基于通用數(shù)據(jù)保護條例的數(shù)據(jù)隱私安全綜述

趙景欣 岳星輝 馮崇朋 張 靜 李 印 王 娜 任家東 張昊星 伍高飛 朱笑巖 張玉清,2,3,

1(燕山大學(xué)信息科學(xué)與工程學(xué)院 河北秦皇島 066004) 2(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121) 3(海南大學(xué)網(wǎng)絡(luò)空間與安全學(xué)院(密碼學(xué)院) 海口 570228) 4(西安電子科技大學(xué)廣州研究院 廣州 510555) 5(國家計算機網(wǎng)絡(luò)入侵防范中心(中國科學(xué)院大學(xué)) 北京 101408) 6中國信息通信研究院安全研究所 北京 100191) 7(西安電子科技大學(xué)通信工程學(xué)院 西安 710071)

隨著大數(shù)據(jù)時代的飛速發(fā)展，數(shù)據(jù)成為了當(dāng)今世界最寶貴的資源之一.企業(yè)也紛紛進行數(shù)字化轉(zhuǎn)型，在數(shù)字經(jīng)濟時代下，數(shù)據(jù)的社會價值和經(jīng)濟價值不斷凸顯.然而數(shù)據(jù)的共享、加工、使用的過程又給數(shù)據(jù)的隱私安全帶來了極大的風(fēng)險，數(shù)據(jù)可以產(chǎn)生無數(shù)的副本，且形態(tài)多樣化，如何實現(xiàn)數(shù)據(jù)的隱私保護成為了現(xiàn)今亟待解決的難題.

由于欠缺有力的監(jiān)管機制，個人數(shù)據(jù)隱私遭到侵犯的事件屢屢發(fā)生，個人數(shù)據(jù)隱私時刻面臨被泄露的風(fēng)險.諸如，Uber公司為掩蓋2016年60萬司機和5 700萬用戶信息失竊事件，私下向作惡者支付封口費，這項隱瞞行為也為公司帶來了巨額的罰款[1].美國互聯(lián)網(wǎng)公司雅虎在2017年承認公司曾在2013年受黑客襲擊并泄露了所有用戶信息(約30億用戶)[2].安全研究人員阿隆·加爾在2021年1月發(fā)現(xiàn)由于入侵者利用了Facebook在2019年8月修復(fù)的漏洞，來自106個國家的超過5.33億Facebook用戶的個人信息已被免費在線泄露，涉及了不少知名人士和公眾人物，還包括67萬的國內(nèi)用戶[3].v.pnMentor的研究團隊在2021年8月份發(fā)現(xiàn)，B2B營銷公司OneMoreLead將至少6 300萬美國人的私人數(shù)據(jù)存儲在一個不安全數(shù)據(jù)庫中，該公司任由此數(shù)據(jù)庫完全敞開[4].2021年8月，美國電信巨頭T-Mobile官方確認服務(wù)器被黑客入侵，本次入侵大規(guī)模影響了大約780萬T-Mobile后付費用戶、850 000名T-Mobile預(yù)付費用戶以及大約4 000萬以前或潛在用戶，導(dǎo)致T-Mobile支付了3.5億美元的索賠[5].

為了更好地保障個人權(quán)利，堪稱史上最嚴格的數(shù)據(jù)隱私保護法案——《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)，于2016年4月由歐盟議會通過，并于2018年5月25日起生效.GDPR的出臺使歐盟對個人信息的保護及監(jiān)管達到了前所未有的高度，并統(tǒng)一了歐盟成員國有關(guān)數(shù)據(jù)保護的法律法規(guī).雖然GDPR的保護范圍只限于歐洲生活的民眾，但由于互聯(lián)網(wǎng)的全球性和開放性，幾乎所有的服務(wù)都會受到隱私政策的限制，所以GDPR也通過各種機制對歐盟以外的國家產(chǎn)生了廣泛的影響.

本文主要側(cè)重于基于GDPR的數(shù)據(jù)隱私安全工作研究，為此對自2016年到2022年6月期間的網(wǎng)絡(luò)與信息安全領(lǐng)域的四大頂級會議USENIX Security(USENIX Security Symposium)，NDSS(Network and Distributed System Security Symposium)，CCS(ACM Conference on Computer and Communications Security)，IEEE S&P(IEEE Symposium on Security and Privacy)的論文，及來自Web of Science核心數(shù)據(jù)庫、EI數(shù)據(jù)庫、arXiv、中國知網(wǎng)(CNKI)等國內(nèi)外數(shù)據(jù)庫收錄的相關(guān)論文進行了深入調(diào)研分析，如圖1所示，相關(guān)的文獻數(shù)量正在逐年增加.同時對基于GDPR的數(shù)據(jù)隱私安全領(lǐng)域的現(xiàn)有研究成果進行了總結(jié)歸納，指出了現(xiàn)有研究工作不足和基于GDPR的數(shù)據(jù)隱私安全面臨的挑戰(zhàn)和機遇，為未來的安全研究工作指出了方向，并探討了GDPR為中國的數(shù)據(jù)隱私安全工作帶來的啟示.

Fig.1 Literature number of data privacy security based on GDPR

自GDPR出臺以來，國內(nèi)外已圍繞GDPR展開了許多相關(guān)的研究工作，其中不乏針對GDPR的隱私保護綜述研究，但主要都是針對某一特定領(lǐng)域，如區(qū)塊鏈[6]、物聯(lián)網(wǎng)[7-9]等領(lǐng)域，或針對條例中的某部分規(guī)定[10]展開討論.本文在關(guān)注GDPR在特定領(lǐng)域應(yīng)用的同時，還聚焦于GDPR政策本身的可讀性與完整性，不僅分析了更正權(quán)與被遺忘權(quán)的爭議，還對知情權(quán)、訪問權(quán)、數(shù)據(jù)保護影響評估等規(guī)定的合規(guī)方法進行了探討.同時從國情出發(fā)分析了GDPR對中國產(chǎn)生的啟示，為中國的數(shù)據(jù)隱私安全工作提出建議.

本文的主要貢獻包括5個方面：

1)分析了數(shù)據(jù)隱私安全的發(fā)展歷程與現(xiàn)狀，介紹了歐盟出臺的影響廣泛的數(shù)據(jù)保護法案《通用數(shù)據(jù)保護條例》(GDPR)，分析了GDPR的應(yīng)用領(lǐng)域及其帶來的影響.

2)深入調(diào)研了近幾年國內(nèi)外GDPR合規(guī)性相關(guān)的研究文獻，從GDPR合規(guī)檢測、隱私政策分析、GDPR模型框架3個方面總結(jié)了GDPR合規(guī)性研究現(xiàn)狀.

3)總結(jié)分析了基于GDPR的數(shù)據(jù)技術(shù)，包括數(shù)據(jù)保護影響評估和數(shù)據(jù)跨境流動2個方面，并分別探討了GDPR在區(qū)塊鏈、物聯(lián)網(wǎng)等具體領(lǐng)域的應(yīng)用.

4)通過分析GDPR合規(guī)的潛在安全問題以及現(xiàn)有研究工作的不足，指出了基于GDPR的數(shù)據(jù)隱私安全研究中面臨的挑戰(zhàn)與機遇，為相關(guān)的隱私安全研究指出了未來的研究方向.

5)結(jié)合GDPR出臺后的實施情況，從6個方面探討了GDPR給中國的數(shù)據(jù)保護工作帶來的啟示.

1 相關(guān)背景介紹

1.1 數(shù)據(jù)隱私安全發(fā)展歷程

為了保護個人數(shù)據(jù)隱私，需要有一定的法律制度為處理個人信息時提供保障.早在1970年德國聯(lián)邦黑森州就通過數(shù)據(jù)保護法來保護數(shù)據(jù)隱私，瑞典在1973年通過了數(shù)據(jù)保護法，美國政府也在1973年制定了的公平信息慣例(FIPs).經(jīng)合組織《1980年9月隱私保護準則》列出了8項數(shù)據(jù)處理原則：收集限制原則、數(shù)據(jù)質(zhì)量原則、目的規(guī)范原則、使用限制原則、安全保障原則、開放性原則、個人參與原則和問責(zé)原則，為各國制定個人數(shù)據(jù)處理法律提供了依據(jù)[11].隨著數(shù)字經(jīng)濟社會的興起，個人數(shù)據(jù)隱私問題也越來越多，于是越來越多的數(shù)據(jù)保護法條例在世界各國涌現(xiàn).據(jù)美國法學(xué)教授Bertil Cottier統(tǒng)計，截至2020年共有142個國家發(fā)布了數(shù)據(jù)隱私立法，例如《1998英國數(shù)據(jù)保護法案》《2008年阿爾巴尼亞數(shù)據(jù)保護法》《2012年加納數(shù)據(jù)保護法》《2012美國消費者隱私權(quán)利法案》、歐盟《通用數(shù)據(jù)保護條例》(GDPR)、《加州消費者隱私法案》(CCPA)、《巴西通用數(shù)據(jù)保護法》(LGPD)、《2019年肯尼亞數(shù)據(jù)保護法》、《新加坡個人信息保護法例》(PDPA)、《中國個人信息保護法》等[12].其中歐盟出臺的GDPR影響力最大，我們在這篇論文中主要對GDPR的相關(guān)研究進行了討論.也有研究者對各國的數(shù)據(jù)保護法進行了對比和評估，文獻[11]根據(jù)經(jīng)合組織指南對歐盟GDPR、《2012年加納數(shù)據(jù)保護法》和《2019年肯尼亞數(shù)據(jù)保護法》進行了比較，三者在一些原則的應(yīng)用方面略有不同，加納保護法缺乏數(shù)據(jù)可移植性的權(quán)利和記錄個人數(shù)據(jù)泄露的義務(wù)，肯尼亞保護法包含了所有與個人和數(shù)據(jù)主體的權(quán)利和義務(wù)有關(guān)的經(jīng)合組織修訂原則，在很大程度上復(fù)制了GDPR.本文從適用范圍、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者責(zé)任等要點出發(fā)，對各國出臺的數(shù)據(jù)保護法進行了對比，具體內(nèi)容如表1所示.

GDPR的出臺推動了許多國家對于數(shù)據(jù)保護方面的立法進程，但由于國情與隱私文化的差異，各國相應(yīng)的應(yīng)對措施不盡相同.如歐洲強調(diào)個人權(quán)利，以保護人權(quán)為出發(fā)點，因此GDPR法規(guī)要求嚴格，內(nèi)容全面；印度、澳大利亞紛紛依照GDPR對自己的隱私法規(guī)進行了審查和修改，增強了監(jiān)管機構(gòu)的權(quán)利并加大了處罰力度；巴西借鑒了GDPR的主要結(jié)構(gòu)出臺了第一部綜合性的數(shù)據(jù)保護法，但在處罰方面較GDPR寬松很多；美國注重企業(yè)發(fā)展，強調(diào)數(shù)據(jù)利用，更偏向從消費者的角度對數(shù)據(jù)進行監(jiān)管；我國在數(shù)據(jù)立法方面也并沒有照抄照搬歐洲立法，而是兼顧個人權(quán)利與經(jīng)濟發(fā)展，探索出一條適合自己的發(fā)展道路.在數(shù)據(jù)的跨境流動中，面對更多的網(wǎng)絡(luò)安全威脅和不同國家數(shù)據(jù)保護法的不同要求，特別是面對非常嚴格的GDPR，世界各國也在不斷地修改并完善數(shù)據(jù)保護法.2021年1月，韓國個人信息保護委員會向社會公布了《個人信息保護法(修正案草案)》(PIPA)，并在一年內(nèi)修訂了3次.2021年5月12日，日本國會通過了包括《為形成數(shù)字化社會完善相關(guān)法律的法案》在內(nèi)的6部數(shù)字化改革法律案，《個人信息保護法》(APPI)修正案也作為完善法案的一部分同時生效.2021年6月，中國通過了《中華人民共和國數(shù)據(jù)安全法》.2021年8月20日，《中華人民共和國個人信息保護法》歷經(jīng)三審正式通過.圖2展示了全球一些具有代表性的數(shù)據(jù)保護法案[14].

Table 1 Comparison of Data Protection Laws in Different Countries[13]

Fig.2 Global data security protection legislation(partial)

1.2 GDPR介紹

歐盟通用數(shù)據(jù)保護條例(GDPR)是關(guān)于歐盟(EU)和歐洲經(jīng)濟區(qū)(EEA)數(shù)據(jù)保護和數(shù)據(jù)隱私的法律條例，是歐盟隱私法和人權(quán)法的重要組成部分.

GDPR規(guī)定了與個人數(shù)據(jù)處理以及個人數(shù)據(jù)自由流動相關(guān)的自然人保護法規(guī)，旨在尊重自然人的基本權(quán)利和自由，并重點強調(diào)其保護個人數(shù)據(jù)的權(quán)利.GDPR被譽為是最嚴格的個人數(shù)據(jù)保護和數(shù)據(jù)監(jiān)管條例，適用于歐洲經(jīng)濟區(qū)內(nèi)數(shù)據(jù)主體產(chǎn)生的所有數(shù)據(jù)，無論收集相關(guān)數(shù)據(jù)的企業(yè)是否位于歐盟境內(nèi)都要遵守GDPR.GDPR于2016年4月14日獲歐洲議會和歐盟理事會通過，并于2018年5月25日開始強制實施.該法規(guī)取代了1995年的《數(shù)據(jù)保護指令》(95/46/EC)(簡稱95/46/EC指令)，解決了95/46/EC指令成員國在處理個人數(shù)據(jù)時對保護自然人權(quán)利和自由水平之間的差異，具有直接的約束力和適用性[15].同時，《電子隱私指令》(2002/58/EC)旨在補充GDPR并完成協(xié)調(diào)過程，目前該法案正在通過歐盟的立法程序[16].圖3展示了GDPR從立項到實施過程中的關(guān)鍵日期和事件.繼GDPR之后，歐盟《數(shù)據(jù)法案》《數(shù)據(jù)治理法案》《數(shù)據(jù)市場法案》等一系列數(shù)據(jù)治理法規(guī)的出臺也展現(xiàn)了構(gòu)建未來數(shù)字驅(qū)動創(chuàng)新生態(tài)的歐洲方案.

Fig.3 Key time points for GDPR legislation

Fig.4 The framework of GDPR

本節(jié)主要從GDPR框架、處理個人數(shù)據(jù)相關(guān)原則、數(shù)據(jù)主體的基本權(quán)利以及違規(guī)行為的補救措施、責(zé)任和處罰4個方面來具體介紹GDPR.

1.2.1 GDPR框架

GDPR框架如圖4所示.通用數(shù)據(jù)保護條例共包含十一章內(nèi)容，涉及一般規(guī)定、原則、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者和處理者義務(wù)、向第三國或國際組織傳輸個人數(shù)據(jù)、獨立監(jiān)管機構(gòu)、成員國之間的合作與一致性、補救措施，責(zé)任和處罰、有關(guān)特定處理情況的規(guī)定、授權(quán)和實施法案以及最終條款[15].其中定義了與個人數(shù)據(jù)相關(guān)的3種不同實體：1)數(shù)據(jù)主體，即個人數(shù)據(jù)所有者；2)數(shù)據(jù)控制者，即收集和使用個人數(shù)據(jù)的個人或組織；3)數(shù)據(jù)處理者，即為控制者處理個人數(shù)據(jù)的個人或組織.同時，任命具有數(shù)據(jù)保護法和實踐專業(yè)知識數(shù)據(jù)保護官(DPO)，以協(xié)助數(shù)據(jù)控制者和處理者監(jiān)控其法規(guī)的遵守情況.

1.2.2 處理個人數(shù)據(jù)相關(guān)原則

GDPR規(guī)定了7項處理個人數(shù)據(jù)相關(guān)原則(第5條)包括“合法性、公平性和透明度”“目的限制”“數(shù)據(jù)最小化”“準確性”“存儲限制”“完整性和保密性”的數(shù)據(jù)處理原則以及控制者責(zé)任與義務(wù)的“問責(zé)制”，具體原則內(nèi)容如表2所示.并對處理的合法性進行說明(第6條)，且只有滿足至少一項原則才認為該處理是合法的：1)數(shù)據(jù)主體已經(jīng)同意處理其個人數(shù)據(jù)；2)履行與數(shù)據(jù)主體的合同義務(wù)，或在簽訂合同時采取相應(yīng)措施滿足數(shù)據(jù)主體要求；3)遵守數(shù)據(jù)控制者的法律義務(wù)；4)保護數(shù)據(jù)主體或其他個人的利益；5)為公共利益或數(shù)據(jù)控制者官方權(quán)力執(zhí)行任務(wù)；6)在利益與被保護數(shù)據(jù)主體的利益、基本權(quán)利和自由不相沖突的情況下，保護數(shù)據(jù)控制者或第三方的合法利益.

Table 2 Principles Related to the Processing of Personal Data

1.2.3 數(shù)據(jù)主體的基本權(quán)利

GDPR詳細闡明了數(shù)據(jù)主體的基本權(quán)利，共涉及8項權(quán)利：1)知情權(quán)(第12,13,14條).數(shù)據(jù)控制者以簡潔、透明、可理解和易于訪問的形式向數(shù)據(jù)主體提供信息；2)訪問權(quán)(第15條).數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者告知其個人數(shù)據(jù)是否正在被處理.數(shù)據(jù)控制者必須根據(jù)要求提供正在處理的數(shù)據(jù)的目的(用途)、數(shù)據(jù)類別、存儲期限或標準并為數(shù)據(jù)主體提供一份實際數(shù)據(jù)的副本；3)更正權(quán)(第16條).數(shù)據(jù)主體有權(quán)更正錯誤的個人數(shù)據(jù)；4)刪除權(quán)(第17條).數(shù)據(jù)主體有權(quán)要求控制者及時刪除有關(guān)的個人數(shù)據(jù)；5)限制處理權(quán)(第18條).在特定場景下，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者限制對他的個人數(shù)據(jù)的使用；6)可攜帶權(quán)(第20條).數(shù)據(jù)主體有權(quán)要求將自己的數(shù)據(jù)轉(zhuǎn)移到另一家數(shù)據(jù)控制者，數(shù)據(jù)控制者應(yīng)當(dāng)配合；7)反對權(quán)(第21條).允許個人反對出于營銷或非服務(wù)相關(guān)目的處理個人信息；8)不受制于自動化決策(第22條).數(shù)據(jù)主體有權(quán)不受基于自動化決策所做決定的影響.

1.2.4 違規(guī)行為的補救措施、責(zé)任和處罰

針對違規(guī)行為的補救措施、責(zé)任和處罰，GDPR也做出了相應(yīng)的限定，要求數(shù)據(jù)控制者必須在違規(guī)行為發(fā)生后72 h內(nèi)通知監(jiān)管機構(gòu)，依據(jù)違規(guī)的嚴重程度、違規(guī)的持續(xù)時間、受違規(guī)影響的數(shù)據(jù)主體數(shù)量以及違規(guī)造成的損害程度來處罰違規(guī)行為責(zé)任方.GDPR的出臺對其他國家及地區(qū)的個人數(shù)據(jù)相關(guān)法律產(chǎn)生較大的影響，成為全球個人數(shù)據(jù)保護法的典范.

