趙景欣 岳星輝 馮崇朋 張 靜 李 印 王 娜 任家東 張昊星 伍高飛 朱笑巖 張玉清,2,3,

1(燕山大學(xué)信息科學(xué)與工程學(xué)院 河北秦皇島 066004) 2(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121) 3(海南大學(xué)網(wǎng)絡(luò)空間與安全學(xué)院(密碼學(xué)院) ?？?570228) 4(西安電子科技大學(xué)廣州研究院 廣州 510555) 5(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心(中國(guó)科學(xué)院大學(xué)) 北京 101408) 6中國(guó)信息通信研究院安全研究所 北京 100191) 7(西安電子科技大學(xué)通信工程學(xué)院 西安 710071)

隨著大數(shù)據(jù)時(shí)代的飛速發(fā)展，數(shù)據(jù)成為了當(dāng)今世界最寶貴的資源之一.企業(yè)也紛紛進(jìn)行數(shù)字化轉(zhuǎn)型，在數(shù)字經(jīng)濟(jì)時(shí)代下，數(shù)據(jù)的社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值不斷凸顯.然而數(shù)據(jù)的共享、加工、使用的過(guò)程又給數(shù)據(jù)的隱私安全帶來(lái)了極大的風(fēng)險(xiǎn)，數(shù)據(jù)可以產(chǎn)生無(wú)數(shù)的副本，且形態(tài)多樣化，如何實(shí)現(xiàn)數(shù)據(jù)的隱私保護(hù)成為了現(xiàn)今亟待解決的難題.

由于欠缺有力的監(jiān)管機(jī)制，個(gè)人數(shù)據(jù)隱私遭到侵犯的事件屢屢發(fā)生，個(gè)人數(shù)據(jù)隱私時(shí)刻面臨被泄露的風(fēng)險(xiǎn).諸如，Uber公司為掩蓋2016年60萬(wàn)司機(jī)和5 700萬(wàn)用戶(hù)信息失竊事件，私下向作惡者支付封口費(fèi)，這項(xiàng)隱瞞行為也為公司帶來(lái)了巨額的罰款[1].美國(guó)互聯(lián)網(wǎng)公司雅虎在2017年承認(rèn)公司曾在2013年受黑客襲擊并泄露了所有用戶(hù)信息(約30億用戶(hù))[2].安全研究人員阿隆·加爾在2021年1月發(fā)現(xiàn)由于入侵者利用了Facebook在2019年8月修復(fù)的漏洞，來(lái)自106個(gè)國(guó)家的超過(guò)5.33億Facebook用戶(hù)的個(gè)人信息已被免費(fèi)在線泄露，涉及了不少知名人士和公眾人物，還包括67萬(wàn)的國(guó)內(nèi)用戶(hù)[3].v.pnMentor的研究團(tuán)隊(duì)在2021年8月份發(fā)現(xiàn)，B2B營(yíng)銷(xiāo)公司OneMoreLead將至少6 300萬(wàn)美國(guó)人的私人數(shù)據(jù)存儲(chǔ)在一個(gè)不安全數(shù)據(jù)庫(kù)中，該公司任由此數(shù)據(jù)庫(kù)完全敞開(kāi)[4].2021年8月，美國(guó)電信巨頭T-Mobile官方確認(rèn)服務(wù)器被黑客入侵，本次入侵大規(guī)模影響了大約780萬(wàn)T-Mobile后付費(fèi)用戶(hù)、850 000名T-Mobile預(yù)付費(fèi)用戶(hù)以及大約4 000萬(wàn)以前或潛在用戶(hù)，導(dǎo)致T-Mobile支付了3.5億美元的索賠[5].

為了更好地保障個(gè)人權(quán)利，堪稱(chēng)史上最嚴(yán)格的數(shù)據(jù)隱私保護(hù)法案——《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)，于2016年4月由歐盟議會(huì)通過(guò)，并于2018年5月25日起生效.GDPR的出臺(tái)使歐盟對(duì)個(gè)人信息的保護(hù)及監(jiān)管達(dá)到了前所未有的高度，并統(tǒng)一了歐盟成員國(guó)有關(guān)數(shù)據(jù)保護(hù)的法律法規(guī).雖然GDPR的保護(hù)范圍只限于歐洲生活的民眾，但由于互聯(lián)網(wǎng)的全球性和開(kāi)放性，幾乎所有的服務(wù)都會(huì)受到隱私政策的限制，所以GDPR也通過(guò)各種機(jī)制對(duì)歐盟以外的國(guó)家產(chǎn)生了廣泛的影響.

本文主要側(cè)重于基于GDPR的數(shù)據(jù)隱私安全工作研究，為此對(duì)自2016年到2022年6月期間的網(wǎng)絡(luò)與信息安全領(lǐng)域的四大頂級(jí)會(huì)議USENIX Security(USENIX Security Symposium)，NDSS(Network and Distributed System Security Symposium)，CCS(ACM Conference on Computer and Communications Security)，IEEE S&P(IEEE Symposium on Security and Privacy)的論文，及來(lái)自Web of Science核心數(shù)據(jù)庫(kù)、EI數(shù)據(jù)庫(kù)、arXiv、中國(guó)知網(wǎng)(CNKI)等國(guó)內(nèi)外數(shù)據(jù)庫(kù)收錄的相關(guān)論文進(jìn)行了深入調(diào)研分析，如圖1所示，相關(guān)的文獻(xiàn)數(shù)量正在逐年增加.同時(shí)對(duì)基于GDPR的數(shù)據(jù)隱私安全領(lǐng)域的現(xiàn)有研究成果進(jìn)行了總結(jié)歸納，指出了現(xiàn)有研究工作不足和基于GDPR的數(shù)據(jù)隱私安全面臨的挑戰(zhàn)和機(jī)遇，為未來(lái)的安全研究工作指出了方向，并探討了GDPR為中國(guó)的數(shù)據(jù)隱私安全工作帶來(lái)的啟示.

Fig.1 Literature number of data privacy security based on GDPR

自GDPR出臺(tái)以來(lái)，國(guó)內(nèi)外已圍繞GDPR展開(kāi)了許多相關(guān)的研究工作，其中不乏針對(duì)GDPR的隱私保護(hù)綜述研究，但主要都是針對(duì)某一特定領(lǐng)域，如區(qū)塊鏈[6]、物聯(lián)網(wǎng)[7-9]等領(lǐng)域，或針對(duì)條例中的某部分規(guī)定[10]展開(kāi)討論.本文在關(guān)注GDPR在特定領(lǐng)域應(yīng)用的同時(shí)，還聚焦于GDPR政策本身的可讀性與完整性，不僅分析了更正權(quán)與被遺忘權(quán)的爭(zhēng)議，還對(duì)知情權(quán)、訪問(wèn)權(quán)、數(shù)據(jù)保護(hù)影響評(píng)估等規(guī)定的合規(guī)方法進(jìn)行了探討.同時(shí)從國(guó)情出發(fā)分析了GDPR對(duì)中國(guó)產(chǎn)生的啟示，為中國(guó)的數(shù)據(jù)隱私安全工作提出建議.

本文的主要貢獻(xiàn)包括5個(gè)方面：

1)分析了數(shù)據(jù)隱私安全的發(fā)展歷程與現(xiàn)狀，介紹了歐盟出臺(tái)的影響廣泛的數(shù)據(jù)保護(hù)法案《通用數(shù)據(jù)保護(hù)條例》(GDPR)，分析了GDPR的應(yīng)用領(lǐng)域及其帶來(lái)的影響.

2)深入調(diào)研了近幾年國(guó)內(nèi)外GDPR合規(guī)性相關(guān)的研究文獻(xiàn)，從GDPR合規(guī)檢測(cè)、隱私政策分析、GDPR模型框架3個(gè)方面總結(jié)了GDPR合規(guī)性研究現(xiàn)狀.

3)總結(jié)分析了基于GDPR的數(shù)據(jù)技術(shù)，包括數(shù)據(jù)保護(hù)影響評(píng)估和數(shù)據(jù)跨境流動(dòng)2個(gè)方面，并分別探討了GDPR在區(qū)塊鏈、物聯(lián)網(wǎng)等具體領(lǐng)域的應(yīng)用.

4)通過(guò)分析GDPR合規(guī)的潛在安全問(wèn)題以及現(xiàn)有研究工作的不足，指出了基于GDPR的數(shù)據(jù)隱私安全研究中面臨的挑戰(zhàn)與機(jī)遇，為相關(guān)的隱私安全研究指出了未來(lái)的研究方向.

5)結(jié)合GDPR出臺(tái)后的實(shí)施情況，從6個(gè)方面探討了GDPR給中國(guó)的數(shù)據(jù)保護(hù)工作帶來(lái)的啟示.

1 相關(guān)背景介紹

1.1 數(shù)據(jù)隱私安全發(fā)展歷程

為了保護(hù)個(gè)人數(shù)據(jù)隱私，需要有一定的法律制度為處理個(gè)人信息時(shí)提供保障.早在1970年德國(guó)聯(lián)邦黑森州就通過(guò)數(shù)據(jù)保護(hù)法來(lái)保護(hù)數(shù)據(jù)隱私，瑞典在1973年通過(guò)了數(shù)據(jù)保護(hù)法，美國(guó)政府也在1973年制定了的公平信息慣例(FIPs).經(jīng)合組織《1980年9月隱私保護(hù)準(zhǔn)則》列出了8項(xiàng)數(shù)據(jù)處理原則：收集限制原則、數(shù)據(jù)質(zhì)量原則、目的規(guī)范原則、使用限制原則、安全保障原則、開(kāi)放性原則、個(gè)人參與原則和問(wèn)責(zé)原則，為各國(guó)制定個(gè)人數(shù)據(jù)處理法律提供了依據(jù)[11].隨著數(shù)字經(jīng)濟(jì)社會(huì)的興起，個(gè)人數(shù)據(jù)隱私問(wèn)題也越來(lái)越多，于是越來(lái)越多的數(shù)據(jù)保護(hù)法條例在世界各國(guó)涌現(xiàn).據(jù)美國(guó)法學(xué)教授Bertil Cottier統(tǒng)計(jì)，截至2020年共有142個(gè)國(guó)家發(fā)布了數(shù)據(jù)隱私立法，例如《1998英國(guó)數(shù)據(jù)保護(hù)法案》《2008年阿爾巴尼亞數(shù)據(jù)保護(hù)法》《2012年加納數(shù)據(jù)保護(hù)法》《2012美國(guó)消費(fèi)者隱私權(quán)利法案》、歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)、《加州消費(fèi)者隱私法案》(CCPA)、《巴西通用數(shù)據(jù)保護(hù)法》(LGPD)、《2019年肯尼亞數(shù)據(jù)保護(hù)法》、《新加坡個(gè)人信息保護(hù)法例》(PDPA)、《中國(guó)個(gè)人信息保護(hù)法》等[12].其中歐盟出臺(tái)的GDPR影響力最大，我們?cè)谶@篇論文中主要對(duì)GDPR的相關(guān)研究進(jìn)行了討論.也有研究者對(duì)各國(guó)的數(shù)據(jù)保護(hù)法進(jìn)行了對(duì)比和評(píng)估，文獻(xiàn)[11]根據(jù)經(jīng)合組織指南對(duì)歐盟GDPR、《2012年加納數(shù)據(jù)保護(hù)法》和《2019年肯尼亞數(shù)據(jù)保護(hù)法》進(jìn)行了比較，三者在一些原則的應(yīng)用方面略有不同，加納保護(hù)法缺乏數(shù)據(jù)可移植性的權(quán)利和記錄個(gè)人數(shù)據(jù)泄露的義務(wù)，肯尼亞保護(hù)法包含了所有與個(gè)人和數(shù)據(jù)主體的權(quán)利和義務(wù)有關(guān)的經(jīng)合組織修訂原則，在很大程度上復(fù)制了GDPR.本文從適用范圍、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者責(zé)任等要點(diǎn)出發(fā)，對(duì)各國(guó)出臺(tái)的數(shù)據(jù)保護(hù)法進(jìn)行了對(duì)比，具體內(nèi)容如表1所示.

GDPR的出臺(tái)推動(dòng)了許多國(guó)家對(duì)于數(shù)據(jù)保護(hù)方面的立法進(jìn)程，但由于國(guó)情與隱私文化的差異，各國(guó)相應(yīng)的應(yīng)對(duì)措施不盡相同.如歐洲強(qiáng)調(diào)個(gè)人權(quán)利，以保護(hù)人權(quán)為出發(fā)點(diǎn)，因此GDPR法規(guī)要求嚴(yán)格，內(nèi)容全面；印度、澳大利亞紛紛依照GDPR對(duì)自己的隱私法規(guī)進(jìn)行了審查和修改，增強(qiáng)了監(jiān)管機(jī)構(gòu)的權(quán)利并加大了處罰力度；巴西借鑒了GDPR的主要結(jié)構(gòu)出臺(tái)了第一部綜合性的數(shù)據(jù)保護(hù)法，但在處罰方面較GDPR寬松很多；美國(guó)注重企業(yè)發(fā)展，強(qiáng)調(diào)數(shù)據(jù)利用，更偏向從消費(fèi)者的角度對(duì)數(shù)據(jù)進(jìn)行監(jiān)管；我國(guó)在數(shù)據(jù)立法方面也并沒(méi)有照抄照搬歐洲立法，而是兼顧個(gè)人權(quán)利與經(jīng)濟(jì)發(fā)展，探索出一條適合自己的發(fā)展道路.在數(shù)據(jù)的跨境流動(dòng)中，面對(duì)更多的網(wǎng)絡(luò)安全威脅和不同國(guó)家數(shù)據(jù)保護(hù)法的不同要求，特別是面對(duì)非常嚴(yán)格的GDPR，世界各國(guó)也在不斷地修改并完善數(shù)據(jù)保護(hù)法.2021年1月，韓國(guó)個(gè)人信息保護(hù)委員會(huì)向社會(huì)公布了《個(gè)人信息保護(hù)法(修正案草案)》(PIPA)，并在一年內(nèi)修訂了3次.2021年5月12日，日本國(guó)會(huì)通過(guò)了包括《為形成數(shù)字化社會(huì)完善相關(guān)法律的法案》在內(nèi)的6部數(shù)字化改革法律案，《個(gè)人信息保護(hù)法》(APPI)修正案也作為完善法案的一部分同時(shí)生效.2021年6月，中國(guó)通過(guò)了《中華人民共和國(guó)數(shù)據(jù)安全法》.2021年8月20日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》歷經(jīng)三審正式通過(guò).圖2展示了全球一些具有代表性的數(shù)據(jù)保護(hù)法案[14].

Table 1 Comparison of Data Protection Laws in Different Countries[13]

Fig.2 Global data security protection legislation(partial)

1.2 GDPR介紹

歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)是關(guān)于歐盟(EU)和歐洲經(jīng)濟(jì)區(qū)(EEA)數(shù)據(jù)保護(hù)和數(shù)據(jù)隱私的法律條例，是歐盟隱私法和人權(quán)法的重要組成部分.

GDPR規(guī)定了與個(gè)人數(shù)據(jù)處理以及個(gè)人數(shù)據(jù)自由流動(dòng)相關(guān)的自然人保護(hù)法規(guī)，旨在尊重自然人的基本權(quán)利和自由，并重點(diǎn)強(qiáng)調(diào)其保護(hù)個(gè)人數(shù)據(jù)的權(quán)利.GDPR被譽(yù)為是最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)和數(shù)據(jù)監(jiān)管條例，適用于歐洲經(jīng)濟(jì)區(qū)內(nèi)數(shù)據(jù)主體產(chǎn)生的所有數(shù)據(jù)，無(wú)論收集相關(guān)數(shù)據(jù)的企業(yè)是否位于歐盟境內(nèi)都要遵守GDPR.GDPR于2016年4月14日獲歐洲議會(huì)和歐盟理事會(huì)通過(guò)，并于2018年5月25日開(kāi)始強(qiáng)制實(shí)施.該法規(guī)取代了1995年的《數(shù)據(jù)保護(hù)指令》(95/46/EC)(簡(jiǎn)稱(chēng)95/46/EC指令)，解決了95/46/EC指令成員國(guó)在處理個(gè)人數(shù)據(jù)時(shí)對(duì)保護(hù)自然人權(quán)利和自由水平之間的差異，具有直接的約束力和適用性[15].同時(shí)，《電子隱私指令》(2002/58/EC)旨在補(bǔ)充GDPR并完成協(xié)調(diào)過(guò)程，目前該法案正在通過(guò)歐盟的立法程序[16].圖3展示了GDPR從立項(xiàng)到實(shí)施過(guò)程中的關(guān)鍵日期和事件.繼GDPR之后，歐盟《數(shù)據(jù)法案》《數(shù)據(jù)治理法案》《數(shù)據(jù)市場(chǎng)法案》等一系列數(shù)據(jù)治理法規(guī)的出臺(tái)也展現(xiàn)了構(gòu)建未來(lái)數(shù)字驅(qū)動(dòng)創(chuàng)新生態(tài)的歐洲方案.

Fig.3 Key time points for GDPR legislation

Fig.4 The framework of GDPR

本節(jié)主要從GDPR框架、處理個(gè)人數(shù)據(jù)相關(guān)原則、數(shù)據(jù)主體的基本權(quán)利以及違規(guī)行為的補(bǔ)救措施、責(zé)任和處罰4個(gè)方面來(lái)具體介紹GDPR.

1.2.1 GDPR框架

GDPR框架如圖4所示.通用數(shù)據(jù)保護(hù)條例共包含十一章內(nèi)容，涉及一般規(guī)定、原則、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者和處理者義務(wù)、向第三國(guó)或國(guó)際組織傳輸個(gè)人數(shù)據(jù)、獨(dú)立監(jiān)管機(jī)構(gòu)、成員國(guó)之間的合作與一致性、補(bǔ)救措施，責(zé)任和處罰、有關(guān)特定處理情況的規(guī)定、授權(quán)和實(shí)施法案以及最終條款[15].其中定義了與個(gè)人數(shù)據(jù)相關(guān)的3種不同實(shí)體：1)數(shù)據(jù)主體，即個(gè)人數(shù)據(jù)所有者；2)數(shù)據(jù)控制者，即收集和使用個(gè)人數(shù)據(jù)的個(gè)人或組織；3)數(shù)據(jù)處理者，即為控制者處理個(gè)人數(shù)據(jù)的個(gè)人或組織.同時(shí)，任命具有數(shù)據(jù)保護(hù)法和實(shí)踐專(zhuān)業(yè)知識(shí)數(shù)據(jù)保護(hù)官(DPO)，以協(xié)助數(shù)據(jù)控制者和處理者監(jiān)控其法規(guī)的遵守情況.

1.2.2 處理個(gè)人數(shù)據(jù)相關(guān)原則

GDPR規(guī)定了7項(xiàng)處理個(gè)人數(shù)據(jù)相關(guān)原則(第5條)包括“合法性、公平性和透明度”“目的限制”“數(shù)據(jù)最小化”“準(zhǔn)確性”“存儲(chǔ)限制”“完整性和保密性”的數(shù)據(jù)處理原則以及控制者責(zé)任與義務(wù)的“問(wèn)責(zé)制”，具體原則內(nèi)容如表2所示.并對(duì)處理的合法性進(jìn)行說(shuō)明(第6條)，且只有滿足至少一項(xiàng)原則才認(rèn)為該處理是合法的：1)數(shù)據(jù)主體已經(jīng)同意處理其個(gè)人數(shù)據(jù)；2)履行與數(shù)據(jù)主體的合同義務(wù)，或在簽訂合同時(shí)采取相應(yīng)措施滿足數(shù)據(jù)主體要求；3)遵守?cái)?shù)據(jù)控制者的法律義務(wù)；4)保護(hù)數(shù)據(jù)主體或其他個(gè)人的利益；5)為公共利益或數(shù)據(jù)控制者官方權(quán)力執(zhí)行任務(wù)；6)在利益與被保護(hù)數(shù)據(jù)主體的利益、基本權(quán)利和自由不相沖突的情況下，保護(hù)數(shù)據(jù)控制者或第三方的合法利益.

Table 2 Principles Related to the Processing of Personal Data

1.2.3 數(shù)據(jù)主體的基本權(quán)利

GDPR詳細(xì)闡明了數(shù)據(jù)主體的基本權(quán)利，共涉及8項(xiàng)權(quán)利：1)知情權(quán)(第12,13,14條).數(shù)據(jù)控制者以簡(jiǎn)潔、透明、可理解和易于訪問(wèn)的形式向數(shù)據(jù)主體提供信息；2)訪問(wèn)權(quán)(第15條).數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者告知其個(gè)人數(shù)據(jù)是否正在被處理.數(shù)據(jù)控制者必須根據(jù)要求提供正在處理的數(shù)據(jù)的目的(用途)、數(shù)據(jù)類(lèi)別、存儲(chǔ)期限或標(biāo)準(zhǔn)并為數(shù)據(jù)主體提供一份實(shí)際數(shù)據(jù)的副本；3)更正權(quán)(第16條).數(shù)據(jù)主體有權(quán)更正錯(cuò)誤的個(gè)人數(shù)據(jù)；4)刪除權(quán)(第17條).數(shù)據(jù)主體有權(quán)要求控制者及時(shí)刪除有關(guān)的個(gè)人數(shù)據(jù)；5)限制處理權(quán)(第18條).在特定場(chǎng)景下，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者限制對(duì)他的個(gè)人數(shù)據(jù)的使用；6)可攜帶權(quán)(第20條).數(shù)據(jù)主體有權(quán)要求將自己的數(shù)據(jù)轉(zhuǎn)移到另一家數(shù)據(jù)控制者，數(shù)據(jù)控制者應(yīng)當(dāng)配合；7)反對(duì)權(quán)(第21條).允許個(gè)人反對(duì)出于營(yíng)銷(xiāo)或非服務(wù)相關(guān)目的處理個(gè)人信息；8)不受制于自動(dòng)化決策(第22條).數(shù)據(jù)主體有權(quán)不受基于自動(dòng)化決策所做決定的影響.

1.2.4 違規(guī)行為的補(bǔ)救措施、責(zé)任和處罰

針對(duì)違規(guī)行為的補(bǔ)救措施、責(zé)任和處罰，GDPR也做出了相應(yīng)的限定，要求數(shù)據(jù)控制者必須在違規(guī)行為發(fā)生后72 h內(nèi)通知監(jiān)管機(jī)構(gòu)，依據(jù)違規(guī)的嚴(yán)重程度、違規(guī)的持續(xù)時(shí)間、受違規(guī)影響的數(shù)據(jù)主體數(shù)量以及違規(guī)造成的損害程度來(lái)處罰違規(guī)行為責(zé)任方.GDPR的出臺(tái)對(duì)其他國(guó)家及地區(qū)的個(gè)人數(shù)據(jù)相關(guān)法律產(chǎn)生較大的影響，成為全球個(gè)人數(shù)據(jù)保護(hù)法的典范.

1.3 GDPR的應(yīng)用和影響

GDPR的實(shí)施影響了各行各業(yè)，對(duì)數(shù)據(jù)隱私的立法極大提高了公民的隱私權(quán)，在不同的領(lǐng)域內(nèi)產(chǎn)生了積極影響，本節(jié)以醫(yī)療健康和物聯(lián)網(wǎng)為例闡述了GDPR產(chǎn)生的積極影響，同時(shí)也討論了GDPR的潛在風(fēng)險(xiǎn).

