[[230772]]

《歐盟數(shù)據(jù)保護(hù)通用條例》(General Data Protection Regulation，簡(jiǎn)稱GDPR)已于5月25日正式實(shí)施。從2016年發(fā)布至今，兩年的過渡期轉(zhuǎn)瞬間就過去了，數(shù)字化企業(yè)大佬們有沒有做好準(zhǔn)備，在GDPR的槍口下，全球性的企業(yè)能在歐盟合法地做生意嗎?

GDPR對(duì)數(shù)據(jù)隱私的部分保護(hù)條款有悖我們的"常理"，所以這就更需要企業(yè)領(lǐng)導(dǎo)以及產(chǎn)品業(yè)務(wù)的設(shè)計(jì)者學(xué)習(xí)了解，哪些行為違規(guī)，哪些動(dòng)作存在風(fēng)險(xiǎn)。雖說法律工作者提供了非常詳細(xì)專業(yè)的解讀和分析，也給出了不少應(yīng)對(duì)的策略和路徑，但是對(duì)于絕大部分中國(guó)企業(yè)來說，對(duì)于GDPR的重視和理解程度仍不充分。

尤其是準(zhǔn)備積極投身全球市場(chǎng)的互聯(lián)網(wǎng)企業(yè)，國(guó)內(nèi)對(duì)野蠻生長(zhǎng)的寬容以及企業(yè)自身的快速發(fā)展掩蓋了很多問題，年輕的他們還不太理解"合規(guī)經(jīng)營(yíng)"的分量，以及違規(guī)的風(fēng)險(xiǎn)。而GDPR里很多的規(guī)則涉及到了互聯(lián)網(wǎng)數(shù)字化企業(yè)經(jīng)營(yíng)的核心，GDPR生效后，個(gè)人以為：大數(shù)據(jù)和云服務(wù)這兩類企業(yè)被GDPR擊中的概率比較高。

上周談的主要是大數(shù)據(jù)，今天說說和云計(jì)算有關(guān)的事情。

此前對(duì)數(shù)據(jù)跨境流動(dòng)的限制

曾幾何時(shí)，我對(duì)歐盟數(shù)據(jù)保護(hù)要求的理解就是六個(gè)字：數(shù)據(jù)不能出境。之所以有這么深的印象，主要原因就是1995年歐盟發(fā)布過非常嚴(yán)格的《數(shù)據(jù)保護(hù)指令》。

根據(jù)指令規(guī)定："只有當(dāng)?shù)谌絿?guó)家通過相關(guān)國(guó)內(nèi)法或者國(guó)際承諾，對(duì)個(gè)人數(shù)據(jù)提供充分保護(hù)時(shí)，才允許歐盟公民個(gè)人信息的轉(zhuǎn)移、存儲(chǔ)到該第三方國(guó)家進(jìn)行處理。那么這樣的國(guó)家都有誰呢?瑞士、新西蘭、加拿大、阿根廷等。這里既沒有美國(guó)，也沒有中國(guó)。

歐盟這樣嚴(yán)格地進(jìn)行數(shù)據(jù)保護(hù)，根本原因是注重公民的個(gè)人隱私和權(quán)益;而大洋彼岸的美國(guó)則不然，更從科技和商業(yè)的視角看數(shù)據(jù)處理的規(guī)則定義。尤其當(dāng)互聯(lián)網(wǎng)第一波快速發(fā)展是由美國(guó)企業(yè)推動(dòng)的，主要采取"行業(yè)分散保護(hù)機(jī)制"，無法滿足歐盟的成分保護(hù)要求。于是在2000年，美國(guó)和歐盟達(dá)成了一個(gè)"安全港協(xié)定"，明確只要美國(guó)企業(yè)加入安全港，并公開承諾遵守安全港的要求，就可以將歐盟的個(gè)人數(shù)據(jù)轉(zhuǎn)移到美國(guó)進(jìn)行處理了。

這就像給嚴(yán)苛的《數(shù)據(jù)保護(hù)指令》開了一個(gè)后門，允許不符合要求的美國(guó)人轉(zhuǎn)移數(shù)據(jù)，能開這個(gè)后門當(dāng)然是出于對(duì)美國(guó)的信任，然而美國(guó)卻辜負(fù)了這份信任。

