楊光

歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效已經(jīng)一個(gè)月有余，其涉及面廣、影響深遠(yuǎn)，引發(fā)了各方的深入研究和激烈討論。

GDPR對(duì)企業(yè)產(chǎn)生了怎樣的影響？北京理工大學(xué)軟件學(xué)院副教授閆懷志認(rèn)為，首先從管轄地域范圍來看，GDPR的管轄范圍既包括在歐盟境內(nèi)有實(shí)體的組織，也包括在歐盟境內(nèi)提供商品或服務(wù)，或者監(jiān)控在歐盟內(nèi)歐盟居民行為的組織，而無論該組織是否在歐盟成員國(guó)內(nèi)有無實(shí)體或在成員國(guó)內(nèi)處理信息。也就是說，只要任何涉及歐盟境內(nèi)個(gè)體的個(gè)人數(shù)據(jù)的處理行為，無論誰來處理無論在哪兒處理，只要涉及歐盟境內(nèi)人員或成員國(guó)公民，均需遵循該條例，而且適用范圍也由屬地?cái)U(kuò)展到個(gè)人。“雖然GDPR表面上強(qiáng)調(diào)的是保護(hù)自然人的個(gè)人信息權(quán)利，但是個(gè)人信息權(quán)利是同政治、經(jīng)濟(jì)、文化、意識(shí)形態(tài)等都是息息相關(guān)的，必要時(shí)歐盟成員國(guó)可能會(huì)利用這個(gè)工具來為其國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)競(jìng)爭(zhēng)服務(wù)?！?/p>

在全球一體化，特別是“工業(yè)互聯(lián)網(wǎng)”向縱深發(fā)展、中美歐三家競(jìng)爭(zhēng)激烈的當(dāng)下，該條例必將對(duì)中國(guó)企業(yè)（不僅僅是大數(shù)據(jù)企業(yè)和數(shù)據(jù)安全企業(yè)）產(chǎn)生巨大的影響。閆懷志說：“歐盟與中國(guó)互為最大的合作伙伴之一，在商貿(mào)、金融、網(wǎng)絡(luò)等領(lǐng)域深度交融、合作緊密，其中涉及大量的相關(guān)個(gè)人信息的處理，勢(shì)必會(huì)成為GDPR的規(guī)約對(duì)象。這就提醒中國(guó)企業(yè)務(wù)虛了解、重視該條例，嚴(yán)格、細(xì)致評(píng)估該條例帶來的影響，在數(shù)據(jù)保護(hù)、數(shù)據(jù)披露、數(shù)據(jù)處理等方面做好合規(guī)操作。”

GDPR的實(shí)際效用頗為有限？

南京信息工程大學(xué)法政學(xué)院副教授蔣潔認(rèn)為，GDPR的實(shí)際效用頗為有限，甚至可以推測(cè)在很長(zhǎng)一段時(shí)間內(nèi)不能發(fā)揮出預(yù)想中保障用戶數(shù)據(jù)權(quán)益、歐盟數(shù)據(jù)主權(quán)和提振本土數(shù)字經(jīng)濟(jì)的作用。首先，GDPR對(duì)跨境互聯(lián)網(wǎng)巨頭企業(yè)的規(guī)制作用較為有限。最初設(shè)想中，這部“史上最嚴(yán)的隱私數(shù)據(jù)保護(hù)條例”將通過用戶“明確同意”、“被遺忘權(quán)利”、“數(shù)據(jù)使用知情權(quán)”等條款強(qiáng)有力地規(guī)制美國(guó)谷歌、臉書公司等在歐洲地區(qū)的數(shù)據(jù)收集、存儲(chǔ)和使用。然而，目前不少企業(yè)更新的隱私條款采用隱性的“同意或退出”的強(qiáng)迫選擇方式要求用戶廣泛、明確地進(jìn)行授權(quán)。同時(shí)，當(dāng)前國(guó)際互聯(lián)網(wǎng)巨頭企業(yè)的數(shù)據(jù)安全防護(hù)與數(shù)據(jù)去真處理的技術(shù)和程序普遍較為完善。此前在數(shù)據(jù)收集和使用上暴露出的問題常常是因?yàn)椤巴洝睂懭腚[私條款，而不是用戶特別重視數(shù)據(jù)隱私。GDPR不過是促使這些企業(yè)通過冗長(zhǎng)的隱私政策將可能違反GDPR規(guī)定的內(nèi)容事無巨細(xì)地逐項(xiàng)寫入，進(jìn)而分門別類地、輕而易舉地取得用戶的“明確同意”，順理成章地履行了合規(guī)義務(wù)。在GDPR落地實(shí)施的過程中，亟待對(duì)隱私政策條款“清晰而平實(shí)”的表達(dá)方式進(jìn)行細(xì)化規(guī)定；對(duì)“同意或退出”的隱性強(qiáng)制進(jìn)行廣泛梳理；對(duì)企業(yè)在使用用戶數(shù)據(jù)中保持公平、公正、公開的連貫性做法進(jìn)行全面的技術(shù)規(guī)范（尤其是避免各種潛在歧視）。這些也是目前推測(cè)的GDPR解釋條款的進(jìn)一步發(fā)展方向。