現(xiàn)階段的醫(yī)療正在經(jīng)歷數(shù)字化轉(zhuǎn)型，向個(gè)性化、預(yù)防性和精準(zhǔn)醫(yī)療進(jìn)行轉(zhuǎn)變，由于個(gè)人的健康狀態(tài)、條件和背景都是高度動(dòng)態(tài)的，導(dǎo)致了分布式、高復(fù)雜度的業(yè)務(wù)流程，因此不可能以靜態(tài)的方式進(jìn)行全局管理.隨著個(gè)人可穿戴設(shè)備數(shù)量的指數(shù)級(jí)增長(zhǎng)，利用個(gè)人健康數(shù)據(jù)進(jìn)行分析有很多的益處，比如識(shí)別醫(yī)療服務(wù)中的風(fēng)險(xiǎn)和成本、提高服務(wù)效率、疾病預(yù)防等，但同樣也帶來(lái)了更多的用戶(hù)隱私泄露風(fēng)險(xiǎn).

GDPR擴(kuò)展了個(gè)人數(shù)據(jù)的定義范圍，包括自然人身體、生理、遺傳、經(jīng)濟(jì)、文化或社會(huì)身份的特定因素；進(jìn)一步的，GDPR定義了對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理的要求，以確保在處理用戶(hù)數(shù)據(jù)過(guò)程中的合理合規(guī)，此外，由于系統(tǒng)環(huán)境的變化，GDPR要求處理用戶(hù)數(shù)據(jù)時(shí)進(jìn)行動(dòng)態(tài)的管理.在GDPR的規(guī)范下，數(shù)據(jù)的保護(hù)者變成了風(fēng)險(xiǎn)的管理者，必須積極主動(dòng)地動(dòng)態(tài)管理系統(tǒng)，這對(duì)于醫(yī)療健康類(lèi)個(gè)人敏感信息的處理具有指導(dǎo)意義.在GDPR的驅(qū)動(dòng)下，未來(lái)醫(yī)療系統(tǒng)對(duì)個(gè)人數(shù)據(jù)的處理應(yīng)該是一個(gè)政策驅(qū)動(dòng)的多領(lǐng)域自動(dòng)化業(yè)務(wù)系統(tǒng)，將政策和業(yè)務(wù)流程中的數(shù)據(jù)對(duì)象進(jìn)行綁定，在這個(gè)過(guò)程中保證數(shù)據(jù)處理的高透明度以保證用戶(hù)的知情權(quán)，GDPR很好地適應(yīng)了醫(yī)療的數(shù)字化轉(zhuǎn)型，保護(hù)了個(gè)人健康敏感數(shù)據(jù)的隱私.

近年來(lái)物聯(lián)網(wǎng)設(shè)備數(shù)量呈現(xiàn)井噴式增長(zhǎng)，同時(shí)也意味著設(shè)備廠商針對(duì)個(gè)人數(shù)據(jù)進(jìn)行大量的存儲(chǔ)、分發(fā)和利用，從廠商的角度來(lái)看，分析這些數(shù)據(jù)可以更好地理解用戶(hù)的行為，及時(shí)發(fā)現(xiàn)消費(fèi)者的行為模式和使用某類(lèi)設(shè)備的關(guān)系，能夠幫助廠商對(duì)產(chǎn)品進(jìn)行進(jìn)一步的改進(jìn)以提高用戶(hù)體驗(yàn)，但是也存在廠商在用戶(hù)不知情的情況下將這些數(shù)據(jù)出售給第三方，或者從同一用戶(hù)的不同設(shè)備同時(shí)收集數(shù)據(jù)建立用戶(hù)畫(huà)像的情況，這進(jìn)一步增加了用戶(hù)的隱私風(fēng)險(xiǎn).

在此情況下，GDPR的實(shí)施使得信息的控制權(quán)大大地轉(zhuǎn)向了個(gè)人.首先，這些收集的用戶(hù)數(shù)據(jù)在GDPR的擴(kuò)展定義中都屬于個(gè)人隱私數(shù)據(jù)，其次，GDPR要求對(duì)個(gè)人數(shù)據(jù)的收集和處理必須基于明確的用戶(hù)同意，并且用戶(hù)有權(quán)在任何時(shí)候撤銷(xiāo)自己的同意，否則將面臨嚴(yán)重的罰款.根據(jù)GDPR官方的處罰規(guī)定[17]，在處罰方面將有一個(gè)兩級(jí)的制裁制度，若是情節(jié)較輕的違規(guī)行為，可導(dǎo)致1 000萬(wàn)或公司全球營(yíng)業(yè)額的2%的罰款(以較高者為準(zhǔn))，最嚴(yán)重的違規(guī)行為可能導(dǎo)致2 000萬(wàn)或公司全球營(yíng)業(yè)額的4%的罰款(以較高者為準(zhǔn)).因此GDPR的實(shí)施是對(duì)物聯(lián)網(wǎng)設(shè)備廠商極大的警告，迫使他們按照GDPR的要求重新設(shè)計(jì)隱私政策和收集用戶(hù)數(shù)據(jù)的范圍，以及必須取得用戶(hù)的知情同意.

總體來(lái)看，GDPR改善了網(wǎng)絡(luò)安全，網(wǎng)絡(luò)、服務(wù)器和其他基礎(chǔ)設(shè)施的安全升級(jí)是網(wǎng)絡(luò)安全的保障，GDPR直接影響了數(shù)據(jù)隱私的安全，鼓勵(lì)企業(yè)制定政策和升級(jí)設(shè)備來(lái)預(yù)防潛在的安全風(fēng)險(xiǎn)；其次，GDPR將數(shù)據(jù)保護(hù)進(jìn)行標(biāo)準(zhǔn)化，在歐盟國(guó)家直接實(shí)施，建立了區(qū)域統(tǒng)一數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，而無(wú)需建立每個(gè)國(guó)家的個(gè)人數(shù)據(jù)保護(hù)法.

GDPR也帶來(lái)了一些負(fù)面的影響，比如極其嚴(yán)厲的兩級(jí)處罰措施，一旦企業(yè)因?yàn)楦鞣N原因未能保護(hù)好用戶(hù)數(shù)據(jù)導(dǎo)致泄露將會(huì)付出巨大代價(jià)，而中小型企業(yè)對(duì)數(shù)據(jù)的保護(hù)能力和抗風(fēng)險(xiǎn)能力本身就較弱，一旦遭遇此類(lèi)事件將對(duì)企業(yè)造成很大的打擊，中小型企業(yè)的隱私保護(hù)意識(shí)也相對(duì)薄弱，根據(jù)網(wǎng)站superoffice[18]的統(tǒng)計(jì)，截止2021年5月，超過(guò)四分之一的企業(yè)尚未根據(jù)GDPR進(jìn)行整改，由此可見(jiàn)部分企業(yè)并未意識(shí)到GDPR的重要性.嚴(yán)格的GDPR給新興的物聯(lián)網(wǎng)企業(yè)帶來(lái)了繁重的負(fù)擔(dān)，合規(guī)工作消耗了大量的資源，使得企業(yè)的業(yè)務(wù)運(yùn)營(yíng)變得更加艱難.此外，企業(yè)必須進(jìn)行合規(guī)性的審計(jì)，需要招聘更多專(zhuān)業(yè)的隱私保護(hù)方面的人才，因此，帶來(lái)了更多成本的負(fù)擔(dān)，相對(duì)應(yīng)的也給執(zhí)法機(jī)構(gòu)帶來(lái)了新的挑戰(zhàn).而對(duì)于需要留存大量患者信息的醫(yī)療企業(yè)來(lái)說(shuō)，如何實(shí)現(xiàn)高度敏感數(shù)據(jù)的安全存儲(chǔ)仍是一個(gè)十分嚴(yán)峻的挑戰(zhàn).隨著全球數(shù)據(jù)隱私安全意識(shí)的增強(qiáng)，醫(yī)學(xué)實(shí)驗(yàn)的開(kāi)展也受到重重阻隔，影響了醫(yī)學(xué)科技的高效發(fā)展.

2 GDPR合規(guī)性研究現(xiàn)狀

通過(guò)對(duì)現(xiàn)有的基于GDPR的數(shù)據(jù)隱私安全研究工作進(jìn)行梳理和分析，發(fā)現(xiàn)目前相關(guān)研究方向主要集中在GDPR合規(guī)檢測(cè)、隱私政策分析、GDPR模型框架3個(gè)方面.圖5中給出了現(xiàn)有研究工作文獻(xiàn)數(shù)量的占比情況，以便讀者有一個(gè)直觀的認(rèn)識(shí).本節(jié)將通過(guò)這3個(gè)研究方向分類(lèi)闡述現(xiàn)有具有代表性的GDPR相關(guān)的研究工作，同時(shí)在現(xiàn)有研究工作基礎(chǔ)上，本文將對(duì)每個(gè)研究方向的具體工作進(jìn)行對(duì)比分析和討論，并給出觀點(diǎn)，供感興趣的研究人員對(duì)該領(lǐng)域進(jìn)行進(jìn)一步研究.

Fig.5 Proportion of GDPR compliance related studies

2.1 GDPR合規(guī)檢測(cè)

自2018年5月25日起，歐盟開(kāi)始實(shí)施《通用數(shù)據(jù)保護(hù)條例》(GDPR)，條例涉及個(gè)人數(shù)據(jù)處理和數(shù)據(jù)隱私保護(hù)，直接適用于所有成員國(guó).GDPR旨在保護(hù)歐盟成員國(guó)內(nèi)所有公民的個(gè)人數(shù)據(jù)隱私，并對(duì)違規(guī)行為實(shí)施嚴(yán)厲制裁.數(shù)據(jù)隱私保護(hù)網(wǎng)站DataPrivacyManager披露了2020—2022年歐盟國(guó)家根據(jù)GDPR對(duì)企業(yè)的數(shù)筆大額罰款[19]，如圖6所示，罰款金額從數(shù)百萬(wàn)歐元到數(shù)億歐元不等，擁有越多用戶(hù)數(shù)據(jù)的企業(yè)遭受處罰的風(fēng)險(xiǎn)也更大.

Fig.6 Large GDPR fines from 2020 to 2022

2.1.1 違規(guī)案例分析

根據(jù)文獻(xiàn)[20]分析的277項(xiàng)制裁案例，違規(guī)行為主要分為4種類(lèi)型：非法處理個(gè)人信息、披露個(gè)人信息、未保護(hù)個(gè)人信息和與監(jiān)管機(jī)構(gòu)合作不足.這些處罰主要針對(duì)違反5項(xiàng)主要與用戶(hù)隱私保護(hù)相關(guān)的特定條款.由此可見(jiàn)，違規(guī)的主要原因是企業(yè)未能充分向用戶(hù)披露他們的個(gè)人信息是如何被收集的，以及沒(méi)有明確告知用戶(hù)收集這些信息的用途，并且在利用這些數(shù)據(jù)時(shí)未適當(dāng)征得用戶(hù)的同意，具體表現(xiàn)形式分為違規(guī)采集和傳輸、隱私政策不規(guī)范、數(shù)據(jù)濫用、網(wǎng)站cookie跟蹤4個(gè)方面.

1)違規(guī)采集和傳輸

文獻(xiàn)[21]對(duì)一些流行的健康軟件進(jìn)行安全審計(jì)，結(jié)果表明被分析的應(yīng)用程序大多數(shù)都沒(méi)有遵守GDPR要求的法律限制，在沒(méi)有征求用戶(hù)同意的情況下，通過(guò)不同的方式違規(guī)收集用戶(hù)的個(gè)人敏感信息，從而威脅了數(shù)百萬(wàn)用戶(hù)的隱私.根據(jù)GDPR的要求，在線服務(wù)必須獲得用戶(hù)的同意才能與第三方共享用戶(hù)數(shù)據(jù)，文獻(xiàn)[22]通過(guò)檢測(cè)Android應(yīng)用程序中事先未經(jīng)用戶(hù)同意發(fā)送到互聯(lián)網(wǎng)的數(shù)據(jù)表明30%應(yīng)用程序在未經(jīng)用戶(hù)事先明確同意的情況下將個(gè)人數(shù)據(jù)發(fā)送給第三方，由此可見(jiàn)對(duì)于用戶(hù)數(shù)據(jù)的濫用目前在業(yè)內(nèi)非常普遍.

2)隱私政策不規(guī)范

近年來(lái)隨著物聯(lián)網(wǎng)設(shè)備(IoT)的興起，因其涉及大量的個(gè)人隱私數(shù)據(jù)，應(yīng)該具有相應(yīng)的數(shù)據(jù)收集規(guī)范.文獻(xiàn)[23]通過(guò)捕獲物聯(lián)網(wǎng)設(shè)備與云之間、物聯(lián)網(wǎng)設(shè)備與其對(duì)應(yīng)的在智能手機(jī)上的應(yīng)用程序之間的數(shù)據(jù)流量，對(duì)11家物聯(lián)網(wǎng)制造商進(jìn)行分析測(cè)試，結(jié)果顯示其中一半的物聯(lián)網(wǎng)制造商沒(méi)有專(zhuān)門(mén)針對(duì)其物聯(lián)網(wǎng)設(shè)備制定對(duì)應(yīng)的隱私政策，對(duì)于目前大量不同類(lèi)型的物聯(lián)網(wǎng)設(shè)備，只有大致的隱私政策框架是不夠的，需要按照不同的應(yīng)用場(chǎng)景對(duì)隱私政策進(jìn)行細(xì)分.

3)數(shù)據(jù)濫用

文獻(xiàn)[24]披露了在GDPR實(shí)施之前，科技企業(yè)Facebook為73%的歐盟用戶(hù)貼上了潛在敏感興趣的標(biāo)簽，從而針對(duì)性地推送個(gè)性化廣告，并且惡意第三方可以以極低的成本獲取已被分配潛在敏感興趣的Facebook用戶(hù)的身份.進(jìn)一步的，文獻(xiàn)[25]通過(guò)檢測(cè)第三方廣告和跟蹤服務(wù)發(fā)現(xiàn)，廣告商會(huì)在未經(jīng)用戶(hù)同意的情況下，與第三方關(guān)聯(lián)公司共享收集到的數(shù)據(jù)，并且揭示了這類(lèi)做法在業(yè)界已成為常態(tài)化，此類(lèi)違規(guī)行為利用用戶(hù)個(gè)人數(shù)據(jù)達(dá)到其商業(yè)目的，并未征求用戶(hù)的同意.

4)網(wǎng)站cookie跟蹤

由于GDPR的實(shí)施，歐洲用戶(hù)幾乎在每個(gè)網(wǎng)站上都會(huì)遇到cookie同意選擇框.通過(guò)cookie，網(wǎng)站可以經(jīng)用戶(hù)同意收集數(shù)據(jù)并將其傳播給第三方.文獻(xiàn)[26]的研究表明，即使用戶(hù)沒(méi)有做出選擇，部分網(wǎng)站也會(huì)默認(rèn)用戶(hù)已經(jīng)同意cookie跟蹤，或者用戶(hù)已明確選擇退出，部分網(wǎng)站也會(huì)存儲(chǔ)用戶(hù)同意.在測(cè)試中一半以上的網(wǎng)站至少存在一項(xiàng)可疑違規(guī)收集行為.并且，cookie跟蹤的范圍非常廣泛，文獻(xiàn)[27]對(duì)歐盟境內(nèi)2 000多個(gè)高流量網(wǎng)站通過(guò)cookie實(shí)現(xiàn)的跟蹤進(jìn)行評(píng)估，發(fā)現(xiàn)cookie可以在訪問(wèn)數(shù)據(jù)集中90%以上的網(wǎng)站識(shí)別用戶(hù)，因此用戶(hù)很難避免被跟蹤.此外，根據(jù)文獻(xiàn)[28]對(duì)在線廣告業(yè)務(wù)的研究，出于研究用戶(hù)行為的目的，即使用戶(hù)已經(jīng)選擇退出廣告，網(wǎng)站也會(huì)繼續(xù)追蹤用戶(hù)的瀏覽器.因此在現(xiàn)有的框架下，用戶(hù)缺乏可行的機(jī)制來(lái)同意或者拒絕其在互聯(lián)網(wǎng)上的行為被跟蹤分析.

2.1.2違規(guī)檢測(cè)方法

若應(yīng)用程序或者網(wǎng)站需要處理用戶(hù)的個(gè)人數(shù)據(jù)，就要符合GDPR的要求，然而GDPR的隱私處理?xiàng)l款針對(duì)軟件的開(kāi)發(fā)過(guò)程只給出了一般性原則，而非詳細(xì)的操作指南，因此現(xiàn)有軟件和網(wǎng)站中可能存在大量違反GDPR法規(guī)的情況.但是先分析隱私泄露事件，而后確定后果和罰款需要執(zhí)法機(jī)構(gòu)付出大量的時(shí)間和精力來(lái)評(píng)估數(shù)據(jù)收集和處理機(jī)制是否符合GDPR條款，因此使用技術(shù)手段對(duì)違規(guī)行為進(jìn)行規(guī)模性的檢測(cè)和評(píng)估是十分有必要的.

移動(dòng)應(yīng)用程序經(jīng)常訪問(wèn)用戶(hù)的個(gè)人信息以滿足業(yè)務(wù)需求，由于此類(lèi)信息通常很敏感，因此監(jiān)管機(jī)構(gòu)要求移動(dòng)應(yīng)用程序開(kāi)發(fā)人員發(fā)布詳細(xì)的隱私政策，文獻(xiàn)[29]提出了一個(gè)半自動(dòng)框架，建立隱私政策術(shù)語(yǔ)到API方法的映射集合，用于檢測(cè)隱私政策和應(yīng)用程序代碼不一致的違規(guī)行為.文獻(xiàn)[30]在文獻(xiàn)[29]的基礎(chǔ)上，將GDPR要求的隱私政策規(guī)范進(jìn)行量化分析，通過(guò)自然語(yǔ)言處理(natural language processing, NLP)與機(jī)器學(xué)習(xí)算法，生成6個(gè)通知分類(lèi)器來(lái)檢測(cè)應(yīng)用程序的隱私政策是否完整，并通過(guò)實(shí)驗(yàn)證明了自動(dòng)化分析隱私政策的有效性.同樣基于文本分析，文獻(xiàn)[31]使用語(yǔ)義相似性來(lái)識(shí)別不同文章對(duì)應(yīng)的和特定違規(guī)類(lèi)型相關(guān)的主題，用識(shí)別的特征來(lái)訓(xùn)練一個(gè)長(zhǎng)短期記憶(long short term memory, LSTM)深度學(xué)習(xí)器，可以有效識(shí)別給定文本描述的潛在違規(guī)行為.

進(jìn)一步的，隱私政策的合規(guī)只是基本要求，在實(shí)際的應(yīng)用場(chǎng)景中，還需要知道應(yīng)用程序是否會(huì)收集隱私政策之外、沒(méi)有取得用戶(hù)同意的數(shù)據(jù).文獻(xiàn)[22]基于字符串匹配，利用半自動(dòng)化工具來(lái)檢測(cè)未經(jīng)事先同意而發(fā)送到互聯(lián)網(wǎng)上的數(shù)據(jù)流量，并檢測(cè)了86 163個(gè)應(yīng)用程序，發(fā)現(xiàn)有三分之一應(yīng)用程序在未經(jīng)用戶(hù)事先明確同意的情況下向第三方發(fā)送個(gè)人數(shù)據(jù).

此外，許多移動(dòng)應(yīng)用開(kāi)發(fā)者為了各種目的在他們的應(yīng)用中整合第三方服務(wù)，包括應(yīng)用維護(hù)分析服務(wù)、用戶(hù)參與、社交網(wǎng)絡(luò)整合和廣告.第三方服務(wù)訪問(wèn)大量有價(jià)值的用戶(hù)數(shù)據(jù)，這些數(shù)據(jù)往往超出了它們向應(yīng)用開(kāi)發(fā)者或用戶(hù)提供服務(wù)的需要，并且在用戶(hù)不知情的情況下進(jìn)行跟蹤.文獻(xiàn)[32]根據(jù)應(yīng)用程序無(wú)限制收集個(gè)人信息的情況，提出了一種基于關(guān)聯(lián)挖掘的個(gè)人身份信息泄漏檢測(cè)方法，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)自動(dòng)化系統(tǒng)，用于檢測(cè)APP發(fā)送的流量數(shù)據(jù)是否暴露了用戶(hù)的個(gè)人身份信息，有助于在流量數(shù)據(jù)中發(fā)現(xiàn)隱藏的隱私泄露.文獻(xiàn)[25]使用URL分類(lèi)器來(lái)自動(dòng)檢測(cè)流量級(jí)別的第三方廣告和跟蹤服務(wù)，使用這種技術(shù)識(shí)別出2 121項(xiàng)此類(lèi)第三方服務(wù)，其中233項(xiàng)不為其他流行的廣告和跟蹤黑名單所知.第三方跟蹤服務(wù)的隱秘性和高權(quán)限使得該類(lèi)行為具有較大的違規(guī)風(fēng)險(xiǎn)，一種解決隱秘性的可行方案是利用區(qū)塊鏈技術(shù)增強(qiáng)數(shù)據(jù)使用的透明度，文獻(xiàn)[33]提出了一種利用區(qū)塊鏈和智能合約技術(shù)開(kāi)發(fā)符合GDPR的個(gè)人數(shù)據(jù)管理平臺(tái)的方案，該方案為服務(wù)提供商和數(shù)據(jù)所有者提供去中心化機(jī)制用于處理個(gè)人數(shù)據(jù)，確保只有指定方可以處理個(gè)人數(shù)據(jù)，并使用智能合約和加密技術(shù)將所有數(shù)據(jù)活動(dòng)記錄在不可變的分布式賬本中，任何違規(guī)行為都會(huì)被永久記錄下來(lái)并自動(dòng)報(bào)告，該方法也能有效地解決數(shù)據(jù)所有者無(wú)法感知服務(wù)提供商是否遵守GDPR并且有效保護(hù)了其個(gè)人數(shù)據(jù)的問(wèn)題.表3整理了這5種典型的違規(guī)檢測(cè)手段，分別從違規(guī)檢測(cè)方法、分析對(duì)象以及違規(guī)行為3方面進(jìn)行展示.

Table 3 Analysis and Comparison of Violation Detection Methods Based on GDPR

2.1.3 規(guī)避違規(guī)

企業(yè)使用包括企業(yè)網(wǎng)站、社交媒體資料、在線商店等媒介和用戶(hù)進(jìn)行交互，特別是當(dāng)前社交媒體已成為重要的企業(yè)平臺(tái).由于這些媒介處理著大量用戶(hù)數(shù)據(jù)，因此企業(yè)必須考慮出臺(tái)新的數(shù)據(jù)保護(hù)和隱私保護(hù)政策以適應(yīng)GDPR條例，履行GDPR所規(guī)定的義務(wù)，確保其軟件系統(tǒng)達(dá)到GDPR的要求.本節(jié)總結(jié)了增加隱私政策可讀性、增加數(shù)據(jù)訪問(wèn)透明度及同意管理3種規(guī)避違規(guī)的手段.

1)增加隱私政策可讀性

隱私政策是用戶(hù)了解哪些個(gè)人信息被收集和使用的重要媒介，但是隱私政策的可讀性普遍較差，結(jié)合其他復(fù)雜性使其無(wú)法達(dá)到預(yù)期目的.文獻(xiàn)[34]引入了一種基于自然語(yǔ)言處理技術(shù)的隱私政策摘要工具，該方案能夠以高準(zhǔn)確度將隱私政策進(jìn)行分類(lèi)以及闡明相關(guān)的風(fēng)險(xiǎn)級(jí)別.進(jìn)一步的，文獻(xiàn)[35]提出的方法可以將相當(dāng)長(zhǎng)的隱私政策總結(jié)為簡(jiǎn)短而濃縮的注釋?zhuān)瑥亩層脩?hù)更準(zhǔn)確的辨別數(shù)據(jù)收集的范圍.

