关于信息安全，欧盟又出招啦【宁宇专栏-275】

这次的新规又说了什么？...



【摘要】这次的新规又说了什么？

原中国移动业务支撑系统部经理，现华为业务软件部专家

愿意和大家分享运营商的辉煌与没落，成功与失败，他用他的故事和分析诉说：运营商和你们想的不一样。

最新文章

从小小后视镜看物联网的生态（下）

从小小后视镜看物联网的生态（上）

新财富和艾瑞，其实都是资本的游戏桌

我在深圳的台风体验科技杂谈：keji_zatan

长按二维码

查看宁宇更多历史文章

欧盟今年开始实行GDPR（General Data Protection Regulations，通用数据保护条例），我曾经分析过条例的要求和罚则，认为大数据和云计算产业受的威胁和影响最严重。（谁会成为GDPR的枪下鬼？(上）；谁会成为GDPR的枪下鬼？(下））

10月4日，欧盟议会又通过了一则新的与信息安全有关的条例，叫做《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data），这次的新规又说了什么？

【新条例试图推动欧洲数字经济发展】

GDPR在个人隐私保护方面表现出强硬态度，并对侵害个人隐私行为制定了严厉处罚规则，因此在条例发布和执行后，行业的主流观点是：这一条例会对欧洲的数字化进程会产生严重的负面影响。

然而很少有人注意到：相对于更早的欧盟《数据保护指令》（1995年颁布执行），GDPR在数据的跨界流动方面还是有"进步"的：在GDPR中，不再要求"只有当第三方国家通过相关国内法或者国际承诺，对个人数据提供充分保护时，才允许欧盟公民个人信息的转移、存储到该第三方国家进行处理"，而且收回了欧盟各国对规则的解释权和个性化执行资格。因此，在界定了隐私的范围和边界的基础上，GDPR对所有国家一视同仁，涉及个人隐私的数据要保护，其余数据可以在欧盟外的任何国家进行存储和处理。这些条款意味着，给予中国的IT企业和美国企业同等待遇。

随着全球数字经济的迅速发展，欧盟内部对数据自由流动的呼声也越来越高。欧盟委员会"数字经济和社会专员"玛利亚·加布里尔表示："数据是当今数字经济的支柱，欧洲数字经济有望成为推动增长、创造新岗位、开启新商业模式和创新机会的强大驱动力。"而推动这次《非个人数据自由流动条例》的，是欧盟委员会副主席安德鲁斯·安西普，他积极推进欧盟一体化的数字市场，认为"数据本地化限制是保护主义的标志之一，在一体化数字市场中不应该存在"，因此，"非个人数据的自由流动有助于驱动科技创新，产生新的商业模式，并为所有类型的数据创建欧洲数据空间。"

在这样的背景下制定出来的《非个人数据自由流动条例》，特别关注数据的流动和使用规则。一方面在条例中设定了数据在欧盟全境内进行存储和处理的框架，尤其强调严禁对数据进行本地化限制，为欧洲数字化经济的发展创造了条件；另一方面条例还强调：公共部门可访问欧盟任何地方存储和处理数据，并进行审查和监督控制，相当于直接提出了数据跨境流动的需求，有助于相关技术标准的制定和普及，为之后数据开放和调用创造了条件。

欧盟此次欧洲议会对《非个人数据自由流动条例》投票时，有520名议员支持，81名反对，足见议员们对这种导向还是很支持的。新条例生效时间预计是今年年底，而GDPR从颁布到执行花了两年多的时间，从这当中也可以看出，面对中美数字化经济飞速发展，欧洲也希望尽快能实现数据的开放和流动，通过数字化来带动经济增长。

【新条例并未改变数字化世界整体格局】

不过IT企业先别急着欢呼，非个人数据自由流动新条例并不是对GDPR的修订，欧洲为保护个人隐私而建立的门槛和陷阱仍然存在。

首先，从前面的分析可以看出，新条例的主要目的是取消欧盟境内数据自由流动壁垒，推动欧洲数字一体化市场的建立以及数字化经济的增长，受益者主要是欧盟企业，绝没有表达对欧盟之外企业的示好之意。近年来数字化的领头羊和受益者主要是美国和中国，而欧盟发展数字化是既希望发展自己又不希望让中美企业获益，这种骑墙的方式未必能让受保护的欧盟企业发展起来。

其次，按照新条例中的表述，涉及的数据范围不涵盖个人数据，对于涉及个人隐私的信息仍需遵从GDPR的规则，两个条例并不矛盾。但事实上，在数字化的世界里，这两类数据的边界未必能定义清晰准确。

互联网时代数据开放带来的隐私保护问题一直存在争议。理论上数据可以进行脱敏和去隐私处理，但如果数据可以进行回溯，或者将不同源的数据进行匹配，仍可能导致隐私泄露。更何况还有数据的产权归属问题等，这些都可能导致对非个人数据的处理触碰到GDPR的范围。

另外，欧盟委员会的议员们对于专业技术的理解不足，导致有些一厢情愿的条款难以落地。比如在《非个人数据自由流动条例》中鼓励企业制定云服务行为准则，原本的目的是让用户更放心地使用云服务：如果云服务提供商的服务即将中止，要将服务切换至不同的云服务提供商。貌似使用云服务更加安心，但从我个人理解，除非是简单的云存储，否则无论是对云服务提供商还是使用者，这种操作都有难度。

由此可见，欧盟议会虽然有心推动数字化经济的发展，但模式还是非常传统和保守，认为通过政策和立法的推动作用，让企业循规蹈矩地往前跑。事实上，无论是在美国还是在中国，对ICT产业都采取了先放后收、先发展再规范的模式，先给予数字化经济充分的自由度和创新空间，待到发展到一定程度的时候再进行约束和限制。如果欧洲的政府和企业还是按部就班地做事，与中美在数字化领域的差距只会越拉越远。

近期热点文章

经历半年转型，阿里系这家公司终于“浩鲸出世”

NB-IoT 宫斗 LoRa：一场胜负已定的斗争？

一文全面分析电信联通合并的方方面面

为什么自动驾驶需要5G？

请把电信业的尊严与信心重拾回来

2G，难说再见！“钉子户”让退网之路异常漫长科技杂谈：keji_zatan

长按二维码

关注科技杂谈

    关注 科技杂谈