GDPR實施半年多，你感覺到它的存在了嗎？

新年新氣象，元旦剛過請允許我給大家拜個早年~

說話間一年就過去了，回首2018，互聯網領域可謂是翻天覆地：勒索病毒死灰復燃，區塊鏈從「智商稅」搖身一變成為主流產業，人工智慧、人工智障傻傻分不清楚，全民等5G的同時，WPA3也悄悄冒泡刷一下存在感......

但是說到年度網路大事件，有一個詞怎麼也繞不開，也就是本文的主題——「GDPR」，相信不少人都聽說過。

雖然到現在可能依舊有人不知道什麼是GDPR，作為個人，你不知道沒關係，但從企業的角度講，尤其是一些巨頭企業（比如今年像蜂窩煤一樣的Facebook），一準是聽到這名字就頭大。而且這半年以來各位有沒有發現，在各類應用程序的使用過程中突然多了很多推送，尤其是關於用戶協議方面的？沒錯，就是因為GDPR。

什麼是GDPR

這東西的名字很無聊，GDPR（General Data Protection Regulation）——通常被翻譯成「通用數據保護條例」。由歐盟在2016年推出，但直到今年也就是2018年5月25日才正式生效，被稱為「史上最嚴數據保護條例」。儘管在法律框架內，GDPR僅僅適用於歐盟各國，但實際上，任何參與到國際貿易的企業都可能會涉及到它，這也是為什麼多數甚至不在歐洲的企業提及GDPR時也會菊花一緊的原因。

這個條例與以往的有什麼區別？

劃個重點：

1.用戶必須可以隨時查看、更改、刪除下載自己的相關數據；

2.企業在收集用戶數據之前必須與用戶簽訂相關協議；

以及重新定義了一些隱私數據的範圍和動輒讓人傾家蕩產的處罰機制。

總而言之，言而總之，這個條例就是為了保證

用戶對自己的數據具有完全的控制權

怎麼說呢，這些條例都還是有道理的，現在的互聯網講究一個大數據，你收集我的數據那必須得讓我知道。比如說，我今天早上看了場NBA，然後某電商平台就瘋狂給我推球鞋球衣，這得讓我知道是為什麼；再比如說，我在網上搜了「1024」、「Poxxhub」、「91」之類的關鍵詞，你得讓我能找到並且能刪掉，不然回頭女朋友看到了我怎麼解釋？

所以說，這個條例的出發點是正確的。

當然，16年出台的，18年才實施，也是給了各大企業充足的準備時間（意思是之前有啥幺蛾子的這兩年趕緊處理了，別回頭怪我沒提醒你）。5月25日的deadline之前，各大公司的準備工作可謂是空前高漲，內部管理、數據調整、政策改動、員工培訓......

那為什麼所有企業都會談GDPR色變呢？

究其原因還是處罰力度太大。大到什麼程度？違規行為輕的交1000萬歐或者企業全年營收2%，行為重的交2000萬或全年營收4%（哪個數額大取哪個）。可能很多人不明白2%或4%到底是個什麼水平，簡單來說，很多公司全年的凈利潤基本都到不了4%。（一不留神可就是一年白乾）

因此也就有了下面這張圖，來自律師的忠告：如果你無力反抗，那麼就放開了享受吧。

一個簡單的栗子

知名歐洲電話零售商（Carphone Warehouse、Currys PC World和Dixon Carphone），在2018年被爆出數據泄露事件，大約950萬用戶銀行卡信息泄以及120萬個人信息遭到泄露。而這家倒霉公司早在2015年就已經因為泄露用戶數據被罰過一次款，當時被罰了40萬英鎊。

而這次事件由於發生在GDPR生效之前，所以也不確定是否會根據新條例來裁定。如果按照以往的條例，罰款最多50萬英鎊，但若是根據GDPR規則，罰款可能高達4.2億英鎊。

所以在GDPR剛生效的時候，部分企業的網站和服務立即屏蔽了歐盟地區的行為也就能說得通了。例如，Tronc旗下眾多知名網站包括《紐約每日新聞》、《洛杉磯時報》、《奧蘭多哨兵報》等，直接就屏蔽了歐洲地區，也不知道歐洲讀者們看到這個界面的時候是什麼心情。

