GDPR對互聯(lián)網(wǎng)企業(yè)的影響

GDPR對互聯(lián)網(wǎng)企業(yè)的影響

歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的生效表明，歐盟正在改變其數(shù)據(jù)隱私規(guī)則。在21世紀(jì)已經(jīng)過去的大部分時(shí)間，人們往往習(xí)慣了以“免費(fèi)”換取服務(wù)：授予公司許可存儲、處理和利用其個(gè)人數(shù)據(jù)和信息。但是，近年來曝光的一些案例、關(guān)于巨大數(shù)據(jù)安全漏洞的丑聞以及公司如何使用和銷售其收集的信息，已經(jīng)引起人們對個(gè)人數(shù)據(jù)如何被用來構(gòu)建自身無法控制的詳細(xì)個(gè)人檔案的擔(dān)憂。一、條例對互聯(lián)網(wǎng)企業(yè)的影響顯而易見今年4月10日，臉書（Facebook）公司首席執(zhí)行官馬克·扎克伯格在美國參議院司法委員會和商業(yè)委員會的聯(lián)合聽證會上作證時(shí)表示，在用戶同意放棄數(shù)據(jù)之前，他“原則上”支持為用戶提供類似于GDPR的選擇標(biāo)準(zhǔn)，并認(rèn)為“總的來說，GDPR對互聯(lián)網(wǎng)來說將是非常積極的一步”。在4月22日出席歐洲議會聽證會時(shí)，扎克伯格承諾，一定會遵守這一新法規(guī)。對于國際化公司，遵守當(dāng)?shù)卣吆头ㄒ?guī)是基本前提。畢竟，國際化戰(zhàn)略布局繞不開當(dāng)?shù)乇O(jiān)管。同樣，互聯(lián)網(wǎng)公司也會遵守適用于其相關(guān)業(yè)務(wù)的GDPR規(guī)則。因此，歐盟新規(guī)對于互聯(lián)網(wǎng)巨頭們，威懾力不可謂不嚴(yán)。許多大型在線服務(wù)和社交媒體公司都在更新他們的隱私政策和服務(wù)條款，為新立法做準(zhǔn)備。其中包括2007年圍繞臉書公司備受爭議的Beacon廣告計(jì)劃，該項(xiàng)目在合作伙伴網(wǎng)站上播出用戶活動。美國科技巨頭正在按照新規(guī)定傾注資源，為應(yīng)對GDPR的影響，微軟公司聘用了超過1600名工程師。此外，像醫(yī)療保健提供商、保險(xiǎn)公司、銀行和任何其他處理敏感個(gè)人數(shù)據(jù)的公司都將面臨困境。有些小型美國公司正在退出歐盟，以避免受到GDPR的沖擊。美國科技初創(chuàng)企業(yè)擔(dān)心，合規(guī)成本可能超過在歐盟地區(qū)獲得的收益。如果小公司退出市場，像谷歌和臉書這樣的公司就可以從GDPR中受益。GDPR是一部重整全球數(shù)據(jù)秩序的法令，歐盟以外的公司也將從多個(gè)層面受到影響。從過去兩年的過渡期運(yùn)行來看，歐盟內(nèi)企業(yè)關(guān)于GDPR合規(guī)的意識普遍較強(qiáng)，甚至有不少企業(yè)已經(jīng)為GDPR合規(guī)付出了較大的財(cái)務(wù)、管理成本，削減了營業(yè)收入和營銷手段。由于GDPR規(guī)定企業(yè)間數(shù)據(jù)交流的方式，一旦出現(xiàn)不合規(guī)的現(xiàn)象，數(shù)據(jù)供應(yīng)鏈上下各方都會被問責(zé)。為避免風(fēng)險(xiǎn)，歐盟企業(yè)日后在選擇境外合作伙伴時(shí)，會將數(shù)據(jù)保護(hù)作為重要考量標(biāo)準(zhǔn)。當(dāng)前，歐盟委員會甚至已經(jīng)開始討論，未來不排除限制歐盟與數(shù)據(jù)保護(hù)不過關(guān)的國家簽訂貿(mào)易協(xié)議的可能。二、GDPR給中國公司國際化帶來嚴(yán)峻考驗(yàn)GDPR涉及與互聯(lián)網(wǎng)相關(guān)的社交、電商、云計(jì)算等新興領(lǐng)域，將對中國公司的國際化帶來嚴(yán)峻考驗(yàn)。GDPR改變了互聯(lián)網(wǎng)公司使用用戶個(gè)人信息的方式。適用GDPR的中國企業(yè)主要有兩種情形：第一，在歐盟境內(nèi)設(shè)有機(jī)構(gòu)的中國企業(yè)，如其通過該機(jī)構(gòu)開展業(yè)務(wù)的過程中涉及對個(gè)人數(shù)據(jù)的處理，不管該處理是否發(fā)生在歐盟境內(nèi)，都應(yīng)適用GDPR；第二，尚未在歐盟境內(nèi)設(shè)有機(jī)構(gòu)的中國企業(yè)，如其向歐盟境內(nèi)的個(gè)人提供商品或服務(wù)的過程中（無論是否收費(fèi)），涉及對個(gè)人數(shù)據(jù)的處理，也應(yīng)適用于GDPR。