2)增加數(shù)據(jù)訪問(wèn)透明度

增加數(shù)據(jù)收集中的透明度有利于數(shù)據(jù)收集安全.文獻(xiàn)[36]調(diào)研了谷歌工具“我的活動(dòng)”，盡管大多數(shù)參與者并不關(guān)心數(shù)據(jù)收集，但是可以隨時(shí)查看數(shù)據(jù)收集情況使得大部分用戶(hù)增加了對(duì)產(chǎn)品的信任度.同樣的，文獻(xiàn)[37]介紹了一種用Web界面從不同在線服務(wù)導(dǎo)出數(shù)據(jù)收集和處理情況進(jìn)行可視化展示，有效提高了用戶(hù)對(duì)在線服務(wù)收集數(shù)據(jù)的行為認(rèn)識(shí).

在某些情況下，服務(wù)提供商并非真正需要采集到個(gè)人敏感數(shù)據(jù)，采集的目的可能只是為了收集豐富的某項(xiàng)數(shù)據(jù)以滿足其分析的需求，文獻(xiàn)[38]提出的區(qū)塊鏈系統(tǒng)采用類(lèi)似零知識(shí)證明的機(jī)制，允許用戶(hù)在不透露其身份的情況下證明擁有某些屬性，最大限度地在滿足服務(wù)提供商需求的情況下使得用戶(hù)提供的信息最少，因此GDPR所強(qiáng)調(diào)的數(shù)據(jù)最小化原則在一定程度上可以增加數(shù)據(jù)采集的安全性.

3)同意管理

由于同意通知的復(fù)雜性和動(dòng)態(tài)性，必須執(zhí)行合規(guī)性驗(yàn)證或?qū)徲?jì)來(lái)保證數(shù)據(jù)采集的合規(guī).采用工具進(jìn)行驗(yàn)證是一種有效的手段.文獻(xiàn)[39]提出了隱私政策和同意管理需要的機(jī)器策略語(yǔ)言，使用推理器進(jìn)行語(yǔ)義合規(guī)性檢查.基于此項(xiàng)研究，文獻(xiàn)[40]提出了一種數(shù)據(jù)保護(hù)設(shè)計(jì)工具，將GDPR法規(guī)轉(zhuǎn)換為軟件代碼，從而實(shí)現(xiàn)自動(dòng)化合規(guī)性驗(yàn)證.文獻(xiàn)[41]認(rèn)為通過(guò)確保數(shù)據(jù)處理中使用的數(shù)據(jù)集從一開(kāi)始就符合同意，使用給定同意的結(jié)構(gòu)化表示來(lái)“實(shí)時(shí)”生成數(shù)據(jù)集，可以增加透明度，方便用戶(hù)給予、撤回他們對(duì)系統(tǒng)數(shù)據(jù)處理的同意許可，減少了事后進(jìn)行遵守情況分析的需要.

根據(jù)GDPR的要求，服務(wù)提供商需要告知用戶(hù)他們的數(shù)據(jù)收集情況，經(jīng)過(guò)用戶(hù)允許才能收集特定的數(shù)據(jù).文獻(xiàn)[42]通過(guò)對(duì)數(shù)千名參與者的調(diào)研得出，用戶(hù)普遍在服務(wù)提供商數(shù)據(jù)收集和數(shù)據(jù)使用的解釋上沒(méi)有仔細(xì)地閱讀，削弱了同意通知的作用，這表明了用戶(hù)體驗(yàn)需要進(jìn)一步改進(jìn).此外，對(duì)于應(yīng)用程序和網(wǎng)站的開(kāi)發(fā)人員，根據(jù)文獻(xiàn)[43]的研究，只有不到四分之一的專(zhuān)業(yè)人員能夠接觸到安全專(zhuān)家，而且很少有技術(shù)人員因?yàn)闅W洲GDPR立法而對(duì)其軟件進(jìn)行針對(duì)性的優(yōu)化，因此規(guī)避違規(guī)行為還需要很長(zhǎng)一段路由走，用戶(hù)既要提高隱私保護(hù)意識(shí)，明確GDPR賦予的權(quán)利，企業(yè)也要采取積極手段響應(yīng)政策，避免受到處罰.

2.1.4 小結(jié)

2.1節(jié)主要從典型的GDPR違規(guī)案例出發(fā)，對(duì)基于GDPR的合規(guī)檢測(cè)研究工作進(jìn)行了分析和討論，并給出了GDPR合規(guī)檢測(cè)研究領(lǐng)域的一些觀點(diǎn).

討論1.本節(jié)從不同角度分析和歸納了幾種違規(guī)檢測(cè)方法，對(duì)應(yīng)著不同的違規(guī)行為.從分析對(duì)象來(lái)看，違規(guī)檢測(cè)方法針對(duì)的是不同場(chǎng)景、不同階段下的特定行為，基本覆蓋了數(shù)據(jù)收集、處理的各個(gè)階段；從分析方法來(lái)看，目前大多數(shù)文獻(xiàn)主要集中于使用自動(dòng)化工具進(jìn)行違規(guī)識(shí)別，此類(lèi)問(wèn)題的解決方法大都是以機(jī)器學(xué)習(xí)技術(shù)為基礎(chǔ)構(gòu)建的自動(dòng)化工具進(jìn)行分析，在各自的實(shí)驗(yàn)場(chǎng)景中表現(xiàn)出了出色的檢測(cè)效果，此外，使用區(qū)塊鏈技術(shù)進(jìn)行違規(guī)檢測(cè)的研究目前較少，且都是以理論框架構(gòu)建為主，如何將區(qū)塊鏈和智能合約技術(shù)進(jìn)行有效地應(yīng)用仍然需要研究人員進(jìn)一步探索.

觀點(diǎn)1.目前的自動(dòng)化檢測(cè)的手段大都圍繞機(jī)器學(xué)習(xí)算法，實(shí)驗(yàn)對(duì)象也是特定場(chǎng)景下的應(yīng)用程序或網(wǎng)站，有一定的局限性.并且由于分析的對(duì)象并不相同，數(shù)據(jù)集的訓(xùn)練性能有一定的針對(duì)性，能否在跨平臺(tái)跨類(lèi)別的應(yīng)用程序上達(dá)到相近的性能值得進(jìn)一步的探討.進(jìn)一步的，違規(guī)行為分布在數(shù)據(jù)收集、處理、共享、流動(dòng)的各個(gè)階段，每個(gè)階段所涉及到的場(chǎng)景都是非常多樣的，這給違規(guī)行為檢測(cè)帶來(lái)了很大的挑戰(zhàn)，如何找到違規(guī)檢測(cè)在不同階段的普適性方法以及如何針對(duì)不同場(chǎng)景進(jìn)行優(yōu)化是未來(lái)的一大難點(diǎn).

2.2 隱私政策分析

隱私政策是一份聲明或法律文件，它向用戶(hù)披露數(shù)據(jù)收集、使用、存儲(chǔ)和共享的部分或全部方式，使用戶(hù)能夠在注冊(cè)任何服務(wù)或決定是否繼續(xù)使用服務(wù)時(shí)做出明智的決定，是數(shù)據(jù)控制者和用戶(hù)之間信息傳播的主要媒介.隨著數(shù)據(jù)隱私保護(hù)成為一個(gè)重要的社會(huì)問(wèn)題，不同國(guó)家和地區(qū)都制定了相應(yīng)的法律法規(guī)來(lái)保證用戶(hù)數(shù)據(jù)的安全性和隱私性，其中最具有代表性的就是GDPR.但是檢測(cè)收集、處理或存儲(chǔ)用戶(hù)個(gè)人數(shù)據(jù)服務(wù)商的合規(guī)性是法律執(zhí)行的一大困難挑戰(zhàn).這個(gè)困難主要來(lái)自于2個(gè)方面：1)GDPR等法律法規(guī)是用自然語(yǔ)言編寫(xiě)的，包含了大量的法律術(shù)語(yǔ)，沒(méi)有法律知識(shí)的用戶(hù)很難讀懂.2)隱私政策通常用冗長(zhǎng)而復(fù)雜的文檔展示，用戶(hù)閱讀起來(lái)非常耗時(shí).文獻(xiàn)[44]在2008年就指出，如果一個(gè)用戶(hù)要閱讀在互聯(lián)網(wǎng)上訪問(wèn)的每一項(xiàng)服務(wù)的隱私政策，平均每年需要244 h.因此當(dāng)前研究的主要方向是自動(dòng)地發(fā)現(xiàn)法規(guī)與隱私政策之間的合規(guī)性問(wèn)題，并為數(shù)據(jù)主體(即用戶(hù))、數(shù)據(jù)收集方(即服務(wù)提供商)和監(jiān)管當(dāng)局提供直觀的結(jié)果[45].

在GDPR出現(xiàn)之前，已有很多對(duì)隱私政策的分類(lèi)研究，大多數(shù)方法都是利用自然語(yǔ)言處理技術(shù)對(duì)隱私政策進(jìn)行分析[46-48]，但使用的方法欠缺遷移性，在GDPR相關(guān)的隱私分析中并不適用.新興的機(jī)器學(xué)習(xí)技術(shù)越來(lái)越多地被用于輔助隱私保護(hù)，通過(guò)對(duì)隱私政策的評(píng)估與分析，使政策更具可讀性，并檢測(cè)隱私政策中的模糊內(nèi)容.文獻(xiàn)[30]提出了一個(gè)自動(dòng)系統(tǒng)HPDROID，通過(guò)識(shí)別應(yīng)用隱私政策中聲明的數(shù)據(jù)實(shí)踐和應(yīng)用代碼中的數(shù)據(jù)相關(guān)行為來(lái)彌合GDPR的一般規(guī)則和應(yīng)用實(shí)現(xiàn)之間的語(yǔ)義鴻溝.該系統(tǒng)根據(jù)GDPR第5條相應(yīng)的3個(gè)基本要求，即透明度、數(shù)據(jù)最小化、保密性，將自然語(yǔ)言處理技術(shù)與機(jī)器學(xué)習(xí)相結(jié)合，對(duì)796個(gè)移動(dòng)健康應(yīng)用程序隱私政策進(jìn)行了檢測(cè)，發(fā)現(xiàn)其中189個(gè)沒(méi)有提供完整的隱私政策，HPDROID提高了應(yīng)用程序用戶(hù)和開(kāi)發(fā)者的隱私保護(hù)意識(shí).

文獻(xiàn)[35]在2018年受到GDPR和機(jī)器學(xué)習(xí)技術(shù)的影響，根據(jù)GDPR第12,13條的規(guī)定提出了風(fēng)險(xiǎn)指標(biāo)，并使用了樸素貝葉斯、支持向量機(jī)(support vector machine, SVM)、決策樹(shù)和隨機(jī)森林4種有監(jiān)督的機(jī)器學(xué)習(xí)技術(shù).基于風(fēng)險(xiǎn)指標(biāo)對(duì)冗長(zhǎng)的隱私政策進(jìn)行了分類(lèi)，簡(jiǎn)化了隱私政策的解釋?zhuān)⑻嵝延脩?hù)注意建議的風(fēng)險(xiǎn)指標(biāo).文獻(xiàn)[49]在文獻(xiàn)[35]的基礎(chǔ)上，增加了數(shù)據(jù)集的范圍，從網(wǎng)上爬取了1200個(gè)隱私政策，按照5項(xiàng)GDPR隱私政策核心要求進(jìn)行標(biāo)記，并增加了單詞嵌入技術(shù)與監(jiān)督學(xué)習(xí)相結(jié)合，對(duì)隱私政策進(jìn)行了分類(lèi)，發(fā)現(xiàn)超過(guò)76%的隱私政策不滿足5項(xiàng)基本要求，因此可能不完全符合GDPR.文獻(xiàn)[35,49]提出的各種基于機(jī)器學(xué)習(xí)的方法在一定程度上解決了隱私政策總結(jié)問(wèn)題，但是他們使用的都是美國(guó)或者歐盟網(wǎng)站的數(shù)據(jù)集，對(duì)其他國(guó)家的網(wǎng)站效率并不高.文獻(xiàn)[50]從GDPR和《巴基斯坦數(shù)保護(hù)法》中提取了10個(gè)隱私慣例，定義了27個(gè)類(lèi)別標(biāo)簽，從5個(gè)部門(mén)的巴基斯坦網(wǎng)站編譯了120條隱私政策的標(biāo)記數(shù)據(jù)集，使用了SVM、Logistic回歸、KNN和樸素貝葉斯4個(gè)機(jī)器學(xué)習(xí)分類(lèi)器對(duì)數(shù)據(jù)集進(jìn)行了訓(xùn)練和測(cè)試，實(shí)現(xiàn)了對(duì)巴基斯坦網(wǎng)站隱私政策的合規(guī)性檢查.

對(duì)隱私政策的大量研究都依賴(lài)于有監(jiān)督的機(jī)器學(xué)習(xí)方法，這些方法需要標(biāo)注隱私政策的數(shù)據(jù)集，但是這種公開(kāi)的數(shù)據(jù)集很少，因此隱私政策語(yǔ)料庫(kù)的建立極其重要.文獻(xiàn)[51]基于眾包創(chuàng)建了一個(gè)名為OPP-115的網(wǎng)站隱私政策語(yǔ)料庫(kù)，其中包含23 000細(xì)粒度的數(shù)據(jù)實(shí)踐.文獻(xiàn)[52]擴(kuò)展了OPP-115語(yǔ)料庫(kù)，增加了標(biāo)記“退出選擇”的細(xì)粒度信息，該文獻(xiàn)專(zhuān)注于自動(dòng)識(shí)別隱私政策文本中的用戶(hù)選擇的任務(wù).文獻(xiàn)[53]引入了從GDPR條款到OPP-115注釋方案的映射，證明了OPP-115的廣泛適用性.文獻(xiàn)[54]建立了一個(gè)包含350條移動(dòng)應(yīng)用隱私政策的語(yǔ)料庫(kù)，并提供了一個(gè)可擴(kuò)展的管道來(lái)分析帶有隱私政策的APP可執(zhí)行文件的潛在合規(guī)性問(wèn)題.文獻(xiàn)[55]提出了一種自動(dòng)檢測(cè)隱私政策中模糊詞和句子的方法，通過(guò)眾包創(chuàng)建了一個(gè)模糊詞語(yǔ)料庫(kù).文獻(xiàn)[35]向前邁出了一步，創(chuàng)建了一個(gè)包含45個(gè)手動(dòng)標(biāo)記的隱私政策的語(yǔ)料庫(kù)，專(zhuān)注于由專(zhuān)家定義的隱私政策的風(fēng)險(xiǎn)級(jí)別.文獻(xiàn)[45]根據(jù)GDPR第13條對(duì)隱私政策進(jìn)行合規(guī)性分析，設(shè)計(jì)了一種基于GDPR的分類(lèi)方案，并為此手動(dòng)策劃了304個(gè)隱私政策的語(yǔ)料庫(kù).對(duì)于語(yǔ)料庫(kù)的擴(kuò)大和填充，還需要研究人員進(jìn)一步努力.

除了文獻(xiàn)[35,49-50]對(duì)網(wǎng)站的隱私政策進(jìn)行分析，還有許多研究對(duì)其他領(lǐng)域的隱私政策的分析.文獻(xiàn)[56]根據(jù)GDPR一般規(guī)則，采用有監(jiān)督的NLP技術(shù)對(duì)基金行業(yè)的234個(gè)隱私政策進(jìn)行了檢測(cè).文獻(xiàn)[45]從Google Play6(應(yīng)用程序商店之一)收集應(yīng)用程序的隱私政策，涵蓋了22個(gè)應(yīng)用程序類(lèi)別，并基于GDPR第13條的分類(lèi)方案注釋了一個(gè)包含304個(gè)隱私政策的語(yǔ)料庫(kù).算法采用了SVM，以及基于嵌入的雙向長(zhǎng)短期記憶網(wǎng)絡(luò)((bi-directional long short-term memory, BiLSTM)和基于上下文Bert網(wǎng)絡(luò)2種具有代表的神經(jīng)網(wǎng)絡(luò)模型.文獻(xiàn)[57]采用了文本模糊解釋結(jié)構(gòu)建模(textual fuzzy interpretive structural modeling, TFISM)確定了GDPR中的關(guān)鍵因素，并將它們與各種云服務(wù)隱私政策進(jìn)行了比較，檢測(cè)了GDPR與服務(wù)隱私政策之間對(duì)于不同關(guān)鍵術(shù)語(yǔ)或因素的優(yōu)先級(jí)設(shè)置的相似性.文獻(xiàn)[58]開(kāi)發(fā)了一個(gè)集成的、語(yǔ)義豐富的知識(shí)圖譜來(lái)表示GDPR所規(guī)定的規(guī)則，并將其應(yīng)用于云隱私政策中對(duì)比語(yǔ)義相似性，大數(shù)據(jù)從業(yè)者可以利用該方法根據(jù)授權(quán)文件定期更新其參考文件.

小結(jié)：2.2節(jié)從現(xiàn)有的基于GDPR的隱私政策合規(guī)性研究工作中，挑選和總結(jié)了5項(xiàng)具有代表性的研究工作，并給出了基于GDPR的隱私政策合規(guī)性研究領(lǐng)域的一些觀點(diǎn).表4分別從分析依據(jù)、數(shù)據(jù)集、算法以及最優(yōu)算法多個(gè)角度進(jìn)行分析和討論.

討論2.由表4可知，1)從分析依據(jù)而言，基于GDPR第13條的要求進(jìn)行合規(guī)性分析占研究的多數(shù).2)從數(shù)據(jù)集來(lái)看，大多采用的是英文的隱私政策，數(shù)據(jù)集的范圍領(lǐng)域在不斷的擴(kuò)大.3)從算法來(lái)看，文獻(xiàn)[35,45,49-50]都采用了3個(gè)及以上的算法進(jìn)行對(duì)比分析，結(jié)果都得出SVM算法對(duì)隱私政策的分析領(lǐng)域適用性最好.

觀點(diǎn)2.基于GDPR的隱私政策的合規(guī)性研究能夠?qū)㈦[私政策中數(shù)據(jù)收集、使用、存儲(chǔ)和共享的部分或全部方式直觀地展現(xiàn)給用戶(hù)和服務(wù)提供商，促進(jìn)了數(shù)據(jù)隱私保護(hù)領(lǐng)域的發(fā)展，其研究意義重大.通過(guò)對(duì)比和歸納現(xiàn)有工作，本文發(fā)現(xiàn)：1)相比于深度學(xué)習(xí)算法，SVM算法在隱私政策分類(lèi)上有更好的結(jié)果，這或許是因?yàn)樯疃葘W(xué)習(xí)算法欠缺專(zhuān)業(yè)標(biāo)注的數(shù)據(jù)集，同時(shí)也缺少大量的正樣本來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò).2)隱私政策語(yǔ)料庫(kù)目前大部分涉及的是英文，多語(yǔ)言融合的語(yǔ)料庫(kù)有待研究人員進(jìn)一步開(kāi)發(fā).

Table 4 Comparison of Privacy Policy Analysis Based on GDPR

2.3 GDPR模型框架

通過(guò)調(diào)研現(xiàn)有研究工作，目前常見(jiàn)的GDPR模型主要基于合規(guī)性檢測(cè)、隱私政策分析以及系統(tǒng)模型設(shè)計(jì)來(lái)遵循GDPR基本原則.因此，本節(jié)從這3種不同的技術(shù)角度，分別闡述了基于合規(guī)性檢測(cè)的框架模型、隱私設(shè)計(jì)的框架模型以及系統(tǒng)設(shè)計(jì)的框架模型的研究進(jìn)展.同時(shí)，在現(xiàn)有研究工作的基礎(chǔ)上，對(duì)每種模型框架進(jìn)行分析討論，并給出觀點(diǎn).

2.3.1 合規(guī)性檢測(cè)框架模型

通用數(shù)據(jù)保護(hù)條例(GDPR)的合規(guī)性對(duì)組織在個(gè)人數(shù)據(jù)隱私保護(hù)上提出了更高的要求，每個(gè)組織都必須考慮適用其組織架構(gòu)的框架模型，然而龐大且復(fù)雜的法律合規(guī)需求極大地限制了組織的效率，如何為組織提供良好語(yǔ)義化的GDPR框架仍是一項(xiàng)重要的挑戰(zhàn).現(xiàn)有的研究工作主要通過(guò)合規(guī)檢查表、合規(guī)評(píng)估工具以及法律模型來(lái)實(shí)現(xiàn)GDPR的合規(guī)性檢測(cè).

公共機(jī)構(gòu)和公司開(kāi)發(fā)構(gòu)建的合規(guī)檢查表[59-61]，能夠有效支持組織檢查其對(duì)GDPR的遵守情況.文獻(xiàn)[59]提出了GDPR文本擴(kuò)展(GDPRtEXT)，使用歐洲立法標(biāo)識(shí)符(European legislation identifier, ELI)本體將GDPR公開(kāi)為鏈接數(shù)據(jù)，將概念與GDPR相關(guān)文本鏈接起來(lái).組織可引用查詢(xún)結(jié)果并鏈接至相關(guān)文本，從而記錄和衡量對(duì)GDPR的遵守情況.處理活動(dòng)登記冊(cè)(record of processing activities, ROPA)是組織個(gè)人數(shù)據(jù)處理活動(dòng)的綜合記錄，創(chuàng)建和維護(hù)ROPA是實(shí)現(xiàn)問(wèn)責(zé)制并幫助監(jiān)管機(jī)構(gòu)實(shí)施GDPR合規(guī)監(jiān)管的重要過(guò)程.然而，傳統(tǒng)的通過(guò)電子表格維護(hù)的ROPA缺乏適合構(gòu)建自動(dòng)化工具鏈的數(shù)據(jù)結(jié)構(gòu)及語(yǔ)義.文獻(xiàn)[60]通過(guò)語(yǔ)義網(wǎng)絡(luò)將不同監(jiān)管機(jī)構(gòu)發(fā)布的模板合并為良好交互性的ROPA通用語(yǔ)義模型(common semantic model for ROPAs, CSM-ROPA)，并基于擴(kuò)展數(shù)據(jù)隱私詞匯(data privacy vocabulary, DPV)為跨域法管轄合規(guī)性提供統(tǒng)一數(shù)據(jù)模型.文獻(xiàn)[61]在文獻(xiàn)[60]的基礎(chǔ)上構(gòu)建使用DPV審計(jì)個(gè)人數(shù)據(jù)國(guó)際傳輸?shù)腉DPR合規(guī)性工具，并在識(shí)別數(shù)據(jù)轉(zhuǎn)移、合規(guī)性以及問(wèn)責(zé)制方面有積極反饋.但受限于測(cè)試規(guī)模，該模型性能還需要進(jìn)一步考量.

在合規(guī)評(píng)估方面，工具的實(shí)現(xiàn)往往需要基于具體的數(shù)據(jù)保護(hù)技術(shù)(例如，區(qū)塊鏈、數(shù)據(jù)挖掘技術(shù))或集成定制滿足GDPR原則的工具實(shí)現(xiàn).GDPR強(qiáng)調(diào)必須確保組織在用戶(hù)同意情況下使用數(shù)據(jù)，用戶(hù)同意也是執(zhí)行同意機(jī)制的互操作性、正確性和完整性的基礎(chǔ).文獻(xiàn)[62]提出了一種基于區(qū)塊鏈的合規(guī)驗(yàn)證模型，確保只有獲得用戶(hù)授權(quán)的實(shí)體才能訪問(wèn)用戶(hù)數(shù)據(jù)，且所有數(shù)據(jù)交互都記錄在區(qū)塊鏈上，但是該方案僅保障GDPR同意機(jī)制的實(shí)施，無(wú)法滿足GDPR整體合規(guī)驗(yàn)證.此外，數(shù)據(jù)驅(qū)動(dòng)型組織嚴(yán)重依賴(lài)于數(shù)據(jù)處理，存在數(shù)據(jù)交互的業(yè)務(wù)很容易違反GDPR.文獻(xiàn)[63]提出一種基于事件日志行為的在線流程挖掘框架以實(shí)現(xiàn)支持業(yè)務(wù)流程的GDPR合規(guī)性.通過(guò)前向合規(guī)技術(shù)檢測(cè)業(yè)務(wù)流程的合規(guī)性，由流程挖掘技術(shù)從事件日志中發(fā)現(xiàn)組織的違規(guī)行為來(lái)為流程提供用例.一致性檢查技術(shù)將觀察到的行為與業(yè)務(wù)流程期望的行為進(jìn)行對(duì)比，以評(píng)估它們的偏差值，然后通過(guò)向后合規(guī)檢查技術(shù)發(fā)現(xiàn)不合規(guī)方面并相應(yīng)地調(diào)整模型，但該框架在復(fù)雜度高、跨越組織的業(yè)務(wù)流程中存在一定的局限性.

