在大型企業(yè)中，GDPR的“快刀”首先可能揮向谷歌和Facebook。據了解，F(xiàn)acebook及其子公司WhatsApp、Instagram以及谷歌均在GDPR生效首日面臨相關訴訟，起訴來自奧地利隱私活動家MaxSchrems。

　　GDPR沖擊波

　　5月25日正式生效的歐盟《通用數據保護條例》(GDPR)，令全球企業(yè)嚴陣以待。5月25日當天，多家美國知名新聞網站中止了在歐洲范圍內的新聞服務，不少游戲公司也紛紛暫時退出歐盟市場，當然，全球巨頭則調整隱私政策以應對GDPR。中國涉歐企業(yè)也同樣受到GDPR的約束，騰訊、阿里巴巴、華為等均采取了相應的政策應對，而短期難以適應規(guī)則的公司則選擇暫時退出。不過，歐盟相關監(jiān)管機構或首先將大棒揮向大型企業(yè)，谷歌、Facebook均在GDPR生效首日面臨相關訴訟。從行業(yè)影響來看, GDPR生效后，面臨最大挑戰(zhàn)的是廣告技術企業(yè)。因為GDPR相關條例直指廣告數據收集和推廣, 大數據、云計算領域也將受到重大影響。(張星)

　　在大型企業(yè)中，GDPR的“快刀”首先可能揮向谷歌和Facebook。據了解，F(xiàn)acebook及其子公司WhatsApp、Instagram以及谷歌均在GDPR生效首日面臨相關訴訟，起訴來自奧地利隱私活動家Max Schrems。

　　于當地時間5月25日正式生效的歐盟《通用數據保護條例》(GDPR)，令全球企業(yè)嚴陣以待。

　　截至生效日，許多公司對GDPR的應對準備并沒有到位。5月25日當天，多家美國知名新聞網站均中止了在歐洲范圍內的新聞服務，其中包括《洛杉磯時報》、《芝加哥時報》、《芝加哥論壇報》、《紐約每日新聞》、《奧蘭多哨兵報》、《巴爾的摩太陽報》等。

　　游戲廠商同樣反應強烈。5月初，開發(fā)商Edge of Reality工作室宣布，旗下第三人稱射擊游戲《槍械師》將于5月24日關閉服務器。韓國大型在線游戲《仙境傳說》同樣關停了歐盟地區(qū)的服務器。

　　其他企業(yè)亦陣痛連連，紛紛做出反應。據21世紀經濟報道記者不完全統(tǒng)計，包括YouTube、Twitter、Instagram、谷歌、Facebook等巨頭，均對GDPR生效給出相應措施，或更新服務條款，或暫停歐洲地區(qū)業(yè)務。盡管GDPR是由歐盟發(fā)布的，但卻是牽動了全球每一家大型企業(yè)神經的規(guī)定。

　　“GDPR全球適用。無論公司總部在哪里，無論數據存儲和處理地點在哪里，只要與身處歐盟的人做生意，或者監(jiān)視歐盟公民的行為，就必須遵從GDPR。”Veeam中國區(qū)總經理施勤告訴21世紀經濟報道記者，“再進一步解釋：只要收集歐盟公民的數據，就要受到GDPR的管轄。除非公司非常嚴格地排除了歐盟市場，否則還是得處理GDPR合規(guī)問題。”

　　緊急授權

　　電子郵件爆滿，是歐盟用戶對GDPR生效前后最直接的觀感。

　　“歐盟GDPR正式生效前后，每個郵箱至少收到十封電子郵件，主題都是關于更新最終用戶許可協(xié)議(End User Licence Agreement，EULA)的。”一位身處歐盟區(qū)域的用戶向記者無奈道。

　　根據最新生效的GDPR，機構和企業(yè)必須先獲得用戶明確授權才可收集和使用其個人信息，包括姓名、地址、生日、信用卡、銀行、醫(yī)療信息、位置信息、IP地址等等。值得注意的是，GDPR中規(guī)定，對于個人數據的解釋權屬于伴隨GDPR成立的數據保護委員會，同時屬于數據個體。

