崔亮亮

正在與歐盟做生意的中國(guó)企業(yè)都準(zhǔn)備好了嗎？因?yàn)闅W盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR，）已于5月25日正式生效了。

“史上最嚴(yán)”

據(jù)了解，GDPR此前歷經(jīng)了長(zhǎng)達(dá)四年的討論及兩年的過(guò)渡期。2016年4月在歐洲議會(huì)上正式通過(guò)，完全替代1995年的《歐盟數(shù)據(jù)保護(hù)指令》（Directive 95/46/EC）。該條例被稱為“史上最嚴(yán)”，主要體現(xiàn)在：

首先，設(shè)定了天價(jià)罰款，至少1000萬(wàn)歐元或企業(yè)上一財(cái)年全球營(yíng)業(yè)總額的2%-4%，并以較高者為準(zhǔn)；

其次“管得寬”，這一新條例賦予了歐盟域外管轄權(quán)，不僅管轄注冊(cè)地或總部在歐盟內(nèi)的企業(yè)，也完全可能管轄“地理上”位于歐盟外的企業(yè)。只要與歐盟企業(yè)發(fā)生業(yè)務(wù)往來(lái)，或涉及存儲(chǔ)、處理、交換任何歐盟公民數(shù)據(jù)，都在該條例管轄之內(nèi)。

再次，“管得細(xì)”，條例大幅拓展了對(duì)于“個(gè)人數(shù)據(jù)”的定義，除了姓名、住址、身份證號(hào)碼以及網(wǎng)絡(luò)IP地址這些常規(guī)信息外，還包括了指紋、虹膜這些生物識(shí)別數(shù)據(jù)，以及種族和宗教信仰等信息。

最后，全面加強(qiáng)了對(duì)個(gè)人數(shù)據(jù)的保護(hù)，并大幅提升了企業(yè)的數(shù)據(jù)保護(hù)責(zé)任。

從歐盟這些年的發(fā)展來(lái)看，不管是在環(huán)境保護(hù)，還是在隱私信息保護(hù)方面，都是全世界要求最嚴(yán)苛的，這與其社會(huì)發(fā)展程度有密切的關(guān)系。電信與互聯(lián)網(wǎng)分析師馬繼華認(rèn)為，就如綠色環(huán)保標(biāo)準(zhǔn)逐漸被其他國(guó)家接受并推廣一樣，歐盟這個(gè)通用數(shù)據(jù)保護(hù)條例也會(huì)給其他國(guó)家的隱私保護(hù)立法提供參考。

飽受爭(zhēng)議

隨著新技術(shù)的不斷迭代發(fā)展，數(shù)據(jù)保護(hù)是必須的，但GDPR條例從醞釀之初就飽受爭(zhēng)議。

美國(guó)智庫(kù)“數(shù)據(jù)創(chuàng)新中心”（CFDI）報(bào)告認(rèn)為，該條例將對(duì)人工智能技術(shù)發(fā)展造成重大負(fù)面影響，使歐盟公司與北美和亞洲的競(jìng)爭(zhēng)對(duì)手相比處于競(jìng)爭(zhēng)劣勢(shì)。報(bào)告認(rèn)為，GDPR限制條款對(duì)保護(hù)消費(fèi)者沒(méi)有什么作用，在某些情況下甚至可能對(duì)消費(fèi)者造成傷害。報(bào)告從9個(gè)方面詳細(xì)分析了GDPR如何影響歐盟的AI技術(shù)發(fā)展和使用。例如，要求公司人工審查重要的算法決策會(huì)增加人工智能的總成本；要求對(duì)算法做出解釋?zhuān)瑢?huì)損害算法的準(zhǔn)確性；“數(shù)據(jù)遺忘權(quán)”（數(shù)據(jù)刪除權(quán)）將會(huì)損壞人工智能系統(tǒng)；使用人工智能的企業(yè)將面臨更高的監(jiān)管風(fēng)險(xiǎn)等等。