從學(xué)術(shù)屆和產(chǎn)業(yè)屆方面的工作來(lái)看，許多工具和模型僅滿足特定或孤立的GDPR需求，例如透明度、問(wèn)責(zé)制或數(shù)據(jù)最小化，較少存在全面支持GDPR原則的模型.文獻(xiàn)[64]設(shè)計(jì)了一個(gè)支持GDPR數(shù)據(jù)治理的DEFeND平臺(tái)框架，能夠有效復(fù)用和集成滿足特定或孤立GDPR異構(gòu)的工具，圍繞隱私保護(hù)的設(shè)計(jì)、同意機(jī)制管理和隱私影響評(píng)估管理3個(gè)概念，幫助組織模塊化實(shí)現(xiàn)GDPR合規(guī)性.該方案能滿足GDPR多方面的要求，對(duì)GDPR的實(shí)施提供了完整的參考實(shí)例.然而，目前仍缺乏應(yīng)用于大數(shù)據(jù)場(chǎng)景中多源數(shù)據(jù)、不同目的和密集型數(shù)據(jù)處理的GDPR合規(guī)性解決方案.文獻(xiàn)[65]提出了一個(gè)組件化框架來(lái)實(shí)現(xiàn)大數(shù)據(jù)場(chǎng)景中的GDPR應(yīng)用，該框架允許對(duì)與GDPR相關(guān)的工作進(jìn)行分類(lèi)并集成在框架組件中，解決了大數(shù)據(jù)系統(tǒng)中的異構(gòu)性和多源數(shù)據(jù)分析的需求，但還需要大量的測(cè)試來(lái)平衡安全解決方案和性能開(kāi)銷(xiāo).

除此之外，法律建模方法[66-67]建議對(duì)監(jiān)管概念進(jìn)行建模以實(shí)現(xiàn)GDPR合規(guī)性，法律文本通常包含特定領(lǐng)域術(shù)語(yǔ)的定義、交叉引用和歧義，其可解釋性對(duì)于開(kāi)發(fā)人員可能具有挑戰(zhàn)性，公司通常使用法規(guī)評(píng)估工具來(lái)提升法律文本的可讀性，幫助組織了解其法律義務(wù).文獻(xiàn)[66]提出了一個(gè)描述GDPR原則的企業(yè)架構(gòu)模型(enterprise architecture models, EAM)，將GDPR法規(guī)形式化為遵循合規(guī)性原則的EAM片段并強(qiáng)調(diào)GDPR原則和義務(wù)之間的聯(lián)系，幫助組織積極履行法規(guī)義務(wù).同時(shí)，該方案在企業(yè)架構(gòu)的不同層次上對(duì)GDPR法規(guī)建模，解決單一方面建模的局限性.然而，現(xiàn)有的法律建模傾向于考慮特定法規(guī)，但在實(shí)際環(huán)境中企業(yè)將面臨諸多法規(guī)制約.文獻(xiàn)[67]提出了一個(gè)靈活的模塊化立法合規(guī)評(píng)估框架，該框架旨在支持多項(xiàng)立法，此外，該框架還擴(kuò)展了開(kāi)放數(shù)字版權(quán)語(yǔ)言(open digital rights language, ODRL)用于表達(dá)立法義務(wù)，這兩者都是邁向上下文內(nèi)容相關(guān)合規(guī)系統(tǒng)的重要一步，使系統(tǒng)可以輕松適應(yīng)不同的監(jiān)管領(lǐng)域.

合規(guī)檢查表、合規(guī)評(píng)估工具以及法律建模方法都能夠在不同程度上實(shí)現(xiàn)GDPR合規(guī)原則檢測(cè)，為檢查合規(guī)性和理解GDPR的影響提供指導(dǎo).

2.3.2 隱私設(shè)計(jì)框架模型

隱私設(shè)計(jì)是指在設(shè)計(jì)系統(tǒng)時(shí)需考慮到隱私問(wèn)題，即在處理方法的設(shè)計(jì)階段必須已經(jīng)考慮到所需的隱私保護(hù)問(wèn)題，與隱私相關(guān)的問(wèn)題應(yīng)該在設(shè)計(jì)層面解決，而不是在實(shí)施之后.這種方法通常被稱(chēng)為隱私設(shè)計(jì).在設(shè)計(jì)隱私框架時(shí)通常需要滿足GDPR的相關(guān)原則，如主體同意原則、透明度原則、真實(shí)性和準(zhǔn)確原則以及問(wèn)責(zé)原則等，以有效保障合規(guī)性.

文獻(xiàn)[68-69]基于GDPR基本隱私原則設(shè)計(jì)了滿足GDPR要求的隱私設(shè)計(jì)框架，以實(shí)現(xiàn)在源頭滿足GDPR合規(guī)性的方法.GDPR定義了問(wèn)責(zé)機(jī)制以保障個(gè)人數(shù)據(jù)的隱私，通過(guò)賦予個(gè)人對(duì)隱私數(shù)據(jù)的控制權(quán)來(lái)提升個(gè)人數(shù)據(jù)隱私權(quán)限.文獻(xiàn)[68]提出了一種滿足GDPR數(shù)據(jù)處理要求的隱私設(shè)計(jì)框架(privacyTracker)，該框架支持包括數(shù)據(jù)可追溯性在內(nèi)的GDPR基本原則，允許用戶(hù)從任意節(jié)點(diǎn)以不同索引方式遍歷引用來(lái)構(gòu)建跟蹤樹(shù)，即所有接收數(shù)據(jù)實(shí)體的樹(shù)狀記錄，跟蹤收集數(shù)據(jù)的披露情況，實(shí)現(xiàn)個(gè)人數(shù)據(jù)泄露問(wèn)責(zé)的同時(shí)評(píng)估數(shù)據(jù)完整性.這些隱私設(shè)計(jì)框架雖能有效保存和處理個(gè)人數(shù)據(jù)，但僅關(guān)注了局部的隱私原則，缺乏對(duì)隱私設(shè)計(jì)問(wèn)題的整體認(rèn)識(shí).文獻(xiàn)[69]依據(jù)GDPR基本原則為企業(yè)架構(gòu)提供模式庫(kù)、集成用例來(lái)實(shí)現(xiàn)GDPR合規(guī)性；通過(guò)對(duì)來(lái)源的檢索、識(shí)別實(shí)體對(duì)象并分析所需的業(yè)務(wù)流程來(lái)定義用例；選擇模式對(duì)應(yīng)的GDPR原則或創(chuàng)建新模式來(lái)確保信息系統(tǒng)符合GDPR.該方案能夠依據(jù)檢索模式實(shí)現(xiàn)滿足GDPR的隱私設(shè)計(jì)，融合多模式解決整體隱私設(shè)計(jì)問(wèn)題，具有良好的泛化能力.但同時(shí)，需要不斷更新模式庫(kù)，以滿足不斷出現(xiàn)的隱私設(shè)計(jì)問(wèn)題.

2.3.3 系統(tǒng)設(shè)計(jì)框架模型

GDPR的提出使得組織需要設(shè)計(jì)同時(shí)兼顧功能和隱私原則的系統(tǒng)模型.文獻(xiàn)[70-71]針對(duì)不同應(yīng)用場(chǎng)景設(shè)計(jì)系統(tǒng)框架以遵循GDPR原則.

社會(huì)技術(shù)安全(science,technologhy and society, STS)是一種設(shè)計(jì)安全復(fù)雜系統(tǒng)的方法，其中自主參與者和機(jī)器之間建立相互依賴(lài)關(guān)系通過(guò)交互和共享數(shù)據(jù)實(shí)現(xiàn)目標(biāo).文獻(xiàn)[70]提出了一種由建模語(yǔ)言和推理框架構(gòu)成的社會(huì)技術(shù)系統(tǒng)設(shè)計(jì)方法，通過(guò)建模識(shí)別參與者之間的依賴(lài)關(guān)系實(shí)現(xiàn)滿足GDPR的社會(huì)層面建模，并由推理框架自動(dòng)驗(yàn)證隱私政策合規(guī)性.

工業(yè)領(lǐng)域中識(shí)別或分析人類(lèi)行為的算法，有助于實(shí)現(xiàn)和增強(qiáng)人機(jī)協(xié)作，但數(shù)據(jù)主體隱私與工作流程有效性之間存在沖突.文獻(xiàn)[71]基于自動(dòng)化工業(yè)生產(chǎn)場(chǎng)景提出了符合GDPR自動(dòng)化服務(wù)的分布式隱私感知軟件架構(gòu)，在保證個(gè)人數(shù)據(jù)(personal data, PD)自動(dòng)化感知服務(wù)隱私性的同時(shí)，規(guī)定自動(dòng)化服務(wù)公司的義務(wù)和職責(zé).但適用范圍較為局限，需要與企業(yè)資源規(guī)劃和信息安全管理系統(tǒng)的協(xié)同作用.

在醫(yī)療行業(yè)這種依賴(lài)個(gè)人敏感信息(病例)的系統(tǒng)中，需要著重考慮數(shù)據(jù)處理的安全性.文獻(xiàn)[72]為電子健康記錄(electronic health records, EHR)提出一種可互操作的openEHR系統(tǒng)架構(gòu)，允許用戶(hù)實(shí)時(shí)接收數(shù)據(jù)并在同意的情況下共享數(shù)據(jù).該模型實(shí)現(xiàn)系統(tǒng)功能層和數(shù)據(jù)可追溯性、完整性和機(jī)密性相關(guān)需求，提供了開(kāi)發(fā)兼容衛(wèi)生系統(tǒng)的完整方法.同時(shí)，文獻(xiàn)[73]提出一個(gè)面向患者基于區(qū)塊鏈和快速醫(yī)療互操作性資源(fast healthcare interoperability resources, FHIR)的電子健康錢(qián)包(electronic health wallet, EHW)系統(tǒng)，和一個(gè)兼容GDPR法規(guī)的基于健康物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)的PHR系統(tǒng)框架.PHR系統(tǒng)可以兼顧數(shù)據(jù)隱私保護(hù)以及數(shù)據(jù)互操作性，鼓勵(lì)患者選擇性的共享數(shù)據(jù)，并以保護(hù)隱私的方式對(duì)物聯(lián)網(wǎng)健康數(shù)據(jù)進(jìn)行分析，進(jìn)一步解決了醫(yī)療系統(tǒng)設(shè)計(jì)中的互操作性及隱私保護(hù)問(wèn)題.但是，基于系統(tǒng)的設(shè)計(jì)框架需要平衡系統(tǒng)功能的可用性和數(shù)據(jù)主體隱私之間的關(guān)系，進(jìn)而有效遵循GDPR原則，針對(duì)不同系統(tǒng)實(shí)現(xiàn)模型設(shè)計(jì)的統(tǒng)一方案還未實(shí)現(xiàn).

2.3.4 小結(jié)

2.3節(jié)從現(xiàn)有的基于GDPR的模型框架的研究工作中，總結(jié)了4類(lèi)具有代表性的合規(guī)方法并針對(duì)每類(lèi)合規(guī)方法挑選出2種及以上代表性的研究工作，具體如表5所示.表5分別從合規(guī)方法、具體方式、分析對(duì)象以及使用領(lǐng)域多個(gè)角度進(jìn)行分析和討論.

Table 5 Comparison of Compliance Methods Based on the GDPR Model Framework

討論3.通過(guò)研究大量文獻(xiàn)，本節(jié)將GDPR模型框架分為合規(guī)性檢測(cè)框架、隱私設(shè)計(jì)框架以及系統(tǒng)設(shè)計(jì)框架3部分.其中，合規(guī)性檢測(cè)框架通過(guò)合規(guī)檢查表[59-61]、合規(guī)評(píng)估工具[62-65]以及法律建模[66-67]檢測(cè)GDPR的合規(guī)性.由文本擴(kuò)展[59]、通用語(yǔ)義模型[60]和數(shù)據(jù)隱私詞匯[61]構(gòu)成的合規(guī)檢查表通過(guò)建立概念與GDPR法規(guī)的映射關(guān)系，在一定程度上幫助組織實(shí)現(xiàn)合規(guī)性檢測(cè)，但其多依賴(lài)于人工實(shí)現(xiàn)，在實(shí)現(xiàn)效率和靈活度上有待考量.合規(guī)性評(píng)估工具基于數(shù)據(jù)保護(hù)技術(shù)[62-63]或滿足特定或孤立GDPR要求的工具集合[64-65]，評(píng)估GDPR的遵循情況進(jìn)而保障組織合規(guī)性.法律建模方法[66-67]對(duì)監(jiān)管概念建模，提高法律文本的可解釋性，以減輕組織GDPR合規(guī)性挑戰(zhàn).隱私設(shè)計(jì)框架[68-69]在設(shè)計(jì)層面基于GDPR基本原則設(shè)計(jì)隱私框架以保障隱私合規(guī).系統(tǒng)設(shè)計(jì)框架[70-73]針對(duì)不同場(chǎng)景設(shè)計(jì)兼顧系統(tǒng)功能可用性、效率和數(shù)據(jù)隱私的系統(tǒng)框架.

觀點(diǎn)3.針對(duì)合規(guī)性檢測(cè)框架多層架構(gòu)、多源數(shù)據(jù)和不同目的數(shù)據(jù)處理的需求，隱私設(shè)計(jì)框架構(gòu)建整體隱私設(shè)計(jì)框架的要求，以及系統(tǒng)設(shè)計(jì)框架平衡系統(tǒng)功能和數(shù)據(jù)隱私保護(hù)之間關(guān)系的問(wèn)題，本文通過(guò)對(duì)比和歸納現(xiàn)有研究工作發(fā)現(xiàn)：1)使用集成性和自動(dòng)化合規(guī)性檢測(cè)工具并通過(guò)具有明確組件的模塊化框架能夠快速解決概念合規(guī)、數(shù)據(jù)合規(guī)以及流程合規(guī)的挑戰(zhàn)，有效實(shí)現(xiàn)GDPR合規(guī)性；2)集成多種隱私設(shè)計(jì)模式方案的模式庫(kù)能夠?qū)崿F(xiàn)整體隱私設(shè)計(jì)需求，但需要與自動(dòng)化工具結(jié)合以實(shí)現(xiàn)高效的隱私設(shè)計(jì)；3)異構(gòu)性及其功能和隱私保護(hù)等級(jí)需求不同，使得現(xiàn)有研究工作并沒(méi)有提出滿足異構(gòu)系統(tǒng)的系統(tǒng)設(shè)計(jì)框架.

2.4 小 結(jié)

建立合理的合規(guī)性檢測(cè)框架，進(jìn)一步規(guī)范現(xiàn)有的隱私政策，并且采用普適性的高效檢測(cè)方法，才能達(dá)到GDPR的政策預(yù)期，保護(hù)公民的數(shù)據(jù)安全和隱私.本節(jié)分別從違規(guī)檢測(cè)手段、隱私政策設(shè)計(jì)和GDPR合規(guī)性模型框架等方面分析了推動(dòng)GDPR政策落實(shí)的技術(shù)手段，并加以概括總結(jié)，同時(shí)指出了進(jìn)一步的研究方向，圖7選擇部分代表性文獻(xiàn)展示了GDPR的合規(guī)性研究發(fā)展歷程.

Fig.7 The development of GDPR compliance testing

3 GDPR相關(guān)的技術(shù)應(yīng)用

3.1 基于GDPR的數(shù)據(jù)技術(shù)

GDPR指導(dǎo)了數(shù)據(jù)控制者和數(shù)據(jù)處理者如何對(duì)數(shù)據(jù)進(jìn)行合理的處置，但數(shù)據(jù)處理必然存在著一定的風(fēng)險(xiǎn)，為了降低數(shù)據(jù)處理的安全風(fēng)險(xiǎn)，需要制定相應(yīng)的保護(hù)措施.逐漸增多的跨境業(yè)務(wù)也為個(gè)人數(shù)據(jù)隱私增添了一份安全隱患，跨境流動(dòng)數(shù)據(jù)需要得到更有力的保護(hù).本節(jié)將從數(shù)據(jù)保護(hù)影響評(píng)估和數(shù)據(jù)跨境流動(dòng)2個(gè)方面探討GDPR相關(guān)的數(shù)據(jù)技術(shù)研究進(jìn)展.

3.1.1 數(shù)據(jù)保護(hù)影響評(píng)估

GDPR第35條規(guī)定當(dāng)個(gè)人數(shù)據(jù)處理的過(guò)程中可能會(huì)對(duì)個(gè)人權(quán)利和自由產(chǎn)生高風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者應(yīng)提前做好數(shù)據(jù)保護(hù)影響評(píng)估(data protection impact assessment, DPIA).DPIA建立在隱私影響評(píng)估(PIAs)的基礎(chǔ)上，是組織和企業(yè)必須履行的一項(xiàng)有關(guān)GDPR數(shù)據(jù)問(wèn)責(zé)制的關(guān)鍵義務(wù)，它可以幫助企業(yè)實(shí)現(xiàn)風(fēng)險(xiǎn)最小化，并幫助企業(yè)證明合規(guī)性.如果企業(yè)未能履行這項(xiàng)義務(wù)，則將面對(duì)極其嚴(yán)厲的處罰，包括高達(dá)1000萬(wàn)歐元的罰款，或者高達(dá)到2%的全球年?duì)I業(yè)額.

雖然GDPR對(duì)數(shù)據(jù)保護(hù)影響評(píng)估提出了相關(guān)要求，但是GDPR只規(guī)定了實(shí)施DPIA的最低標(biāo)準(zhǔn)，并沒(méi)有涉及明確的執(zhí)行方法[74].文獻(xiàn)[74-75]結(jié)合了德國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)采用的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)模型(standard data protection model, SDM)方法，文獻(xiàn)[74]設(shè)計(jì)了一種跨學(xué)科的風(fēng)險(xiǎn)評(píng)估方法，將DPIA過(guò)程分為了準(zhǔn)備、評(píng)估以及報(bào)告和保障3個(gè)階段，并提出了可用性、完整性、機(jī)密性、不可鏈接性、透明性和可干預(yù)性6個(gè)評(píng)估要素.文獻(xiàn)[75]就有關(guān)如何實(shí)施DPIA框架的問(wèn)題展開(kāi)了討論，并通過(guò)2個(gè)案例的分析總結(jié)，實(shí)現(xiàn)利用SDM的數(shù)據(jù)保護(hù)目標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行結(jié)構(gòu)化分析，未來(lái)也可以將這項(xiàng)工作納入SDM.文獻(xiàn)[76]在文獻(xiàn)[74]的基礎(chǔ)上對(duì)方法進(jìn)行了實(shí)踐，使用文獻(xiàn)[74]的方法實(shí)施DPIA，與12個(gè)組織展開(kāi)了合作，并分享了與公司合作實(shí)施以來(lái)積累的經(jīng)驗(yàn)，以及不同的利益相關(guān)者在實(shí)施DPIA時(shí)需要注意的事項(xiàng).

文獻(xiàn)[77-78]針對(duì)特定的DPIA實(shí)施環(huán)境進(jìn)行了分析.文獻(xiàn)[77]專(zhuān)門(mén)對(duì)慈善機(jī)構(gòu)及中小型企業(yè)展開(kāi)了研究，與其他組織不同的是，慈善機(jī)構(gòu)和中小型企業(yè)通常在財(cái)務(wù)和資源方面能力有限，因此在處理特殊類(lèi)型數(shù)據(jù)和個(gè)人身份數(shù)據(jù)的工作上缺乏專(zhuān)業(yè)性.文章展示了實(shí)施DPIA的示范過(guò)程及設(shè)計(jì)框架，并通過(guò)一家實(shí)際的慈善機(jī)構(gòu)進(jìn)行了驗(yàn)證，該框架同樣可以應(yīng)用于其他需要實(shí)施DPIA的組織.文獻(xiàn)[78]則主要針對(duì)IT系統(tǒng)，在系統(tǒng)開(kāi)發(fā)早期通過(guò)基于模型的隱私安全分析來(lái)實(shí)現(xiàn)DPIA，并通過(guò)3個(gè)工業(yè)案例研究對(duì)該方法進(jìn)行驗(yàn)證和評(píng)估.

因?yàn)楝F(xiàn)有的DPIA方法主要由分析師來(lái)進(jìn)行評(píng)估，所以很容易受到分析師的主觀影響，為了解決這個(gè)問(wèn)題，文獻(xiàn)[79]提出了一套有明確定義的標(biāo)準(zhǔn)用來(lái)幫助分析師評(píng)估隱私風(fēng)險(xiǎn)的影響和可能性，同時(shí)使用模糊多準(zhǔn)則決策方法來(lái)系統(tǒng)評(píng)估隱私威脅的嚴(yán)重程度并進(jìn)行建模.文獻(xiàn)[80]結(jié)合數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)和信息安全風(fēng)險(xiǎn)評(píng)估(information security risk assessment, ISRA)提出了一個(gè)信息安全風(fēng)險(xiǎn)評(píng)估模型pISRA，該模型為評(píng)估者提供了一個(gè)可以進(jìn)行比較和重復(fù)的評(píng)估方法，但是還沒(méi)有得到具體實(shí)現(xiàn).

小結(jié)：本節(jié)主要針對(duì)現(xiàn)有的數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)方法進(jìn)行了討論和分析，并給出了基于數(shù)據(jù)影響保護(hù)評(píng)估領(lǐng)域的一些觀點(diǎn).

討論4.目前大多數(shù)研究工作都集中在構(gòu)建DPIA實(shí)施框架及流程示范上，但有關(guān)DPIA框架的具體實(shí)現(xiàn)較少.部分研究工作針對(duì)一些特定的組織分析了DPIA實(shí)施環(huán)境，并對(duì)DPIA框架進(jìn)行了驗(yàn)證.除此之外分析師的主觀想法也會(huì)影響到DPIA流程，明確的標(biāo)準(zhǔn)和系統(tǒng)的評(píng)估能夠幫助DPIA的順利實(shí)施.

觀點(diǎn)4.由于GDPR沒(méi)有對(duì)DPIA的具體實(shí)施方法進(jìn)行詳細(xì)說(shuō)明，因此目前仍缺乏標(biāo)準(zhǔn)化的DPIA實(shí)施流程，同時(shí)每個(gè)領(lǐng)域需要解決的問(wèn)題不同，對(duì)于DPIA流程設(shè)計(jì)的需求也不盡相同，這給DPIA的實(shí)施帶來(lái)了很大的挑戰(zhàn).如何針對(duì)特定的領(lǐng)域設(shè)計(jì)專(zhuān)門(mén)的標(biāo)準(zhǔn)化DPIA程序仍需要進(jìn)一步研究.

3.1.2 數(shù)據(jù)跨境流動(dòng)安全

由于各國(guó)之間對(duì)于個(gè)人數(shù)據(jù)的相關(guān)法律要求不盡相同，比如歐盟的GDPR標(biāo)準(zhǔn)對(duì)于個(gè)人數(shù)據(jù)的保護(hù)十分嚴(yán)格，而中國(guó)的《數(shù)據(jù)安全法》出臺(tái)還沒(méi)多久，在個(gè)人數(shù)據(jù)的保護(hù)方面還較為薄弱，因此個(gè)人數(shù)據(jù)的跨境流動(dòng)會(huì)帶來(lái)較大的安全隱患.數(shù)據(jù)跨境流動(dòng)要注意數(shù)據(jù)合規(guī)性問(wèn)題，合規(guī)性驗(yàn)證對(duì)于保證業(yè)務(wù)流程的整個(gè)生命周期的安全性至關(guān)重要.

