「史上最嚴」數據保護條例GDPR上線，但實際效用很有限？

5月25日，經過兩年過渡期的歐盟《通用數據保護條例》(General Data Protection Regulation,GDPR）正式生效。該條例最大的作用是什麼？被稱為史上最嚴條例到底有哪些要求？針對中國企業，觸及GDPR的監管紅線在哪？

對於如何理解GDPR，知乎上有一個解釋很簡潔明了：

對於個人而言，這項條例將保護人們對個人數據有更多的掌控權，比如修改、刪除自己的數據，限制別人處理你的數據等，無論是年輕時候寫的博客，還是發過的奇怪照片，乃至整個賬號等，只要你想，這些」黑歷史」統統都可以從社交網路徹底刪除；

對於企業而言，社交網路公司在使用個人的數據前，必須徵得其同意，所以，歐盟各大報紙都說此項法律將會重創Facebook Google等科技公司。

通用數據保護條例細則

據了解，GDPR在2016年4月在歐洲議會上正式通過，將完全替代1995年的《歐盟數據保護指令》，該條例被稱為「史上最嚴」。為保障新規的推行，歐盟增設的獨立監管機構——歐洲數據保護委員會也於同一天正式成立。

尚儒客棧公眾號作者寧宇表示，GDPR生效後，大數據和雲服務這兩類企業被GDPR擊中的概率比較高。他指出，根據GDPR的要求，處理個人數據必須要有合法理由和方式，而對於"合法"的定義非常嚴苛。

具體而言，企業要徵得數據主體的同意，而且"同意"必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。

GDPR賦予數據主體可以隨時撤回同意的權利，而且數據控制者應當明確告知用戶現有該權利，並為用戶方便地行使該權利提供便利。

其次，GDPR中明確規定，數據控制者必須以清楚、簡單、明了的方式向個人說明，其個人數據是如何被收集處理的。

個人有權獲得其提供給數據控制者的相關個人數據，且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。

企業「玩火」要付出多大代價？

對於違法行為，GDPR規定了處罰力度。

輕者，處以1000萬歐元或者上一年度全球營收的2%，兩者取其高；重者處以2000萬歐元或者企業上一年度全球營業收入的4%，兩者取其高。

業內人士表示，GDPR實施的第一年，歐盟的罰款收入可達60億美金。

條例對中國企業有何影響

GDPR 將會影響到全球各地的公司，包括為歐盟公民提供服務和商品的中國企業。

中央財經大學副教授劉權接受央視採訪時表示，使用歐盟用戶數據就要守新規，許多人可能認為，如果公司是在中國處理數據，就不用遵守歐盟新條例。但事實上，今後只要涉及到使用歐盟個人數據，中國公司就一定要遵守歐盟新規。

馮堅堅也表示，適用GDPR的中國企業主要有兩種情形：一，在歐盟境內設有機構的中國企業，如其通過該機構開展業務的過程中涉及對個人數據的處理，不管該處理是否發生在歐盟境內，都應適用GDPR；二，尚未在歐盟境內設有機構的中國企業，如其向歐盟境內的個人提供商品或服務的過程中（無論是否收費），涉及對個人數據的處理，也應適用於GDPR。

中國企業應提早意識風險

在荷蘭從事GDPR合規諮詢的資深法律顧問陳紅娟接受採訪時表示，從她目前接觸到的在歐中國企業來看，對GDPR的態度普遍還不是很積極。「很多中國企業現在處於觀望狀態。GDPR開始執行了，到底嚴不嚴？特別是中小企業，不太想花這個合規的成本，如果真的有警告或罰款，就再開始重視。這其實是對風險沒有正確的認識。」陳紅娟說。