2013年斯諾登提供的文件顯示，美國(guó)情報(bào)機(jī)構(gòu)可以利用這個(gè)"后門"進(jìn)行監(jiān)聽監(jiān)控。丑聞曝光后，歐盟成員國(guó)們紛紛質(zhì)疑安全港協(xié)定對(duì)個(gè)人數(shù)據(jù)的保護(hù)能力，最終2015年10月，歐盟法院否決安全港協(xié)定，美國(guó)企業(yè)轉(zhuǎn)移數(shù)據(jù)就成了"違法行為"。于是，2016年2月歐盟和美國(guó)又宣布達(dá)成了"歐盟-美國(guó)隱私盾"協(xié)定，對(duì)相關(guān)企業(yè)施以更加嚴(yán)苛的管理方式;而到4月份，GDPR就發(fā)布了。

諾大的世界，只有歐盟認(rèn)可的少數(shù)國(guó)家以及和歐盟達(dá)成特殊協(xié)定的美國(guó)可以把歐盟的數(shù)據(jù)拿走，可以說歐盟對(duì)于數(shù)據(jù)保護(hù)是最保守的。實(shí)際上不止歐盟，其他國(guó)家和地區(qū)也都有類似的法規(guī)和規(guī)則，雖然在具體條款上有不同，但核心都是對(duì)數(shù)據(jù)出境進(jìn)行限制。

比如中國(guó)的《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)出境辦法》中規(guī)定，原則上，通常情況下個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)存放在中國(guó)境內(nèi)，只有因業(yè)務(wù)需要必須向境外提供，且通過安全評(píng)估的，才能傳輸至境外。而評(píng)估的規(guī)則和流程也是非常繁復(fù)，相信如果不是真的特別必須，也沒有多少人去申請(qǐng)?jiān)u估。

GDPR適度放松了數(shù)據(jù)跨境流動(dòng)的限制

雖然號(hào)稱是史上最嚴(yán)格的數(shù)據(jù)保護(hù)條例，其實(shí)GDPR對(duì)數(shù)據(jù)出境是有利的。

為什么這么說呢?

首先是條款設(shè)計(jì)和描述更加清晰準(zhǔn)確，企業(yè)能明確知道什么可以做，什么不能做，需要得到哪些許可。比如明確只要符合GDPR規(guī)定的合法條件，數(shù)據(jù)就能出境，歐盟各成員國(guó)不能再以許可證方式管理數(shù)據(jù)跨境流動(dòng)問題。

其次是擴(kuò)展了標(biāo)準(zhǔn)合同條款。除了保留已經(jīng)生效的3個(gè)標(biāo)準(zhǔn)合同范本之外，還允許成員國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)指定其他標(biāo)準(zhǔn)合同條款。這個(gè)變化既擴(kuò)展了商業(yè)合作空間，也給企業(yè)帶來商業(yè)模式創(chuàng)新的可能。

第三是認(rèn)定了"有約束力的公司規(guī)則"(BCR)的合法性。這意味著，如果企業(yè)集團(tuán)獲得了BCR的認(rèn)可，那么個(gè)人數(shù)據(jù)就可以合法地從集團(tuán)內(nèi)的一個(gè)成員傳輸?shù)搅硪粋€(gè)成員那里，這對(duì)于跨國(guó)企業(yè)來說，可謂是一勞永逸的解決之道。

從這些解讀中可以看出，相對(duì)于此前的《數(shù)據(jù)保護(hù)指令》，GDPR定義了明確的數(shù)據(jù)跨境流動(dòng)的方式和通道，這主要是為了適應(yīng)互聯(lián)網(wǎng)的發(fā)展。

互聯(lián)網(wǎng)企業(yè)不會(huì)像傳統(tǒng)行業(yè)那樣四處建實(shí)體，大都通過一個(gè)點(diǎn)提供覆蓋全球的服務(wù)，這就不可避免地涉及到數(shù)據(jù)的跨境流動(dòng)和境外處理。換句話說，如果讓互聯(lián)網(wǎng)企業(yè)在每個(gè)國(guó)家(或者區(qū)域)建立一套系統(tǒng)，那么就會(huì)大大增加他的建設(shè)和運(yùn)營(yíng)成本，業(yè)務(wù)也就很可能玩不動(dòng)了。

所以歐盟還恪守此前的僵化規(guī)則，就可能迫使互聯(lián)網(wǎng)企業(yè)遠(yuǎn)離歐洲。但如今互聯(lián)網(wǎng)逐漸成為趨勢(shì)，如果互聯(lián)網(wǎng)企業(yè)不把業(yè)務(wù)覆蓋到歐洲，他們就難以體會(huì)到科技帶來的紅利和價(jià)值，長(zhǎng)此以往，后果可想而知。