1.3 GDPR的應(yīng)用和影響

GDPR的實施影響了各行各業(yè)，對數(shù)據(jù)隱私的立法極大提高了公民的隱私權(quán)，在不同的領(lǐng)域內(nèi)產(chǎn)生了積極影響，本節(jié)以醫(yī)療健康和物聯(lián)網(wǎng)為例闡述了GDPR產(chǎn)生的積極影響，同時也討論了GDPR的潛在風(fēng)險.

現(xiàn)階段的醫(yī)療正在經(jīng)歷數(shù)字化轉(zhuǎn)型，向個性化、預(yù)防性和精準醫(yī)療進行轉(zhuǎn)變，由于個人的健康狀態(tài)、條件和背景都是高度動態(tài)的，導(dǎo)致了分布式、高復(fù)雜度的業(yè)務(wù)流程，因此不可能以靜態(tài)的方式進行全局管理.隨著個人可穿戴設(shè)備數(shù)量的指數(shù)級增長，利用個人健康數(shù)據(jù)進行分析有很多的益處，比如識別醫(yī)療服務(wù)中的風(fēng)險和成本、提高服務(wù)效率、疾病預(yù)防等，但同樣也帶來了更多的用戶隱私泄露風(fēng)險.

GDPR擴展了個人數(shù)據(jù)的定義范圍，包括自然人身體、生理、遺傳、經(jīng)濟、文化或社會身份的特定因素；進一步的，GDPR定義了對個人數(shù)據(jù)進行處理的要求，以確保在處理用戶數(shù)據(jù)過程中的合理合規(guī)，此外，由于系統(tǒng)環(huán)境的變化，GDPR要求處理用戶數(shù)據(jù)時進行動態(tài)的管理.在GDPR的規(guī)范下，數(shù)據(jù)的保護者變成了風(fēng)險的管理者，必須積極主動地動態(tài)管理系統(tǒng)，這對于醫(yī)療健康類個人敏感信息的處理具有指導(dǎo)意義.在GDPR的驅(qū)動下，未來醫(yī)療系統(tǒng)對個人數(shù)據(jù)的處理應(yīng)該是一個政策驅(qū)動的多領(lǐng)域自動化業(yè)務(wù)系統(tǒng)，將政策和業(yè)務(wù)流程中的數(shù)據(jù)對象進行綁定，在這個過程中保證數(shù)據(jù)處理的高透明度以保證用戶的知情權(quán)，GDPR很好地適應(yīng)了醫(yī)療的數(shù)字化轉(zhuǎn)型，保護了個人健康敏感數(shù)據(jù)的隱私.

近年來物聯(lián)網(wǎng)設(shè)備數(shù)量呈現(xiàn)井噴式增長，同時也意味著設(shè)備廠商針對個人數(shù)據(jù)進行大量的存儲、分發(fā)和利用，從廠商的角度來看，分析這些數(shù)據(jù)可以更好地理解用戶的行為，及時發(fā)現(xiàn)消費者的行為模式和使用某類設(shè)備的關(guān)系，能夠幫助廠商對產(chǎn)品進行進一步的改進以提高用戶體驗，但是也存在廠商在用戶不知情的情況下將這些數(shù)據(jù)出售給第三方，或者從同一用戶的不同設(shè)備同時收集數(shù)據(jù)建立用戶畫像的情況，這進一步增加了用戶的隱私風(fēng)險.

在此情況下，GDPR的實施使得信息的控制權(quán)大大地轉(zhuǎn)向了個人.首先，這些收集的用戶數(shù)據(jù)在GDPR的擴展定義中都屬于個人隱私數(shù)據(jù)，其次，GDPR要求對個人數(shù)據(jù)的收集和處理必須基于明確的用戶同意，并且用戶有權(quán)在任何時候撤銷自己的同意，否則將面臨嚴重的罰款.根據(jù)GDPR官方的處罰規(guī)定[17]，在處罰方面將有一個兩級的制裁制度，若是情節(jié)較輕的違規(guī)行為，可導(dǎo)致1 000萬或公司全球營業(yè)額的2%的罰款(以較高者為準)，最嚴重的違規(guī)行為可能導(dǎo)致2 000萬或公司全球營業(yè)額的4%的罰款(以較高者為準).因此GDPR的實施是對物聯(lián)網(wǎng)設(shè)備廠商極大的警告，迫使他們按照GDPR的要求重新設(shè)計隱私政策和收集用戶數(shù)據(jù)的范圍，以及必須取得用戶的知情同意.

總體來看，GDPR改善了網(wǎng)絡(luò)安全，網(wǎng)絡(luò)、服務(wù)器和其他基礎(chǔ)設(shè)施的安全升級是網(wǎng)絡(luò)安全的保障，GDPR直接影響了數(shù)據(jù)隱私的安全，鼓勵企業(yè)制定政策和升級設(shè)備來預(yù)防潛在的安全風(fēng)險；其次，GDPR將數(shù)據(jù)保護進行標準化，在歐盟國家直接實施，建立了區(qū)域統(tǒng)一數(shù)據(jù)保護標準，而無需建立每個國家的個人數(shù)據(jù)保護法.

GDPR也帶來了一些負面的影響，比如極其嚴厲的兩級處罰措施，一旦企業(yè)因為各種原因未能保護好用戶數(shù)據(jù)導(dǎo)致泄露將會付出巨大代價，而中小型企業(yè)對數(shù)據(jù)的保護能力和抗風(fēng)險能力本身就較弱，一旦遭遇此類事件將對企業(yè)造成很大的打擊，中小型企業(yè)的隱私保護意識也相對薄弱，根據(jù)網(wǎng)站superoffice[18]的統(tǒng)計，截止2021年5月，超過四分之一的企業(yè)尚未根據(jù)GDPR進行整改，由此可見部分企業(yè)并未意識到GDPR的重要性.嚴格的GDPR給新興的物聯(lián)網(wǎng)企業(yè)帶來了繁重的負擔(dān)，合規(guī)工作消耗了大量的資源，使得企業(yè)的業(yè)務(wù)運營變得更加艱難.此外，企業(yè)必須進行合規(guī)性的審計，需要招聘更多專業(yè)的隱私保護方面的人才，因此，帶來了更多成本的負擔(dān)，相對應(yīng)的也給執(zhí)法機構(gòu)帶來了新的挑戰(zhàn).而對于需要留存大量患者信息的醫(yī)療企業(yè)來說，如何實現(xiàn)高度敏感數(shù)據(jù)的安全存儲仍是一個十分嚴峻的挑戰(zhàn).隨著全球數(shù)據(jù)隱私安全意識的增強，醫(yī)學(xué)實驗的開展也受到重重阻隔，影響了醫(yī)學(xué)科技的高效發(fā)展.

2 GDPR合規(guī)性研究現(xiàn)狀

通過對現(xiàn)有的基于GDPR的數(shù)據(jù)隱私安全研究工作進行梳理和分析，發(fā)現(xiàn)目前相關(guān)研究方向主要集中在GDPR合規(guī)檢測、隱私政策分析、GDPR模型框架3個方面.圖5中給出了現(xiàn)有研究工作文獻數(shù)量的占比情況，以便讀者有一個直觀的認識.本節(jié)將通過這3個研究方向分類闡述現(xiàn)有具有代表性的GDPR相關(guān)的研究工作，同時在現(xiàn)有研究工作基礎(chǔ)上，本文將對每個研究方向的具體工作進行對比分析和討論，并給出觀點，供感興趣的研究人員對該領(lǐng)域進行進一步研究.

Fig.5 Proportion of GDPR compliance related studies

2.1 GDPR合規(guī)檢測

自2018年5月25日起，歐盟開始實施《通用數(shù)據(jù)保護條例》(GDPR)，條例涉及個人數(shù)據(jù)處理和數(shù)據(jù)隱私保護，直接適用于所有成員國.GDPR旨在保護歐盟成員國內(nèi)所有公民的個人數(shù)據(jù)隱私，并對違規(guī)行為實施嚴厲制裁.數(shù)據(jù)隱私保護網(wǎng)站DataPrivacyManager披露了2020—2022年歐盟國家根據(jù)GDPR對企業(yè)的數(shù)筆大額罰款[19]，如圖6所示，罰款金額從數(shù)百萬歐元到數(shù)億歐元不等，擁有越多用戶數(shù)據(jù)的企業(yè)遭受處罰的風(fēng)險也更大.

Fig.6 Large GDPR fines from 2020 to 2022

2.1.1 違規(guī)案例分析

根據(jù)文獻[20]分析的277項制裁案例，違規(guī)行為主要分為4種類型：非法處理個人信息、披露個人信息、未保護個人信息和與監(jiān)管機構(gòu)合作不足.這些處罰主要針對違反5項主要與用戶隱私保護相關(guān)的特定條款.由此可見，違規(guī)的主要原因是企業(yè)未能充分向用戶披露他們的個人信息是如何被收集的，以及沒有明確告知用戶收集這些信息的用途，并且在利用這些數(shù)據(jù)時未適當(dāng)征得用戶的同意，具體表現(xiàn)形式分為違規(guī)采集和傳輸、隱私政策不規(guī)范、數(shù)據(jù)濫用、網(wǎng)站cookie跟蹤4個方面.

1)違規(guī)采集和傳輸

文獻[21]對一些流行的健康軟件進行安全審計，結(jié)果表明被分析的應(yīng)用程序大多數(shù)都沒有遵守GDPR要求的法律限制，在沒有征求用戶同意的情況下，通過不同的方式違規(guī)收集用戶的個人敏感信息，從而威脅了數(shù)百萬用戶的隱私.根據(jù)GDPR的要求，在線服務(wù)必須獲得用戶的同意才能與第三方共享用戶數(shù)據(jù)，文獻[22]通過檢測Android應(yīng)用程序中事先未經(jīng)用戶同意發(fā)送到互聯(lián)網(wǎng)的數(shù)據(jù)表明30%應(yīng)用程序在未經(jīng)用戶事先明確同意的情況下將個人數(shù)據(jù)發(fā)送給第三方，由此可見對于用戶數(shù)據(jù)的濫用目前在業(yè)內(nèi)非常普遍.

2)隱私政策不規(guī)范

近年來隨著物聯(lián)網(wǎng)設(shè)備(IoT)的興起，因其涉及大量的個人隱私數(shù)據(jù)，應(yīng)該具有相應(yīng)的數(shù)據(jù)收集規(guī)范.文獻[23]通過捕獲物聯(lián)網(wǎng)設(shè)備與云之間、物聯(lián)網(wǎng)設(shè)備與其對應(yīng)的在智能手機上的應(yīng)用程序之間的數(shù)據(jù)流量，對11家物聯(lián)網(wǎng)制造商進行分析測試，結(jié)果顯示其中一半的物聯(lián)網(wǎng)制造商沒有專門針對其物聯(lián)網(wǎng)設(shè)備制定對應(yīng)的隱私政策，對于目前大量不同類型的物聯(lián)網(wǎng)設(shè)備，只有大致的隱私政策框架是不夠的，需要按照不同的應(yīng)用場景對隱私政策進行細分.

3)數(shù)據(jù)濫用

文獻[24]披露了在GDPR實施之前，科技企業(yè)Facebook為73%的歐盟用戶貼上了潛在敏感興趣的標簽，從而針對性地推送個性化廣告，并且惡意第三方可以以極低的成本獲取已被分配潛在敏感興趣的Facebook用戶的身份.進一步的，文獻[25]通過檢測第三方廣告和跟蹤服務(wù)發(fā)現(xiàn)，廣告商會在未經(jīng)用戶同意的情況下，與第三方關(guān)聯(lián)公司共享收集到的數(shù)據(jù)，并且揭示了這類做法在業(yè)界已成為常態(tài)化，此類違規(guī)行為利用用戶個人數(shù)據(jù)達到其商業(yè)目的，并未征求用戶的同意.

4)網(wǎng)站cookie跟蹤

由于GDPR的實施，歐洲用戶幾乎在每個網(wǎng)站上都會遇到cookie同意選擇框.通過cookie，網(wǎng)站可以經(jīng)用戶同意收集數(shù)據(jù)并將其傳播給第三方.文獻[26]的研究表明，即使用戶沒有做出選擇，部分網(wǎng)站也會默認用戶已經(jīng)同意cookie跟蹤，或者用戶已明確選擇退出，部分網(wǎng)站也會存儲用戶同意.在測試中一半以上的網(wǎng)站至少存在一項可疑違規(guī)收集行為.并且，cookie跟蹤的范圍非常廣泛，文獻[27]對歐盟境內(nèi)2 000多個高流量網(wǎng)站通過cookie實現(xiàn)的跟蹤進行評估，發(fā)現(xiàn)cookie可以在訪問數(shù)據(jù)集中90%以上的網(wǎng)站識別用戶，因此用戶很難避免被跟蹤.此外，根據(jù)文獻[28]對在線廣告業(yè)務(wù)的研究，出于研究用戶行為的目的，即使用戶已經(jīng)選擇退出廣告，網(wǎng)站也會繼續(xù)追蹤用戶的瀏覽器.因此在現(xiàn)有的框架下，用戶缺乏可行的機制來同意或者拒絕其在互聯(lián)網(wǎng)上的行為被跟蹤分析.

2.1.2違規(guī)檢測方法

若應(yīng)用程序或者網(wǎng)站需要處理用戶的個人數(shù)據(jù)，就要符合GDPR的要求，然而GDPR的隱私處理條款針對軟件的開發(fā)過程只給出了一般性原則，而非詳細的操作指南，因此現(xiàn)有軟件和網(wǎng)站中可能存在大量違反GDPR法規(guī)的情況.但是先分析隱私泄露事件，而后確定后果和罰款需要執(zhí)法機構(gòu)付出大量的時間和精力來評估數(shù)據(jù)收集和處理機制是否符合GDPR條款，因此使用技術(shù)手段對違規(guī)行為進行規(guī)模性的檢測和評估是十分有必要的.

移動應(yīng)用程序經(jīng)常訪問用戶的個人信息以滿足業(yè)務(wù)需求，由于此類信息通常很敏感，因此監(jiān)管機構(gòu)要求移動應(yīng)用程序開發(fā)人員發(fā)布詳細的隱私政策，文獻[29]提出了一個半自動框架，建立隱私政策術(shù)語到API方法的映射集合，用于檢測隱私政策和應(yīng)用程序代碼不一致的違規(guī)行為.文獻[30]在文獻[29]的基礎(chǔ)上，將GDPR要求的隱私政策規(guī)范進行量化分析，通過自然語言處理(natural language processing, NLP)與機器學(xué)習(xí)算法，生成6個通知分類器來檢測應(yīng)用程序的隱私政策是否完整，并通過實驗證明了自動化分析隱私政策的有效性.同樣基于文本分析，文獻[31]使用語義相似性來識別不同文章對應(yīng)的和特定違規(guī)類型相關(guān)的主題，用識別的特征來訓(xùn)練一個長短期記憶(long short term memory, LSTM)深度學(xué)習(xí)器，可以有效識別給定文本描述的潛在違規(guī)行為.

進一步的，隱私政策的合規(guī)只是基本要求，在實際的應(yīng)用場景中，還需要知道應(yīng)用程序是否會收集隱私政策之外、沒有取得用戶同意的數(shù)據(jù).文獻[22]基于字符串匹配，利用半自動化工具來檢測未經(jīng)事先同意而發(fā)送到互聯(lián)網(wǎng)上的數(shù)據(jù)流量，并檢測了86 163個應(yīng)用程序，發(fā)現(xiàn)有三分之一應(yīng)用程序在未經(jīng)用戶事先明確同意的情況下向第三方發(fā)送個人數(shù)據(jù).

此外，許多移動應(yīng)用開發(fā)者為了各種目的在他們的應(yīng)用中整合第三方服務(wù)，包括應(yīng)用維護分析服務(wù)、用戶參與、社交網(wǎng)絡(luò)整合和廣告.第三方服務(wù)訪問大量有價值的用戶數(shù)據(jù)，這些數(shù)據(jù)往往超出了它們向應(yīng)用開發(fā)者或用戶提供服務(wù)的需要，并且在用戶不知情的情況下進行跟蹤.文獻[32]根據(jù)應(yīng)用程序無限制收集個人信息的情況，提出了一種基于關(guān)聯(lián)挖掘的個人身份信息泄漏檢測方法，設(shè)計并實現(xiàn)了一個自動化系統(tǒng)，用于檢測APP發(fā)送的流量數(shù)據(jù)是否暴露了用戶的個人身份信息，有助于在流量數(shù)據(jù)中發(fā)現(xiàn)隱藏的隱私泄露.文獻[25]使用URL分類器來自動檢測流量級別的第三方廣告和跟蹤服務(wù)，使用這種技術(shù)識別出2 121項此類第三方服務(wù)，其中233項不為其他流行的廣告和跟蹤黑名單所知.第三方跟蹤服務(wù)的隱秘性和高權(quán)限使得該類行為具有較大的違規(guī)風(fēng)險，一種解決隱秘性的可行方案是利用區(qū)塊鏈技術(shù)增強數(shù)據(jù)使用的透明度，文獻[33]提出了一種利用區(qū)塊鏈和智能合約技術(shù)開發(fā)符合GDPR的個人數(shù)據(jù)管理平臺的方案，該方案為服務(wù)提供商和數(shù)據(jù)所有者提供去中心化機制用于處理個人數(shù)據(jù)，確保只有指定方可以處理個人數(shù)據(jù)，并使用智能合約和加密技術(shù)將所有數(shù)據(jù)活動記錄在不可變的分布式賬本中，任何違規(guī)行為都會被永久記錄下來并自動報告，該方法也能有效地解決數(shù)據(jù)所有者無法感知服務(wù)提供商是否遵守GDPR并且有效保護了其個人數(shù)據(jù)的問題.表3整理了這5種典型的違規(guī)檢測手段，分別從違規(guī)檢測方法、分析對象以及違規(guī)行為3方面進行展示.

Table 3 Analysis and Comparison of Violation Detection Methods Based on GDPR

2.1.3 規(guī)避違規(guī)

企業(yè)使用包括企業(yè)網(wǎng)站、社交媒體資料、在線商店等媒介和用戶進行交互，特別是當(dāng)前社交媒體已成為重要的企業(yè)平臺.由于這些媒介處理著大量用戶數(shù)據(jù)，因此企業(yè)必須考慮出臺新的數(shù)據(jù)保護和隱私保護政策以適應(yīng)GDPR條例，履行GDPR所規(guī)定的義務(wù)，確保其軟件系統(tǒng)達到GDPR的要求.本節(jié)總結(jié)了增加隱私政策可讀性、增加數(shù)據(jù)訪問透明度及同意管理3種規(guī)避違規(guī)的手段.

1)增加隱私政策可讀性

隱私政策是用戶了解哪些個人信息被收集和使用的重要媒介，但是隱私政策的可讀性普遍較差，結(jié)合其他復(fù)雜性使其無法達到預(yù)期目的.文獻[34]引入了一種基于自然語言處理技術(shù)的隱私政策摘要工具，該方案能夠以高準確度將隱私政策進行分類以及闡明相關(guān)的風(fēng)險級別.進一步的，文獻[35]提出的方法可以將相當(dāng)長的隱私政策總結(jié)為簡短而濃縮的注釋，從而讓用戶更準確的辨別數(shù)據(jù)收集的范圍.

