GDPR來(lái)了 你怎么看

歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）已正式生效兩個(gè)月，其涉及面廣、影響深遠(yuǎn)，引發(fā)了各方的深入研究和激烈討論。

懸在企業(yè)頭頂?shù)囊话牙麆?/p>

GDPR的官方網(wǎng)站顯示，GDPR開(kāi)始實(shí)施后，數(shù)據(jù)泄露將不再是企業(yè)聲譽(yù)受損或營(yíng)業(yè)額下降這么簡(jiǎn)單，違反 GDPR，輕者將被處以1000萬(wàn)歐元或者上一年度全球營(yíng)收2%的罰款，兩者取其高；重者將被處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入4%的罰款，兩者取其高。決定罰金有十大標(biāo)準(zhǔn)，包括侵權(quán)的性質(zhì)、意圖、緩解措施、預(yù)防性措施、歷史、合作、數(shù)據(jù)類型、通知、認(rèn)證及其他。

Sophos的調(diào)查數(shù)據(jù)顯示，超過(guò)25%的企業(yè)聲稱，如此重罰會(huì)讓他們徹底倒閉（如果企業(yè)規(guī)模不足50人，將有超過(guò)一半的企業(yè)受罰后會(huì)關(guān)閉）；40%的IT決策者表示，如果遭罰，裁員將不可避免。

一些西方人士指出，歐盟制定GDPR的初衷是限制谷歌、臉書(shū)、優(yōu)步這些大企業(yè)，但是，結(jié)果可能是大量中小企業(yè)“躺槍”。因?yàn)榇笃髽I(yè)憑借其雄厚的資金和技術(shù)實(shí)力可以最終克服一時(shí)的困難，而對(duì)于廣大中小企業(yè)來(lái)說(shuō)，它們面臨的則是生存危機(jī)。

中央財(cái)經(jīng)大學(xué)法學(xué)院教授吳韜認(rèn)為，GDPR無(wú)疑將極大增加所有相關(guān)企業(yè)的合規(guī)成本，但是對(duì)中小企業(yè)尤甚。由于中小企業(yè)在技術(shù)、法律能力等方面的局限，它們?cè)贕DPR面前更為脆弱。無(wú)論是違法成本（高額罰款）還是為了避免違法付出的合規(guī)成本，相對(duì)于有限的盈利而言，都是不成比例的。

GDPR可謂懸在企業(yè)頭頂上的一把利劍。

實(shí)際效用有限？

南京信息工程大學(xué)法政學(xué)院副教授蔣潔認(rèn)為，GDPR的實(shí)際效用頗為有限，甚至可以推測(cè)在很長(zhǎng)一段時(shí)間內(nèi)不能發(fā)揮出預(yù)想中保障用戶數(shù)據(jù)權(quán)益、歐盟數(shù)據(jù)主權(quán)和提振本土數(shù)字經(jīng)濟(jì)的作用。首先，GDPR對(duì)跨境互聯(lián)網(wǎng)巨頭企業(yè)的規(guī)制作用較為有限。最初設(shè)想中，這部“史上最嚴(yán)的隱私數(shù)據(jù)保護(hù)條例”將通過(guò)用戶“明確同意”、“被遺忘權(quán)利”、“數(shù)據(jù)使用知情權(quán)”等條款強(qiáng)有力地規(guī)制美國(guó)谷歌、臉書(shū)公司等在歐洲地區(qū)的數(shù)據(jù)收集、存儲(chǔ)和使用。然而，目前不少企業(yè)更新的隱私條款采用隱性的“同意或退出”的強(qiáng)迫選擇方式要求用戶廣泛、明確地進(jìn)行授權(quán)。同時(shí)，當(dāng)前國(guó)際互聯(lián)網(wǎng)巨頭企業(yè)的數(shù)據(jù)安全防護(hù)與數(shù)據(jù)去真處理的技術(shù)和程序普遍較為完善。此前在數(shù)據(jù)收集和使用上暴露出的問(wèn)題常常是因?yàn)椤巴洝睂?xiě)入隱私條款，而不是用戶特別重視數(shù)據(jù)隱私。GDPR不過(guò)是促使這些企業(yè)通過(guò)冗長(zhǎng)的隱私政策將可能違反GDPR規(guī)定的內(nèi)容事無(wú)巨細(xì)地逐項(xiàng)寫(xiě)入，進(jìn)而分門(mén)別類地、輕而易舉地取得用戶的“明確同意”，順理成章地履行了合規(guī)義務(wù)。

