GDPR歐盟“史上最嚴”條例:數據保護與行業發展的平衡點在

正在與歐盟做生意的中國企業都準備好了嗎?因為歐盟《通用數據保護條例》(General Data Protection Regulation，簡稱GDPR，)已于5月25日正式生效了。

“史上最嚴”

據了解，GDPR此前歷經了長達四年的討論及兩年的過渡期。2016年4月在歐洲議會上正式通過，完全替代1995年的《歐盟數據保護指令》(Directive 95/46/EC)。該條例被稱為“史上最嚴”，主要體現在：

首先，設定了天價罰款，至少1000萬歐元或企業上一財年全球營業總額的2%-4%，并以較高者為準;

其次“管的寬”，這一新條例賦予了歐盟域外管轄權，不僅管轄注冊地或總部在歐盟內的企業，也完全可能管轄“地理上”位于歐盟外的企業。只要與歐盟企業發生業務往來，或涉及存儲、處理、交換任何歐盟公民數據，都在該條例管轄之內。

另外，“管得細”，條例大幅拓展了對于“個人數據”的定義，除了姓名、住址、身份證號碼以及網絡IP地址這些常規信息外，還包括了指紋、虹膜這些生物識別數據，以及種族和宗教信仰等信息。

最后，全面加強了對個人數據的保護，并大幅提升了企業的數據保護責任。

從歐盟這些年的發展來看，不管是在環境保護，還是在隱私信息保護方面，都是全世界要求最嚴苛的，這與其社會發展程度有密切的關系。電信與互聯網分析師馬繼華認為，就如綠色環保標準逐漸被其他國家接受并推廣一樣，歐盟這個通用數據保護條例也會給其他國家的隱私保護立法提供參考。

飽受爭議

互聯網是大數據時代的基石，而新時代的隱私問題必須結合新技術新思維，防范是必須的，而GDPR條例從醞釀之初就飽受爭議。

美國智庫“數據創新中心”(CFDI)報告認為，該條例將對人工智能技術發展造成重大負面影響，使歐盟公司與北美和亞洲的競爭對手相比處于競爭劣勢。報告認為，GDPR限制條款對保護消費者沒有什么作用，在某些情況下甚至可能對消費者造成傷害。報告從9個方面詳細分析了GDPR如何影響歐盟的AI技術發展和使用。例如，要求公司人工審查重要的算法決策會增加人工智能的總成本;要求對算法做出解釋，將會損害算法的準確性;“數據遺忘權”(數據刪除權)將會損壞人工智能系統;使用人工智能的企業將面臨更高的監管風險等等。

據媒體報導，條例自5月25日正式實施就令數字媒體和廣告行業陷入混亂。廣告交易平臺的歐洲廣告需求量驟降了25%至40%。“營收和廣告需求可能出現全面的大幅下滑。”一位來自內容發布商的高管說。在很多平臺上，來自內容發布商的廣告位供應也大幅減少，一些知情人士認為，這是美國內容發布商從歐洲大量撤下了程序化廣告所致。《洛杉磯時報》和《芝加哥論壇報》等公司關閉了歐洲網站。《今日美國報》雖然仍然開放歐洲網站，但卻撤下上面的廣告。

過猶不及。不管歐盟自己承認不承認，這些年歐盟過度的各種市場保護已經造成了歐洲在世界經濟中的落后。相反，被歐盟認為是野蠻發展的中美等卻成為了引領世界互聯網經濟發展的主導力量。馬繼華認為，只有強大了才有資格談論保護問題，否則就只能成為規則的執行者，這是值得中國監管方面考慮的大事。

中國借鑒

GDPR從頒布到正式生效，期間存在一定的過渡時間，方便企業對自己相關隱私條款進行必要的修改。對于中國企業而言同理，如果不當的方式收集他人信息，那么歐盟當局就可能對歐盟企業處以巨額罰款。截至目前，包括華為、阿里巴巴、騰訊在內的中國企業都已經在GDPR生效前修改了各自的隱私條款，而且與國外其他企業一樣通過電子郵件等形式將更新后的條款告知于用戶。

但是這遠遠不夠。隨著全球化日漸加深，中國與歐盟之間的合作范圍也在不斷地擴展，比如終端、電子商務、互聯網服務、金融等領域都有涉及，特別是手機終端、支付寶、微信等軟硬件無時無刻不在收集用戶的個人數據。

分析人士認為，適用GDPR的中國企業主要有兩種情形：一，在歐盟境內設有機構的中國企業，如其通過該機構開展業務的過程中涉及對個人數據的處理，不管該處理是否發生在歐盟境內，都應適用GDPR;二，尚未在歐盟境內設有機構的中國企業，如其向歐盟境內的個人提供商品或服務的過程中(無論是否收費)，涉及對個人數據的處理，也應適用于GDPR。

中國企業對GDPR的態度“分化比較明顯”。一方面，有很早就開始為GDPR做準備的企業，主要是一些大型的互聯網或物聯網公司。他們既有動力要保住歐洲市場，又有財力可以負擔合規成本。但另一方面，也有大量企業并未認真對待GDPR。

就在GDPR生效之前，中國已于5月1日正式實施了《信息安全技術個人信息安全規范》，該規范屬于推薦性國家標準，對個人信息的收集、保存、使用、轉讓等環節進行了規定。而去年生效的《中華人民共和國網絡安全法》也包含對數據隱私保護的要求。

不過值得注意的是，盡管中國已經立法保護用戶隱私，但是互聯網企業涉嫌違規使用用戶數據的報道時常見諸報端，最近一起就是國內某些App利用大數據“殺熟”的事情。為此，網絡安全專家指出，數據所有權歸用戶所有，互聯網公司有義務在獲得用戶許可之下，合法合規的使用相關數據，并告知用戶這些數據的使用情況。與此同時，互聯網公司有責任保護好用戶數據的安全，防止數據泄露。

如何平衡

GDPR是鏡子，反映的是企業保護用戶隱私的力度;是借鑒，為全球其他國家相關法律法規的修訂提供有益的參考，更為那些對用戶數據和隱私保護不夠重視的企業敲響了警鐘。

歐盟數據保護法專家克里斯托弗•庫納(Christopher Kuner)對媒體表示，GDPR將是一部重整全球數據秩序的法令，歐盟以外的公司也將從多個層面受到影響。由于GDPR規定了企業間數據交流的方式，一旦出現不合規的現象，數據供應鏈上下各方都會被問責。為避免風險，歐盟企業日后在選擇境外合作伙伴時，會將數據保護作為重要考量標準。當前在歐盟委員會甚至已經開始討論，未來不排除限制歐盟與數據保護不過關的國家簽訂貿易協議的可能。

嚴苛的數據保護同時，如何找到個人隱私與互聯網發展之間的平衡點。廈門智者恒通管理顧問機構總監吳勇毅指出，隱私得不到保護，網民就不去上網;同樣，利益得不到保護，網站就不會開設。在互聯網發展與保護個人信息之間，企業必須找到一個平衡的支點。失去平衡，原本應當保護的，反而加害;原本應當服務的，反而控制。絕不能以提供服務為名，侵害網民的利益，也不能以保護隱私為名，拒絕發展。

對于那些已經或者準備在歐盟區域進行運營的互聯網公司或者其他科技公司，必須要滿足歐盟的要求，甚至要采用完全不同于本土的運營方式。拒絕或者存有僥幸心理都可能遭受嚴重的后果，歐盟做了這個數據保護條例就是在等大魚上鉤，馬繼華表示。