今日（5月25日），對于不少擁有歐盟公民數(shù)據(jù)的企業(yè)來說，是個會瑟瑟發(fā)抖的日子，被稱為史上最嚴(yán)格的個人數(shù)據(jù)保護(hù)法案 GDPR 今日開始正式實施。

自2015年12月在歐盟理事會獲得通過后，GDPR（歐盟通用數(shù)據(jù)保護(hù)條例）就像是戴在各家企業(yè)頭上的緊箍咒，大家都在觀望，誰將是第一個被黑客盯上被入侵的企業(yè)。

這個場景讓雷鋒網(wǎng)編輯想起小時候老師檢查作業(yè)的情景，作業(yè)早就布置好了，誰沒完成？！站出來！

在兩天前（5月23日），“好學(xué)生”蘋果就先交了一波作業(yè)---其宣布已上線全新的“數(shù)據(jù)&隱私”網(wǎng)站，歐洲用戶可以在這里下載所有與Apple ID關(guān)聯(lián)的數(shù)據(jù)，包括購買記錄，應(yīng)用使用歷史、日歷、照片等，換句話說，用戶明明白白的知道到底有哪些數(shù)據(jù)被蘋果所掌握。

更為重要的是，歐洲用戶還可以徹底刪除AppleID，即讓這些數(shù)據(jù)永遠(yuǎn)消失。

有分析人士指出，蘋果所上線的數(shù)據(jù)和隱私網(wǎng)站正是為了響應(yīng)GDPR，作為規(guī)則的一部分，公司需要向歐盟的客戶提供一種明確的方式來查看他們的服務(wù)器上到底存儲了哪些具有個人身份的信息，同時還要保證用戶可以隨時刪掉這些信息。

那么，令巨頭們?nèi)巳俗晕５?GDPR 到底嚴(yán)在哪里？這項旨在保護(hù)歐盟公民信息的條例會對我們有何影響？嚴(yán)苛的條例之下，是否會阻礙部分依賴數(shù)據(jù)的企業(yè)快速成長？

除了天價罰單，GDPR對普通弱勢群體的保護(hù)更應(yīng)被關(guān)注

重賞之下，必有勇夫；重罰之下，必有畏者。

如發(fā)現(xiàn)嚴(yán)重違規(guī)，最高可罰 2000 萬歐元或企業(yè)上一財年全球營業(yè)總額的4%，以較高者為準(zhǔn)。

雷鋒網(wǎng)發(fā)現(xiàn)，在眾多媒體的報道中，天價罰單一直是貼在 GDPR 身上的第一個標(biāo)簽，對于中小型企業(yè)來說，2000 萬歐元的罰款，足夠自己喝一壺的，而對于大企業(yè)來說，全球一年營業(yè)總額的 4% 也不是一個小數(shù)目。

以Facebook 為例，光是2018年第一季度的營收就為 119.66億，如果這次的泄露事件是在5月25日之后被曝出來，小扎要做的可不僅僅是道歉整改這么簡單了。

劉永波目前是昂楷科技的CEO，根據(jù)他多年來從事數(shù)據(jù)安全工作的經(jīng)驗，這樣高額的罰款從未出現(xiàn)過，以我國的《網(wǎng)絡(luò)安全法》為例，針對個人信息泄漏的罰款大多數(shù)情況下往往只有幾萬元，數(shù)額并不高，而且沒有規(guī)定到營收的比例。

但他認(rèn)為，GDPR 除了天價罰單，最值得關(guān)注的點，應(yīng)該是它作為一個專門保護(hù)個人信息法案的出臺。

之前雖然也有相關(guān)法案，但個人信息保護(hù)更多的是作為其中的一部分來出現(xiàn)，也就是說，普通的個體并不是這些信息保護(hù)法案的主要針對者，而GDPR第一次把目標(biāo)明確地指向了相對弱勢的個人。出現(xiàn)這個問題的原因，是因為在過去十多年互聯(lián)網(wǎng)的快速發(fā)展中，個人信息正在大規(guī)模地被各類企事業(yè)組織所采用。

大家可以對比一下十年前和現(xiàn)在，十年前，各類企事業(yè)組織所搜集的個人信息很有限，而現(xiàn)在，無論是打車、外賣、網(wǎng)購，還是在公共服務(wù)領(lǐng)域，都會大規(guī)模采集公民個人信息，近年來有關(guān)個人信息泄露的案例更是數(shù)不勝數(shù)，所以這個問題是全球各個國家都正在面對的。

