“我們公司也在修改‘隱私協(xié)議’，已經(jīng)寫好了，還只是比較簡單的框架，內部正在核對，因為隱私政策特別重要，目前還沒有推出。”

歐盟通用數(shù)據(jù)保護條例(General Data Protection Regulation，簡稱GDPR)正式實施十多日后，中國某估值數(shù)百億美元的互聯(lián)網(wǎng)公司法務部員工告訴《鳳凰周刊》。

“你們的修改有英文版嗎?”

“暫時還沒有。之前的隱私條款也沒有英文版，一直只有中文。”

“但是歐盟GDPR要求隱私協(xié)議必須通俗易懂。”

“是嗎?我不知道有這條呢，我還沒學過GDPR原文。”

上述“尷尬”情形并不是個案。

美國IT研究與顧問咨詢公司Gartner預測，在GDPR強制生效的5月25日，全球受該法規(guī)影響的企業(yè)將有超半數(shù)不能完全滿足條例要求。

今年1月的一項調查發(fā)現(xiàn)，倫敦1/4的企業(yè)甚至還不知道GDPR是什么。

GDPR是歐盟針對個人數(shù)據(jù)和隱私保護實施的一項新立法，是20年來全球最重要的數(shù)據(jù)隱私保護變化，也是有史以來規(guī)模較大、最具懲罰性的數(shù)據(jù)保護法。

歐盟制定該法規(guī)，旨在加強成員國的數(shù)字安全，向歐盟公民提供個人數(shù)據(jù)的控制權利。歐盟公民隨時可以訪問個人數(shù)據(jù)，可以刪除或更正錯誤的數(shù)據(jù)，以及索取個人數(shù)據(jù)的副本，對于企業(yè)或他人使用其個人數(shù)據(jù)，歐盟公民擁有同意或反對權，并有權知曉企業(yè)是否保存了他們的數(shù)據(jù)等。

對于違法企業(yè)，可能面臨高達1000萬歐元或公司全球營業(yè)額2%的處罰(以較高者為準)，而最嚴重的違法情況將會導致高達2000萬歐元或公司營業(yè)額4%(取高者)的罰款。如此重的罰單將可能讓任何企業(yè)破產。

GDPR不僅針對歐盟企業(yè)，在全球化的今天，任何公司只要與位于歐盟的客戶有任何形式的業(yè)務往來，或者有身在歐盟的用戶，就都要受到GDPR的制約，也就是說，中外相當數(shù)量的企業(yè)都將被GDPR影響。

然而，對如此重要的一部全球性法規(guī)，各國企業(yè)界至今仍感到“無所適從”，不確定怎樣才算完全合規(guī)。

騰訊研究院法律研究中心首席研究員蔡雄山日前出席美國斯坦福大學的一個互聯(lián)網(wǎng)法律會議，會議匯集了谷歌、臉書、亞馬遜、Ebay等巨頭，GDPR再次成為熱點，來自谷歌等公司的律師坦率表示不知如何解讀，戲稱GDPR是“Lawyer full employment law”(律師充分就業(yè)法)。

 

 

數(shù)字時代的“人權宣言”

GDPR生效的第一天，臉書和谷歌就被告了，被指控強迫用戶同意共享個人數(shù)據(jù)。如果歐盟監(jiān)管機構同意這一訴訟，臉書和谷歌將分別面臨39億歐元和37億歐元的罰款。

起訴來自奧地利的隱私活動家Max Schrems，他長期以來都在批評這兩家公司收集用戶數(shù)據(jù)的行為。

為了符合GDPR，谷歌和臉書都推出了新的隱私政策和產品。但Schrems認為這還不夠。因為這兩家公司要求用戶選擇“同意”選項以獲取服務，否則就不能使用服務。

對于在線服務來說這是一種普遍的做法，但是Schrems認為它迫使用戶進行“要么全贏，要么全輸”的選擇，這違反了GDPR關于獲取同意的規(guī)定。

隨著谷歌、臉書、亞馬遜、推特等超級平臺崛起，數(shù)億乃至數(shù)十億全球用戶不斷向科技巨頭集聚，與此同時，不受約束的權力導致的是“數(shù)據(jù)霸權”，用戶數(shù)據(jù)和隱私被肆意收集、分析、銷售乃至竊取。臉書大規(guī)模用戶數(shù)據(jù)被用于干預美國2016年大選，就是被全球討論的例證。

