在全球局势越发复杂多变的情况下，数据安全战略该怎么走？

算力说

近期爱尔兰数据委员会对Facebook再次发起了责难，要求Facebook停止向美传送用户数据。在去年，该监管机构便对Facebook进行了数据检查，彼时Facebook爆发了令世界震惊的数据泄露事件，该事件甚至影响了美国大选走向。

在另一方面，美国近期也不断地对TikTok发难，要求其必须在规定的时间内达成向美国的出售方案。8月28日，商务部、科技部调整发布《中国禁止出口限制出口技术目录》，新增了23项限制出口的技术条目。这样根据《《中华人民共和国技术进出口管理条例》，字节跳动出售TikTok需要获得国家许可。

这一系列事件无不在说明数据安全已经成为国家战略和国际议题。如今疫情正在大规模袭击全球，在全球局势越发复杂多变的情况下，数据安全战略该怎么走？而对于从事数据跨境活动的企业来说，又意味着什么呢？是否需要重新考虑设计自己的基础架构？算力智库走访了一些业内人士，为大家带来一些参考。

1 Facebook因数据再遭到责难

《华尔街日报》周三援引知情人士的话称，爱尔兰数据委员会已向Facebook发出初步命令，要求其暂停向美国传输其欧盟用户的数据。这意味着Facebook可能不得不重新设计其服务，将从欧洲用户那里收集的大部分数据隔离开来，或者完全停止为这些用户提供服务，至少暂时停止。

如果Facebook不遵守，爱尔兰数据委员会有权对其处以高达年收入4％的罚款，即 28 亿美元。

爱尔兰数据保护专员海伦·迪克森在去年接受采访表示，该监管机构发起的调查已经有16起，悉数针对大型科技公司，包括Twitter、苹果、LinkdIn、WhatsApp和Instagram等。

据悉，这一命令的法律依据来源于2015年欧洲法院判决使得美国－欧盟数据传输协议失效，欧盟最高法院认为欧洲没有实际有效的办法挑战美国政府的监控行为。

欧盟向来对公民隐私重视。早在2016年4月，欧盟就颁布了《一般数据保护方案》简称GDPR，GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规，将个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的数据保护法案。

而在2018年3月，美国纽约时报和英国观察者报（英国卫报的周日版）联合曝光，Facebook上超过5000万用户信息数据被一家名为“剑桥分析”（Cambridge Analytica）的公司泄露，用于在2016年美国总统大选中针对目标受众推送广告，从而影响大选结果，此事在世界范围内引发了轩然大波。

那么爱尔兰对Facebook的发难又说明了什么？是否意味着数据隐私与安全已经上升到国际战略层面上来？在此之前，美国方面已经对中国的字节跳动公司持续发难，步步紧逼，核心也牵扯到数据安全与保护的议题。它是否也意味着这将会影响到所有跨境互联网公司的数据跨境活动，要重新设计自身的数据基础架构？

2 数据安全已成国家战略

对此，多方安全计算领域的创新企业光之树科技的张迎春认为数据安全、数据主权各国都在抓紧立法（包括中国的数据安全法草案），已经说明各国都意识到数据安全和国家安全息息相关。

早在2018年，十三届全国人大常委会公布立法规划（共116件），其中《中华人民共和国数据安全法》位于第一类项目。

2020年4月，《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（简称《意见》）公布，中央首次明确数据成为继土地、劳动力、资本、和技术之外的第五大生产要素。

2020年7月，《中华人民共和国数据安全法（草案）》在中国人大网公布，提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。

随着当今复杂多变的全球化局势，数据隐私与安全的战略地位也进一步上升。特朗普针对TikTok发起的诘难也是因为数据，包括本次爱尔兰数据委员会对Facebook发起的责令，也是致力于保护公民数据隐私。

去年9月26日，联合国贸易与发展会议（UNCTAD）发布了《2019年贸易和发展报告》，报告指出，金融动荡不安和经济两极分化已经成为超全球化时代的特征。加之2020年，疫情大规模袭击全球，形势更加复杂多变。

