就欧盟的通用数据保护法规 (GDPR) 影响采访 Immuta

关键点

• 欧盟的 GDPR 是这个星球上最先进的隐私保护制度，可能会导致高达年收入 4% 的罚款；
• 一项调查结果显示，有高达 96% 的公司承认她们并不理解 GDPR 的规定；
• GDPR 是关于数据隐私的（什么时候，什么数据和为什么可以使用数据），这就意味着各家公司传统的加密、以及基于角色的访问控制方法与它并不相同；
• 必须有一层数据抽象层来加强对数据的审计和隐私保护；
• 各家公司应该把他们的数据治理模型分成三块：收集（关注用户计数）、使用（关注对访问控制的管理）和审计（关注 GDPR 的可追踪性的需求）；

2016 年四月欧盟通过了一项新的通用数据保护法规（ General Data Protection Regulation ，GDPR），并将在 2018 年五月生效。这项法规将要求各公司采取一种新的全面数据治理措施，包括数据剖析、数据质量、数据沿袭、数据屏蔽、测试数据管理、数据分析和数据归档等。

数据保护范围将大大扩展，包括基因数据、电子邮件、IP 地址等等。而且，用户可以对由各家公司保存的受保护数据有更细致的权力。各家公司对用户的邮箱、电话号码等具体信息的使用必须得到用户的明确同意，而将它们做为整体使用也必须得到明确同意。

InfoQ 采访了 Immuta 的首席隐私官和法务工程师 Andrew Burt，以及首席技术官 Steve Touw，来进一步了解 GDPR 带来的影响和挑战。

InfoQ：能请你们帮忙总结一下 GDPR 到底是什么吗？为什么各家公司都该了解它？

Burt：通用数据保护法规是欧盟的主要数据治理规则，适用于所有使用欧盟相关数据的公司。这是这个星球上最先进的隐私保护制度，可能会导致高达年收入 4% 的罚款。在如此令人难以置信的高额罚款之下，违反 GDPR 的后果将让大多数公司无法承受。

InfoQ：在欧盟内部这项法规还有不到一年半就要生效了。你觉得各家公司都做好准备执行了吗？

Burt：还没有完全准备好。最近有一些相关的研究，其中关于大型企业中数据隐私和安全的调查表明，他们离他们面临的危险越来越近了。Dell 公司做的一项类似研究表明，他们调查的专家中有约70% 并没有准备好，或者说并没有意识到该如何为GDPR 做好准备。只有约3% 表示他们有了某种形式上的准备。而 Synantec 所做的另一项研究表明，有约 96% 的公司直接承认他们并不了解 GDPR。这些数据都很说明问题。要是这些公司连 GDPR 是什么都不知道，那他们该怎么为 GDPR 做准备呢？2017 已经成为关键的一年，各家公司将会开始了解他们所面临的合规风险，并且开始寻找全面的解决方案。

InfoQ：如果某家公司没有遵守法规的要求，那她将面临的最大的支出或惩罚是什么？

Burt：最高额的罚金会达到年收入的 4%。要对这个数字有些具体认识的话，苹果公司最近两年的年收入都超过了 2000 亿美元，所以假如苹果公司违反了 GDPR 的规定，那么罚金就有可能高达 80 亿美元。与其形成对比的是，如果在美国触犯了隐私保护条例，那通常情况下罚金的大概范围是几十万到几百万美金。从数量级上看，GDPR 的罚金是远高于其他数据保护条例的。

但是，除了金钱上的惩罚，我们也要正确地看待 GDPR，也要问问：这项法规在保护什么呢？对于很多行业来说答案都是一样的：信任，在公司与客户之间的信任，在公司与其它公司之间的信任，甚至在整个数据愿景层面的信任等。违反的代价远不止于财务层面，它也将给企业的声誉造成极大破坏，并且导致企业与消费者之间的信任危机。

