中國公司歐洲新挑戰：遭遇史上最嚴數據保護法

歐盟在第一年將可能收到60億美元的罰金。這60億美元的罰金會有來自中國公司的「貢獻」嗎？但願不會有。

（資料圖 來自網路）

《財經》記者 周源 特約撰稿人 何芊樾/文 謝麗容/編輯

5月25日，歐洲居民一覺醒來發現，他們被芝加哥論壇報和洛杉磯時報等一些美國知名新聞網站暫時屏蔽了，點開網站首頁時，顯示出的只有一則暫停使用的通知。造成這一改變的原因在於5月25號正式開始實行的歐盟《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）。

GDPR被稱為有史以來最為嚴格的數據保護法規。作為一項強制性法律，它保護的是自然人的「個人數據」，包括姓名、地址、生日、信用卡、銀行、醫療信息、位置信息、IP地址等等。

任何在歐盟設立機構的企業或向歐盟境內提供產品和服務的企業，在處理歐盟境內個人的數據時都受到GDPR的約束，除非放棄歐盟5億發達人口市場。

如果違反GDPR，企業最高將面臨高達全球年營收4%或者2000萬歐元（約1.5億人民幣）的巨額罰款（兩者取其高）。

不過，巨額罰款僅是一方面，上市公司們如果被發現在個人數據保護方面有失職甚至「失德」行為，必將面臨股價和聲譽的雙雙「跳水」，Facebook即是前車之鑒。

國外的大企業們早已行動起來應對GDPR。例如，蘋果停止了在其機器學習和AI系統開發中使用用戶數據；微軟為GDPR項目投入了1600多名工程師；Facebook將約15億用戶的註冊地從愛爾蘭轉往美國，來實現GDPR的合規；Twitter關閉了Poku、Android TV和Xbox版的Twitter應用。

一些中國公司同樣對GDPR嚴陣以待。一位中國知名互聯網公司法務告訴《財經》記者，該公司半年前開始根據歐盟GDPR標準進行產品合規的改造與升級。「據我所知，中國其他一些大的互聯網公司也是如此。」她說。

華為25日官網上貼出公告，稱其內部審計部門完成了全面的技術和流程的審視，確保相關業務遵從適用的GDPR要求。而且，華為所有業務單元均設置有專職的隱私相關的角色和/或組織。根據GDPR的要求，該公司還任命了歐盟數據保護官。

阿里雲表示已從平台、系統、產品、服務、合規、流程、政策等方面，全面按照該要求持續進行數據保護與相關服務改進，相關工作已經準備就緒。阿里雲尤其強調，該公司已為客戶提供賬號刪除功能，全球客戶可以自助操作完成。

GDPR側重「自然人的基本權利和自由，特別是數據主體的權利」，尤其是「數據的被遺忘的權利/刪除權」，是否提供賬號刪除服務也成了是否符合GDPR的最顯著標志之一。

京東法律研究院甚至編撰了國內第一本GDPR專著：《歐盟數據憲章-GPDR評述及實務指引》。

但並非所有受GDPR約束的中資企業都有實際行動。安傑律師事務所IT和數據業務合伙人楊洪泉告訴《財經》記者，從其服務的涉歐企業來看，雖然大部分企業對於GDPR的適用範圍和違反GDPR可能導致的巨額罰款比較清楚，但仍有些企業對於GDPR的域外效力（即能夠管轄遠在中國的企業）半信半疑，仍在觀望。

還有一些公司是低估了業務合規改造的複雜度，導致實際上並未在25日之前完成改造。

「這是個系統化的問題，先要找出在什麼環節可能會遇到什麼問題，再制定系統化的調整方案，然後要求IT部門執行，其後還要定期給相關人員做培訓，是個需要調動各部門聯動的任務，很複雜。有的公司理解不夠，覺得我寫個公告就完了，但是事情並不是這麼簡單的。」英國3HR律所董事李海巍向《財經》記者解釋說。

李海巍主要負責中資公司在英國的業務。據他介紹，大部分駐英中資公司是近三五年才來到英國，管理層的主要精力還在建立業務結構上，可以說在最忙的時候遇到GDPR，因而比較被動。

即便是歐洲本土公司，也為GDPR合規做出大量準備。芬蘭AI教育公司Claned的 COO Kalle Lehtinen告訴《財經》記者，為了達到合規標準，他們一方面審視內部流程，針對相關環節做出技術解決方案並改進；另一方面，他們也對用戶協議進行了更新。「我們已經投入了數月的時間來適應新的法規，也花費了大量的精力來培訓我們的員工，」Kalle說。

Kalle認為難點在於，新規要求在流程中建立必要的控制措施，從而能夠記錄「一切操作（everything）」，以證明數據處理是按照GDPR完成的，而這個工作量巨大。此外，去徵求客戶同意必要的數據處理協議也是一個難點，因為有些客戶遲遲沒有完成同意協議的升級這一步。

但無論處於哪一狀態的中資企業，無論是中國企業還是外國企業，沒有誰真正有十足的把握表示已經徹底準備好。從《1995數據保護指令》34個條款發展到99條，GDPR創建了大量的新概念、新原則、新權利，導致產生許多爭議和尚待細化的領域。

「2016年GDPR立法文本的正式通過，並不意味著制度規範都已成熟，相反，秩序建設才剛剛拉開序幕，面臨挑戰的不僅是GDPR的適用對象，也包括GDPR本身。」騰訊研究院數據保護法律法規資深研究專家王融說。

楊洪泉認為，中國企業所面臨的挑戰還包括，如何在滿足GDPR要求的同時接駁中國的網路安全法及其配套法律法規、以及《個人信息安全規範》的要求。儘管中國《網路安全法》已出台，但仍有部分配套法規尚未最終落地（例如《個人信息和重要數據出境安全評估辦法》），這亦給企業的合規實踐帶來不確定性。

市場調研公司Ovum的一份調查報告顯示，52%受訪的IT決策者預計GDPR將導致他們公司收到罰款。管理諮詢公司奧利佛.懷曼（Oliver Wyman）則預測，歐盟在第一年將可能收到60億美元的罰金。這60億美元的罰金會有來自中國公司的「貢獻」嗎？但願不會有。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 財經雜誌 的精彩文章: