你走在马路上，感觉到了一丝凉意，随手就将衣服的拉链拉起，顺势将半张脸都塞进了衣领里，试图寻找暖意。如果这时你是在伦敦，那恐怕要小心点了，很有可能会因为“不当行为”而被罚款。

5月16日，伦敦一名路人在经过面部识别系统时故意挡住了脸，很快就被警察拦下，当街罚了90英镑，甚至还拍下了照片存档。

（来源：澎湃视频，https://www.thepaper.cn/newsDetail_forward_3474595）

据BBC报道，自2016年起，英国伦敦警方开始使用面部识别技术以提高办案效率，据称可以通过人脸识别进而匹配到个人的相关信息。但有民众认为，这涉嫌侵犯公民的个人隐私。

“街口有个小伙子跟我说，他们在进行面部识别，所以我就（拉起衣领遮住脸）这样走了过去。我不想把我的脸展示给任何东西，我想挡住我的脸我就挡住。” 这位老兄感到既委屈又气愤。

或许，这正是物联网时代人工智能发展与个人信息安全保护相博弈的一个缩影。

一方面，进入物联网和云计算的工业4.0时代，由人工智能+物联网构成的智能硬件搭载着智慧传感器，最终构成了我们引以为傲的“智慧城市”。那些智能家居、智能可穿戴设备、智能交通、智能医疗、无人机等，给人类的生活带来了前所未有的便利。

另一方面，人们又对个人信息安全满是担忧。据LSF Digital调查显示，欧盟市场消费者认为智能设备比起非智能设备有更多的风险，风险来自于隐私泄露、对技术的恐惧、对黑客攻击，以及对智能成熟度的担忧。随着5G时代的趋近，企业该如何应对政策法规对于隐私保护日益严苛的要求？

“史上最严”数据隐私法规GDPR诞生

于是，2018年5月25日，由欧盟起草实施的“通用数据保护法案”（General Data Protection Regulation，GDPR）正式生效并强制执行，被称为“史上最严”数据隐私法。

“这是欧盟信息安全委员会针对于欧盟公民个人隐私数据的保护法案，出台目的就是为了促进欧洲的数字化和信息技术化，但落脚点却是保护公民的个人数据、个人隐私财产免受大公司以及雇佣公司的侵犯。”德国莱茵TÜV大中华区信息通信技术高级项目工程师周源表示，“大部分企业都在担心GDPR带来的影响。”

GDPR的八大纲领性要求

与此同时，令企业感到焦虑的是，GDPR作为法律性文件，长篇累牍又极为细致。想要彻底吃透GDPR，避免踩雷遭受处罚也不是一时半会儿的轻易之事。周源从技术角度对GDPR的八个纲领性要求作了解读：

1，非必要使用，就尽可能少使用

如指纹信息、虹膜信息、Face ID信息等生物信息，是唯一标识个体且无法改变的高敏感信息，是要被严格限制授权使用与保护的公民信息。比如企业要雇佣一个员工，如果不是必要需求就不应该获得员工的信息，或者不必要获得服务人的其他信息。

2，知情服务权

年龄、性别、性取向、户籍信息……这些凡是能定位“数据主体”的信息，在GDPR法案里都被认定是个人数据。而任何用户个人数据的使用，都必须告知用户并且获得用户的同意。

3，对数据的修改和移动权利

举个例子，用户更换了工作或住址，年龄信息需要更新，或者用户发现企业保存的用户信息不符合用户实际，亦或者用户不愿意继续提供自己先前保存在企业方的信息，这些情况下用户都有权申请企业进行相应修改。对腾讯、阿里、百度等国内厂商而言，他们在欧盟境内对欧盟成员国、欧盟公民提供服务的话，也要遵从GDPR法律。

4，个人对数据的删除权

比如，一个德国公民使用德国亚马逊，会留下姓名、电话、家庭住址等个人信息，但现在他要注销在德国亚马逊的账户，那他有权申请让德国亚马逊删除其个账户内的所有个人数据并出具相应证明。

5，数据保护

企业要从技术上和流程上对数据提供保护。例如，入职员工的数据只能给人事、财务、CEO和相关有权限的人看，如果员工不希望数据被同事看到，那就要在流程上对数据进行保护。

6，加密

加密是把人可以辨识的信息变成明文无法辨识的信息，并在解密的时候需要进行相应复杂度的解密计算，这就可以在技术上对数据提供某种程度的保护。

7，非必要设计和功能

用户数据对投资人而言极具价值，于是很多互联网厂商都希望收集用户尽可能多的信息。在GDPR法规中，应用程序之外的服务属于非必要设计的功能，特别是如果该功能还存储、处理了个人数据，那就会被认定违反了GDPR。

8，隐私设计和设置

GDPR法案建议厂商在产品服务的出厂设置和设计中保护用户的个人隐私。比如，现在流行的手机解锁指纹、虹膜、结构光人脸识别等方式，如果提取方式在用户设计、产品生产时没有考虑如何保护收集到的用户数据，那就违反了GDPR。

TÜV莱茵与企业共创信息安全服务的价值

没有人会否认，GDPR是迄今为止覆盖面最广、最严格的全球性数据隐私保护法规，所有在欧盟区销售产品或提供服务的厂商都必须遵守该法规，否则企业将面临高额处罚。

“TÜV莱茵从风险管理和合规业务、安全水平鉴定以及云安全三个维度，考虑信息安全。”周源说。他同时表示，针对几个主要的隐私保护点，可以从产品层面和公司层面来分析。

所谓产品层面，包含了软硬件、通信安全、应用程序端、文件记录端和数据使用。“在那么多安全保护的点里，这些是最重要的，或者从技术角度来看这些点是最关键的。”周源强调。此外，从公司层面，要考虑到IT环境、组织架构管理流程、文件记录、第三方审核。其中，第三方审核能够在基础层面保证审核的层次，降低评估的周期，同时企业也能获得相关第三方的背书，更容易令审核人员和客户信服。

GDPR的推出，为传统的IoT产品与服务带来了巨大的挑战，同时也为从源头规范信息管理和保护隐私带来了机会。

自1999年起，TÜV莱茵在信息安全和隐私保护领域就设立了专门的部门进行基础性研究，在信息安全和隐私保护领域不断协助行业健康发展。GDPR刚颁布，TÜV莱茵就即刻组建了德国专家与中国专家的联合团队，对法案进行了详尽的研究，结合专家们在信息安全领域的多年经验，为企业提供关于GDPR法案的技术咨询、合规培训、合规整改，以及基于GDPR法案的物联网产品与服务隐私保护认证等一系列服务，协助企业应对严格的法案要求，减少高额罚款的风险，与企业共同创造信息安全服务的价值。