目前針對(duì)數(shù)據(jù)跨境安全領(lǐng)域的研究主要集中在政策解讀和模型架構(gòu)、技術(shù)支持方案以及醫(yī)療健康數(shù)據(jù)方面.

1)政策解讀和模型架構(gòu)

在數(shù)據(jù)跨境政策解讀和現(xiàn)有模型架構(gòu)方面，文獻(xiàn)[81]認(rèn)為GDPR不僅保護(hù)了數(shù)據(jù)基本權(quán)利，也促進(jìn)了個(gè)人數(shù)據(jù)自由流動(dòng)，這樣形成的分層數(shù)據(jù)保護(hù)制度的架構(gòu)保障了包括研究在內(nèi)的以不同的公共或經(jīng)濟(jì)利益為基礎(chǔ)進(jìn)行的數(shù)據(jù)處理活動(dòng)；而文獻(xiàn)[82]提出了GDPR標(biāo)準(zhǔn)在如何評(píng)估第三國(guó)制度數(shù)據(jù)保護(hù)水平等問(wèn)題上的缺失和不足，認(rèn)為可以確定一套實(shí)質(zhì)性要求以及第三國(guó)必須提供的支持性程序和執(zhí)行機(jī)制來(lái)確保其數(shù)據(jù)保護(hù)水平符合歐盟標(biāo)準(zhǔn).另外，在國(guó)內(nèi)也有大量法律、金融等領(lǐng)域的學(xué)者和專(zhuān)家對(duì)GDPR進(jìn)行了分析和研究，比如，文獻(xiàn)[83]指出GDPR客觀上對(duì)國(guó)際服務(wù)貿(mào)易規(guī)則產(chǎn)生了深遠(yuǎn)而廣泛的影響，其中包含的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則造成了數(shù)字封鎖，構(gòu)成了貿(mào)易障礙，企業(yè)和第三方滿足GDPR標(biāo)準(zhǔn)的數(shù)據(jù)合規(guī)要求困難重重，最終導(dǎo)致數(shù)據(jù)本地化是滿足GDPR合規(guī)要求的最佳選擇.文獻(xiàn)[84]將GDPR與當(dāng)前全球其他主要經(jīng)濟(jì)體的跨境數(shù)據(jù)流動(dòng)政策及其實(shí)踐進(jìn)行比較，分析了“數(shù)字主權(quán)”下全球跨境數(shù)據(jù)流動(dòng)政策的新動(dòng)向，從貿(mào)易框架探尋國(guó)際合作機(jī)制并由此提出對(duì)中國(guó)相關(guān)體系建設(shè)的建議.

不同國(guó)家和組織之間的差異是目前跨境數(shù)據(jù)流動(dòng)面臨的最大問(wèn)題，不同的政策措施也意味著不同的數(shù)據(jù)保護(hù)水平，因此，文獻(xiàn)[85]對(duì)各國(guó)及各組織在數(shù)據(jù)跨境流動(dòng)問(wèn)題上的現(xiàn)有政策和態(tài)度進(jìn)行了對(duì)比解讀，分析了在APEC、CBPR以及GDPR等多個(gè)標(biāo)準(zhǔn)協(xié)定之間建立互操作系統(tǒng)的潛在挑戰(zhàn)和影響，以及站在美國(guó)角度，提出了目前在數(shù)據(jù)跨境流動(dòng)問(wèn)題上還需要考慮和解決的一系列事項(xiàng).文獻(xiàn)[86]通過(guò)分析歐盟和美國(guó)的跨境數(shù)據(jù)保護(hù)政策，提出中國(guó)應(yīng)該繼續(xù)保護(hù)當(dāng)?shù)鼐用竦膫€(gè)人數(shù)據(jù)，同時(shí)，在考慮到互聯(lián)網(wǎng)帶來(lái)的巨大價(jià)值，中國(guó)應(yīng)該開(kāi)放非個(gè)人數(shù)據(jù)傳輸市場(chǎng)的建議.針對(duì)這些爭(zhēng)議和討論，文獻(xiàn)[87]提出一種通用交換數(shù)據(jù)模型(EDM)，該模型利用現(xiàn)有的開(kāi)放式歐洲標(biāo)準(zhǔn)和技術(shù)規(guī)范作為構(gòu)建塊，以更加內(nèi)聚和統(tǒng)一的方式描述一次性跨境消息交易.文獻(xiàn)[88]從中外數(shù)據(jù)本地化實(shí)踐中，抽象出描述數(shù)據(jù)本地化存儲(chǔ)的嚴(yán)苛度模型，并以目的和手段之間的適當(dāng)性和必要性為指針，構(gòu)建出一套“數(shù)據(jù)本地化存儲(chǔ)合理界限”理論，并從該理論出發(fā)，檢視中國(guó)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，給出基本評(píng)價(jià)并提出了數(shù)據(jù)跨境安全評(píng)估辦法的總體框架.

2)技術(shù)支持方案

跨境數(shù)據(jù)流動(dòng)亟待解決的問(wèn)題和需求已經(jīng)開(kāi)始催生新的技術(shù)支持方案.例如，文獻(xiàn)[89]引入隱私證書(shū)頒發(fā)機(jī)構(gòu)(certificate authority, CA)的概念，設(shè)計(jì)了一個(gè)多個(gè)隱私CA的訪問(wèn)控制層次模型，這些CA負(fù)責(zé)管理不同領(lǐng)域的法規(guī)，不僅可以控制不同國(guó)家的數(shù)據(jù)傳輸，還可以控制不同經(jīng)濟(jì)或政治集團(tuán)或城市的數(shù)據(jù)傳輸.另外，他們還將城鎮(zhèn)管理應(yīng)用程序作為iKaaS平臺(tái)的一個(gè)用例，介紹了該訪問(wèn)控制機(jī)制的工作原理.文獻(xiàn)[90]在GEO-TRUST項(xiàng)目中提出了一種稱(chēng)為偏移量證明(proof of offset, POO)的創(chuàng)新協(xié)議，以通過(guò)地理位置、責(zé)任、數(shù)據(jù)公開(kāi)最小化、數(shù)據(jù)語(yǔ)義注釋實(shí)現(xiàn)更高的控制和數(shù)據(jù)訪問(wèn)限制，從而保證跨域數(shù)據(jù)重用，并提高數(shù)據(jù)保護(hù)意識(shí)，以此來(lái)促進(jìn)數(shù)據(jù)交換、可信任性、同意管理、聲譽(yù)和安全的監(jiān)管.

隨著時(shí)代進(jìn)步和科學(xué)技術(shù)的不斷發(fā)展，區(qū)塊鏈系統(tǒng)提供了一個(gè)分散、不變和透明的架構(gòu)，可以將數(shù)據(jù)的所有權(quán)和控制權(quán)交還給用戶(hù)，實(shí)現(xiàn)可信和負(fù)責(zé)的數(shù)據(jù)共享，但對(duì)于數(shù)據(jù)共享等領(lǐng)域，區(qū)塊鏈網(wǎng)絡(luò)中仍存在不同的可擴(kuò)展性、安全性和潛在的隱私問(wèn)題，如鏈上數(shù)據(jù)隱私、數(shù)據(jù)源身份驗(yàn)證或遵守隱私法規(guī)，因此，文獻(xiàn)[91]提出了一種基于區(qū)跨鏈系統(tǒng)和密文策略屬性加密的隱私保護(hù)和用戶(hù)控制的數(shù)據(jù)共享架構(gòu)ThemisABE，該方案具有一對(duì)多數(shù)據(jù)加密和細(xì)粒度訪問(wèn)控制等特性，能解決數(shù)據(jù)共享的隱私安全和本地化問(wèn)題.針對(duì)跨境數(shù)據(jù)共享，文獻(xiàn)[92]提出了一個(gè)使用區(qū)塊鏈的跨訂單可問(wèn)責(zé)數(shù)據(jù)共享平臺(tái)，其中全球云構(gòu)建在不同國(guó)家設(shè)置的多個(gè)安全網(wǎng)關(guān)之上，分別使用包括5種算法來(lái)處理數(shù)據(jù)訪問(wèn)請(qǐng)求、數(shù)據(jù)共享、區(qū)塊鏈交易、檢測(cè)和懲罰行為不端的實(shí)體等問(wèn)題.文獻(xiàn)[93]針對(duì)GDPR下共享數(shù)據(jù)的安全性問(wèn)題部署了一種基于風(fēng)險(xiǎn)的評(píng)估方法來(lái)確定如何評(píng)估現(xiàn)有的數(shù)據(jù)匿名化技術(shù)，以此來(lái)與GDPR中的新數(shù)據(jù)類(lèi)型相協(xié)調(diào)；還進(jìn)一步開(kāi)發(fā)了一個(gè)基于機(jī)器學(xué)習(xí)的隱私風(fēng)險(xiǎn)挖掘框架，該框架由兩階段聚類(lèi)算法和隱私風(fēng)險(xiǎn)樹(shù)模型組成，可以用于檢測(cè)發(fā)布新凈化數(shù)據(jù)集的記錄鏈接風(fēng)險(xiǎn)；此外，文獻(xiàn)[93]不僅為數(shù)據(jù)控制者提出了一個(gè)隱私管理框架以提高區(qū)塊鏈技術(shù)差異私有數(shù)據(jù)共享的效用和安全性，還提出了另一個(gè)結(jié)合區(qū)塊鏈和同態(tài)加密的框架，以外包集中式匿名服務(wù)幫助數(shù)據(jù)所有者與多個(gè)數(shù)據(jù)控制者之間共享數(shù)據(jù).除了區(qū)塊鏈技術(shù)，文獻(xiàn)[94]為了讓任何非結(jié)構(gòu)化數(shù)據(jù)云存儲(chǔ)系統(tǒng)都必須滿足跨境數(shù)據(jù)流法規(guī)遵從性的要求，還使用深度學(xué)習(xí)模型將駐留在統(tǒng)一文件和對(duì)象存儲(chǔ)中的數(shù)據(jù)分類(lèi)為個(gè)人信息，以及在集群文件系統(tǒng)級(jí)別實(shí)現(xiàn)地理圍欄功能，以此來(lái)規(guī)范分類(lèi)個(gè)人信息的跨境數(shù)據(jù)流.另外，在Web服務(wù)方面，文獻(xiàn)[95]設(shè)計(jì)了一種測(cè)量方法，用來(lái)量化跨境的大規(guī)模跟蹤流量，測(cè)量結(jié)果顯示，大部分的跟蹤流量都會(huì)在歐盟境內(nèi)終止，也就是跟蹤流量還在GDPR規(guī)則的管轄之下.文獻(xiàn)[96]全面總結(jié)了有關(guān)第三方網(wǎng)站跟蹤的政策及技術(shù)研究，來(lái)幫助決策者制定更加安全的解決方案.在移動(dòng)應(yīng)用方面，文獻(xiàn)[97]針對(duì)安卓應(yīng)用程序的數(shù)據(jù)跨境傳輸制定了合規(guī)評(píng)估標(biāo)準(zhǔn)，并設(shè)計(jì)了合規(guī)性評(píng)檢測(cè)方法，并用此方法對(duì)100個(gè)常用的安卓應(yīng)用程序進(jìn)行了評(píng)估，發(fā)現(xiàn)有高達(dá)66%的應(yīng)用程序存在著跨境合規(guī)問(wèn)題.

3)醫(yī)療健康數(shù)據(jù)

在醫(yī)療數(shù)據(jù)方面，為了實(shí)現(xiàn)更好的醫(yī)療服務(wù)，患者的跨境移動(dòng)、遠(yuǎn)程醫(yī)療和醫(yī)療研究的交流都給數(shù)據(jù)安全帶來(lái)了極大的挑戰(zhàn)，為此文獻(xiàn)[98]借助私人區(qū)塊鏈搭建了用于評(píng)估的平臺(tái)，通過(guò)推薦最佳的安全策略來(lái)為業(yè)務(wù)和應(yīng)用系統(tǒng)量身定制防御措施.文獻(xiàn)[99]介紹了可自動(dòng)識(shí)別風(fēng)險(xiǎn)的系統(tǒng)安全建模器(system security modeller, SSM)，并以歐盟內(nèi)部的跨國(guó)醫(yī)療數(shù)據(jù)交換為場(chǎng)景進(jìn)行了講解，該工具可以在系統(tǒng)設(shè)計(jì)的同時(shí)檢測(cè)合規(guī)性，當(dāng)出現(xiàn)不符合合規(guī)性的情況時(shí)還會(huì)計(jì)算出對(duì)整個(gè)體系結(jié)構(gòu)的影響.文獻(xiàn)[100]針對(duì)跨境電子身份認(rèn)證保護(hù)進(jìn)行了討論，并建議通過(guò)假名化和選擇性披露的方法使電子身份識(shí)別的互操作性框架達(dá)到要求的數(shù)據(jù)保護(hù)級(jí)別.為實(shí)現(xiàn)有效的跨訂單醫(yī)療保健供應(yīng)，歐盟發(fā)布了OpenNCP平臺(tái)來(lái)解決國(guó)家間衛(wèi)生信息交換中的互操作性問(wèn)題，針對(duì)其中存在的一些安全問(wèn)題，文獻(xiàn)[101]在OpenNCP的基礎(chǔ)上進(jìn)行擴(kuò)展并詳細(xì)描述了KONFIDON項(xiàng)目方法以及如何通過(guò)結(jié)合互補(bǔ)的安全增強(qiáng)技術(shù)來(lái)部署該方法，以達(dá)到最終提高電子健康數(shù)據(jù)交換的信任和安全性.文獻(xiàn)[102]提出了一種實(shí)現(xiàn)破壞性日志記錄的新方法，即一種用于在OpenNCP上跨境交換電子健康數(shù)據(jù)的審計(jì)機(jī)制，在OpenNCP基礎(chǔ)設(shè)施內(nèi)提供可追溯性和責(zé)任支持.文獻(xiàn)[103]提出一種訪問(wèn)控制方案，該方案允許請(qǐng)求數(shù)據(jù)和服務(wù)的消息在發(fā)送方和接收方驗(yàn)證安全問(wèn)題后跨不同的區(qū)域或國(guó)家節(jié)點(diǎn)，它可以拒絕那些被檢測(cè)為惡意的訪問(wèn)請(qǐng)求；并通過(guò)放置在發(fā)送方和接收方的威脅檢測(cè)軟件的明確反饋來(lái)抑制許可消息流，以此來(lái)提高在分布式系統(tǒng)如OpenNCP下運(yùn)行的跨境健康數(shù)據(jù)訪問(wèn)的安全性；并使用一個(gè)分析模型來(lái)評(píng)估了安全系統(tǒng)造成的開(kāi)銷(xiāo).考慮到醫(yī)院中數(shù)據(jù)和軟件使用的異構(gòu)性和高度敏感性所帶來(lái)的具體限制和批評(píng)，文獻(xiàn)[104]提出了一種為醫(yī)療信息系統(tǒng)執(zhí)行DPIA的方法，通過(guò)支持風(fēng)險(xiǎn)評(píng)估和管理，該方法可以應(yīng)用于在醫(yī)療環(huán)境中執(zhí)行DPIA以維護(hù)醫(yī)療保健信息系統(tǒng)的安全性.針對(duì)系統(tǒng)的互操作性問(wèn)題，文獻(xiàn)[105]也給出了解決方案，它設(shè)計(jì)了用于醫(yī)療保健行業(yè)的工業(yè)4.0模型，并集成了不同的工具，如同意管理器和數(shù)據(jù)隱藏工具，來(lái)確保醫(yī)療體系的隱私性.

4)小結(jié)

3.1.2節(jié)針對(duì)現(xiàn)有的數(shù)據(jù)跨境流動(dòng)安全領(lǐng)域的研究工作進(jìn)行了總結(jié)和討論，并給出了數(shù)據(jù)跨境流動(dòng)研究領(lǐng)域的一些觀點(diǎn).

討論5.3.1.2節(jié)從數(shù)據(jù)跨境領(lǐng)域出發(fā)，分別介紹了國(guó)內(nèi)外專(zhuān)家學(xué)者對(duì)于當(dāng)前多個(gè)經(jīng)濟(jì)體的政策的解讀和模型架構(gòu)的分析、以及應(yīng)運(yùn)而生的新技術(shù)、新方法，另外也單獨(dú)從醫(yī)療數(shù)據(jù)角度出發(fā)介紹其跨境安全和現(xiàn)有方案.不管是GDPR對(duì)歐盟數(shù)據(jù)保護(hù)起到的積極作用，還是其掣肘發(fā)展和交流的消極影響，都說(shuō)明目前各個(gè)經(jīng)濟(jì)體針對(duì)數(shù)據(jù)跨境的制度和政策都有一定的局限性.此外，不管是框架還是技術(shù)方案，目前都還處于研究階段，而數(shù)據(jù)跨境安全體系建設(shè)勢(shì)必要落實(shí)到實(shí)踐中去，既要考慮其適配性和合理性，也要不斷從實(shí)踐和反饋結(jié)果中發(fā)現(xiàn)問(wèn)題并提出解決和提升的方案.此外，目前的有效技術(shù)方案較少，層次相較于普通數(shù)據(jù)共享方案也沒(méi)有明顯的融入數(shù)據(jù)跨境需求，缺少針對(duì)性探討和研究.個(gè)人健康數(shù)據(jù)在跨境過(guò)程中的隱私性和安全性確實(shí)需要得到重視，但其他領(lǐng)域的數(shù)據(jù)也需要相應(yīng)的研究和評(píng)估，這是目前研究領(lǐng)域存在的短板和不足.

觀點(diǎn)5.目前不同國(guó)家的數(shù)據(jù)跨境政策之間的差異較大，且安全和發(fā)展側(cè)重點(diǎn)不同，以至于短期內(nèi)很難在全球范圍內(nèi)形成統(tǒng)一且高效的跨境數(shù)據(jù)治理監(jiān)管體系，也就無(wú)法應(yīng)對(duì)未來(lái)發(fā)展帶來(lái)的大規(guī)模數(shù)據(jù)跨境安全需求問(wèn)題.目前世界各大經(jīng)濟(jì)體都在致力于探尋符合自身利益的數(shù)據(jù)跨境方案和界限，但缺少交流協(xié)商尋求全球共識(shí)的契機(jī).技術(shù)工具和框架建設(shè)不應(yīng)止步于個(gè)人健康數(shù)據(jù)，經(jīng)濟(jì)、政治、科技等領(lǐng)域也是國(guó)家有序健康發(fā)展的重要?jiǎng)恿?，不同的?shù)據(jù)擁有不同的敏感性和安全級(jí)別，相應(yīng)的就會(huì)在跨境的各個(gè)環(huán)節(jié)產(chǎn)生不同等級(jí)保護(hù)措施的要求，中國(guó)現(xiàn)如今已經(jīng)逐漸形成統(tǒng)一的數(shù)據(jù)分類(lèi)分級(jí)制度，相關(guān)技術(shù)方案可以以此為研究角度進(jìn)行設(shè)計(jì)、改進(jìn)和升級(jí).

3.2 GDPR合規(guī)應(yīng)用場(chǎng)景

GDPR的出臺(tái)確保了數(shù)據(jù)主體的數(shù)據(jù)隱私安全，為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者之間搭建起了一座信任的橋梁，特別是數(shù)據(jù)流動(dòng)頻繁、數(shù)據(jù)敏感度高的應(yīng)用場(chǎng)景，GDPR的合規(guī)性顯得尤為重要.本節(jié)分別針對(duì)區(qū)塊鏈、物聯(lián)網(wǎng)、電子健康及其他領(lǐng)域(教育、生物特征識(shí)別)等不同的應(yīng)用場(chǎng)景對(duì)GDPR合規(guī)性進(jìn)行探討.

本文選擇區(qū)塊鏈、物聯(lián)網(wǎng)等應(yīng)用領(lǐng)域進(jìn)行分析和討論，主要有3點(diǎn)原因：1)通過(guò)對(duì)現(xiàn)有研究工作的梳理發(fā)現(xiàn)，現(xiàn)有的基于GDPR的數(shù)據(jù)隱私安全研究成果主要集中在這幾個(gè)領(lǐng)域，有必要對(duì)其進(jìn)行單獨(dú)調(diào)研分析.2)目前大多數(shù)的區(qū)塊鏈應(yīng)用都不符合GDPR標(biāo)準(zhǔn)，區(qū)塊鏈的永久存儲(chǔ)不可更改的特性使得區(qū)塊鏈的合規(guī)性變得困難.同時(shí)，物聯(lián)網(wǎng)設(shè)備之間傳輸?shù)臄?shù)據(jù)量大且類(lèi)型復(fù)雜，其中不乏大量的用戶(hù)個(gè)人敏感信息，一旦設(shè)備遭到攻擊將可能造成十分嚴(yán)重的數(shù)據(jù)泄露事故.3)生物特征數(shù)據(jù)屬于GDPR規(guī)定的特殊類(lèi)別數(shù)據(jù)，非特殊情況不得處理，因此作為當(dāng)今社會(huì)重要的生產(chǎn)要素，生物特征數(shù)據(jù)的隱私安全不可輕視.學(xué)術(shù)研究需要用到大量的研究數(shù)據(jù)，如何確保這些數(shù)據(jù)的合規(guī)性，將在很大程度上關(guān)系到學(xué)術(shù)研究能否順利開(kāi)展.但目前有關(guān)生物特征數(shù)據(jù)和學(xué)術(shù)研究領(lǐng)域的研究工作較少，因此本文將其歸納到其他領(lǐng)域進(jìn)行探討.

3.2.1 區(qū)塊鏈合規(guī)領(lǐng)域

區(qū)塊鏈技術(shù)具有分散性、透明性、可追溯性、不變性的特性，消除了個(gè)人數(shù)據(jù)的集中化，為數(shù)據(jù)的管理和存儲(chǔ)提供了很大的幫助.但GDPR的出臺(tái)也為區(qū)塊鏈技術(shù)帶來(lái)了新的挑戰(zhàn)，為了了解區(qū)塊鏈領(lǐng)域是否能夠有效應(yīng)對(duì)GDPR帶來(lái)的合規(guī)問(wèn)題，文獻(xiàn)[106]對(duì)區(qū)塊鏈系統(tǒng)做了一項(xiàng)分析調(diào)查，調(diào)查包含了區(qū)塊鏈系統(tǒng)的開(kāi)發(fā)商和服務(wù)提供商公開(kāi)發(fā)布的法律文件及官方的Twitter賬戶(hù)推文.然而調(diào)查結(jié)果不容樂(lè)觀，雖然GDPR已經(jīng)頒布了3年并實(shí)施了一年，但在區(qū)塊鏈領(lǐng)域仍然存在著如何解決GDPR合規(guī)性的嚴(yán)峻挑戰(zhàn).調(diào)查顯示，在314個(gè)區(qū)塊鏈系統(tǒng)中只有86個(gè)(27.5%)系統(tǒng)涉及到了GDPR，且僅有27個(gè)(8.6%)系統(tǒng)有關(guān)于GDPR合規(guī)性的確切的法律文件.因此，要解決區(qū)塊鏈技術(shù)與GDPR合規(guī)性之間的問(wèn)題仍然任重道遠(yuǎn).

本節(jié)將從數(shù)據(jù)責(zé)任和來(lái)源追蹤、數(shù)據(jù)管理和數(shù)據(jù)擦除3方面來(lái)討論區(qū)塊鏈技術(shù)為GDPR的合規(guī)性提供的助力以及其產(chǎn)生的阻礙.

