在大型企業(yè)中，GDPR的“快刀”首先可能揮向谷歌和Facebook。據(jù)了解，F(xiàn)acebook及其子公司W(wǎng)hatsApp、Instagram以及谷歌均在GDPR生效首日面臨相關(guān)訴訟，起訴來自奧地利隱私活動(dòng)家MaxSchrems。

　　GDPR沖擊波

　　5月25日正式生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)，令全球企業(yè)嚴(yán)陣以待。5月25日當(dāng)天，多家美國知名新聞網(wǎng)站中止了在歐洲范圍內(nèi)的新聞服務(wù)，不少游戲公司也紛紛暫時(shí)退出歐盟市場(chǎng)，當(dāng)然，全球巨頭則調(diào)整隱私政策以應(yīng)對(duì)GDPR。中國涉歐企業(yè)也同樣受到GDPR的約束，騰訊、阿里巴巴、華為等均采取了相應(yīng)的政策應(yīng)對(duì)，而短期難以適應(yīng)規(guī)則的公司則選擇暫時(shí)退出。不過，歐盟相關(guān)監(jiān)管機(jī)構(gòu)或首先將大棒揮向大型企業(yè)，谷歌、Facebook均在GDPR生效首日面臨相關(guān)訴訟。從行業(yè)影響來看, GDPR生效后，面臨最大挑戰(zhàn)的是廣告技術(shù)企業(yè)。因?yàn)镚DPR相關(guān)條例直指廣告數(shù)據(jù)收集和推廣, 大數(shù)據(jù)、云計(jì)算領(lǐng)域也將受到重大影響。(張星)

　　在大型企業(yè)中，GDPR的“快刀”首先可能揮向谷歌和Facebook。據(jù)了解，F(xiàn)acebook及其子公司W(wǎng)hatsApp、Instagram以及谷歌均在GDPR生效首日面臨相關(guān)訴訟，起訴來自奧地利隱私活動(dòng)家Max Schrems。

　　于當(dāng)?shù)貢r(shí)間5月25日正式生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)，令全球企業(yè)嚴(yán)陣以待。

　　截至生效日，許多公司對(duì)GDPR的應(yīng)對(duì)準(zhǔn)備并沒有到位。5月25日當(dāng)天，多家美國知名新聞網(wǎng)站均中止了在歐洲范圍內(nèi)的新聞服務(wù)，其中包括《洛杉磯時(shí)報(bào)》、《芝加哥時(shí)報(bào)》、《芝加哥論壇報(bào)》、《紐約每日新聞》、《奧蘭多哨兵報(bào)》、《巴爾的摩太陽報(bào)》等。

　　游戲廠商同樣反應(yīng)強(qiáng)烈。5月初，開發(fā)商Edge of Reality工作室宣布，旗下第三人稱射擊游戲《槍械師》將于5月24日關(guān)閉服務(wù)器。韓國大型在線游戲《仙境傳說》同樣關(guān)停了歐盟地區(qū)的服務(wù)器。

　　其他企業(yè)亦陣痛連連，紛紛做出反應(yīng)。據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道記者不完全統(tǒng)計(jì)，包括YouTube、Twitter、Instagram、谷歌、Facebook等巨頭，均對(duì)GDPR生效給出相應(yīng)措施，或更新服務(wù)條款，或暫停歐洲地區(qū)業(yè)務(wù)。盡管GDPR是由歐盟發(fā)布的，但卻是牽動(dòng)了全球每一家大型企業(yè)神經(jīng)的規(guī)定。

　　“GDPR全球適用。無論公司總部在哪里，無論數(shù)據(jù)存儲(chǔ)和處理地點(diǎn)在哪里，只要與身處歐盟的人做生意，或者監(jiān)視歐盟公民的行為，就必須遵從GDPR。”Veeam中國區(qū)總經(jīng)理施勤告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，“再進(jìn)一步解釋：只要收集歐盟公民的數(shù)據(jù)，就要受到GDPR的管轄。除非公司非常嚴(yán)格地排除了歐盟市場(chǎng)，否則還是得處理GDPR合規(guī)問題。”

　　緊急授權(quán)

　　電子郵件爆滿，是歐盟用戶對(duì)GDPR生效前后最直接的觀感。

　　“歐盟GDPR正式生效前后，每個(gè)郵箱至少收到十封電子郵件，主題都是關(guān)于更新最終用戶許可協(xié)議(End User Licence Agreement，EULA)的。”一位身處歐盟區(qū)域的用戶向記者無奈道。

　　根據(jù)最新生效的GDPR，機(jī)構(gòu)和企業(yè)必須先獲得用戶明確授權(quán)才可收集和使用其個(gè)人信息，包括姓名、地址、生日、信用卡、銀行、醫(yī)療信息、位置信息、IP地址等等。值得注意的是，GDPR中規(guī)定，對(duì)于個(gè)人數(shù)據(jù)的解釋權(quán)屬于伴隨GDPR成立的數(shù)據(jù)保護(hù)委員會(huì)，同時(shí)屬于數(shù)據(jù)個(gè)體。