InfoQ：从技术角度来说符合法规要求的最大挑战是什么？需要开发新的技术或流程吗？该如何与公司的现有行为模式相结合呢？

Touw：有些误解认为，GDPR 完全是关于数据安全和数据泄露的。数据安全的确是这项法规的主要组成部分，但事实上它并不是 GDPR 的重要部分。GDPR 其实是关于数据隐私性的，这就意味着在谈到隐私保护问题时，大家一直依赖的传统加密和基于角色的访问控制策略都不再足够。相应的，各家企业要衡量分析型的收益与守法的支出之间的关系，这就需要对数据的分析型目的进行衡量：数据将如何被使用、为了什么目的、以及期望的收益是什么。这不会像把数据库角色与所有可能的目的对应起来那么简单——在实现时涉及到所有的公司数据之后，这就会成为一场噩梦。

相对应地，必须有一层数据抽象层来加强审计和数据的隐私性，这也是 Immuta 花了许多精力和时间的所在。想像一下，比如说，一位分析师早上在做着某项工作，这时他可以看见一些与个人信息有关的数据，因为这些与他当时的工作目的有关。然后在下午，他又开始忙于另外一项工作，于是即使他使用相同的连接，他也只能看到这份数据的匿名用户版了，因为做这项工作他并不需要看到那么细节的数据，或者说没有被授权。这就是我们希望在企业内部可以看到的因分析目的而不同的管理方法。

InfoQ：在过去当欧盟禁止将人们的私人信息传送到欧盟之外时，曾经引起过一些混乱。请问与之相比，这一次新的 GDPR 带来的变化影响范围如何？

Burt：现在针对欧盟数据的主要法规是数据保护方针（Data Protection Directive），而 GDPR 正是基于它建立的。一般来说，在关于稳私的方面 GDPR 是和这份方针非常相像的，只是管理得更严而已。关于将数据传输到欧盟之外，这却是 GDPR 让许多企业可以做得更容易的少数几方面之一。GDPR 指出了几种方针没有提到的条件，在那些情况下是可以将数据传输到欧盟之外的。在方针指导下，有些被称为“标准合约条款”的东西，是在数据分享团体之间用于建立某种级别的安全防护的合约性条款，这是需要数据保护权威组织给予批准的；而在 GDPR 之下，就不再需要这样的批准了。而且，在涉及到数据在团体之间相互传输的问题时，还有许多其它修改。

InfoQ：那我们谈的就不仅仅是在数据库中的某些修改了，还包括了公司内部的数据治理，甚至某些真实的角色和结构？

Touw：是的，数据库只是一个模块，它只是关于什么时候、什么数据和为什么存储系统中的数据可以被访问的决定。一般来说，数据都是因为某些特殊的目的而被收集起来的。可是慢慢的，数据的原本用途就被忘掉了，而数据却开始被用到别的用途上而产生了价值。但在 GDPR 之类的法规下，这样做是不允许的，你因为一个原因申请了数据的访问权，决不能把这数据用作其它用途。所以这就是在数据工作流中要加入用户的重要性所在，这些用户理解不同的法规，可以把它们和自己的工作流结合起来。GDPR 在授权方面也很特别，数据密集型公司可以有一个所谓的“数据保护官”，他的职责就是要保证公司的行为一直是遵守法规的。

Burt：我们在 Immuta 一直专注于专门在我们的平台上为这类负责监管的个人开发一种接口，来保证正确的数据被用于正确的目的，而且只在正确的状态下被正确的人看到。这些控制可以激励监管人员问出类似这样的问题：在把数据用于其它目的之前，我是不是已经把它足够的匿名化了？或者：我现在正在批准的使用数据的目的，在我们公司的定义中是不是合法的呢？有的时候有可能会存在灰色地带，需要由人去做出决策，也可以需要有技术手段去加强，并且很容易地快速审计这些决策。如果有些人做出了错误的决策，或者如果他们的决策并不是由技术手段实现的，那就只好和他们说再见了。

InfoQ：请问那些在欧盟之外注册，却在欧盟里面运营的互联网公司，他们知道这些法规也适用于他们吗？

Burt：总之我们现在发现，各家公司才刚刚开始意识到 GDPR 可能给她们带来的风险，不管是在欧洲内部还是外部。不管是哪里的公司都已经真正地开始意识到了她们责任的范围，而且由于欧元区包括了世界上的所有最大的公司，所以 GDPR 实际上适用于所有自认为是全球性公司的企业。

