【数据战争／01】被卖了还帮忙数钱？你的数据你自主

“他们（社媒公司）对这些数据有很大的控制权，可以做很多事情。从那时开始，大家就在谈论数据治理（data governance）和数据保护。然而仍属于初期阶段，人们主要还是关注怎样保护个人数据，防止被公司滥用。”国库控股研究所（KRI）研究组副主任江怀忆博士（Dr Rachel Gong）说道。

其实有更深一层的顾虑，用户是完全不知道这些社媒公司会怎样使用、分析、传输和储存个人数据，以至我们很难捍卫自身权益。

“一般上，你是不知道这些（社媒）平台和公司用你的数据来做什么，直到他们突然向你推销产品。”

因此，许多国家政府意识到必须要有网络边界，不能允许跨国企业随意将公民数据“带走”。他们通过立法捍卫数据主权，要求跨国企业将数据存储在境内，受当地法律监管，以保护公民数据安全和隐私。

一场没有硝烟的“数据战争”

那么何谓数据主权？它是指一个国家有权管理国内公民、企业、经济社会所生成和使用的数据。同时规定国内数据必须存放在国内，并按照法律监管，不能随意让跨国企业将其带走。

为什么数据主权至关重要？可以从两个方面来看，第一、政治博弈。在数码世界里面，数据主权也是另一种国家主权的延伸。谁掌握最多数据，间接地也掌握话语权。第二、经济势力。拥有越多数据，可以推动国家的人工智能（AI）和创新技术发展，提高国际竞争力，创造更多数码经济契机。

夸张地说，全球已经进入一场没有硝烟的“数据战争”。当物联网、大数据、云计算开始普及，人手一机可以上网的时候，数据突然变得很有价值，好像跟土地、水资源一样重要，每个国家都想争夺数据。

数据中心崛起，大马需强化数据保护

不过，江怀忆坦言，我国民众不太关注数据主权这回事。首先，与美国、中国、印度、俄罗斯相比，大马相对是比较小的国家；其次、大马是一个中等收入或发展中国家，国内的数据中心和存储设施仍不算庞大。

“因此，我们能控制的数据范围非常有限。”

不过，未来局面会有些不同。因地缘政治缘故，东盟因持有中立态度，许多大企业会把数据中心设立在东盟国家。过去一年，大马就吸引了亚马逊、微软、谷歌、阿里巴巴、字节跳动等企业斥巨资建设数据中心，意味着未来会有大量的用户数据将存储在这些设施里面。

据马新社报道，从2021年至2024年6月30日期间，马来西亚投资发展局（MIDA）已批准了12个数据中心投资项目，投资额度高达902亿令吉。

因此，我国必须制定更严格的数据保护法规。这不仅是保护隐私，更是维护国家安全和经济主权，以应对全球数据的竞争。

Meta案例：侵犯隐私的代价

提一个大家很常遇到的事。

大家都讨厌广告吧？只要你在社媒平台搜索某样产品，不到几秒钟，你就会频频刷到相关的广告。那能不能阻止平台分析个人数据呢？

江怀忆回答，虽然我国有2010年《个人数据保护法》（PDPA），但主要监管企业在收集个人数据的行为，以及处理与交易相关的个人数据，像是电子钱包交易。如果是非商业交易相关的数据，当企业收集了个人数据后，他们是可以自由地使用和分析所收集的数据的。

以社媒平台为例，他们在分析用户的浏览历史、搜索记录、评论和点赞的帖子数据，会声称是为了提升用户体验。实则，他们也在了解用户的喜好和消费习惯，然后根据分析结果精准地推送广告。

江怀忆说，现阶段只能采取法律措施来监管这些平台，我国需要有一套新的法规，来管控社媒企业如何使用公民个人数据。在另一方面，用户也要了解自己的数据权利，不要随意公开分享个人数据。

GDPR最为严格的数据隐私标准

欧盟早年推出的《通用数据保护条例》（GDPR）或许是一个借鉴的例子。GDPR堪称是迄今为止最全面、最严格的数据隐私标准，并针对所有在欧盟境内处理个人数据的企业、单位和组织。

首先，该条例是确保用户拥有个人数据的控制权，比如知情权、数据访问权、删除权（或称“被遗忘权”）等等。针对企业平台，GDPR拥有7项核心原则，但都是围绕在处理个人数据时，必须合法、公平和透明，并且要有合理的保存数据期限等等。

