王孔祥

從根本的立法理念出發(fā)，理解該條例的精髓，客觀地將其與相關(guān)法律法規(guī)做比較，才能在“合規(guī)”成本最小化的當下，探索具有中國特色且更適合中國國情的應對策略和措施

2018年5月生效的歐盟《通用數(shù)據(jù)保護條例》（GDPR），其影響遠遠超越了地理范疇，進而擴散到數(shù)據(jù)流通的全球網(wǎng)絡(luò)空間。原本是在歐盟網(wǎng)信行業(yè)總體發(fā)展和政策導向背景下出臺的條例，卻將保護歐盟公民個人數(shù)據(jù)的“域內(nèi)效力”上升為“全球標準”。從立法理念的根本出發(fā)，理解該條例的精髓，客觀地比較與其相關(guān)的法律法規(guī)，才能在“合規(guī)”成本最小化的當下，探索具有中國特色且更適合中國國情的應對策略和措施。

GDPR的生效表明，歐盟正在改變其數(shù)據(jù)隱私規(guī)則?，F(xiàn)在人們已經(jīng)習慣了以“免費”換取服務：授予公司許可存儲、處理和利用其個人數(shù)據(jù)和信息。但是，近年來曝光的一些案例、關(guān)于大數(shù)據(jù)安全漏洞的丑聞，以及公司如何使用和銷售其收集的信息，已經(jīng)引起人們對個人數(shù)據(jù)如何被用來構(gòu)建自身無法控制的詳細個人檔案的擔憂。

對互聯(lián)網(wǎng)企業(yè)的影響

2018年4月10日，臉書公司首席執(zhí)行官馬克·扎克伯格在美國參議院聯(lián)合聽證會上曾表示，在用戶同意放棄數(shù)據(jù)之前，他“原則上”支持為用戶提供類似于GDPR的選擇標準，并認為“總的來說，GDPR對互聯(lián)網(wǎng)將是非常積極的一步”。在4月22日出席歐洲議會聽證會時，扎克伯格承諾，一定會遵守這一新法規(guī)。

對于國際化公司而言，遵守當?shù)卣吆头ㄒ?guī)是基本前提。畢竟，公司的國際化戰(zhàn)略布局繞不開當?shù)乇O(jiān)管。同樣，互聯(lián)網(wǎng)公司也會遵守適用于其相關(guān)業(yè)務的GDPR規(guī)則。因此，歐盟新規(guī)對于互聯(lián)網(wǎng)巨頭們的威懾力不可謂不嚴。

許多大型在線服務和社交媒體公司都在更新他們的隱私政策和服務條款，為新立法做準備。其中就包括Beacon廣告計劃，Beacon是臉書在2007年推出的一項富有爭議的社交廣告服務，該服務會將用戶在其他網(wǎng)站的行為公之于眾。為應對GDPR的影響，美國科技巨頭正在按照新規(guī)定傾注資源，例如微軟公司聘用了超過1600名工程師。此外，像醫(yī)療保健提供商、保險公司、銀行和任何其他處理敏感個人數(shù)據(jù)的公司都將面臨困境。有些小型美國公司正在退出歐盟市場，以避免受到GDPR的沖擊。美國科技初創(chuàng)企業(yè)擔心，合規(guī)成本可能超過其在歐盟地區(qū)獲得的收益。如果小公司退出市場，像谷歌和臉書這樣的公司就可以從GDPR中受益。

GDPR是一部重整全球數(shù)據(jù)秩序的法令，歐盟以外的公司也將從多個層面受到影響。從過去兩年的過渡期運行來看，歐盟內(nèi)企業(yè)關(guān)于GDPR合規(guī)的意識普遍較強，甚至有不少企業(yè)已經(jīng)為GDPR合規(guī)付出了較大的財務和管理成本，削減了營業(yè)收入和營銷手段。由于GDPR規(guī)定企業(yè)間數(shù)據(jù)交流的方式，一旦出現(xiàn)不合規(guī)的現(xiàn)象，數(shù)據(jù)供應鏈上下各方都會被問責。為避免風險，歐盟企業(yè)日后在選擇境外合作伙伴時，會將數(shù)據(jù)保護作為一項重要考量標準。當前，歐盟委員會甚至已經(jīng)開始討論，未來不排除限制歐盟與數(shù)據(jù)保護不過關(guān)的國家簽訂貿(mào)易協(xié)議的可能。

中國公司國際化面臨嚴峻考驗

適用GDPR的中國企業(yè)主要有兩種情形：第一，在歐盟境內(nèi)設(shè)有機構(gòu)的中國企業(yè)，如果其通過該機構(gòu)開展業(yè)務的過程中涉及對個人數(shù)據(jù)的處理，不管該處理是否發(fā)生在歐盟境內(nèi)，都應適用GDPR；第二，尚未在歐盟境內(nèi)設(shè)有機構(gòu)的中國企業(yè)，如果其向歐盟境內(nèi)的個人提供商品或服務的過程中（無論是否收費），涉及對個人數(shù)據(jù)的處理，也應適用于GDPR。