在保護(hù)公民的隱私權(quán)和跟上時(shí)代發(fā)展這兩難選擇中，歐盟最終選擇了后者，我覺得這是明智的。

云計(jì)算企業(yè)會(huì)被GDPR擊中么

從前面的分析看來，由于在數(shù)據(jù)跨境流動(dòng)的規(guī)則更加清晰、細(xì)化、可操作，云服務(wù)企業(yè)進(jìn)入歐洲市場(chǎng)似乎比以前更容易了。比如提供SaaS服務(wù)的企業(yè)，只要經(jīng)過合規(guī)認(rèn)定，即便將服務(wù)器和存儲(chǔ)設(shè)備放在歐洲之外，也可以為歐盟客戶提供服務(wù)。然而數(shù)據(jù)跨境流動(dòng)規(guī)則的改善只是解決了云服務(wù)提供商的部分問題，更大的風(fēng)險(xiǎn)在于：歐盟數(shù)據(jù)保護(hù)規(guī)則的設(shè)定與云計(jì)算商業(yè)模式之間，還可能存在沖突。

為了更全面地進(jìn)行數(shù)據(jù)的安全保障，GDPR對(duì)數(shù)據(jù)的控制者(如云計(jì)算的客戶)和數(shù)據(jù)的處理者(如云服務(wù)提供商)提出了同樣的要求，這一政策的本意是讓接觸數(shù)據(jù)的各個(gè)企業(yè)都承擔(dān)起數(shù)據(jù)安全保護(hù)的責(zé)任，但是云計(jì)算是由多層次組成的，強(qiáng)調(diào)開放性和企業(yè)之間的自由組合與協(xié)作。這二者放在一起，就產(chǎn)生了矛盾沖突。

比如，GDPR要求，如果沒有數(shù)據(jù)控制者授權(quán)，數(shù)據(jù)處理者不應(yīng)聘用另一個(gè)處理者;如果數(shù)據(jù)控制者反對(duì)，那么數(shù)據(jù)處理者就不能將數(shù)據(jù)提供給第三方。那這是不是意味著：PaaS平臺(tái)發(fā)展任何一個(gè)用戶、開發(fā)任何一個(gè)應(yīng)用，都必須事先征得IaaS廠商的同意?

再比如，GDPR要求，數(shù)據(jù)處理者必須在收到數(shù)據(jù)控制者書面通知后才可以處理數(shù)據(jù)。這條規(guī)定在云服務(wù)場(chǎng)景中幾乎是不可能實(shí)現(xiàn)的：得不到上層應(yīng)用的書面通知，底層的基礎(chǔ)設(shè)施和平臺(tái)就不能對(duì)數(shù)據(jù)進(jìn)行處理?

云計(jì)算服務(wù)提供商與其客戶簽署的合作協(xié)議或合同本來是你情我愿的市場(chǎng)行為，雙方根據(jù)自己的訴求協(xié)商最終確定任務(wù)分工和利益分配，根據(jù)客戶的實(shí)際情況，云服務(wù)企業(yè)可以提供不同檔次的服務(wù)和能力。由于云服務(wù)在全球只是剛剛起步，因此這種合作往往是由云服務(wù)企業(yè)提供一個(gè)模板，然后與客戶通過談判最終商定。

然而GDPR對(duì)于數(shù)據(jù)安全保護(hù)的要求必須落實(shí)到雙方的合同里，而這些細(xì)則又和云服務(wù)的基本規(guī)則有沖突，這很可能會(huì)導(dǎo)致云服務(wù)商面對(duì)GDPR時(shí)無所適從。

Gartner剛剛發(fā)布了全球IaaS魔力象限圖，AWS和Azure依然遙遙領(lǐng)先，Google第一次進(jìn)入了領(lǐng)導(dǎo)者區(qū)域。更讓吃瓜群眾們吃驚的是：這次發(fā)布的魔力象限中只剩下六個(gè)玩家，除了三個(gè)領(lǐng)導(dǎo)者之外，還有阿里云、Oracle和IBM。

除了阿里云，都是美國(guó)公司。

這些非歐盟企業(yè)能在歐洲做生意么，怎么做才算是符合GDPR規(guī)則的?相對(duì)于其他企業(yè)，云服務(wù)提供商面臨的問題更復(fù)雜，往往不是不想合規(guī)，而是一不小心就違規(guī)，GDPR的子彈真可能會(huì)打在云服務(wù)企業(yè)身上。