史上最嚴數據監管法“GDPR”實施在發展與安全中尋找平衡

本刊記者|王熙

經過近四年的討論以及兩年的過渡期，歐盟《通用數據保護條例》（GDPR）近日在歐盟全體成員國正式生效，該條例被視為“史上最嚴”數據監管條例。由于擁有超重罰款和最廣泛管轄權，全球各行各業都不得不重新審視自己的數據處理政策和行為，以避免高額的罰款。

GDPR涉及廣泛、處罰重

GDPR的起源可以追溯到38年前。1980年，由20個歐洲經濟共同體成員國、美國和加拿大等國構成的的經濟合作與發展組織(OECD)便提出了一份關于“保護隱私和個人數據跨境流動”的指導方針，其中提出了“知會用戶、目的明確、用戶同意、信息安全、明確收集方、用戶查驗、追責渠道”七個關鍵詞，對企業使用、收集和保存用戶數據的目的、步驟和數據的跨境流動做出了基本限制。雖然如此，由于該法案對于其成員國沒有約束力，成員國間的隱私保護條例并未得到實際統一。

隨后時間來到了2012年1月，歐盟委員會宣布即將通過一個全新的“通用數據保護條例”取代之前各歐盟成員國根據“資料保護指令”的相關立法，并稱為歐盟各國間的唯一、統一的數據保護條例。其主要目的還包括優化數據流向歐盟外國家的管理辦法，以及增強用戶對于其個人信息的控制。經過4年醞釀，GDPR最終于2016年被通過，并設置2年緩沖期，于今年5月25日正式投入實施。

而最終落地的GDPR大幅拓展了對于“個人數據”的定義，除了姓名、手機號、用戶名、IP地址、定位地址這些常規信息外，還包括生物信息、健康數據、政治觀點等敏感信息。

需要強調的是，GDPR不僅針對注冊地在歐盟的企業，甚至于非歐盟的企業，只要提供產品或服務的過程中涉及歐盟境內個體數據，便必須遵循GDPR。而一旦企業企業違規記錄用戶個人數據、違規后未及時通知監管人員、存在數據安全問題、違反隱私影響評估等相關條例，最高可獲1000萬歐元或其全球年營業額2%的罰款；若企業違規內容涉及未經用戶同意使用數據、侵犯用戶人權、或非法跨境流通數據，最高可獲2000萬歐元或其全球年營業額4%的罰款（兩者取較高值）。

企業應對迅速 長期影響更良好

據外媒報道，GDPR一經落地，包括Facebook、微軟、蘋果、谷歌等在內的公司不僅修改了其在歐盟境內對于用戶個人數據的處理方式，還面對歐盟境外的公民也開放了更多對于個人信息的權利。同時，許多在歐盟境內運營的中國公司（例如阿里巴巴、騰訊、小米、國航等）也紛紛于5月25日前修改了隱私政策，以保證符合GDPR。比如，在騰訊QQ國際版官網，為了符合GDPR的要求就做出了修改，其最新版本中的隱私政策詳細說明了所搜集的信息類型、存儲和使用方法、信息共享對象、數據處理地點、信息保留時長等內容。

雖然目前看來，GDPR給全球很多企業帶來了一陣“隱私保護”恐慌，但是從長久影響來看，是推動數據產業發展和個人信息安全之間能夠激勵相容的催化劑。

在5月24日召開的“歐盟GDPR的影響及應對”論壇上，中國社會科學院法學研究所研究員周漢華認為，要避免片面認識GDPR甚至曲解。他表示，GDPR追求發展和保護之間的平衡，其核心是“激勵相容”原則。互聯網企業的核心資產是數據，所以對數據控制者來說，給用戶提供差異化、個性化的精準服務能夠激勵他們使用數據。這個時候，數據就是資源，數據就是金錢。但是，企業往往缺乏同等程度的保護激勵，這是數據本身的特性使然。這樣一來，就產生了激勵不相容。

而GDPR的實施，一方面既保護個人信息決定權利，又促進個人信息自由流動的雙重價值，也就是在保護和發展之間實現平衡。部分人只關注GDPR加強個人權利保護的內容，卻忽略GDPR有推進合作治理的制度設計。正是被忽略的部分，體現了歐盟對于推動大數據發展的良苦用心。

在推動大數據發展方面，周漢華認為GDPR的變化體現在3個地方：首先是在個人信息使用目的限制、數據留存期限等方面“留了口子”，盡量為大數據開發利用開辟可能的路徑；其次是更突出強調責任原則、透明原則的地位和作用，強化信息控制者內部治理機制，調動信息控制者參與數據治理的積極性；最后是吸取從美國學到的經驗，設計了強有力的外部執法威懾機制。

“GDPR的總體思路就是制定更有效的內部治理，以及更強的外部威懾，這就是激勵監管的基本要求，使得合規成為企業的內在需要。一個企業無非就是追求發展，沒有安全怎么談發展？GDPR等于把個人數據安全嵌入到企業的整體安全觀當中去，實現了兩者之間的正向相容。”周漢華說道。