亞馬遜“攤上”事兒了。

近日彭博社表示，因違反歐盟《通用數(shù)據(jù)保護條例》（GDPR），亞馬遜可能面臨7.46億歐元（約合8.88億美元）的天價罰款。這或?qū)⑹菤W盟有史以來最大的數(shù)據(jù)隱私泄露罰款。

7月30日，亞馬遜在一份監(jiān)管文件中，披露了盧森堡的數(shù)據(jù)保護委員會CNPD7月16日的決定。

該決定表示，歐洲的數(shù)據(jù)保護監(jiān)管機構(gòu)有權(quán)對亞馬遜處以全球年銷售額4%的罰款。不過，這筆罰款金額并沒達到這個數(shù)。

堪稱史上最嚴的個人信息保護法GDPR，可以說讓歐洲各大企業(yè)“人人自?！?。其中有一條規(guī)定就足以讓企業(yè)“聞風喪膽”：如發(fā)現(xiàn)嚴重違規(guī)，最高可罰 2000 萬歐元或企業(yè)上一財年全球營業(yè)總額的4%，以較高者為準。

昂楷科技CEO劉永波曾表示，GDPR除了天價罰單，最值得關(guān)注的點，應(yīng)該是它作為一個專門保護個人信息法案的出臺。普通的個體并不是這些信息保護法案的主要針對者，而GDPR第一次把目標明確地指向了相對弱勢的個人。

普通用戶的數(shù)據(jù)一直被濫用

在過去十幾年互聯(lián)網(wǎng)的快速發(fā)展中，個人信息正在大規(guī)模地被各類企事業(yè)組織所采用，無論是打車、外賣、網(wǎng)購，還是在公共服務(wù)領(lǐng)域，都會大規(guī)模采集公民個人信息，近年來有關(guān)個人信息泄露的案例更是數(shù)不勝數(shù)，所以這個問題是全球各個國家都正在面對的。

而GDPR的到來，讓人驚呼，從未有一部法案對個人信息的保護規(guī)定的如此周詳。

例如，我們身邊經(jīng)常出現(xiàn)過于精準的廣告推送，在淘寶上刷到了偶款心儀的產(chǎn)品，結(jié)果在微博也看到了相關(guān)的推送。從廣告匹配的實現(xiàn)原理上說，它是在用戶訪問網(wǎng)站時，在你的瀏覽器里寫入一些 Cookies ，淘寶通過其廣告平臺來利用這些 Cookies 對應(yīng)顯示更為精準的廣告。

雖說近年來我們已經(jīng)對這種精準的廣告推送習以為常，但這背后的操作在GDPR這里是違規(guī)的。

為什么說GDPR堪稱最嚴？劉永波從授權(quán)、適用范圍和撤回這三個具有代表性的條例來分析。

1、從授權(quán)來講

數(shù)據(jù)的收集必須事先征得數(shù)據(jù)主體的同意，而且"同意"必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的，不能是以非常隱晦的手段。因為用戶在這種情況下是處于弱勢地位的，特別是一些常用的App，為了生活的便捷，很多人不得不選擇同意。

比如國內(nèi)企業(yè)常用的，以小字號淡顏色甚至缺省方式獲取用戶的授權(quán)，通過冗長晦澀的隱私政策來獲取用戶同意，或者讓用戶在簽訂業(yè)務(wù)協(xié)議時通過"打勾"作出一攬子授權(quán)，都可能被認定為違規(guī)。

2、對于數(shù)據(jù)使用的范圍，更加嚴格

如果企業(yè)將數(shù)據(jù)使用的范圍擴大，無論是將數(shù)據(jù)提供給了第三方，還是把數(shù)據(jù)作為企業(yè)對外服務(wù)的一部分（比如提供給廣告企業(yè)作為營銷推廣對象，或者作為對外發(fā)布的報告中的案例），都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意。

以我們剛剛提到的淘寶和微博為例，根據(jù)GDPR的要求，如果以后遇到類似微博要用淘寶數(shù)據(jù)的情況，必須明確告知用戶使用理由和范圍。并獲得明確同意。

