無人倖免，史上最嚴數據保護條例GDPR來了

5月25日對於全球的互聯網企業來說都是個大日子，儘管這一天並非是什麼紀念日或節日，而是有著史上最嚴苛的數據保護條例——GDPR正式生效的日子。所謂GDPR是歐盟《General Data Protection Regulation》（通用數據保護條例）的縮寫，這一條例早在還未行使之前，就以管得寬、分得細、罰得狠著稱，在業界也被認為是對歐洲地區展開業務的互聯網企業套上了「緊箍咒」。

這份「緊箍咒」都說了點啥？

這份讓全球互聯網圈抖三抖的條例是歐盟「1995年數據保護條令」的繼任者，其主要內容是進一步擴大對歐盟境內居民個人數據和隱私的保護，並通過統一數據和隱私條例來簡化對跨國企業的監管。

之所以GDPR會被稱為史上最嚴的數據保護法規，其問題就是因為這個「進一步擴大」上。其實用進一步形容並不準確，應該用「空前」來描述比較合適，根據GDPR的適用範圍來說幾乎可以稱得上是大到沒邊了，根據其「數字空間沒有國境線」的指導思想，在歐盟範圍內只要數據處理行為與歐盟公民有了聯繫，就適用於GDPR。

這對於互聯網公司來說，可就太嚇人了。傳統意義上根據屬地原則，只要互聯網企業的數據處理行為不發生在歐盟，歐盟就無權進行監管，但是在GDPR條例中規定，只要客戶中有歐盟公民，其監管機構就可以依據GDPR對相關企業進行管制。

如果說適用範圍的擴大化讓企業無所適從，那麼違反GDPR的結果可能就更令其畏懼。根據該條例規定，如果監管機構發現了違規行為，最高可罰款2000萬歐元或企業上一財年全球營業總額的4%，並將以較高者為準，這無論是對於跨國巨頭，還是中小互聯網企業來說都是相當可怖的處罰了。

比方最近深陷泄露用隱私的Facebook，其2017財年的收入是406.53億美元，如果關於劍橋分析的醜聞是在本周曝光，其可能就要面臨近16.3億美元的罰款。如果真要被罰這麼大一筆，估計小扎同學也肯定是會不好過的。

對個人無限友好的背後，是難受的企業

大公司吐血，小公司可能就直接要gg了。如果你是一名來自中國的獨立遊戲開發者，發售一款售價10美元的小遊戲走了在全球大賣100萬份的情況下（雖然可能性比中彩票低），那麼一旦被歐盟監管機構認定嚴重違反GDPR的話，就意味著除了血本無歸之外，可能還會倒欠歐盟大筆的債務。

當然上述的例子是最極端的狀況，但在GDPR實施不到一周的時間裡，已經有多家中小遊戲開發商宣布不再對歐洲地區的用戶提供服務。因為，如果要切實遵守GDPR的需求，在成本與收入方面的嚴重不對等，也使得其更寧可放棄這一市場。

相比於承受能力弱的小企業而言，大型科技公司在面對GDPR時則顯得更遊刃有餘。根據普普華永道會計師事務所的調查數據顯示，68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規性要求，另有9%的企業預計將花費超過1000萬美元。

這點錢可能對於蘋果、谷歌、Facebook這樣的巨頭而言，可能連個水花都算不上，而憑藉著自家的體量優勢和較為完備的流程，GDPR反而可能會是一個利好消息。因為在全行業內只有大公司有餘力做合規工作，並且GDPR也使得其可以合法的將用戶數據隱藏，再加上所擁有的龐大用戶群，也使得規模較小的競爭對手更加無力反擊。

總的來說，GDPR對於互聯網企業的影響可以說是一半海水一半火焰，但對用戶而言則是絕對的好事。這一次，GDPR在老生常談的隱私保護上有了飛躍，給予用戶兩項全新的個人隱私權——「刪除權」和「數據可移植權」。

刪除權是對被遺忘權的加強版，之所以是強化版就是因為用戶可以使用全新的刪除權，在要求數據控制者採取所有合理的方式刪除個人信息的基礎上，進一步要求數據控制者通知涉及到所有關於你的個人信息的其他第三方，甚至在理想狀態下，可以實現抹去個人在網路上的全部足跡。

而數據可移植權則能讓你隨心所欲的管理個人信息，用戶可以要求Facebook將個人數據打個包轉移到Twitter上，而無需進行額外的付費，這也就意味著在未來你甚至可以只使用一賬號就能夠享受各互聯網公司的服務了。

理想很豐滿，現實很骨感

儘管GDPR的條款之豐富完備、處罰力度之大，但其未來的前景卻依然不太好說。事實上，就GDPR落地這短短几天的效果來看，副作用相當之明顯，甚至外界有觀點表示其幾乎將歐洲與世界之間挖出了一條壕溝，許多歐洲用戶發現已經有為數不少的海外網站已經只顯示404了。

歐洲人的不適感肯定是拍馬也趕不上大數據從業者的，其中特別是對於從事AI雲計算產業方向。事實上目前的AI演算法、雲計算建模在Github上是一抓一大把，但為啥谷歌的阿爾法狗就比初創企業的AI強一萬倍呢？答案是谷歌擁有一個令人羨慕的用戶資料庫，AI的演算法雖然必不可少，但基於大數據進行深度學習才有可能鑄就AI的強大。

當然了，對用戶來說也並不是沒有好處，起碼在收集不到歐洲用戶的數據之後，基於長尾理論進行精準投放的互聯網廣告公司就要歇菜了，畢竟都沒有用戶數據給你分析的情況下，又怎麼進行建模呢？

最關鍵的一點就是，目前的GDPR依然不是完整的，由於其條款中大量出現模稜兩可的表達，因此它在實踐中如何運作將取決於監管機構的態度。但是目前歐盟的監管機構對於接到數據泄露時間之後，該怎麼去做暫時可能還是一頭霧水；並且由於互聯網產業的特殊性，GDPR對歐盟之外的中小企業的約束力是存疑的，權衡2000萬歐元的罰款和以後再不去歐盟地區發展業務，對於大家來說也並不是個很難的選擇題。

至於GDPR除了將改變業界對於個人數據的處理模式之後，還將會對全球的互聯網生態還會造成什麼樣的影響，可能就只有等待時間來給出答案了。

【本文圖片來自網路】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！