GDPR落地實(shí)施的過(guò)程中，亟待對(duì)隱私政策條款“清晰而平實(shí)”的表達(dá)方式進(jìn)行細(xì)化規(guī)定；對(duì)“同意或退出”的隱性強(qiáng)制進(jìn)行廣泛梳理；對(duì)企業(yè)在使用用戶數(shù)據(jù)中保持公平、公正、公開(kāi)的連貫性做法進(jìn)行全面的技術(shù)規(guī)范（尤其是避免各種潛在歧視）。這些也是目前推測(cè)的GDPR解釋條款的進(jìn)一步發(fā)展方向。

是CIO還是誰(shuí)來(lái)負(fù)責(zé)GDPR

Veritas公司大中華區(qū)總裁楊晨告訴記者，很多企業(yè)并不十分了解企業(yè)內(nèi)部數(shù)據(jù)的管理權(quán)歸屬。企業(yè)高管常常認(rèn)為CIO是負(fù)責(zé)GDPR的關(guān)鍵人物，而CIO又認(rèn)為這是高管的職責(zé)。公平地說(shuō)，這需要多個(gè)職能部門(mén)的配合。企業(yè)需要在創(chuàng)建合規(guī)和數(shù)據(jù)治理文化時(shí)，徹底改變思維模式。確保GDPR合規(guī)性不只是CIO一個(gè)人的職責(zé)，而是需要所有部門(mén)的共同努力。

北京理工大學(xué)軟件學(xué)院副教授閆懷志指出，GDPR是與當(dāng)前網(wǎng)絡(luò)空間現(xiàn)狀最為契合的數(shù)據(jù)保護(hù)條例，必將對(duì)包括我國(guó)在內(nèi)的全球各國(guó)的數(shù)據(jù)保護(hù)、數(shù)據(jù)安全管理以及互聯(lián)網(wǎng)治理提供重要的借鑒藍(lán)本。他做了如下闡釋：“第一，GDPR要求設(shè)立企業(yè)和機(jī)構(gòu)設(shè)立專門(mén)的數(shù)據(jù)保護(hù)官員（Data Protection Officer）來(lái)負(fù)責(zé)數(shù)據(jù)管理，我國(guó)也可以適當(dāng)考慮要求企業(yè)和機(jī)構(gòu)設(shè)立類似職位或設(shè)定類似職能。第二，GDPR不僅倒逼中國(guó)企業(yè)更加重視個(gè)人數(shù)據(jù)安全和隱私保護(hù)，而且也為中國(guó)保護(hù)個(gè)人數(shù)據(jù)安全提供了一種思路：中國(guó)也可以制定類似條例來(lái)維護(hù)我國(guó)公民的數(shù)據(jù)安全，防止國(guó)內(nèi)外機(jī)構(gòu)非法濫用。第三，中國(guó)很多企業(yè)機(jī)構(gòu)的業(yè)務(wù)流程、現(xiàn)用的大量系統(tǒng)（Web系統(tǒng)或手機(jī)App），均不同程度地不符合GDPR規(guī)定，因此，這也為相關(guān)產(chǎn)業(yè)的發(fā)展帶來(lái)了新的機(jī)遇。比如，遵照GDPR規(guī)定，開(kāi)發(fā)適用于企業(yè)業(yè)務(wù)流程與所用信息系統(tǒng)的GDPR合規(guī)檢測(cè)或改造工具，可能會(huì)是一個(gè)較大的市場(chǎng)藍(lán)海空間?！?/p>