【核心观点】

1、欧盟通用数据保护条例，有两个鲜明的特征：一是它高于欧盟成员国的国内法，第二它拥有域外法权，中国企业在欧盟市场开展业务也必须遵循。

2、中国有好多霸王条款，注册完了就不让改了。欧盟要求，合法用户更改账户信息、主动删除的权利必须保护。

3、对于数据泄露的响应，欧盟现在要求更高了，对于很多数据安全公司带来了商机。

【新闻背景】

5月25日，欧盟数据保护法GDPR《通用数据保护条例》正式生效。新条例全面加强了对个人数据的保护，并大幅提升了企业的数据保护责任。企业和机构在收集或使用个人数据之前，必须向用户说明用途，并取得用户的授权。如用户年龄在16岁以下，则须征得其家长的同意，否则被视作违法行为。一旦发生数据泄露，企业必须在72小时内向政府报备。欧盟《通用数据保护条例》的实施，使得欧盟对于个人数据的保护及监管达到了前所未有的高度。违规企业将可能会面临高额的罚款，最高罚款金额可以达到2千万欧元，或者企业全球营业收入的4%，并以其中较高者为准。这也是该条例被称为史上最严数据保护法规的一个原因。

今年2018年的5月份正式开始实施了一个叫做：通用数据保护条例，英文的缩写就是GDPR，其实这个法律它不是个新鲜事，它在2016年的4月份就制定完了，所有的条款都制定完了，在制定完了之后，给欧盟的所有的成员国留了两年的过渡期的时间，截止到今天尽管还有8个成员国尚未完全国内的法律与通用数据保护条例做出协调，但是它两年的过渡期一过，它就开始正式实施了。

    最近有这么几个事大家都特别的关注。第一个，Facebook脸书，全球第一大的社交平台，最近屡屡，从去年开始被曝出什么？海量的巨量的用户个人隐私数据的外泄事件。你比如说美国特朗普念念不忘的所谓的通俄门，大数据更改了，美国大选，影响了美国大选。现在揭露出来的事实，就是英国剑桥的一家数据研究公司通过Facebook获取了几千万个用户的各方面的全面的信息，通过这个信息有针对性地给这些用户发送各种各样的广告，这些广告其实大数据留言，来影响到很多的网民的判断。

    第二个事情是什么？第二个事件我们看到谷歌，欧盟的话现在它对谷歌的反垄断的调查案，也是旷日持久。而在对谷歌的反垄断调查之中，欧盟现在举出更多的实例，就指出：谷歌涉嫌通过安卓手机系统通过谷歌地图这些应用，广泛而全面地收集用户的个人数据，而这些数据并没有得到他们理应得到的保护和谨慎稳妥的使用。

第三个事件是什么？第三个事件就是说，这次欧盟的通用数据保护条例，真是动了真格的了，处罚条款是：如果说经过欧盟认定说，你企业比如说谷歌，比如说Facebook，甚至比如说咱们中国的腾讯、阿里，只要你在欧盟的地盘上开展你的互联网及信息业务，而又被欧盟认定你违反了或者严重违反了通用数据保护条例的话，对你的处罚是两条，要么就是处罚以2000万欧元的一次性罚款，约合人民币1.5个亿，还有一个是什么？或者是你企业上一财年的全球营业总收入的4%。好家伙！最低罚款不能低于2000万欧元！我们想想苹果、谷歌、微软，包括咱们的什么腾讯、阿里，你想想它全球的营业总额一年那是多少钱？这个的4%，这真的叫天价罚单。

    好，我们反过头来看，通用数据保护条例出来以后是冰火三重天，什么叫冰火三重天？第一重天是什么？很多的民众包括支持者是欢呼雀跃，说我们终于迎来了一个负责任的对个人大数据、对个人隐私信息的充分保护的法律法规，这是全世界首次的，从来没有过的。另外一方面，像谷歌，尤其是谷歌和Facebook跳出来说，实在这是有碍于、会阻碍整个全球信息产业的进步。扎克伯格小扎他在5月的22号也乖乖的去布鲁塞尔欧盟议会的所在地进行什么？进行作证，作什么证？我们刚才提到的他的几千万用户数据的隐私泄露问题，而且他主动表态，我们要积极做出调整，符合新的通用数据保护条例。