目前，我們雖然也有《個人信息保護(hù)法》，但還在制定中，并未正式頒布，未來GDPR可起到一個參考的作用。

之前，曾有來自廣東的產(chǎn)婦因在出院后頻繁接到推銷電話，而把醫(yī)院告上法庭，并取得勝訴，劉永波認(rèn)為，未來隨著 GDPR 以及各個國家的個人信息保護(hù)法案的出臺，這種例子將不會是少數(shù)?！叭缤?dāng)年塞班斯法案的出臺影響了全球很多企業(yè)對財務(wù)數(shù)據(jù)的處理，我認(rèn)為 GDPR 的出臺也將會對全球公民個人信息的保護(hù)產(chǎn)生深遠(yuǎn)影響。”

從未有一部法案對個人信息的保護(hù)規(guī)定的如此周詳

在說GDPR具體的條例之前，我們先來看一個你平常生活中經(jīng)常遇到的場景。

剛剛在淘寶剛剛看了一款運動鞋的你，在刷微博的時候立馬看到了相關(guān)的推送廣告，認(rèn)真回想后，好像并沒有人找你確認(rèn)過淘寶的瀏覽數(shù)據(jù)是否可以被另一個平臺搜集。

仔細(xì)一查，你就會發(fā)現(xiàn)，在淘寶和微博的后面，好像站著同一家公司---阿里巴巴，有人質(zhì)疑聯(lián)姻導(dǎo)致了數(shù)據(jù)未經(jīng)允許流向第三方平臺，其實，從廣告匹配的實現(xiàn)原理上說，它是在你訪問網(wǎng)站時，在你的瀏覽器里寫入一些 Cookies ，淘寶通過其廣告平臺來利用這些 Cookies 對應(yīng)顯示更為精準(zhǔn)的廣告。

雖說近年來我們已經(jīng)對這種精準(zhǔn)的廣告推送習(xí)以為常，但這背后的操作是否違規(guī)？

在GDPR這里，是的！

劉永波告訴雷鋒網(wǎng)編輯，GDPR 的特點之一就是對于個人信息的保護(hù)規(guī)定的更為周詳，看具體的條例就能發(fā)現(xiàn)，這絕不僅僅是歐盟喊一個調(diào)子而已。

他從授權(quán)、適用范圍和撤回這三個具有代表性的條例來舉例。

首先，從授權(quán)來講，數(shù)據(jù)的收集必須事先征得數(shù)據(jù)主體的同意，而且"同意"必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的，不能是以非常隱晦的手段。因為用戶在這種情況下是處于弱勢地位的，特別是一些常用的APP，為了生活的便捷，很多人不得不選擇同意。

比如國內(nèi)企業(yè)常用的，以小字號淡顏色甚至缺省方式獲取用戶的授權(quán)，通過冗長晦澀的隱私政策來獲取用戶同意，或者讓用戶在簽訂業(yè)務(wù)協(xié)議時通過"打勾"作出一攬子授權(quán)，都可能被認(rèn)定為違規(guī)。

第二，對于數(shù)據(jù)使用的范圍，更加嚴(yán)格，如果企業(yè)將數(shù)據(jù)使用的范圍擴(kuò)大，無論是將數(shù)據(jù)提供給了第三方，還是把數(shù)據(jù)作為企業(yè)對外服務(wù)的一部分（比如提供給廣告企業(yè)作為營銷推廣對象，或者作為對外發(fā)布的報告中的案例），都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意。

以我們剛剛提到的淘寶和微博為例，根據(jù)GDPR的要求，如果以后遇到類似微博要用淘寶數(shù)據(jù)的情況，必須明確告知用戶使用理由和范圍。并獲得明確同意。

第三，GDPR賦予數(shù)據(jù)主體可以隨時撤回同意的權(quán)利。不僅如此，如果這組數(shù)據(jù)已經(jīng)傳播出去，或者給第三方使用了，企業(yè)還有責(zé)任通知數(shù)據(jù)的使用者刪除。

劉永波以之前知乎的一個糾紛為例，之前曾有用戶的隱私出現(xiàn)在知乎某個帖子中，在該用戶要求知乎刪帖后，知乎以不能隨便刪除發(fā)帖人的帖子為由拒絕刪帖。如果這種情況出現(xiàn)在GDPR中，那鐵定是可以刪除的。

以他的經(jīng)驗看，目前無論是我國的《網(wǎng)絡(luò)安全法》還是《信息安全等級保護(hù)法》，對于個人信息保護(hù)的明確程度，還遠(yuǎn)不及GDPR，后者賦予了數(shù)據(jù)主體更為明確的同意權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、拒絕權(quán)及自動化自決權(quán)等廣泛的權(quán)利和自由，未來我國的個人信息保護(hù)法案，可能會參照GDPR出臺更為細(xì)致的規(guī)定。