2)增加數(shù)據(jù)訪問透明度

增加數(shù)據(jù)收集中的透明度有利于數(shù)據(jù)收集安全.文獻[36]調(diào)研了谷歌工具“我的活動”，盡管大多數(shù)參與者并不關(guān)心數(shù)據(jù)收集，但是可以隨時查看數(shù)據(jù)收集情況使得大部分用戶增加了對產(chǎn)品的信任度.同樣的，文獻[37]介紹了一種用Web界面從不同在線服務(wù)導(dǎo)出數(shù)據(jù)收集和處理情況進行可視化展示，有效提高了用戶對在線服務(wù)收集數(shù)據(jù)的行為認識.

在某些情況下，服務(wù)提供商并非真正需要采集到個人敏感數(shù)據(jù)，采集的目的可能只是為了收集豐富的某項數(shù)據(jù)以滿足其分析的需求，文獻[38]提出的區(qū)塊鏈系統(tǒng)采用類似零知識證明的機制，允許用戶在不透露其身份的情況下證明擁有某些屬性，最大限度地在滿足服務(wù)提供商需求的情況下使得用戶提供的信息最少，因此GDPR所強調(diào)的數(shù)據(jù)最小化原則在一定程度上可以增加數(shù)據(jù)采集的安全性.

3)同意管理

由于同意通知的復(fù)雜性和動態(tài)性，必須執(zhí)行合規(guī)性驗證或?qū)徲媮肀ＷC數(shù)據(jù)采集的合規(guī).采用工具進行驗證是一種有效的手段.文獻[39]提出了隱私政策和同意管理需要的機器策略語言，使用推理器進行語義合規(guī)性檢查.基于此項研究，文獻[40]提出了一種數(shù)據(jù)保護設(shè)計工具，將GDPR法規(guī)轉(zhuǎn)換為軟件代碼，從而實現(xiàn)自動化合規(guī)性驗證.文獻[41]認為通過確保數(shù)據(jù)處理中使用的數(shù)據(jù)集從一開始就符合同意，使用給定同意的結(jié)構(gòu)化表示來“實時”生成數(shù)據(jù)集，可以增加透明度，方便用戶給予、撤回他們對系統(tǒng)數(shù)據(jù)處理的同意許可，減少了事后進行遵守情況分析的需要.

根據(jù)GDPR的要求，服務(wù)提供商需要告知用戶他們的數(shù)據(jù)收集情況，經(jīng)過用戶允許才能收集特定的數(shù)據(jù).文獻[42]通過對數(shù)千名參與者的調(diào)研得出，用戶普遍在服務(wù)提供商數(shù)據(jù)收集和數(shù)據(jù)使用的解釋上沒有仔細地閱讀，削弱了同意通知的作用，這表明了用戶體驗需要進一步改進.此外，對于應(yīng)用程序和網(wǎng)站的開發(fā)人員，根據(jù)文獻[43]的研究，只有不到四分之一的專業(yè)人員能夠接觸到安全專家，而且很少有技術(shù)人員因為歐洲GDPR立法而對其軟件進行針對性的優(yōu)化，因此規(guī)避違規(guī)行為還需要很長一段路由走，用戶既要提高隱私保護意識，明確GDPR賦予的權(quán)利，企業(yè)也要采取積極手段響應(yīng)政策，避免受到處罰.

2.1.4 小結(jié)

2.1節(jié)主要從典型的GDPR違規(guī)案例出發(fā)，對基于GDPR的合規(guī)檢測研究工作進行了分析和討論，并給出了GDPR合規(guī)檢測研究領(lǐng)域的一些觀點.

討論1.本節(jié)從不同角度分析和歸納了幾種違規(guī)檢測方法，對應(yīng)著不同的違規(guī)行為.從分析對象來看，違規(guī)檢測方法針對的是不同場景、不同階段下的特定行為，基本覆蓋了數(shù)據(jù)收集、處理的各個階段；從分析方法來看，目前大多數(shù)文獻主要集中于使用自動化工具進行違規(guī)識別，此類問題的解決方法大都是以機器學(xué)習(xí)技術(shù)為基礎(chǔ)構(gòu)建的自動化工具進行分析，在各自的實驗場景中表現(xiàn)出了出色的檢測效果，此外，使用區(qū)塊鏈技術(shù)進行違規(guī)檢測的研究目前較少，且都是以理論框架構(gòu)建為主，如何將區(qū)塊鏈和智能合約技術(shù)進行有效地應(yīng)用仍然需要研究人員進一步探索.

觀點1.目前的自動化檢測的手段大都圍繞機器學(xué)習(xí)算法，實驗對象也是特定場景下的應(yīng)用程序或網(wǎng)站，有一定的局限性.并且由于分析的對象并不相同，數(shù)據(jù)集的訓(xùn)練性能有一定的針對性，能否在跨平臺跨類別的應(yīng)用程序上達到相近的性能值得進一步的探討.進一步的，違規(guī)行為分布在數(shù)據(jù)收集、處理、共享、流動的各個階段，每個階段所涉及到的場景都是非常多樣的，這給違規(guī)行為檢測帶來了很大的挑戰(zhàn)，如何找到違規(guī)檢測在不同階段的普適性方法以及如何針對不同場景進行優(yōu)化是未來的一大難點.

2.2 隱私政策分析

隱私政策是一份聲明或法律文件，它向用戶披露數(shù)據(jù)收集、使用、存儲和共享的部分或全部方式，使用戶能夠在注冊任何服務(wù)或決定是否繼續(xù)使用服務(wù)時做出明智的決定，是數(shù)據(jù)控制者和用戶之間信息傳播的主要媒介.隨著數(shù)據(jù)隱私保護成為一個重要的社會問題，不同國家和地區(qū)都制定了相應(yīng)的法律法規(guī)來保證用戶數(shù)據(jù)的安全性和隱私性，其中最具有代表性的就是GDPR.但是檢測收集、處理或存儲用戶個人數(shù)據(jù)服務(wù)商的合規(guī)性是法律執(zhí)行的一大困難挑戰(zhàn).這個困難主要來自于2個方面：1)GDPR等法律法規(guī)是用自然語言編寫的，包含了大量的法律術(shù)語，沒有法律知識的用戶很難讀懂.2)隱私政策通常用冗長而復(fù)雜的文檔展示，用戶閱讀起來非常耗時.文獻[44]在2008年就指出，如果一個用戶要閱讀在互聯(lián)網(wǎng)上訪問的每一項服務(wù)的隱私政策，平均每年需要244 h.因此當(dāng)前研究的主要方向是自動地發(fā)現(xiàn)法規(guī)與隱私政策之間的合規(guī)性問題，并為數(shù)據(jù)主體(即用戶)、數(shù)據(jù)收集方(即服務(wù)提供商)和監(jiān)管當(dāng)局提供直觀的結(jié)果[45].

在GDPR出現(xiàn)之前，已有很多對隱私政策的分類研究，大多數(shù)方法都是利用自然語言處理技術(shù)對隱私政策進行分析[46-48]，但使用的方法欠缺遷移性，在GDPR相關(guān)的隱私分析中并不適用.新興的機器學(xué)習(xí)技術(shù)越來越多地被用于輔助隱私保護，通過對隱私政策的評估與分析，使政策更具可讀性，并檢測隱私政策中的模糊內(nèi)容.文獻[30]提出了一個自動系統(tǒng)HPDROID，通過識別應(yīng)用隱私政策中聲明的數(shù)據(jù)實踐和應(yīng)用代碼中的數(shù)據(jù)相關(guān)行為來彌合GDPR的一般規(guī)則和應(yīng)用實現(xiàn)之間的語義鴻溝.該系統(tǒng)根據(jù)GDPR第5條相應(yīng)的3個基本要求，即透明度、數(shù)據(jù)最小化、保密性，將自然語言處理技術(shù)與機器學(xué)習(xí)相結(jié)合，對796個移動健康應(yīng)用程序隱私政策進行了檢測，發(fā)現(xiàn)其中189個沒有提供完整的隱私政策，HPDROID提高了應(yīng)用程序用戶和開發(fā)者的隱私保護意識.

文獻[35]在2018年受到GDPR和機器學(xué)習(xí)技術(shù)的影響，根據(jù)GDPR第12,13條的規(guī)定提出了風(fēng)險指標，并使用了樸素貝葉斯、支持向量機(support vector machine, SVM)、決策樹和隨機森林4種有監(jiān)督的機器學(xué)習(xí)技術(shù).基于風(fēng)險指標對冗長的隱私政策進行了分類，簡化了隱私政策的解釋，并提醒用戶注意建議的風(fēng)險指標.文獻[49]在文獻[35]的基礎(chǔ)上，增加了數(shù)據(jù)集的范圍，從網(wǎng)上爬取了1200個隱私政策，按照5項GDPR隱私政策核心要求進行標記，并增加了單詞嵌入技術(shù)與監(jiān)督學(xué)習(xí)相結(jié)合，對隱私政策進行了分類，發(fā)現(xiàn)超過76%的隱私政策不滿足5項基本要求，因此可能不完全符合GDPR.文獻[35,49]提出的各種基于機器學(xué)習(xí)的方法在一定程度上解決了隱私政策總結(jié)問題，但是他們使用的都是美國或者歐盟網(wǎng)站的數(shù)據(jù)集，對其他國家的網(wǎng)站效率并不高.文獻[50]從GDPR和《巴基斯坦數(shù)保護法》中提取了10個隱私慣例，定義了27個類別標簽，從5個部門的巴基斯坦網(wǎng)站編譯了120條隱私政策的標記數(shù)據(jù)集，使用了SVM、Logistic回歸、KNN和樸素貝葉斯4個機器學(xué)習(xí)分類器對數(shù)據(jù)集進行了訓(xùn)練和測試，實現(xiàn)了對巴基斯坦網(wǎng)站隱私政策的合規(guī)性檢查.

對隱私政策的大量研究都依賴于有監(jiān)督的機器學(xué)習(xí)方法，這些方法需要標注隱私政策的數(shù)據(jù)集，但是這種公開的數(shù)據(jù)集很少，因此隱私政策語料庫的建立極其重要.文獻[51]基于眾包創(chuàng)建了一個名為OPP-115的網(wǎng)站隱私政策語料庫，其中包含23 000細粒度的數(shù)據(jù)實踐.文獻[52]擴展了OPP-115語料庫，增加了標記“退出選擇”的細粒度信息，該文獻專注于自動識別隱私政策文本中的用戶選擇的任務(wù).文獻[53]引入了從GDPR條款到OPP-115注釋方案的映射，證明了OPP-115的廣泛適用性.文獻[54]建立了一個包含350條移動應(yīng)用隱私政策的語料庫，并提供了一個可擴展的管道來分析帶有隱私政策的APP可執(zhí)行文件的潛在合規(guī)性問題.文獻[55]提出了一種自動檢測隱私政策中模糊詞和句子的方法，通過眾包創(chuàng)建了一個模糊詞語料庫.文獻[35]向前邁出了一步，創(chuàng)建了一個包含45個手動標記的隱私政策的語料庫，專注于由專家定義的隱私政策的風(fēng)險級別.文獻[45]根據(jù)GDPR第13條對隱私政策進行合規(guī)性分析，設(shè)計了一種基于GDPR的分類方案，并為此手動策劃了304個隱私政策的語料庫.對于語料庫的擴大和填充，還需要研究人員進一步努力.

除了文獻[35,49-50]對網(wǎng)站的隱私政策進行分析，還有許多研究對其他領(lǐng)域的隱私政策的分析.文獻[56]根據(jù)GDPR一般規(guī)則，采用有監(jiān)督的NLP技術(shù)對基金行業(yè)的234個隱私政策進行了檢測.文獻[45]從Google Play6(應(yīng)用程序商店之一)收集應(yīng)用程序的隱私政策，涵蓋了22個應(yīng)用程序類別，并基于GDPR第13條的分類方案注釋了一個包含304個隱私政策的語料庫.算法采用了SVM，以及基于嵌入的雙向長短期記憶網(wǎng)絡(luò)((bi-directional long short-term memory, BiLSTM)和基于上下文Bert網(wǎng)絡(luò)2種具有代表的神經(jīng)網(wǎng)絡(luò)模型.文獻[57]采用了文本模糊解釋結(jié)構(gòu)建模(textual fuzzy interpretive structural modeling, TFISM)確定了GDPR中的關(guān)鍵因素，并將它們與各種云服務(wù)隱私政策進行了比較，檢測了GDPR與服務(wù)隱私政策之間對于不同關(guān)鍵術(shù)語或因素的優(yōu)先級設(shè)置的相似性.文獻[58]開發(fā)了一個集成的、語義豐富的知識圖譜來表示GDPR所規(guī)定的規(guī)則，并將其應(yīng)用于云隱私政策中對比語義相似性，大數(shù)據(jù)從業(yè)者可以利用該方法根據(jù)授權(quán)文件定期更新其參考文件.

小結(jié)：2.2節(jié)從現(xiàn)有的基于GDPR的隱私政策合規(guī)性研究工作中，挑選和總結(jié)了5項具有代表性的研究工作，并給出了基于GDPR的隱私政策合規(guī)性研究領(lǐng)域的一些觀點.表4分別從分析依據(jù)、數(shù)據(jù)集、算法以及最優(yōu)算法多個角度進行分析和討論.

討論2.由表4可知，1)從分析依據(jù)而言，基于GDPR第13條的要求進行合規(guī)性分析占研究的多數(shù).2)從數(shù)據(jù)集來看，大多采用的是英文的隱私政策，數(shù)據(jù)集的范圍領(lǐng)域在不斷的擴大.3)從算法來看，文獻[35,45,49-50]都采用了3個及以上的算法進行對比分析，結(jié)果都得出SVM算法對隱私政策的分析領(lǐng)域適用性最好.

觀點2.基于GDPR的隱私政策的合規(guī)性研究能夠?qū)㈦[私政策中數(shù)據(jù)收集、使用、存儲和共享的部分或全部方式直觀地展現(xiàn)給用戶和服務(wù)提供商，促進了數(shù)據(jù)隱私保護領(lǐng)域的發(fā)展，其研究意義重大.通過對比和歸納現(xiàn)有工作，本文發(fā)現(xiàn)：1)相比于深度學(xué)習(xí)算法，SVM算法在隱私政策分類上有更好的結(jié)果，這或許是因為深度學(xué)習(xí)算法欠缺專業(yè)標注的數(shù)據(jù)集，同時也缺少大量的正樣本來訓(xùn)練神經(jīng)網(wǎng)絡(luò).2)隱私政策語料庫目前大部分涉及的是英文，多語言融合的語料庫有待研究人員進一步開發(fā).

Table 4 Comparison of Privacy Policy Analysis Based on GDPR

2.3 GDPR模型框架

通過調(diào)研現(xiàn)有研究工作，目前常見的GDPR模型主要基于合規(guī)性檢測、隱私政策分析以及系統(tǒng)模型設(shè)計來遵循GDPR基本原則.因此，本節(jié)從這3種不同的技術(shù)角度，分別闡述了基于合規(guī)性檢測的框架模型、隱私設(shè)計的框架模型以及系統(tǒng)設(shè)計的框架模型的研究進展.同時，在現(xiàn)有研究工作的基礎(chǔ)上，對每種模型框架進行分析討論，并給出觀點.

2.3.1 合規(guī)性檢測框架模型

通用數(shù)據(jù)保護條例(GDPR)的合規(guī)性對組織在個人數(shù)據(jù)隱私保護上提出了更高的要求，每個組織都必須考慮適用其組織架構(gòu)的框架模型，然而龐大且復(fù)雜的法律合規(guī)需求極大地限制了組織的效率，如何為組織提供良好語義化的GDPR框架仍是一項重要的挑戰(zhàn).現(xiàn)有的研究工作主要通過合規(guī)檢查表、合規(guī)評估工具以及法律模型來實現(xiàn)GDPR的合規(guī)性檢測.

公共機構(gòu)和公司開發(fā)構(gòu)建的合規(guī)檢查表[59-61]，能夠有效支持組織檢查其對GDPR的遵守情況.文獻[59]提出了GDPR文本擴展(GDPRtEXT)，使用歐洲立法標識符(European legislation identifier, ELI)本體將GDPR公開為鏈接數(shù)據(jù)，將概念與GDPR相關(guān)文本鏈接起來.組織可引用查詢結(jié)果并鏈接至相關(guān)文本，從而記錄和衡量對GDPR的遵守情況.處理活動登記冊(record of processing activities, ROPA)是組織個人數(shù)據(jù)處理活動的綜合記錄，創(chuàng)建和維護ROPA是實現(xiàn)問責(zé)制并幫助監(jiān)管機構(gòu)實施GDPR合規(guī)監(jiān)管的重要過程.然而，傳統(tǒng)的通過電子表格維護的ROPA缺乏適合構(gòu)建自動化工具鏈的數(shù)據(jù)結(jié)構(gòu)及語義.文獻[60]通過語義網(wǎng)絡(luò)將不同監(jiān)管機構(gòu)發(fā)布的模板合并為良好交互性的ROPA通用語義模型(common semantic model for ROPAs, CSM-ROPA)，并基于擴展數(shù)據(jù)隱私詞匯(data privacy vocabulary, DPV)為跨域法管轄合規(guī)性提供統(tǒng)一數(shù)據(jù)模型.文獻[61]在文獻[60]的基礎(chǔ)上構(gòu)建使用DPV審計個人數(shù)據(jù)國際傳輸?shù)腉DPR合規(guī)性工具，并在識別數(shù)據(jù)轉(zhuǎn)移、合規(guī)性以及問責(zé)制方面有積極反饋.但受限于測試規(guī)模，該模型性能還需要進一步考量.

在合規(guī)評估方面，工具的實現(xiàn)往往需要基于具體的數(shù)據(jù)保護技術(shù)(例如，區(qū)塊鏈、數(shù)據(jù)挖掘技術(shù))或集成定制滿足GDPR原則的工具實現(xiàn).GDPR強調(diào)必須確保組織在用戶同意情況下使用數(shù)據(jù)，用戶同意也是執(zhí)行同意機制的互操作性、正確性和完整性的基礎(chǔ).文獻[62]提出了一種基于區(qū)塊鏈的合規(guī)驗證模型，確保只有獲得用戶授權(quán)的實體才能訪問用戶數(shù)據(jù)，且所有數(shù)據(jù)交互都記錄在區(qū)塊鏈上，但是該方案僅保障GDPR同意機制的實施，無法滿足GDPR整體合規(guī)驗證.此外，數(shù)據(jù)驅(qū)動型組織嚴重依賴于數(shù)據(jù)處理，存在數(shù)據(jù)交互的業(yè)務(wù)很容易違反GDPR.文獻[63]提出一種基于事件日志行為的在線流程挖掘框架以實現(xiàn)支持業(yè)務(wù)流程的GDPR合規(guī)性.通過前向合規(guī)技術(shù)檢測業(yè)務(wù)流程的合規(guī)性，由流程挖掘技術(shù)從事件日志中發(fā)現(xiàn)組織的違規(guī)行為來為流程提供用例.一致性檢查技術(shù)將觀察到的行為與業(yè)務(wù)流程期望的行為進行對比，以評估它們的偏差值，然后通過向后合規(guī)檢查技術(shù)發(fā)現(xiàn)不合規(guī)方面并相應(yīng)地調(diào)整模型，但該框架在復(fù)雜度高、跨越組織的業(yè)務(wù)流程中存在一定的局限性.

