来源 凤凰周刊

记者 赵福帅

　　“我们公司也在修改‘隐私协议’，已经写好了，还只是比较简单的框架，内部正在核对，因为隐私政策特别重要，目前还没有推出。”

　　欧盟通用数据保护条例（General Data Protection Regulation，简称GDPR）正式实施十多日后，中国某估值数百亿美元的互联网公司法务部员工告诉《凤凰周刊》。
　　“你们的修改有英文版吗？”
　　“暂时还没有。之前的隐私条款也没有英文版，一直只有中文。”
　　“但是欧盟GDPR要求隐私协议必须通俗易懂。”
　　“是吗？我不知道有这条呢，我还没学过GDPR原文。”
　　上述“尴尬”情形并不是个案。
　　美国IT研究与顾问咨询公司Gartner预测，在GDPR强制生效的5月25日，全球受该法规影响的企业将有超半数不能完全满足条例要求。
　　今年1月的一项调查发现，伦敦1/4的企业甚至还不知道GDPR是什么。
　　GDPR是欧盟针对个人数据和隐私保护实施的一项新立法，是20年来全球最重要的数据隐私保护变化，也是有史以来规模最大、最具惩罚性的数据保护法。
　　欧盟制定该法规，旨在加强成员国的数字安全，向欧盟公民提供个人数据的控制权利。欧盟公民随时可以访问个人数据，可以删除或更正错误的数据，以及索取个人数据的副本，对于企业或他人使用其个人数据，欧盟公民拥有同意或反对权，并有权知晓企业是否保存了他们的数据等。
　　对于违法企业，可能面临高达1000万欧元或公司全球营业额2%的处罚(以较高者为准)，而最严重的违法情况将会导致高达2000万欧元或公司营业额4%(取高者)的罚款。如此重的罚单将可能让任何企业破产。
　　GDPR不仅针对欧盟企业，在全球化的今天，任何公司只要与位于欧盟的客户有任何形式的业务往来，或者有身在欧盟的用户，就都要受到GDPR的制约，也就是说，中外相当数量的企业都将被GDPR影响。
　　然而，对如此重要的一部全球性法规，各国企业界至今仍感到“无所适从”，不确定怎样才算完全合规。

　　腾讯研究院法律研究中心首席研究员蔡雄山日前出席美国斯坦福大学的一个互联网法律会议，会议汇集了谷歌、脸书、亚马逊、Ebay等巨头，GDPR再次成为热点，来自谷歌等公司的律师坦率表示不知如何解读，戏称GDPR是“Lawyer full employment law”（律师充分就业法）。

