楊光

歐盟《通用數(shù)據(jù)保護條例》（GDPR）正式生效已經(jīng)一個月有余，其涉及面廣、影響深遠，引發(fā)了各方的深入研究和激烈討論。

GDPR對企業(yè)產(chǎn)生了怎樣的影響？北京理工大學軟件學院副教授閆懷志認為，首先從管轄地域范圍來看，GDPR的管轄范圍既包括在歐盟境內有實體的組織，也包括在歐盟境內提供商品或服務，或者監(jiān)控在歐盟內歐盟居民行為的組織，而無論該組織是否在歐盟成員國內有無實體或在成員國內處理信息。也就是說，只要任何涉及歐盟境內個體的個人數(shù)據(jù)的處理行為，無論誰來處理無論在哪兒處理，只要涉及歐盟境內人員或成員國公民，均需遵循該條例，而且適用范圍也由屬地擴展到個人?！半m然GDPR表面上強調的是保護自然人的個人信息權利，但是個人信息權利是同政治、經(jīng)濟、文化、意識形態(tài)等都是息息相關的，必要時歐盟成員國可能會利用這個工具來為其國家安全、社會穩(wěn)定、經(jīng)濟競爭服務。”

在全球一體化，特別是“工業(yè)互聯(lián)網(wǎng)”向縱深發(fā)展、中美歐三家競爭激烈的當下，該條例必將對中國企業(yè)（不僅僅是大數(shù)據(jù)企業(yè)和數(shù)據(jù)安全企業(yè)）產(chǎn)生巨大的影響。閆懷志說：“歐盟與中國互為最大的合作伙伴之一，在商貿(mào)、金融、網(wǎng)絡等領域深度交融、合作緊密，其中涉及大量的相關個人信息的處理，勢必會成為GDPR的規(guī)約對象。這就提醒中國企業(yè)務虛了解、重視該條例，嚴格、細致評估該條例帶來的影響，在數(shù)據(jù)保護、數(shù)據(jù)披露、數(shù)據(jù)處理等方面做好合規(guī)操作?！?/p>

GDPR的實際效用頗為有限？

南京信息工程大學法政學院副教授蔣潔認為，GDPR的實際效用頗為有限，甚至可以推測在很長一段時間內不能發(fā)揮出預想中保障用戶數(shù)據(jù)權益、歐盟數(shù)據(jù)主權和提振本土數(shù)字經(jīng)濟的作用。首先，GDPR對跨境互聯(lián)網(wǎng)巨頭企業(yè)的規(guī)制作用較為有限。最初設想中，這部“史上最嚴的隱私數(shù)據(jù)保護條例”將通過用戶“明確同意”、“被遺忘權利”、“數(shù)據(jù)使用知情權”等條款強有力地規(guī)制美國谷歌、臉書公司等在歐洲地區(qū)的數(shù)據(jù)收集、存儲和使用。然而，目前不少企業(yè)更新的隱私條款采用隱性的“同意或退出”的強迫選擇方式要求用戶廣泛、明確地進行授權。同時，當前國際互聯(lián)網(wǎng)巨頭企業(yè)的數(shù)據(jù)安全防護與數(shù)據(jù)去真處理的技術和程序普遍較為完善。此前在數(shù)據(jù)收集和使用上暴露出的問題常常是因為“忘記”寫入隱私條款，而不是用戶特別重視數(shù)據(jù)隱私。GDPR不過是促使這些企業(yè)通過冗長的隱私政策將可能違反GDPR規(guī)定的內容事無巨細地逐項寫入，進而分門別類地、輕而易舉地取得用戶的“明確同意”，順理成章地履行了合規(guī)義務。在GDPR落地實施的過程中，亟待對隱私政策條款“清晰而平實”的表達方式進行細化規(guī)定；對“同意或退出”的隱性強制進行廣泛梳理；對企業(yè)在使用用戶數(shù)據(jù)中保持公平、公正、公開的連貫性做法進行全面的技術規(guī)范（尤其是避免各種潛在歧視）。這些也是目前推測的GDPR解釋條款的進一步發(fā)展方向。

GDPR或將抑制創(chuàng)新？

非但達不到預期效果，還有可能“誤傷”，帶來負效應，這恐怕是歐盟始料未及的。對于可能帶來的負效應，中央財經(jīng)大學法學院教授吳韜提到：“在歸責方面，GDPR非常嚴苛，采用近似于客觀歸責的原則，即使相關企業(yè)對于數(shù)據(jù)泄露沒有過錯，也可能受到重罰。這使得提供數(shù)字服務可能成為一種高危行業(yè)，因此會極大抑制本領域的技術和商業(yè)模式創(chuàng)新?！?/p>

除了抑制創(chuàng)新，吳韜認為，GDPR無疑將極大增加所有相關企業(yè)的合規(guī)成本，但是對中小企業(yè)尤甚。由于中小企業(yè)在技術、法律能力等方面的局限，它們在GDPR面前更為脆弱。無論是違法成本（高額罰款）還是為了避免違法付出的合規(guī)成本，相對于有限的盈利而言，都是不成比例的。