從學(xué)術(shù)屆和產(chǎn)業(yè)屆方面的工作來看，許多工具和模型僅滿足特定或孤立的GDPR需求，例如透明度、問責(zé)制或數(shù)據(jù)最小化，較少存在全面支持GDPR原則的模型.文獻[64]設(shè)計了一個支持GDPR數(shù)據(jù)治理的DEFeND平臺框架，能夠有效復(fù)用和集成滿足特定或孤立GDPR異構(gòu)的工具，圍繞隱私保護的設(shè)計、同意機制管理和隱私影響評估管理3個概念，幫助組織模塊化實現(xiàn)GDPR合規(guī)性.該方案能滿足GDPR多方面的要求，對GDPR的實施提供了完整的參考實例.然而，目前仍缺乏應(yīng)用于大數(shù)據(jù)場景中多源數(shù)據(jù)、不同目的和密集型數(shù)據(jù)處理的GDPR合規(guī)性解決方案.文獻[65]提出了一個組件化框架來實現(xiàn)大數(shù)據(jù)場景中的GDPR應(yīng)用，該框架允許對與GDPR相關(guān)的工作進行分類并集成在框架組件中，解決了大數(shù)據(jù)系統(tǒng)中的異構(gòu)性和多源數(shù)據(jù)分析的需求，但還需要大量的測試來平衡安全解決方案和性能開銷.

除此之外，法律建模方法[66-67]建議對監(jiān)管概念進行建模以實現(xiàn)GDPR合規(guī)性，法律文本通常包含特定領(lǐng)域術(shù)語的定義、交叉引用和歧義，其可解釋性對于開發(fā)人員可能具有挑戰(zhàn)性，公司通常使用法規(guī)評估工具來提升法律文本的可讀性，幫助組織了解其法律義務(wù).文獻[66]提出了一個描述GDPR原則的企業(yè)架構(gòu)模型(enterprise architecture models, EAM)，將GDPR法規(guī)形式化為遵循合規(guī)性原則的EAM片段并強調(diào)GDPR原則和義務(wù)之間的聯(lián)系，幫助組織積極履行法規(guī)義務(wù).同時，該方案在企業(yè)架構(gòu)的不同層次上對GDPR法規(guī)建模，解決單一方面建模的局限性.然而，現(xiàn)有的法律建模傾向于考慮特定法規(guī)，但在實際環(huán)境中企業(yè)將面臨諸多法規(guī)制約.文獻[67]提出了一個靈活的模塊化立法合規(guī)評估框架，該框架旨在支持多項立法，此外，該框架還擴展了開放數(shù)字版權(quán)語言(open digital rights language, ODRL)用于表達立法義務(wù)，這兩者都是邁向上下文內(nèi)容相關(guān)合規(guī)系統(tǒng)的重要一步，使系統(tǒng)可以輕松適應(yīng)不同的監(jiān)管領(lǐng)域.

合規(guī)檢查表、合規(guī)評估工具以及法律建模方法都能夠在不同程度上實現(xiàn)GDPR合規(guī)原則檢測，為檢查合規(guī)性和理解GDPR的影響提供指導(dǎo).

2.3.2 隱私設(shè)計框架模型

隱私設(shè)計是指在設(shè)計系統(tǒng)時需考慮到隱私問題，即在處理方法的設(shè)計階段必須已經(jīng)考慮到所需的隱私保護問題，與隱私相關(guān)的問題應(yīng)該在設(shè)計層面解決，而不是在實施之后.這種方法通常被稱為隱私設(shè)計.在設(shè)計隱私框架時通常需要滿足GDPR的相關(guān)原則，如主體同意原則、透明度原則、真實性和準確原則以及問責(zé)原則等，以有效保障合規(guī)性.

文獻[68-69]基于GDPR基本隱私原則設(shè)計了滿足GDPR要求的隱私設(shè)計框架，以實現(xiàn)在源頭滿足GDPR合規(guī)性的方法.GDPR定義了問責(zé)機制以保障個人數(shù)據(jù)的隱私，通過賦予個人對隱私數(shù)據(jù)的控制權(quán)來提升個人數(shù)據(jù)隱私權(quán)限.文獻[68]提出了一種滿足GDPR數(shù)據(jù)處理要求的隱私設(shè)計框架(privacyTracker)，該框架支持包括數(shù)據(jù)可追溯性在內(nèi)的GDPR基本原則，允許用戶從任意節(jié)點以不同索引方式遍歷引用來構(gòu)建跟蹤樹，即所有接收數(shù)據(jù)實體的樹狀記錄，跟蹤收集數(shù)據(jù)的披露情況，實現(xiàn)個人數(shù)據(jù)泄露問責(zé)的同時評估數(shù)據(jù)完整性.這些隱私設(shè)計框架雖能有效保存和處理個人數(shù)據(jù)，但僅關(guān)注了局部的隱私原則，缺乏對隱私設(shè)計問題的整體認識.文獻[69]依據(jù)GDPR基本原則為企業(yè)架構(gòu)提供模式庫、集成用例來實現(xiàn)GDPR合規(guī)性；通過對來源的檢索、識別實體對象并分析所需的業(yè)務(wù)流程來定義用例；選擇模式對應(yīng)的GDPR原則或創(chuàng)建新模式來確保信息系統(tǒng)符合GDPR.該方案能夠依據(jù)檢索模式實現(xiàn)滿足GDPR的隱私設(shè)計，融合多模式解決整體隱私設(shè)計問題，具有良好的泛化能力.但同時，需要不斷更新模式庫，以滿足不斷出現(xiàn)的隱私設(shè)計問題.

2.3.3 系統(tǒng)設(shè)計框架模型

GDPR的提出使得組織需要設(shè)計同時兼顧功能和隱私原則的系統(tǒng)模型.文獻[70-71]針對不同應(yīng)用場景設(shè)計系統(tǒng)框架以遵循GDPR原則.

社會技術(shù)安全(science,technologhy and society, STS)是一種設(shè)計安全復(fù)雜系統(tǒng)的方法，其中自主參與者和機器之間建立相互依賴關(guān)系通過交互和共享數(shù)據(jù)實現(xiàn)目標.文獻[70]提出了一種由建模語言和推理框架構(gòu)成的社會技術(shù)系統(tǒng)設(shè)計方法，通過建模識別參與者之間的依賴關(guān)系實現(xiàn)滿足GDPR的社會層面建模，并由推理框架自動驗證隱私政策合規(guī)性.

工業(yè)領(lǐng)域中識別或分析人類行為的算法，有助于實現(xiàn)和增強人機協(xié)作，但數(shù)據(jù)主體隱私與工作流程有效性之間存在沖突.文獻[71]基于自動化工業(yè)生產(chǎn)場景提出了符合GDPR自動化服務(wù)的分布式隱私感知軟件架構(gòu)，在保證個人數(shù)據(jù)(personal data, PD)自動化感知服務(wù)隱私性的同時，規(guī)定自動化服務(wù)公司的義務(wù)和職責(zé).但適用范圍較為局限，需要與企業(yè)資源規(guī)劃和信息安全管理系統(tǒng)的協(xié)同作用.

在醫(yī)療行業(yè)這種依賴個人敏感信息(病例)的系統(tǒng)中，需要著重考慮數(shù)據(jù)處理的安全性.文獻[72]為電子健康記錄(electronic health records, EHR)提出一種可互操作的openEHR系統(tǒng)架構(gòu)，允許用戶實時接收數(shù)據(jù)并在同意的情況下共享數(shù)據(jù).該模型實現(xiàn)系統(tǒng)功能層和數(shù)據(jù)可追溯性、完整性和機密性相關(guān)需求，提供了開發(fā)兼容衛(wèi)生系統(tǒng)的完整方法.同時，文獻[73]提出一個面向患者基于區(qū)塊鏈和快速醫(yī)療互操作性資源(fast healthcare interoperability resources, FHIR)的電子健康錢包(electronic health wallet, EHW)系統(tǒng)，和一個兼容GDPR法規(guī)的基于健康物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)的PHR系統(tǒng)框架.PHR系統(tǒng)可以兼顧數(shù)據(jù)隱私保護以及數(shù)據(jù)互操作性，鼓勵患者選擇性的共享數(shù)據(jù)，并以保護隱私的方式對物聯(lián)網(wǎng)健康數(shù)據(jù)進行分析，進一步解決了醫(yī)療系統(tǒng)設(shè)計中的互操作性及隱私保護問題.但是，基于系統(tǒng)的設(shè)計框架需要平衡系統(tǒng)功能的可用性和數(shù)據(jù)主體隱私之間的關(guān)系，進而有效遵循GDPR原則，針對不同系統(tǒng)實現(xiàn)模型設(shè)計的統(tǒng)一方案還未實現(xiàn).

2.3.4 小結(jié)

2.3節(jié)從現(xiàn)有的基于GDPR的模型框架的研究工作中，總結(jié)了4類具有代表性的合規(guī)方法并針對每類合規(guī)方法挑選出2種及以上代表性的研究工作，具體如表5所示.表5分別從合規(guī)方法、具體方式、分析對象以及使用領(lǐng)域多個角度進行分析和討論.

Table 5 Comparison of Compliance Methods Based on the GDPR Model Framework

討論3.通過研究大量文獻，本節(jié)將GDPR模型框架分為合規(guī)性檢測框架、隱私設(shè)計框架以及系統(tǒng)設(shè)計框架3部分.其中，合規(guī)性檢測框架通過合規(guī)檢查表[59-61]、合規(guī)評估工具[62-65]以及法律建模[66-67]檢測GDPR的合規(guī)性.由文本擴展[59]、通用語義模型[60]和數(shù)據(jù)隱私詞匯[61]構(gòu)成的合規(guī)檢查表通過建立概念與GDPR法規(guī)的映射關(guān)系，在一定程度上幫助組織實現(xiàn)合規(guī)性檢測，但其多依賴于人工實現(xiàn)，在實現(xiàn)效率和靈活度上有待考量.合規(guī)性評估工具基于數(shù)據(jù)保護技術(shù)[62-63]或滿足特定或孤立GDPR要求的工具集合[64-65]，評估GDPR的遵循情況進而保障組織合規(guī)性.法律建模方法[66-67]對監(jiān)管概念建模，提高法律文本的可解釋性，以減輕組織GDPR合規(guī)性挑戰(zhàn).隱私設(shè)計框架[68-69]在設(shè)計層面基于GDPR基本原則設(shè)計隱私框架以保障隱私合規(guī).系統(tǒng)設(shè)計框架[70-73]針對不同場景設(shè)計兼顧系統(tǒng)功能可用性、效率和數(shù)據(jù)隱私的系統(tǒng)框架.

觀點3.針對合規(guī)性檢測框架多層架構(gòu)、多源數(shù)據(jù)和不同目的數(shù)據(jù)處理的需求，隱私設(shè)計框架構(gòu)建整體隱私設(shè)計框架的要求，以及系統(tǒng)設(shè)計框架平衡系統(tǒng)功能和數(shù)據(jù)隱私保護之間關(guān)系的問題，本文通過對比和歸納現(xiàn)有研究工作發(fā)現(xiàn)：1)使用集成性和自動化合規(guī)性檢測工具并通過具有明確組件的模塊化框架能夠快速解決概念合規(guī)、數(shù)據(jù)合規(guī)以及流程合規(guī)的挑戰(zhàn)，有效實現(xiàn)GDPR合規(guī)性；2)集成多種隱私設(shè)計模式方案的模式庫能夠?qū)崿F(xiàn)整體隱私設(shè)計需求，但需要與自動化工具結(jié)合以實現(xiàn)高效的隱私設(shè)計；3)異構(gòu)性及其功能和隱私保護等級需求不同，使得現(xiàn)有研究工作并沒有提出滿足異構(gòu)系統(tǒng)的系統(tǒng)設(shè)計框架.

2.4 小 結(jié)

建立合理的合規(guī)性檢測框架，進一步規(guī)范現(xiàn)有的隱私政策，并且采用普適性的高效檢測方法，才能達到GDPR的政策預(yù)期，保護公民的數(shù)據(jù)安全和隱私.本節(jié)分別從違規(guī)檢測手段、隱私政策設(shè)計和GDPR合規(guī)性模型框架等方面分析了推動GDPR政策落實的技術(shù)手段，并加以概括總結(jié)，同時指出了進一步的研究方向，圖7選擇部分代表性文獻展示了GDPR的合規(guī)性研究發(fā)展歷程.

Fig.7 The development of GDPR compliance testing

3 GDPR相關(guān)的技術(shù)應(yīng)用

3.1 基于GDPR的數(shù)據(jù)技術(shù)

GDPR指導(dǎo)了數(shù)據(jù)控制者和數(shù)據(jù)處理者如何對數(shù)據(jù)進行合理的處置，但數(shù)據(jù)處理必然存在著一定的風(fēng)險，為了降低數(shù)據(jù)處理的安全風(fēng)險，需要制定相應(yīng)的保護措施.逐漸增多的跨境業(yè)務(wù)也為個人數(shù)據(jù)隱私增添了一份安全隱患，跨境流動數(shù)據(jù)需要得到更有力的保護.本節(jié)將從數(shù)據(jù)保護影響評估和數(shù)據(jù)跨境流動2個方面探討GDPR相關(guān)的數(shù)據(jù)技術(shù)研究進展.

3.1.1 數(shù)據(jù)保護影響評估

GDPR第35條規(guī)定當(dāng)個人數(shù)據(jù)處理的過程中可能會對個人權(quán)利和自由產(chǎn)生高風(fēng)險時，數(shù)據(jù)控制者應(yīng)提前做好數(shù)據(jù)保護影響評估(data protection impact assessment, DPIA).DPIA建立在隱私影響評估(PIAs)的基礎(chǔ)上，是組織和企業(yè)必須履行的一項有關(guān)GDPR數(shù)據(jù)問責(zé)制的關(guān)鍵義務(wù)，它可以幫助企業(yè)實現(xiàn)風(fēng)險最小化，并幫助企業(yè)證明合規(guī)性.如果企業(yè)未能履行這項義務(wù)，則將面對極其嚴厲的處罰，包括高達1000萬歐元的罰款，或者高達到2%的全球年營業(yè)額.

雖然GDPR對數(shù)據(jù)保護影響評估提出了相關(guān)要求，但是GDPR只規(guī)定了實施DPIA的最低標準，并沒有涉及明確的執(zhí)行方法[74].文獻[74-75]結(jié)合了德國數(shù)據(jù)保護機構(gòu)采用的標準數(shù)據(jù)保護模型(standard data protection model, SDM)方法，文獻[74]設(shè)計了一種跨學(xué)科的風(fēng)險評估方法，將DPIA過程分為了準備、評估以及報告和保障3個階段，并提出了可用性、完整性、機密性、不可鏈接性、透明性和可干預(yù)性6個評估要素.文獻[75]就有關(guān)如何實施DPIA框架的問題展開了討論，并通過2個案例的分析總結(jié)，實現(xiàn)利用SDM的數(shù)據(jù)保護目標來對風(fēng)險進行結(jié)構(gòu)化分析，未來也可以將這項工作納入SDM.文獻[76]在文獻[74]的基礎(chǔ)上對方法進行了實踐，使用文獻[74]的方法實施DPIA，與12個組織展開了合作，并分享了與公司合作實施以來積累的經(jīng)驗，以及不同的利益相關(guān)者在實施DPIA時需要注意的事項.

文獻[77-78]針對特定的DPIA實施環(huán)境進行了分析.文獻[77]專門對慈善機構(gòu)及中小型企業(yè)展開了研究，與其他組織不同的是，慈善機構(gòu)和中小型企業(yè)通常在財務(wù)和資源方面能力有限，因此在處理特殊類型數(shù)據(jù)和個人身份數(shù)據(jù)的工作上缺乏專業(yè)性.文章展示了實施DPIA的示范過程及設(shè)計框架，并通過一家實際的慈善機構(gòu)進行了驗證，該框架同樣可以應(yīng)用于其他需要實施DPIA的組織.文獻[78]則主要針對IT系統(tǒng)，在系統(tǒng)開發(fā)早期通過基于模型的隱私安全分析來實現(xiàn)DPIA，并通過3個工業(yè)案例研究對該方法進行驗證和評估.

因為現(xiàn)有的DPIA方法主要由分析師來進行評估，所以很容易受到分析師的主觀影響，為了解決這個問題，文獻[79]提出了一套有明確定義的標準用來幫助分析師評估隱私風(fēng)險的影響和可能性，同時使用模糊多準則決策方法來系統(tǒng)評估隱私威脅的嚴重程度并進行建模.文獻[80]結(jié)合數(shù)據(jù)保護影響評估(DPIA)和信息安全風(fēng)險評估(information security risk assessment, ISRA)提出了一個信息安全風(fēng)險評估模型pISRA，該模型為評估者提供了一個可以進行比較和重復(fù)的評估方法，但是還沒有得到具體實現(xiàn).

小結(jié)：本節(jié)主要針對現(xiàn)有的數(shù)據(jù)保護影響評估(DPIA)方法進行了討論和分析，并給出了基于數(shù)據(jù)影響保護評估領(lǐng)域的一些觀點.

討論4.目前大多數(shù)研究工作都集中在構(gòu)建DPIA實施框架及流程示范上，但有關(guān)DPIA框架的具體實現(xiàn)較少.部分研究工作針對一些特定的組織分析了DPIA實施環(huán)境，并對DPIA框架進行了驗證.除此之外分析師的主觀想法也會影響到DPIA流程，明確的標準和系統(tǒng)的評估能夠幫助DPIA的順利實施.

觀點4.由于GDPR沒有對DPIA的具體實施方法進行詳細說明，因此目前仍缺乏標準化的DPIA實施流程，同時每個領(lǐng)域需要解決的問題不同，對于DPIA流程設(shè)計的需求也不盡相同，這給DPIA的實施帶來了很大的挑戰(zhàn).如何針對特定的領(lǐng)域設(shè)計專門的標準化DPIA程序仍需要進一步研究.

3.1.2 數(shù)據(jù)跨境流動安全

由于各國之間對于個人數(shù)據(jù)的相關(guān)法律要求不盡相同，比如歐盟的GDPR標準對于個人數(shù)據(jù)的保護十分嚴格，而中國的《數(shù)據(jù)安全法》出臺還沒多久，在個人數(shù)據(jù)的保護方面還較為薄弱，因此個人數(shù)據(jù)的跨境流動會帶來較大的安全隱患.數(shù)據(jù)跨境流動要注意數(shù)據(jù)合規(guī)性問題，合規(guī)性驗證對于保證業(yè)務(wù)流程的整個生命周期的安全性至關(guān)重要.

