新年新氣象，元旦剛過請?jiān)试S我給大家拜個早年~

說話間一年就過去了，回首2018，互聯(lián)網(wǎng)領(lǐng)域可謂是翻天覆地：勒索病毒死灰復(fù)燃，區(qū)塊鏈從“智商稅”搖身一變成為主流產(chǎn)業(yè)，人工智能、人工智障傻傻分不清楚，全民等5G的同時，WPA3也悄悄冒泡刷一下存在感……

但是說到年度網(wǎng)絡(luò)大事件，有一個詞怎么也繞不開，也就是本文的主題——“GDPR”，相信不少人都聽說過。

雖然到現(xiàn)在可能依舊有人不知道什么是GDPR，作為個人，你不知道沒關(guān)系，但從企業(yè)的角度講，尤其是一些巨頭企業(yè)(比如今年像蜂窩煤一樣的Facebook)，一準(zhǔn)是聽到這名字就頭大。而且這半年以來各位有沒有發(fā)現(xiàn)，在各類應(yīng)用程序的使用過程中突然多了很多推送，尤其是關(guān)于用戶協(xié)議方面的?沒錯，就是因?yàn)镚DPR。

什么是GDPR

這東西的名字很無聊，GDPR(General Data Protection Regulation)——通常被翻譯成“通用數(shù)據(jù)保護(hù)條例”。由歐盟在2016年推出，但直到今年也就是2018年5月25日才正式生效，被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)條例”。盡管在法律框架內(nèi)，GDPR僅僅適用于歐盟各國，但實(shí)際上，任何參與到國際貿(mào)易的企業(yè)都可能會涉及到它，這也是為什么多數(shù)甚至不在歐洲的企業(yè)提及GDPR時也會菊花一緊的原因。

這個條例與以往的有什么區(qū)別?

劃個重點(diǎn)：

• 用戶必須可以隨時查看、更改、刪除下載自己的相關(guān)數(shù)據(jù);
• 企業(yè)在收集用戶數(shù)據(jù)之前必須與用戶簽訂相關(guān)協(xié)議;

以及重新定義了一些隱私數(shù)據(jù)的范圍和動輒讓人傾家蕩產(chǎn)的處罰機(jī)制。

總而言之，言而總之，這個條例就是為了保證用戶對自己的數(shù)據(jù)具有完全的控制權(quán)。

怎么說呢，這些條例都還是有道理的，現(xiàn)在的互聯(lián)網(wǎng)講究一個大數(shù)據(jù)，你收集我的數(shù)據(jù)那必須得讓我知道。比如說，我今天早上看了場NBA，然后某電商平臺就瘋狂給我推球鞋球衣，這得讓我知道是為什么;再比如說，我在網(wǎng)上搜了“2014”、“Poxxhub”、“91”之類的關(guān)鍵詞，你得讓我能找到并且能刪掉，不然回頭女朋友看到了我怎么解釋?

所以說，這個條例的出發(fā)點(diǎn)是正確的。

當(dāng)然，16年出臺的，18年才實(shí)施，也是給了各大企業(yè)充足的準(zhǔn)備時間(意思是之前有啥幺蛾子的這兩年趕緊處理了，別回頭怪我沒提醒你)。5月25日的deadline之前，各大公司的準(zhǔn)備工作可謂是空前高漲，內(nèi)部管理、數(shù)據(jù)調(diào)整、政策改動、員工培訓(xùn)……

那為什么所有企業(yè)都會談GDPR色變呢?

究其原因還是處罰力度太大。大到什么程度?違規(guī)行為輕的交1000萬歐或者企業(yè)全年?duì)I收2%，行為重的交2000萬或全年?duì)I收4%(哪個數(shù)額大取哪個)。可能很多人不明白2%或4%到底是個什么水平，簡單來說，很多公司全年的凈利潤基本都到不了4%。(一不留神可就是一年白干)

因此也就有了下面這張圖，來自律師的忠告：如果你無力反抗，那么就放開了享受吧。

[[255071]]

一個簡單的栗子

知名歐洲電話零售商(Carphone Warehouse、Currys PC World和Dixon Carphone)，在2018年被爆出數(shù)據(jù)泄露事件，大約950萬用戶銀行卡信息泄以及120萬個人信息遭到泄露。而這家倒霉公司早在2015年就已經(jīng)因?yàn)樾孤队脩魯?shù)據(jù)被罰過一次款，當(dāng)時被罰了40萬英鎊。

而這次事件由于發(fā)生在GDPR生效之前，所以也不確定是否會根據(jù)新條例來裁定。如果按照以往的條例，罰款最多50萬英鎊，但若是根據(jù)GDPR規(guī)則，罰款可能高達(dá)4.2億英鎊。

所以在GDPR剛生效的時候，部分企業(yè)的網(wǎng)站和服務(wù)立即屏蔽了歐盟地區(qū)的行為也就能說得通了。例如，Tronc旗下眾多知名網(wǎng)站包括《紐約每日新聞》、《洛杉磯時報》、《奧蘭多哨兵報》等，直接就屏蔽了歐洲地區(qū)，也不知道歐洲讀者們看到這個界面的時候是什么心情。