那么新形势下的数据安全策略该怎么走？张迎春认为，后续的发展挑战是如何在尊重各国数据安全的前提下全球互联，根据国内目前数据安全和数据开放的讨论，国内的思路和进度应该是领先的，类似“双循环”。

即基于数据要素全面流通的国内大循环，可引领带动数据要素国际循环，实现数据价值全球优化配置。

今年9月8日，中国外交部网站发布了一份“全球数据安全倡议”。倡议呼吁各国秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系，并欢迎全球信息技术企业支持倡议。

3 企业跨境数据活动迎新变化

对于这场由爱尔兰数据保护委员会下令Facebook暂停向美国传输欧盟用户的数据所引起的风波，不禁让人联想到近期字节跳动的TikTok事件。

8月28日，商务部、科技部调整发布《中国禁止出口限制出口技术目录》，新增了23项限制出口的技术条目；根据《中华人民共和国技术进出口管理条例》，凡是涉及向境外转移技术，无论是采用贸易还是投资或是其他方式，均要严格遵守《中华人民共和国技术进出口管理条例》的规定，其中限制类技术出口必须到省级商务主管部门申请技术出口许可，获得批准后方可对外进行实质性谈判，签订技术出口合同。

《管理条例》意味着TikTok的相关技术出口业务必须要获得许可。

因此看似一场制裁事件，背后涉及到的其实是一场关于数据安全的战争。

PlatON 冉阳博士表示，对于跨境企业来说，若要符合欧盟最高法院对数据安全的裁决，就意味着必须对自身的数据基础架构进行重新设计。“这个设计不是为了分布式，是为了分割和存储有关欧洲用户的数据。”

早在2000年12月，美国商业部跟欧洲联盟建立了数据安全港协议，在该协议下，收集个人数据的企业通知个人其数据被收集后，企业能把信息传递给第三方。

然而到了2015年10月，欧洲法院作出判决，认定欧美2000年签署的关于自动交换数据的《安全港协议》无效。今后美国网络科技公司将收集到的欧洲公民数据送往美国将受到法律限制。

随之在2016年4月，欧盟颁布了《一般数据保护方案》简称GDPR，GDPR对个人隐私数据进行了明确的限定，同时该法案具有“域外效应”，赋予了欧盟在个人信息安全方面的域外管辖权。

也就是说，无论机构所在地位于哪里，只要其向欧盟数据主体提供产品、服务或者监控相关行为，或处理和持有居住在欧盟境内的数据主体的个人数据，都将受到GDPR法案的监管。

不遵守信的数据隐私法规的后果会受到严厉的制裁和巨额的罚款，最高上限可以达到2000万欧元或者上一个财政年度全球全年营业收入的4％，两者中取数额大者。这种数据完全割裂的高压政策，正在颠覆我们目前所熟知的全球互联网服务。

不仅如此，信息推荐和用户建模需要大量的跨域数据和模型，那么受到法案约束的跨境企业的这些模型是否还能提供跨域的预测服务？

对于该问题，冉阳认为，这会是隐私计算技术希望解决的痛点。

2016年，中国科学院信息工程研究所副总工程师李凤华提出了隐私计算的概念。 所谓隐私计算是面向隐私信息全生命周期保护的计算理论和方法，是隐私信息的所有权、管理权和使用权分离时隐私度量、隐私泄漏代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统。

简单来说，就是从数据的产生、收集、保存、分析、利用、销毁等环节中对隐私进行保护的一整套方法。隐私计算也是一门“合规化”的生意：各国对于隐私数据的监管越严厉，隐私计算行业的发展前景就越大。

正因为这个原因，在以GDPR为代表的一批严厉的数据隐私保护规定出台后，从事隐私计算行业的企业就越来越多，其中也不乏区块链企业涉足其中。
责编AJX