目前針對數(shù)據(jù)跨境安全領(lǐng)域的研究主要集中在政策解讀和模型架構(gòu)、技術(shù)支持方案以及醫(yī)療健康數(shù)據(jù)方面.

1)政策解讀和模型架構(gòu)

在數(shù)據(jù)跨境政策解讀和現(xiàn)有模型架構(gòu)方面，文獻[81]認為GDPR不僅保護了數(shù)據(jù)基本權(quán)利，也促進了個人數(shù)據(jù)自由流動，這樣形成的分層數(shù)據(jù)保護制度的架構(gòu)保障了包括研究在內(nèi)的以不同的公共或經(jīng)濟利益為基礎(chǔ)進行的數(shù)據(jù)處理活動；而文獻[82]提出了GDPR標準在如何評估第三國制度數(shù)據(jù)保護水平等問題上的缺失和不足，認為可以確定一套實質(zhì)性要求以及第三國必須提供的支持性程序和執(zhí)行機制來確保其數(shù)據(jù)保護水平符合歐盟標準.另外，在國內(nèi)也有大量法律、金融等領(lǐng)域的學(xué)者和專家對GDPR進行了分析和研究，比如，文獻[83]指出GDPR客觀上對國際服務(wù)貿(mào)易規(guī)則產(chǎn)生了深遠而廣泛的影響，其中包含的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則造成了數(shù)字封鎖，構(gòu)成了貿(mào)易障礙，企業(yè)和第三方滿足GDPR標準的數(shù)據(jù)合規(guī)要求困難重重，最終導(dǎo)致數(shù)據(jù)本地化是滿足GDPR合規(guī)要求的最佳選擇.文獻[84]將GDPR與當(dāng)前全球其他主要經(jīng)濟體的跨境數(shù)據(jù)流動政策及其實踐進行比較，分析了“數(shù)字主權(quán)”下全球跨境數(shù)據(jù)流動政策的新動向，從貿(mào)易框架探尋國際合作機制并由此提出對中國相關(guān)體系建設(shè)的建議.

不同國家和組織之間的差異是目前跨境數(shù)據(jù)流動面臨的最大問題，不同的政策措施也意味著不同的數(shù)據(jù)保護水平，因此，文獻[85]對各國及各組織在數(shù)據(jù)跨境流動問題上的現(xiàn)有政策和態(tài)度進行了對比解讀，分析了在APEC、CBPR以及GDPR等多個標準協(xié)定之間建立互操作系統(tǒng)的潛在挑戰(zhàn)和影響，以及站在美國角度，提出了目前在數(shù)據(jù)跨境流動問題上還需要考慮和解決的一系列事項.文獻[86]通過分析歐盟和美國的跨境數(shù)據(jù)保護政策，提出中國應(yīng)該繼續(xù)保護當(dāng)?shù)鼐用竦膫€人數(shù)據(jù)，同時，在考慮到互聯(lián)網(wǎng)帶來的巨大價值，中國應(yīng)該開放非個人數(shù)據(jù)傳輸市場的建議.針對這些爭議和討論，文獻[87]提出一種通用交換數(shù)據(jù)模型(EDM)，該模型利用現(xiàn)有的開放式歐洲標準和技術(shù)規(guī)范作為構(gòu)建塊，以更加內(nèi)聚和統(tǒng)一的方式描述一次性跨境消息交易.文獻[88]從中外數(shù)據(jù)本地化實踐中，抽象出描述數(shù)據(jù)本地化存儲的嚴苛度模型，并以目的和手段之間的適當(dāng)性和必要性為指針，構(gòu)建出一套“數(shù)據(jù)本地化存儲合理界限”理論，并從該理論出發(fā)，檢視中國《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，給出基本評價并提出了數(shù)據(jù)跨境安全評估辦法的總體框架.

2)技術(shù)支持方案

跨境數(shù)據(jù)流動亟待解決的問題和需求已經(jīng)開始催生新的技術(shù)支持方案.例如，文獻[89]引入隱私證書頒發(fā)機構(gòu)(certificate authority, CA)的概念，設(shè)計了一個多個隱私CA的訪問控制層次模型，這些CA負責(zé)管理不同領(lǐng)域的法規(guī)，不僅可以控制不同國家的數(shù)據(jù)傳輸，還可以控制不同經(jīng)濟或政治集團或城市的數(shù)據(jù)傳輸.另外，他們還將城鎮(zhèn)管理應(yīng)用程序作為iKaaS平臺的一個用例，介紹了該訪問控制機制的工作原理.文獻[90]在GEO-TRUST項目中提出了一種稱為偏移量證明(proof of offset, POO)的創(chuàng)新協(xié)議，以通過地理位置、責(zé)任、數(shù)據(jù)公開最小化、數(shù)據(jù)語義注釋實現(xiàn)更高的控制和數(shù)據(jù)訪問限制，從而保證跨域數(shù)據(jù)重用，并提高數(shù)據(jù)保護意識，以此來促進數(shù)據(jù)交換、可信任性、同意管理、聲譽和安全的監(jiān)管.

隨著時代進步和科學(xué)技術(shù)的不斷發(fā)展，區(qū)塊鏈系統(tǒng)提供了一個分散、不變和透明的架構(gòu)，可以將數(shù)據(jù)的所有權(quán)和控制權(quán)交還給用戶，實現(xiàn)可信和負責(zé)的數(shù)據(jù)共享，但對于數(shù)據(jù)共享等領(lǐng)域，區(qū)塊鏈網(wǎng)絡(luò)中仍存在不同的可擴展性、安全性和潛在的隱私問題，如鏈上數(shù)據(jù)隱私、數(shù)據(jù)源身份驗證或遵守隱私法規(guī)，因此，文獻[91]提出了一種基于區(qū)跨鏈系統(tǒng)和密文策略屬性加密的隱私保護和用戶控制的數(shù)據(jù)共享架構(gòu)ThemisABE，該方案具有一對多數(shù)據(jù)加密和細粒度訪問控制等特性，能解決數(shù)據(jù)共享的隱私安全和本地化問題.針對跨境數(shù)據(jù)共享，文獻[92]提出了一個使用區(qū)塊鏈的跨訂單可問責(zé)數(shù)據(jù)共享平臺，其中全球云構(gòu)建在不同國家設(shè)置的多個安全網(wǎng)關(guān)之上，分別使用包括5種算法來處理數(shù)據(jù)訪問請求、數(shù)據(jù)共享、區(qū)塊鏈交易、檢測和懲罰行為不端的實體等問題.文獻[93]針對GDPR下共享數(shù)據(jù)的安全性問題部署了一種基于風(fēng)險的評估方法來確定如何評估現(xiàn)有的數(shù)據(jù)匿名化技術(shù)，以此來與GDPR中的新數(shù)據(jù)類型相協(xié)調(diào)；還進一步開發(fā)了一個基于機器學(xué)習(xí)的隱私風(fēng)險挖掘框架，該框架由兩階段聚類算法和隱私風(fēng)險樹模型組成，可以用于檢測發(fā)布新凈化數(shù)據(jù)集的記錄鏈接風(fēng)險；此外，文獻[93]不僅為數(shù)據(jù)控制者提出了一個隱私管理框架以提高區(qū)塊鏈技術(shù)差異私有數(shù)據(jù)共享的效用和安全性，還提出了另一個結(jié)合區(qū)塊鏈和同態(tài)加密的框架，以外包集中式匿名服務(wù)幫助數(shù)據(jù)所有者與多個數(shù)據(jù)控制者之間共享數(shù)據(jù).除了區(qū)塊鏈技術(shù)，文獻[94]為了讓任何非結(jié)構(gòu)化數(shù)據(jù)云存儲系統(tǒng)都必須滿足跨境數(shù)據(jù)流法規(guī)遵從性的要求，還使用深度學(xué)習(xí)模型將駐留在統(tǒng)一文件和對象存儲中的數(shù)據(jù)分類為個人信息，以及在集群文件系統(tǒng)級別實現(xiàn)地理圍欄功能，以此來規(guī)范分類個人信息的跨境數(shù)據(jù)流.另外，在Web服務(wù)方面，文獻[95]設(shè)計了一種測量方法，用來量化跨境的大規(guī)模跟蹤流量，測量結(jié)果顯示，大部分的跟蹤流量都會在歐盟境內(nèi)終止，也就是跟蹤流量還在GDPR規(guī)則的管轄之下.文獻[96]全面總結(jié)了有關(guān)第三方網(wǎng)站跟蹤的政策及技術(shù)研究，來幫助決策者制定更加安全的解決方案.在移動應(yīng)用方面，文獻[97]針對安卓應(yīng)用程序的數(shù)據(jù)跨境傳輸制定了合規(guī)評估標準，并設(shè)計了合規(guī)性評檢測方法，并用此方法對100個常用的安卓應(yīng)用程序進行了評估，發(fā)現(xiàn)有高達66%的應(yīng)用程序存在著跨境合規(guī)問題.

3)醫(yī)療健康數(shù)據(jù)

在醫(yī)療數(shù)據(jù)方面，為了實現(xiàn)更好的醫(yī)療服務(wù)，患者的跨境移動、遠程醫(yī)療和醫(yī)療研究的交流都給數(shù)據(jù)安全帶來了極大的挑戰(zhàn)，為此文獻[98]借助私人區(qū)塊鏈搭建了用于評估的平臺，通過推薦最佳的安全策略來為業(yè)務(wù)和應(yīng)用系統(tǒng)量身定制防御措施.文獻[99]介紹了可自動識別風(fēng)險的系統(tǒng)安全建模器(system security modeller, SSM)，并以歐盟內(nèi)部的跨國醫(yī)療數(shù)據(jù)交換為場景進行了講解，該工具可以在系統(tǒng)設(shè)計的同時檢測合規(guī)性，當(dāng)出現(xiàn)不符合合規(guī)性的情況時還會計算出對整個體系結(jié)構(gòu)的影響.文獻[100]針對跨境電子身份認證保護進行了討論，并建議通過假名化和選擇性披露的方法使電子身份識別的互操作性框架達到要求的數(shù)據(jù)保護級別.為實現(xiàn)有效的跨訂單醫(yī)療保健供應(yīng)，歐盟發(fā)布了OpenNCP平臺來解決國家間衛(wèi)生信息交換中的互操作性問題，針對其中存在的一些安全問題，文獻[101]在OpenNCP的基礎(chǔ)上進行擴展并詳細描述了KONFIDON項目方法以及如何通過結(jié)合互補的安全增強技術(shù)來部署該方法，以達到最終提高電子健康數(shù)據(jù)交換的信任和安全性.文獻[102]提出了一種實現(xiàn)破壞性日志記錄的新方法，即一種用于在OpenNCP上跨境交換電子健康數(shù)據(jù)的審計機制，在OpenNCP基礎(chǔ)設(shè)施內(nèi)提供可追溯性和責(zé)任支持.文獻[103]提出一種訪問控制方案，該方案允許請求數(shù)據(jù)和服務(wù)的消息在發(fā)送方和接收方驗證安全問題后跨不同的區(qū)域或國家節(jié)點，它可以拒絕那些被檢測為惡意的訪問請求；并通過放置在發(fā)送方和接收方的威脅檢測軟件的明確反饋來抑制許可消息流，以此來提高在分布式系統(tǒng)如OpenNCP下運行的跨境健康數(shù)據(jù)訪問的安全性；并使用一個分析模型來評估了安全系統(tǒng)造成的開銷.考慮到醫(yī)院中數(shù)據(jù)和軟件使用的異構(gòu)性和高度敏感性所帶來的具體限制和批評，文獻[104]提出了一種為醫(yī)療信息系統(tǒng)執(zhí)行DPIA的方法，通過支持風(fēng)險評估和管理，該方法可以應(yīng)用于在醫(yī)療環(huán)境中執(zhí)行DPIA以維護醫(yī)療保健信息系統(tǒng)的安全性.針對系統(tǒng)的互操作性問題，文獻[105]也給出了解決方案，它設(shè)計了用于醫(yī)療保健行業(yè)的工業(yè)4.0模型，并集成了不同的工具，如同意管理器和數(shù)據(jù)隱藏工具，來確保醫(yī)療體系的隱私性.

4)小結(jié)

3.1.2節(jié)針對現(xiàn)有的數(shù)據(jù)跨境流動安全領(lǐng)域的研究工作進行了總結(jié)和討論，并給出了數(shù)據(jù)跨境流動研究領(lǐng)域的一些觀點.

討論5.3.1.2節(jié)從數(shù)據(jù)跨境領(lǐng)域出發(fā)，分別介紹了國內(nèi)外專家學(xué)者對于當(dāng)前多個經(jīng)濟體的政策的解讀和模型架構(gòu)的分析、以及應(yīng)運而生的新技術(shù)、新方法，另外也單獨從醫(yī)療數(shù)據(jù)角度出發(fā)介紹其跨境安全和現(xiàn)有方案.不管是GDPR對歐盟數(shù)據(jù)保護起到的積極作用，還是其掣肘發(fā)展和交流的消極影響，都說明目前各個經(jīng)濟體針對數(shù)據(jù)跨境的制度和政策都有一定的局限性.此外，不管是框架還是技術(shù)方案，目前都還處于研究階段，而數(shù)據(jù)跨境安全體系建設(shè)勢必要落實到實踐中去，既要考慮其適配性和合理性，也要不斷從實踐和反饋結(jié)果中發(fā)現(xiàn)問題并提出解決和提升的方案.此外，目前的有效技術(shù)方案較少，層次相較于普通數(shù)據(jù)共享方案也沒有明顯的融入數(shù)據(jù)跨境需求，缺少針對性探討和研究.個人健康數(shù)據(jù)在跨境過程中的隱私性和安全性確實需要得到重視，但其他領(lǐng)域的數(shù)據(jù)也需要相應(yīng)的研究和評估，這是目前研究領(lǐng)域存在的短板和不足.

觀點5.目前不同國家的數(shù)據(jù)跨境政策之間的差異較大，且安全和發(fā)展側(cè)重點不同，以至于短期內(nèi)很難在全球范圍內(nèi)形成統(tǒng)一且高效的跨境數(shù)據(jù)治理監(jiān)管體系，也就無法應(yīng)對未來發(fā)展帶來的大規(guī)模數(shù)據(jù)跨境安全需求問題.目前世界各大經(jīng)濟體都在致力于探尋符合自身利益的數(shù)據(jù)跨境方案和界限，但缺少交流協(xié)商尋求全球共識的契機.技術(shù)工具和框架建設(shè)不應(yīng)止步于個人健康數(shù)據(jù)，經(jīng)濟、政治、科技等領(lǐng)域也是國家有序健康發(fā)展的重要動力，不同的數(shù)據(jù)擁有不同的敏感性和安全級別，相應(yīng)的就會在跨境的各個環(huán)節(jié)產(chǎn)生不同等級保護措施的要求，中國現(xiàn)如今已經(jīng)逐漸形成統(tǒng)一的數(shù)據(jù)分類分級制度，相關(guān)技術(shù)方案可以以此為研究角度進行設(shè)計、改進和升級.

3.2 GDPR合規(guī)應(yīng)用場景

GDPR的出臺確保了數(shù)據(jù)主體的數(shù)據(jù)隱私安全，為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者之間搭建起了一座信任的橋梁，特別是數(shù)據(jù)流動頻繁、數(shù)據(jù)敏感度高的應(yīng)用場景，GDPR的合規(guī)性顯得尤為重要.本節(jié)分別針對區(qū)塊鏈、物聯(lián)網(wǎng)、電子健康及其他領(lǐng)域(教育、生物特征識別)等不同的應(yīng)用場景對GDPR合規(guī)性進行探討.

本文選擇區(qū)塊鏈、物聯(lián)網(wǎng)等應(yīng)用領(lǐng)域進行分析和討論，主要有3點原因：1)通過對現(xiàn)有研究工作的梳理發(fā)現(xiàn)，現(xiàn)有的基于GDPR的數(shù)據(jù)隱私安全研究成果主要集中在這幾個領(lǐng)域，有必要對其進行單獨調(diào)研分析.2)目前大多數(shù)的區(qū)塊鏈應(yīng)用都不符合GDPR標準，區(qū)塊鏈的永久存儲不可更改的特性使得區(qū)塊鏈的合規(guī)性變得困難.同時，物聯(lián)網(wǎng)設(shè)備之間傳輸?shù)臄?shù)據(jù)量大且類型復(fù)雜，其中不乏大量的用戶個人敏感信息，一旦設(shè)備遭到攻擊將可能造成十分嚴重的數(shù)據(jù)泄露事故.3)生物特征數(shù)據(jù)屬于GDPR規(guī)定的特殊類別數(shù)據(jù)，非特殊情況不得處理，因此作為當(dāng)今社會重要的生產(chǎn)要素，生物特征數(shù)據(jù)的隱私安全不可輕視.學(xué)術(shù)研究需要用到大量的研究數(shù)據(jù)，如何確保這些數(shù)據(jù)的合規(guī)性，將在很大程度上關(guān)系到學(xué)術(shù)研究能否順利開展.但目前有關(guān)生物特征數(shù)據(jù)和學(xué)術(shù)研究領(lǐng)域的研究工作較少，因此本文將其歸納到其他領(lǐng)域進行探討.

3.2.1 區(qū)塊鏈合規(guī)領(lǐng)域

區(qū)塊鏈技術(shù)具有分散性、透明性、可追溯性、不變性的特性，消除了個人數(shù)據(jù)的集中化，為數(shù)據(jù)的管理和存儲提供了很大的幫助.但GDPR的出臺也為區(qū)塊鏈技術(shù)帶來了新的挑戰(zhàn)，為了了解區(qū)塊鏈領(lǐng)域是否能夠有效應(yīng)對GDPR帶來的合規(guī)問題，文獻[106]對區(qū)塊鏈系統(tǒng)做了一項分析調(diào)查，調(diào)查包含了區(qū)塊鏈系統(tǒng)的開發(fā)商和服務(wù)提供商公開發(fā)布的法律文件及官方的Twitter賬戶推文.然而調(diào)查結(jié)果不容樂觀，雖然GDPR已經(jīng)頒布了3年并實施了一年，但在區(qū)塊鏈領(lǐng)域仍然存在著如何解決GDPR合規(guī)性的嚴峻挑戰(zhàn).調(diào)查顯示，在314個區(qū)塊鏈系統(tǒng)中只有86個(27.5%)系統(tǒng)涉及到了GDPR，且僅有27個(8.6%)系統(tǒng)有關(guān)于GDPR合規(guī)性的確切的法律文件.因此，要解決區(qū)塊鏈技術(shù)與GDPR合規(guī)性之間的問題仍然任重道遠.

本節(jié)將從數(shù)據(jù)責(zé)任和來源追蹤、數(shù)據(jù)管理和數(shù)據(jù)擦除3方面來討論區(qū)塊鏈技術(shù)為GDPR的合規(guī)性提供的助力以及其產(chǎn)生的阻礙.

