米兰·(milan)中国官方网站-数据保护又一枪！欧盟一执法机构被命令删除大量非法收集的个人信息

欧洲一贯被认为是引领全世界隐私掩护的前锋。此前，欧盟的一系枚举动，从GDPR，到限定公家场所运用人脸辨认、禁止企业于雇用历程中利用算法主动筛选简历等等，都向外界通报了一个明确的旌旗灯号：

于成长人工智能技能以前，欧洲公平易近的隐私安全起首排于第一名。

那末，当冲击犯法与数据隐私掩护二者有冲突时，欧洲政府会怎样选择？

于互联网时代，不管是企业还有是执法机构，都有多个获取数据的路子，形成数据的堆积——这一征象，被隐私专家们称为「年夜数据方舟」。

近日，英国《卫报》（The Guardian）报导了一个重磅级动静：欧盟数据掩护羁系机构（EDPS）下令，强迫欧盟旗下的欧洲刑警构造（Europol）删除了所不法持有的、跨越六个月的数据，并用一年时间梳理出它可以正当保留的数据。

看来于数据掩护一事上，欧盟「老年老」不仅是对于google等企业动手，对于本身的手下上将也不会手下留情。

《卫报》的报导显示，欧洲刑警构造被指控不法持有年夜量受法令掩护的小我私家信息，并有成为「欧洲NSA」的嫌疑。同时，该构造还有规划将这些数据举行挖掘阐发，用在人工智能与呆板进修算法的练习。

EDPS的裁决成果注解：于安全与隐私的衡量之间，欧洲决议计划者选择了站于「隐私」的一方。

一、事务出处

欧洲刑警构造（Europol）的总部位在荷兰海牙，是欧友邦家差人军队下的一个协调机构。于2015年巴塔克兰袭击事务发生后，欧盟的一些成员国最先但愿 Europol 解决可骇主义的问题，并鼓动勉励它网络多方面的数据。

从理论上讲，欧洲刑警构造可以存储哪些类型的小我私家数据以和存储多永劫间，是遭到严酷的法令羁系的。按照划定，它所吸收到的数据记载应该严酷分类，而且仅于与反恐等高价值事情有潜于相干性时才能运用或者保留。但 EDPS 发明，欧洲刑警构造处置惩罚数据的方式很随便；此外，该构造所持有的数据内容毕竟是如何的，并无清晰披露。

据《卫报》报导，只有少数欧洲人知道本身的数据被存储，且没有人可以或许强迫要求 Europol 披露毕竟本身的哪些信息已经被存储。荷兰人 Frank van der Linde 是被欧洲刑警构造网络了小我私家数据的此中一人。2020年，他向 EDPS 投诉了 Europol 的上述举动。

据《卫报》动静，Frank 此前因破窗进入一栋年夜楼为流离汉提供栖身场合而与差人起了一次严峻冲突。这也是他与差人的独一一次「互动」，他是以被荷兰政府列入可骇不雅察名单。但于2019年，他便因接触可骇嫌疑被荷兰从监督名单中移除了。

图注：Frank van der Linde

2018年，Frank 从荷兰搬到柏林。他不知道的是，其时荷兰警方与德国同寅、以和 Europol 分享了他的数据，直到厥后他于阿姆斯特丹市政厅看到一份部门解密的文件，才知道本身的数据已经被 Europol 持有。

于Frank看来，Europol 就像一个黑匣子，他没法确认该构造是否已经向荷兰政府确认他的最新动静、知道他不是极度份子后删除了了数据。为了删除了他的小我私家数据，他找到 Europol。但于2020年6月，Europol 答复他，称 Europol 的体系里没有任何他「有权拜候」的内容。

然而，该事务引起了 EDPS 对于 Europol 处置惩罚敏感数据的担心。

二、EDPS参与

按照2019年9月的开端查询拜访，EDPS 发明，外界与 Europol 同享的数据集于存储时没有颠末适量的查抄，也没有验证获取到的数据主体是否应该被监控或者保留。

EDPS查询拜访发明，Europol 所持有的数据量缓存至少有 4 PB（1PB=1048576GB），相称在300 万张 CD-Rom 或者美国国会藏书楼所有内容的1/5。这些数据重要来历在犯法陈诉、黑客进犯加密德律风办事、无任何犯法记载的追求呵护者。