開門紅

GDPR作為本次事件的主角，也著實(shí)沒有讓人失望，在剛剛生效的第一天，就出現(xiàn)了“批斗”目標(biāo)。法國、比利時、德國、奧地利等國家的監(jiān)管機(jī)構(gòu)收到了四起訴訟，分別是針對Facebook、及其旗下的Instagram、WhatsApp，和Google的Android系統(tǒng)，四者被指控強(qiáng)迫用戶共享個人數(shù)據(jù)，并且谷歌還通過系統(tǒng)中應(yīng)用的各種功能采集用戶定位數(shù)據(jù)，并且未向用戶提供相關(guān)信息。

按照GDPR規(guī)則的計(jì)算，若監(jiān)管機(jī)構(gòu)認(rèn)定訴訟成立，則谷歌的母公司Alphabet將面臨最高37億歐元的罰款，而Facebook和兩家子公司也將面臨共計(jì)39億歐元的罰單。

當(dāng)然，兩家企業(yè)不可能就這么坐以待斃，均對指控提出了質(zhì)疑和否認(rèn)，認(rèn)為他們當(dāng)前的措施足以滿足GDPR的要求。當(dāng)然，這一事件也仍然沒有結(jié)論，最終是監(jiān)管機(jī)構(gòu)打臉還是兩家企業(yè)認(rèn)慫，我們的瓜還可以慢慢吃~

實(shí)際的第一例罰款

來自于2018年11月20日的一條新聞：

德國知名社交網(wǎng)站Knuddels因被黑客攻擊從而造成了約八十萬封電子郵件和超過一百八十萬的用戶數(shù)據(jù)泄露，其中33萬封郵件得到了驗(yàn)證。經(jīng)過調(diào)查后發(fā)現(xiàn)，該網(wǎng)站沒有對密碼之類的敏感信息進(jìn)行任何形式的加密保護(hù)，而是直接以明文形式存儲。

最終，Knuddels網(wǎng)站被監(jiān)管機(jī)構(gòu)根據(jù)GDPR條例罰款20000歐元。

……

是的，只罰了兩萬歐，沒有少個零，也沒有分期付。

對此官方給出的解釋是：在計(jì)算問題嚴(yán)重程度時，需要考慮受影響的人數(shù)、問題的性質(zhì)、有關(guān)訴訟、預(yù)防措施、與當(dāng)?shù)乇O(jiān)管部門的合作、違規(guī)記錄以及數(shù)據(jù)保護(hù)人員的通知行為等等諸多因素。

嗯，實(shí)施剛剛開始，似乎就引發(fā)了無休止的爭論。但至少通過這則新聞，我們又知道了GDPR也是靈活多變的。

數(shù)據(jù)泄露年 or 數(shù)據(jù)保護(hù)年

屋漏偏逢連夜雨，正當(dāng)新法案風(fēng)風(fēng)火火“上任”時節(jié)，世界各地也是安全事件頻發(fā)：

• 3月，F(xiàn)acebook用戶8700萬條數(shù)據(jù)被泄露和濫用;
• 3月，知名運(yùn)動品牌Under Armour約1.5億用戶數(shù)據(jù)通過手機(jī)程序MyFitnessPal泄露;
• 5月，國泰航空因黑客攻擊導(dǎo)致540萬用戶數(shù)據(jù)泄露;
• 8月，華住旗下多家酒店用戶信息在暗網(wǎng)出售，總量近5億;
• 8月，順豐用戶數(shù)據(jù)被掛在暗網(wǎng)出售，涉及3億用戶;
• 9月，英國航空公司38萬用戶數(shù)據(jù)遭到泄露;
• 11月，萬豪酒店被曝約5億用戶數(shù)據(jù)泄露;
• 12月，陌陌3000萬用戶數(shù)據(jù)泄露并遭到售賣;
• ……

因?yàn)槭掳l(fā)時間與新聞曝出時間存在一定的間隔，所以基本上多數(shù)收到影響的企業(yè)都需要經(jīng)過一番GDPR的洗禮，具體怎么處理，還需要經(jīng)過調(diào)查核實(shí)后我們才能知曉。

可以確定的是，作為史上最為嚴(yán)厲、最為翔實(shí)的一部保護(hù)數(shù)據(jù)安全法規(guī)，對當(dāng)前愈演愈烈的信息安全問題來說無異于一劑猛藥。如同一頂緊箍咒，在安全層面上，將企業(yè)套牢。

但凡事皆有兩面性，不能因?yàn)楣饷⑻⒕秃雎粤岁幱暗拇嬖?。從廣義上來說，過于嚴(yán)苛的保護(hù)條例以及高額的罰款必然會讓一部分企業(yè)望而卻步，就此放棄歐洲市場，這對原本就處于經(jīng)濟(jì)下滑期的歐盟來說也是無法承受的結(jié)果。狹義上講，在GDPR的實(shí)施范圍內(nèi)，不同國家不同地區(qū)的法律法規(guī)也各有不同，并且其條例本身也仍然存在一些爭議。因此在不論是普及或是實(shí)施階段，都將面臨著不小的挑戰(zhàn)。

總的來說，在數(shù)據(jù)保護(hù)層面，GDPR的出現(xiàn)代表著世界安全意識的進(jìn)步。但究竟在未來會產(chǎn)生什么影響，我們誰也說不準(zhǔn)。但總要有第一個吃螃蟹的人，無論他的成敗得失都將成為我們后來者學(xué)習(xí)和借鑒的榜樣。