歐盟開槍，誰會成為GDPR的槍下鬼？

寧宇

2018-05-20 09:59收藏5評論0企業服務

5月25號，也就是幾天後，《歐盟數據保護通用條例》（General Data Protection Regulation，簡稱GDPR）就正式實施了。從2016年發布至今，兩年的過渡期轉瞬間就過去了，數字化企業大佬們有沒有做好準備，在GDPR的槍口下，全球性的企業能在歐盟合法地做生意嗎？

GDPR對數據隱私的部分保護條款有悖我們的"常理"，所以更需要企業領導以及產品業務的設計者學習了解，哪些行為違規，哪些動作存在風險。雖說法律工作者提供了非常詳細專業的解讀和分析，也給出了不少應對的策略和路徑，但是對於絕大部分中國企業來說，對於GDPR的重視和理解程度仍不充分。

尤其是準備積極投身全球市場的互聯網企業，國內對野蠻生長的寬容以及企業自身的快速發展掩蓋了很多問題，年輕的他們還不太理解"合規經營"的分量，以及違規的風險。而GDPR里很多的規則涉及到了互聯網數字化企業經營的核心，GDPR生效後，個人以為：大數據和雲服務這兩類企業被GDPR擊中的概率比較高。

今天先探討下大數據的情況。既然是數據保護方面的法規，大數據企業在中槍排行榜的排序是相當靠前的。這不僅包括從事數據採集、數據處理、數據分析以及數據呈現的企業，甚至包括大數據的使用者，也可能中槍。

相關的條款非常多，這裡我只挑幾個可能性比較大的說說：

1. 對於「合法」的定義非常嚴苛

根據GDPR的要求，處理個人數據必須要有合法理由和方式，而對於「合法」的定義非常嚴苛。

首先，必須事先徵得數據主體的同意，而且"同意"必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。比如國內企業常用的，以小字型大小淡顏色甚至預設方式獲取用戶的授權，通過冗長晦澀的隱私政策來獲取用戶同意，或者讓用戶在簽訂業務協議時通過"打勾"作出一攬子授權，都可能被認定為違規。

那麼如果企業將數據使用的範圍擴大了呢？無論是將數據提供給了第三方，還是把數據作為企業對外服務的一部分（比如提供給廣告企業作為營銷推廣對象，或者作為對外發布的報告中的案例），都必須重新獲取數據主體的授權和同意。

其次，GDPR賦予數據主體可以隨時撤回同意的權利，而且數據控制者應當明確告知用戶現有該權利，並為用戶方便地行使該權利提供便利。用戶提出撤回之後，就意味著用戶不再"同意"，企業再使用這些數據就是違規的了。

企業經客戶同意後獲取了數據，但用戶後悔了，提出刪除要求，企業就要從浩如煙海的數據里找到相關數據（包括原始數據以及基於這些數據處理之後的信息）並刪除。不僅如此，如果這組數據已經傳播出去，或者給第三方使用了，這個企業還有責任通知數據的使用者刪除。

還有，在處理兒童個人數據時，必須獲得其父母或者其他監護人的同意。這個舉證行為責任在於數據控制者，真產生糾紛的時候必須由數據控制者提供證據，來證明其從監護人那裡獲得了"同意"。這意味著如果和企業打交道的是熊孩子，企業就得先識別出來他是兒童，再從父母或者監護人那裡或者正式的確認證據，才能進行下一步操作。

2. GDPR中明確定義了數據主體的權利

GDPR在為個人有效行使權利提供法律保障的同時，也對企業處理和使用數據提出了苛刻的要求。

首先，數據控制者必須以清楚、簡單、明了的方式向個人說明，其個人數據是如何被收集處理的。這些信息不僅包括數據控制者的身份和聯繫方式、數據的接收者或數據接收者的類型、還要包括個人數據的保留周期以及採取該周期的理由。如果涉及自動化的數據處理，包括數據畫像等活動，還需要提供基本的演算法邏輯以及針對個人的運算結果。

敲黑板，看重點：那些拿客戶數據打標籤做畫像的，要提供基本演算法邏輯和運算結果。

其次，個人有權獲得其提供給數據控制者的相關個人數據，且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。如果技術可行，數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。

還好，有"技術可行"四個字，否則如果用戶提出要求："把我在京東上的購買記錄同步到淘寶上"，而後台京東和淘寶就要聯網對接實現數據的自動搬遷。而第二天用戶提出反向的要求之後，兩家公司還得攜手把數據搬回去。

還有更可怕的規則：當用戶依法撤回同意，或者控制者不再有合法理由繼續處理數據等情形時，用戶有權要求刪除數據。如果控制者將個人數據進行了公開傳播，應該採取所有合理的方式予以刪除，控制者有責任通知處理此數據的其他數據控制者，刪除關於數據主體所主張的個人數據鏈接、複製件。

控制者不僅要刪除自己所控制的數據，還要承擔對其公開傳播的數據進行處理，互聯網的世界如此開放，要確定並通知所有的第三方停止利用並刪除，這幾乎是不可能完成的任務。然而這確確實實是GDPR的條款，雖然條款裡面還有可迴旋的餘地，但足以讓那些基於"數據+傳播"開展精準營銷等業務的企業不寒而慄。