根據(jù)歐盟委員會司法專員Viviane Reding的報告，每年歐盟因數(shù)據(jù)保護執(zhí)法無序導致的成本高達23億歐元。

于是，歐洲議會2012年1月提出改革歐盟數(shù)據(jù)保護法規(guī)，2016年4月通過了GDPR，并給予兩年的過渡期。

騰訊研究院法律研究中心高級研究員曹建峰向本刊介紹，GDPR其實有二元立法目標：保護個人權利，并促進個人數(shù)據(jù)的流動。因為第一條開宗明義指出：不能以保護個人數(shù)據(jù)中的相關自然人為由，對歐盟內部個人數(shù)據(jù)的自由流動進行限制或禁止。

GDPR大幅拓展了對“個人數(shù)據(jù)”的定義，不但包括姓名、身份證號、定位數(shù)據(jù)、網(wǎng)絡IP地址，也包括指紋、虹膜、醫(yī)療記錄、心理、基因、經(jīng)濟、文化、社會身份等等能直接或間接識別到身份的信息。

“屬地管轄+屬人管轄”是GDPR的深刻變化，任何在歐盟設立機構的企業(yè)，或者向歐盟境內提供產品和服務的企業(yè)，在處理歐盟數(shù)據(jù)主體(歐盟公民)的個人數(shù)據(jù)時都應當遵從該要求。比如，歐盟消費者在中國某電商注冊并購買商品或服務，該電商和店主就必須遵守GDPR。

在GDPR支持下，歐盟公民享有對自己數(shù)據(jù)的更廣泛的權利，如獲取權、修改權、被遺忘權、可攜權。

根據(jù)該法規(guī)，對個人數(shù)據(jù)的處理普遍須取得當事人的明確同意，該同意必須是自由做出的、特定的、明確的和知情的。相關協(xié)議須使用清楚、直白的語言，以容易理解且容易獲取的方式呈現(xiàn)，否則視為無效。用戶有權隨時撤回其同意，同意的撤回應和同意的作出一樣容易。

“被遺忘權”是指，當用戶依法撤回同意或者控制者不再有合法理由繼續(xù)處理數(shù)據(jù)等情形時，用戶有權要求刪除數(shù)據(jù)。

“可攜帶權”是指，用戶有權利以有序的、常用的、機器可讀的方式獲取其個人數(shù)據(jù)，并且有權將這些數(shù)據(jù)轉移到另一個企業(yè)，如從臉書轉到推特，企業(yè)不得干擾用戶轉移，在技術可行時，臉書還要提供一站式服務。

數(shù)據(jù)的“可攜帶權”和“被遺忘權”是相關聯(lián)的，因為都要求企業(yè)非常完整地了解掌握了哪些用戶信息，包括信息的數(shù)量、類型、存儲位置、應用場景等等，在用戶提出要求時能夠準確、及時地提供或刪除。

另一方面，GDPR嚴格界定了數(shù)據(jù)控制者、處理者的一系列義務，如以默認方式保護數(shù)據(jù)義務、記錄處理活動義務、確保處理安全義務、數(shù)據(jù)泄露的72小時內通知義務、設立數(shù)據(jù)保護官的義務等等。

“這部法規(guī)把數(shù)字時代圍繞個人數(shù)據(jù)的基本概念、規(guī)則、權利、義務都做了界定，基本架構大致穩(wěn)定下來了，是數(shù)字時代歐盟關于數(shù)據(jù)保護的基本立法。”曹建峰說。