據(jù)媒體報(bào)道，條例自5月25日正式實(shí)施就令數(shù)字媒體和廣告行業(yè)陷入混亂。廣告交易平臺(tái)的歐洲廣告需求量驟降了25%至40%。“營(yíng)收和廣告需求可能出現(xiàn)全面的大幅下滑?！币晃粊?lái)自內(nèi)容發(fā)布商的高管說(shuō)。在很多平臺(tái)上，來(lái)自內(nèi)容發(fā)布商的廣告位供應(yīng)也大幅減少，一些知情人士認(rèn)為，這是美國(guó)內(nèi)容發(fā)布商從歐洲大量撤下了程序化廣告所致。《洛杉磯時(shí)報(bào)》和《芝加哥論壇報(bào)》等公司關(guān)閉了歐洲網(wǎng)站。《今日美國(guó)報(bào)》雖然仍然開(kāi)放歐洲網(wǎng)站，但卻撤下上面的廣告。

過(guò)猶不及。不管歐盟自己承認(rèn)不承認(rèn)，這些年歐盟過(guò)度的各種市場(chǎng)保護(hù)已經(jīng)造成了歐洲在世界經(jīng)濟(jì)中的落后。相反，被歐盟認(rèn)為是野蠻發(fā)展的中美等卻成為了引領(lǐng)世界互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展的主導(dǎo)力量。馬繼華認(rèn)為，只有強(qiáng)大了才有資格談?wù)摫Ｗo(hù)問(wèn)題，否則就只能成為規(guī)則的執(zhí)行者，這是值得中國(guó)監(jiān)管方面考慮的大事。

中國(guó)借鑒

GDPR從頒布到正式生效，期間存在一定的過(guò)渡時(shí)間，方便企業(yè)對(duì)自己相關(guān)隱私條款進(jìn)行必要的修改。對(duì)于中國(guó)企業(yè)而言同理。截至目前，包括華為、阿里巴巴、騰訊在內(nèi)的中國(guó)企業(yè)都已經(jīng)在GDPR生效前修改了各自的隱私條款，而且與國(guó)外其他企業(yè)一樣通過(guò)電子郵件等形式將更新后的條款告知于用戶。

但是這遠(yuǎn)遠(yuǎn)不夠。隨著全球化日漸加深，中國(guó)與歐盟之間的合作范圍也在不斷地?cái)U(kuò)展，比如終端、電子商務(wù)、互聯(lián)網(wǎng)服務(wù)、金融等領(lǐng)域都有涉及，特別是手機(jī)終端、支付寶、微信等軟硬件無(wú)時(shí)無(wú)刻不在收集用戶的個(gè)人數(shù)據(jù)。

分析人士認(rèn)為，適用GDPR的中國(guó)企業(yè)主要有兩種情形：一，在歐盟境內(nèi)設(shè)有機(jī)構(gòu)的中國(guó)企業(yè)，如其通過(guò)該機(jī)構(gòu)開(kāi)展業(yè)務(wù)的過(guò)程中涉及對(duì)個(gè)人數(shù)據(jù)的處理，不管該處理是否發(fā)生在歐盟境內(nèi)，都應(yīng)適用GDPR；二，尚未在歐盟境內(nèi)設(shè)有機(jī)構(gòu)的中國(guó)企業(yè)，如其向歐盟境內(nèi)的個(gè)人提供商品或服務(wù)的過(guò)程中（無(wú)論是否收費(fèi)），涉及對(duì)個(gè)人數(shù)據(jù)的處理，也應(yīng)適用于GDPR。

中國(guó)企業(yè)對(duì)GDPR的態(tài)度“分化比較明顯”。一方面，有很早就開(kāi)始為GDPR做準(zhǔn)備的企業(yè)，主要是一些大型的互聯(lián)網(wǎng)或物聯(lián)網(wǎng)公司。他們既有動(dòng)力保住歐洲市場(chǎng)，又有財(cái)力負(fù)擔(dān)合規(guī)成本。但另一方面，也有大量企業(yè)并未認(rèn)真對(duì)待GDPR。