    全球法律界的人士对此是争议不休，有唱衰的，有唱好的。不管是唱多还是唱空，欧盟这个条例，你尽管可以对它有各种各样的不满，但是它已经作为在整个的欧盟成员国都试用的通用的一项法律，而且法律是具有两个鲜明的特征，一个特征是它高于欧盟成员国的国内法，第二它拥有域外法权，什么叫域外法权？就是说哪怕刚才我们提到了阿里，你注册地在中国，对不对？百度在中国，但是你只要在欧盟地区、欧盟市场开展业务，你必须要什么？遵循这个条例。

 我们耳熟能详的微信，中国的用户，咱们每个朋友平时都在用微信，对不对？你们知道，微信在欧洲的国际版最近做出了重大的更改，它不停地更新，为什么要更新？它要满足通用数据保护条例的要求，比如说在微信里头，我们看到最新的版本是5.0.1的QQ国际版的官网，还有微信的相关的版本，他们都将隐私的政策的更新于2018年的5月23号，而这些改变在咱们国内的QQ或者微信上还没看到。说实话有些人就是贱，你不一个大棒子压在他头上，他不会主动的对自己的权利作出任何的让步，也不会对攫取我们用户的数据的权利作丝毫的放松。

在咱们中国的市场中，尤其是通信互联网络的市场中，有很多的故事耳熟能详。比如说有用户投诉，投诉说什么？我为什么不能注销我的账户，而这些在欧洲的欧盟的通用数据保护条例里头做了严格的说明，这个说明就叫做被遗忘权，以及充分的一般权利。这两个词是它GDPR的里面的原始的专业的词汇，我来解读一下。被遗忘权是什么？这个数据我如果置之不管了，这个账户如果连续多少天不登陆了，条例要求你平台服务商必须主动的把账号关闭，以及和删除所有的和这些账号相关的之前用户录入的，或者在网上进行交流，进行买卖，进行交易时候留下来的信息的痕迹，你必须都删除，如果不删除的话，对不起，你犯法了。这是第一条对吧？这叫被遗忘权。

还有第二条是什么？用户有充分的一般权利，什么叫一般权利？用户可以充分的自由的访问你企业存储的我的信息！比如说百度搜索，我每天在搜索框里搜入关键词，然后得出搜索结果，我每天在微信里头键入我们要聊天的信息，你都知道他都存了你哪些信息吗？如果在欧盟的法律的要求之下，我们任何一个用户都有权利自由的充分的去访问，方便的去访问某一家企业，存储了我们的任何的信息。第二个可篡改权，就是说用户我是合法用户，我一定能够更改我的账户信息，现在好多是霸王条款，你注册完了就不让改了对不对？这是第二点是吧？然后还有什么？我可以主动的删除，我可以主动删除。还有第三项权利很重要，就是可携带权，什么叫可携带权？我今天注册在微博，我可以把我的信息整体搬移到什么？搬移到微信，也就是说过去我们是不是看到好多的数据之间是根本不互联互通的，现在用户自己就有充分的权利，我可以随时的进行用户数据的转移，这叫可携权。

【新闻背景】

据美国媒体报道，新规刚出边迎面痛击美国谷歌和facebook两大科技巨头，欧盟或以收集用户私人数据为由，欲开出37亿欧元和39亿欧元的天价罚款。目前，Facebook及其旗下的两个社交平台Insragram和WhatsApp均受到指控，而谷歌也因安卓系统非法收集用户信息而被控诉。国内方面，腾讯反应迅捷，2018年5月23日在QQ国际版官网详细说明了所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点、信息保留时长等系列隐私问题的更新方案。阿里云表示，他们已从平台、系统、产品、服务、合规、流程、政策等全方面进行改进。按照GDPR的要求，持续进行数据保护与相关服务的整改，相关工作已经准备就绪。

