史上最嚴數(shù)據(jù)監(jiān)管法“GDPR”實施在發(fā)展與安全中尋找平衡

本刊記者|王熙

經(jīng)過近四年的討論以及兩年的過渡期，歐盟《通用數(shù)據(jù)保護條例》（GDPR）近日在歐盟全體成員國正式生效，該條例被視為“史上最嚴”數(shù)據(jù)監(jiān)管條例。由于擁有超重罰款和最廣泛管轄權，全球各行各業(yè)都不得不重新審視自己的數(shù)據(jù)處理政策和行為，以避免高額的罰款。

GDPR涉及廣泛、處罰重

GDPR的起源可以追溯到38年前。1980年，由20個歐洲經(jīng)濟共同體成員國、美國和加拿大等國構成的的經(jīng)濟合作與發(fā)展組織(OECD)便提出了一份關于“保護隱私和個人數(shù)據(jù)跨境流動”的指導方針，其中提出了“知會用戶、目的明確、用戶同意、信息安全、明確收集方、用戶查驗、追責渠道”七個關鍵詞，對企業(yè)使用、收集和保存用戶數(shù)據(jù)的目的、步驟和數(shù)據(jù)的跨境流動做出了基本限制。雖然如此，由于該法案對于其成員國沒有約束力，成員國間的隱私保護條例并未得到實際統(tǒng)一。

隨后時間來到了2012年1月，歐盟委員會宣布即將通過一個全新的“通用數(shù)據(jù)保護條例”取代之前各歐盟成員國根據(jù)“資料保護指令”的相關立法，并稱為歐盟各國間的唯一、統(tǒng)一的數(shù)據(jù)保護條例。其主要目的還包括優(yōu)化數(shù)據(jù)流向歐盟外國家的管理辦法，以及增強用戶對于其個人信息的控制。經(jīng)過4年醞釀，GDPR最終于2016年被通過，并設置2年緩沖期，于今年5月25日正式投入實施。

而最終落地的GDPR大幅拓展了對于“個人數(shù)據(jù)”的定義，除了姓名、手機號、用戶名、IP地址、定位地址這些常規(guī)信息外，還包括生物信息、健康數(shù)據(jù)、政治觀點等敏感信息。

需要強調的是，GDPR不僅針對注冊地在歐盟的企業(yè)，甚至于非歐盟的企業(yè)，只要提供產(chǎn)品或服務的過程中涉及歐盟境內個體數(shù)據(jù)，便必須遵循GDPR。而一旦企業(yè)企業(yè)違規(guī)記錄用戶個人數(shù)據(jù)、違規(guī)后未及時通知監(jiān)管人員、存在數(shù)據(jù)安全問題、違反隱私影響評估等相關條例，最高可獲1000萬歐元或其全球年營業(yè)額2%的罰款；若企業(yè)違規(guī)內容涉及未經(jīng)用戶同意使用數(shù)據(jù)、侵犯用戶人權、或非法跨境流通數(shù)據(jù)，最高可獲2000萬歐元或其全球年營業(yè)額4%的罰款（兩者取較高值）。

企業(yè)應對迅速 長期影響更良好

據(jù)外媒報道，GDPR一經(jīng)落地，包括Facebook、微軟、蘋果、谷歌等在內的公司不僅修改了其在歐盟境內對于用戶個人數(shù)據(jù)的處理方式，還面對歐盟境外的公民也開放了更多對于個人信息的權利。同時，許多在歐盟境內運營的中國公司（例如阿里巴巴、騰訊、小米、國航等）也紛紛于5月25日前修改了隱私政策，以保證符合GDPR。比如，在騰訊QQ國際版官網(wǎng)，為了符合GDPR的要求就做出了修改，其最新版本中的隱私政策詳細說明了所搜集的信息類型、存儲和使用方法、信息共享對象、數(shù)據(jù)處理地點、信息保留時長等內容。

雖然目前看來，GDPR給全球很多企業(yè)帶來了一陣“隱私保護”恐慌，但是從長久影響來看，是推動數(shù)據(jù)產(chǎn)業(yè)發(fā)展和個人信息安全之間能夠激勵相容的催化劑。

在5月24日召開的“歐盟GDPR的影響及應對”論壇上，中國社會科學院法學研究所研究員周漢華認為，要避免片面認識GDPR甚至曲解。他表示，GDPR追求發(fā)展和保護之間的平衡，其核心是“激勵相容”原則。互聯(lián)網(wǎng)企業(yè)的核心資產(chǎn)是數(shù)據(jù)，所以對數(shù)據(jù)控制者來說，給用戶提供差異化、個性化的精準服務能夠激勵他們使用數(shù)據(jù)。這個時候，數(shù)據(jù)就是資源，數(shù)據(jù)就是金錢。但是，企業(yè)往往缺乏同等程度的保護激勵，這是數(shù)據(jù)本身的特性使然。這樣一來，就產(chǎn)生了激勵不相容。

而GDPR的實施，一方面既保護個人信息決定權利，又促進個人信息自由流動的雙重價值，也就是在保護和發(fā)展之間實現(xiàn)平衡。部分人只關注GDPR加強個人權利保護的內容，卻忽略GDPR有推進合作治理的制度設計。正是被忽略的部分，體現(xiàn)了歐盟對于推動大數(shù)據(jù)發(fā)展的良苦用心。

在推動大數(shù)據(jù)發(fā)展方面，周漢華認為GDPR的變化體現(xiàn)在3個地方：首先是在個人信息使用目的限制、數(shù)據(jù)留存期限等方面“留了口子”，盡量為大數(shù)據(jù)開發(fā)利用開辟可能的路徑；其次是更突出強調責任原則、透明原則的地位和作用，強化信息控制者內部治理機制，調動信息控制者參與數(shù)據(jù)治理的積極性；最后是吸取從美國學到的經(jīng)驗，設計了強有力的外部執(zhí)法威懾機制。

“GDPR的總體思路就是制定更有效的內部治理，以及更強的外部威懾，這就是激勵監(jiān)管的基本要求，使得合規(guī)成為企業(yè)的內在需要。一個企業(yè)無非就是追求發(fā)展，沒有安全怎么談發(fā)展？GDPR等于把個人數(shù)據(jù)安全嵌入到企業(yè)的整體安全觀當中去，實現(xiàn)了兩者之間的正向相容。”周漢華說道。