除了巨额罚款，政府和企业还该为用户数据安全做些什么？

本文作者孙保学、文贤庆，为玛娜数据基金会数据运用的道德风险课题组研究员

近日，因用户数据泄露，英国航空公司和万豪国际集团分别被英国信息专员办公室（ICO）处以1.8亿英镑（约合15亿人民币）和近1亿英镑（约合8.5亿元人民币）的罚单。据报道，这是ICO成立以来开出的最高罚款。仅在9个月之前，Facebook因剑桥分析（Cambridge Analytica）丑闻被罚款50万英镑，在当时已经是ICO对于数据保护开出的最高罚单。如今，数额飙升如此之快，罚款动辄以亿为单位，着实让世界惊叹欧盟《通用数据保护条例》（GDPR）这个“尚方宝剑"的威力。照此下去，巨额罚款将成为各大公司“生命不能承受之重"，估计各大企业都在担忧，下一个被ICO盯上的“羔羊"是否是自家公司。

保护用户数据的安全是GDPR规定的企业为用户应尽义务和职责，不得有任何怠慢。事实上，企业一旦发生用户数据泄露事件，必将为此付出沉重代价。最直接的体现是公司市值明显下跌，企业信用的折损会使其丧失大量优质客户资源，潜在客户选择它的可能性也将大大降低，消费者还会给不能保证用户信息安全的公司贴上不负责任的标签。如果因数据泄露事件再遭受监管机构重罚，对于很多公司无异于“雪上加霜"，用“赔了夫人又折兵"来刻画更不为过。

监管机构选择加大惩罚力度的目的是要显示政府在数据治理方面的决心，迫使公司高度重视数据安全，通过这种“以儆效尤"的方式警醒所有市场参与者加强公司的数据安全管理。当然，也有很多人可能担忧，如此重罚可能会使一些小企业难于成长甚至濒临倒闭，而大企业也会出于谨慎或降低风险而收缩业务进而阻碍企业创新。但是，数据运用的风险防范已经迫在眉睫，近几年数据泄露事件集中爆发为“猛药去疴，重典治乱"提供了最佳窗口期，这需要为市场主体及早立下规矩并严格执行，将来可能会更加难于治理，甚至会严重地制约经济社会发展。早立规矩，合规经营，是企业获得稳健发展的长久之计。

但是，近年来频频爆出的用户数据泄露事件似乎并没有使很多公司获得警醒，仍然是疏忽不断、漏洞叠出。欧盟GDPR的出台反映了公众对于行使治理职能的政府和作为市场主体的企业的期待，作为公司是时候深刻反思自身管理，顺应时代要求，不断加强自身的数据管理，全力防范数据泄露事件的发生。在互联网行业有种说法，“三分靠技术，七分靠管理"。据统计，数据泄露事件中有50%以上都是企业内部人员造成。这要求企业加强对内部人员的管理，防范出现“内鬼"，即使出现“内鬼"，也要将其潜在危害降到最低。当然，管理不善也会使外部攻击有机可乘，这同样会给企业带来不可估量的损失，这需要司法机关对窃取、贩卖数据或有意制造社会混乱的网络犯罪分子要加大惩处力度。

那么，英国采取重罚措施能否震慑其他企业重视和加强用户数据的管理，从而有效防止类似数据泄露事件的发生呢？实际上，重罚只是手段，不是目的。尽管减少或防止数据泄露事件的发生的工作重点在企业，但是紧靠公司的努力是远远不够的，政府管理机构需要更多地介入。

作为企业，尤其是数据公司要主打安全牌，在部署防泄密系统的自动加密软件方面要舍得投入。可以预见，在未来一段时间里，用户数据安全将成为企业的一种核心竞争力，这将成为企业品牌的重要元素。有了技术上的保障，企业还需要在管理制度上下功夫。企业要制定并严格执行数据管理制度，成立新技术发展应用的伦理审查委员会，这绝对是必要之举和迟早之事。企业要做到全过程高强度保护用户数据，预防“内鬼"窃取、出卖用户信息。任何人想要解密文件都需要经过管理员审批和许可，通过重重保障机制来确保数据安全。

政府机构需要根据市场需求来制定服务策略，营造全社会重视并有利于数据治理的氛围。近日，普华永道在大连召开的夏季达沃斯论坛上发布的一项调查显示，超过半数的企业在运用大数据和人工智能时没有考虑道德和安全风险，尚未采用正式方法评估大数据算法可能造成的偏见，其理由是缺乏知识、工具和评估能力。其实，这个报告揭示了企业对于数据安全和伦理评估的刚性需求，这种新兴需求即将形成一个大有可为并有待开掘的市场。考虑到这项工作的复杂性和任务的艰巨性，它不应该纳入政府管理的职能范围，而应该交由第三方市场主体来完成，政府的角色是在政策上鼓励并扶持能够完成上述企业刚需的新型市场主体的快速成长和壮大。

总之，企业要从重罚中获得教训和启示，切实重视和加强用户的数据安全和隐私保护；政府管理机构需要创新服务形式，为公司的合规运营提供多样化的服务，而不是一罚了之，可能一些本可以继续为社会提供价值的企业会由于ICO的一剂重罚直接进入ICU（重症监护病房）。

新闻推荐

蜜蜂：攻城打头阵成“破城英雄”

公元11世纪，英国军队在奉命攻打耶路撒冷古城圣让达克时，曾使用蜜蜂来打“头阵”，取得了战斗的胜利。当时，英军连着攻了几天都...