　　数字时代的“人权宣言”
　　GDPR生效的第一天，脸书和谷歌就被告了，被指控强迫用户同意共享个人数据。如果欧盟监管机构同意这一诉讼，脸书和谷歌将分别面临39亿欧元和37亿欧元的罚款。
　　起诉来自奥地利的隐私活动家Max Schrems，他长期以来都在批评这两家公司收集用户数据的行为。
　　为了符合GDPR，谷歌和脸书都推出了新的隐私政策和产品。但Schrems认为这还不够。因为这两家公司要求用户选择“同意”选项以获取服务，否则就不能使用服务。
　　对于在线服务来说这是一种普遍的做法，但是Schrems认为它迫使用户进行“要么全赢，要么全输”的选择，这违反了GDPR关于获取同意的规定。
　　随着谷歌、脸书、亚马逊、推特等超级平台崛起，数亿乃至数十亿全球用户不断向科技巨头集聚，与此同时，不受约束的权力导致的是“数据霸权”，用户数据和隐私被肆意收集、分析、销售乃至窃取。脸书大规模用户数据被用于干预美国2016年大选，就是被全球讨论的例证。
　　根据欧盟委员会司法专员Viviane Reding的报告，每年欧盟因数据保护执法无序导致的成本高达23亿欧元。
　　于是，欧洲议会2012年1月提出改革欧盟数据保护法规，2016年4月通过了GDPR，并给予两年的过渡期。
　　腾讯研究院法律研究中心高级研究员曹建峰向本刊介绍，GDPR其实有二元立法目标：保护个人权利，并促进个人数据的流动。因为第一条开宗明义指出：不能以保护个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。
　　GDPR大幅拓展了对“个人数据”的定义，不但包括姓名、身份证号、定位数据、网络IP地址，也包括指纹、虹膜、医疗记录、心理、基因、经济、文化、社会身份等等能直接或间接识别到身份的信息。
　　“属地管辖+属人管辖”是GDPR的深刻变化，任何在欧盟设立机构的企业，或者向欧盟境内提供产品和服务的企业，在处理欧盟数据主体（欧盟公民）的个人数据时都应当遵从该要求。比如，欧盟消费者在中国某电商注册并购买商品或服务，该电商和店主就必须遵守GDPR。
　　在GDPR支持下，欧盟公民享有对自己数据的更广泛的权利，如获取权、修改权、被遗忘权、可携权。
　　根据该法规，对个人数据的处理普遍须取得当事人的明确同意，该同意必须是自由做出的、特定的、明确的和知情的。相关协议须使用清楚、直白的语言，以容易理解且容易获取的方式呈现，否则视为无效。用户有权随时撤回其同意，同意的撤回应和同意的作出一样容易。
　　“被遗忘权”是指，当用户依法撤回同意或者控制者不再有合法理由继续处理数据等情形时，用户有权要求删除数据。
　　“可携带权”是指，用户有权利以有序的、常用的、机器可读的方式获取其个人数据，并且有权将这些数据转移到另一个企业，如从脸书转到推特，企业不得干扰用户转移，在技术可行时，脸书还要提供一站式服务。
　　数据的“可携带权”和“被遗忘权”是相关联的，因为都要求企业非常完整地了解掌握了哪些用户信息，包括信息的数量、类型、存储位置、应用场景等等，在用户提出要求时能够准确、及时地提供或删除。
　　另一方面，GDPR严格界定了数据控制者、处理者的一系列义务，如以默认方式保护数据义务、记录处理活动义务、确保处理安全义务、数据泄露的72小时内通知义务、设立数据保护官的义务等等。
　　“这部法规把数字时代围绕个人数据的基本概念、规则、权利、义务都做了界定，基本架构大致稳定下来了，是数字时代欧盟关于数据保护的基本立法。”曹建峰说。
　　“整改”与困惑
　　根据《福布斯》报告，GDPR让美国财富500强企业在实施前就花费了78亿美元合规成本。对中型企业来说，这两年平均花掉的合规成本为55万美元。普华永道给出更明确的合规成本估计——68%的公司预计将花费100万到1000万美元的投入。
　　在占据全球数字经济重要份额的中国，各界企业也行动起来。
　　已经少有人用的腾讯微博突然发布了一个iOS版本更新，更新日志说明是“修复了bug”，不过外界认为是要做到在GDPR下合规。东航也首设“数据保护官”，以做好旅客个人信息保护工作。“9·11”事件后，出于反恐等需要，全球航空公司都加强了对旅客数据的收集。小米生态链企业YeeLight智能灯泡，因为无法赶在GDPR生效前满足合规，而不得不暂停服务。
　　作为中国全球化程度最高的企业之一，华为公关部向《凤凰周刊》介绍，公司对隐私保护一贯高度重视，早前就已设立全球网络安全与用户隐私保护委员会，所有业务单元均设置有专职的隐私相关角色和/或组织。
　　欧盟GDPR出台两年里，华为已任命了欧盟数据保护官John Suffolk，并定期持续向员工提供隐私合规培训。在GDPR适用的业务场景中，公司建立了个人数据清单来维护个人数据处理记录；建立了个人数据泄露应急响应机制；重新审视和优化了相关供应商的个人数据处理活动的隐私保护要求，并在管理供应商流程中嵌入了遵从要求；内部审计部门已完成全面的技术和流程的审视。
　　不过，仍有相当数量企业处于观望状态。“我们落地欧盟的子公司会明确受到管辖；其他各项境外业务是否会受到规制目前尚处于不确定状态，需要根据管辖规定和我们服务的具体场景来判断。未来欧盟各国执法尺度也可能存在差异，需要长期跟进评估。”前述某互联网公司法务部员工说。
　　企业界的观望很大程度是由于GDPR的模糊。这部法规洋洋洒洒260余页，涉及众多复杂的概念、规则、条款，牵涉企业的法务、技术、人力等众多部门，很多概念和事项都属新创。结果是企业界和法律界都有些“一头雾水”“无所适从”。
　　为澄清相关问题，欧盟数据保护权威机构——第29条工作组发布了十几个指南。不过业界依旧困惑如何才能做到合规。
　　美国科罗拉多大学波尔得分校教授Alison Cool在《纽约时报》写道，这项法律“非常复杂”，并且难以理解，科学家和数据管理员都“怀疑这项条例甚至不可能做到完全遵守”。
　　腾讯研究院资深专家王融就提出一些有广泛共鸣的质疑。比如，对于用户提出的“被遗忘权”请求，企业可能首先需要审查其是否属于立法中规定的例外——“表达自由”“公共利益”等，这无疑是将企业拖入裁判的泥潭，并由此成为一种新形式的“网络审查”。