相比西方巨頭們的未雨綢繆，似乎國內(nèi)不少公司對此反應(yīng)并不明顯。現(xiàn)有中國互聯(lián)網(wǎng)公司在歐盟以外地區(qū)的做法基本難以符合GDPR規(guī)范?；趥€(gè)人信息收集和隱私驅(qū)動的互聯(lián)網(wǎng)企業(yè)，可能首當(dāng)其沖?！?1世紀(jì)經(jīng)濟(jì)報(bào)道》記者陶力認(rèn)為：“國內(nèi)互聯(lián)網(wǎng)行業(yè)對GDPR的重視程度嚴(yán)重不足，或者說是嚴(yán)重低估和錯判了它帶來的影響。畢竟，在過去很多公司是以大規(guī)模搜集和運(yùn)用網(wǎng)民個(gè)人數(shù)據(jù)為基礎(chǔ)，從而建立起來的商業(yè)模式?！?018年5月25日當(dāng)天，包括微信海外版、新浪微博國際版、阿里巴巴旗下的全球速賣通（AliExpress）等多家中國互聯(lián)網(wǎng)巨頭，已紛紛向歐洲區(qū)用戶更新隱私政策、請求重新授權(quán)。據(jù)了解，海爾、華為等在歐洲有較大市場份額并有意進(jìn)軍物聯(lián)網(wǎng)的制造業(yè)領(lǐng)軍者，也早已雇請專門團(tuán)隊(duì)?wèi)?yīng)對GDPR。業(yè)界普遍認(rèn)為，GDPR既對行業(yè)提出了更高要求和挑戰(zhàn)，也使企業(yè)間的競爭有法可依，在一定程度上使行業(yè)更加規(guī)范。可謂，機(jī)遇與挑戰(zhàn)并存。騰訊的反應(yīng)最為迅速。2018年4月13日，騰訊QQ就向其國際版用戶發(fā)布通知，QQ將在5月20日起停止向歐洲區(qū)用戶提供服務(wù)。盡管騰訊隨即聲明會繼續(xù)保留該服務(wù)，但是可以看出，懾于強(qiáng)大的懲罰力度，不少中國企業(yè)已經(jīng)對GDPR有所行動。隨后，騰訊官方表示，更新到5.0及以上版本的QQ國際版可繼續(xù)使用，舊版本則在5月20日停止使用。QQ國際版官網(wǎng)，最新版本是5.0.1。其中隱私政策的更新于2018年5月23日，詳細(xì)說明所搜集的信息類型、存儲和使用方法、信息共享對象、數(shù)據(jù)處理地點(diǎn)、信息保留時(shí)長等內(nèi)容。顯然，這是為符合GDPR的要求做出的修改。此外，微信也在5月更新了其國際版的隱私條款，條款詳細(xì)說明了信息的使用規(guī)則、存儲地點(diǎn)、適用法規(guī)等。值得注意的是，微信國際版的隱私政策中對信息的保留時(shí)間也有明示：未登錄賬號時(shí)間達(dá)到180天后，賬號信息會被刪除；聊天記錄會被存儲72小時(shí)，隨后永久刪除。但是，這些改變在國內(nèi)的微信版本中并沒有體現(xiàn)。早在2016年，阿里巴巴集團(tuán)董事局主席馬云提出，未來海外市場要占到阿里收入的一半。截至目前，阿里云在全球已覆蓋18個(gè)地區(qū)，完成42個(gè)可用域。阿里云相關(guān)業(yè)務(wù)人士已從平臺、系統(tǒng)、產(chǎn)品、服務(wù)、合規(guī)、流程、政策等全方面進(jìn)行改進(jìn)。按照GDPR的要求，持續(xù)進(jìn)行數(shù)據(jù)保護(hù)與相關(guān)服務(wù)的整改，相關(guān)工作已經(jīng)準(zhǔn)備就緒。此外，螞蟻金服一直非常重視數(shù)據(jù)安全和個(gè)人信息保護(hù)。2017年，螞蟻金服率先成立了專門的隱私保護(hù)辦公室，進(jìn)一步加強(qiáng)對數(shù)據(jù)隱私管理體系、規(guī)范和能力。為確保有效地落實(shí)隱私保護(hù)各項(xiàng)要求，華為公司的“全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)委員會”保護(hù)官，直接向CEO匯報(bào)。華為所有業(yè)務(wù)單元均設(shè)置有專職的隱私相關(guān)的角色/組織。同時(shí)，根據(jù)GDPR的要求，華為還任命了歐盟數(shù)據(jù)保護(hù)官。小米表示，整個(gè)行業(yè)都需要全力提升數(shù)據(jù)安全和隱私保護(hù)的意識，加大設(shè)計(jì)和研發(fā)投入，以加速符合GDPR的要求。三、中國企業(yè)的應(yīng)對策略建議GDPR將對人們的網(wǎng)絡(luò)足跡、使用的APP和服務(wù)，以及如何保護(hù)或利用這些數(shù)據(jù)，產(chǎn)生重大影響。