罰款的金額是其全球年度營(yíng)業(yè)額的1.5%，如果按照最高罰款比例的話，罰金可能會(huì)達(dá)到4.89億英鎊。

由此我們可以看出，被爆出“劍橋分析丑聞”的Facebook可以說躲過了一劫。此前，F(xiàn)acebook將8700萬用戶數(shù)據(jù)在未經(jīng)用戶充分同意的條件下共享給了第三方開發(fā)商、政治戰(zhàn)略公司劍橋分析（Cambrige Analytica），該公司涉嫌左右了美國(guó)總統(tǒng)特朗普勝選和英國(guó)脫歐投票。但最終，因?yàn)樵撌录l(fā)生時(shí)《通用數(shù)據(jù)保護(hù)條例》尚未實(shí)施，因此Facebook公司僅被罰款50萬英鎊。鑒于Facebook在2017年全球收入為407億美元（約合315億英鎊），如果按照《通用數(shù)據(jù)保護(hù)條例》新規(guī)執(zhí)行的話，他們將會(huì)被處以最高12.6億英鎊的罰款。

社交網(wǎng)絡(luò)公司也許還有暫時(shí)規(guī)避的辦法（雖然并不清楚這些規(guī)避的方法是否可持續(xù)），但依賴攫取工業(yè)數(shù)據(jù)（例如用戶駕駛習(xí)慣、健康狀況等）的公司也許今后很難應(yīng)對(duì)數(shù)據(jù)保護(hù)法案合規(guī)的挑戰(zhàn)了。

罰款的錢最后會(huì)流到哪里？

這個(gè)問題很簡(jiǎn)單，因?yàn)椤锻ㄓ脭?shù)據(jù)保護(hù)條例》罰款的錢最后將會(huì)返還給各國(guó)財(cái)政部。

企業(yè)可以與《通用數(shù)據(jù)保護(hù)條例》“對(duì)抗”嗎？

不可否認(rèn)，《通用數(shù)據(jù)保護(hù)條例》未來的監(jiān)管力度只會(huì)越來越大，尤其是在在數(shù)字時(shí)代，企業(yè)對(duì)個(gè)人用戶數(shù)據(jù)的使用權(quán)一直飽受爭(zhēng)議。英國(guó)航空和萬豪酒店已經(jīng)為其他公司提供了警示，當(dāng)然《通用數(shù)據(jù)保護(hù)條例》允許企業(yè)就罰款數(shù)額提出上訴，并有28天時(shí)間進(jìn)行辯解。此外，從發(fā)布擬議的罰款通知到最終做出判決，監(jiān)管機(jī)構(gòu)最多有十六周時(shí)間。

但問題是，今后企業(yè)在“監(jiān)管高壓”之下是不是會(huì)對(duì)數(shù)據(jù)使用變得畏手畏腳了呢？畢竟對(duì)任何一家企業(yè)而言，每年拿出4%的收入交罰款絕不是個(gè)小數(shù)字，但又該如何既滿足《通用數(shù)據(jù)保護(hù)條例》的規(guī)定，又能讓自己手上的數(shù)據(jù)發(fā)揮最大價(jià)值呢？

事實(shí)上，區(qū)塊鏈技術(shù)此時(shí)就能給出一個(gè)答案：如果我們構(gòu)建一個(gè)區(qū)塊鏈網(wǎng)絡(luò)，不僅可以有效追蹤原始數(shù)據(jù)來源和去向，而且還能確保網(wǎng)絡(luò)內(nèi)的所有用戶使用的數(shù)據(jù)都是加密且符合監(jiān)管要求。比如Lisk上首個(gè)側(cè)鏈項(xiàng)目、柏林區(qū)塊鏈公司Madana就在遵守《通用數(shù)據(jù)保護(hù)條例》“Privacy-by-Design隱私設(shè)計(jì)”要求的基礎(chǔ)上為跨行業(yè)數(shù)據(jù)共享和數(shù)據(jù)分析提供了一個(gè)透明的平臺(tái)，讓用戶自己掌握自己的“數(shù)據(jù)主權(quán)”。

作為一個(gè)開源DApp平臺(tái)，Lisk兩位聯(lián)合創(chuàng)始人Max Kordek和Oliver Beddows一直期望利用側(cè)鏈技術(shù)解決內(nèi)容和數(shù)字資產(chǎn)在不同區(qū)塊鏈之間的互相轉(zhuǎn)移。事實(shí)上，這個(gè)技術(shù)恰恰是《通用數(shù)據(jù)保護(hù)條例》所需要的，因?yàn)楫?dāng)用戶數(shù)據(jù)歸屬到“自己手上”之后不可能只在一個(gè)平臺(tái)（或是一個(gè)APP）上使用，所以只有解決了不同系統(tǒng)之間的互操作性問題，才能做到在滿足《通用數(shù)據(jù)保護(hù)條例》監(jiān)管要求下實(shí)現(xiàn)“個(gè)人數(shù)據(jù)”的跨行業(yè)應(yīng)用。