忘了说，GDPR的罚款最高是全球年营业额的4%或2000万欧元。Meta就曾被重罚12亿欧元。据欧洲数据保护委员会（EDPB）官网资料，在2023年，爱尔兰数据保护委员会认定，Meta欧洲总部严重侵权，从2020年7月16日起，便向美国传输大量欧盟用户个人数据，未能保护这些数据的隐私安全。

数据主权“灵魂”三问

Q1：监管阻碍创新？ 当然，每家企业都很排斥国家监管，因监管力度太严格，会影响到收益。科技公司很常会提到，监管会阻碍研发和创新，但事实并非如此。 江怀忆以金融业为例，金融行业有很多监管规定，可是没有一家企业会反对这些规定，也不妨碍他们销售产品或创新。因此，科技业也不应该有例外。 她坦言，如果要捍卫各国的数据主权与权益，需要以一种全球或区域性的联盟合作，与这些跨国的庞大公司谈判。 “即便他们说在大马有办事处，然后会遵守大马法规，但那些只限于大马的数据。一旦数据回到他们的总部或伺服器，他们不一定会遵守大马法规。”因此，她认为，需要通过国际合作，才能有效地监管这些跨国企业，确保他们合法和透明地使用这些数据。 也许可以从东盟这个经济体出发，集体达成协议与跨国企业谈判。惟，她认为这是一个极具挑战的任务，因为各国都有不同的利益考量和立场。

Q2：“用户协议和隐私政策”你都同意？ 至于哪些国家已实施强有力数据主权政策？“中国。”她答道。 除了捍卫数据主权，还设有“互联网防火墙”，可屏蔽涉及色情、暴力和敏感内容等等。此举自有利弊，全凭你站在哪一个角度去思考。执政者肯定是为了确保社会安稳；中国网民则或许会认为限制了言论自由、网络自由。 另一个国家是印度，该国在2023年通过了《2023年数码个人数据保护法》，成为保护个人数据的主要法律。有关条例提及，印度政府可以限制企业平台将公民个人数据传输到指定的境外国家或地区。 回到大马，当个人数据被储存在海外公司伺服器，脱离了大马的管辖范围。那么这些海外公司是有可能出售用户的个人数据的。举一个例子，当网民看到冗长的“用户协议和隐私政策”，往往略过不读，直接点击“同意”。但，有些条例是有注明会与第三方或关联方共享必要讯息。那么你很有可能“中招”了。

Q3：创立大马本土社交媒体平台可行吗？ 谈到数据主权，在韩国有专属的搜索引擎Naver和通讯平台Line；俄罗斯则有搜索引擎Yandex和社交平台VK。这两个国家通过发展本土化平台，保护公民的个人数据，杜绝数据被海外公司滥用的问题。 倘若资金不成问题，大马需不需要本土化社媒平台？ 江怀忆坦言，印度在2020年曾有一款名为“Koo”的本土社交媒体平台获得印度政府青睐，因可以推广“印度制造”精神，摆脱外来社交媒体平台，比如说“X”（前称推特）。 然而维持一个平台需要注入庞大资金，这几年“Koo”遭遇严重亏损，亦找不到合适的合作伙伴。最后，“Koo”在今年7月份退场。 她说，印度有14亿人口都无法养活一个“Koo”，大马科技企业需要三思才行。

数据主权条例不能过于严格

从经济的角度来看，每个国家还是需要有跨境数据流动，政府不能对数据主权的要求过于严格。

“现实情况，几乎所有行业都会推动‘跨境数据流动’，因为这就是资金流动的方式，他们才能提供所有的服务和资源。”

比方说谷歌或苹果公司，为了向全球用户提供一致的系统服务和功能，他们会收集来自不同国家的用户数据，再传输到全球不同国家的数据中心储存和处理。同样地，跨境传输数据时，他们得遵守各国的数据保护法律，以及确保数据在传输过程中不会被骇或外泄。

“当然，对于涉及国家安全的数据，我们应该保存在本地（伺服器）。”

相关稿件：
【数据战争／02】是谁教坏了AI？发展在地化技术，保障AI主权
【AI降陆影视业／01】AI神操作冲击影视业 大师饭碗也难保？
【交友有诀／01】学会交友技巧 社恐转身变社牛