警惕GDPR，全球最嚴數據保護法規來襲

2018年5月25日，歐盟正式開始實施《一般數據保護條例》（以下簡稱GDPR），這部被譽為「世界最嚴」條例成為全球第一部以正式法典形式出現的數據保護法案！

隨著大數據、雲計算、移動互聯網、社交網路以及各種智能終端的普及，大型公司涉及數據的爭端正在越演越烈。

2018年以來，美國社交網路 Facebook 因數據泄漏面臨自創建以來的最大危機，創始人馬克·扎克伯格不僅在4月10～11日先後出席美國國會參議院和眾議院聽證會，更在5月22日前往布魯塞爾會見歐洲議會領導人，針對英國諮詢公司劍橋分析不當使用 Facebook 數百萬用戶數據的事情回答有關問題。

有媒體大膽預測，除了 2 萬億美元的罰單、英國議會的傳召，Facebook 很有可能成為首個違反 GDPR 的企業。

在國內，2017年的順豐和菜鳥，華為和騰訊之間的數據爭端仍讓人記憶猶新。儘管最終 4 家企業最終合議解決了爭端，但也由此凸顯了中國數據保護中的法規和監管體制缺失問題！

全球大數據產業規模高達千億美元

目前，中國和世界各國的大數據都處於起步階段。其中，美國、英國、法國、澳大利亞等國在大數據核心技術方面居於領先地位；中國則在收集端和應用端全球領先，在處理端核心技術方面還有差距。全球公認的領軍企業包括亞馬遜、SAP、谷歌、IBM 等。

2017年，全球大數據市場結構繼續向服務化轉變，同時從壟斷競爭向完全競爭格局演化。典型的表現是，企業數量迅速增多，服務的差異度增大，技術門檻逐步降低，市場競爭越發激烈。

據美國國際數據公司（IDC）的統計，2017年，全球大數據產業市場規模將達 1508 億美元，比2016年增加 12.4%。其中，美國為 788 億美元，西歐為 341 億美元，兩者之和佔全世界市場規模的 3/4；亞太地區（不包括日本）為 128.5 億美元。

在亞太地區（不包括日本），中國成為該地區在大數據和商業分析解決方案方面最大的市場，預計2018年支出預計將達到 55 億美元，占亞太地區（不包括日本）大數據和分析總收入的 37.3%。從行業來看，電信和銀行業佔據主導地位，2018年各項支出佔總支出的 14.6%，其次是專業服務，佔比 11.9%。

GDPR「世界最嚴條例」

隨著數據產業規模的不斷擴大，各國都在加強對本國數據的控制力，關注數據主權。美國、歐盟等紛紛利用技術優勢和法律法規加強本國數據主權保護。作為第一部數據保護法典，GDPR 要求掌握（或處理）數據的組織必須依法建立一套系統化的管理機制，符合 GDPR 條款中所要求的個人數據保護原則。

GDPR 保護的隱私數據主要包括：基本的身份信息，如姓名、地址和身份證號碼等；網路數據，如位置、IP 地址、Cookie 數據和 RFID 標籤等；醫療保健和遺傳數據；生物識別數據，如指紋、虹膜等；種族或民族數據；政治觀點；性取向。

監管範圍擴大到適用所有企業

歐盟1995年的《個人數據保護指令》的適用範圍僅僅針對公司的成立地在歐盟，或者利用歐盟境內的設備進行了個人數據處理活動（僅僅是傳輸通道除外）的公司。

但 GDPR 卻規定，任何存儲或處理歐盟國家內有關歐盟公民個人信息的公司，即使在歐盟境內沒有業務存在，都必須遵守 GDPR。這也就意味著，GDPR 新規幾乎適用於所有的公司。符合 GDPR 新規的公司的標準如下：

? 在歐盟境內擁有業務；

? 在歐盟境內沒有業務，但是存儲或處理歐盟公民的個人信息；

? 超過 250 名員工；

? 少於 250 名員工，但是其數據處理方式影響數據主體的權利和隱私，或是包含某些類型的敏感個人數據。

數據主體權利進一步擴大

GDPR 對數據主體的權利規定細緻入微，包括數據主體知情權、訪問權、更正權、被遺忘權、限制處理權、拒絕權及數據可攜權等廣泛的數據權利和自由，同時明確了數據控制者和處理者應盡到採取合法、公平和透明的技術和組織措施保護數據權益的法定義務，以及履行對監管部門及數據保護認證組織的法定義務。

強化對數據企業自身監管體制，建立問責機制

GDPR 實施一站式監管，因此對於向歐盟不同國家提供業務的企業或者在不同國家都有設立地的企業來說，其不再需要與多個不同成員國的數據監管機構打交道，企業主成立地所在國家的監管機構將作為主導監管機構對企業的所有數據活動負有監管權力，其效力輻射於全歐境內，這在某種意義上也簡化了跨國企業的合規程序，提升了跨國企業在數據經濟中的創新能力和競爭力。