　　該條例還賦予用戶“知情權”、“修改權”和“被遺忘權”等，消費者有權知道自己的哪些數據被企業(yè)保存，如果信息錯誤或不完整，用戶有權要求更改，此外，用戶還可要求企業(yè)或機構刪除其個人數據。

　　數據顯示，歐盟約有5億網民。一旦違反GDPR規(guī)定，相關企業(yè)將面臨最高達全球年營收4%或者2000萬歐元(約1.5億人民幣)的巨額罰款。這也無怪乎各家企業(yè)為何如此謹慎：4月25日，Twitter、Instagram和域名注冊商GoDaddy分別向用戶發(fā)送郵件，表示將更新旗下產品服務條款和隱私政策;5月初，F(xiàn)acebook宣布重大更新，允許用戶選擇拒絕Facebook收集他們的瀏覽歷史記錄。

　　自5月21日起，YouTube將不再支持歐洲預訂購買的第三方廣告服務，并且有可能將這項政策推廣到全球。蘋果公司的隱私政策于5月22日更新，表示制定了涵蓋如何收集、使用、披露、轉讓及存儲用戶信息的隱私政策。谷歌則在GDPR生效前一天在紐約辦事處對70家媒體和廣告公司表示，該公司的合規(guī)計劃正在推進，他們還會在6月和8月發(fā)布額外的工具來幫助內容發(fā)布商。

　　“微軟公司有超過1600位工程師參與GDPR有關的項目，對開發(fā)工具、系統(tǒng)、流程進行了大量的重新設計，來確保其符合GDPR相關規(guī)定。”在接受21世紀經濟報道記者采訪時，一位微軟方面人士表示。圍繞GDPR，該人士稱微軟承諾提供充分滿足合規(guī)要求的技術、嚴格履行合同義務及進行積極的經驗分享。

　　盡管大企業(yè)已有反應，但更多企業(yè)仍未做好準備。“據Sophos去年下半年在英國針對IT決策者的一項調查顯示，超過半數的企業(yè)承認對GDPR及其可能引發(fā)的財務風險并不了解。”Sophos公司中國區(qū)總經理鐘明輝向21世紀經濟報道記者坦言。

　　而對于這些企業(yè)而言，違規(guī)問題可能嚴重到關系著生死存亡。“一旦遭遇GDPR處罰，超過25%的企業(yè)聲稱會讓其徹底倒閉;如果企業(yè)規(guī)模不足50人，將有超過一半的企業(yè)受處罰后會關閉，而且40%的IT決策者表示裁員將不可避免。”鐘明輝表示。

　　“快刀”將至

　　對于中小企業(yè)而言，好消息是，GDPR實行之初緊盯的是大型企業(yè)。

　　據報道，一位歐盟官員表態(tài)，新規(guī)施行初期會緊盯大型技術類企業(yè)，因為它們憑借大量用戶數據吸引商家“精準投放”廣告，以實現(xiàn)盈利。該官員透露，歐盟會給小型企業(yè)更多時間適應新規(guī)。

　　在大型企業(yè)中，GDPR的“快刀”首先可能揮向谷歌和Facebook。據了解，F(xiàn)acebook及其子公司Whatsapp、Instagram以及谷歌均在GDPR生效首日被投訴，投訴來自奧地利隱私活動家Max Schrems。如果相關監(jiān)管機構認可該投訴，F(xiàn)acebook和谷歌將分別面臨39億歐元(約合人民幣290億元)和37億歐元(約合人民幣276億元)的罰款。

　　據最新財報顯示，谷歌母公司Alphabet 2017年全年利潤為127億美元(約合人民幣797.9億元)，F(xiàn)acebook2017年全年利潤為159.34億美元(約合人民幣1019.31億元)。這也就意味著，這一可能的罰款數額分別占兩家公司去年利潤比例高達36.35%和27.08%。

