GDPR全球加速：四大應對策略盤點

GIF

GDPR全球加速 製圖：吳艾佳@黑獅

GDPR自5月25日生效以來，引起全球範圍內的關注，並在互聯網、數字廣告、大數據等多個領域引起震動，人民網、新華網等多家國內媒體也對此做了大量報道。但目前，仍有不少創業者認為：只要不涉及歐盟業務，就可以不用擔心GDPR的影響。

實際上，GDPR帶來的波動遠超歐盟範圍，根據GDPR條例規定，不僅業務在歐盟範圍內的企業，所有涉及歐盟用戶數據收集的企業都受到GDPR條例管轄。換句話說：無論位於何處，企業一旦涉及到歐盟居民的數據，就受到GDPR的管轄。

舉個例子：假設有位歐盟居民前往東南亞旅遊，並在當地應用市場下載了某款短視頻或社交應用；若是這款應用未能按照GDPR要求處理用戶隱私數據，可能將面臨4000萬歐元或全球營收4%的高額罰款。

事實上，GDPR的影響遠不止如此，作為目前「最嚴」數據保護法，GDPR標誌著世界範圍內數據隱私保護監管進程的加快。

THE TAKEAWAY

? 在查閱了全球近60篇GDPR相關文獻後，黑獅列出了4項有代表性的企業應對措施：

1，暫停歐洲用戶訪問

2，誘使用戶同意

3，更新隱私條例

4，推廣至全球用戶

隱私保護愈演愈烈

GDPR一躍成為全世界各個國家和地區立法和法律條款修訂的催化劑和標杆。自2016年GDPR公布以來，多個國家和地區都先後提出相關的網路數據管理條例或法案，特別是在隱私保護領域，大有「星星之火，可以燎原」之勢。

各國隱私法律表格製作：吳艾佳@黑獅

縱觀全球立法形勢，數據隱私保護的監管網路已經逐漸形成，並且進程在不斷加速。歐美髮達國家，如加拿大、澳大利亞等，往往會根據數字化、網路化的現狀，對已有的隱私法進行修訂和補充，從而更好地保護數字化互聯網時代下個人信息。對於新興發展中國家來說，發達地區現有的法律條文（如GDPR等）為之提供了立法的借鑒，進一步刺激並加快其隱私保護的進程，例如印度已在起草第一部隱私法律。

隨著全球隱私保護浪潮的愈演愈烈，相關管理條例和監管措施將逐步蔓延到多個出海目標市場。因此，無論是GDPR亦或是其他地區性法律，創業者都很有必要了解其細則和應對措施。

企業應對，各顯神通

黑獅總結了目前各個企業應對GDPR的幾種策略，以作參考。

1.「緩兵之計」——暫停歐洲用戶訪問

「緩兵之計」策略指企業因GDPR實施而採取的暫停歐盟地區業務的策略。採取這一策略的企業較多的是由於難以在最後期限的時間內達到GDPR的要求，通過暫停提供服務延長準備時間。但也有部分美國企業對GDPR採取抵抗的態度而停止歐盟地區的服務。

在5月25日GDPR正式開始實行後，美國的新聞網站及出版公司，包括theChicago Tribune, the Los Angeles Times, the New York Daily News, the OrlandoSentinel and the Baltimore Sun, the Arizona Daily Star，the St. Louis Post Dispatch等都停止了歐洲用戶的訪問。其中，LeeEnterprise公司的公告顯示：「很抱歉，網站暫時無法訪問。我們發現您來自歐洲經濟區（EEA）並正試圖訪問網站，由於GDPR條例的限制因此暫時無法允許您的訪問。」同樣地，在洛杉磯時報官網也顯示了類似的公告。

the Los Angeles Times網站上的聲明

而Pinterest旗下的新聞剪報服務平台Instapaper服務負責人在推特上表示「由於低估了工作範圍而不得不暫停服務」。而電影電視評論軟體Stardust為規避GDPR的風險，採取了從 Google和蘋果應用商店下架產品並徹底刪除歐洲居民的記錄的方式。

Instapaper服務負責人對網友提問的回應

而另一方面，這一策略也會帶來負面影響，如引起其他地區用戶對企業數據收集行為的質疑。以Yeelight智能燈具為例，由於Yeelight因GDPR條例而暫停了歐洲地區的服務，導致國內用戶對其數據收集和使用行為產生質疑。此時，若企業忽視用戶的質疑而未對此作出合理解釋，將會損害企業形象，影響消費者對企業的信任。