GDPR或?qū)⒁种苿?chuàng)新？

非但達(dá)不到預(yù)期效果，還有可能“誤傷”，帶來負(fù)效應(yīng)，這恐怕是歐盟始料未及的。對(duì)于可能帶來的負(fù)效應(yīng)，中央財(cái)經(jīng)大學(xué)法學(xué)院教授吳韜提到：“在歸責(zé)方面，GDPR非常嚴(yán)苛，采用近似于客觀歸責(zé)的原則，即使相關(guān)企業(yè)對(duì)于數(shù)據(jù)泄露沒有過錯(cuò)，也可能受到重罰。這使得提供數(shù)字服務(wù)可能成為一種高危行業(yè)，因此會(huì)極大抑制本領(lǐng)域的技術(shù)和商業(yè)模式創(chuàng)新?！?/p>

除了抑制創(chuàng)新，吳韜認(rèn)為，GDPR無疑將極大增加所有相關(guān)企業(yè)的合規(guī)成本，但是對(duì)中小企業(yè)尤甚。由于中小企業(yè)在技術(shù)、法律能力等方面的局限，它們?cè)贕DPR面前更為脆弱。無論是違法成本（高額罰款）還是為了避免違法付出的合規(guī)成本，相對(duì)于有限的盈利而言，都是不成比例的。

一些西方人士指出，歐盟制定GDPR的初衷是限制谷歌、臉書、優(yōu)步這些大企業(yè)，但是，結(jié)果可能是大量中小企業(yè)“躺槍”。因?yàn)榇笃髽I(yè)憑借其雄厚的資金和技術(shù)實(shí)力可以最終克服一時(shí)的困難，而對(duì)于廣大中小企業(yè)來說，它們面臨的則是生存危機(jī)。

對(duì)中國(guó)的借鑒意義

盡管可能有違初衷，GDPR的生效對(duì)中國(guó)數(shù)據(jù)安全保護(hù)現(xiàn)狀仍然有借鑒意義。閆懷志指出，GDPR是與當(dāng)前網(wǎng)絡(luò)空間現(xiàn)狀最為契合的數(shù)據(jù)保護(hù)條例，必將對(duì)包括我國(guó)在內(nèi)的全球各國(guó)的數(shù)據(jù)保護(hù)、數(shù)據(jù)安全管理以及互聯(lián)網(wǎng)治理提供重要的借鑒藍(lán)本。他做了如下闡釋：“第一，GDPR要求設(shè)立企業(yè)和機(jī)構(gòu)設(shè)立專門的數(shù)據(jù)保護(hù)官員（Data Protection Officer）來負(fù)責(zé)數(shù)據(jù)管理，我國(guó)也可以適當(dāng)考慮要求企業(yè)和機(jī)構(gòu)設(shè)立類似職位或設(shè)定類似職能。第二，GDPR不僅倒逼中國(guó)企業(yè)更加重視個(gè)人數(shù)據(jù)安全和隱私保護(hù)，而且也為中國(guó)保護(hù)個(gè)人數(shù)據(jù)安全提供了一種思路：中國(guó)也可以制定類似條例來維護(hù)我國(guó)公民的數(shù)據(jù)安全，防止國(guó)內(nèi)外機(jī)構(gòu)非法濫用。第三，中國(guó)很多企業(yè)機(jī)構(gòu)的業(yè)務(wù)流程、現(xiàn)用的大量系統(tǒng)（Web系統(tǒng)或手機(jī)App），均不同程度地不符合GDPR規(guī)定，因此，這也為相關(guān)產(chǎn)業(yè)的發(fā)展帶來了新的機(jī)遇。比如，遵照GDPR規(guī)定，開發(fā)適用于企業(yè)業(yè)務(wù)流程與所用信息系統(tǒng)的GDPR合規(guī)檢測(cè)或改造工具，可能會(huì)是一個(gè)較大的市場(chǎng)藍(lán)海空間?！?/p>