同时，Europol 所生存的数万亿字节中， 至少有25万当前或者之前的可骇及严峻犯法嫌疑人、以和与他们接触的其别人的敏感数据。这些数据是国度差人政府于已往六年中所堆集起来的，重要来自一系列刑事查询拜访（案件数目不明）的数据转储。

此次查询拜访后，欧洲刑警构造并无给到羁系机构一个使人信服的谜底，在是，EDPS 于 2020 年 9 月又公然申饬差人机构。《卫报》称，按照法庭记载，于处置惩罚数据一事上，欧洲刑警构造于存心迟延时间，羁系机构明确注解他们没有解决这一「背法举动」。

此外，差人机构一直于要求欧盟设立新的法例（以下）、为其六年来于没有法令依据的环境下所不法汇集的数据提供追溯性保障。德国人权研究所的监控专家 Eric Topfer 研究了拟议中的欧洲刑警构造新法例，估计该机构会直接从银行、航空公司、私营公司及电子邮件中获取数据。

拟议新规链接：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0796

一旦形成法令条则，这些提案就能够将原本的数据缓存正当化，将这些数据作为开发新的AI与呆板进修东西的试验样本。

伦敦玛丽女王年夜学的法令专家 Niovi Vavoula 评论：「新的立法现实上是于摆弄这个体系。多年来，欧洲刑警构造及委员会一直于测验考试对于不法保留数据举行过后改正，但制订新的法例其实不能正当地解决之前的不法举动。这不是法治的运作方式。」

欧盟内政专员 Ylva Johansson 曾经测验考试为欧洲刑警构造辩护，称：「执法部分需要东西、资源与时间来阐发正当传输给他们的数据。于欧洲，Europol是撑持国度差人政府完成这项艰难使命的平台。」

图注：Ylva Johansson

Europol否定它们曾经使用这些数据举行任何不妥举动，并称它们虽然持有年夜量不法获取的小我私家数据，但其实不筹算使用这些数据「为非作恶」，也没有成为「美国NSA」的野心。

但令羁系专家们更为震动的是，欧洲刑警构造对于在「数据」的立场，与斯诺登于披露美国 NSA 汇集数据举行年夜范围监督后、NSA 为本身辩护的理由是相似的——「咱们只是网络数据，只有于须要时才会利用这些数据。」

2021年12月，羁系机构与欧洲刑警构造的坚持达到了白热化状况，工作的严峻性不停进级，甚至吸引了欧盟内政事件总做事 Monique Pariat 出席集会。但此次集会上，欧洲刑警构造还有是没有答复EDPS对于正当保留数据的担心。雷峰网(公家号：雷峰网)

末了，EDPS不能不发布一个让欧洲刑警构造删除了跨越六个月数据的决议。

三、安全 vs. 隐私

于数据存储上，Europol 与 EDPS 的另外一冲突是前者青睐用技能来解决隐私权的安全问题。2021年7月，欧洲刑警构造的卖力人、前比利时高级差人 Catherine De Bolle 与纽约州的地域状师于PolitIco（美国政治新闻网站）上配合发表了“The last refuge of the criminal: Encrypted smartphones”一文，称执法机构从智能手机中提取证据的需求应该高在公平易近隐私掩护的思量。

作为执法政府，他们认为有责任于查明本相以前，不吝一切价钱为犯法受害者和其家人寻觅所有可用的线索与证据，而加密的数字装备将证据锁于了执法职员所能涉及之处。为此，他们主意执法机构应得到通往加密装备的密钥。

图注：Catherine de Bolle

不成否定，经由过程对于技能研究的冲破，Europol 确凿于冲击犯法上取患了庞大结果。2020 年，它们与法国、荷兰警方一路介入了对于加密德律风办事 EncroChat 的黑客进犯，将年夜量小我私家数据开释到「方舟」中。

它们从 1.2 亿条 EncroChat 动静及数万万条通话灌音、图片及条记中提取数据并举行复制，然后将数据打包给国度差人军队。于欧洲刑警构造和其司法机构 Eurojust 披露奥秘步履时，他们将此次步履称为「欧洲汗青上冲击有构造犯法最乐成的案例之一」。仅于英国，截至 2021 年 8 月，就有约莫 2600 人被拘留。