中國用戶對Yeelight暫停對歐盟用戶的服務的反應

總結：這種停止歐洲居民訪問的策略可以被認為是最簡單的應對方式，但同時也是消極的方式。「緩兵之計」的策略能夠降低企業應對GDPR的成本，或緩解企業的應對壓力。但若競爭對手正常向歐盟地區提供服務，就能在此時吸引用戶搶奪市場，這對於新聞資訊類網站尤為明顯。因而，對企業而言，暫停向歐盟用戶提供服務意味著失去歐洲5億人口規模市場的風險。

2.「投機取巧」——誘使用戶同意

採取這種策略的公司往往對GDPR採取承認的態度並會進行相應的調整，但在收集用戶同意的過程中耍一些「小伎倆」，但這些伎倆往往存在一定的問題和風險。

華盛頓郵報向歐洲訪問用戶設置了付費門檻，即歐洲用戶可選擇一年$90無廣告無信息跟蹤的「歐盟高級訂閱」服務，這一售價比一般訂閱高出$30。而對於那些不願支付該訂閱價格的免費歐盟地區用戶，華盛頓郵報則默認其同意該公司對個人數據的數據處理。但華盛頓郵報這一做法的合法性還有待考證，GDPR的要求用戶應該有免費選擇的權利，而不是被強制性同意。幫助企業進行GDPR合規培訓的英國獨立諮詢師KimTurner認為華盛頓郵報強制那些不能或不願付費的人接受信息跟蹤違背了用戶的合法權益，並違背了GDPR。

之前隱私泄露醜聞的核心Facebook則是被暴出在用戶授權其對個人數據的使用上耍了一個小「詭計」。在隱私條款頁面，如果用戶不同意隱私條款，Facebook將鎖住用戶賬戶使得用戶無法使用和跳轉，並且在頁面上顯示虛假的消息通知誘使用戶選擇同意。

Facebook迫使用戶同意條款的「詭計」

總結：雖然這些策略在短期內能得到用戶的肯定同意，但由於其變相的強迫用戶同意其隱私條款，在法理上存在一定的問題。另一方面容易引起用戶的不滿，嚴重地甚至引起投訴行為，不僅降低了用戶體驗，而且有損企業形象造成負面口碑，對於企業長期發展存在一定的問題。

3.「嚴陣以待」——更新隱私條例

相較於前兩種策略，大多數企業則是謹慎地選擇在GDPR正式施行前按要求更新其隱私條款。

阿里雲、華為、南方航空等多家公司都對隱私條款進行了更新修訂，騰訊旗下的社交軟體QQ國際版和微信國際版都在隱私條款中增加了收集資訊的法律依據、處理目的、儲存時長及刪除等詳細說明，同時表明「16歲以下而兒童都不應使用WeChat」。而國外社交軟體Twitter則將兒童的年齡限制降低至13歲。同樣地，遊戲廠商Rovio於5月16日更新其隱私條款，其中明文規定玩家可以「訪問、更正、更新和要求刪除個人信息；要求限制處理個人信息或移植個人信息；撤銷同意個人信息的處理」等一系列權益。

但另一些公司還採取了不同的方式，遊戲公司Voodoo和Supercell則採用匿名化方式對玩家的個人信息進行處理，並且承諾不會收集13歲以下未成年人的任何數據。而美國新聞網站TheNew York Times將不再播放任何程序化廣告，Gannett』sUSA Today 為歐盟用戶提供了一個純凈版網站。

社交軟體WhatsApp則更進一步，不僅響應GDPR要求，取消第三方橫幅廣告，增加用戶信息查詢和選擇的條款；還更進一步符合ePrivacy的要求，在應用程序中加入隱私性、端到端加密等安全性功能對用戶通訊隱私進行保護。

總結：政治法律是企業在生存發展中要考慮的重要的外部因素，對當地的法律法規的遵循是企業得以繼續成長和發展的保障。同時GDPR和ePrivacy對企業違反行為制定的全球營收2%的巨額罰款也是企業需要忌憚的。因而，按合規更新隱私條例策略是企業最基本的應對方式，也是最穩妥的方式。