据一项欧盟的调查来说，一半的企业表示自己现在没办法满足欧盟的这么严格的要求！满足不了怎么办？满足不了不能硬扛着，你比如说，大家都知道吃鸡游戏，今天晚上你大吉大利，今晚吃鸡，什么荒野逃生这些的这种吃鸡的游戏，你肯定是受很多的拥趸或者是游戏迷，但是在欧洲的服务器暂时关停，为什么？因为关于游戏内部对于用户信息的很多的获取保护等等，现在是不满足GDPR了。整个的GDPR现在还要求什么？整个的数据如果发生了泄漏，用户有权利在第一时间得到警告得到提醒，而不是说像过去一样，好多企业的数据库明明被黑客已经攻击掉了，比如说这几年我们列举一下雅虎邮箱，曾有大量的用户数据被泄，对吧？苹果的icloud，大量的用户被黑，是不是这些情况发生的时候，很多用户什么时候才知道，很多客户都是说很多已经炒到社交网络上的时候，我才知道。其实GDPR规定一旦今后发生这种情况，作为服务的平台，你必须第一时间警告自己的用户，第一时间提醒自己用户。

    比如说华为，因为华为的手机大家知道在欧洲市场卖的是相当的好，华为近期包括余承东，包括很多的它的徐直军等等，都纷纷表态说：我们华为也要积极的应对欧盟的相关的合规性。

今天当整个酝酿已久的通用数据保护条例在欧盟各个地区开始正式实施的时候，我们知道这一天，我们对于个人数据用户隐私的保护的意识必须要增强的。另外最后再补充两点，也很关键的是，这是要告诫所有的中国企业，你首先要判定自己在欧盟的境内是不是已经在提供产品和服务了。大家注意，还有就是在我们的自己的战略的规划过程中，计划过程中，你有没有意图向欧盟的市场进行相关的服务，或者软硬件产品的投放。如果有的话，你就必须严格的要遵循GDPR。还有GDPR对于数据的处理，不适用于打印在纸上的数据，它是适用于可进行电子化批量化处理的电子类的信息数据。

对于数据的泄露的响应，现在要求更高了，对于很多安全公司来说，或者安全监控公司来说，它就有了自己的机会，对不对？我会警告你，你这边还有，当你企业发生、第一时间发现问题的时候，你如何在第一时间通知到你自己的所有的用户？这里面就蕴含蕴藏着大量的机会了，对不对？还有数据治理和数据库存，包括对于数据库的管理，数据库的安全的保护、防护给它加道锁。实际上也让更多的数据的锁匠有了更多的空间。还有什么？数据的擦除对不对？ GDPR规定了，如果超过一定期限数据必须要永久性的删除，是不是真的删除了，用什么样的方法进行删除？

    因为我们搞计算机的都知道，你想彻彻底底的删除存储在信息网络上的数据不是容易的，对吧？第一有大量的缓存机制的存在，你就算删了缓存之后，无论是磁存储还是光电存储，还是说现在最新的半导体的flash式的存储，也就是闪存盘闪存等等这些存储的话，实际上它都有一些数据的可恢复机制。数据的可恢复机制与数据擦除之间如何进行协调？中间又有很大的商机，对吧？还有客户的透明度，数据的可移植性，第三方管理隐私工程，人力资源的投资要培养相关的人，一整条的产业链都会有很多的商业机会以及就业机会、岗位的出现。

    我们最后看一组数据，来自英国、爱尔兰、德国、奥地利、瑞士的消费者对数据隐私法律一般看法，81%的受访者认为这是一件好事，详细解释之后，90%的受访者认为它的原则是对消费者有利的。最后我不禁想起了李彦宏，前不久虽然有点断章取义，但是他说的原话恐怕也是言由心生，他说：中国的消费者其实对隐私保护没那么敏感，但是我提醒大家，包包提醒大家，当GDPR出台之后，我们也应该敏感起来了。

编辑：远见财讯  一股清泉文化传媒

转载请注明