相比西方巨頭們的未雨綢繆，似乎不少中國公司對此反應并不明顯。中國互聯(lián)網(wǎng)企業(yè)對GDPR的重視程度嚴重不足，或者說是嚴重低估和錯判了它帶來的影響。畢竟，在過去很多公司是以大規(guī)模搜集和運用網(wǎng)民個人數(shù)據(jù)為基礎(chǔ)建立起來的商業(yè)模式?，F(xiàn)有中國互聯(lián)網(wǎng)公司在歐盟以外地區(qū)的做法基本難以符合GDPR的規(guī)范?；趥€人信息收集和隱私驅(qū)動的互聯(lián)網(wǎng)企業(yè)，可能首當其沖。

2018年5月25日，包括微信海外版、新浪微博國際版、阿里巴巴旗下的全球速賣通（AliExpress）等多家中國互聯(lián)網(wǎng)公司，已紛紛向歐洲區(qū)用戶更新隱私政策、請求重新授權(quán)。據(jù)了解，海爾、華為等在歐洲有較大市場份額并有意進軍物聯(lián)網(wǎng)的制造業(yè)領(lǐng)軍者，也早已雇請專門團隊應對GDPR。業(yè)界普遍認為，GDPR既對行業(yè)提出了更高要求和挑戰(zhàn)，也使企業(yè)間的競爭有法可依，在一定程度上使行業(yè)更加規(guī)范。可謂，機遇與挑戰(zhàn)并存。

騰訊的反應最為迅速。2018年4月13日，騰訊QQ就向其國際版用戶發(fā)布通知，將在5月20日起停止向歐洲區(qū)用戶提供服務。盡管騰訊隨即聲明會繼續(xù)保留該服務，但可以看出，懾于強大的懲罰力度，不少中國企業(yè)已經(jīng)對GDPR有所行動。隨后，騰訊官方表示，更新到5.0及以上版本的QQ國際版可繼續(xù)使用，舊版本則在5月20日停止使用。其中隱私政策于2018年5月23日已更新，詳細說明所搜集的信息類型、存儲和使用方法、信息共享對象、數(shù)據(jù)處理地點、信息保留時長等內(nèi)容。顯然，這是為符合GDPR的要求做出的修改。

此外，微信也在5月更新了其國際版的隱私條款，條款詳細說明了信息的使用規(guī)則、存儲地點、適用法規(guī)等。值得注意的是，微信國際版的隱私政策中對信息的保留時間也有明示：未登錄賬號時間達到180天后，賬號信息會被刪除；聊天記錄會被存儲72小時，隨后永久刪除。但是，這些改變在中國的微信版本中并沒有體現(xiàn)。

早在2016年，阿里巴巴集團董事局主席馬云就提出，未來海外市場要占到阿里收入的一半。截至目前，阿里云在全球已覆蓋18個國家和地區(qū)，完成42個可用域。阿里云相關(guān)業(yè)務已從平臺、系統(tǒng)、產(chǎn)品、服務、合規(guī)、流程、政策等全方面進行改進。按照GDPR的要求，持續(xù)進行數(shù)據(jù)保護與相關(guān)服務的整改。

此外，螞蟻金服也一直非常重視數(shù)據(jù)安全和個人信息保護。2017年，螞蟻金服率先成立了隱私保護辦公室，進一步加強對數(shù)據(jù)隱私的管理體系、規(guī)范和能力。為確保有效地落實隱私保護各項要求，華為公司成立了“全球網(wǎng)絡(luò)安全與用戶隱私保護委員會”，是華為公司最高的網(wǎng)絡(luò)安全和用戶隱私保護管理機構(gòu)，聚集了全球網(wǎng)絡(luò)安全和用戶隱私保護領(lǐng)域的精英人士，設(shè)立并任命了全球網(wǎng)絡(luò)安全與用戶隱私保護官，直接向CEO匯報。華為所有業(yè)務單元均設(shè)置有專職的隱私相關(guān)的角色或組織。同時，根據(jù)GDPR的要求，華為還任命了歐盟數(shù)據(jù)保護官。小米表示，整個行業(yè)都需要全力提升數(shù)據(jù)安全和隱私保護的意識，加大設(shè)計和研發(fā)投入，以加速符合GDPR的要求。