 

 

“整改”與困惑

根據(jù)《福布斯》報告，GDPR讓美國財富500強企業(yè)在實施前就花費了78億美元合規(guī)成本。對中型企業(yè)來說，這兩年平均花掉的合規(guī)成本為55萬美元。普華永道給出更明確的合規(guī)成本估計——68%的公司預計將花費100萬到1000萬美元的投入。

在占據(jù)全球數(shù)字經(jīng)濟重要份額的中國，各界企業(yè)也行動起來。

已經(jīng)少有人用的騰訊微博突然發(fā)布了一個iOS版本更新，更新日志說明是“修復了bug”，不過外界認為是要做到在GDPR下合規(guī)。東航也首設“數(shù)據(jù)保護官”，以做好旅客個人信息保護工作。“9·11”事件后，出于反恐等需要，全球航空公司都加強了對旅客數(shù)據(jù)的收集。小米生態(tài)鏈企業(yè)YeeLight智能燈泡，因為無法趕在GDPR生效前滿足合規(guī)，而不得不暫停服務。

作為中國全球化程度較高的企業(yè)之一，華為公關部向《鳳凰周刊》介紹，公司對隱私保護一貫高度重視，早前就已設立全球網(wǎng)絡安全與用戶隱私保護委員會，所有業(yè)務單元均設置有專職的隱私相關角色和/或組織。

歐盟GDPR出臺兩年里，華為已任命了歐盟數(shù)據(jù)保護官John Suffolk，并定期持續(xù)向員工提供隱私合規(guī)培訓。

在GDPR適用的業(yè)務場景中，公司建立了個人數(shù)據(jù)清單來維護個人數(shù)據(jù)處理記錄;建立了個人數(shù)據(jù)泄露應急響應機制;重新審視和優(yōu)化了相關供應商的個人數(shù)據(jù)處理活動的隱私保護要求，并在管理供應商流程中嵌入了遵從要求;內部審計部門已完成全面的技術和流程的審視。

不過，仍有相當數(shù)量企業(yè)處于觀望狀態(tài)。

“我們落地歐盟的子公司會明確受到管轄;其他各項境外業(yè)務是否會受到規(guī)制目前尚處于不確定狀態(tài)，需要根據(jù)管轄規(guī)定和我們服務的具體場景來判斷。未來歐盟各國執(zhí)法尺度也可能存在差異，需要長期跟進評估。”前述某互聯(lián)網(wǎng)公司法務部員工說。

企業(yè)界的觀望很大程度是由于GDPR的模糊。這部法規(guī)洋洋灑灑260余頁，涉及眾多復雜的概念、規(guī)則、條款，牽涉企業(yè)的法務、技術、人力等眾多部門，很多概念和事項都屬新創(chuàng)。結果是企業(yè)界和法律界都有些“一頭霧水”“無所適從”。

為澄清相關問題，歐盟數(shù)據(jù)保護權威機構——第29條工作組發(fā)布了十幾個指南。不過業(yè)界依舊困惑如何才能做到合規(guī)。

美國科羅拉多大學波爾得分校教授Alison Cool在《紐約時報》寫道，這項法律“非常復雜”，并且難以理解，科學家和數(shù)據(jù)管理員都“懷疑這項條例甚至不可能做到完全遵守”。

騰訊研究院資深專家王融就提出一些有廣泛共鳴的質疑。比如，對于用戶提出的“被遺忘權”請求，企業(yè)可能首先需要審查其是否屬于立法中規(guī)定的例外——“表達自由”“公共利益”等，這無疑是將企業(yè)拖入裁判的泥潭，并由此成為一種新形式的“網(wǎng)絡審查”。

像這樣的例子在GDPR中還有很多。所以，對法律顧問和咨詢公司來說，GDPR真是太棒了。

 

 

數(shù)字經(jīng)濟銳氣受挫?