這個條款之下，更可憐的是那些使用數據的企業，他們並不是直接獲取數據的，所以並不知道從別人那裡買過來的一坨數據和信息中，那些可能會因為客戶的撤回而必須刪除；而如果他們也只是數據加工企業，還要承擔責任去告知他們的客戶，把哪些數據和內容刪除處理。如果這是一串依託數據開展運營的企業，那麼真難以想像一個用戶刪除信息的要求，會導致什麼樣的連鎖反應。

3. GDPR其他規則需要關注的問題

直接交易客戶因素數據肯定是違法的，所以很多玩大數據的企業，現在都是通過與其他企業合作獲取數據和信息，然後將這些數據留存後，並與別的數據進行整合，產生出新的價值。然而這種方式與GDPR的規定衝突極大。

鋌而走險的代價會多大？

對於違法行為，GDPR並沒有設置具體的罰金幅度，而是設定兩個檔次的最高金額限制：

1）輕者處以1000萬歐元或者上一年度全球營收的2%，兩者取其高；

2）重者處以2000萬歐元或者企業上一年度全球營業收入的4%，兩者取其高。

什麼是輕？違反隱私保護設計，以及默認隱私保護，沒有實施充分的IT安全保障措施、違反數據泄露通知要求，屬於能力問題。

什麼是重？違反數據處理原則，數據處理沒有合法基礎，違法同意要求，侵害數據主體的合法權利，屬於態度問題。

這麼嚴苛的規則和罰則，足以把違規者罰死。有報道分析，GDPR實施的第一年，歐盟的罰款收入可達60億美金；如果真抓著一個大傢伙，這個數字顯然過於保守。

那麼惹不起，能躲得開么？

GDPR的實施範圍可以從兩個維度來看。

首先，是成立地在歐盟的機構必須遵循GDPR，無論數據處理的活動是否發生在歐盟境內。

其次，成立地在歐盟以外的機構，只要其在提供產品或者服務的過程中，無論是收費還是免費，只要處理歐盟境內個體的個人數據，就必須遵循GDPR。尤其是後面這條規則，意味著無論你是不是把伺服器放在了歐盟里，只要你為歐盟範圍之內的客戶提供服務，就在GDPR的管控範圍內。

看起來在歐洲做大數據生意，難度越來越大。那如日中天的雲服務，在歐洲開展業務時遇到GDPR時，會不會出師未捷身先死？下一篇談談這個話題。

俊傑評論：看互聯網公司心裡有沒有鬼就看他敢不敢在歐洲經營。

默克爾訪華談什麼？重點還是自由貿易！

作者：曾心怡

2018-05-20 09:48

默克爾周六表示，訪華期間將與中方討論互惠市場准入、知識產權保護等貿易問題，並希望在全球對貿易保護主義的擔憂日益加劇之際，推動加強多邊主義。

5月24日至25日，德國總理默克爾對中國進行正式訪問。這將是默克爾開啟第四任期以來首次訪華，也是她任總理來第11次訪華。

5月19日周六，默克爾在以「對話塑造德中關係」為題的視頻中表示，訪華期間將與中方討論互惠市場准入、知識產權保護等貿易問題，努力爭取令德中兩國在自由貿易方面成為盟友。

據路透社介紹，多年來，德國企業一直對中國市場壁壘和知識產權問題頗有微詞。

默克爾稱，兩國均遵守世貿組織（WTO）規則，並希望在全球對貿易保護主義的擔憂日益加劇之際，推動加強多邊主義。

討論加強多邊主義將在德中會談中扮演一定角色。

此外，雙方還將討論雙邊關係、法律、中國的發展狀況、經濟以及其他國際事務。

除北京外，默克爾還計划到訪深圳。她表示，中國的經濟開放政策由深圳起步，許多德國企業總部也位於深圳，因此她十分有興趣訪問這座有活力的城市。

Facebook和百度：互聯網巨頭能保護好用戶隱私嗎？｜劉遠舉

2018-03-27 21:07

隱私

「

當公眾覺得被這個論述冒犯時

實際正意味著中國人隱私意識正在提升

」

文 | 劉遠舉

上海金融與法律研究院研究員

1900餘字，閱讀約需4分鐘

近日，「劍橋數據」使用Facebook用戶數據干預政治的話題愈演愈烈。而在中國高層發展論壇上，百度CEO李彥宏的一番話在中國也引起廣泛關注。

大數據時代，人們能夠獲取的信息是否更加全面了？數據公司獲取用戶隱私的底線在哪裡？人們又能如何保護自己的隱私不被泄露乃至利用？

李彥宏在中國高層發展論壇上針對用戶數據隱私的問題表示，「我想中國人可以更加開放，或者說對隱私問題沒有那麼敏感，如果他們願意用隱私交換便捷性、效率的話，很多情況下他們是願意的。」這番話隨即在社交媒體上刷屏，引發輿論爭議。