企業(yè)需要做什么？

數(shù)據(jù)隱私保護(hù)是阿里云的第一原則。2015年7月，阿里云首家發(fā)起《數(shù)據(jù)保護(hù)倡議》，將“不碰客戶數(shù)據(jù)”寫入正式文本，并被同行認(rèn)可跟進(jìn)。GDPR生效之前，阿里云已全面推進(jìn)數(shù)據(jù)保護(hù)工作。阿里云認(rèn)為GDPR對(duì)企業(yè)的要求大致可以分為兩大類：隱私合規(guī)和數(shù)據(jù)主體權(quán)利。在這兩大類之下，企業(yè)需要逐步做行動(dòng)落實(shí)，并提供書面文件來證明（GDPR對(duì)文件的要求非常高）。

第一，在隱私合規(guī)的保護(hù)維度下，企業(yè)需要保留數(shù)據(jù)處理庫(kù)清冊(cè)，把數(shù)據(jù)保護(hù)影響評(píng)估作為默認(rèn)機(jī)制，將隱私嵌入到設(shè)計(jì)中（Privacy By Design）。

第二，在數(shù)據(jù)主體權(quán)利的保護(hù)維度下，企業(yè)需要保證那些“數(shù)據(jù)正在被處理”的數(shù)據(jù)主體權(quán)利：包括訪問權(quán)，糾正權(quán)，刪除權(quán)，信息權(quán)，限制處理權(quán)，撤回同意，數(shù)據(jù)可移動(dòng)性的權(quán)利等。

綠盟科技認(rèn)為，GDPR的合規(guī)不僅是隱私政策的文字調(diào)整，更是圍繞個(gè)人信息保護(hù)和數(shù)據(jù)安全開展的產(chǎn)品、服務(wù)甚至是商業(yè)模式的調(diào)整。綠盟科技建議國(guó)內(nèi)企業(yè)從以下幾個(gè)方面進(jìn)行落實(shí)：

第一，獲得管理層支持設(shè)立支撐組織。企業(yè)GDPR的實(shí)施，不僅僅是IT部門的職責(zé)，也需要法律部門、業(yè)務(wù)部門、風(fēng)險(xiǎn)管理部門、服務(wù)交付部門等的參與，其中最重要的是得到管理層的充分重視。

第二，梳理個(gè)人數(shù)據(jù)，強(qiáng)化影響評(píng)估。企業(yè)應(yīng)盡快梳理其所處理的個(gè)人數(shù)據(jù)，對(duì)個(gè)人信息的類別、存儲(chǔ)位置、傳輸及存儲(chǔ)方式、控制者和（或）處理者等信息進(jìn)行識(shí)別，繪制個(gè)人數(shù)據(jù)處理的流程圖。必要時(shí)，企業(yè)應(yīng)開展DPIA，針對(duì)數(shù)據(jù)處理方式，特別是使用新技術(shù)進(jìn)行的數(shù)據(jù)處理，統(tǒng)籌考慮處理過程的性質(zhì)、范圍、內(nèi)容和目的，可能給自然人權(quán)利和自由帶來的風(fēng)險(xiǎn)。

第三，調(diào)整完善企業(yè)隱私策略。為滿足GDPR的合規(guī)要求，企業(yè)應(yīng)對(duì)隱私策略進(jìn)行調(diào)整，從個(gè)人數(shù)據(jù)的收集、保存、使用、對(duì)外提供、用戶告知等方面，以簡(jiǎn)明易懂的文字通過公開、易于訪問的方式告知用戶。

第四，通過技術(shù)設(shè)計(jì)保護(hù)隱私功能。企業(yè)應(yīng)在產(chǎn)品或服務(wù)設(shè)計(jì)之初，融入隱私保護(hù)的理念，將隱私理念植入技術(shù)架構(gòu)設(shè)計(jì)，以用戶為中心，提升透明度并基于用戶更多對(duì)其個(gè)人信息的控制權(quán)。

第五，加強(qiáng)數(shù)據(jù)生命周期的安全能力建設(shè)。企業(yè)應(yīng)對(duì)個(gè)人信息及隱私數(shù)據(jù)，需從生成、存儲(chǔ)、使用、傳輸、共享、銷毀六個(gè)階段進(jìn)行嚴(yán)格的保護(hù)，在各個(gè)環(huán)節(jié)明確責(zé)任主體和責(zé)任范圍，完善數(shù)據(jù)安全管控組織和制度，加強(qiáng)安全管控技術(shù)，以確保安全標(biāo)準(zhǔn)的實(shí)施，保障數(shù)據(jù)主體權(quán)利。