1)數(shù)據(jù)責(zé)任和來源追蹤

雖然GDPR出臺后對擁有信息的服務(wù)提供商提出了更嚴格的要求，但服務(wù)提供商能否一直堅守高要求還是一個變數(shù)，數(shù)據(jù)的收集和處理過程仍缺乏透明度，用戶無法了解自己的數(shù)據(jù)流向了哪里，被用在何處.區(qū)塊鏈技術(shù)為此提供了合適的解決方案[33,107-110]，通過分布式賬本來記錄服務(wù)提供商的所有數(shù)據(jù)活動，這樣一旦服務(wù)提供商違反GDPR標準，他們的行為將會被記錄在案.通過區(qū)塊鏈技術(shù)可以實現(xiàn)數(shù)據(jù)流動的透明度，增進個人數(shù)據(jù)利益相關(guān)方之間的信任.

文獻[107]為云存儲應(yīng)用設(shè)計了云數(shù)據(jù)溯源架構(gòu)Provchain，該架構(gòu)將數(shù)據(jù)操作的歷史記錄散列到Merkle樹節(jié)點中，并鏈接到區(qū)塊鏈上，生成防篡改的數(shù)據(jù)記錄以供驗證，實現(xiàn)云數(shù)據(jù)的透明性.文獻[33,108-110]則利用了基于區(qū)塊鏈的智能合約技術(shù)實現(xiàn)了數(shù)據(jù)來源的追蹤和記錄，通過智能合約捕獲服務(wù)提供商和用戶之間的交易條件，而無需第三方的參與，既實現(xiàn)了去中心化，又能夠降低成本.文獻[108]設(shè)計實現(xiàn)了2個具有不同粒度和可伸縮性的模型，其中第一個由數(shù)據(jù)主體為每個接受數(shù)據(jù)的控制器部署訪問控制策略，第二個則由數(shù)據(jù)控制器部署策略來讓數(shù)據(jù)主體加入.但文獻[108-110]只提出了相應(yīng)的概念框架，并沒有涉及更詳細的技術(shù)細節(jié).文獻[33]為合規(guī)的基于區(qū)塊鏈的個人數(shù)據(jù)管理平臺提供了詳細的技術(shù)機制，他們在Hyperledger Fabric區(qū)塊鏈框架之上開發(fā)了基于業(yè)務(wù)連續(xù)性的個人數(shù)據(jù)管理系統(tǒng)，證明了概念的可行性.

文獻[109]具體說明了如何將一組GDPR規(guī)則轉(zhuǎn)換為智能合約中的操作代碼，使物聯(lián)網(wǎng)設(shè)備實現(xiàn)對個人數(shù)據(jù)的自動驗證.該方法不僅可以應(yīng)用于物聯(lián)網(wǎng)場景，還可應(yīng)用于云系統(tǒng)或其他的服務(wù)場景[110].未來還可以在公共許可區(qū)塊鏈或私有區(qū)塊鏈上實現(xiàn)設(shè)計的抽象模型[109].

2)數(shù)據(jù)管理

GDPR規(guī)定數(shù)據(jù)主體要對個人數(shù)據(jù)的流向知情并予以同意，還要以易于理解的方式對個人數(shù)據(jù)進行控制.基于區(qū)塊鏈技術(shù)的同意管理平臺[111-118]可以幫助用戶理解同意申請并輕松地管理同意許可，確保了用戶對于其個人數(shù)據(jù)的控制權(quán).在GDPR出臺之前，文獻[111]就針對個人數(shù)據(jù)隱私問題，將區(qū)塊鏈作為自動化訪問控制管理器，設(shè)計了基于區(qū)塊鏈的個人數(shù)據(jù)管理系統(tǒng).GDPR出臺后，文獻[112-122]也利用區(qū)塊鏈技術(shù)提出了各自的解決方法.

文獻[112]針對在線社交網(wǎng)絡(luò)現(xiàn)有的同意管理機制與GDPR的規(guī)定進行了比較分析，并確定了其中存在的風(fēng)險，作者建議設(shè)計基于區(qū)塊鏈的同意管理模型為在線社交網(wǎng)絡(luò)用戶提供所需的透明度.文獻[113]設(shè)計了一個個人數(shù)據(jù)管理系統(tǒng)BPDIMS，該系統(tǒng)以用戶為中心，最大限度地實現(xiàn)了用戶對個人數(shù)據(jù)的控制，并通過個人數(shù)據(jù)的貨幣化提升了用戶對于個人數(shù)據(jù)價值的認知，使用戶能夠在分享個人數(shù)據(jù)的同時獲取金錢收益.文獻[114]利用區(qū)塊鏈技術(shù)為用戶提供了一個輕量級管理系統(tǒng)，該系統(tǒng)可以顯示服務(wù)提供商有關(guān)個人數(shù)據(jù)的協(xié)議.文獻[114]通過對控制器和處理器進行識別來區(qū)分2種同意許可，解決了其他文獻并沒有將數(shù)據(jù)收集和數(shù)據(jù)處理2方面的許可區(qū)分開來的問題，未來還可以為系統(tǒng)增加可視化圖形界面來方便用戶的管理.

文獻[115]結(jié)合了加密技術(shù)，保證了同意管理系統(tǒng)的隱私性，并且為公司設(shè)計了代理應(yīng)用程序，該程序會定期查詢區(qū)塊鏈，更新有關(guān)的同意狀態(tài)，并以發(fā)布-訂閱的形式告知相關(guān)的服務(wù)，使其能夠及時做出反應(yīng).該文獻首次實現(xiàn)了使公司服務(wù)與數(shù)據(jù)主體的動態(tài)同意許可之間保持實時同步.

文獻[112-115]僅進行了基于區(qū)塊鏈的概念設(shè)計，并沒有進行概念驗證，文獻[116-118]則分別在不同的區(qū)塊鏈上開發(fā)了相應(yīng)的系統(tǒng).文獻[116]借助語義網(wǎng)和以太坊區(qū)塊鏈構(gòu)建了自動驗證數(shù)據(jù)合規(guī)性的系統(tǒng)，當(dāng)數(shù)據(jù)分享給第三方時，該系統(tǒng)能夠強制執(zhí)行GDPR規(guī)則.但該系統(tǒng)僅使用了以太坊區(qū)塊鏈，未來還可以在更多的區(qū)塊鏈框架上進行探索.文獻[117]則通過Hyperledger Fabric框架實現(xiàn)了概念驗證，設(shè)計了一個同意管理模型，利用區(qū)塊鏈技術(shù)為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者提供了交互的工具，并維護了數(shù)據(jù)主體的權(quán)力.文獻[118]提出了一個數(shù)據(jù)安全共享方案，將智能合約設(shè)置為訪問控制列表，并為不同的對象設(shè)計了4種智能合約，文中探討了哪些數(shù)據(jù)是不可變類型且可以存儲在區(qū)塊鏈的數(shù)據(jù)，并對該方案在不同區(qū)塊鏈平臺下的性能進行了測試.

不同于其他系統(tǒng)的單鏈結(jié)構(gòu)，文獻[119]設(shè)計了一種新穎的雙層區(qū)塊鏈結(jié)構(gòu)，開發(fā)了用戶權(quán)限管理系統(tǒng)Soteria，該系統(tǒng)可以同時滿足分布式系統(tǒng)CAP定理中一致性(C)、可用性(A)和分區(qū)容忍性(P)3個屬性，其中主鏈滿足了可用性和分區(qū)容忍性，側(cè)鏈滿足了一致性和可用性，保證了系統(tǒng)的透明性、可證明性和可擴展性.除了雙層區(qū)塊鏈的分布式賬本模塊，該系統(tǒng)還包括用戶權(quán)限管理模塊URM和審計跟蹤模塊ATS.但由于側(cè)鏈將塊散列到主鏈上的頻率會影響到整個系統(tǒng)的延遲和吞吐量，因此Soteria的鏈間管理策略還需要進一步的調(diào)整優(yōu)化.

基于區(qū)塊鏈技術(shù)的自我主權(quán)身份(self-sovereign identity, SSI)[120]也是實現(xiàn)數(shù)據(jù)的完全控制的一種途徑.區(qū)塊鏈技術(shù)使得身份管理(identity management, IdM)系統(tǒng)由傳統(tǒng)的集中化的方法逐漸向開放、分散的自我主權(quán)身份轉(zhuǎn)變.自我主權(quán)身份系統(tǒng)通過結(jié)合分布式分類賬本技術(shù)和加密技術(shù)來創(chuàng)建不可篡改的身份記錄，實現(xiàn)了用戶對個人數(shù)據(jù)的完全控制權(quán)[121].文獻[122-124]研究了現(xiàn)有的自我主權(quán)身份技術(shù)方案，并對SSI系統(tǒng)與GDPR原則的兼容性進行了分析.

文獻[122]對現(xiàn)有的3種區(qū)塊鏈身份管理系統(tǒng)uPort,Sovrin和ShoCard進行了分析，并指出了它們存在的缺陷，提出了新型身份管理系統(tǒng)DNS-IdM，該系統(tǒng)可以通過自主身份管理實現(xiàn)去中心化.文獻[123]對基于公共無許可的uPort和基于公共許可的Sovrin兩種不同類型的身份管理系統(tǒng)進行了比較，發(fā)現(xiàn)Sovrin區(qū)塊鏈系統(tǒng)更加符合GDPR的大部分要求，因為Sovrin生態(tài)系統(tǒng)包含一個治理模型，且由可信組織聯(lián)盟管理.除了uPort和Sovrin系統(tǒng)之外，文獻[124]還分析了在公共無許可的以太坊區(qū)塊鏈上應(yīng)用的Jolocom框架，并討論了SSI與GDPR標準之間的一致性.

3)數(shù)據(jù)擦除

GDPR第17條規(guī)定了數(shù)據(jù)主體的被遺忘權(quán)，即當(dāng)滿足一定的條件時，數(shù)據(jù)主體有權(quán)要求刪除自己的個人數(shù)據(jù).用戶需要合適的機制確保他們能夠選擇自己想要的服務(wù)，當(dāng)他們不需要這種服務(wù)時也能夠完美地退出，例如當(dāng)用戶想要退出某種服務(wù)時，服務(wù)提供商需要刪除用戶使用該服務(wù)的所有歷史記錄[113].但是區(qū)塊鏈的不變性意味著數(shù)據(jù)一旦存儲在區(qū)塊鏈上就不能再被刪除或者改變，因此如何實現(xiàn)區(qū)塊鏈數(shù)據(jù)的擦除成為了一項亟待解決的挑戰(zhàn).在先前有關(guān)區(qū)塊鏈的GDPR合規(guī)性問題的文章中，討論的最多的問題也是有關(guān)數(shù)據(jù)刪除和修改的規(guī)定[125].文獻[125]綜合研究了有關(guān)使用區(qū)塊鏈技術(shù)進行身份管理的文獻，探討了區(qū)塊鏈在遵守GDPR的要求方面存在的優(yōu)點及產(chǎn)生的矛盾，尤其是區(qū)塊鏈的不變性與GDPR的被遺忘權(quán)之間存在的沖突.

比較常見的方法有針對區(qū)塊鏈的離線數(shù)據(jù)存儲解決方案[126-130].離線存儲即構(gòu)建鏈外數(shù)據(jù)庫用來存儲個人數(shù)據(jù)，區(qū)塊鏈上則僅保存指向?qū)?yīng)的個人數(shù)據(jù)存儲位置的散列數(shù)據(jù)指針.文獻[126]將個人身份信息與非個人身份信息分開存儲，個人身份信息存儲在本地數(shù)據(jù)庫中，而非個人身份信息以及個人身份信息的哈希則存儲在區(qū)塊鏈中.文獻[127]詳細討論了有關(guān)區(qū)塊鏈的鏈外功能集成的方法，并提出了一個概念框架實現(xiàn)鏈外結(jié)構(gòu)與傳統(tǒng)區(qū)塊鏈技術(shù)的結(jié)合.

由于區(qū)塊鏈上的數(shù)據(jù)會在許多節(jié)點被復(fù)制，導(dǎo)致了數(shù)據(jù)的大量冗余，因此在區(qū)塊鏈存儲個人數(shù)據(jù)是不現(xiàn)實的.如今分布式文件系統(tǒng)(distributed file system, DFS)越來越多地應(yīng)用于區(qū)塊鏈技術(shù)，用來解決區(qū)塊鏈技術(shù)與GDPR中的被遺忘權(quán)之間的沖突，優(yōu)異的可擴展性及內(nèi)容尋址能力使DFS系統(tǒng)成為替代傳統(tǒng)區(qū)塊鏈存儲的新方向[128].文獻[129]提出了一個在星際文件系統(tǒng)(inter planetary file system, IPFS)中應(yīng)用的匿名委托擦除協(xié)議，該協(xié)議可以輕松地集成到IPFS中，使IPFS符合被遺忘權(quán)的要求并被認可其合規(guī)性.協(xié)議規(guī)定只有原始數(shù)據(jù)的提供者或其代表才能對數(shù)據(jù)進行擦除，發(fā)出的擦除請求會傳至所有的IPFS節(jié)點，且所需的開銷并不會影響系統(tǒng)的性能.文獻[130]對IPFS,Sia和一種專有服務(wù)3種不同的DFS方法進行了評估，發(fā)現(xiàn)3種方法展現(xiàn)了不同的性能，當(dāng)出現(xiàn)一定的過載情況時，專有服務(wù)的響應(yīng)和可靠性會優(yōu)于另外2種方法.雖然離線存儲有效地解決了區(qū)塊鏈的數(shù)據(jù)存儲問題，但此種方法實際上破壞了區(qū)塊鏈的分散性，同時也需要可信的數(shù)據(jù)管理機構(gòu)[131].

文獻[132]開創(chuàng)了另一種可行的解決方法，利用變色龍哈希函數(shù)(Chameleon Hash)構(gòu)建可編輯區(qū)塊鏈，傳統(tǒng)哈希函數(shù)的抗碰撞性保證了區(qū)塊鏈的不變性，變色龍哈希利用陷門可以輕松地找到哈希碰撞，從而對區(qū)塊鏈任意塊中的內(nèi)容進行重寫.該系統(tǒng)擴展了變色龍哈希函數(shù)與區(qū)塊鏈的兼容性，可以與所有流行的區(qū)塊鏈兼容.文獻[133]在文獻[132]的基礎(chǔ)上結(jié)合基于密文策略屬性的加密(CP-ABE)方法，提出了新的基于政策的變色龍哈希(PCH)的概念，實現(xiàn)了對區(qū)塊鏈事務(wù)級重寫的細粒度控制.為了解決文獻[133]的方法可能面臨惡意攻擊的問題，文獻[134]限制了修改者重寫特權(quán)，修改者最多只能修改k次，次數(shù)由中央機構(gòu)定義，除此之外加入了惡意行為懲罰機制，修改者在授權(quán)期間需要在鏈中存入押金，一旦發(fā)生任何惡意行為，中央機構(gòu)可以提取押金.由于PCH機制需要一個完全可信的中央機構(gòu)，文獻[135]針對這一弱點提出了去中心化的解決方案DPCH，并通過基于RSA加密算法的變色龍散列和BLS短簽名進行了實例化.

除了離線存儲和變色龍哈希的方法之外，文獻[136]提出了一種不同于側(cè)鏈的解決方法，他們采用樹的結(jié)構(gòu)構(gòu)建區(qū)塊鏈，根據(jù)業(yè)務(wù)上下文將交易分到線性子鏈中，這種方法的優(yōu)點在于當(dāng)其中一個線性子鏈被刪除時不會影響到其他子鏈.文獻[137]運用設(shè)計科學(xué)研究(design science research, DSR)的方法設(shè)計了一個概念原型解決了刪除區(qū)塊鏈數(shù)據(jù)的問題，建議在一定的時間過后自動刪除區(qū)塊鏈中的數(shù)據(jù)，來實現(xiàn)區(qū)塊鏈與GDPR的兼容性.但該方法的前提是需要區(qū)塊鏈所有的節(jié)點都能有足夠的誠信，而且因為刪除的時間是預(yù)定的，所以該方案并不能滿足用戶能夠隨時刪除數(shù)據(jù)的要求.相比于文獻[137]的方法，文獻[131]的方法則完全不需要修改區(qū)塊鏈，文章利用了假名數(shù)據(jù)的法律屬性，即只有當(dāng)假名數(shù)據(jù)能夠與個人身份聯(lián)系起來時才能被當(dāng)作個人數(shù)據(jù).文獻[131]通過假名生成算法為安全使用日志設(shè)計了假名供應(yīng)系統(tǒng)，該系統(tǒng)會為每一個新塊提供一個一次性的交易假名來保證GDPR的合規(guī)性.

4)小結(jié)

3.2.1節(jié)闡述了現(xiàn)有的區(qū)塊鏈GDPR合規(guī)性的研究工作進展，并對3類具有代表性的合規(guī)性問題以及相應(yīng)的合規(guī)性方法進行了總結(jié)和討論，具體如表6所示.

Table 6 Compliance Issues and Approaches of Blockchain

討論6.目前有關(guān)區(qū)塊鏈合規(guī)性問題的文獻主要集中在數(shù)據(jù)問責(zé)、數(shù)據(jù)管理以及數(shù)據(jù)的刪除和修改上，其中有關(guān)數(shù)據(jù)的刪除和修改的討論最多.區(qū)塊鏈提供的智能合約、自我主權(quán)身份等技術(shù)，能夠幫助企業(yè)更好地實現(xiàn)GDPR的合規(guī)性.而針對區(qū)塊鏈如何進行數(shù)據(jù)刪除和修改的問題，較為廣泛的方法是離線數(shù)據(jù)存儲，將數(shù)據(jù)存儲在鏈外數(shù)據(jù)庫中，區(qū)塊鏈上保存數(shù)據(jù)的散列指針.除此之外，上下文鏈、遺忘區(qū)塊鏈、假名數(shù)據(jù)等方法也可以用來實現(xiàn)數(shù)據(jù)的刪除和修改.

觀點6.區(qū)塊鏈為個人數(shù)據(jù)隱私安全提供助力的同時也帶來了相應(yīng)的安全風(fēng)險.區(qū)塊鏈的不變性成為GDPR的被遺忘權(quán)與區(qū)塊鏈之間難以調(diào)和的矛盾，如何解決區(qū)塊鏈與GDPR之間的沖突是一個值得探索的方向.

