[[229798]]

5月25號(hào)，也就是幾天后，《歐盟數(shù)據(jù)保護(hù)通用條例》(General Data Protection Regulation，簡(jiǎn)稱GDPR)就正式實(shí)施了。從2016年發(fā)布至今，兩年的過(guò)渡期轉(zhuǎn)瞬間就過(guò)去了，數(shù)字化企業(yè)大佬們有沒(méi)有做好準(zhǔn)備，在GDPR的槍口下，全球性的企業(yè)能在歐盟合法地做生意嗎?

GDPR對(duì)數(shù)據(jù)隱私的部分保護(hù)條款有悖我們的"常理"，所以更需要企業(yè)領(lǐng)導(dǎo)以及產(chǎn)品業(yè)務(wù)的設(shè)計(jì)者學(xué)習(xí)了解，哪些行為違規(guī)，哪些動(dòng)作存在風(fēng)險(xiǎn)。雖說(shuō)法律工作者提供了非常詳細(xì)專業(yè)的解讀和分析，也給出了不少應(yīng)對(duì)的策略和路徑，但是對(duì)于絕大部分中國(guó)企業(yè)來(lái)說(shuō)，對(duì)于GDPR的重視和理解程度仍不充分。

尤其是準(zhǔn)備積極投身全球市場(chǎng)的互聯(lián)網(wǎng)企業(yè)，國(guó)內(nèi)對(duì)野蠻生長(zhǎng)的寬容以及企業(yè)自身的快速發(fā)展掩蓋了很多問(wèn)題，年輕的他們還不太理解"合規(guī)經(jīng)營(yíng)"的分量，以及違規(guī)的風(fēng)險(xiǎn)。而GDPR里很多的規(guī)則涉及到了互聯(lián)網(wǎng)數(shù)字化企業(yè)經(jīng)營(yíng)的核心，GDPR生效后，個(gè)人以為：大數(shù)據(jù)和云服務(wù)這兩類企業(yè)被GDPR擊中的概率比較高。

今天先探討下大數(shù)據(jù)的情況。既然是數(shù)據(jù)保護(hù)方面的法規(guī)，大數(shù)據(jù)企業(yè)在中槍排行榜的排序是相當(dāng)靠前的。這不僅包括從事數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析以及數(shù)據(jù)呈現(xiàn)的企業(yè)，甚至包括大數(shù)據(jù)的使用者，也可能中槍。

相關(guān)的條款非常多，這里我只挑幾個(gè)可能性比較大的說(shuō)說(shuō)：

1. 對(duì)于“合法”的定義非常嚴(yán)苛

根據(jù)GDPR的要求，處理個(gè)人數(shù)據(jù)必須要有合法理由和方式，而對(duì)于“合法”的定義非常嚴(yán)苛。

首先，必須事先征得數(shù)據(jù)主體的同意，而且"同意"必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。比如國(guó)內(nèi)企業(yè)常用的，以小字號(hào)淡顏色甚至缺省方式獲取用戶的授權(quán)，通過(guò)冗長(zhǎng)晦澀的隱私政策來(lái)獲取用戶同意，或者讓用戶在簽訂業(yè)務(wù)協(xié)議時(shí)通過(guò)"打勾"作出一攬子授權(quán)，都可能被認(rèn)定為違規(guī)。

那么如果企業(yè)將數(shù)據(jù)使用的范圍擴(kuò)大了呢?無(wú)論是將數(shù)據(jù)提供給了第三方，還是把數(shù)據(jù)作為企業(yè)對(duì)外服務(wù)的一部分(比如提供給廣告企業(yè)作為營(yíng)銷推廣對(duì)象，或者作為對(duì)外發(fā)布的報(bào)告中的案例)，都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意。

其次，GDPR賦予數(shù)據(jù)主體可以隨時(shí)撤回同意的權(quán)利，而且數(shù)據(jù)控制者應(yīng)當(dāng)明確告知用戶現(xiàn)有該權(quán)利，并為用戶方便地行使該權(quán)利提供便利。用戶提出撤回之后，就意味著用戶不再"同意"，企業(yè)再使用這些數(shù)據(jù)就是違規(guī)的了。