德勤會計師事務所的一份調研估計，GDRP將增加個人獲得信貸的難度，令全球消費信貸下降19%，造成每年830億歐元的GDP損失。

在“行為定向廣告”行業(yè)，用戶的IP地址、cookies和設備ID等個人數(shù)據(jù)的處理更困難，營銷成本上升，產業(yè)將喪失32億歐元收入。德勤整體評估，僅直銷、廣告、網(wǎng)頁分析、信貸四大產業(yè)，GDPR將招致1730億歐元的GDP損失。

GDPR還會大大增加企業(yè)的合規(guī)成本。德勤中國風險咨詢合伙人施建俊介紹，企業(yè)必須花力氣盤點清楚到底搜集了哪些信息，有怎樣的應用場景，信息會被存放在哪里，有誰能夠接觸到，并有可能進行怎樣的分析處理，會不會存在數(shù)據(jù)跨境傳輸?shù)葐栴}，并且及時維護好該信息清冊。維護成本遠比想象中要高得多。

再如GDPR對“被遺忘權”規(guī)定，企業(yè)在一段時間后，或者用戶提出合理要求后，不僅要刪除自己控制的所有數(shù)據(jù)，還要求控制者負責對其公開傳播的數(shù)據(jù)，要通知其他第三方停止利用、刪除。

“在開放的互聯(lián)網(wǎng)空間，要控制者去確定并通知所有的(可能成千上萬都不止)第三方幾乎是不可能完成的任務。即使在技術上可行，成本也是巨大的。”王融說。

他指出，用戶存量數(shù)據(jù)可能在多個不同服務器上，而且可能有多種不同格式。為符合GDPR，企業(yè)就要重改數(shù)據(jù)庫的基礎設施，以便隨時滿足用戶的可攜帶權、被遺忘權等。但是企業(yè)重改底層數(shù)據(jù)庫是極其麻煩的。

業(yè)內甚至有擔心，這項法律在某些方面反而可能惡化隱私風險，收到反效果。比如，許多科技公司的商業(yè)模式都依靠收集數(shù)據(jù)，再將其出售給廣告商。GDPR對許多公司產生了財務壓力。

企業(yè)開始尋求賺錢的次優(yōu)方式，諸如把一些免費服務變成收費。這反而會導致信用卡和移動支付增加。隨著“敏感”的支付交易的增加，數(shù)據(jù)盜竊的機會也會增加。

“互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等產業(yè)都高度依賴‘數(shù)據(jù)口糧’。如果過分強調數(shù)據(jù)保護，那么產業(yè)發(fā)展肯定會受影響，這是有歷史經(jīng)驗的。之所以過去幾十年美國互聯(lián)網(wǎng)最繁榮，是因為美國的相關制度比歐洲更寬松。當然歐盟也是希望在保護數(shù)據(jù)隱私和產業(yè)發(fā)展之間尋求平衡。未來歐盟會不斷評估法律實施效果。”曹建峰說。

 

 

重塑行業(yè)格局與國際數(shù)字秩序?

GDPR實施后，歐洲的數(shù)字媒體和廣告行業(yè)一度陷入混亂。據(jù)外媒Digiday的數(shù)據(jù)，自GDPR生效之后，歐洲市場的廣告需求量已經(jīng)驟降了25%-40%。一些美國媒體的歐洲網(wǎng)站上已經(jīng)將所有程序化廣告都停止了。

業(yè)內擔憂，二十多年來，互聯(lián)網(wǎng)行業(yè)的定向營銷商業(yè)模式可能正遭遇巨大的挑戰(zhàn)，如果所有的歐盟用戶都關閉信息分享的按鈕，那在歐盟國家現(xiàn)行的數(shù)字營銷邏輯就將徹底垮掉。

 

 