3.2.2 物聯(lián)網(wǎng)平臺合規(guī)領(lǐng)域

物聯(lián)網(wǎng)中設(shè)備繁多，數(shù)據(jù)量大，數(shù)據(jù)流動頻繁，個人數(shù)據(jù)隱私時刻都有遭受侵犯的風(fēng)險，因此如何實現(xiàn)物聯(lián)網(wǎng)的GDPR合規(guī)性是一個亟待解決的難題.GDPR標準在涉及較多用戶的應(yīng)用領(lǐng)域的影響更為明顯，尤其是基于服務(wù)的物聯(lián)網(wǎng)場景如智能醫(yī)療、智慧城市等.文獻[138-143]致力于為用戶提供數(shù)據(jù)同意管理平臺以實現(xiàn)數(shù)據(jù)隱私保護.文獻[138]開發(fā)了物聯(lián)網(wǎng)管理平臺ADVOCATE，該平臺以用戶為中心，幫助用戶輕松管理物聯(lián)網(wǎng)系統(tǒng)中有關(guān)個人數(shù)據(jù)訪問的同意請求，同時也幫助數(shù)據(jù)控制者能夠遵循GDPR的原則進行活動.文獻[139]提出了Privysharing框架，將區(qū)塊鏈技術(shù)應(yīng)用到智慧城市場景中，將數(shù)據(jù)分成不同的類型，并通過不同的通道處理數(shù)據(jù)，實現(xiàn)了物聯(lián)網(wǎng)數(shù)據(jù)的安全共享，實驗證明多通道系統(tǒng)比單通道系統(tǒng)的可擴展性更好，文章還設(shè)計了獎勵機制以激勵用戶分享個人數(shù)據(jù).文獻[140]為物聯(lián)網(wǎng)智能家居平臺提供了一個同意管理器，管理器將復(fù)雜事件處理(comples event processing, CEP)與邊緣計算結(jié)合在一起，復(fù)雜事件處理負責(zé)數(shù)據(jù)流動的控制，邊緣計算則負責(zé)為復(fù)雜事件提供安全策略.

在智能醫(yī)療領(lǐng)域，文獻[144-145]探討了新實施的GDPR法規(guī)給醫(yī)療領(lǐng)域帶來的變化.文獻[144]針對移動醫(yī)療應(yīng)用方面，提出了將GDPR關(guān)鍵規(guī)則集成到移動應(yīng)用程序中的可視化方法，但該研究還未經(jīng)過真實的場景測試.文獻[145]通過文獻計量學(xué)和科學(xué)計量學(xué)的方法對醫(yī)療領(lǐng)域有關(guān)GDPR研究的熱點進行了可視化分析，分析揭示了目前的研究熱詞是數(shù)據(jù)保護、隱私和大數(shù)據(jù)，區(qū)塊鏈和機器學(xué)習(xí)成為了GDPR研究的新方向.

對于更為敏感、數(shù)據(jù)交換頻率也更低的醫(yī)療數(shù)據(jù)，可以采用粒度更細的解決方案[141-143].文獻[141]針對用戶的動態(tài)健康數(shù)據(jù)設(shè)計了一個數(shù)據(jù)共享系統(tǒng)，該系統(tǒng)結(jié)合了區(qū)塊鏈技術(shù)和云存儲技術(shù)，為大型數(shù)據(jù)集提供了離線存儲的方法，解決了區(qū)塊鏈無法存儲大量數(shù)據(jù)的問題，并添加了數(shù)據(jù)質(zhì)量驗證模塊來控制數(shù)據(jù)的質(zhì)量.文獻[142]設(shè)計了一種用于物聯(lián)網(wǎng)電子健康系統(tǒng)的GDPR控制器，能夠讓用戶通過細粒度的訪問控制策略完全控制自己的個人數(shù)據(jù)，當(dāng)非法訪問的情況發(fā)生時還能及時收到通知.文獻[143]提出了數(shù)據(jù)安全共享方案MedSBA，利用私有區(qū)塊鏈來實現(xiàn)云存儲醫(yī)療數(shù)據(jù)的訪問控制策略，提供對醫(yī)療數(shù)據(jù)的細粒度訪問和共享過程中的安全保障.文獻[146]在容器的虛擬化技術(shù)和分布式賬本技術(shù)的基礎(chǔ)上搭建了一個云服務(wù)架構(gòu)，容器技術(shù)用于數(shù)據(jù)的監(jiān)控；分布式賬本如區(qū)塊鏈、智能合約等則用來記錄對數(shù)據(jù)的操作，該架構(gòu)在網(wǎng)上藥店的場景中進行了驗證，并可以推廣到更多的醫(yī)療場景.

文獻[147]分析了物聯(lián)網(wǎng)電子健康領(lǐng)域面臨的安全挑戰(zhàn)，并設(shè)計了一個完整的架構(gòu)來為中老年人提供更加安全的醫(yī)療服務(wù)；介紹了有關(guān)環(huán)境輔助生活(ambient assisted living, AAL)和移動醫(yī)療2種應(yīng)用程序的設(shè)計和實現(xiàn).文獻[148]建議對醫(yī)療數(shù)據(jù)處理進行系統(tǒng)的風(fēng)險管理和錯誤管理，以防止醫(yī)療項目因合作者沒能正確處理數(shù)據(jù)導(dǎo)致的人為失誤.

小結(jié)：3.2.2節(jié)針對現(xiàn)有的物聯(lián)網(wǎng)領(lǐng)域的GDPR合規(guī)性研究工作進行了總結(jié)和討論，并給出了物聯(lián)網(wǎng)GDPR合規(guī)領(lǐng)域的一些觀點.

討論7.3.2.2節(jié)主要從智慧城市[138-140]和智能醫(yī)療[141-148]2個應(yīng)用場景分析了物聯(lián)網(wǎng)領(lǐng)域在GDPR合規(guī)性方面的研究進展.數(shù)據(jù)同意管理平臺的建立保證了物聯(lián)網(wǎng)系統(tǒng)的合規(guī)性，高效的身份驗證和細粒度的訪問控制也進一步為物聯(lián)網(wǎng)數(shù)據(jù)共享提供了隱私保護.一些研究工作聚焦在了將區(qū)塊鏈技術(shù)應(yīng)用于物聯(lián)網(wǎng)的課題上，并結(jié)合數(shù)據(jù)加密、云存儲、容器虛擬化等技術(shù)為物聯(lián)網(wǎng)用戶數(shù)據(jù)提供安全保障.

觀點7.目前主要的研究方向主要是為物聯(lián)網(wǎng)開發(fā)實現(xiàn)數(shù)據(jù)的安全共享.通過對現(xiàn)有研究工作的歸納分析，本文發(fā)現(xiàn)：1)對于用戶眾多數(shù)據(jù)龐大的物聯(lián)網(wǎng)應(yīng)用場景，開發(fā)一個保護用戶隱私的數(shù)據(jù)管理控制平臺是很有必要的，考慮到物聯(lián)網(wǎng)資源受限的設(shè)備，平臺最好能夠?qū)崿F(xiàn)輕量化.2)區(qū)塊鏈技術(shù)為物聯(lián)網(wǎng)系統(tǒng)的合規(guī)性提供了很大的助力，未來還可以將邊緣計算引入?yún)^(qū)塊鏈系統(tǒng)，以減輕物聯(lián)網(wǎng)終端節(jié)點的維護壓力.3)目前有關(guān)物聯(lián)網(wǎng)合規(guī)性的研究工作大多都集中于概念架構(gòu)的設(shè)計，還未能投入物聯(lián)網(wǎng)系統(tǒng)，且應(yīng)用場景較為單一，如何將合規(guī)方法推廣到更多的應(yīng)用場景還有待進一步探索.

3.2.3 其他合規(guī)領(lǐng)域

1)生物特征識別領(lǐng)域

GDPR引入了一種新的個人數(shù)據(jù)類別——生物數(shù)據(jù)，即通過與自然人的身體、生理或行為特征相關(guān)的特定技術(shù)處理產(chǎn)生的個人數(shù)據(jù)，這些數(shù)據(jù)可以確認自然人獨一無二的身份，如面部圖像或指紋.這種生物特征數(shù)據(jù)被廣泛用于考勤或門禁系統(tǒng).

對于生物特征數(shù)據(jù)的立法是很有必要的，但即使在歐盟內(nèi)部，成員國之間也未能在生物特征數(shù)據(jù)的使用方面達成一致意見，各國對此的法律要求各不相同，導(dǎo)致GDPR在生物數(shù)據(jù)方面的要求無法實現(xiàn)[149]，因此仍需要從法律和技術(shù)方面繼續(xù)分析這一問題.文獻[150]總結(jié)了法律界和技術(shù)界的專家們對于GDPR對語音數(shù)據(jù)影響的看法，由于目前法律界和技術(shù)界還無法達成共識，因此作者提出了分類法的方案以實現(xiàn)語音技術(shù)與隱私立法之間的協(xié)調(diào).文獻[151]對智能語音設(shè)備的隱私問題進行了詳細的研究，作者對市場上流行的亞馬遜Echo設(shè)備進行了測試，發(fā)現(xiàn)設(shè)備存在著很大的安全風(fēng)險，在沒有安全措施的情況下，用戶的個人數(shù)據(jù)很容易遭到泄露.作者在文中提出了一系列降低安全風(fēng)險的建議，并指出通過語音識別的生物特征控制可以成功阻止未授權(quán)的人訪問設(shè)備數(shù)據(jù).

除此之外，某些類型的軟生物特征如情緒反應(yīng)等，同樣會帶來數(shù)據(jù)隱私方面的威脅，甚至不亞于用于識別的生物特征的威脅，但這樣的特征并不受GDPR規(guī)則的保護[152].因此關(guān)于GDPR生物數(shù)據(jù)相關(guān)的內(nèi)容仍需要更加系統(tǒng)化的定義.

2)學(xué)術(shù)研究領(lǐng)域

在學(xué)術(shù)研究領(lǐng)域，由于GDPR的合規(guī)性引起的有關(guān)受試者的數(shù)據(jù)隱私問題，使研究人員而不得不望而卻步，甚至直接放棄有涉及到歐盟受試者的研究.尤其是數(shù)據(jù)密集型研究離不開物聯(lián)網(wǎng)的支持，但GDPR的出臺為研究帶來了風(fēng)險，因此文獻[153]討論了如何使學(xué)術(shù)環(huán)境下的物聯(lián)網(wǎng)數(shù)據(jù)研究符合數(shù)據(jù)隱私標準的問題，確定了3個信任原則，并實現(xiàn)了一種物聯(lián)網(wǎng)數(shù)據(jù)研究的可信架構(gòu).教育研究領(lǐng)域也同樣受到了來自GDPR的影響，例如招收歐盟學(xué)生的at-scale教育項目在研究中就遇到了GDPR合規(guī)性帶來的困難[154].因此文獻[154]對他們面臨的挑戰(zhàn)進行了總結(jié)，并提出了一些解決方案，如了解GDPR的法律細節(jié)、及時與法律團隊合作、提前征求潛在受試者的同意等.

4 挑戰(zhàn)與機遇

在深入調(diào)研現(xiàn)階段基于GDPR合規(guī)性研究現(xiàn)狀，以及總結(jié)GDPR相關(guān)的技術(shù)應(yīng)用研究現(xiàn)狀的基礎(chǔ)上，指出了基于GDPR的數(shù)據(jù)隱私安全面臨的十大挑戰(zhàn)，并給出了可用于應(yīng)對這些挑戰(zhàn)的潛在安全技術(shù)研究方向，其對應(yīng)關(guān)系如表7所示:

Table 7 Challenges and Opportunities of Data Privacy Security Based on GDPR

4.1 軟件合規(guī)性檢測

對于資源相對匱乏的中小企業(yè)來說，無論是遵守GDPR還是對已開發(fā)的應(yīng)用軟件進行GDPR合規(guī)性檢測都是一個較大的挑戰(zhàn).但如果有一套在軟件開發(fā)之初就能實現(xiàn)GDPR合規(guī)性的開發(fā)規(guī)則，以設(shè)計和默認來實現(xiàn)數(shù)據(jù)保護，就可以大大減少資源的浪費.文獻[155]曾提出在需求工程期間解決這個問題，并打算基于NLP的自動化方法來實現(xiàn).目前，對于這方面的研究才剛剛開始，實現(xiàn)這種挑戰(zhàn)仍待安全研究人員進一步探索.

4.2 GDPR合規(guī)性審計

由于監(jiān)管機構(gòu)的合規(guī)性審計是不定期進行的，并且個人用戶也無法感知服務(wù)商是否有效保護了他們的個人數(shù)據(jù)，更無法感知服務(wù)商何時何處對他們同意的數(shù)據(jù)進行處理和利用.基于此類問題，一個潛在的研究方向是使用技術(shù)手段來提高企業(yè)訪問用戶數(shù)據(jù)的透明度使得用戶可以感知，并且讓違規(guī)行為不可篡改以便于監(jiān)管機構(gòu)進行執(zhí)法.區(qū)塊鏈和智能合約技術(shù)可以在一定程度上解決這個問題，分布式賬本保證了所有的數(shù)據(jù)活動不可篡改，而智能合約可以保證觸發(fā)違規(guī)行為之后不可撤銷，違反GDPR規(guī)則的行為會被自動報告.文獻[33,156-157]將區(qū)塊鏈和智能合約技術(shù)應(yīng)用到GDPR的規(guī)范中，目前智能合約技術(shù)在GDPR合規(guī)性檢測方面的應(yīng)用尚處于起步階段，值得進一步的研究.

4.3 針對第三方跟蹤服務(wù)的流量分析

移動應(yīng)用系統(tǒng)中開發(fā)者會出于盈利目的整合具有強隱蔽性的第三方服務(wù)，用戶往往無法察覺這類服務(wù)的存在，更不用說知道這些服務(wù)能夠在多大程度上收集、關(guān)聯(lián)和匯總他們的個人數(shù)據(jù).盡管此類情況因GDPR的出臺加以改善，但是由于應(yīng)用市場包含了數(shù)以百萬計的應(yīng)用，很難大規(guī)模地執(zhí)行這些法規(guī)，并且由于第三方跟蹤服務(wù)的不透明性和開發(fā)者的授權(quán)，很難發(fā)現(xiàn)和追蹤第三方服務(wù)的行為.更進一步的，GDPR只是規(guī)定了對用戶數(shù)據(jù)的收集和處理必須基于明確的用戶同意，并沒有限制這些第三方跟蹤機構(gòu)對數(shù)據(jù)的共享和銷售.基于這種情況，現(xiàn)階段在流量層面上對應(yīng)用程序進行分析，研究應(yīng)用程序和第三方跟蹤服務(wù)之間的交互過程依然是非常有必要的，如何高效地對大量跟蹤流量進行精準的識別和分析依然是未來的一大挑戰(zhàn).

4.4 隱私政策語料庫的擴建

對隱私政策的分析研究多采用監(jiān)督學(xué)習(xí)技術(shù)，這類技術(shù)的準確度都是大量可靠的數(shù)據(jù)集訓(xùn)練得來的.數(shù)據(jù)集的標注又是一個耗時耗力的工作過程，需要大量具備專業(yè)知識的人員耐心整理.業(yè)內(nèi)工作者對數(shù)據(jù)集寬度與深度的持續(xù)要求，意味著要不斷投入大量人力資源.那么是否可以利用對比學(xué)習(xí)、自注意力機制等無監(jiān)督學(xué)習(xí)技術(shù)降低人力的投入，達到合理有效的利用社會資源目的.這樣只需要一部分數(shù)據(jù)科學(xué)家對網(wǎng)上收集的大量的法律法規(guī)文件進行清理，再將這些文件用于預(yù)訓(xùn)練.此外，因預(yù)訓(xùn)練時的文件資料可包括多國語言信息，使用這類方法獲得的模型具備良好的多模態(tài)基礎(chǔ)，可通過巧妙的設(shè)置下游任務(wù)，實現(xiàn)多語言合規(guī)性的并行檢測.

4.5 異構(gòu)系統(tǒng)設(shè)計框架

開發(fā)人員在設(shè)計系統(tǒng)模型框架時考慮GDPR原則有助于幫助企業(yè)更好的處理個人數(shù)據(jù)并保障個人數(shù)據(jù)隱私.但當(dāng)前的系統(tǒng)框架多基于不同應(yīng)用場景、基于部分個人數(shù)據(jù)保護原則設(shè)計，存在一定的局限性，并且如何平衡系統(tǒng)功能的有效性和GDPR隱私保護的合規(guī)性仍然是一個問題.分布式多層次的系統(tǒng)框架能夠?qū)崿F(xiàn)分化隱私保護等級并兼顧多項GDPR原則，盡管現(xiàn)有研究已經(jīng)實現(xiàn)了基于部分GDPR原則的分布式框架設(shè)計，但面對大數(shù)據(jù)環(huán)境下系統(tǒng)的異構(gòu)性和多源數(shù)據(jù)，如何設(shè)計分布式多層次的系統(tǒng)框架組件，實現(xiàn)系統(tǒng)性能的提升以及數(shù)據(jù)隱私的保護，還需要進一步加以研究.

4.6 隱私設(shè)計框架模型

在設(shè)計隱私框架時需盡可能多的考慮GDPR相關(guān)法規(guī)原則，以實現(xiàn)從源頭保障組織的合規(guī)性，進而減少企業(yè)的經(jīng)濟損失.然而，現(xiàn)有隱私設(shè)計框架雖能有效保存和處理個人數(shù)據(jù)，但僅關(guān)注部分GDPR原則問題，缺乏對隱私設(shè)計整體的認識.盡管采用構(gòu)建模式庫的方法檢索模式實現(xiàn)滿足GDPR的隱私設(shè)計，解決了整體隱私設(shè)計問題，但需要不斷更新模式庫滿足不斷變化的設(shè)計要求.因此設(shè)計集成化隱私框架，仍然需要研究人員進一步探索.

4.7 DPIA程序設(shè)計指南

有效的DPIA方法能夠幫助企業(yè)在早期階段識別并解決問題，使企業(yè)的安全風(fēng)險最小化.但GDPR只提供了DPIA的相關(guān)標準，在如何實施DPIA方面并沒有給出明確的DPIA模板.如何為每家企業(yè)提供可行的DPIA方法成為了當(dāng)今的一大難題，尤其對于資源有限的企業(yè)來說，專業(yè)指導(dǎo)的缺失會使企業(yè)難以設(shè)計適合自身的DPIA流程，因此需要針對不同領(lǐng)域設(shè)計專門的標準化的DPIA程序，幫助企業(yè)建立自己的DPIA模板.

4.8 數(shù)據(jù)跨境國內(nèi)外制度體系建設(shè)

我國目前在跨境數(shù)據(jù)領(lǐng)域的管理體系還在起步階段，相關(guān)指南和標準尚處于起草和征詢意見的階段，這不僅需要不同領(lǐng)域的專家和研究人員針對不同敏感程度的數(shù)據(jù)制定相應(yīng)的保護等級分劃方案和具體說明來指導(dǎo)不同的數(shù)據(jù)操作，還需要不斷完善整個數(shù)據(jù)管理體系.此外，不同國家或組織擁有的不同的法律規(guī)制意味著不同水平的跨境數(shù)據(jù)保護水平，這在很大程度上阻礙了數(shù)據(jù)的跨境流動，因此，如何最大限度降低國家之間政策差異導(dǎo)致的影響以及如何在數(shù)據(jù)跨境領(lǐng)域形成統(tǒng)一的國際規(guī)制，在保障我國重要數(shù)據(jù)安全性的同時更好地促進以數(shù)據(jù)為載體的國際交流和合作是目前亟待解決的問題.