1)數(shù)據(jù)責(zé)任和來(lái)源追蹤

雖然GDPR出臺(tái)后對(duì)擁有信息的服務(wù)提供商提出了更嚴(yán)格的要求，但服務(wù)提供商能否一直堅(jiān)守高要求還是一個(gè)變數(shù)，數(shù)據(jù)的收集和處理過(guò)程仍缺乏透明度，用戶(hù)無(wú)法了解自己的數(shù)據(jù)流向了哪里，被用在何處.區(qū)塊鏈技術(shù)為此提供了合適的解決方案[33,107-110]，通過(guò)分布式賬本來(lái)記錄服務(wù)提供商的所有數(shù)據(jù)活動(dòng)，這樣一旦服務(wù)提供商違反GDPR標(biāo)準(zhǔn)，他們的行為將會(huì)被記錄在案.通過(guò)區(qū)塊鏈技術(shù)可以實(shí)現(xiàn)數(shù)據(jù)流動(dòng)的透明度，增進(jìn)個(gè)人數(shù)據(jù)利益相關(guān)方之間的信任.

文獻(xiàn)[107]為云存儲(chǔ)應(yīng)用設(shè)計(jì)了云數(shù)據(jù)溯源架構(gòu)Provchain，該架構(gòu)將數(shù)據(jù)操作的歷史記錄散列到Merkle樹(shù)節(jié)點(diǎn)中，并鏈接到區(qū)塊鏈上，生成防篡改的數(shù)據(jù)記錄以供驗(yàn)證，實(shí)現(xiàn)云數(shù)據(jù)的透明性.文獻(xiàn)[33,108-110]則利用了基于區(qū)塊鏈的智能合約技術(shù)實(shí)現(xiàn)了數(shù)據(jù)來(lái)源的追蹤和記錄，通過(guò)智能合約捕獲服務(wù)提供商和用戶(hù)之間的交易條件，而無(wú)需第三方的參與，既實(shí)現(xiàn)了去中心化，又能夠降低成本.文獻(xiàn)[108]設(shè)計(jì)實(shí)現(xiàn)了2個(gè)具有不同粒度和可伸縮性的模型，其中第一個(gè)由數(shù)據(jù)主體為每個(gè)接受數(shù)據(jù)的控制器部署訪問(wèn)控制策略，第二個(gè)則由數(shù)據(jù)控制器部署策略來(lái)讓數(shù)據(jù)主體加入.但文獻(xiàn)[108-110]只提出了相應(yīng)的概念框架，并沒(méi)有涉及更詳細(xì)的技術(shù)細(xì)節(jié).文獻(xiàn)[33]為合規(guī)的基于區(qū)塊鏈的個(gè)人數(shù)據(jù)管理平臺(tái)提供了詳細(xì)的技術(shù)機(jī)制，他們?cè)贖yperledger Fabric區(qū)塊鏈框架之上開(kāi)發(fā)了基于業(yè)務(wù)連續(xù)性的個(gè)人數(shù)據(jù)管理系統(tǒng)，證明了概念的可行性.

文獻(xiàn)[109]具體說(shuō)明了如何將一組GDPR規(guī)則轉(zhuǎn)換為智能合約中的操作代碼，使物聯(lián)網(wǎng)設(shè)備實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)的自動(dòng)驗(yàn)證.該方法不僅可以應(yīng)用于物聯(lián)網(wǎng)場(chǎng)景，還可應(yīng)用于云系統(tǒng)或其他的服務(wù)場(chǎng)景[110].未來(lái)還可以在公共許可區(qū)塊鏈或私有區(qū)塊鏈上實(shí)現(xiàn)設(shè)計(jì)的抽象模型[109].

2)數(shù)據(jù)管理

GDPR規(guī)定數(shù)據(jù)主體要對(duì)個(gè)人數(shù)據(jù)的流向知情并予以同意，還要以易于理解的方式對(duì)個(gè)人數(shù)據(jù)進(jìn)行控制.基于區(qū)塊鏈技術(shù)的同意管理平臺(tái)[111-118]可以幫助用戶(hù)理解同意申請(qǐng)并輕松地管理同意許可，確保了用戶(hù)對(duì)于其個(gè)人數(shù)據(jù)的控制權(quán).在GDPR出臺(tái)之前，文獻(xiàn)[111]就針對(duì)個(gè)人數(shù)據(jù)隱私問(wèn)題，將區(qū)塊鏈作為自動(dòng)化訪問(wèn)控制管理器，設(shè)計(jì)了基于區(qū)塊鏈的個(gè)人數(shù)據(jù)管理系統(tǒng).GDPR出臺(tái)后，文獻(xiàn)[112-122]也利用區(qū)塊鏈技術(shù)提出了各自的解決方法.

文獻(xiàn)[112]針對(duì)在線社交網(wǎng)絡(luò)現(xiàn)有的同意管理機(jī)制與GDPR的規(guī)定進(jìn)行了比較分析，并確定了其中存在的風(fēng)險(xiǎn)，作者建議設(shè)計(jì)基于區(qū)塊鏈的同意管理模型為在線社交網(wǎng)絡(luò)用戶(hù)提供所需的透明度.文獻(xiàn)[113]設(shè)計(jì)了一個(gè)個(gè)人數(shù)據(jù)管理系統(tǒng)BPDIMS，該系統(tǒng)以用戶(hù)為中心，最大限度地實(shí)現(xiàn)了用戶(hù)對(duì)個(gè)人數(shù)據(jù)的控制，并通過(guò)個(gè)人數(shù)據(jù)的貨幣化提升了用戶(hù)對(duì)于個(gè)人數(shù)據(jù)價(jià)值的認(rèn)知，使用戶(hù)能夠在分享個(gè)人數(shù)據(jù)的同時(shí)獲取金錢(qián)收益.文獻(xiàn)[114]利用區(qū)塊鏈技術(shù)為用戶(hù)提供了一個(gè)輕量級(jí)管理系統(tǒng)，該系統(tǒng)可以顯示服務(wù)提供商有關(guān)個(gè)人數(shù)據(jù)的協(xié)議.文獻(xiàn)[114]通過(guò)對(duì)控制器和處理器進(jìn)行識(shí)別來(lái)區(qū)分2種同意許可，解決了其他文獻(xiàn)并沒(méi)有將數(shù)據(jù)收集和數(shù)據(jù)處理2方面的許可區(qū)分開(kāi)來(lái)的問(wèn)題，未來(lái)還可以為系統(tǒng)增加可視化圖形界面來(lái)方便用戶(hù)的管理.

文獻(xiàn)[115]結(jié)合了加密技術(shù)，保證了同意管理系統(tǒng)的隱私性，并且為公司設(shè)計(jì)了代理應(yīng)用程序，該程序會(huì)定期查詢(xún)區(qū)塊鏈，更新有關(guān)的同意狀態(tài)，并以發(fā)布-訂閱的形式告知相關(guān)的服務(wù)，使其能夠及時(shí)做出反應(yīng).該文獻(xiàn)首次實(shí)現(xiàn)了使公司服務(wù)與數(shù)據(jù)主體的動(dòng)態(tài)同意許可之間保持實(shí)時(shí)同步.

文獻(xiàn)[112-115]僅進(jìn)行了基于區(qū)塊鏈的概念設(shè)計(jì)，并沒(méi)有進(jìn)行概念驗(yàn)證，文獻(xiàn)[116-118]則分別在不同的區(qū)塊鏈上開(kāi)發(fā)了相應(yīng)的系統(tǒng).文獻(xiàn)[116]借助語(yǔ)義網(wǎng)和以太坊區(qū)塊鏈構(gòu)建了自動(dòng)驗(yàn)證數(shù)據(jù)合規(guī)性的系統(tǒng)，當(dāng)數(shù)據(jù)分享給第三方時(shí)，該系統(tǒng)能夠強(qiáng)制執(zhí)行GDPR規(guī)則.但該系統(tǒng)僅使用了以太坊區(qū)塊鏈，未來(lái)還可以在更多的區(qū)塊鏈框架上進(jìn)行探索.文獻(xiàn)[117]則通過(guò)Hyperledger Fabric框架實(shí)現(xiàn)了概念驗(yàn)證，設(shè)計(jì)了一個(gè)同意管理模型，利用區(qū)塊鏈技術(shù)為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者提供了交互的工具，并維護(hù)了數(shù)據(jù)主體的權(quán)力.文獻(xiàn)[118]提出了一個(gè)數(shù)據(jù)安全共享方案，將智能合約設(shè)置為訪問(wèn)控制列表，并為不同的對(duì)象設(shè)計(jì)了4種智能合約，文中探討了哪些數(shù)據(jù)是不可變類(lèi)型且可以存儲(chǔ)在區(qū)塊鏈的數(shù)據(jù)，并對(duì)該方案在不同區(qū)塊鏈平臺(tái)下的性能進(jìn)行了測(cè)試.

不同于其他系統(tǒng)的單鏈結(jié)構(gòu)，文獻(xiàn)[119]設(shè)計(jì)了一種新穎的雙層區(qū)塊鏈結(jié)構(gòu)，開(kāi)發(fā)了用戶(hù)權(quán)限管理系統(tǒng)Soteria，該系統(tǒng)可以同時(shí)滿足分布式系統(tǒng)CAP定理中一致性(C)、可用性(A)和分區(qū)容忍性(P)3個(gè)屬性，其中主鏈滿足了可用性和分區(qū)容忍性，側(cè)鏈滿足了一致性和可用性，保證了系統(tǒng)的透明性、可證明性和可擴(kuò)展性.除了雙層區(qū)塊鏈的分布式賬本模塊，該系統(tǒng)還包括用戶(hù)權(quán)限管理模塊URM和審計(jì)跟蹤模塊ATS.但由于側(cè)鏈將塊散列到主鏈上的頻率會(huì)影響到整個(gè)系統(tǒng)的延遲和吞吐量，因此Soteria的鏈間管理策略還需要進(jìn)一步的調(diào)整優(yōu)化.

基于區(qū)塊鏈技術(shù)的自我主權(quán)身份(self-sovereign identity, SSI)[120]也是實(shí)現(xiàn)數(shù)據(jù)的完全控制的一種途徑.區(qū)塊鏈技術(shù)使得身份管理(identity management, IdM)系統(tǒng)由傳統(tǒng)的集中化的方法逐漸向開(kāi)放、分散的自我主權(quán)身份轉(zhuǎn)變.自我主權(quán)身份系統(tǒng)通過(guò)結(jié)合分布式分類(lèi)賬本技術(shù)和加密技術(shù)來(lái)創(chuàng)建不可篡改的身份記錄，實(shí)現(xiàn)了用戶(hù)對(duì)個(gè)人數(shù)據(jù)的完全控制權(quán)[121].文獻(xiàn)[122-124]研究了現(xiàn)有的自我主權(quán)身份技術(shù)方案，并對(duì)SSI系統(tǒng)與GDPR原則的兼容性進(jìn)行了分析.

文獻(xiàn)[122]對(duì)現(xiàn)有的3種區(qū)塊鏈身份管理系統(tǒng)uPort,Sovrin和ShoCard進(jìn)行了分析，并指出了它們存在的缺陷，提出了新型身份管理系統(tǒng)DNS-IdM，該系統(tǒng)可以通過(guò)自主身份管理實(shí)現(xiàn)去中心化.文獻(xiàn)[123]對(duì)基于公共無(wú)許可的uPort和基于公共許可的Sovrin兩種不同類(lèi)型的身份管理系統(tǒng)進(jìn)行了比較，發(fā)現(xiàn)Sovrin區(qū)塊鏈系統(tǒng)更加符合GDPR的大部分要求，因?yàn)镾ovrin生態(tài)系統(tǒng)包含一個(gè)治理模型，且由可信組織聯(lián)盟管理.除了uPort和Sovrin系統(tǒng)之外，文獻(xiàn)[124]還分析了在公共無(wú)許可的以太坊區(qū)塊鏈上應(yīng)用的Jolocom框架，并討論了SSI與GDPR標(biāo)準(zhǔn)之間的一致性.

3)數(shù)據(jù)擦除

GDPR第17條規(guī)定了數(shù)據(jù)主體的被遺忘權(quán)，即當(dāng)滿足一定的條件時(shí)，數(shù)據(jù)主體有權(quán)要求刪除自己的個(gè)人數(shù)據(jù).用戶(hù)需要合適的機(jī)制確保他們能夠選擇自己想要的服務(wù)，當(dāng)他們不需要這種服務(wù)時(shí)也能夠完美地退出，例如當(dāng)用戶(hù)想要退出某種服務(wù)時(shí)，服務(wù)提供商需要?jiǎng)h除用戶(hù)使用該服務(wù)的所有歷史記錄[113].但是區(qū)塊鏈的不變性意味著數(shù)據(jù)一旦存儲(chǔ)在區(qū)塊鏈上就不能再被刪除或者改變，因此如何實(shí)現(xiàn)區(qū)塊鏈數(shù)據(jù)的擦除成為了一項(xiàng)亟待解決的挑戰(zhàn).在先前有關(guān)區(qū)塊鏈的GDPR合規(guī)性問(wèn)題的文章中，討論的最多的問(wèn)題也是有關(guān)數(shù)據(jù)刪除和修改的規(guī)定[125].文獻(xiàn)[125]綜合研究了有關(guān)使用區(qū)塊鏈技術(shù)進(jìn)行身份管理的文獻(xiàn)，探討了區(qū)塊鏈在遵守GDPR的要求方面存在的優(yōu)點(diǎn)及產(chǎn)生的矛盾，尤其是區(qū)塊鏈的不變性與GDPR的被遺忘權(quán)之間存在的沖突.

比較常見(jiàn)的方法有針對(duì)區(qū)塊鏈的離線數(shù)據(jù)存儲(chǔ)解決方案[126-130].離線存儲(chǔ)即構(gòu)建鏈外數(shù)據(jù)庫(kù)用來(lái)存儲(chǔ)個(gè)人數(shù)據(jù)，區(qū)塊鏈上則僅保存指向?qū)?yīng)的個(gè)人數(shù)據(jù)存儲(chǔ)位置的散列數(shù)據(jù)指針.文獻(xiàn)[126]將個(gè)人身份信息與非個(gè)人身份信息分開(kāi)存儲(chǔ)，個(gè)人身份信息存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中，而非個(gè)人身份信息以及個(gè)人身份信息的哈希則存儲(chǔ)在區(qū)塊鏈中.文獻(xiàn)[127]詳細(xì)討論了有關(guān)區(qū)塊鏈的鏈外功能集成的方法，并提出了一個(gè)概念框架實(shí)現(xiàn)鏈外結(jié)構(gòu)與傳統(tǒng)區(qū)塊鏈技術(shù)的結(jié)合.

由于區(qū)塊鏈上的數(shù)據(jù)會(huì)在許多節(jié)點(diǎn)被復(fù)制，導(dǎo)致了數(shù)據(jù)的大量冗余，因此在區(qū)塊鏈存儲(chǔ)個(gè)人數(shù)據(jù)是不現(xiàn)實(shí)的.如今分布式文件系統(tǒng)(distributed file system, DFS)越來(lái)越多地應(yīng)用于區(qū)塊鏈技術(shù)，用來(lái)解決區(qū)塊鏈技術(shù)與GDPR中的被遺忘權(quán)之間的沖突，優(yōu)異的可擴(kuò)展性及內(nèi)容尋址能力使DFS系統(tǒng)成為替代傳統(tǒng)區(qū)塊鏈存儲(chǔ)的新方向[128].文獻(xiàn)[129]提出了一個(gè)在星際文件系統(tǒng)(inter planetary file system, IPFS)中應(yīng)用的匿名委托擦除協(xié)議，該協(xié)議可以輕松地集成到IPFS中，使IPFS符合被遺忘權(quán)的要求并被認(rèn)可其合規(guī)性.協(xié)議規(guī)定只有原始數(shù)據(jù)的提供者或其代表才能對(duì)數(shù)據(jù)進(jìn)行擦除，發(fā)出的擦除請(qǐng)求會(huì)傳至所有的IPFS節(jié)點(diǎn)，且所需的開(kāi)銷(xiāo)并不會(huì)影響系統(tǒng)的性能.文獻(xiàn)[130]對(duì)IPFS,Sia和一種專(zhuān)有服務(wù)3種不同的DFS方法進(jìn)行了評(píng)估，發(fā)現(xiàn)3種方法展現(xiàn)了不同的性能，當(dāng)出現(xiàn)一定的過(guò)載情況時(shí)，專(zhuān)有服務(wù)的響應(yīng)和可靠性會(huì)優(yōu)于另外2種方法.雖然離線存儲(chǔ)有效地解決了區(qū)塊鏈的數(shù)據(jù)存儲(chǔ)問(wèn)題，但此種方法實(shí)際上破壞了區(qū)塊鏈的分散性，同時(shí)也需要可信的數(shù)據(jù)管理機(jī)構(gòu)[131].

文獻(xiàn)[132]開(kāi)創(chuàng)了另一種可行的解決方法，利用變色龍哈希函數(shù)(Chameleon Hash)構(gòu)建可編輯區(qū)塊鏈，傳統(tǒng)哈希函數(shù)的抗碰撞性保證了區(qū)塊鏈的不變性，變色龍哈希利用陷門(mén)可以輕松地找到哈希碰撞，從而對(duì)區(qū)塊鏈任意塊中的內(nèi)容進(jìn)行重寫(xiě).該系統(tǒng)擴(kuò)展了變色龍哈希函數(shù)與區(qū)塊鏈的兼容性，可以與所有流行的區(qū)塊鏈兼容.文獻(xiàn)[133]在文獻(xiàn)[132]的基礎(chǔ)上結(jié)合基于密文策略屬性的加密(CP-ABE)方法，提出了新的基于政策的變色龍哈希(PCH)的概念，實(shí)現(xiàn)了對(duì)區(qū)塊鏈?zhǔn)聞?wù)級(jí)重寫(xiě)的細(xì)粒度控制.為了解決文獻(xiàn)[133]的方法可能面臨惡意攻擊的問(wèn)題，文獻(xiàn)[134]限制了修改者重寫(xiě)特權(quán)，修改者最多只能修改k次，次數(shù)由中央機(jī)構(gòu)定義，除此之外加入了惡意行為懲罰機(jī)制，修改者在授權(quán)期間需要在鏈中存入押金，一旦發(fā)生任何惡意行為，中央機(jī)構(gòu)可以提取押金.由于PCH機(jī)制需要一個(gè)完全可信的中央機(jī)構(gòu)，文獻(xiàn)[135]針對(duì)這一弱點(diǎn)提出了去中心化的解決方案DPCH，并通過(guò)基于RSA加密算法的變色龍散列和BLS短簽名進(jìn)行了實(shí)例化.

除了離線存儲(chǔ)和變色龍哈希的方法之外，文獻(xiàn)[136]提出了一種不同于側(cè)鏈的解決方法，他們采用樹(shù)的結(jié)構(gòu)構(gòu)建區(qū)塊鏈，根據(jù)業(yè)務(wù)上下文將交易分到線性子鏈中，這種方法的優(yōu)點(diǎn)在于當(dāng)其中一個(gè)線性子鏈被刪除時(shí)不會(huì)影響到其他子鏈.文獻(xiàn)[137]運(yùn)用設(shè)計(jì)科學(xué)研究(design science research, DSR)的方法設(shè)計(jì)了一個(gè)概念原型解決了刪除區(qū)塊鏈數(shù)據(jù)的問(wèn)題，建議在一定的時(shí)間過(guò)后自動(dòng)刪除區(qū)塊鏈中的數(shù)據(jù)，來(lái)實(shí)現(xiàn)區(qū)塊鏈與GDPR的兼容性.但該方法的前提是需要區(qū)塊鏈所有的節(jié)點(diǎn)都能有足夠的誠(chéng)信，而且因?yàn)閯h除的時(shí)間是預(yù)定的，所以該方案并不能滿足用戶(hù)能夠隨時(shí)刪除數(shù)據(jù)的要求.相比于文獻(xiàn)[137]的方法，文獻(xiàn)[131]的方法則完全不需要修改區(qū)塊鏈，文章利用了假名數(shù)據(jù)的法律屬性，即只有當(dāng)假名數(shù)據(jù)能夠與個(gè)人身份聯(lián)系起來(lái)時(shí)才能被當(dāng)作個(gè)人數(shù)據(jù).文獻(xiàn)[131]通過(guò)假名生成算法為安全使用日志設(shè)計(jì)了假名供應(yīng)系統(tǒng)，該系統(tǒng)會(huì)為每一個(gè)新塊提供一個(gè)一次性的交易假名來(lái)保證GDPR的合規(guī)性.

4)小結(jié)

3.2.1節(jié)闡述了現(xiàn)有的區(qū)塊鏈GDPR合規(guī)性的研究工作進(jìn)展，并對(duì)3類(lèi)具有代表性的合規(guī)性問(wèn)題以及相應(yīng)的合規(guī)性方法進(jìn)行了總結(jié)和討論，具體如表6所示.

Table 6 Compliance Issues and Approaches of Blockchain

討論6.目前有關(guān)區(qū)塊鏈合規(guī)性問(wèn)題的文獻(xiàn)主要集中在數(shù)據(jù)問(wèn)責(zé)、數(shù)據(jù)管理以及數(shù)據(jù)的刪除和修改上，其中有關(guān)數(shù)據(jù)的刪除和修改的討論最多.區(qū)塊鏈提供的智能合約、自我主權(quán)身份等技術(shù)，能夠幫助企業(yè)更好地實(shí)現(xiàn)GDPR的合規(guī)性.而針對(duì)區(qū)塊鏈如何進(jìn)行數(shù)據(jù)刪除和修改的問(wèn)題，較為廣泛的方法是離線數(shù)據(jù)存儲(chǔ)，將數(shù)據(jù)存儲(chǔ)在鏈外數(shù)據(jù)庫(kù)中，區(qū)塊鏈上保存數(shù)據(jù)的散列指針.除此之外，上下文鏈、遺忘區(qū)塊鏈、假名數(shù)據(jù)等方法也可以用來(lái)實(shí)現(xiàn)數(shù)據(jù)的刪除和修改.

觀點(diǎn)6.區(qū)塊鏈為個(gè)人數(shù)據(jù)隱私安全提供助力的同時(shí)也帶來(lái)了相應(yīng)的安全風(fēng)險(xiǎn).區(qū)塊鏈的不變性成為GDPR的被遺忘權(quán)與區(qū)塊鏈之間難以調(diào)和的矛盾，如何解決區(qū)塊鏈與GDPR之間的沖突是一個(gè)值得探索的方向.