3、GDPR賦予數(shù)據(jù)主體可以隨時撤回同意的權(quán)利

如果這組數(shù)據(jù)已經(jīng)傳播出去，或者給第三方使用了，企業(yè)還有責任通知數(shù)據(jù)的使用者刪除。

比如在知乎上發(fā)帖，如果牽扯上他人隱私，當事人要求刪除，如果按照GDPR的條例，該帖子必須刪除。

可以這樣說，GDPR賦予了數(shù)據(jù)主體更為明確的同意權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、拒絕權(quán)及自動化自決權(quán)等廣泛的權(quán)利和自由。

也許有人會認為，如此嚴格的GDPR會妨礙部分企業(yè)的發(fā)展，對于手握大量數(shù)據(jù)的公司而言，很難辦。

劉永波表示，對于在海外開設(shè)分公司的國內(nèi)企業(yè)，只要為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù)，即使其在歐盟境內(nèi)沒有設(shè)立任何分支機構(gòu)，也依然受到GDPR的管轄。

GDPR的到來，對于企業(yè)而言，無論與通訊有關(guān)的廠商，還是為用戶提供服務(wù)的App公司，未來在數(shù)據(jù)的收集、駐留尤其是在云上的數(shù)據(jù)流轉(zhuǎn)和使用，將會更為嚴格。比如為了達到更為明確的知情權(quán)，企業(yè)就要重新搭建一個新的系統(tǒng)，讓用戶選擇同意與否，這些都會增加企業(yè)的成本，而這些成本，未來還是要轉(zhuǎn)移到用戶身上的。

為了合規(guī)，也需要很多廠商一起拿解決方案，眾多產(chǎn)品和技術(shù)要重新規(guī)劃，不過整個歐盟用統(tǒng)一的規(guī)則也避免了企業(yè)根據(jù)各個國家的不同要求而進行調(diào)整。 

從長遠來看，GDPR對行業(yè)的發(fā)展是有好處的。

正如劉永波所言：“好比說開車，如果沒有交通的管制，車還少的時候，肯定是很舒服的，但如果到了早晚高峰，不制定相應(yīng)的規(guī)則，是很可怕的，大家都說人工智能需要算法，但如果算法的數(shù)據(jù)來源本身就是違規(guī)的，這樣的算法你還敢用嗎？”

亞馬遜不會是最后一個被罰的企業(yè)

亞馬遜之前，在歐盟最大的中槍者是谷歌。

2019年1月22日，谷歌被法國隱私監(jiān)管機構(gòu)國家信息與自由委員會（CNIL）處以5000萬歐元（約合5700萬美元）的巨額罰款。

CNIL曾表示，用戶在訪問谷歌提供的信息時，需要五、六個繁瑣的步驟，即便完成后，依然不能獲取完整的信息。這違反了GDPR有關(guān)透明度和信息的規(guī)定，并且谷歌也違法向用戶推送個性化廣告。

隨著信息安全的發(fā)展，我國關(guān)于數(shù)據(jù)資源保護也采取了行動。

2020年4月9日，中共中央、國務(wù)院首次公布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，首次將數(shù)據(jù)列為除土地、勞動力、資本、技術(shù)之外的第五大生產(chǎn)要素。

2021年7月6日，深圳市第七屆人民代表大會常務(wù)委員會公告（第十號）公布《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》，內(nèi)容涵蓋了個人數(shù)據(jù)、公共數(shù)據(jù)、數(shù)據(jù)要素市場、數(shù)據(jù)安全等方面，是國內(nèi)數(shù)據(jù)領(lǐng)域首部基礎(chǔ)性、綜合性立法。

其中有個方面值得關(guān)注，就是所有處理個人數(shù)據(jù)的都要基于告知同意的基本原則。例如，當我們登錄手機App的時候，彈出的“要求App不跟蹤”和“允許”，就和上述條例有關(guān)。

如今，全球的科技巨頭們正在成為全球各國反壟斷的重點監(jiān)管對象，而亞馬遜也不會是最后一個被罰的企業(yè)。

關(guān)于更多大廠的反壟斷話題，雷鋒網(wǎng)將持續(xù)關(guān)注，歡迎大家爆料！

雷鋒網(wǎng)雷鋒網(wǎng)

參考鏈接：

https://baijiahao.baidu.com/s?id=1706942510066562146&wfr=spider&for=pc

https://xw.qq.com/amphtml/20210801A0C32300

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。