企業(yè)經(jīng)客戶同意后獲取了數(shù)據(jù)，但用戶后悔了，提出刪除要求，企業(yè)就要從浩如煙海的數(shù)據(jù)里找到相關(guān)數(shù)據(jù)(包括原始數(shù)據(jù)以及基于這些數(shù)據(jù)處理之后的信息)并刪除。不僅如此，如果這組數(shù)據(jù)已經(jīng)傳播出去，或者給第三方使用了，這個(gè)企業(yè)還有責(zé)任通知數(shù)據(jù)的使用者刪除。

還有，在處理兒童個(gè)人數(shù)據(jù)時(shí)，必須獲得其父母或者其他監(jiān)護(hù)人的同意。這個(gè)舉證行為責(zé)任在于數(shù)據(jù)控制者，真產(chǎn)生糾紛的時(shí)候必須由數(shù)據(jù)控制者提供證據(jù)，來(lái)證明其從監(jiān)護(hù)人那里獲得了"同意"。這意味著如果和企業(yè)打交道的是熊孩子，企業(yè)就得先識(shí)別出來(lái)他是兒童，再?gòu)母改富蛘弑O(jiān)護(hù)人那里或者正式的確認(rèn)證據(jù)，才能進(jìn)行下一步操作。

2. GDPR中明確定義了數(shù)據(jù)主體的權(quán)利

GDPR在為個(gè)人有效行使權(quán)利提供法律保障的同時(shí)，也對(duì)企業(yè)處理和使用數(shù)據(jù)提出了苛刻的要求。

首先，數(shù)據(jù)控制者必須以清楚、簡(jiǎn)單、明了的方式向個(gè)人說(shuō)明，其個(gè)人數(shù)據(jù)是如何被收集處理的。這些信息不僅包括數(shù)據(jù)控制者的身份和聯(lián)系方式、數(shù)據(jù)的接收者或數(shù)據(jù)接收者的類型、還要包括個(gè)人數(shù)據(jù)的保留周期以及采取該周期的理由。如果涉及自動(dòng)化的數(shù)據(jù)處理，包括數(shù)據(jù)畫像等活動(dòng)，還需要提供基本的算法邏輯以及針對(duì)個(gè)人的運(yùn)算結(jié)果。

敲黑板，看重點(diǎn)：那些拿客戶數(shù)據(jù)打標(biāo)簽做畫像的，要提供基本算法邏輯和運(yùn)算結(jié)果。

其次，個(gè)人有權(quán)獲得其提供給數(shù)據(jù)控制者的相關(guān)個(gè)人數(shù)據(jù)，且其獲得的個(gè)人數(shù)據(jù)應(yīng)當(dāng)是結(jié)構(gòu)化的、普遍可使用的和機(jī)器可讀的。如果技術(shù)可行，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)將個(gè)人數(shù)據(jù)直接從一個(gè)控制者傳輸?shù)搅硪粋€(gè)控制者。

還好，有"技術(shù)可行"四個(gè)字，否則如果用戶提出要求："把我在京東上的購(gòu)買記錄同步到淘寶上"，而后臺(tái)京東和淘寶就要聯(lián)網(wǎng)對(duì)接實(shí)現(xiàn)數(shù)據(jù)的自動(dòng)搬遷。而第二天用戶提出反向的要求之后，兩家公司還得攜手把數(shù)據(jù)搬回去。

還有更可怕的規(guī)則：當(dāng)用戶依法撤回同意，或者控制者不再有合法理由繼續(xù)處理數(shù)據(jù)等情形時(shí)，用戶有權(quán)要求刪除數(shù)據(jù)。如果控制者將個(gè)人數(shù)據(jù)進(jìn)行了公開(kāi)傳播，應(yīng)該采取所有合理的方式予以刪除，控制者有責(zé)任通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者，刪除關(guān)于數(shù)據(jù)主體所主張的個(gè)人數(shù)據(jù)鏈接、復(fù)制件。

