歐盟「史上最嚴」數據保護法GDPR生效

騰訊科技訊 據外媒報道，歐盟「通用數據保護條例」（GDPR）於2018年5月25日生效。

GDPR被視為「史上最嚴」的數據保護立法，企業在發生數據泄露事故的情況下可能會面臨高達年收入4%的罰款。

GDPR最初於2012年提出，並於2015年12月獲得了歐盟理事會的通過。作為統一的數據保護法，GDPR的前身是1995年的《數據保護指令》95/46/EC。

在實施後，GDPR將覆蓋所有28個歐盟成員國，替代各國自己的相關法律。但GDPR的覆蓋範圍可能不止於此。

從原則上說，所有在歐洲大陸開展業務或處理歐盟公民數據的組織，無論這些組織的總部設在哪裡，都可能受到GDPR的影響。

普華永道指出：「這將影響在歐洲內外保存或使用歐洲公民個人數據的每個實體。」

對於GDPR未來的影響和意義，各界人士有著不同的看法。以下為國外相關專家觀點摘要：

1、安格斯·麥克雷（Angus Macrae），倫敦國王學院信息安全負責人

GDPR的總原則是「統一歐盟範圍內的監管，讓公民重新掌控自己的個人數據，同時簡化國際業務的監管環境」。在大多數人看來，這肯定是件好事。

這套標準如果能得到良好協調，那麼從長遠來看肯定會對數據保管或處理過程中的每個人都有有利。我們都是「數據主體」，在我們生活的這個世界中，有很多重要方面都在更多地依賴於與我們相關的數據。但這些數據處於風險之中，比以往更容易泄露。

數據主體目前擔心的是，由於很多國家和地區在通報數據泄露事件時都不必承擔法律責任，因此你甚至可能不知道自己的數據被盜或以其他方式受損。而GDPR實施後，如果發生數據泄露事件，那麼數據保管者就必須及時向相應監管機構彙報情況，時限為事故發生的72小時內。

然而，GDPR會帶來額外的合規負擔，給企業造成額外成本，並導致某些企業處於競爭劣勢。2013年，英國信息委員會辦公室（ICO）委託倫敦經濟學院進行了一項相關調查研究。其中重要發現之一是，大多數企業無法可靠地量化它們在數據保護上的投入。而在GDPR實施後，運營成本可能會出現怎樣的增長，也同樣難以準確量化。

根據新規定，長期僱員超過250人的組織，或「核心活動」需要對數據主體進行定期和系統性監測的組織，都需要任命數據保護官。儘管這個要求本身不算無理，但對很多中小企業來說，這可能會是一筆切切實實的花費。

最引人關注的行業是雲計算，它可能會受到更大的影響，並承擔更多成本。有些企業肯定需要投資更好的技術方案才能滿足數據刪除、保留或可移植性的要求，而這些成本無疑很快就會轉嫁到用戶處。

此外，GDPR的許多細節在實際操作中如何執行？企業可能會面臨哪些不必要的成本，尤其是浪費在誤導性的管控措施和諮詢意見上的成本？即便是在專家中間，這些問題也存在很多分歧。

另一個風險是，儘管從原則上說，良好的信息安全和數據保護工作應該相互協調，互為補充，但企業可能過分強調其中某個點，把資金和資源放在滿足GDPR的合規要求上，導致在信息安全防禦的其他領域蒙受損失。

市場研究公司Ovum的報告顯示，2015年12月，在調查的366家全球IT公司中，有66%似乎正在審查歐洲的業務戰略，這是GDPR草案通過帶來的直接反應。更值得關注的是，超過50%的IT公司認為自己不能滿足所有新要求。在美國公司中，這個比例為58%，而62%的德國公司認為自己最終可能會被罰款。

2、基蒂·寇爾丁（Kitty Kolding），Infocore CEO及總裁

假設理智的企業都認同消費者隱私權的重要性，，我們認為立法最終不僅不利於用戶數據的隱私和安全，甚至有可能造成破壞。我們還認為，此舉會對全球的營銷和廣告行業構成障礙，尤其是當這類立法開始向其他市場擴散時。

以下就是我們最擔心的3件事：

1）「被遺忘權」適得其反

根據GDPR，歐盟公民必須能方便地撤回自己的數據授權許可，即所謂的「被遺忘權」。數據主體有權要求刪除自己的數據，讓數據收集商不能繼續處理自己的數據，其他任何實體也不能像以前一樣合法地使用、購買和租賃這些數據。

為了做到這點，每家參與租賃或銷售歐盟數據主體信息的公司，都必須保留消費者數據的完整細節。在單筆交易中，這可能包括7到8家獨立公司，例如廣告主、廣告公司、兩家或更多中介機構、數據收集商和數據處理商。GDPR要求其中每家公司都必須保存消費者在每筆交易中的所有詳細信息。一旦消費者決定撤回許可，就可以在能驗證的情況下，在數據曾出現過的所有地方刪除這些數據，包括硬碟、本地伺服器、備份資料庫、雲伺服器等，以免落入黑客之手。

但現在的情況反而把數據被黑客獲取的概率提高了至少10倍，因為企業無法刪除那些已不再需要的數據。所有參與這個過程的企業必須長期保留所有記錄，以確保在獲得許可的3年後，消費者仍可以撤銷許可，數據處理商可以證明這些記錄都已經刪除。數據保留時間越長，被黑客獲取的概率就越高。

2）A29WP將獲得極大的權力

針對GDPR組建的全新執法機構名為「第29條工作組」（Article 29 Working Party，A29WP），該機構可以對全球各地企業展開監管。所有的歐盟國家都受GDPR的管轄。此外無論企業位於何處，只要處理歐盟公民的數據，也都自動受到該機構的管轄。不過歐盟具體會如何對外執法，目前還無法判斷。