2018年5月25日，歐盟《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，簡稱GDPR)在當日生效，歐盟隱私法規(guī)執(zhí)行負責人Andrea Jelinek發(fā)表講話。

臉書、谷歌以及國內眾多科技公司的很大部分收入，是靠收集和分析用戶數(shù)據(jù)，以提升服務和效率，或精準投放相應的廣告，或者干脆將收集到的用戶數(shù)據(jù)倒賣。

比如，用戶搜索了一次航班信息，接下來一段時間里，可能會在各個網(wǎng)站甚至APP、短信等都看到相關的廣告。

不過，阿里巴巴海外某高管告訴《鳳凰周刊》，大公司因此所受影響不大。因為大公司多是依靠用戶行為數(shù)據(jù)，而非用戶填寫的數(shù)據(jù)，例如，根據(jù)用戶點擊a文章、b鏈接等行為數(shù)據(jù)直接判斷用戶偏好。

“對第三方公司影響較大，他們無法直接取得用戶交互數(shù)據(jù)，多是通過各種方式從大平臺拿數(shù)據(jù)，現(xiàn)在根據(jù)GDPR，大公司就不方便給他們了。”

“以臉書為例，減少廣告投放次數(shù)，會導致每次點擊或展示廣告價格提升，最后還是收這么多錢，廣告主需求在啊。”該高管解釋。

《華爾街日報》近日報道，GDPR正推動廣告資金流向谷歌的網(wǎng)絡廣告服務。這是因為頭部企業(yè)擁有更完整的數(shù)據(jù)，監(jiān)管適應能力遠超其它中小企業(yè)，他們征求用戶同意投放定向廣告的行動要遠早于其他競爭對手，為了適應監(jiān)管可動用的資源更多。

華為也在行動，華為云幫助企業(yè)級用戶和伙伴滿足GDPR的合規(guī)要求，提高防范黑客攻擊的能力等。

一些跡象表明，相較中小企業(yè)，合規(guī)實力和技術實力更強的大公司，可能因GDPR而獲得更多的機會。行業(yè)格局或將繼續(xù)向頭部公司集中。

除了影響各行業(yè)格局，GDPR也可能全面重塑未來幾十年全球數(shù)據(jù)保護的格局。

根據(jù)GDPR第45條的個人數(shù)據(jù)跨境轉移規(guī)則，當歐盟認為，第三方國家或者國際組織對個人數(shù)據(jù)和隱私的保護水準與歐盟相當，作出充分保護決定時，轉移個人數(shù)據(jù)就不需要獲得特別授權。

充分保護決定的作出，需要綜合評估第三國的法治、對人權和基本自由的尊重、相關立法等一系列因素。

據(jù)悉，歐盟已經(jīng)認定了十余個“具有適當數(shù)據(jù)保護水平”的國家與地區(qū)，在進行跨境數(shù)據(jù)傳輸時不受限制;而不在名單上的國家則需要滿足更嚴苛條件。

目前，日本最有望成為獲得歐盟“充分性認定”的較早的亞洲國家，中國的可能性則很小。

此外，全球其他發(fā)達經(jīng)濟體，如澳大利亞、新加坡、美國等，也都在做相應的數(shù)據(jù)保護工作。

由此可能出現(xiàn)事實上的數(shù)字經(jīng)濟領域的TPP，強調對等開放、對等保護原則，中國數(shù)字立法、執(zhí)法以及數(shù)字經(jīng)濟可能因此面臨壓力。

“其實，今年5月1日實施的中國國家標準《個人信息安全規(guī)范》，很多條款就參照了GDPR等歐美個人信息保護方面的立法。我們的狀況也在不斷改善。”曹建峰說。

標簽： 安全 產業(yè)發(fā)展 大數(shù)據(jù) 電商 服務器 谷歌 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)公司 互聯(lián)網(wǎng)行業(yè) 媒體 數(shù)據(jù)庫 搜索 網(wǎng)絡 網(wǎng)絡安全 信息安全

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。