3.2.2 物聯(lián)網(wǎng)平臺(tái)合規(guī)領(lǐng)域

物聯(lián)網(wǎng)中設(shè)備繁多，數(shù)據(jù)量大，數(shù)據(jù)流動(dòng)頻繁，個(gè)人數(shù)據(jù)隱私時(shí)刻都有遭受侵犯的風(fēng)險(xiǎn)，因此如何實(shí)現(xiàn)物聯(lián)網(wǎng)的GDPR合規(guī)性是一個(gè)亟待解決的難題.GDPR標(biāo)準(zhǔn)在涉及較多用戶(hù)的應(yīng)用領(lǐng)域的影響更為明顯，尤其是基于服務(wù)的物聯(lián)網(wǎng)場(chǎng)景如智能醫(yī)療、智慧城市等.文獻(xiàn)[138-143]致力于為用戶(hù)提供數(shù)據(jù)同意管理平臺(tái)以實(shí)現(xiàn)數(shù)據(jù)隱私保護(hù).文獻(xiàn)[138]開(kāi)發(fā)了物聯(lián)網(wǎng)管理平臺(tái)ADVOCATE，該平臺(tái)以用戶(hù)為中心，幫助用戶(hù)輕松管理物聯(lián)網(wǎng)系統(tǒng)中有關(guān)個(gè)人數(shù)據(jù)訪問(wèn)的同意請(qǐng)求，同時(shí)也幫助數(shù)據(jù)控制者能夠遵循GDPR的原則進(jìn)行活動(dòng).文獻(xiàn)[139]提出了Privysharing框架，將區(qū)塊鏈技術(shù)應(yīng)用到智慧城市場(chǎng)景中，將數(shù)據(jù)分成不同的類(lèi)型，并通過(guò)不同的通道處理數(shù)據(jù)，實(shí)現(xiàn)了物聯(lián)網(wǎng)數(shù)據(jù)的安全共享，實(shí)驗(yàn)證明多通道系統(tǒng)比單通道系統(tǒng)的可擴(kuò)展性更好，文章還設(shè)計(jì)了獎(jiǎng)勵(lì)機(jī)制以激勵(lì)用戶(hù)分享個(gè)人數(shù)據(jù).文獻(xiàn)[140]為物聯(lián)網(wǎng)智能家居平臺(tái)提供了一個(gè)同意管理器，管理器將復(fù)雜事件處理(comples event processing, CEP)與邊緣計(jì)算結(jié)合在一起，復(fù)雜事件處理負(fù)責(zé)數(shù)據(jù)流動(dòng)的控制，邊緣計(jì)算則負(fù)責(zé)為復(fù)雜事件提供安全策略.

在智能醫(yī)療領(lǐng)域，文獻(xiàn)[144-145]探討了新實(shí)施的GDPR法規(guī)給醫(yī)療領(lǐng)域帶來(lái)的變化.文獻(xiàn)[144]針對(duì)移動(dòng)醫(yī)療應(yīng)用方面，提出了將GDPR關(guān)鍵規(guī)則集成到移動(dòng)應(yīng)用程序中的可視化方法，但該研究還未經(jīng)過(guò)真實(shí)的場(chǎng)景測(cè)試.文獻(xiàn)[145]通過(guò)文獻(xiàn)計(jì)量學(xué)和科學(xué)計(jì)量學(xué)的方法對(duì)醫(yī)療領(lǐng)域有關(guān)GDPR研究的熱點(diǎn)進(jìn)行了可視化分析，分析揭示了目前的研究熱詞是數(shù)據(jù)保護(hù)、隱私和大數(shù)據(jù)，區(qū)塊鏈和機(jī)器學(xué)習(xí)成為了GDPR研究的新方向.

對(duì)于更為敏感、數(shù)據(jù)交換頻率也更低的醫(yī)療數(shù)據(jù)，可以采用粒度更細(xì)的解決方案[141-143].文獻(xiàn)[141]針對(duì)用戶(hù)的動(dòng)態(tài)健康數(shù)據(jù)設(shè)計(jì)了一個(gè)數(shù)據(jù)共享系統(tǒng)，該系統(tǒng)結(jié)合了區(qū)塊鏈技術(shù)和云存儲(chǔ)技術(shù)，為大型數(shù)據(jù)集提供了離線存儲(chǔ)的方法，解決了區(qū)塊鏈無(wú)法存儲(chǔ)大量數(shù)據(jù)的問(wèn)題，并添加了數(shù)據(jù)質(zhì)量驗(yàn)證模塊來(lái)控制數(shù)據(jù)的質(zhì)量.文獻(xiàn)[142]設(shè)計(jì)了一種用于物聯(lián)網(wǎng)電子健康系統(tǒng)的GDPR控制器，能夠讓用戶(hù)通過(guò)細(xì)粒度的訪問(wèn)控制策略完全控制自己的個(gè)人數(shù)據(jù)，當(dāng)非法訪問(wèn)的情況發(fā)生時(shí)還能及時(shí)收到通知.文獻(xiàn)[143]提出了數(shù)據(jù)安全共享方案MedSBA，利用私有區(qū)塊鏈來(lái)實(shí)現(xiàn)云存儲(chǔ)醫(yī)療數(shù)據(jù)的訪問(wèn)控制策略，提供對(duì)醫(yī)療數(shù)據(jù)的細(xì)粒度訪問(wèn)和共享過(guò)程中的安全保障.文獻(xiàn)[146]在容器的虛擬化技術(shù)和分布式賬本技術(shù)的基礎(chǔ)上搭建了一個(gè)云服務(wù)架構(gòu)，容器技術(shù)用于數(shù)據(jù)的監(jiān)控；分布式賬本如區(qū)塊鏈、智能合約等則用來(lái)記錄對(duì)數(shù)據(jù)的操作，該架構(gòu)在網(wǎng)上藥店的場(chǎng)景中進(jìn)行了驗(yàn)證，并可以推廣到更多的醫(yī)療場(chǎng)景.

文獻(xiàn)[147]分析了物聯(lián)網(wǎng)電子健康領(lǐng)域面臨的安全挑戰(zhàn)，并設(shè)計(jì)了一個(gè)完整的架構(gòu)來(lái)為中老年人提供更加安全的醫(yī)療服務(wù)；介紹了有關(guān)環(huán)境輔助生活(ambient assisted living, AAL)和移動(dòng)醫(yī)療2種應(yīng)用程序的設(shè)計(jì)和實(shí)現(xiàn).文獻(xiàn)[148]建議對(duì)醫(yī)療數(shù)據(jù)處理進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)管理和錯(cuò)誤管理，以防止醫(yī)療項(xiàng)目因合作者沒(méi)能正確處理數(shù)據(jù)導(dǎo)致的人為失誤.

小結(jié)：3.2.2節(jié)針對(duì)現(xiàn)有的物聯(lián)網(wǎng)領(lǐng)域的GDPR合規(guī)性研究工作進(jìn)行了總結(jié)和討論，并給出了物聯(lián)網(wǎng)GDPR合規(guī)領(lǐng)域的一些觀點(diǎn).

討論7.3.2.2節(jié)主要從智慧城市[138-140]和智能醫(yī)療[141-148]2個(gè)應(yīng)用場(chǎng)景分析了物聯(lián)網(wǎng)領(lǐng)域在GDPR合規(guī)性方面的研究進(jìn)展.數(shù)據(jù)同意管理平臺(tái)的建立保證了物聯(lián)網(wǎng)系統(tǒng)的合規(guī)性，高效的身份驗(yàn)證和細(xì)粒度的訪問(wèn)控制也進(jìn)一步為物聯(lián)網(wǎng)數(shù)據(jù)共享提供了隱私保護(hù).一些研究工作聚焦在了將區(qū)塊鏈技術(shù)應(yīng)用于物聯(lián)網(wǎng)的課題上，并結(jié)合數(shù)據(jù)加密、云存儲(chǔ)、容器虛擬化等技術(shù)為物聯(lián)網(wǎng)用戶(hù)數(shù)據(jù)提供安全保障.

觀點(diǎn)7.目前主要的研究方向主要是為物聯(lián)網(wǎng)開(kāi)發(fā)實(shí)現(xiàn)數(shù)據(jù)的安全共享.通過(guò)對(duì)現(xiàn)有研究工作的歸納分析，本文發(fā)現(xiàn)：1)對(duì)于用戶(hù)眾多數(shù)據(jù)龐大的物聯(lián)網(wǎng)應(yīng)用場(chǎng)景，開(kāi)發(fā)一個(gè)保護(hù)用戶(hù)隱私的數(shù)據(jù)管理控制平臺(tái)是很有必要的，考慮到物聯(lián)網(wǎng)資源受限的設(shè)備，平臺(tái)最好能夠?qū)崿F(xiàn)輕量化.2)區(qū)塊鏈技術(shù)為物聯(lián)網(wǎng)系統(tǒng)的合規(guī)性提供了很大的助力，未來(lái)還可以將邊緣計(jì)算引入?yún)^(qū)塊鏈系統(tǒng)，以減輕物聯(lián)網(wǎng)終端節(jié)點(diǎn)的維護(hù)壓力.3)目前有關(guān)物聯(lián)網(wǎng)合規(guī)性的研究工作大多都集中于概念架構(gòu)的設(shè)計(jì)，還未能投入物聯(lián)網(wǎng)系統(tǒng)，且應(yīng)用場(chǎng)景較為單一，如何將合規(guī)方法推廣到更多的應(yīng)用場(chǎng)景還有待進(jìn)一步探索.

3.2.3 其他合規(guī)領(lǐng)域

1)生物特征識(shí)別領(lǐng)域

GDPR引入了一種新的個(gè)人數(shù)據(jù)類(lèi)別——生物數(shù)據(jù)，即通過(guò)與自然人的身體、生理或行為特征相關(guān)的特定技術(shù)處理產(chǎn)生的個(gè)人數(shù)據(jù)，這些數(shù)據(jù)可以確認(rèn)自然人獨(dú)一無(wú)二的身份，如面部圖像或指紋.這種生物特征數(shù)據(jù)被廣泛用于考勤或門(mén)禁系統(tǒng).

對(duì)于生物特征數(shù)據(jù)的立法是很有必要的，但即使在歐盟內(nèi)部，成員國(guó)之間也未能在生物特征數(shù)據(jù)的使用方面達(dá)成一致意見(jiàn)，各國(guó)對(duì)此的法律要求各不相同，導(dǎo)致GDPR在生物數(shù)據(jù)方面的要求無(wú)法實(shí)現(xiàn)[149]，因此仍需要從法律和技術(shù)方面繼續(xù)分析這一問(wèn)題.文獻(xiàn)[150]總結(jié)了法律界和技術(shù)界的專(zhuān)家們對(duì)于GDPR對(duì)語(yǔ)音數(shù)據(jù)影響的看法，由于目前法律界和技術(shù)界還無(wú)法達(dá)成共識(shí)，因此作者提出了分類(lèi)法的方案以實(shí)現(xiàn)語(yǔ)音技術(shù)與隱私立法之間的協(xié)調(diào).文獻(xiàn)[151]對(duì)智能語(yǔ)音設(shè)備的隱私問(wèn)題進(jìn)行了詳細(xì)的研究，作者對(duì)市場(chǎng)上流行的亞馬遜Echo設(shè)備進(jìn)行了測(cè)試，發(fā)現(xiàn)設(shè)備存在著很大的安全風(fēng)險(xiǎn)，在沒(méi)有安全措施的情況下，用戶(hù)的個(gè)人數(shù)據(jù)很容易遭到泄露.作者在文中提出了一系列降低安全風(fēng)險(xiǎn)的建議，并指出通過(guò)語(yǔ)音識(shí)別的生物特征控制可以成功阻止未授權(quán)的人訪問(wèn)設(shè)備數(shù)據(jù).

除此之外，某些類(lèi)型的軟生物特征如情緒反應(yīng)等，同樣會(huì)帶來(lái)數(shù)據(jù)隱私方面的威脅，甚至不亞于用于識(shí)別的生物特征的威脅，但這樣的特征并不受GDPR規(guī)則的保護(hù)[152].因此關(guān)于GDPR生物數(shù)據(jù)相關(guān)的內(nèi)容仍需要更加系統(tǒng)化的定義.

2)學(xué)術(shù)研究領(lǐng)域

在學(xué)術(shù)研究領(lǐng)域，由于GDPR的合規(guī)性引起的有關(guān)受試者的數(shù)據(jù)隱私問(wèn)題，使研究人員而不得不望而卻步，甚至直接放棄有涉及到歐盟受試者的研究.尤其是數(shù)據(jù)密集型研究離不開(kāi)物聯(lián)網(wǎng)的支持，但GDPR的出臺(tái)為研究帶來(lái)了風(fēng)險(xiǎn)，因此文獻(xiàn)[153]討論了如何使學(xué)術(shù)環(huán)境下的物聯(lián)網(wǎng)數(shù)據(jù)研究符合數(shù)據(jù)隱私標(biāo)準(zhǔn)的問(wèn)題，確定了3個(gè)信任原則，并實(shí)現(xiàn)了一種物聯(lián)網(wǎng)數(shù)據(jù)研究的可信架構(gòu).教育研究領(lǐng)域也同樣受到了來(lái)自GDPR的影響，例如招收歐盟學(xué)生的at-scale教育項(xiàng)目在研究中就遇到了GDPR合規(guī)性帶來(lái)的困難[154].因此文獻(xiàn)[154]對(duì)他們面臨的挑戰(zhàn)進(jìn)行了總結(jié)，并提出了一些解決方案，如了解GDPR的法律細(xì)節(jié)、及時(shí)與法律團(tuán)隊(duì)合作、提前征求潛在受試者的同意等.

4 挑戰(zhàn)與機(jī)遇

在深入調(diào)研現(xiàn)階段基于GDPR合規(guī)性研究現(xiàn)狀，以及總結(jié)GDPR相關(guān)的技術(shù)應(yīng)用研究現(xiàn)狀的基礎(chǔ)上，指出了基于GDPR的數(shù)據(jù)隱私安全面臨的十大挑戰(zhàn)，并給出了可用于應(yīng)對(duì)這些挑戰(zhàn)的潛在安全技術(shù)研究方向，其對(duì)應(yīng)關(guān)系如表7所示:

Table 7 Challenges and Opportunities of Data Privacy Security Based on GDPR

4.1 軟件合規(guī)性檢測(cè)

對(duì)于資源相對(duì)匱乏的中小企業(yè)來(lái)說(shuō)，無(wú)論是遵守GDPR還是對(duì)已開(kāi)發(fā)的應(yīng)用軟件進(jìn)行GDPR合規(guī)性檢測(cè)都是一個(gè)較大的挑戰(zhàn).但如果有一套在軟件開(kāi)發(fā)之初就能實(shí)現(xiàn)GDPR合規(guī)性的開(kāi)發(fā)規(guī)則，以設(shè)計(jì)和默認(rèn)來(lái)實(shí)現(xiàn)數(shù)據(jù)保護(hù)，就可以大大減少資源的浪費(fèi).文獻(xiàn)[155]曾提出在需求工程期間解決這個(gè)問(wèn)題，并打算基于NLP的自動(dòng)化方法來(lái)實(shí)現(xiàn).目前，對(duì)于這方面的研究才剛剛開(kāi)始，實(shí)現(xiàn)這種挑戰(zhàn)仍待安全研究人員進(jìn)一步探索.

4.2 GDPR合規(guī)性審計(jì)

由于監(jiān)管機(jī)構(gòu)的合規(guī)性審計(jì)是不定期進(jìn)行的，并且個(gè)人用戶(hù)也無(wú)法感知服務(wù)商是否有效保護(hù)了他們的個(gè)人數(shù)據(jù)，更無(wú)法感知服務(wù)商何時(shí)何處對(duì)他們同意的數(shù)據(jù)進(jìn)行處理和利用.基于此類(lèi)問(wèn)題，一個(gè)潛在的研究方向是使用技術(shù)手段來(lái)提高企業(yè)訪問(wèn)用戶(hù)數(shù)據(jù)的透明度使得用戶(hù)可以感知，并且讓違規(guī)行為不可篡改以便于監(jiān)管機(jī)構(gòu)進(jìn)行執(zhí)法.區(qū)塊鏈和智能合約技術(shù)可以在一定程度上解決這個(gè)問(wèn)題，分布式賬本保證了所有的數(shù)據(jù)活動(dòng)不可篡改，而智能合約可以保證觸發(fā)違規(guī)行為之后不可撤銷(xiāo)，違反GDPR規(guī)則的行為會(huì)被自動(dòng)報(bào)告.文獻(xiàn)[33,156-157]將區(qū)塊鏈和智能合約技術(shù)應(yīng)用到GDPR的規(guī)范中，目前智能合約技術(shù)在GDPR合規(guī)性檢測(cè)方面的應(yīng)用尚處于起步階段，值得進(jìn)一步的研究.

4.3 針對(duì)第三方跟蹤服務(wù)的流量分析

移動(dòng)應(yīng)用系統(tǒng)中開(kāi)發(fā)者會(huì)出于盈利目的整合具有強(qiáng)隱蔽性的第三方服務(wù)，用戶(hù)往往無(wú)法察覺(jué)這類(lèi)服務(wù)的存在，更不用說(shuō)知道這些服務(wù)能夠在多大程度上收集、關(guān)聯(lián)和匯總他們的個(gè)人數(shù)據(jù).盡管此類(lèi)情況因GDPR的出臺(tái)加以改善，但是由于應(yīng)用市場(chǎng)包含了數(shù)以百萬(wàn)計(jì)的應(yīng)用，很難大規(guī)模地執(zhí)行這些法規(guī)，并且由于第三方跟蹤服務(wù)的不透明性和開(kāi)發(fā)者的授權(quán)，很難發(fā)現(xiàn)和追蹤第三方服務(wù)的行為.更進(jìn)一步的，GDPR只是規(guī)定了對(duì)用戶(hù)數(shù)據(jù)的收集和處理必須基于明確的用戶(hù)同意，并沒(méi)有限制這些第三方跟蹤機(jī)構(gòu)對(duì)數(shù)據(jù)的共享和銷(xiāo)售.基于這種情況，現(xiàn)階段在流量層面上對(duì)應(yīng)用程序進(jìn)行分析，研究應(yīng)用程序和第三方跟蹤服務(wù)之間的交互過(guò)程依然是非常有必要的，如何高效地對(duì)大量跟蹤流量進(jìn)行精準(zhǔn)的識(shí)別和分析依然是未來(lái)的一大挑戰(zhàn).

4.4 隱私政策語(yǔ)料庫(kù)的擴(kuò)建

對(duì)隱私政策的分析研究多采用監(jiān)督學(xué)習(xí)技術(shù)，這類(lèi)技術(shù)的準(zhǔn)確度都是大量可靠的數(shù)據(jù)集訓(xùn)練得來(lái)的.數(shù)據(jù)集的標(biāo)注又是一個(gè)耗時(shí)耗力的工作過(guò)程，需要大量具備專(zhuān)業(yè)知識(shí)的人員耐心整理.業(yè)內(nèi)工作者對(duì)數(shù)據(jù)集寬度與深度的持續(xù)要求，意味著要不斷投入大量人力資源.那么是否可以利用對(duì)比學(xué)習(xí)、自注意力機(jī)制等無(wú)監(jiān)督學(xué)習(xí)技術(shù)降低人力的投入，達(dá)到合理有效的利用社會(huì)資源目的.這樣只需要一部分?jǐn)?shù)據(jù)科學(xué)家對(duì)網(wǎng)上收集的大量的法律法規(guī)文件進(jìn)行清理，再將這些文件用于預(yù)訓(xùn)練.此外，因預(yù)訓(xùn)練時(shí)的文件資料可包括多國(guó)語(yǔ)言信息，使用這類(lèi)方法獲得的模型具備良好的多模態(tài)基礎(chǔ)，可通過(guò)巧妙的設(shè)置下游任務(wù)，實(shí)現(xiàn)多語(yǔ)言合規(guī)性的并行檢測(cè).

4.5 異構(gòu)系統(tǒng)設(shè)計(jì)框架

開(kāi)發(fā)人員在設(shè)計(jì)系統(tǒng)模型框架時(shí)考慮GDPR原則有助于幫助企業(yè)更好的處理個(gè)人數(shù)據(jù)并保障個(gè)人數(shù)據(jù)隱私.但當(dāng)前的系統(tǒng)框架多基于不同應(yīng)用場(chǎng)景、基于部分個(gè)人數(shù)據(jù)保護(hù)原則設(shè)計(jì)，存在一定的局限性，并且如何平衡系統(tǒng)功能的有效性和GDPR隱私保護(hù)的合規(guī)性仍然是一個(gè)問(wèn)題.分布式多層次的系統(tǒng)框架能夠?qū)崿F(xiàn)分化隱私保護(hù)等級(jí)并兼顧多項(xiàng)GDPR原則，盡管現(xiàn)有研究已經(jīng)實(shí)現(xiàn)了基于部分GDPR原則的分布式框架設(shè)計(jì)，但面對(duì)大數(shù)據(jù)環(huán)境下系統(tǒng)的異構(gòu)性和多源數(shù)據(jù)，如何設(shè)計(jì)分布式多層次的系統(tǒng)框架組件，實(shí)現(xiàn)系統(tǒng)性能的提升以及數(shù)據(jù)隱私的保護(hù)，還需要進(jìn)一步加以研究.

4.6 隱私設(shè)計(jì)框架模型

在設(shè)計(jì)隱私框架時(shí)需盡可能多的考慮GDPR相關(guān)法規(guī)原則，以實(shí)現(xiàn)從源頭保障組織的合規(guī)性，進(jìn)而減少企業(yè)的經(jīng)濟(jì)損失.然而，現(xiàn)有隱私設(shè)計(jì)框架雖能有效保存和處理個(gè)人數(shù)據(jù)，但僅關(guān)注部分GDPR原則問(wèn)題，缺乏對(duì)隱私設(shè)計(jì)整體的認(rèn)識(shí).盡管采用構(gòu)建模式庫(kù)的方法檢索模式實(shí)現(xiàn)滿足GDPR的隱私設(shè)計(jì)，解決了整體隱私設(shè)計(jì)問(wèn)題，但需要不斷更新模式庫(kù)滿足不斷變化的設(shè)計(jì)要求.因此設(shè)計(jì)集成化隱私框架，仍然需要研究人員進(jìn)一步探索.

4.7 DPIA程序設(shè)計(jì)指南

有效的DPIA方法能夠幫助企業(yè)在早期階段識(shí)別并解決問(wèn)題，使企業(yè)的安全風(fēng)險(xiǎn)最小化.但GDPR只提供了DPIA的相關(guān)標(biāo)準(zhǔn)，在如何實(shí)施DPIA方面并沒(méi)有給出明確的DPIA模板.如何為每家企業(yè)提供可行的DPIA方法成為了當(dāng)今的一大難題，尤其對(duì)于資源有限的企業(yè)來(lái)說(shuō)，專(zhuān)業(yè)指導(dǎo)的缺失會(huì)使企業(yè)難以設(shè)計(jì)適合自身的DPIA流程，因此需要針對(duì)不同領(lǐng)域設(shè)計(jì)專(zhuān)門(mén)的標(biāo)準(zhǔn)化的DPIA程序，幫助企業(yè)建立自己的DPIA模板.

4.8 數(shù)據(jù)跨境國(guó)內(nèi)外制度體系建設(shè)

我國(guó)目前在跨境數(shù)據(jù)領(lǐng)域的管理體系還在起步階段，相關(guān)指南和標(biāo)準(zhǔn)尚處于起草和征詢(xún)意見(jiàn)的階段，這不僅需要不同領(lǐng)域的專(zhuān)家和研究人員針對(duì)不同敏感程度的數(shù)據(jù)制定相應(yīng)的保護(hù)等級(jí)分劃方案和具體說(shuō)明來(lái)指導(dǎo)不同的數(shù)據(jù)操作，還需要不斷完善整個(gè)數(shù)據(jù)管理體系.此外，不同國(guó)家或組織擁有的不同的法律規(guī)制意味著不同水平的跨境數(shù)據(jù)保護(hù)水平，這在很大程度上阻礙了數(shù)據(jù)的跨境流動(dòng)，因此，如何最大限度降低國(guó)家之間政策差異導(dǎo)致的影響以及如何在數(shù)據(jù)跨境領(lǐng)域形成統(tǒng)一的國(guó)際規(guī)制，在保障我國(guó)重要數(shù)據(jù)安全性的同時(shí)更好地促進(jìn)以數(shù)據(jù)為載體的國(guó)際交流和合作是目前亟待解決的問(wèn)題.

