勇于向Facebok等硅谷巨头宣战的欧盟司法专员维拉·朱洛娃(VeraJourova)曾经说过:
“今日的个人数据,就如同(观看)人们在水族馆里裸泳一样。”
而在2018年5月25日这一天,她骄傲地宣布:“《欧盟一般数据保护条例》(GeneralDataProtectionRegulation,GDPR)令欧洲人可以重新控制他们自己的数据了。”
GDPR的管辖范围并不局限在欧盟境内:只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用于GDPR,这大大扩展了传统数据保护法案的适用范围。
如被欧盟认定违规,最高处罚金额可至2000万欧元(约1.5亿人民币)或企业全球年营业额的4%,两者中取其高值,故也被称为“史上最严数据保护法”。
5月25日当天,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(aliexpress)等多家中国互联网巨头,已纷纷向欧洲区用户更新隐私政策、请求重新授权。
苹果公司已经停止了在机器学习和人工智能系统开发中使用用户数据,微软也为GDPR投入了1600多名工程师,Facebook则将约15亿用户的注册地从爱尔兰转向了美国。
海尔、华为等在欧洲有较大市场份额、并有意进军物联网的制造业领军者,也早已雇请专门团队应对GDPR。在早前的4月份,腾讯甚至曾通知其国际版用户,QQ将在5月停止向欧洲区用户的服务。尽管腾讯随即声明会继续保留该服务,但可以看出,慑于其强大的惩罚力度,不少中国企业已经对GDPR有所行动。
目前GDPR的规定虽然强调了用户的知情权、访问权和被遗忘权,用户可以要求被告知公司掌握了自己的哪些数据并要求对其进行删除,然而,大多数企业在修改GDPR的用户隐私政策时,措辞仍然比较宽泛模糊。
比如硅谷科技巨头谷歌和Facebook都已经修改了它们的用户政策条款,其中Facebook主要强调了人脸识别技术的应用应获得用户的准许。目前用户上传照片时,系统会自动通过人脸识别技术标识出照片中的人物,采取的是用户默认同意的条款,除非用户自己提出异议。
欧盟GDPR的生效,国内除了少数互联网公司之外,很多企业认为关系不大。而事实上,GDPR将对中国互联网带来翻天覆地的冲击。关乎每一个互联网公司的未来发展,事关目前中国互联网基础性商业模式的大调整,更重要的是,关乎我们每一个网民。
GDPR将成为未来全球网络空间规则的基石,即以数据为抓手,与美国过去掌控的另一大基石,即底层技术治理相得益彰。低估GDPR,将会付出巨大代价。最首当其冲的,就是基于搜集个人信息和隐私驱动的整个中国互联网产业主体收入模式将产生重大影响,甚至是颠覆性影响。
中国企业为何需要关注GDPR?
在GDPR执行的过程中,中国企业“中奖”的可能性很大。相比于欧盟内企业,中国企业相对缺乏GDPR合规意识,很多中国企业并不知道GDPR也适用于自己,或是怀有侥幸心理。
在欧盟,自2016年4月GDPR被通过以后,给了各方两年的缓冲期。欧盟内企业关于GDPR合规的意识普遍较强,甚至有不少企业已经为GDPR付出了较大的财务、管理成本,削减了营业收入和营销手段。 相比之下,中国企业的信息则相对滞后、行动相对迟缓。
另一方面,欧盟境内近年也有贸易保护主义抬头的倾向,与中国出现过不少贸易摩擦。GDPR合规有可能会成为欧盟产业保护的新手段,一旦发现中国企业的不合规行为,会遭严惩。
即使对于那些目前尚未开展涉欧业务、无被罚款风险的中国企业来说,现在关注GDPR也有其意义。一个趋势是,欧盟的企业未来都会倾向跟已完成GDPR合规的欧盟境外企业进行合作,如果中国企业不进行GDPR合规,将很有可能合作受阻、甚至失去欧盟市场。
GDPR将是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。由于GDPR规定了企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下各方都会被问责。为避免风险,欧盟企业日后在选择境外合作伙伴时,会将数据保护作为重要考量标准。当前在欧盟委员会甚至已经开始讨论,未来不排除限制欧盟与数据保护不过关的国家签订贸易协议的可能。
哪些中国企业最有可能踩到GDPR的雷区?
一,在欧盟境内设有机构的中国企业,如其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;
二,尚未在欧盟境内设有机构的中国企业,如其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
目前中国企业对GDPR的态度“分化比较明显”:
一方面,有很早就开始为GDPR做准备的企业,主要是一些大型的互联网或物联网公司。他们既有动力要保住欧洲市场,又有财力可以负担合规成本。
但另一方面,也有大量企业并未认真对待GDPR。
值得注意的是:在某个细分市场已经做到了领头羊、拥有涉欧业务、但尚未进行GDPR合规的中企。这类企业在欧盟通常会有本地的竞争对手,而对手很有可能在过去两年里已经投入了GDPR合规成本,甚至就此调整了业务、减少广告活动。
此时,尚未进行合规的中国企业将很容易成为“枪靶子”。因为作为竞争对手的欧盟企业将有很强的动机向所在国监管机关投诉、举报;而成员国政府出于保护本国企业的目的,也会有很强的动机进行调查。中国企业将因此面临巨大的GDPR处罚风险。
违反GDPR罚款很高,有一定的威慑力,企业只有三种选择,要么退出欧洲市场;要么努力合规;还有一种就是承担被罚款的风险。最后一个选项不是任何一家负责任的公司愿意选择的,所以真正的选择就只有前两个
GDPR合规要求也十分高,企业需要投入大量人力财力,才能确保执行。对于中国企业来说,必须立刻敲响警钟,做好充分准备,加强对数据安全和用户隐私的保护工作。
目前在28个欧盟国家中,有12个国家已经正式更新了其国内法,将GDPR嵌入其中,同时还有8个国家告知欧盟委员会它们将在近期尽快完成其立法程序。
5月25日之后,仍有8个欧盟国家在GDPR同其国内法融合方面毫无作为,包括保加利亚、比利时、塞浦路斯、希腊、捷克、匈牙利、立陶宛和斯洛文尼亚,大多是中东欧国家。
欧盟方面表示,已经对上述国家做出了警告,请它们尽快更新法律系统,否则将把它们告上欧洲法院。
GDPR是一个比较好的契机,让我们的企业审视自己的隐私保护政策,倒逼我们去努力合规。拒绝或者存有侥幸心理都是不对的。这一过程中需要数据公司的服务和技术上的支持,会增加客户成本,但同时也能令企业的价值得到提升。
你是如何看待和对待GDPR的呢?