開門紅

GDPR作為本次事件的主角，也著實沒有讓人失望，在剛剛生效的第一天，就出現了「批鬥」目標。法國、比利時、德國、奧地利等國家的監管機構收到了四起訴訟，分別是針對Facebook、及其旗下的Instagram、WhatsApp，和Google的Android系統，四者被指控強迫用戶共享個人數據，並且谷歌還通過系統中應用的各種功能採集用戶定位數據，並且未向用戶提供相關信息。

按照GDPR規則的計算，若監管機構認定訴訟成立，則谷歌的母公司Alphabet將面臨最高37億歐元的罰款，而Facebook和兩家子公司也將面臨共計39億歐元的罰單。

當然，兩家企業不可能就這麼坐以待斃，均對指控提出了質疑和否認，認為他們當前的措施足以滿足GDPR的要求。當然，這一事件也仍然沒有結論，最終是監管機構打臉還是兩家企業認慫，我們的瓜還可以慢慢吃~

實際的第一例罰款

來自於2018年11月20日的一條新聞：

德國知名社交網站Knuddels因被黑客攻擊從而造成了約八十萬封電子郵件和超過一百八十萬的用戶數據泄露，其中33萬封郵件得到了驗證。經過調查後發現，該網站沒有對密碼之類的敏感信息進行任何形式的加密保護，而是直接以明文形式存儲。

最終，Knuddels網站被監管機構根據GDPR條例罰款20000歐元。

......

是的，只罰了兩萬歐，沒有少個零，也沒有分期付。

對此官方給出的解釋是：在計算問題嚴重程度時，需要考慮受影響的人數、問題的性質、有關訴訟、預防措施、與當地監管部門的合作、違規記錄以及數據保護人員的通知行為等等諸多因素。

嗯，實施剛剛開始，似乎就引發了無休止的爭論。但至少通過這則新聞，我們又知道了GDPR也是靈活多變的。

數據泄露年 or 數據保護年

屋漏偏逢連夜雨，正當新法案風風火火「上任」時節，世界各地也是安全事件頻發：

3月，Facebook用戶8700萬條數據被泄露和濫用；

3月，知名運動品牌Under Armour約1.5億用戶數據通過手機程序MyFitnessPal泄露；

5月，國泰航空因黑客攻擊導致540萬用戶數據泄露；

8月，華住旗下多家酒店用戶信息在暗網出售，總量近5億；

8月，順豐用戶數據被掛在暗網出售，涉及3億用戶；

9月，英國航空公司38萬用戶數據遭到泄露；

11月，萬豪酒店被曝約5億用戶數據泄露；

12月，陌陌3000萬用戶數據泄露並遭到售賣；

......

因為事發時間與新聞曝出時間存在一定的間隔，所以基本上多數收到影響的企業都需要經過一番GDPR的洗禮，具體怎麼處理，還需要經過調查核實後我們才能知曉。

可以確定的是，作為史上最為嚴厲、最為翔實的一部保護數據安全法規，對當前愈演愈烈的信息安全問題來說無異於一劑猛葯。如同一頂緊箍咒，在安全層面上，將企業套牢。

但凡事皆有兩面性，不能因為光芒太盛就忽略了陰影的存在。從廣義上來說，過於嚴苛的保護條例以及高額的罰款必然會讓一部分企業望而卻步，就此放棄歐洲市場，這對原本就處於經濟下滑期的歐盟來說也是無法承受的結果。狹義上講，在GDPR的實施範圍內，不同國家不同地區的法律法規也各有不同，並且其條例本身也仍然存在一些爭議。因此在不論是普及或是實施階段，都將面臨著不小的挑戰。

總的來說，在數據保護層面，GDPR的出現代表著世界安全意識的進步。但究竟在未來會產生什麼影響，我們誰也說不準。但總要有第一個吃螃蟹的人，無論他的成敗得失都將成為我們後來者學習和借鑒的榜樣。

*

本文作者：Karunesh91，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！