數據，已經成為當今社會最偉大的資產。——MADANA創(chuàng)始人兼首席執(zhí)行官Christian Junger

2018年5月25日，歐盟基于1995年制定的《計算機數據保護法》正式出臺《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）。

“有趣”的是，雖然該法規(guī)出臺已有一年多時間，但似乎很少有人關注，直到最近英國信息委員會辦公室發(fā)表聲明稱英國航空（British Airways）因違反《通用數據保護條例》被罰近2億英鎊、以及萬豪酒店因泄露客戶數據被罰近1億英鎊之后，這個“條例”才引起了業(yè)內的廣泛警惕——原來，海外監(jiān)管機構罰起款來也一點不手軟啊！

什么是《通用數據保護條例》？

《通用數據保護條例》可以算是歐盟有史以來最為嚴格的網絡數據管理法規(guī)，其最大的特點在于限制企業(yè)對個人用戶數據的使用權，簡單來說，就是只要在歐盟地區(qū)開展業(yè)務經營的企業(yè)，尤其是互聯(lián)網公司，在使用用戶個人數據前必須先征得用戶的同意，無論這家企業(yè)的業(yè)務范圍是什么、從事的行業(yè)是什么、或是企業(yè)的經營形式是什么。

為什么會“忽然”開出巨額罰單？

實際上，歐盟《通用數據保護條例》早在2016年4月就已經醞釀推出，當時給了各大企業(yè)大約兩年時間來“緩沖”。更重要的是，經過歐洲議會（下議院）和歐盟理事會（上議院）通過的《通用數據保護條例》在法律框架內屬于“條例”，這意味著它無需通過成員國的本國議會同意，可以直接在各個歐盟成員國內直接執(zhí)行實施，要知道目前歐盟一共有28個成員國，該條例覆蓋的總人口超過5.1億，監(jiān)管部門征收罰款的權力一下子被大大提升了。

有觀點指出，歐盟境內近年出現貿易主義抬頭的傾向，《通用數據保護條例》合規(guī)有可能會成為歐盟本土保護的新手段，不合規(guī)的企業(yè)很容易被監(jiān)管機構盯上，就像上文提到的英國航空和萬豪酒店一樣。歐盟成員國政府也有可能出于保護本國企業(yè)的目的實施針對性地調查，很多在歐盟地區(qū)開展業(yè)務的海外企業(yè)將因此面臨巨大的處罰風險。

另一方面，隨著支持英國脫歐的保守黨鮑里斯·約翰遜當選為該國首相，本次針對英國公司的罰款似乎有一種“不罰來不及”的感覺——雖然目前還不清楚英國脫歐之后是否會對《通用數據保護條例》在該國實施產生影響。

當然，也有人也提出過一個“陰謀論”，認為歐洲很多國家的經濟狀況表現并不盡如人意，因此希望通過巨額罰款來補充自己的財政收入。

《通用數據保護條例》可以對公司罰多少錢？

為了確保企業(yè)認真對待《通用數據保護條例》的監(jiān)管要求，該法規(guī)賦予歐盟各國數據監(jiān)管機構最高2000萬歐元、或全球年度營業(yè)額的4%的罰款，根據違規(guī)嚴重程度以金額較大的數字為準。舉個例子，這次英國航空公司被罰款的金額是其全球年度營業(yè)額的1.5%，如果按照最高罰款比例的話，罰金可能會達到4.89億英鎊。

由此我們可以看出，被爆出“劍橋分析丑聞”的Facebook可以說躲過了一劫。此前，Facebook將8700萬用戶數據在未經用戶充分同意的條件下共享給了第三方開發(fā)商、政治戰(zhàn)略公司劍橋分析（Cambrige Analytica），該公司涉嫌左右了美國總統(tǒng)特朗普勝選和英國脫歐投票。但最終，因為該事件發(fā)生時《通用數據保護條例》尚未實施，因此Facebook公司僅被罰款50萬英鎊。鑒于Facebook在2017年全球收入為407億美元（約合315億英鎊），如果按照《通用數據保護條例》新規(guī)執(zhí)行的話，他們將會被處以最高12.6億英鎊的罰款。