　　值得注意的是，為了符合GDPR，谷歌和Facebook均推出了相應的隱私政策和產品。Facebook目前已進行調整并出現(xiàn)“許可屏幕”，詢問用戶是否接受數據收集，否則無法繼續(xù)使用Facebook服務。谷歌同樣表示，將創(chuàng)建一個不基于任何個性化定位的新廣告服務。

　　但Max Schrems的訴訟特別針對兩家公司獲得隱私政策同意的方式，即要求用戶選擇“同意”選項以獲取服務，否則就不能使用服務。在他看來，這種行為違反了GDPR中關于獲取同意的規(guī)定。

　　中國互聯(lián)網協(xié)會研究中心原秘書長胡鋼向21世紀經濟報道記者表示，企業(yè)在要求用戶授權使用數據的時候，應當遵循正當、必要、最小化原則，否則就是違法行為。

　　輸贏之間

　　在大部分觀點看來，GDPR生效后，面臨最大挑戰(zhàn)的是廣告技術企業(yè)。因為GDPR相關條例直指廣告數據收集和推廣。

　　事實上，在GDPR出臺之前，相關國際巨頭已經麻煩不斷。今年3月，F(xiàn)acebook曝出數據泄露丑聞，其創(chuàng)始人扎克伯格不得不面對國會聽證會。5月21日，谷歌因涉嫌秘密追蹤和整理440萬名用戶信息以供廣告公司精準定位而被索賠32億英鎊。勞德森代理律師湯姆林森表示，谷歌已經支付3950萬美元(約合2.5億元人民幣)在美國解決與此有關的索賠。

　　“GDPR對互聯(lián)網廣告企業(yè)的影響很大。”上海段和段律師事務所合伙人劉春泉表示，“現(xiàn)在廣告公司提出大數據應用的精準推薦，與用戶隱私保護的規(guī)則相矛盾。”

　　其他被認為將成為GDPR監(jiān)管重災區(qū)的領域是大數據、云計算領域。大數據企業(yè)從事包括數據采集、數據處理、數據分析以及數據呈現(xiàn)，因此很容易“觸雷”;云計算方面，GDPR對云服務商及使用云服務的企業(yè)均提出數據保護方面的要求，意味著兩者需同時遵守包括數據授權、數據處理等規(guī)定。

　　這意味著，云服務商與相關客戶的合規(guī)性缺一不可。在Edge of Reality工作室的官方解釋中，5月24日《槍械師》停服的很大原因在于GDPR需要廠商為消費者提供更透明的數據管控，但他們無法提供足夠資源更新游戲以適應GDPR，并且其云服務商無法繼續(xù)提供服務，因而導致服務器成本大幅提高，只能選擇關服。

　　作為底層云服務商，微軟方面人士介紹，微軟提供的企業(yè)級云服務可以幫助客戶在涉及個人數據刪除、修改、傳輸、讀取、拒絕處理等方面滿足GDPR的要求;微軟遍布全球的合作伙伴生態(tài)系統(tǒng)還能為客戶提供專業(yè)的技術支持。

　　此外，微軟表示將嚴格履行與云服務相關的合同義務，包括提供符合GDPR新規(guī)要求的定期安全支持及通知等服務。“早在2017年3月，微軟全球云服務的客戶授權協(xié)議中，就已經加入了與GDPR合規(guī)相關的承諾條款。”該人士表示，“隨著條例細節(jié)的不斷深化和實踐的推進，微軟也會不斷對產品、服務、數據相關方面進行與時俱進的升級，確保完全合規(guī)。”

　　然而，對于龐大的云服務生態(tài)的合規(guī)性而言，僅憑微軟自身還遠遠不夠。“微軟云服務在歐盟絕對是合法的，”在談及GDPR時，微軟大中華區(qū)副總裁兼市場營銷及運營總經理康榮向記者表示，“當然，我們能保證自身云服務絕對合法合規(guī)，但落地在我們歐盟云服務上的企業(yè)，也需要保證自身運營合法合規(guī)。”