　　該條例還賦予用戶“知情權(quán)”、“修改權(quán)”和“被遺忘權(quán)”等，消費(fèi)者有權(quán)知道自己的哪些數(shù)據(jù)被企業(yè)保存，如果信息錯(cuò)誤或不完整，用戶有權(quán)要求更改，此外，用戶還可要求企業(yè)或機(jī)構(gòu)刪除其個(gè)人數(shù)據(jù)。

　　數(shù)據(jù)顯示，歐盟約有5億網(wǎng)民。一旦違反GDPR規(guī)定，相關(guān)企業(yè)將面臨最高達(dá)全球年?duì)I收4%或者2000萬歐元(約1.5億人民幣)的巨額罰款。這也無怪乎各家企業(yè)為何如此謹(jǐn)慎：4月25日，Twitter、Instagram和域名注冊(cè)商GoDaddy分別向用戶發(fā)送郵件，表示將更新旗下產(chǎn)品服務(wù)條款和隱私政策;5月初，F(xiàn)acebook宣布重大更新，允許用戶選擇拒絕Facebook收集他們的瀏覽歷史記錄。

　　自5月21日起，YouTube將不再支持歐洲預(yù)訂購買的第三方廣告服務(wù)，并且有可能將這項(xiàng)政策推廣到全球。蘋果公司的隱私政策于5月22日更新，表示制定了涵蓋如何收集、使用、披露、轉(zhuǎn)讓及存儲(chǔ)用戶信息的隱私政策。谷歌則在GDPR生效前一天在紐約辦事處對(duì)70家媒體和廣告公司表示，該公司的合規(guī)計(jì)劃正在推進(jìn)，他們還會(huì)在6月和8月發(fā)布額外的工具來幫助內(nèi)容發(fā)布商。

　　“微軟公司有超過1600位工程師參與GDPR有關(guān)的項(xiàng)目，對(duì)開發(fā)工具、系統(tǒng)、流程進(jìn)行了大量的重新設(shè)計(jì)，來確保其符合GDPR相關(guān)規(guī)定。”在接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí)，一位微軟方面人士表示。圍繞GDPR，該人士稱微軟承諾提供充分滿足合規(guī)要求的技術(shù)、嚴(yán)格履行合同義務(wù)及進(jìn)行積極的經(jīng)驗(yàn)分享。

　　盡管大企業(yè)已有反應(yīng)，但更多企業(yè)仍未做好準(zhǔn)備。“據(jù)Sophos去年下半年在英國針對(duì)IT決策者的一項(xiàng)調(diào)查顯示，超過半數(shù)的企業(yè)承認(rèn)對(duì)GDPR及其可能引發(fā)的財(cái)務(wù)風(fēng)險(xiǎn)并不了解。”Sophos公司中國區(qū)總經(jīng)理鐘明輝向21世紀(jì)經(jīng)濟(jì)報(bào)道記者坦言。

　　而對(duì)于這些企業(yè)而言，違規(guī)問題可能嚴(yán)重到關(guān)系著生死存亡。“一旦遭遇GDPR處罰，超過25%的企業(yè)聲稱會(huì)讓其徹底倒閉;如果企業(yè)規(guī)模不足50人，將有超過一半的企業(yè)受處罰后會(huì)關(guān)閉，而且40%的IT決策者表示裁員將不可避免。”鐘明輝表示。

　　“快刀”將至

　　對(duì)于中小企業(yè)而言，好消息是，GDPR實(shí)行之初緊盯的是大型企業(yè)。

　　據(jù)報(bào)道，一位歐盟官員表態(tài)，新規(guī)施行初期會(huì)緊盯大型技術(shù)類企業(yè)，因?yàn)樗鼈儜{借大量用戶數(shù)據(jù)吸引商家“精準(zhǔn)投放”廣告，以實(shí)現(xiàn)盈利。該官員透露，歐盟會(huì)給小型企業(yè)更多時(shí)間適應(yīng)新規(guī)。

　　在大型企業(yè)中，GDPR的“快刀”首先可能揮向谷歌和Facebook。據(jù)了解，F(xiàn)acebook及其子公司W(wǎng)hatsapp、Instagram以及谷歌均在GDPR生效首日被投訴，投訴來自奧地利隱私活動(dòng)家Max Schrems。如果相關(guān)監(jiān)管機(jī)構(gòu)認(rèn)可該投訴，F(xiàn)acebook和谷歌將分別面臨39億歐元(約合人民幣290億元)和37億歐元(約合人民幣276億元)的罰款。

　　據(jù)最新財(cái)報(bào)顯示，谷歌母公司Alphabet 2017年全年利潤為127億美元(約合人民幣797.9億元)，F(xiàn)acebook2017年全年利潤為159.34億美元(約合人民幣1019.31億元)。這也就意味著，這一可能的罰款數(shù)額分別占兩家公司去年利潤比例高達(dá)36.35%和27.08%。