是否過于嚴(yán)苛？會阻礙部分企業(yè)的發(fā)展嗎？

其實，自2015年12月在歐盟理事會獲得通過后，關(guān)于 GDPR 的爭議就從未間斷過，雖然站在用戶的角度看這是對自己權(quán)益的保障，但對于眾多手握大量數(shù)據(jù)的公司而言，這項法案的各項規(guī)定足以讓他們不寒而栗，可謂是有人歡喜有人愁。

在創(chuàng)業(yè)之前，劉永波曾在華為工作過很長時間，當(dāng)時他就對歐洲國家的信息安全保護(hù)規(guī)則留下了很深的印象。

當(dāng)時華為進(jìn)入英國時，不僅要遵循英國電信的安全保護(hù)條例，還要滿足英聯(lián)邦的各項安全法規(guī)，他們對于通信運營商和設(shè)備運營商的安全要求非常高，所以GDPR的出臺肯定會對一些把生意做到歐盟的中國企業(yè)有很大的影響。

由于GDPR采取了“長臂”管轄原則，只要中國的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù)，即使其在歐盟境內(nèi)沒有設(shè)立任何分支機(jī)構(gòu)，也依然受到 GDPR 的管轄。

他舉例，無論是華為、小米等手機(jī)廠商，還是為歐洲用戶提供APP應(yīng)用的公司，未來在數(shù)據(jù)的收集、駐留尤其是在云上的數(shù)據(jù)流轉(zhuǎn)和使用，將會更為嚴(yán)格。比如為了達(dá)到更為明確的知情權(quán)，企業(yè)未來一定會重新搭建一個新的系統(tǒng)，讓用戶選擇同意與否，這些都會增加企業(yè)的成本，而這些成本，未來還是要轉(zhuǎn)移到用戶身上的。

與此同時，這不僅僅是一家公司能解決的問題，為了合規(guī)，一定是需要很多廠商一起拿解決方案，眾多產(chǎn)品和技術(shù)要重新規(guī)劃，合規(guī)其實并不簡單。但從另一方面看，整個歐盟用統(tǒng)一的規(guī)則也避免了企業(yè)根據(jù)各個國家的不同要求而進(jìn)行調(diào)整。

作為一個新生事物，也要允許“瑕疵”的存在。根據(jù)最近公布的《歐盟企業(yè)間數(shù)據(jù)共享報告》顯示，嚴(yán)格的數(shù)據(jù)權(quán)利保護(hù)制度并沒有實質(zhì)性影響歐盟境內(nèi)的規(guī)?；蜕虡I(yè)化數(shù)據(jù)共享，而歐盟精英階層也并沒有把“個人數(shù)據(jù)權(quán)利保護(hù)”定性為絕對的“政治正確”，而是采取柔性策略平衡數(shù)據(jù)共享中的價值沖突。 

從長遠(yuǎn)來看，劉永波依然對GDPR持肯定的看法，“好比說開車，如果沒有交通的管制，車還少的時候，肯定是很舒服的，但如果到了早晚高峰，不制定相應(yīng)的規(guī)則，是很可怕的，大家都說人工智能需要算法，但如果算法的數(shù)據(jù)來源本身就是違規(guī)的，這樣的算法你還敢用嗎？”

換言之，即使會增加成本，但這依然是一件不得不做的事情，就像繁忙的都市要順暢運行，一定少不了對交通管制的投入。

最后，讓我們通過一組來自社交平臺的真實用戶的記述，感受一波GDPR的“彪悍”氣息~

@工作狂校尉：歐盟數(shù)據(jù)保護(hù)法GDPR馬上要生效，郵件蜂擁而至，連訂閱郵件也要用戶同意才能發(fā)了，真嚴(yán)格。自從歐盟通過新的隱私法律后，收到了好多來自各個軟件、游戲、網(wǎng)站的訂閱郵件，講他們的隱私政策的變化。

@邢啊過來一起吃：公司天天發(fā)gdpr的培訓(xùn)... 還要考試，無妄之災(zāi)啊！

@Mengyi_dream：最近頻繁收到GDPR Update Privacy policy的郵件，讓我恍然意識到這些年來自己不知不覺在那么多購物商和中介那里留了郵箱和個人信息，然后感慨還好GDPR讓消費者有了消除這些個人信息的權(quán)益。

@埃森哲中國：與以往的隱私規(guī)則相比，GDPR的影響更為深遠(yuǎn)。在數(shù)據(jù)保護(hù)上，數(shù)據(jù)供應(yīng)鏈自上而下的各方都會被問責(zé)；在獲取和管理個人信息上，GDPR提出了新的、更嚴(yán)格的要求，并賦予個人明確的權(quán)利，為企業(yè)通過人工、流程和技術(shù)進(jìn)行用戶數(shù)據(jù)管理帶來了一定的沖擊。

注：本文所有引用的社交平臺言論，來自微信公眾號“法律出版社”

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。