增強和擴大監管機構的執法權和自由裁量權

根據 GDPR 新規，無論是對數據違法行為及嚴重後果的認定，還是最終罰款額度的確定，歐盟成員國的監管機關都具有很大的自由裁量權。

監管機構的執法權包括：通知數據控制者、處理者相關違反行為；要求違法者提供相關信息，或者向監管機構提供訪問此類信息的介面；現場調查、審計；命令修改、刪除或者銷毀個人數據；可以採取臨時性的或者限定性的數據處理禁令；課以罰金。

實施高額的罰款制度

企業一旦違反 GDPR，歐盟將有權對其進行高額罰款，罰金分為兩檔：

（1）處以 1 千萬歐元或者上一年度全球營收的 2%，兩者取其高。

針對的違法行為包括：沒有實施充分的 IT 安全保障措施，或者沒有提供全面的透明的隱私政策，沒有簽訂書面的數據處理協議等；

（2）處以 2 千萬歐元或者企業上一年度全球營業收入的 4%，兩者取其高。

針對的違法行為包括：無法說明如何獲得用戶的同意，違反數據處理的一般性原則，侵害數據主體的合法權利，以及拒絕服從監管機構的執法命令等。

與其形成對比的是，如果在美國觸犯了隱私保護條例，那通常情況下罰金的大概範圍是幾十萬到幾百萬美金。而在中國，根據《中華人民共和國網路安全法》，侵害個人信息相關權利時，對直接責任人員的罰款數額上限為 10 萬元人民幣，對網路運營者的罰款數額上限為 100 萬元人民幣。

GDPR 對中國企業的影響

一旦正式實施 GDPR，首當其衝受影響的中國企業涉及銀行、電子商務、互聯網、IT 企業和軟硬體生產商等，尤其是大數據和雲服務這兩類企業。這些中國企業面臨三個選擇：停止向歐盟居民提供互聯網服務（包括免費服務）；或者接到罰單後再去面對；主動完成歐盟 GDPR 的合規性要求。

根據普華永道的調查數據顯示，68% 的美國公司預計將花費 100 萬到 1000 萬美元的投入來滿足 GDPR 的合規性要求；另有 9% 的企業預計將花費超過 1000 萬美元。如果要想合規 GDPR，中國相關企業應關注以下幾方面：

? 必須設立一個數據保護官（Data Protection Officer，DPO），其職責是監管和規範數據負責人和數據處理者的數據活動；

? 需要保留用戶數據監管信息，並定期刪除無關數據；

? 必須部署合適的工具用以保護數據，以防數據丟失、損壞或泄露。當發生任何數據泄露相關事件，數據管控者與數據處理者需要在 72 小時內進行報告；

? 處理個人數據必須要有合法理由，包括數據主體的同意、為了簽訂或履行合同需要、遵守法定義務的需要、為公共利益或行事政府授權以及為追求數據控制者的合法利益等；

? 當用戶不再希望個人數據被處理並且數據控制者已經沒有合法理由保存該數據，用戶有權要求刪除數據；

? 用戶有權並可以無障礙的將其個人數據以及其他數據資料從一個信息服務提供者處轉移至另外一個信息服務提供者處；

? 禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、工會組織成員的數據、個人基因識別數據、生物數據、涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據，如已獲得個人的明示同意，或數據控制者因處理勞動關係、社會保險之需要在法律允許的範圍內已採取了適當的保護手段等；

? 處理 16 歲以下兒童的個人數據時，必須獲得該兒童父母或監護人的同意或授權；

? 需要實現數據的「預設保護隱私」，即這種數據保護的隱私設計需要有默認的兩個原則，一是數據採集與數據使用目的的一一對應原則；二是數據採集的最小化原則。

中國數據保護機制仍然缺失

儘管我國早在2003年就提出了制定「個人數據保護法」，並制定了大數據行業規劃，但截至目前，但目前中國在數據保護方面的法律分散且僅覆蓋少數部門。

儘管我國的相關數據立法也是建構在個人數據權利和自由的基礎上，但突出數據公共利益成為我國數據保護法的主導思想之一，這也是我國為何遲遲不出台強制性法的原因之一。

但隨著跨國數據企業的不斷進入中國市場，未來谷歌、Facebook、亞馬遜等科技巨頭帶來的數據壟斷問題將會越來越嚴峻，這些壟斷數據的跨國科技巨頭正在通過競爭跨領域的數據，從而最終形成極度中心化的商業格局。

同時，隨著互聯網和在線服務的快速發展，涉及個人信息泄露、數據權屬、數據交易、數據濫用等一系列問題頻發，數據保護業已成為信息時代的一大隱憂。因此，儘快啟動和構建國內數據保護法律體系，規範和完善數據的收集、使用、保存等，已迫在眉睫！

（機工智庫研究員 裘紅萍）

轉載請註明出處

商務合作：

機工情報新媒體編輯部

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！