社交網絡公司也許還有暫時規(guī)避的辦法（雖然并不清楚這些規(guī)避的方法是否可持續(xù)），但依賴攫取工業(yè)數據（例如用戶駕駛習慣、健康狀況等）的公司也許今后很難應對數據保護法案合規(guī)的挑戰(zhàn)了。

罰款的錢最后會流到哪里？

這個問題很簡單，因為——《通用數據保護條例》罰款的錢最后將會返還給各國財政部。

企業(yè)可以與《通用數據保護條例》“對抗”嗎？

不可否認，《通用數據保護條例》未來的監(jiān)管力度只會越來越大，尤其是在在數字時代，企業(yè)對個人用戶數據的使用權一直飽受爭議。英國航空和萬豪酒店已經為其他公司提供了警示，當然《通用數據保護條例》允許企業(yè)就罰款數額提出上訴，并有28天時間進行辯解。此外，從發(fā)布擬議的罰款通知到最終做出判決，監(jiān)管機構最多有十六周時間。

但問題是，今后企業(yè)在“監(jiān)管高壓”之下是不是會對數據使用變得畏手畏腳了呢？畢竟對任何一家企業(yè)而言，每年拿出4%的收入交罰款絕不是個小數字，但又該如何既滿足《通用數據保護條例》的規(guī)定，又能讓自己手上的數據發(fā)揮最大價值呢？

事實上，區(qū)塊鏈技術此時就能給出一個答案：如果我們構建一個區(qū)塊鏈網絡，不僅可以有效追蹤原始數據來源和去向，而且還能確保網絡內的所有用戶使用的數據都是加密且符合監(jiān)管要求。比如Lisk上首個側鏈項目、柏林區(qū)塊鏈公司Madana就在遵守《通用數據保護條例》“Privacy-by-Design隱私設計”要求的基礎上為跨行業(yè)數據共享和數據分析提供了一個透明的平臺，讓用戶自己掌握自己的“數據主權”。

作為一個開源DApp平臺，Lisk兩位聯(lián)合創(chuàng)始人Max Kordek和Oliver Beddows一直期望利用側鏈技術解決內容和數字資產在不同區(qū)塊鏈之間的互相轉移。事實上，這個技術恰恰是《通用數據保護條例》所需要的，因為當用戶數據歸屬到“自己手上”之后不可能只在一個平臺（或是一個APP）上使用，所以只有解決了不同系統(tǒng)之間的互操作性問題，才能做到在滿足《通用數據保護條例》監(jiān)管要求下實現“個人數據”的跨行業(yè)應用。

如果我們分析一下MADANA的系統(tǒng)架構，就會明白為什么他們如此有信心能滿足《通用數據保護條例》的監(jiān)管要求了。如下圖所示，用戶的個人數據都是存儲在他們自己的設備上，基于去中心化數據存儲，MADANA系統(tǒng)只有在獲得許可之后才能訪問數據，之后他們會對每個獨立數據進行加密，每個人將擁有獨一無二的密鑰，意味著只有他們自己才能在需要的時候“解密”個人數據。更重要的是，MADANA這種模式可以最大程度地限制黑客攻擊威脅，因為通過去中心化數據存儲，黑客不得不一個個去破解密鑰，高昂的成本將使他們不得不放棄攻擊。

基于此，MADANA公司還提出了一個所謂“隱私科技”（PrivTech）的全新概念，即：在不丟失信息系統(tǒng)功能的情況下，并在最小化擁有個人數據的同時，依法保護數據的技術。根據該公司分析，隨著《通用數據保護條例》監(jiān)管力度不斷加強，包括數字生命科學（eHealth）、銀行和金融服務業(yè)（BFSI）、汽車OEM、航空公司和機場、電信、以及零售（購物中心）這些對個人數據需求極大的行業(yè)將對隱私科技產品的需求大幅增加，預計到2020年這一領域的市場規(guī)模將會達到2100億美元，年復合增長率約為11%。

值得一提的是，MADANA已經為他們的區(qū)塊鏈數據參與平臺申請了專利，允許用戶使用自己的受保護數據參與數據市場。

歐盟渴望“數據主權”

一些將商品銷往歐洲市場、并且提供支付交易服務的電商網站都會收集和處理用戶的一些基本信息，比如亞馬遜和阿里巴巴。針對這些跨國公司，包括德國和法國在內的許多歐洲國家其實已經意識到將敏感數據存放在國外服務器上可能帶來的“數據主權”威脅，除了使用《通用數據保護條例》在政策上進行約束之外，一個泛歐云端項目“Gaia-X”也孕育而出，旨在減少歐洲對亞馬遜AWS和阿里云的依賴。