但事实上，欧洲刑警构造的黑客操作将 EncroChat 手机酿成了针对于其用户的挪动特务软件，与 Pegasus 等监控歹意软件有主要的相似的地方。于特务软件泛滥的环境下，加密是很多社会要害群体（如人权捍卫者、记者与状师）通讯的独一掩护。雷峰网

EncroChat 的客户还有包括非犯法份子、状师、记者及商界人士，一名来自荷兰的状师 Haroon Raza 就是此中之一。据他所知， 「欧洲刑警构造的数据库中仍旧存于一份他的手机数据副本，可以永远保留。」

法国状师 Robin Binsard 评论，Europol 的整个步履相称在年夜范围监督，就像差人要寻觅犯法证据，在是汇集了一个街区内的所有公寓——这不仅加害了隐私，并且是背法的。

自 2016 年以来，Europol 还有于意年夜利及希腊的灾黎营开展了一项年夜范围筛查规划，网络了数万名追求呵护者的数据，以寻觅被指控的外国战斗职员及可骇份子。按照 EDPS 的部门解密陈诉，Europol 构造「不答应」欧盟之外的移平易近对于他们举行「例行查抄」，由于此举「没有法令依据」。但 Europol 的筛查可能会致使移平易近的小我私家数据被存储于犯法数据库中，不管他们是否被发明与犯法或者可骇主义有关。

此外，2020年春天，于欧洲刑警构造发明本身拥有愈来愈多的数据缓存后，他们就最先但愿用算法来阐发数据暗地里所折射出的世界。雷峰网

于 EDPS 公然正告欧洲刑警构造一个月后，欧洲刑警构造还有提出就教：假如它想于已经经被正告保留的数据上练习算法，是否可以于没有 EDPS 监视的环境下启动数据掩护影响评估流程？

他们明确指出，包括脸部辨认东西于内的算法不会被设计或者用在检索有关敏感数据，包括公平易近的康健状态、种族配景、性取向或者政治取向等等。可是，正如本身所认可的同样，这些数据将不成防止地被人工智能东西所处置惩罚，并主动天生包罗敏感数据的内容。

EDPS 回应，他们其时就暗示会启动正式的监控步伐。到 2021 年 2 月，Europol 住手了呆板进修规划，并对于《卫报》暗示，他们「没有益用本身的呆板进修模子举行操作阐发，也没有对于呆板进修举行『练习』。」但没多久，Europol 就最先招募专家，帮忙开发人工智能模子与数据挖掘。显然，这与 Europol 声称「不会处置惩罚数据」的初志相违反，也是欧盟数据安全羁系机构最年夜的担心。

是以，EDPS 终极决议对于欧洲刑警构造提出强迫要求删除了数据。

四、数据隐私之殇

数据被誉为人工智能的三驾马车之一。

然而，跟着列国数据掩护政策的收紧，以和公平易近对于小我私家信息的掩护意识晋升，上至执法者，下至企业与高校机构，敏感数据的获取与利用将愈来愈难。对于在执法机构的数据利用羁系，欧盟的裁决只是打响了「第一枪」。

而穷究泉源，促使政策下台的底子缘故原由，终极仍要落到数据的重大价值与其诱惑上。纯真拥有数据、而不利用数据的「信誓旦旦」，已经经没法博得公家的信托。

于个别用户中，拿一个身份证换一盒鸡蛋的举动将一去不返。愈来愈多的人对于数据安全的防御意识于加强。对于他们来讲，好处安全与消费体验的需求将愈来愈强。

于接下来的人工智能成长中，研究者要思量的问题，约莫是怎样使用少数据、非敏感数据举行研究，实现研究冲破，同时「讨好」个别罢。

参考链接：

1.https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data

2.https://www.politico.eu/article/the-last-refuge-of-the-criminal-encrypted-smartphones-data-privacy/

3.https://www.europol.europa.eu/media-press/newsroom/news/dismantling-of-encrypted-network-sends-shockwaves-through-organised-crime-groups-across-europe

雷峰网原创文章，未经授权禁止转载。详情见转载须知。