A29WP還擁有獨家且不可挑戰的權力，可以搜查和沒收存在疑問的記錄（涵蓋位於世界各地的企業），而且還可以開展獨立調查，並充當調查結果的唯一裁決機構。他們集法官、陪審團和執行者等多重身份於一身，而且不受監督，也不提供上訴渠道。

數據存儲、許可追蹤，以及取證要求都非常複雜，即使真的有企業自信滿滿地認為自己完全合規，數量也不會很多。這也意味著在當今這個互聯程度越來越強的世界中，當A29WP決定對企業進行制裁時，許多企業隨時都會陷入風險。

3）法律幫助了歐盟最想打擊的企業

很多人認為，歐盟希望利用這部法律懲罰或限制他們討厭的企業，包括Facebook、谷歌和Uber等。但諷刺的是，這些技術實力強的大企業反而可以克服GDPR的障礙，不容易受到影響。他們可以投入大量律師和工程團隊來展開合規工作。當他們順利度過困境時，其他涉及歐盟公民隱私的企業幾乎都會面臨直接影響。在很多情況下，甚至會導致這些企業面臨生存危機。

首先，這些企業（多數都是歐盟企業）需要花很多年才能通過適當的架構來遵守所有規定，因此會忽視很多重要的業務元素。為了構建和管理同樣的解決方案，他們勢必步履艱難。

英國的行業專家預計，用戶數據收集商、經紀商、廣告平台和相關服務（例如數據清理和處理）將因此損失50%的收入。毫無疑問，可以使用的用戶數據將變得非常稀缺。跟任何自由市場類似，供給越少，價格越高。精準營銷的難度會加大，精準程度會降低，觸達受眾會減少，價格變得更高。只有規模最大的企業和服務才能生存下去，存活下來的巨頭將主導市場、上調價格。

也就是說，這種方法根本無法打擊歐盟所討厭的科技巨頭，反而會幫助這些巨頭擠出那些規模不夠大、盈利能力不夠強的對手，導致許多中小企業因為合規問題而逐步被淘汰。

3、布萊恩·金漢姆（Brian Kingham），倫敦創業者和投資人、信息安全公司Reliance acsn董事長

GDPR的目的是阻止企業濫用歐盟公民的個人數據。從表面看來，這的確是好事。個人隱私非常重要，尤其是在面對大企業和政府的嗅探時。然而，歐盟此舉可能會阻礙創新，還有可能導致企業因無法控制的情況而遭到處罰。

此外還有頗具諷刺之處：歐盟想讓公民能自由獲取企業存儲的與之有關的數據，但歐盟自身的運行方式卻不夠透明，例如歐洲議會成員的投票記錄，以及各個利益群體試圖影響歐盟政策而展開的遊說活動。歐盟的官僚氣息嚴重。他們通過各種繁文縟節來監管28個歐盟成員國的企業，並且掌握著關於歐盟5.1億公民的海量數據，以及在歐盟境內運作的企業數據。但法律已經出台，所以只能無條件遵守。

應該承認的是，個人數據面臨的威脅主要來自複雜的網路犯罪，而非持有數據的企業。為了保護公民數據免受網路攻擊的傷害，歐盟決定處罰受害者，即遭到攻擊的企業，而非犯罪者。如果你在網路攻擊中丟失用戶數據，那就是你的錯，歐盟現在有權對你處以年收入4%的罰款或2000萬歐元，二者取較大值。

這有點不公平。處罰金額顯然過重，4%的營收已超過很多企業的利潤。沒有任何本分的企業願意丟失數據，也沒有企業願意因為泄露數據而流失用戶。正因如此，他們才投入大筆資金髮展強大的網路安全軟體和服務。所以，GDPR跟網路安全關係不大。

相反，這會迫使各類企業投入寶貴的時間和資源來確保合規，從而知道數據的確切位置。不幸的是，在大數據和雲計算時代，即使對大企業來說，這也是艱巨的任務。企業已經非常關注此事。

調查顯示，InfoSecurity Europe的與會者有半數認為GDPR會阻礙創新，導致企業對雲計算感到緊張。GDPR規定的另一大問題在於，如果提供外包服務的數據處理公司丟失了客戶數據，他們並不需要為此負責，這意味著他們加強信息安全保障的動力較弱。這也提醒我們：選擇雲計算提供商時要格外小心。

這部立法似乎沒有清晰地意識到一個問題：數據是產品和企業創新至關重要的原料，甚至可以幫助企業降低運營成本。GDPR也可能阻礙由數據驅動的創新，因為企業可能因擔心遭到起訴而不太敢獲取或存儲數據。

作為消費者，只要我們願意，就有權與企業和各類組織分享數據。事實上，的確有許多消費者存在這種意願。我們也可以選擇退出這種機制，但很多人還是很享受因此帶來的好處，而亞馬遜這樣的企業也可以藉此了解我們的消費模式。通過數據分享機制，網路購物才得以更便利。

如果歐盟認為GDPR可以幫助歐洲企業超過美國競爭對手，那就應該三思而行。Facebook、亞馬遜和谷歌等數字巨頭都已十分強大，他們擁有先進的基礎設施和充分的靈活性來執行GDPR的很多要求，也可以通過很多方式，比歐洲傳統媒體巨頭更快地適應數據立法變化。

GDPR可能引發意想不到的巨大影響。至於那些已經困境重重的企業將會遭受何種影響，目前還很難判斷。GDPR有可能讓我們再次了解，政府的好意在實際執行中會出現什麼樣的偏差。這些措施太嚴厲，太急迫，無疑會對創新、企業發展和就業造成破壞。（編譯/長歌、Kathy）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！