4.9 數(shù)據(jù)跨境安全技術(shù)完善升級

數(shù)據(jù)跨境相比傳統(tǒng)的數(shù)據(jù)操作具有步驟更加繁瑣，風(fēng)險因素更加多變和復(fù)雜，安全問題影響更深和代價更大等特點，因此，傳統(tǒng)安全技術(shù)方案也需要得到相應(yīng)的升級；另外，我國在數(shù)據(jù)跨境領(lǐng)域的風(fēng)險評估體系也在積極建設(shè)，急需通過研究分析數(shù)據(jù)跨境流動潛在的風(fēng)險因素并提前部署相關(guān)措施以便在支持數(shù)據(jù)健康流動的同時更好地保障跨境數(shù)據(jù)在整個周期的安全性.

4.10 實現(xiàn)區(qū)塊鏈數(shù)據(jù)擦除

區(qū)塊鏈的不變性可以為數(shù)據(jù)處理提供防篡改的記錄，增強數(shù)據(jù)處理的透明度，但區(qū)塊鏈的不變性意味著區(qū)塊鏈不允許進行任何的修改，這一點并不符合GDPR有關(guān)數(shù)據(jù)修改和刪除的規(guī)定，尤其是第17條規(guī)定的被遺忘權(quán).現(xiàn)有的解決方法有離線數(shù)據(jù)存儲、遺忘區(qū)塊鏈、變色龍哈希等，但這些方法仍然需要借助可信的第三方來實現(xiàn)區(qū)塊鏈的合規(guī)性，無法提供完全的隱私安全保證.若想要區(qū)塊鏈技術(shù)在GDPR合規(guī)方面發(fā)揮更大的效用，則需要解決這一難題.因此如何設(shè)計更有效的方法解決區(qū)塊鏈的不變性與GDPR被遺忘權(quán)之間的沖突將會是未來的一個研究熱點.

5 對中國的啟示

GDPR作為個人數(shù)據(jù)保護領(lǐng)域的一部重要的法律規(guī)定，有著非常典型的示范意義.受其域外適用效力的影響，全球范圍內(nèi)的眾多跨國企業(yè)的數(shù)據(jù)安全都面臨了很大的挑戰(zhàn).中國在數(shù)據(jù)安全領(lǐng)域也同樣出臺了《個人數(shù)據(jù)保護法》等相關(guān)的法律法規(guī)及行業(yè)規(guī)則.中國出臺的法律法規(guī)與GDPR的要求具有某種程度的一致性，但也存在一定的差異.在這樣的背景下，中國應(yīng)該如何更好的改進是一個值得探討的問題.本節(jié)從6個方面探討了GDPR給中國帶來的啟示.

5.1 跨境數(shù)據(jù)管控體系建設(shè)

GDPR中關(guān)于數(shù)據(jù)跨境的具體要求對歐盟來說，主要是針對從境外流向歐盟境內(nèi)的數(shù)據(jù)，而關(guān)于對我國個人數(shù)據(jù)跨境流動立法，我們必須明確我國在個人數(shù)據(jù)跨境流動中的地位和立場，理清中國作為數(shù)據(jù)輸入國和輸出國所需要的不同制度要求，同時做到維護國內(nèi)用戶信息數(shù)據(jù)跨境安全性以及與第三方國家進行交流和貿(mào)易的合規(guī)要求.如今我國相關(guān)立法體系還未完善，雖相較于完全的數(shù)據(jù)本地化態(tài)度和政策，當(dāng)前所采用的“知情-同意”原則已經(jīng)有一定的進步意義，但仍舊無法與中國互聯(lián)網(wǎng)企業(yè)和數(shù)字經(jīng)濟大步向前邁進的趨勢相適應(yīng)，目前我們?nèi)匀恍枰獜钠渌?jīng)濟體的數(shù)據(jù)跨境制度和實踐中獲取經(jīng)驗，探索屬于中國的高適應(yīng)性數(shù)據(jù)跨境方案.

除了制度，技術(shù)也要齊頭并進，做到和跨境數(shù)據(jù)規(guī)制相互銜接.新的技術(shù)形式可能會給數(shù)據(jù)管理帶來新的潛在風(fēng)險，針對其中可能出現(xiàn)的漏洞，不僅需要及時了解技術(shù)發(fā)展新動態(tài)，將數(shù)據(jù)跨境需求融入技術(shù)更新，還要緊密聯(lián)系技術(shù)和制度，為跨境數(shù)據(jù)管控筑牢保護屏障，從技術(shù)角度深入分析來輔助制度體系建設(shè)，以便更好地迎接挑戰(zhàn).

對于我國個人數(shù)據(jù)流動的監(jiān)管，不僅需要建立相應(yīng)的數(shù)據(jù)監(jiān)管機構(gòu)和數(shù)據(jù)評估機構(gòu)對其進行職能劃分，使其每個環(huán)節(jié)中的部門都明確相應(yīng)的職責(zé)，更全面地對跨境數(shù)據(jù)進行評估，更好地監(jiān)管數(shù)據(jù)在跨境前后以及整個生命周期中各個流程的安全性；還要積極引導(dǎo)企業(yè)和相關(guān)機構(gòu)進行自評，因此，國家目前正在積極準備出臺的《評估辦法》和《評估指南》就需要細致化，衡量標準不宜過于籠統(tǒng)、模糊以及主觀隨意性太強，降低評估流程執(zhí)行難度的同時提升數(shù)據(jù)保護強度；其次，各個行業(yè)應(yīng)積極參與評估體系的建設(shè)，使其符合實際需求和落實條件，倡導(dǎo)行業(yè)自律，幫助建立可操行性強的數(shù)據(jù)跨境行業(yè)體系.

5.2 數(shù)據(jù)分類分級管理

為了應(yīng)對GDPR以及各國的數(shù)據(jù)保護法，確保數(shù)據(jù)在流動過程中的安全性，對數(shù)據(jù)進行分類分級存儲，建立分類分級跨境數(shù)據(jù)流動管理體系極其重要，《中華人民共和國數(shù)據(jù)安全法》對數(shù)據(jù)的分類分級保護作出了明確的要求.數(shù)據(jù)的分類分級管理是對數(shù)據(jù)全流程、全過程進行保障的基礎(chǔ)，邊界防護、入侵防范、身份鑒別、訪問控制、數(shù)據(jù)加密等數(shù)據(jù)隱私防護方法如果建立在數(shù)據(jù)分類分級的基礎(chǔ)上，可以達到事半功倍的效果[158].2022年9月，全國信安標委完成了國家標準《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》征求意見稿，健全了《數(shù)據(jù)安全法》的數(shù)據(jù)分類分級保護規(guī)則[159].

數(shù)據(jù)分類重點在于理解數(shù)據(jù)的本質(zhì)、屬性、權(quán)屬及其相關(guān)關(guān)系，清晰了解各個數(shù)據(jù)是如何被使用的，明確哪些數(shù)據(jù)屬于哪個業(yè)務(wù)范疇，分類不能太細也不能太粗獷[160].可根據(jù)監(jiān)管與合規(guī)、業(yè)務(wù)體系、功能單元、項目等維度進行分類.不同的企業(yè)分類的方法和標準也可能不同，例如煙草商業(yè)行業(yè)會根據(jù)數(shù)據(jù)的來源、敏感度等進行分類，按照業(yè)務(wù)類別將數(shù)據(jù)分為營銷數(shù)據(jù)、專賣數(shù)據(jù)、財務(wù)數(shù)據(jù)、人事數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)、考核數(shù)據(jù)、個人數(shù)據(jù)7個大類，然后再在大類下面細分小類，層級劃分逐步擴大[161].

數(shù)據(jù)分級主要是根據(jù)數(shù)據(jù)泄露或被破壞所造成的影響范圍、影響對象、影響程度來進行劃分.還需要依據(jù)數(shù)據(jù)的關(guān)鍵性、數(shù)據(jù)對業(yè)務(wù)的重要性、以及國內(nèi)外相關(guān)法律的要求進行劃分，例如GDPR對于任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個人信息的機構(gòu)組織均提出了規(guī)范要求[160].常用的數(shù)據(jù)分級步驟為首先確定分級對象，然后根據(jù)數(shù)據(jù)破壞對國家安全、社會秩序、公共利益造成的影響，數(shù)據(jù)破壞對企業(yè)利益造成的影響，數(shù)據(jù)破壞對用戶利益造成的影響，3個層面綜合評定對客體的侵害程度，最后決定數(shù)據(jù)對象的安全等級[162].數(shù)據(jù)安全法把數(shù)據(jù)分為涉密數(shù)據(jù)和非涉密數(shù)據(jù)，涉密數(shù)據(jù)分為絕密、機密、秘密3個級別；非涉密數(shù)據(jù)根據(jù)對國家安全、社會秩序、公共利益以及相關(guān)公民、法人造成的危害程度依次分為了5個級別[163].

由于數(shù)據(jù)的海量、多元、非結(jié)構(gòu)化成常態(tài)，數(shù)據(jù)的分類分級難度很大，我國目前在數(shù)據(jù)分類分級準則方面還有很多欠缺.目前主要努力的方向就是在遵守安全性、可執(zhí)行性、時效性、就高不就低等分類分級原則的前提下健全數(shù)據(jù)分類分級管理制度，根據(jù)各行業(yè)各領(lǐng)域數(shù)據(jù)資源特點、流通場景，加快制定適應(yīng)本行業(yè)本領(lǐng)域數(shù)據(jù)流通和開發(fā)利用需求的數(shù)據(jù)分類分級標準.表8列出了中國發(fā)布和在研的數(shù)據(jù)分類分級標準.

Table 8 Classification and Gradation Standards for Published and Developing Data[162] in China

5.3 重要數(shù)據(jù)識別與保護

作為數(shù)據(jù)安全中的重點保護對象，重要數(shù)據(jù)在中國的數(shù)據(jù)安全管理制度中一直占據(jù)著極其重要的地位.2017年我國出臺的《網(wǎng)絡(luò)安全法》第一次提出了“重要數(shù)據(jù)”的概念，2021年出臺的《數(shù)據(jù)安全法》再次在數(shù)據(jù)分類分級保護制度中提到了對“重要數(shù)據(jù)”的保護義務(wù)，但這2部法律均未對“重要數(shù)據(jù)”作出具體定義，重要數(shù)據(jù)的定義范圍及其識別方法成為了一個關(guān)鍵的問題.在2022年發(fā)布的《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則(征求意見稿)》中，“重要數(shù)據(jù)”被定義為“特定領(lǐng)域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全”[164].

重要數(shù)據(jù)識別是數(shù)據(jù)安全管理工作的基石，一個企業(yè)對于重要數(shù)據(jù)的收集處理直接影響著企業(yè)數(shù)據(jù)的安全合規(guī)性.重要數(shù)據(jù)識別工作主要分為3步：1)通過掃描發(fā)現(xiàn)和流量檢測的方式對企業(yè)數(shù)據(jù)進行初步識別，形成企業(yè)數(shù)據(jù)資產(chǎn)梳理清單；2)根據(jù)行業(yè)要求對企業(yè)數(shù)據(jù)進行分類分級；3)依據(jù)重要數(shù)據(jù)識別規(guī)則對重要數(shù)據(jù)進行判定并標識，并根據(jù)重要數(shù)據(jù)的基本信息、分類、重要性及用途等信息匯總出企業(yè)重要數(shù)據(jù)清單.重要數(shù)據(jù)的識別主要包括聚焦安全影響、突出保護重點、銜接既有規(guī)定、考慮風(fēng)險、定量定性結(jié)合、動態(tài)識別復(fù)評六大原則.除此之外還要針對重要數(shù)據(jù)的收集、存儲和使用采取重點保護措施，對于重要數(shù)據(jù)的數(shù)據(jù)處理者要提出更高的合規(guī)要求，這樣才能保證數(shù)據(jù)流通的合規(guī)有序，充分發(fā)揮數(shù)據(jù)要素的價值.

目前我國有關(guān)重要數(shù)據(jù)識別相關(guān)規(guī)則的建立仍在起步階段，重要數(shù)據(jù)識別總體要求《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則》仍在不斷修改中，各行業(yè)也依據(jù)標準制定行業(yè)內(nèi)重要數(shù)據(jù)安全管理的相關(guān)細則，例如電信領(lǐng)域出臺的《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南》及汽車領(lǐng)域出臺的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》等.中國亟待健全相關(guān)的重要數(shù)據(jù)識別與保護細則，走好重要數(shù)據(jù)安全防護體系建立的第一步.

5.4 關(guān)注不同規(guī)模企業(yè)的合規(guī)義務(wù)

雖然GDPR實現(xiàn)了對個人數(shù)據(jù)隱私的嚴格保護，但是對于市場經(jīng)濟的發(fā)展有時卻會起到適得其反的效果.尤其在市場競爭方面，由于大型企業(yè)擁有充足的資金和研發(fā)能力，能夠很好地應(yīng)對GDPR帶來的一系列合規(guī)性問題，而對于中小企業(yè)來說，過高的合規(guī)成本阻礙了企業(yè)發(fā)展的腳步，因此大型企業(yè)的競爭力大大增強，市場份額不斷增加，而中小企業(yè)在這場浪潮中卻步履維艱.雖然GDPR對于中小企業(yè)有相關(guān)的特殊豁免政策，然而實際執(zhí)行的過程中并未能落到實處.

因此在中國相關(guān)數(shù)據(jù)保護政策實施過程中要重點關(guān)注中小企業(yè)的發(fā)展，平衡不同規(guī)模企業(yè)之間的市場競爭利益，這樣有利于市場競爭的公平性，激發(fā)市場創(chuàng)新活力.對于合規(guī)性監(jiān)管的過程中要避免進行一刀切管理，應(yīng)對不同規(guī)模的企業(yè)賦予相應(yīng)的合規(guī)責(zé)任，適當(dāng)減輕中小企業(yè)的合規(guī)義務(wù)，使中小企業(yè)的特殊政策能夠落到實處.

5.5 保護個人數(shù)據(jù)的同時兼顧社會經(jīng)濟發(fā)展

GDPR基于個人控制論強化了數(shù)據(jù)主體對個人信息的控制，使得主體權(quán)利凌駕于社會利益、公共利益之上，并沒有考慮個人信息的社會屬性，造成了GDPR存在巨大的內(nèi)在缺陷.數(shù)據(jù)控制者及處理者針對個人數(shù)據(jù)處理以及數(shù)據(jù)再利用或初始目的之外的使用需要通過大量設(shè)置同意實現(xiàn)，最終導(dǎo)致同意的濫用.同時，使用同意的預(yù)防保護機制處理泛在個人信息將會導(dǎo)致社會運行成本過高.并且泛在的個人信息及數(shù)據(jù)處理導(dǎo)致GDPR的適用范圍無限擴大，進而引發(fā)侵害個人權(quán)利的風(fēng)險，數(shù)據(jù)主體也可借助GDPR與其他眾多法律的重疊現(xiàn)象來選擇有利于自身的權(quán)限基礎(chǔ).

因此，面對GDPR確立的個人信息保護準則正在成為全球化標桿，我們應(yīng)當(dāng)從我國社會實際問題及需求出發(fā)，建立符合中國特色的數(shù)據(jù)經(jīng)濟制度需求.明確GDPR根植歐洲的政治和社會文化背景與我國社會經(jīng)濟文化的差異性，兼顧數(shù)字化時代個人數(shù)據(jù)控制困難問題，以及緩解泛在的個人信息處理同社會運行成本間的沖突，以促進我國個人數(shù)據(jù)保護法案的進一步升級，保障個人數(shù)據(jù)權(quán)益與數(shù)字經(jīng)濟的協(xié)同發(fā)展.

5.6 在數(shù)據(jù)保護的同時促進數(shù)據(jù)流通

在市場經(jīng)濟中要發(fā)揮好數(shù)據(jù)這一生產(chǎn)要素的作用，不僅要嚴格的數(shù)據(jù)保護，還要保證數(shù)據(jù)的流通，創(chuàng)造數(shù)據(jù)資源的價值，不能一味地強調(diào)數(shù)據(jù)權(quán)屬，對數(shù)據(jù)進行僵化管理，讓數(shù)據(jù)失去流動性.為支持數(shù)字經(jīng)濟發(fā)展，繼《通用數(shù)據(jù)保護條例(GDPR)》之后，歐盟的《數(shù)據(jù)治理法案(DGA)》《數(shù)據(jù)法案(DA)》《數(shù)據(jù)市場法案(DMA)》《數(shù)據(jù)服務(wù)法案(DSA)》等相關(guān)法規(guī)也相繼出臺，為數(shù)據(jù)流動營造開放的環(huán)境.2021年中國施行了《個人信息保護法》，它是我國的第一部個人信息保護方面的法律文件，在這之后又發(fā)布了許多數(shù)據(jù)相關(guān)立法，但主要焦點仍在數(shù)據(jù)保護監(jiān)管方面，在促進數(shù)據(jù)流動和創(chuàng)造數(shù)據(jù)價值上中國仍需要更多的政策支持，對現(xiàn)有政策也需要不斷調(diào)整和優(yōu)化，保證數(shù)字經(jīng)濟的良好發(fā)展態(tài)勢.

6 結(jié) 語

關(guān)于GDPR的數(shù)據(jù)隱私安全研究逐年的增加使得企業(yè)以及個人對數(shù)據(jù)隱私保護意識得到了很大的加強，但因其涉及領(lǐng)域較廣，且隨著各國數(shù)據(jù)法的不斷更新、應(yīng)用場景的不斷變化，其整體還處于起步階段.本文在調(diào)研大量基于GDPR的數(shù)據(jù)隱私安全相關(guān)論文及其研究成果后，首先介紹了數(shù)據(jù)隱私安全發(fā)展歷程及歐盟GDPR法規(guī)主要內(nèi)容，并將其與各國數(shù)據(jù)法進行了詳細的對比；然后通過梳理總結(jié)現(xiàn)有的基于GDPR的數(shù)據(jù)隱私安全的研究工作，從GDPR違規(guī)行為分析、隱私政策分析、GDPR模型框架3個方面闡述了GDPR合規(guī)性的研究現(xiàn)狀；之后總結(jié)GDPR相關(guān)的數(shù)據(jù)技術(shù)應(yīng)用以及各種合規(guī)應(yīng)用場景.通過深入分析數(shù)據(jù)隱私安全問題以及現(xiàn)有研究工作的不足，指出了基于GDPR的數(shù)據(jù)隱私安全面臨的十大安全技術(shù)挑戰(zhàn)和機遇；最后指出了跨境數(shù)據(jù)管控體系建設(shè)、數(shù)據(jù)分類分級管理、重要數(shù)據(jù)識別與保護、不同規(guī)模企業(yè)的合規(guī)義務(wù)、兼顧社會經(jīng)濟發(fā)展、促進數(shù)據(jù)流通等GDPR相關(guān)研究對中國的啟示.

作者貢獻聲明：趙景欣負責(zé)設(shè)計研究方案及論文撰寫和修訂；岳星輝負責(zé)調(diào)研分析、數(shù)據(jù)統(tǒng)計及論文部分撰寫；馮崇朋、張靜負責(zé)論文部分撰寫及畫圖；李印負責(zé)最終版本修訂；王娜負責(zé)論文部分撰寫；任家東、張昊星、伍高飛、朱笑巖負責(zé)論文整體修訂；張玉清提出論文整體研究思路，及最終論文的審核與修訂.