一些西方人士指出，歐盟制定GDPR的初衷是限制谷歌、臉書、優(yōu)步這些大企業(yè)，但是，結果可能是大量中小企業(yè)“躺槍”。因為大企業(yè)憑借其雄厚的資金和技術實力可以最終克服一時的困難，而對于廣大中小企業(yè)來說，它們面臨的則是生存危機。

對中國的借鑒意義

盡管可能有違初衷，GDPR的生效對中國數(shù)據(jù)安全保護現(xiàn)狀仍然有借鑒意義。閆懷志指出，GDPR是與當前網(wǎng)絡空間現(xiàn)狀最為契合的數(shù)據(jù)保護條例，必將對包括我國在內的全球各國的數(shù)據(jù)保護、數(shù)據(jù)安全管理以及互聯(lián)網(wǎng)治理提供重要的借鑒藍本。他做了如下闡釋：“第一，GDPR要求設立企業(yè)和機構設立專門的數(shù)據(jù)保護官員（Data Protection Officer）來負責數(shù)據(jù)管理，我國也可以適當考慮要求企業(yè)和機構設立類似職位或設定類似職能。第二，GDPR不僅倒逼中國企業(yè)更加重視個人數(shù)據(jù)安全和隱私保護，而且也為中國保護個人數(shù)據(jù)安全提供了一種思路：中國也可以制定類似條例來維護我國公民的數(shù)據(jù)安全，防止國內外機構非法濫用。第三，中國很多企業(yè)機構的業(yè)務流程、現(xiàn)用的大量系統(tǒng)（Web系統(tǒng)或手機App），均不同程度地不符合GDPR規(guī)定，因此，這也為相關產(chǎn)業(yè)的發(fā)展帶來了新的機遇。比如，遵照GDPR規(guī)定，開發(fā)適用于企業(yè)業(yè)務流程與所用信息系統(tǒng)的GDPR合規(guī)檢測或改造工具，可能會是一個較大的市場藍?？臻g。”

企業(yè)需要做什么？

數(shù)據(jù)隱私保護是阿里云的第一原則。2015年7月，阿里云首家發(fā)起《數(shù)據(jù)保護倡議》，將“不碰客戶數(shù)據(jù)”寫入正式文本，并被同行認可跟進。GDPR生效之前，阿里云已全面推進數(shù)據(jù)保護工作。阿里云認為GDPR對企業(yè)的要求大致可以分為兩大類：隱私合規(guī)和數(shù)據(jù)主體權利。在這兩大類之下，企業(yè)需要逐步做行動落實，并提供書面文件來證明（GDPR對文件的要求非常高）。

第一，在隱私合規(guī)的保護維度下，企業(yè)需要保留數(shù)據(jù)處理庫清冊，把數(shù)據(jù)保護影響評估作為默認機制，將隱私嵌入到設計中（Privacy By Design）。

第二，在數(shù)據(jù)主體權利的保護維度下，企業(yè)需要保證那些“數(shù)據(jù)正在被處理”的數(shù)據(jù)主體權利：包括訪問權，糾正權，刪除權，信息權，限制處理權，撤回同意，數(shù)據(jù)可移動性的權利等。

綠盟科技認為，GDPR的合規(guī)不僅是隱私政策的文字調整，更是圍繞個人信息保護和數(shù)據(jù)安全開展的產(chǎn)品、服務甚至是商業(yè)模式的調整。綠盟科技建議國內企業(yè)從以下幾個方面進行落實：

第一，獲得管理層支持設立支撐組織。企業(yè)GDPR的實施，不僅僅是IT部門的職責，也需要法律部門、業(yè)務部門、風險管理部門、服務交付部門等的參與，其中最重要的是得到管理層的充分重視。

第二，梳理個人數(shù)據(jù)，強化影響評估。企業(yè)應盡快梳理其所處理的個人數(shù)據(jù)，對個人信息的類別、存儲位置、傳輸及存儲方式、控制者和（或）處理者等信息進行識別，繪制個人數(shù)據(jù)處理的流程圖。必要時，企業(yè)應開展DPIA，針對數(shù)據(jù)處理方式，特別是使用新技術進行的數(shù)據(jù)處理，統(tǒng)籌考慮處理過程的性質、范圍、內容和目的，可能給自然人權利和自由帶來的風險。

第三，調整完善企業(yè)隱私策略。為滿足GDPR的合規(guī)要求，企業(yè)應對隱私策略進行調整，從個人數(shù)據(jù)的收集、保存、使用、對外提供、用戶告知等方面，以簡明易懂的文字通過公開、易于訪問的方式告知用戶。

第四，通過技術設計保護隱私功能。企業(yè)應在產(chǎn)品或服務設計之初，融入隱私保護的理念，將隱私理念植入技術架構設計，以用戶為中心，提升透明度并基于用戶更多對其個人信息的控制權。

第五，加強數(shù)據(jù)生命周期的安全能力建設。企業(yè)應對個人信息及隱私數(shù)據(jù)，需從生成、存儲、使用、傳輸、共享、銷毀六個階段進行嚴格的保護，在各個環(huán)節(jié)明確責任主體和責任范圍，完善數(shù)據(jù)安全管控組織和制度，加強安全管控技術，以確保安全標準的實施，保障數(shù)據(jù)主體權利。