正因?yàn)槿绱耍珿DPR本質(zhì)上是為數(shù)據(jù)保護(hù)設(shè)置了一個(gè)新的全球標(biāo)準(zhǔn)。歐洲的監(jiān)管正在改變大公司對待用戶數(shù)據(jù)的方式。例如，在美國個(gè)人信用評估機(jī)構(gòu)易速傳真（Equifax）的數(shù)據(jù)泄露事件中，數(shù)百萬人的個(gè)人信息暴露無遺。該公司花費(fèi)數(shù)周時(shí)間阻止攻擊，然后，在通知公眾之前，制定好如何處理損失的計(jì)劃。中國企業(yè)對GDPR的態(tài)度“分化比較明顯”。一方面，有很早就開始為GDPR做準(zhǔn)備的企業(yè)，主要是一些大型互聯(lián)網(wǎng)或物聯(lián)網(wǎng)公司。他們既有動力要保住歐洲市場，又有財(cái)力可以負(fù)擔(dān)合規(guī)成本。另一方面，也有大量企業(yè)并未認(rèn)真對待GDPR。其中有一類企業(yè)面臨的風(fēng)險(xiǎn)最大，即在某個(gè)細(xì)分市場已經(jīng)做到了領(lǐng)頭羊、擁有涉歐業(yè)務(wù)、但尚未進(jìn)行GDPR合規(guī)的中國企業(yè)。這類企業(yè)有一定的關(guān)注度和財(cái)力，在歐盟通常會有本地的競爭對手，而對手很有可能在過去兩年已經(jīng)投入了GDPR合規(guī)成本，甚至就此調(diào)整了業(yè)務(wù)、減少了廣告活動。此時(shí)，尚未進(jìn)行合規(guī)的中國企業(yè)將很容易成為“槍靶子”。因?yàn)樽鳛楦偁帉κ值臍W盟企業(yè)將有很強(qiáng)的動機(jī)向所在國監(jiān)管機(jī)關(guān)投訴、舉報(bào)；而成員國政府出于保護(hù)本國企業(yè)的目的，也會有很強(qiáng)的動機(jī)進(jìn)行調(diào)查。中國企業(yè)將因此面臨巨大的GDPR處罰風(fēng)險(xiǎn)。應(yīng)對GDPR，企業(yè)越早做準(zhǔn)備越好。雖然短期內(nèi)會增加一定成本，但是可幫助企業(yè)避免風(fēng)險(xiǎn)，且對長期的聲譽(yù)也有好處。以下建議可供中國相關(guān)互聯(lián)網(wǎng)企業(yè)應(yīng)對GDPR的參考：首先，企業(yè)應(yīng)先對GDPR有大致了解，進(jìn)行初步評估，判斷該企業(yè)是否適用GDPR。在情況復(fù)雜、無法判斷的情況下，企業(yè)可以聘請外部機(jī)構(gòu)做進(jìn)一步調(diào)查確認(rèn)。一旦確認(rèn)適用GDPR，應(yīng)開展相應(yīng)的GDPR專項(xiàng)合規(guī)工作。由于GDPR涉及業(yè)務(wù)、信息技術(shù)（IT）、法務(wù)等多個(gè)部門的協(xié)同，在人力方面，應(yīng)考慮設(shè)置內(nèi)部數(shù)據(jù)保護(hù)方面的負(fù)責(zé)人，或是聘請外部合規(guī)顧問。其次，對于一些還不能達(dá)到合規(guī)要求的產(chǎn)品，建議相關(guān)公司選擇關(guān)閉其歐洲業(yè)務(wù)。比如大熱門的《絕地求生》游戲就在4月份關(guān)閉了歐洲服務(wù)器。小米生態(tài)鏈企業(yè)、智能燈具品牌Yeelight則通知稱，由于無法滿足歐盟最新出臺的GDPR要求，將不再向歐洲用戶提供服務(wù)。第三，要盡快落實(shí)數(shù)據(jù)合規(guī)的基礎(chǔ)設(shè)施，調(diào)整隱私政策、審查數(shù)據(jù)處理協(xié)議、開展數(shù)據(jù)審計(jì)、評估合規(guī)差距，并進(jìn)行持續(xù)性的培訓(xùn)、檢測與跟蹤。第四，在具體細(xì)節(jié)方面，盡管這部法律未作強(qiáng)制性的要求，但是結(jié)合GDPR立法的本意是將用戶同意視為數(shù)據(jù)處理最重要的條件，建議采用隱私政策單獨(dú)彈框同意，作為風(fēng)險(xiǎn)相對較小的做法。但是，GDPR的總體思路就是制定更有效的內(nèi)部治理，以及更強(qiáng)的外部威懾。實(shí)際上，它在個(gè)人信息使用目的限制、數(shù)據(jù)留存期限等方面“留了口子”，盡量為大數(shù)據(jù)開發(fā)利用開辟可能的路徑；同時(shí)也更加強(qiáng)調(diào)責(zé)任原則、透明原則的地位和作用，調(diào)動信息控制者參與數(shù)據(jù)