據悉，思愛普（SAP）、西門子（Siemens）、博世（Bosch）、德國電信（DeutscheTelekom）等德國大企業(yè)和法國信息技術服務公司源訊（Atos）都可望參與“Gaia-X”，該項目2020年下半年就可推出相關應用。根據德國經濟部的規(guī)劃，歐洲云端的重點不僅是數據儲存，更重要的是統(tǒng)一數據安全規(guī)格，讓歐洲企業(yè)放心用匿名的方式交換數據，催生新的商業(yè)模式。

正如MADANA創(chuàng)始人兼首席執(zhí)行官Christian Junger所說，數據已經成為當今社會最偉大的資產，今后也將變得越來越重要，即便有了《通用數據保護條例》，數據安全仍然是一個最重要的問題，而區(qū)塊鏈公司同樣需要與經驗豐富的企業(yè)和政治機構合作，在商業(yè)和監(jiān)管上找到最佳的契合點。

數據“可用不可見”會是應對歐盟《通用數據保護條例》的取勝之匙嗎？

不得不說，《通用數據保護條例》給企業(yè)提出了一個兩難的問題：一方面要企業(yè)保證數據不可觸及，即實際操作的計算方不知道明文數據是什么；另一方面，企業(yè)自身有非常渴望使用明文數據進行實際計算。好在“辦法總比困難多”，業(yè)內已經開始探索用所謂“可用不可見”的密文計算方法來解決這個問題了。

知名市場分析公司Gartner已經將“數據隱私”列為2019年十大戰(zhàn)略技術趨勢之一，而“可用不可見”則是實現數據隱私的關鍵技術。就在歐洲監(jiān)管機構依照《通用數據保護條例》開出巨額罰款的同時，中國國內也悄然出現強調數據“可用不可見”的趨勢。當前，業(yè)界實現數據“可用不可見”的技術路線可以歸納為兩類：

· 第一類是基于密碼學技術的密態(tài)計算，以安全多方計算、可搜索加密、同態(tài)加密、零知識證明等技術為代表。其核心思想是設計特殊的加密算法和協(xié)議，從而支持在加密數據之上（不用解密）直接進行計算，得到所需的計算結果，同時不接觸數據明文內容；

· 第二類是基于可信執(zhí)行環(huán)境技術（TEE，Trusted Execution Environment）的可信計算，以Intel的SGX，AMD的SEV，ARM的Trust Zone等技術作為代表。其核心思想是以可信硬件為載體，提供硬件級強安全隔離和通用計算環(huán)境，在完善的密碼服務加持下形成“密室”，數據僅在“密室”內才進行解密并計算，除此之外任何其他方法都無法接觸到數據明文內容，數據在離開“密室”之前又會被自動加密，從而實現“可用不可見”。

對于將商品銷往歐洲市場、并且提供支付交易服務的阿里巴巴來說，最近幾年已經開始探索第二類TEE可信計算計算、同時嘗試使用TEE技術實現密文計算支持新型數字經濟發(fā)展了，比如阿里巴巴旗下螞蟻金服推出的安全計算平臺“數巢”系統(tǒng)和“摩斯”系統(tǒng)就支持基于TEE為基礎的密文計算，而且已廣泛應用于聯(lián)合金融風控、保險快速理賠、民生政務、多方聯(lián)合營銷、多方聯(lián)合科研、跨境數據合作等多個領域

總結

雖然我們一直在鼓勵企業(yè)和機構共享數據，但在目前互聯(lián)網生態(tài)里想要安全地實現這一目的難度極高，因此需要隱私科技加持，才能打破數據孤島，真正實現數據互聯(lián)互通，發(fā)揮大數據的威力。

最后套用中國一句老話：「兵來將擋水來土掩」，雖然《通用數據保護條例》「來勢洶洶」，但至少給出了明確的監(jiān)管方向和要求，隨著MADANA、以及Lisk區(qū)塊鏈上越來越多其他隱私科技項目的出現，相信企業(yè)的曙光也會慢慢到來。

責任編輯：Ct