就在上周， Facebook 「數據門」引起的軒然大波， Facebook 股價大跌，推特上掀起」刪除 Facebook 」運動，一眾科技公司大佬也爭相表明自己的態度。而相比歐美互聯網公司在數據上面臨著各種監管，在中國的互聯網公司的確獲得了比較大的數據空間。所以，李彥宏這番話會被視為對消費者隱私與數據的不尊重，所以，不難想見引發的反感。

不過，實事求是的說，李彥宏的話被斷章取義了。

在會上，李彥宏首先肯定了數據在這個時代的重要作用，「網上能搜到的數據只佔數據總量的20%，還有80%在企業手中，如果能把更多數據放在一起，實現的能力就會指數級上升。」同時，李彥宏指出「但是與此同時，我們也非常重視隱私問題，與大數據的保護問題，在過去幾年當中，中國也越來越認識到這個問題，而且，一直在加強相關的法律法規的建設。」「我們就可以用數據做一些事情，但我們要遵循一定的原則，如果數據會使用者收益，他也願意，我們就會去做，這是我們的基本原則，這就是什麼該做的，什麼不該做。」

所以，李彥宏這段話完整的來看，並沒遺漏隱私與個人數據保護。而且，更重要的是，即便是他所謂的「中國人願意用隱私換便捷、換效率」，客觀的說，是一個大實話。

從技術上看，現在的信息技術下，方便性必然建立在個人數據上。瀏覽器不用填密碼，就得打開cookies；輕點滑鼠購買物品，必然要交出自己的姓名地址、購物歷史偏好；用APP引導自己鍛煉身體，伺服器沒有積累的過往身體數據，就無法指導；打車，不給出目的地，打車軟體就無法安排；吃飯用手機付款的時候，沒有實名信息，就無法支付。如果要優惠券、要精確推薦，則需要交出自己的消費歷史記錄；網路交水電費，的確方便，但由耗電量，就透露了家庭的收入水平；新聞類APP，精準推送自己喜歡的內容，則意味著以前看過的東西被記錄下來。

面對這樣的場景，在信息與方便之間選擇時，中國人並不在意自己的數據，的確願意用隱私去換方便。這是因為，在很多可以選擇的場景下，中國人也幾乎沒有猶豫的選擇了方便。

地鐵裡面用手機刷票進入，或者用人臉識別進入，這很方便，但同時，個人的行蹤就成為伺服器上的數據，但用交通卡則不會泄露個人數據；支付的時候，如果用現金，則不會留下個人數據，無現金支付則會。實際上，中國人並不在意這一點。某種程度上，這是中國的互聯網紅利。

前段時間，不少人嘲笑香港，沒有用上無現金化的支付方式。實際上，香港有成熟的八達通體系。八達通是一種非接觸式智能卡，放在接收器上即能完成付款過程，可在充值機、商店付款處或用信用卡、銀行賬戶充值，非常方便。更重要的是，八達通是匿名的。所以，嘲笑香港落後、老土的輿論之所以能成為潮流，一個很重要的原因就是隱私並未納入大多數國人的考慮範圍。中國人的社會意識中，隱私這根弦很松。

某種程度上，隱私的需求，源於對自由的需求，是自由的一種，即我做自己的事，「你不要打擾我」，「你不要看到我」，「你不要監視我」的消極自由。對自由的需求與對安全的需求，永遠是對立的。所以，觀察中國人在自由與安全之間的選擇，也可以從另一個角度測度中國人對隱私的需求。

比如，街頭新增了幾個攝像頭，中國人肯定是歡迎的；高鐵嚴格的實名制，的確極大的提升了火車的安全，中國人也是歡迎的。當這些一定給程度上損害自由，但帶來更多的安全，與讓人更守規矩的時候，中國人是歡迎的。

所以，李彥宏的話，未必是錯的，是一個大實話。不過，有意思的是，當公眾覺得被這個話冒犯了的時候，實際上，正意味著中國人隱私意識正在提升。

中國人有著集體主義的傳統，計劃經濟時代，單位掌控一切，從工作到家庭個，從避孕套的大小、多寡，到家庭糾紛，生兒育女，單位負責一切。由於單位分房的熟人群居模式，任何一家的瑣碎事情，都會迅速傳播開來。在這種場景之下成長、生活的中國人，自然缺乏隱私的意識。更重要的是，個人相對於組織的非獨立性，在思想意識上，也是扼殺個人隱私意識的。所以，從傳統看中國人的隱私意識的確較低。

但是，隨著新一代中國人的成長，物質條件的充裕，也讓他們成長在更加獨立的空間中。單位與組織的消散，大城市中獨立的生存，都使得他們更注重自我，更具獨立意識。因此也更具個人隱私與個人數據保護意識。

中國的立法緊跟了這一趨勢。2017年6月1日，《中華人民共和國網路安全法》正式施行，該法明確加強了對個人信息的保護。但社會是一個複雜的系統，法律並不能解決一切問題，還需提升社會意識。從公司層面看，能力越大，責任越大，互聯網巨頭們，不但有義務遵守網路安全法，同時，在提升消費者隱私保護意識方面，也應該積極主動的承擔更多教育、引領消費者的責任。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！