控制者不僅要?jiǎng)h除自己所控制的數(shù)據(jù)，還要承擔(dān)對(duì)其公開(kāi)傳播的數(shù)據(jù)進(jìn)行處理，互聯(lián)網(wǎng)的世界如此開(kāi)放，要確定并通知所有的第三方停止利用并刪除，這幾乎是不可能完成的任務(wù)。然而這確確實(shí)實(shí)是GDPR的條款，雖然條款里面還有可回旋的余地，但足以讓那些基于"數(shù)據(jù)+傳播"開(kāi)展精準(zhǔn)營(yíng)銷等業(yè)務(wù)的企業(yè)不寒而栗。

這個(gè)條款之下，更可憐的是那些使用數(shù)據(jù)的企業(yè)，他們并不是直接獲取數(shù)據(jù)的，所以并不知道從別人那里買過(guò)來(lái)的一坨數(shù)據(jù)和信息中，那些可能會(huì)因?yàn)榭蛻舻某坊囟仨殑h除;而如果他們也只是數(shù)據(jù)加工企業(yè)，還要承擔(dān)責(zé)任去告知他們的客戶，把哪些數(shù)據(jù)和內(nèi)容刪除處理。如果這是一串依托數(shù)據(jù)開(kāi)展運(yùn)營(yíng)的企業(yè)，那么真難以想象一個(gè)用戶刪除信息的要求，會(huì)導(dǎo)致什么樣的連鎖反應(yīng)。

3. GDPR其他規(guī)則需要關(guān)注的問(wèn)題

直接交易客戶因素?cái)?shù)據(jù)肯定是違法的，所以很多玩大數(shù)據(jù)的企業(yè)，現(xiàn)在都是通過(guò)與其他企業(yè)合作獲取數(shù)據(jù)和信息，然后將這些數(shù)據(jù)留存后，并與別的數(shù)據(jù)進(jìn)行整合，產(chǎn)生出新的價(jià)值。然而這種方式與GDPR的規(guī)定沖突極大。

鋌而走險(xiǎn)的代價(jià)會(huì)多大?

對(duì)于違法行為，GDPR并沒(méi)有設(shè)置具體的罰金幅度，而是設(shè)定兩個(gè)檔次的***金額限制：

1. 1)輕者處以1000萬(wàn)歐元或者上一年度全球營(yíng)收的2%，兩者取其高;
2. 2)重者處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%，兩者取其高。

什么是輕?違反隱私保護(hù)設(shè)計(jì)，以及默認(rèn)隱私保護(hù)，沒(méi)有實(shí)施充分的IT安全保障措施、違反數(shù)據(jù)泄露通知要求，屬于能力問(wèn)題。

什么是重?違反數(shù)據(jù)處理原則，數(shù)據(jù)處理沒(méi)有合法基礎(chǔ)，違法同意要求，侵害數(shù)據(jù)主體的合法權(quán)利，屬于態(tài)度問(wèn)題。

這么嚴(yán)苛的規(guī)則和罰則，足以把違規(guī)者罰死。有報(bào)道分析，GDPR實(shí)施的***年，歐盟的罰款收入可達(dá)60億美金;如果真抓著一個(gè)大家伙，這個(gè)數(shù)字顯然過(guò)于保守。

那么惹不起，能躲得開(kāi)么?

GDPR的實(shí)施范圍可以從兩個(gè)維度來(lái)看。

首先，是成立地在歐盟的機(jī)構(gòu)必須遵循GDPR，無(wú)論數(shù)據(jù)處理的活動(dòng)是否發(fā)生在歐盟境內(nèi)。

其次，成立地在歐盟以外的機(jī)構(gòu)，只要其在提供產(chǎn)品或者服務(wù)的過(guò)程中，無(wú)論是收費(fèi)還是免費(fèi)，只要處理歐盟境內(nèi)個(gè)體的個(gè)人數(shù)據(jù)，就必須遵循GDPR。尤其是后面這條規(guī)則，意味著無(wú)論你是不是把服務(wù)器放在了歐盟里，只要你為歐盟范圍之內(nèi)的客戶提供服務(wù)，就在GDPR的管控范圍內(nèi)。

看起來(lái)在歐洲做大數(shù)據(jù)生意，難度越來(lái)越大。那如日中天的云服務(wù)，在歐洲開(kāi)展業(yè)務(wù)時(shí)遇到GDPR時(shí)，會(huì)不會(huì)出師未捷身先死?下一篇談?wù)勥@個(gè)話題。