GDPR條例的實施，雖然被業界認為是「嚴苛」執法，在筆者看來，嚴格的規章制度背後，是對企業的合規約束，這也是對用戶的一種責任感。

最近數據泄露與濫用的都例子比比皆是，GDPR的到來顯得適逢其會，積極的管控下，相信數據產業會走得越來越好。

觀點：GDPR實際效用有限

南京信息工程大學法政學院副教授 蔣潔

根據筆者對近期全球企業應對GDPR的具體舉措和歐盟相關實踐狀況的觀察，GDPR的實際效用頗為有限，甚至可以推測在很長一段時間內不能發揮出預想中保障用戶數據權益、歐盟數據主權和提振本土數字經濟的作用。

首先，GDPR對跨境互聯網巨頭企業的規製作用較為有限。最初設想中，這部「史上最嚴的隱私數據保護條例」將通過用戶「明確同意」、「被遺忘權利」、「數據使用知情權」等條款強有力地規制美國谷歌、臉書公司等在歐洲地區的數據收集、存儲和使用。然而，目前不少企業更新的隱私條款採用隱性的「同意或退出」的強迫選擇方式要求用戶廣泛、明確地進行授權。（雖然數個隱私權倡導組織已經將針對Google、Facebook、WhatsApp和Instagram的投訴分別提交到法國、比利時和奧地利的監管機構。但是，姑且不論結果，整個過程必然漫漫無期。）

同時，當前國際互聯網巨頭企業的數據安全防護與數據去真處理的技術和程序普遍較為完善。此前在數據收集和使用上暴露出的問題常常是因為「忘記」寫入隱私條款，而不是用戶特別重視數據隱私。（調查顯示，美國居民中迄今尚有半數不知道數據隱私；而針對此次GDPR引發的全球企業隱私政策更新風潮的調查顯示，95%的人在沒有閱讀的情況下點擊「同意」）。GDPR不過是促使這些企業通過冗長的隱私政策將可能違反GDPR規定的內容事無巨細地逐項寫入，進而分門別類地、輕而易舉地取得用戶的「明確同意」，順理成章地履行了合規義務。

其次，GDPR對用戶數據權益保障較為有限。對用戶而言，GDPR使其可以要求企業提供（或授權下載）所有個人數據，享有要求企業告知數據「由誰處理、作何用途」的權利，以及數據泄露72小時內接獲通知的權利等等。問題在於，雖然GDPR要求企業隱私政策使用「清晰而平實」的語言，但目前所見的大量更新條文冗長複雜、包羅萬象，並非普通用戶可以直觀理解，且閱讀長文耗時耗力。這種即便從企業獲得個人數據和數據使用狀況說明、還需要專家解讀的形式意義上的高透明度，對於絕大多數用戶意義不大，導致了僅有5%的用戶閱讀了巨頭企業近期更新的隱私政策。

再次，GDPR難以發揮推動本土數字經濟增長的作用。歐盟居民的日常生活長期依賴海外互聯網產品供給，Google、Amazon、Facebook等壟斷問題嚴重，既威脅區域數據主權、數據產權和數據隱私安全，也制約了本土企業有序成長。理論設想中，GDPR配合歐盟的《數字化單一市場戰略》及其附件，能夠有力支撐歐盟數字經濟攀登全球頂峰。但是，實施前後各方動作顯示，實力雄厚的國際互聯網巨頭企業正在按部就班地推進合規工作。海外受到巨大波及、甚至暫停歐洲區服務的大多為娛樂社交類中小企業、大量知名的新聞網站和閱讀輔助工具等，如loadout、tunngle、Instapaper。相反，歐盟內的絕大多數互聯網企業規模較小，受到較大影響。事實上，超大型跨國企業的合規能力和合規成本都低於中小初創企業。目前來看，GDPR提振用戶數據參與信心的作用有限(絕大多數人不關心)，也未能妥善發揮扶持本土企業發展的間接作用。

據此，在GDPR落地實施的過程中，亟待對隱私政策條款「清晰而平實」的表達方式進行細化規定；對「同意或退出」的隱性強制進行廣泛梳理；對企業在使用用戶數據中保持公平、公正、公開的連貫性做法進行全面的技術規範（尤其是避免各種潛在歧視）。這些也是筆者目前推測的GDPR解釋條款的進一步發展方向。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！