4.「更進一步」——推廣至全球用戶

在積極遵循GDPR的企業中，大型跨國企業往往採取這一策略將其修訂的隱私條款推廣到全球用戶範圍中。

微軟公司宣布其將根據GDPR更新其隱私條款並且該條款對全球用戶均適用。在微軟中國官網的隱私條款中也明確用戶可以控制Microsoft所獲得的個人數據，包括「通過Microsoft隱私面板來訪問和清楚數據」。此外微軟Privacy Dashboard中還新推出了Azure GDPR數據主體請求(DSR)門戶、Azure條款、GDPR遵從管理器等工具以方便用戶管理其數據。Azure Data SubjectRequest (DSR)允許企業在雲端管理個人數據，並且將用戶視為Azure服務的一部分並授權其訪問系統生成的日誌。

微軟公司官網

同樣地，蘋果公司正努力將其隱私政策推廣向全球用戶。蘋果中國官方網站的隱私政策於2018年5月22日更新，其中詳細規定了蘋果公司數據在世界各地傳輸所遵循的相應條款，以及針對13歲以下兒童信息收集規定等。除此之外，蘋果公司還推出了一個全新的、關注隱私的門戶網站https://privacy.apple.com，通過該網站用戶可以對自己的Apple ID數據進行修正和刪除，當用戶提出徹底刪除數據的申請後，7天內蘋果公司會對其進行處理。

蘋果公司隱私門戶網站賬戶管理截圖

蘋果公司還將面向全球用戶提供隱私管理工具，該工具可以幫助用戶獲得數據副本、修正數據、凍結賬戶和刪除賬戶，目前該工具已經面向歐盟地區、冰島、列支敦斯登、挪威和瑞士地區的用戶提供服務。

而Google在其5月25日更新的隱私條款中表明無論數據處理伺服器置於何處，Google都按照統一的隱私條款提供保護措施。新條款賦予全球用戶隱私管理的權力，特別是廣告的設置。條款明確表明「不會根據敏感信息展示個性化廣告」，同時「也不會與廣告主分享可用於識別個人身份的信息」，用戶還可以對個性化廣告推薦的因素進行選擇。此外，Google還採取多種措施，如傳輸加密、安全瀏覽、限制訪問個人信息許可權等方式以保證數據安全。

Google廣告設置頁面截圖

總結：歐盟的《通用數據管理條例》最本質的核心在於保護歐盟地區用戶不被在線監控，保護用戶的個人隱私。對於微軟和蘋果這類大型跨國公司更加傾向於建立一個適用於全球市場的隱私條款，而非針對特定地區。一方面企業能夠承擔相應的技術、人力和時間成本，另一方面針對GDPR的隱私條款能夠幫助企業有效地世界各國和地區應對越來越嚴厲的隱私保護要求。另外，更進一步的策略還能夠幫助企業建立正面的企業形象，獲取消費者好感，可謂一舉多得。

後記：

GDPR生效及相關企業的策略為更多的企業提供了重要的參考。而未來將會有更多的「GDPR」在不同的國家和地區落地實施，隱私保護真空地帶將消失殆盡。另一方面，全球範圍內消費者的隱私保護意識也在不斷覺醒。因此，企業應該反思如何平衡慣用的運營手段和用戶的隱私保護，從而為不斷升級的隱私保護做好準備。

參考文獻

[1] ePrivacy Regulation (May 2018 draft). /https://iapp.org/

[2]intersoftconsulting. General Data Protection Regulation （GDPR）. /https://gdpr-info.eu/

[3]Aadhaar. India』slandmark data privacy law won』t apply to the very cause behind its existence.

[4]Sadia Mirza,Ronald I. Raether, et., al. Not Your Average Privacy Law—Vermont EnactsNation』s Most Expansive Data Broker Legislation

[5]Anthony Drake. New Zealand: The power ofbig data and privacy reforms

[6]Tim Peterson. WTF is the California Consumer Privacy Act?

[7]Forbes. Microsoft Monday: GDPR ApplyingGlobally, Xbox 360 System Update Launches, June Xbox One Update.

[8]BBC. GDPR: USnews sites unavailable to EU users under new rules.

作者吳艾佳，黑獅內容實習生。本文是她在黑獅發表的第2篇內容，查閱了全球近60篇GDPR相關文獻寫成。黑獅創始人Peter Chan對本文提供了全程指導。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！