　　像这样的例子在GDPR中还有很多。所以，对法律顾问和咨询公司来说，GDPR真是太棒了。

　　数字经济锐气受挫？
　　德勤会计师事务所的一份调研估计，GDRP将增加个人获得信贷的难度，令全球消费信贷下降19%，造成每年830亿欧元的GDP损失。在“行为定向广告”行业，用户的IP地址、cookies和设备ID等个人数据的处理更困难，营销成本上升，产业将丧失32亿欧元收入。德勤整体评估，仅直销、广告、网页分析、信贷四大产业，GDPR将招致1730亿欧元的GDP损失。
　　GDPR还会大大增加企业的合规成本。德勤中国风险咨询合伙人施建俊介绍，企业必须花力气盘点清楚到底搜集了哪些信息，有怎样的应用场景，信息会被存放在哪里，有谁能够接触到，并有可能进行怎样的分析处理，会不会存在数据跨境传输等问题，并且及时维护好该信息清册。维护成本远比想象中要高得多。
　　再如GDPR对“被遗忘权”规定，企业在一段时间后，或者用户提出合理要求后，不仅要删除自己控制的所有数据，还要求控制者负责对其公开传播的数据，要通知其他第三方停止利用、删除。“在开放的互联网空间，要控制者去确定并通知所有的（可能成千上万都不止）第三方几乎是不可能完成的任务。即使在技术上可行，成本也是巨大的。”王融说。
　　他指出，用户存量数据可能在多个不同服务器上，而且可能有多种不同格式。为符合GDPR，企业就要重改数据库的基础设施，以便随时满足用户的可携带权、被遗忘权等。但是企业重改底层数据库是极其麻烦的。
　　业内甚至有担心，这项法律在某些方面反而可能恶化隐私风险，收到反效果。比如，许多科技公司的商业模式都依靠收集数据，再将其出售给广告商。GDPR对许多公司产生了财务压力。企业开始寻求赚钱的次优方式，诸如把一些免费服务变成收费。这反而会导致信用卡和移动支付增加。随着“敏感”的支付交易的增加，数据盗窃的机会也会增加。
　　“互联网、大数据、人工智能等产业都高度依赖‘数据口粮’。如果过分强调数据保护，那么产业发展肯定会受影响，这是有历史经验的。之所以过去几十年美国互联网最繁荣，是因为美国的相关制度比欧洲更宽松。当然欧盟也是希望在保护数据隐私和产业发展之间寻求平衡。未来欧盟会不断评估法律实施效果。”曹建峰说。
　　重塑行业格局与国际数字秩序？
　　GDPR实施后，欧洲的数字媒体和广告行业一度陷入混乱。据外媒Digiday的数据，自GDPR生效之后，欧洲市场的广告需求量已经骤降了25%-40%。一些美国媒体的欧洲网站上已经将所有程序化广告都停止了。
　　业内担忧，二十多年来，互联网行业的定向营销商业模式可能正遭遇巨大的挑战，如果所有的欧盟用户都关闭信息分享的按钮，那在欧盟国家现行的数字营销逻辑就将彻底垮掉。
　　2018年5月25日，欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）在当日生效，欧盟隐私法规执行负责人Andrea Jelinek发表讲话。
　　脸书、谷歌以及国内众多科技公司的很大部分收入，是靠收集和分析用户数据，以提升服务和效率，或精准投放相应的广告，或者干脆将收集到的用户数据倒卖。比如，用户搜索了一次航班信息，接下来一段时间里，可能会在各个网站甚至APP、短信等都看到相关的广告。
　　不过，阿里巴巴海外某高管告诉《凤凰周刊》，大公司因此所受影响不大。因为大公司多是依靠用户行为数据，而非用户填写的数据，例如，根据用户点击a文章、b链接等行为数据直接判断用户偏好。“对第三方公司影响较大，他们无法直接取得用户交互数据，多是通过各种方式从大平台拿数据，现在根据GDPR，大公司就不方便给他们了。”
　　“以脸书为例，减少广告投放次数，会导致每次点击或展示广告价格提升，最后还是收这么多钱，广告主需求在啊。”该高管解释。
　　《华尔街日报》近日报道，GDPR正推动广告资金流向谷歌的网络广告服务。这是因为头部企业拥有更完整的数据，监管适应能力远超其它中小企业，他们征求用户同意投放定向广告的行动要远早于其他竞争对手，为了适应监管可动用的资源更多。
　　华为也在行动，华为云帮助企业级用户和伙伴满足GDPR的合规要求，提高防范黑客攻击的能力等。
　　一些迹象表明，相较中小企业，合规实力和技术实力更强的大公司，可能因GDPR而获得更多的机会。行业格局或将继续向头部公司集中。
　　除了影响各行业格局，GDPR也可能全面重塑未来几十年全球数据保护的格局。
　　根据GDPR第45条的个人数据跨境转移规则，当欧盟认为，第三方国家或者国际组织对个人数据和隐私的保护水准与欧盟相当，作出充分保护决定时，转移个人数据就不需要获得特别授权。充分保护决定的作出，需要综合评估第三国的法治、对人权和基本自由的尊重、相关立法等一系列因素。
　　据悉，欧盟已经认定了十余个“具有适当数据保护水平”的国家与地区，在进行跨境数据传输时不受限制；而不在名单上的国家则需要满足更严苛条件。
　　目前，日本最有望成为获得欧盟“充分性认定”的首个亚洲国家，中国的可能性则很小。
　　此外，全球其他发达经济体，如澳大利亚、新加坡、美国等，也都在做相应的数据保护工作。
　　由此可能出现事实上的数字经济领域的TPP，强调对等开放、对等保护原则，中国数字立法、执法以及数字经济可能因此面临压力。
　　“其实，今年5月1日实施的中国国家标准《个人信息安全规范》，很多条款就参照了GDPR等欧美个人信息保护方面的立法。我们的状况也在不断改善。”曹建峰说。