InfoQ：既然这项法规的目的在于给予用户史上最细力度的对他们的数据的控制能力（包括历史数据），那公司们该如何能有效而且迅速地将这些要求“翻译”成一个清晰、有效而又灵活的行动计划？

TouW：第一步就要把你的数据监管模型分成三个“桶”：收集、使用和监管。每个桶都要和别的桶保持同步。收集要关注用户的记录情况：哪个用户保存在了哪里，那个用户被批准做什么，我又如何管理这些批准信息，等等。使用则是最复杂的一块，它要关注以一种一致的方式跨越各个数据孤岛，管理访问控制。使用也要负责规范什么时候公司的某个人可以访问某些特别的数据，该如何混淆、掩盖或限制这些数据，以及这些数据将用于什么目的，等等。最后，审计要求能以所谓“数据行为”的方式捕获所有的 GDPR 需求，这样你就可以生成报告，比如说有时候只是在一个非常短的时间间隔内，就有某个数据提供者要求你汇报他们的数据是如何在你们公司里被使用的。

InfoQ：你们 Immuta 公司一直在努力解决一般意义上的 GDPR 和数据保护带来的挑战。你能多谈谈这方面的工作吗？

Touw：Immuta 一直在努力让数据科学成为可能：如果数据科学家们不开心，那企业就不可能最大程度地挖掘出他们的数据的价值。我们的软件平台专注于给数据科学家们一个统一的视图去看待所有他们可以访问和使用的数据，而且尽量让这样的使用经验变得更容易、更有可掌控性。然而在背后，我们却还花了很大精力去把法规和政治因素也结合进软件中来，这样在传输数据的过程中就已经对它应用了数据使用策略，那么数据科学家就只输入查询指令就好了，而不会在中途被打断，然后反思是哪里没有合规了。为了达成这一点，我们为监管者提供了可定制的接口，这样他们就可以在公司内部和用户组之间设置规则和策略。

Burt：通常在人们想到数据保护法规时，只会认为这就是关于谁可以看见什么数据的问题。但 GDPR 和一些别的法规涉及的范围却广得多。Immuta 的平台不只实施了这些访问规则（谁可以看见什么数据），还包括对数据的基于目的的限制，即只允许用户因为某些特定的目的访问数据，或者只在当某些条件满足了之后，才能在特定的时间段内访问。

InfoQ：从技术和商业的角度，你们能就该如何应对这些新法规而给大家一些建议吗？

Burt：从现在就开始规划。在这些 GDPR 的具体细则背后是对稳私和安全的需求，一旦各家公司开始认真的准备，他们就必须能够满足这些需求。这就要制定一个路线图，要从整体和具体使用两方面考虑你们公司准备如何保护她使用的数据，还要考虑你准备通过什么具体的技术方案来保证你可以安全地保存这些数据。你会要使用并且投资于这样一些解决方案，要安全，要被事实检验过，要能释放你们公司中的个人潜力，保证合规性等，而不是成为障碍。而这样的技术方案正是我们一直在 Immuta 努力做的，我们把这些法律法规融入我们的软件平台，这样数据科学家就可以专注于将他们的数据价值最大化，而不必分神于这些规定。

关于受访者

Steve Touw是 Immuta 的联合创始人和 CTO，这是一个为世界一流的安全公司创建的统一数据平台。Steve 在美国智能社区里有很长时间的大规模地理时空数据分析软件设计经验，包括一些最早的 Hadoop 分析，以及一些管理复杂多维度数据控制策略的框架。这些经验让他和其他 Immuta 创始人们可以打造一个成功的软件产品，让数据科学团队可以解放出来，访问和处理高价值数据。

Andrew Burt 是 Immuta 的首席隐私官和法务工程师，他专注于在大数据环境下将合规性自动化。他也是耶鲁大学法学院的信息社会项目客座研究员。在以前，Andrew 曾作为法规特别顾问为 FBI 计算机部门领导服务，主要是作为该部门的首席监管和隐私官，并且是在 2014 年索尼计算机网络受到攻击后，FBI 的事后总结报告的第一作者。 阅读英文原文： Article: Q&A with Immuta on the Implications of EU’s General Data Protection Regulation (GDPR)