4.9 數(shù)據(jù)跨境安全技術(shù)完善升級(jí)

數(shù)據(jù)跨境相比傳統(tǒng)的數(shù)據(jù)操作具有步驟更加繁瑣，風(fēng)險(xiǎn)因素更加多變和復(fù)雜，安全問(wèn)題影響更深和代價(jià)更大等特點(diǎn)，因此，傳統(tǒng)安全技術(shù)方案也需要得到相應(yīng)的升級(jí)；另外，我國(guó)在數(shù)據(jù)跨境領(lǐng)域的風(fēng)險(xiǎn)評(píng)估體系也在積極建設(shè)，急需通過(guò)研究分析數(shù)據(jù)跨境流動(dòng)潛在的風(fēng)險(xiǎn)因素并提前部署相關(guān)措施以便在支持?jǐn)?shù)據(jù)健康流動(dòng)的同時(shí)更好地保障跨境數(shù)據(jù)在整個(gè)周期的安全性.

4.10 實(shí)現(xiàn)區(qū)塊鏈數(shù)據(jù)擦除

區(qū)塊鏈的不變性可以為數(shù)據(jù)處理提供防篡改的記錄，增強(qiáng)數(shù)據(jù)處理的透明度，但區(qū)塊鏈的不變性意味著區(qū)塊鏈不允許進(jìn)行任何的修改，這一點(diǎn)并不符合GDPR有關(guān)數(shù)據(jù)修改和刪除的規(guī)定，尤其是第17條規(guī)定的被遺忘權(quán).現(xiàn)有的解決方法有離線數(shù)據(jù)存儲(chǔ)、遺忘區(qū)塊鏈、變色龍哈希等，但這些方法仍然需要借助可信的第三方來(lái)實(shí)現(xiàn)區(qū)塊鏈的合規(guī)性，無(wú)法提供完全的隱私安全保證.若想要區(qū)塊鏈技術(shù)在GDPR合規(guī)方面發(fā)揮更大的效用，則需要解決這一難題.因此如何設(shè)計(jì)更有效的方法解決區(qū)塊鏈的不變性與GDPR被遺忘權(quán)之間的沖突將會(huì)是未來(lái)的一個(gè)研究熱點(diǎn).

5 對(duì)中國(guó)的啟示

GDPR作為個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的一部重要的法律規(guī)定，有著非常典型的示范意義.受其域外適用效力的影響，全球范圍內(nèi)的眾多跨國(guó)企業(yè)的數(shù)據(jù)安全都面臨了很大的挑戰(zhàn).中國(guó)在數(shù)據(jù)安全領(lǐng)域也同樣出臺(tái)了《個(gè)人數(shù)據(jù)保護(hù)法》等相關(guān)的法律法規(guī)及行業(yè)規(guī)則.中國(guó)出臺(tái)的法律法規(guī)與GDPR的要求具有某種程度的一致性，但也存在一定的差異.在這樣的背景下，中國(guó)應(yīng)該如何更好的改進(jìn)是一個(gè)值得探討的問(wèn)題.本節(jié)從6個(gè)方面探討了GDPR給中國(guó)帶來(lái)的啟示.

5.1 跨境數(shù)據(jù)管控體系建設(shè)

GDPR中關(guān)于數(shù)據(jù)跨境的具體要求對(duì)歐盟來(lái)說(shuō)，主要是針對(duì)從境外流向歐盟境內(nèi)的數(shù)據(jù)，而關(guān)于對(duì)我國(guó)個(gè)人數(shù)據(jù)跨境流動(dòng)立法，我們必須明確我國(guó)在個(gè)人數(shù)據(jù)跨境流動(dòng)中的地位和立場(chǎng)，理清中國(guó)作為數(shù)據(jù)輸入國(guó)和輸出國(guó)所需要的不同制度要求，同時(shí)做到維護(hù)國(guó)內(nèi)用戶(hù)信息數(shù)據(jù)跨境安全性以及與第三方國(guó)家進(jìn)行交流和貿(mào)易的合規(guī)要求.如今我國(guó)相關(guān)立法體系還未完善，雖相較于完全的數(shù)據(jù)本地化態(tài)度和政策，當(dāng)前所采用的“知情-同意”原則已經(jīng)有一定的進(jìn)步意義，但仍舊無(wú)法與中國(guó)互聯(lián)網(wǎng)企業(yè)和數(shù)字經(jīng)濟(jì)大步向前邁進(jìn)的趨勢(shì)相適應(yīng)，目前我們?nèi)匀恍枰獜钠渌?jīng)濟(jì)體的數(shù)據(jù)跨境制度和實(shí)踐中獲取經(jīng)驗(yàn)，探索屬于中國(guó)的高適應(yīng)性數(shù)據(jù)跨境方案.

除了制度，技術(shù)也要齊頭并進(jìn)，做到和跨境數(shù)據(jù)規(guī)制相互銜接.新的技術(shù)形式可能會(huì)給數(shù)據(jù)管理帶來(lái)新的潛在風(fēng)險(xiǎn)，針對(duì)其中可能出現(xiàn)的漏洞，不僅需要及時(shí)了解技術(shù)發(fā)展新動(dòng)態(tài)，將數(shù)據(jù)跨境需求融入技術(shù)更新，還要緊密聯(lián)系技術(shù)和制度，為跨境數(shù)據(jù)管控筑牢保護(hù)屏障，從技術(shù)角度深入分析來(lái)輔助制度體系建設(shè)，以便更好地迎接挑戰(zhàn).

對(duì)于我國(guó)個(gè)人數(shù)據(jù)流動(dòng)的監(jiān)管，不僅需要建立相應(yīng)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)和數(shù)據(jù)評(píng)估機(jī)構(gòu)對(duì)其進(jìn)行職能劃分，使其每個(gè)環(huán)節(jié)中的部門(mén)都明確相應(yīng)的職責(zé)，更全面地對(duì)跨境數(shù)據(jù)進(jìn)行評(píng)估，更好地監(jiān)管數(shù)據(jù)在跨境前后以及整個(gè)生命周期中各個(gè)流程的安全性；還要積極引導(dǎo)企業(yè)和相關(guān)機(jī)構(gòu)進(jìn)行自評(píng)，因此，國(guó)家目前正在積極準(zhǔn)備出臺(tái)的《評(píng)估辦法》和《評(píng)估指南》就需要細(xì)致化，衡量標(biāo)準(zhǔn)不宜過(guò)于籠統(tǒng)、模糊以及主觀隨意性太強(qiáng)，降低評(píng)估流程執(zhí)行難度的同時(shí)提升數(shù)據(jù)保護(hù)強(qiáng)度；其次，各個(gè)行業(yè)應(yīng)積極參與評(píng)估體系的建設(shè)，使其符合實(shí)際需求和落實(shí)條件，倡導(dǎo)行業(yè)自律，幫助建立可操行性強(qiáng)的數(shù)據(jù)跨境行業(yè)體系.

5.2 數(shù)據(jù)分類(lèi)分級(jí)管理

為了應(yīng)對(duì)GDPR以及各國(guó)的數(shù)據(jù)保護(hù)法，確保數(shù)據(jù)在流動(dòng)過(guò)程中的安全性，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)存儲(chǔ)，建立分類(lèi)分級(jí)跨境數(shù)據(jù)流動(dòng)管理體系極其重要，《中華人民共和國(guó)數(shù)據(jù)安全法》對(duì)數(shù)據(jù)的分類(lèi)分級(jí)保護(hù)作出了明確的要求.數(shù)據(jù)的分類(lèi)分級(jí)管理是對(duì)數(shù)據(jù)全流程、全過(guò)程進(jìn)行保障的基礎(chǔ)，邊界防護(hù)、入侵防范、身份鑒別、訪問(wèn)控制、數(shù)據(jù)加密等數(shù)據(jù)隱私防護(hù)方法如果建立在數(shù)據(jù)分類(lèi)分級(jí)的基礎(chǔ)上，可以達(dá)到事半功倍的效果[158].2022年9月，全國(guó)信安標(biāo)委完成了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)要求》征求意見(jiàn)稿，健全了《數(shù)據(jù)安全法》的數(shù)據(jù)分類(lèi)分級(jí)保護(hù)規(guī)則[159].

數(shù)據(jù)分類(lèi)重點(diǎn)在于理解數(shù)據(jù)的本質(zhì)、屬性、權(quán)屬及其相關(guān)關(guān)系，清晰了解各個(gè)數(shù)據(jù)是如何被使用的，明確哪些數(shù)據(jù)屬于哪個(gè)業(yè)務(wù)范疇，分類(lèi)不能太細(xì)也不能太粗獷[160].可根據(jù)監(jiān)管與合規(guī)、業(yè)務(wù)體系、功能單元、項(xiàng)目等維度進(jìn)行分類(lèi).不同的企業(yè)分類(lèi)的方法和標(biāo)準(zhǔn)也可能不同，例如煙草商業(yè)行業(yè)會(huì)根據(jù)數(shù)據(jù)的來(lái)源、敏感度等進(jìn)行分類(lèi)，按照業(yè)務(wù)類(lèi)別將數(shù)據(jù)分為營(yíng)銷(xiāo)數(shù)據(jù)、專(zhuān)賣(mài)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、人事數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)、考核數(shù)據(jù)、個(gè)人數(shù)據(jù)7個(gè)大類(lèi)，然后再在大類(lèi)下面細(xì)分小類(lèi)，層級(jí)劃分逐步擴(kuò)大[161].

數(shù)據(jù)分級(jí)主要是根據(jù)數(shù)據(jù)泄露或被破壞所造成的影響范圍、影響對(duì)象、影響程度來(lái)進(jìn)行劃分.還需要依據(jù)數(shù)據(jù)的關(guān)鍵性、數(shù)據(jù)對(duì)業(yè)務(wù)的重要性、以及國(guó)內(nèi)外相關(guān)法律的要求進(jìn)行劃分，例如GDPR對(duì)于任何收集、傳輸、保留或處理涉及到歐盟所有成員國(guó)內(nèi)的個(gè)人信息的機(jī)構(gòu)組織均提出了規(guī)范要求[160].常用的數(shù)據(jù)分級(jí)步驟為首先確定分級(jí)對(duì)象，然后根據(jù)數(shù)據(jù)破壞對(duì)國(guó)家安全、社會(huì)秩序、公共利益造成的影響，數(shù)據(jù)破壞對(duì)企業(yè)利益造成的影響，數(shù)據(jù)破壞對(duì)用戶(hù)利益造成的影響，3個(gè)層面綜合評(píng)定對(duì)客體的侵害程度，最后決定數(shù)據(jù)對(duì)象的安全等級(jí)[162].數(shù)據(jù)安全法把數(shù)據(jù)分為涉密數(shù)據(jù)和非涉密數(shù)據(jù)，涉密數(shù)據(jù)分為絕密、機(jī)密、秘密3個(gè)級(jí)別；非涉密數(shù)據(jù)根據(jù)對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及相關(guān)公民、法人造成的危害程度依次分為了5個(gè)級(jí)別[163].

由于數(shù)據(jù)的海量、多元、非結(jié)構(gòu)化成常態(tài)，數(shù)據(jù)的分類(lèi)分級(jí)難度很大，我國(guó)目前在數(shù)據(jù)分類(lèi)分級(jí)準(zhǔn)則方面還有很多欠缺.目前主要努力的方向就是在遵守安全性、可執(zhí)行性、時(shí)效性、就高不就低等分類(lèi)分級(jí)原則的前提下健全數(shù)據(jù)分類(lèi)分級(jí)管理制度，根據(jù)各行業(yè)各領(lǐng)域數(shù)據(jù)資源特點(diǎn)、流通場(chǎng)景，加快制定適應(yīng)本行業(yè)本領(lǐng)域數(shù)據(jù)流通和開(kāi)發(fā)利用需求的數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn).表8列出了中國(guó)發(fā)布和在研的數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn).

Table 8 Classification and Gradation Standards for Published and Developing Data[162] in China

5.3 重要數(shù)據(jù)識(shí)別與保護(hù)

作為數(shù)據(jù)安全中的重點(diǎn)保護(hù)對(duì)象，重要數(shù)據(jù)在中國(guó)的數(shù)據(jù)安全管理制度中一直占據(jù)著極其重要的地位.2017年我國(guó)出臺(tái)的《網(wǎng)絡(luò)安全法》第一次提出了“重要數(shù)據(jù)”的概念，2021年出臺(tái)的《數(shù)據(jù)安全法》再次在數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度中提到了對(duì)“重要數(shù)據(jù)”的保護(hù)義務(wù)，但這2部法律均未對(duì)“重要數(shù)據(jù)”作出具體定義，重要數(shù)據(jù)的定義范圍及其識(shí)別方法成為了一個(gè)關(guān)鍵的問(wèn)題.在2022年發(fā)布的《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別規(guī)則(征求意見(jiàn)稿)》中，“重要數(shù)據(jù)”被定義為“特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全”[164].

重要數(shù)據(jù)識(shí)別是數(shù)據(jù)安全管理工作的基石，一個(gè)企業(yè)對(duì)于重要數(shù)據(jù)的收集處理直接影響著企業(yè)數(shù)據(jù)的安全合規(guī)性.重要數(shù)據(jù)識(shí)別工作主要分為3步：1)通過(guò)掃描發(fā)現(xiàn)和流量檢測(cè)的方式對(duì)企業(yè)數(shù)據(jù)進(jìn)行初步識(shí)別，形成企業(yè)數(shù)據(jù)資產(chǎn)梳理清單；2)根據(jù)行業(yè)要求對(duì)企業(yè)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)；3)依據(jù)重要數(shù)據(jù)識(shí)別規(guī)則對(duì)重要數(shù)據(jù)進(jìn)行判定并標(biāo)識(shí)，并根據(jù)重要數(shù)據(jù)的基本信息、分類(lèi)、重要性及用途等信息匯總出企業(yè)重要數(shù)據(jù)清單.重要數(shù)據(jù)的識(shí)別主要包括聚焦安全影響、突出保護(hù)重點(diǎn)、銜接既有規(guī)定、考慮風(fēng)險(xiǎn)、定量定性結(jié)合、動(dòng)態(tài)識(shí)別復(fù)評(píng)六大原則.除此之外還要針對(duì)重要數(shù)據(jù)的收集、存儲(chǔ)和使用采取重點(diǎn)保護(hù)措施，對(duì)于重要數(shù)據(jù)的數(shù)據(jù)處理者要提出更高的合規(guī)要求，這樣才能保證數(shù)據(jù)流通的合規(guī)有序，充分發(fā)揮數(shù)據(jù)要素的價(jià)值.

目前我國(guó)有關(guān)重要數(shù)據(jù)識(shí)別相關(guān)規(guī)則的建立仍在起步階段，重要數(shù)據(jù)識(shí)別總體要求《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別規(guī)則》仍在不斷修改中，各行業(yè)也依據(jù)標(biāo)準(zhǔn)制定行業(yè)內(nèi)重要數(shù)據(jù)安全管理的相關(guān)細(xì)則，例如電信領(lǐng)域出臺(tái)的《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》及汽車(chē)領(lǐng)域出臺(tái)的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》等.中國(guó)亟待健全相關(guān)的重要數(shù)據(jù)識(shí)別與保護(hù)細(xì)則，走好重要數(shù)據(jù)安全防護(hù)體系建立的第一步.

5.4 關(guān)注不同規(guī)模企業(yè)的合規(guī)義務(wù)

雖然GDPR實(shí)現(xiàn)了對(duì)個(gè)人數(shù)據(jù)隱私的嚴(yán)格保護(hù)，但是對(duì)于市場(chǎng)經(jīng)濟(jì)的發(fā)展有時(shí)卻會(huì)起到適得其反的效果.尤其在市場(chǎng)競(jìng)爭(zhēng)方面，由于大型企業(yè)擁有充足的資金和研發(fā)能力，能夠很好地應(yīng)對(duì)GDPR帶來(lái)的一系列合規(guī)性問(wèn)題，而對(duì)于中小企業(yè)來(lái)說(shuō)，過(guò)高的合規(guī)成本阻礙了企業(yè)發(fā)展的腳步，因此大型企業(yè)的競(jìng)爭(zhēng)力大大增強(qiáng)，市場(chǎng)份額不斷增加，而中小企業(yè)在這場(chǎng)浪潮中卻步履維艱.雖然GDPR對(duì)于中小企業(yè)有相關(guān)的特殊豁免政策，然而實(shí)際執(zhí)行的過(guò)程中并未能落到實(shí)處.

因此在中國(guó)相關(guān)數(shù)據(jù)保護(hù)政策實(shí)施過(guò)程中要重點(diǎn)關(guān)注中小企業(yè)的發(fā)展，平衡不同規(guī)模企業(yè)之間的市場(chǎng)競(jìng)爭(zhēng)利益，這樣有利于市場(chǎng)競(jìng)爭(zhēng)的公平性，激發(fā)市場(chǎng)創(chuàng)新活力.對(duì)于合規(guī)性監(jiān)管的過(guò)程中要避免進(jìn)行一刀切管理，應(yīng)對(duì)不同規(guī)模的企業(yè)賦予相應(yīng)的合規(guī)責(zé)任，適當(dāng)減輕中小企業(yè)的合規(guī)義務(wù)，使中小企業(yè)的特殊政策能夠落到實(shí)處.

5.5 保護(hù)個(gè)人數(shù)據(jù)的同時(shí)兼顧社會(huì)經(jīng)濟(jì)發(fā)展

GDPR基于個(gè)人控制論強(qiáng)化了數(shù)據(jù)主體對(duì)個(gè)人信息的控制，使得主體權(quán)利凌駕于社會(huì)利益、公共利益之上，并沒(méi)有考慮個(gè)人信息的社會(huì)屬性，造成了GDPR存在巨大的內(nèi)在缺陷.數(shù)據(jù)控制者及處理者針對(duì)個(gè)人數(shù)據(jù)處理以及數(shù)據(jù)再利用或初始目的之外的使用需要通過(guò)大量設(shè)置同意實(shí)現(xiàn)，最終導(dǎo)致同意的濫用.同時(shí)，使用同意的預(yù)防保護(hù)機(jī)制處理泛在個(gè)人信息將會(huì)導(dǎo)致社會(huì)運(yùn)行成本過(guò)高.并且泛在的個(gè)人信息及數(shù)據(jù)處理導(dǎo)致GDPR的適用范圍無(wú)限擴(kuò)大，進(jìn)而引發(fā)侵害個(gè)人權(quán)利的風(fēng)險(xiǎn)，數(shù)據(jù)主體也可借助GDPR與其他眾多法律的重疊現(xiàn)象來(lái)選擇有利于自身的權(quán)限基礎(chǔ).

因此，面對(duì)GDPR確立的個(gè)人信息保護(hù)準(zhǔn)則正在成為全球化標(biāo)桿，我們應(yīng)當(dāng)從我國(guó)社會(huì)實(shí)際問(wèn)題及需求出發(fā)，建立符合中國(guó)特色的數(shù)據(jù)經(jīng)濟(jì)制度需求.明確GDPR根植歐洲的政治和社會(huì)文化背景與我國(guó)社會(huì)經(jīng)濟(jì)文化的差異性，兼顧數(shù)字化時(shí)代個(gè)人數(shù)據(jù)控制困難問(wèn)題，以及緩解泛在的個(gè)人信息處理同社會(huì)運(yùn)行成本間的沖突，以促進(jìn)我國(guó)個(gè)人數(shù)據(jù)保護(hù)法案的進(jìn)一步升級(jí)，保障個(gè)人數(shù)據(jù)權(quán)益與數(shù)字經(jīng)濟(jì)的協(xié)同發(fā)展.

5.6 在數(shù)據(jù)保護(hù)的同時(shí)促進(jìn)數(shù)據(jù)流通

在市場(chǎng)經(jīng)濟(jì)中要發(fā)揮好數(shù)據(jù)這一生產(chǎn)要素的作用，不僅要嚴(yán)格的數(shù)據(jù)保護(hù)，還要保證數(shù)據(jù)的流通，創(chuàng)造數(shù)據(jù)資源的價(jià)值，不能一味地強(qiáng)調(diào)數(shù)據(jù)權(quán)屬，對(duì)數(shù)據(jù)進(jìn)行僵化管理，讓數(shù)據(jù)失去流動(dòng)性.為支持?jǐn)?shù)字經(jīng)濟(jì)發(fā)展，繼《通用數(shù)據(jù)保護(hù)條例(GDPR)》之后，歐盟的《數(shù)據(jù)治理法案(DGA)》《數(shù)據(jù)法案(DA)》《數(shù)據(jù)市場(chǎng)法案(DMA)》《數(shù)據(jù)服務(wù)法案(DSA)》等相關(guān)法規(guī)也相繼出臺(tái)，為數(shù)據(jù)流動(dòng)營(yíng)造開(kāi)放的環(huán)境.2021年中國(guó)施行了《個(gè)人信息保護(hù)法》，它是我國(guó)的第一部個(gè)人信息保護(hù)方面的法律文件，在這之后又發(fā)布了許多數(shù)據(jù)相關(guān)立法，但主要焦點(diǎn)仍在數(shù)據(jù)保護(hù)監(jiān)管方面，在促進(jìn)數(shù)據(jù)流動(dòng)和創(chuàng)造數(shù)據(jù)價(jià)值上中國(guó)仍需要更多的政策支持，對(duì)現(xiàn)有政策也需要不斷調(diào)整和優(yōu)化，保證數(shù)字經(jīng)濟(jì)的良好發(fā)展態(tài)勢(shì).

6 結(jié) 語(yǔ)

關(guān)于GDPR的數(shù)據(jù)隱私安全研究逐年的增加使得企業(yè)以及個(gè)人對(duì)數(shù)據(jù)隱私保護(hù)意識(shí)得到了很大的加強(qiáng)，但因其涉及領(lǐng)域較廣，且隨著各國(guó)數(shù)據(jù)法的不斷更新、應(yīng)用場(chǎng)景的不斷變化，其整體還處于起步階段.本文在調(diào)研大量基于GDPR的數(shù)據(jù)隱私安全相關(guān)論文及其研究成果后，首先介紹了數(shù)據(jù)隱私安全發(fā)展歷程及歐盟GDPR法規(guī)主要內(nèi)容，并將其與各國(guó)數(shù)據(jù)法進(jìn)行了詳細(xì)的對(duì)比；然后通過(guò)梳理總結(jié)現(xiàn)有的基于GDPR的數(shù)據(jù)隱私安全的研究工作，從GDPR違規(guī)行為分析、隱私政策分析、GDPR模型框架3個(gè)方面闡述了GDPR合規(guī)性的研究現(xiàn)狀；之后總結(jié)GDPR相關(guān)的數(shù)據(jù)技術(shù)應(yīng)用以及各種合規(guī)應(yīng)用場(chǎng)景.通過(guò)深入分析數(shù)據(jù)隱私安全問(wèn)題以及現(xiàn)有研究工作的不足，指出了基于GDPR的數(shù)據(jù)隱私安全面臨的十大安全技術(shù)挑戰(zhàn)和機(jī)遇；最后指出了跨境數(shù)據(jù)管控體系建設(shè)、數(shù)據(jù)分類(lèi)分級(jí)管理、重要數(shù)據(jù)識(shí)別與保護(hù)、不同規(guī)模企業(yè)的合規(guī)義務(wù)、兼顧社會(huì)經(jīng)濟(jì)發(fā)展、促進(jìn)數(shù)據(jù)流通等GDPR相關(guān)研究對(duì)中國(guó)的啟示.

作者貢獻(xiàn)聲明：趙景欣負(fù)責(zé)設(shè)計(jì)研究方案及論文撰寫(xiě)和修訂；岳星輝負(fù)責(zé)調(diào)研分析、數(shù)據(jù)統(tǒng)計(jì)及論文部分撰寫(xiě)；馮崇朋、張靜負(fù)責(zé)論文部分撰寫(xiě)及畫(huà)圖；李印負(fù)責(zé)最終版本修訂；王娜負(fù)責(zé)論文部分撰寫(xiě)；任家東、張昊星、伍高飛、朱笑巖負(fù)責(zé)論文整體修訂；張玉清提出論文整體研究思路，及最終論文的審核與修訂.