就在GDPR生效之前，中國(guó)已于5月1日正式實(shí)施了《信息安全技術(shù)個(gè)人信息安全規(guī)范》，該規(guī)范屬于推薦性國(guó)家標(biāo)準(zhǔn)，對(duì)個(gè)人信息的收集、保存、使用、轉(zhuǎn)讓等環(huán)節(jié)進(jìn)行了規(guī)定。而去年生效的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》也包含對(duì)數(shù)據(jù)隱私保護(hù)的要求。

不過(guò)值得注意的是，盡管中國(guó)已經(jīng)立法保護(hù)用戶隱私，但是互聯(lián)網(wǎng)企業(yè)涉嫌違規(guī)使用用戶數(shù)據(jù)的報(bào)道時(shí)常見(jiàn)諸報(bào)端，最近一起就是國(guó)內(nèi)某些App利用大數(shù)據(jù)“殺熟”的事情。為此，網(wǎng)絡(luò)安全專(zhuān)家指出，數(shù)據(jù)所有權(quán)歸用戶所有，互聯(lián)網(wǎng)公司有義務(wù)在獲得用戶許可之下，合法合規(guī)使用相關(guān)數(shù)據(jù)，并告知用戶這些數(shù)據(jù)的使用情況。與此同時(shí)，互聯(lián)網(wǎng)公司有責(zé)任保護(hù)好用戶數(shù)據(jù)的安全，防止數(shù)據(jù)泄露。

如何平衡

GDPR是鏡子，反映的是企業(yè)保護(hù)用戶隱私的力度；是借鑒，為全球其他國(guó)家相關(guān)法律法規(guī)的修訂提供有益的參考，更為那些對(duì)用戶數(shù)據(jù)和隱私保護(hù)不夠重視的企業(yè)敲響了警鐘。

歐盟數(shù)據(jù)保護(hù)法專(zhuān)家克里斯托弗·庫(kù)納（Christopher Kuner）對(duì)媒體表示，GDPR將是一部重整全球數(shù)據(jù)秩序的法令，歐盟以外的公司也將從多個(gè)層面受到影響。由于GDPR規(guī)定了企業(yè)間數(shù)據(jù)交流的方式，一旦出現(xiàn)不合規(guī)的現(xiàn)象，數(shù)據(jù)供應(yīng)鏈上下各方都會(huì)被問(wèn)責(zé)。為避免風(fēng)險(xiǎn)，歐盟企業(yè)日后在選擇境外合作伙伴時(shí)，會(huì)將數(shù)據(jù)保護(hù)作為重要考量標(biāo)準(zhǔn)。當(dāng)前在歐盟委員會(huì)甚至已經(jīng)開(kāi)始討論，未來(lái)不排除限制歐盟與數(shù)據(jù)保護(hù)不過(guò)關(guān)的國(guó)家簽訂貿(mào)易協(xié)議的可能。

嚴(yán)苛的數(shù)據(jù)保護(hù)同時(shí)，如何找到個(gè)人隱私與互聯(lián)網(wǎng)發(fā)展之間的平衡點(diǎn)。廈門(mén)智者恒通管理顧問(wèn)機(jī)構(gòu)總監(jiān)吳勇毅指出，隱私得不到保護(hù)，網(wǎng)民就不去上網(wǎng)；同樣，利益得不到保護(hù)，網(wǎng)站就不會(huì)開(kāi)設(shè)。在互聯(lián)網(wǎng)發(fā)展與保護(hù)個(gè)人信息之間，企業(yè)必須找到一個(gè)平衡的支點(diǎn)。失去平衡，原本應(yīng)當(dāng)保護(hù)的，反而加害；原本應(yīng)當(dāng)服務(wù)的，反而控制。絕不能以提供服務(wù)為名，侵害網(wǎng)民的利益，也不能以保護(hù)隱私為名，拒絕發(fā)展。

對(duì)于那些已經(jīng)或者準(zhǔn)備在歐盟區(qū)域進(jìn)行運(yùn)營(yíng)的互聯(lián)網(wǎng)公司或者其他科技公司，必須要滿足歐盟的要求，甚至要采用完全不同于本土的運(yùn)營(yíng)方式。拒絕或者存有僥幸心理都可能遭受?chē)?yán)重的后果。