如果我們分析一下MADANA的系統(tǒng)架構(gòu)，就會(huì)明白為什么他們?nèi)绱擞行判哪軡M足《通用數(shù)據(jù)保護(hù)條例》的監(jiān)管要求了。如下圖所示，用戶的個(gè)人數(shù)據(jù)都是存儲(chǔ)在他們自己的設(shè)備上，基于去中心化數(shù)據(jù)存儲(chǔ)，MADANA系統(tǒng)只有在獲得許可之后才能訪問數(shù)據(jù)，之后他們會(huì)對(duì)每個(gè)獨(dú)立數(shù)據(jù)進(jìn)行加密，每個(gè)人將擁有獨(dú)一無二的密鑰，意味著只有他們自己才能在需要的時(shí)候“解密”個(gè)人數(shù)據(jù)。更重要的是，MADANA這種模式可以最大程度地限制黑客攻擊威脅，因?yàn)橥ㄟ^去中心化數(shù)據(jù)存儲(chǔ)，黑客不得不一個(gè)個(gè)去破解密鑰，高昂的成本將使他們不得不放棄攻擊。

基于此，MADANA公司還提出了一個(gè)所謂“隱私科技”（PrivTech）的全新概念，即：在不丟失信息系統(tǒng)功能的情況下，并在最小化擁有個(gè)人數(shù)據(jù)的同時(shí)，依法保護(hù)數(shù)據(jù)的技術(shù)。根據(jù)該公司分析，隨著《通用數(shù)據(jù)保護(hù)條例》監(jiān)管力度不斷加強(qiáng)，包括數(shù)字生命科學(xué)（eHealth）、銀行和金融服務(wù)業(yè)（BFSI）、汽車OEM、航空公司和機(jī)場(chǎng)、電信、以及零售（購(gòu)物中心）這些對(duì)個(gè)人數(shù)據(jù)需求極大的行業(yè)將對(duì)隱私科技產(chǎn)品的需求大幅增加，預(yù)計(jì)到2020年這一領(lǐng)域的市場(chǎng)規(guī)模將會(huì)達(dá)到2100億美元，年復(fù)合增長(zhǎng)率約為11%。

值得一提的是，MADANA已經(jīng)為他們的區(qū)塊鏈數(shù)據(jù)參與平臺(tái)申請(qǐng)了專利，允許用戶使用自己的受保護(hù)數(shù)據(jù)參與數(shù)據(jù)市場(chǎng)。

歐盟渴望“數(shù)據(jù)主權(quán)”

一些將商品銷往歐洲市場(chǎng)、并且提供支付交易服務(wù)的電商網(wǎng)站都會(huì)收集和處理用戶的一些基本信息，比如亞馬遜和阿里巴巴。針對(duì)這些跨國(guó)公司，包括德國(guó)和法國(guó)在內(nèi)的許多歐洲國(guó)家其實(shí)已經(jīng)意識(shí)到將敏感數(shù)據(jù)存放在國(guó)外服務(wù)器上可能帶來的“數(shù)據(jù)主權(quán)”威脅，除了使用《通用數(shù)據(jù)保護(hù)條例》在政策上進(jìn)行約束之外，一個(gè)泛歐云端項(xiàng)目“Gaia-X”也孕育而出，旨在減少歐洲對(duì)亞馬遜AWS和阿里云的依賴。

據(jù)悉，思愛普（SAP）、西門子（Siemens）、博世（Bosch）、德國(guó)電信（DeutscheTelekom）等德國(guó)大企業(yè)和法國(guó)信息技術(shù)服務(wù)公司源訊（Atos）都可望參與“Gaia-X”，該項(xiàng)目2020年下半年就可推出相關(guān)應(yīng)用。根據(jù)德國(guó)經(jīng)濟(jì)部的規(guī)劃，歐洲云端的重點(diǎn)不僅是數(shù)據(jù)儲(chǔ)存，更重要的是統(tǒng)一數(shù)據(jù)安全規(guī)格，讓歐洲企業(yè)放心用匿名的方式交換數(shù)據(jù)，催生新的商業(yè)模式。

正如MADANA創(chuàng)始人兼首席執(zhí)行官Christian Junger所說，數(shù)據(jù)已經(jīng)成為當(dāng)今社會(huì)最偉大的資產(chǎn)，今后也將變得越來越重要，即便有了《通用數(shù)據(jù)保護(hù)條例》，數(shù)據(jù)安全仍然是一個(gè)最重要的問題，而區(qū)塊鏈公司同樣需要與經(jīng)驗(yàn)豐富的企業(yè)和政治機(jī)構(gòu)合作，在商業(yè)和監(jiān)管上找到最佳的契合點(diǎn)。