中國企業(yè)對GDPR的態(tài)度

GDPR正在改變大公司對待用戶數(shù)據(jù)的方式。中國企業(yè)對GDPR的態(tài)度分化比較明顯。一方面，有很早就開始為GDPR做準備的企業(yè)，主要是一些大型互聯(lián)網(wǎng)或物聯(lián)網(wǎng)公司。他們既有動力要保住歐洲市場，又有財力可以負擔合規(guī)成本。另一方面，也有大量企業(yè)并未認真對待GDPR。其中有一類企業(yè)面臨的風險最大，即在某個細分市場已經(jīng)做到了領(lǐng)頭羊、擁有涉歐業(yè)務、但尚未進行GDPR合規(guī)的中國企業(yè)。這類企業(yè)有一定的關(guān)注度和財力，在歐盟通常會有本地的競爭對手，而對手很有可能在過去兩年已經(jīng)投入了GDPR合規(guī)成本，甚至就此調(diào)整了業(yè)務、減少了廣告活動。此時，尚未進行合規(guī)的中國企業(yè)將很容易成為“槍靶子”。因為作為競爭對手的歐盟企業(yè)將有很強的動機向所在國監(jiān)管機關(guān)投訴、舉報。而成員國政府出于保護本國企業(yè)的目的，也會有很強的動機進行調(diào)查。中國企業(yè)將因此面臨巨大的GDPR處罰風險。

中國企業(yè)的應對策略

應對GDPR，企業(yè)越早做準備越好。雖然短期內(nèi)會增加一定成本，但是可幫助企業(yè)避免風險，且對長期的聲譽有好處。以下建議可供中國相關(guān)互聯(lián)網(wǎng)企業(yè)應對GDPR的參考：

第一，企業(yè)應先對GDPR有大致了解，進行初步評估，判斷該企業(yè)是否適用GDPR。在情況復雜、無法判斷的情況下，企業(yè)可以聘請外部機構(gòu)做進一步調(diào)查確認。一旦確認適用GDPR，應開展相應的GDPR專項合規(guī)工作。由于GDPR涉及業(yè)務、信息技術(shù)、法務等多個部門的協(xié)同，在人力方面，應考慮設(shè)置內(nèi)部數(shù)據(jù)保護方面的負責人，或是聘請外部合規(guī)顧問。

第二，對于一些還不能達到合規(guī)要求的產(chǎn)品，建議相關(guān)公司選擇關(guān)閉其歐洲業(yè)務。比如熱門的《絕地求生》游戲就在2018年4月份關(guān)閉了歐洲服務器。小米生態(tài)鏈企業(yè)、智能燈具品牌Yeelight則通知稱，由于無法滿足歐盟最新出臺的GDPR要求，將不再向歐洲用戶提供服務。

第三，要盡快落實數(shù)據(jù)合規(guī)的基礎(chǔ)設(shè)施，調(diào)整隱私政策、審查數(shù)據(jù)處理協(xié)議、開展數(shù)據(jù)審計、評估合規(guī)差距，并進行持續(xù)性的培訓、檢測與跟蹤。

第四，在具體細節(jié)方面，盡管這部法律未作強制性的要求，但是結(jié)合GDPR立法的本意是將用戶同意視為數(shù)據(jù)處理最重要的條件，其核心變化是，數(shù)據(jù)主體做出聲明，或者做出清晰的肯定性動作，同意才被認為有效。個人沉默、提前勾選的選項、靜止等狀態(tài)，不足以認定個人表達了同意。GDPR還明確了何種情況下，同意不是由數(shù)據(jù)主體自由地做出。數(shù)據(jù)控制方還應當告知數(shù)據(jù)主體撤回同意的權(quán)利。建議采用隱私政策單獨彈框同意，作為風險相對較小的做法。

GDPR的總體思路就是制定更有效的內(nèi)部治理，以及更強的外部威懾。實際上，它在個人信息使用目的限制、數(shù)據(jù)留存期限等方面“留了口子”，盡量為大數(shù)據(jù)開發(fā)利用開辟可能的路徑；同時也更加強調(diào)責任原則、透明原則的地位和作用，調(diào)動信息控制者參與數(shù)據(jù)治理的積極性。GDPR只是提高了門檻，法律對全世界的公司來說都是公平的，企業(yè)可以通過改變自己去適應監(jiān)管。

未來，基于大數(shù)據(jù)和隱私保護的相關(guān)產(chǎn)業(yè)，也會更加受到重視。畢竟，規(guī)則制定者的目的，是為了引導行業(yè)更好發(fā)展，而不是為了扼殺它們。在全球化趨勢下，一部分中國企業(yè)對此反思，也未嘗不是一次完善自己的機會。在大平臺的帶動下，中國互聯(lián)網(wǎng)公司對于數(shù)據(jù)隱私的保護也會更上一個臺階。

（作者為中國國際關(guān)系學院法律系教授。碩士生李劍對此文亦有貢獻）