　　值得注意的是，為了符合GDPR，谷歌和Facebook均推出了相應(yīng)的隱私政策和產(chǎn)品。Facebook目前已進(jìn)行調(diào)整并出現(xiàn)“許可屏幕”，詢問用戶是否接受數(shù)據(jù)收集，否則無法繼續(xù)使用Facebook服務(wù)。谷歌同樣表示，將創(chuàng)建一個(gè)不基于任何個(gè)性化定位的新廣告服務(wù)。

　　但Max Schrems的訴訟特別針對(duì)兩家公司獲得隱私政策同意的方式，即要求用戶選擇“同意”選項(xiàng)以獲取服務(wù)，否則就不能使用服務(wù)。在他看來，這種行為違反了GDPR中關(guān)于獲取同意的規(guī)定。

　　中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心原秘書長胡鋼向21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示，企業(yè)在要求用戶授權(quán)使用數(shù)據(jù)的時(shí)候，應(yīng)當(dāng)遵循正當(dāng)、必要、最小化原則，否則就是違法行為。

　　輸贏之間

　　在大部分觀點(diǎn)看來，GDPR生效后，面臨最大挑戰(zhàn)的是廣告技術(shù)企業(yè)。因?yàn)镚DPR相關(guān)條例直指廣告數(shù)據(jù)收集和推廣。

　　事實(shí)上，在GDPR出臺(tái)之前，相關(guān)國際巨頭已經(jīng)麻煩不斷。今年3月，F(xiàn)acebook曝出數(shù)據(jù)泄露丑聞，其創(chuàng)始人扎克伯格不得不面對(duì)國會(huì)聽證會(huì)。5月21日，谷歌因涉嫌秘密追蹤和整理440萬名用戶信息以供廣告公司精準(zhǔn)定位而被索賠32億英鎊。勞德森代理律師湯姆林森表示，谷歌已經(jīng)支付3950萬美元(約合2.5億元人民幣)在美國解決與此有關(guān)的索賠。

　　“GDPR對(duì)互聯(lián)網(wǎng)廣告企業(yè)的影響很大。”上海段和段律師事務(wù)所合伙人劉春泉表示，“現(xiàn)在廣告公司提出大數(shù)據(jù)應(yīng)用的精準(zhǔn)推薦，與用戶隱私保護(hù)的規(guī)則相矛盾。”

　　其他被認(rèn)為將成為GDPR監(jiān)管重災(zāi)區(qū)的領(lǐng)域是大數(shù)據(jù)、云計(jì)算領(lǐng)域。大數(shù)據(jù)企業(yè)從事包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析以及數(shù)據(jù)呈現(xiàn)，因此很容易“觸雷”;云計(jì)算方面，GDPR對(duì)云服務(wù)商及使用云服務(wù)的企業(yè)均提出數(shù)據(jù)保護(hù)方面的要求，意味著兩者需同時(shí)遵守包括數(shù)據(jù)授權(quán)、數(shù)據(jù)處理等規(guī)定。

　　這意味著，云服務(wù)商與相關(guān)客戶的合規(guī)性缺一不可。在Edge of Reality工作室的官方解釋中，5月24日《槍械師》停服的很大原因在于GDPR需要廠商為消費(fèi)者提供更透明的數(shù)據(jù)管控，但他們無法提供足夠資源更新游戲以適應(yīng)GDPR，并且其云服務(wù)商無法繼續(xù)提供服務(wù)，因而導(dǎo)致服務(wù)器成本大幅提高，只能選擇關(guān)服。

　　作為底層云服務(wù)商，微軟方面人士介紹，微軟提供的企業(yè)級(jí)云服務(wù)可以幫助客戶在涉及個(gè)人數(shù)據(jù)刪除、修改、傳輸、讀取、拒絕處理等方面滿足GDPR的要求;微軟遍布全球的合作伙伴生態(tài)系統(tǒng)還能為客戶提供專業(yè)的技術(shù)支持。

　　此外，微軟表示將嚴(yán)格履行與云服務(wù)相關(guān)的合同義務(wù)，包括提供符合GDPR新規(guī)要求的定期安全支持及通知等服務(wù)。“早在2017年3月，微軟全球云服務(wù)的客戶授權(quán)協(xié)議中，就已經(jīng)加入了與GDPR合規(guī)相關(guān)的承諾條款。”該人士表示，“隨著條例細(xì)節(jié)的不斷深化和實(shí)踐的推進(jìn)，微軟也會(huì)不斷對(duì)產(chǎn)品、服務(wù)、數(shù)據(jù)相關(guān)方面進(jìn)行與時(shí)俱進(jìn)的升級(jí)，確保完全合規(guī)。”

　　然而，對(duì)于龐大的云服務(wù)生態(tài)的合規(guī)性而言，僅憑微軟自身還遠(yuǎn)遠(yuǎn)不夠。“微軟云服務(wù)在歐盟絕對(duì)是合法的，”在談及GDPR時(shí)，微軟大中華區(qū)副總裁兼市場(chǎng)營銷及運(yùn)營總經(jīng)理康榮向記者表示，“當(dāng)然，我們能保證自身云服務(wù)絕對(duì)合法合規(guī)，但落地在我們歐盟云服務(wù)上的企業(yè)，也需要保證自身運(yùn)營合法合規(guī)。”