數(shù)據(jù)“可用不可見”會(huì)是應(yīng)對(duì)歐盟《通用數(shù)據(jù)保護(hù)條例》的取勝之匙嗎？

不得不說，《通用數(shù)據(jù)保護(hù)條例》給企業(yè)提出了一個(gè)兩難的問題：一方面要企業(yè)保證數(shù)據(jù)不可觸及，即實(shí)際操作的計(jì)算方不知道明文數(shù)據(jù)是什么；另一方面，企業(yè)自身有非?？释褂妹魑臄?shù)據(jù)進(jìn)行實(shí)際計(jì)算。好在“辦法總比困難多”，業(yè)內(nèi)已經(jīng)開始探索用所謂“可用不可見”的密文計(jì)算方法來解決這個(gè)問題了。

知名市場(chǎng)分析公司Gartner已經(jīng)將“數(shù)據(jù)隱私”列為2019年十大戰(zhàn)略技術(shù)趨勢(shì)之一，而“可用不可見”則是實(shí)現(xiàn)數(shù)據(jù)隱私的關(guān)鍵技術(shù)。就在歐洲監(jiān)管機(jī)構(gòu)依照《通用數(shù)據(jù)保護(hù)條例》開出巨額罰款的同時(shí)，中國(guó)國(guó)內(nèi)也悄然出現(xiàn)強(qiáng)調(diào)數(shù)據(jù)“可用不可見”的趨勢(shì)。當(dāng)前，業(yè)界實(shí)現(xiàn)數(shù)據(jù)“可用不可見”的技術(shù)路線可以歸納為兩類：

· 第一類是基于密碼學(xué)技術(shù)的密態(tài)計(jì)算，以安全多方計(jì)算、可搜索加密、同態(tài)加密、零知識(shí)證明等技術(shù)為代表。其核心思想是設(shè)計(jì)特殊的加密算法和協(xié)議，從而支持在加密數(shù)據(jù)之上（不用解密）直接進(jìn)行計(jì)算，得到所需的計(jì)算結(jié)果，同時(shí)不接觸數(shù)據(jù)明文內(nèi)容；

· 第二類是基于可信執(zhí)行環(huán)境技術(shù)（TEE，Trusted Execution Environment）的可信計(jì)算，以Intel的SGX，AMD的SEV，ARM的Trust Zone等技術(shù)作為代表。其核心思想是以可信硬件為載體，提供硬件級(jí)強(qiáng)安全隔離和通用計(jì)算環(huán)境，在完善的密碼服務(wù)加持下形成“密室”，數(shù)據(jù)僅在“密室”內(nèi)才進(jìn)行解密并計(jì)算，除此之外任何其他方法都無法接觸到數(shù)據(jù)明文內(nèi)容，數(shù)據(jù)在離開“密室”之前又會(huì)被自動(dòng)加密，從而實(shí)現(xiàn)“可用不可見”。

對(duì)于將商品銷往歐洲市場(chǎng)、并且提供支付交易服務(wù)的阿里巴巴來說，最近幾年已經(jīng)開始探索第二類TEE可信計(jì)算計(jì)算、同時(shí)嘗試使用TEE技術(shù)實(shí)現(xiàn)密文計(jì)算支持新型數(shù)字經(jīng)濟(jì)發(fā)展了，比如阿里巴巴旗下螞蟻金服推出的安全計(jì)算平臺(tái)“數(shù)巢”系統(tǒng)和“摩斯”系統(tǒng)就支持基于TEE為基礎(chǔ)的密文計(jì)算，而且已廣泛應(yīng)用于聯(lián)合金融風(fēng)控、保險(xiǎn)快速理賠、民生政務(wù)、多方聯(lián)合營(yíng)銷、多方聯(lián)合科研、跨境數(shù)據(jù)合作等多個(gè)領(lǐng)域

總結(jié)

雖然我們一直在鼓勵(lì)企業(yè)和機(jī)構(gòu)共享數(shù)據(jù)，但在目前互聯(lián)網(wǎng)生態(tài)里想要安全地實(shí)現(xiàn)這一目的難度極高，因此需要隱私科技加持，才能打破數(shù)據(jù)孤島，真正實(shí)現(xiàn)數(shù)據(jù)互聯(lián)互通，發(fā)揮大數(shù)據(jù)的威力。

最后套用中國(guó)一句老話：「兵來將擋水來土掩」，雖然《通用數(shù)據(jù)保護(hù)條例》「來勢(shì)洶洶」，但至少給出了明確的監(jiān)管方向和要求，隨著MADANA、以及Lisk區(qū)塊鏈上越來越多其他隱私科技項(xiàng)目的出現(xiàn)，相信企業(yè)的曙光也會(huì)慢慢到來。

責(zé)任編輯：Ct