5月25日,欧盟数据保护法GDPR(《通用数据保护条例》)正式生效,该条例被视为“史上最严”数据监管条例。
值得注意的是,它不仅针对注册地在欧盟的企业,甚至于非欧盟的企业,只要提供产品或服务的过程中涉及欧盟境内个体数据,便必须遵循GDPR。而一旦企业违法,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。
天价罚款悬在企业的头上,如同无形的利剑。数据分析公司SAS调研称,随着GDPR大限到来,全球仅有49%的企业表示它们能按期达到GDPR的合规要求,目前仅有7%的企业已经完成了规范整改。近半数的受访企业表示,这一新规将对公司的AI及大数据相关项目产生重大影响。
无论是向欧盟个人递送货物,还是定向投放广告,都在条例的监管范围之内。与此密切相关的社交、电商、云计算等新兴领域,对中国公司的国际化将带来严峻考验。
小米首席架构师、人工智能与云平台副总裁崔宝秋博士在贵阳数博会上表示,整个行业都需要全力提升数据安全和隐私保护的意识,加大设计和研发投入,以加速符合GDPR的要求。此外,做出响应的还有腾讯、阿里巴巴、华为等公司。业界普遍看来,GDPR既对行业提出了更高要求和挑战,也使得企业间的竞争有法可依,一定程度上使得行业更加规范。可谓机遇与挑战并存。
巨头“整改”
对于GDPR,腾讯的反应最为迅速。此前4月13日,腾讯QQ就向国际版用户发布通知,宣布5月20日起停止为欧洲用户提供服务。随后腾讯官方表示,更新到5.0及以上版本的QQ国际版可继续使用,旧版本则在5月20日停止使用。
而在QQ国际版官网,记者看到最新版本是5.0.1。其中隐私政策的更新于2018年5月23日,详细说明了所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点、信息保留时长等内容。显然,这是为了符合GDPR的要求做出的修改。
此外,微信也在一周前更新了国际版的隐私条款,条款详细说明了信息的使用规则、存储地点、适用法规等。值得注意的是,微信国际版的隐私政策中对信息的保留时间也有明示:未登录账号时间达到180天后,账号信息会被删除;聊天记录会被存储72小时,随后永久删除。
但是,这些改变在国内的微信版本中并没有体现。
因此,欧盟新规对于互联网巨头们,威慑力不可谓不严。毕竟,国际化战略布局绕不开当地监管。早在2016年,阿里巴巴集团董事局主席马云就曾提出,未来海外市场要占到阿里收入的一半。截至目前,阿里云在全球已覆盖18个地区,完成42个可用域。腾讯此前一直低调在欧美市场拓展微信支付、游戏等项目。
阿里云相关业务人士向21经济报道记者表示,他们已从平台、系统、产品、服务、合规、流程、政策等全方面进行改进。按照GDPR的要求,持续进行数据保护与相关服务的整改,相关工作已经准备就绪。“现在已经上线了账号删除功能,全球的客户可以自助操作完成。”
对于国际化的公司,遵守当地政策和法规是基本前提。“在不同国家或地区要履行当地的法律法规,这是一件很正常的事。同样的,我们也会遵守适用于我们相关业务的GDPR规则。蚂蚁金服一直非常重视数据安全和个人信息保护。在去年,我们也率先成立了专门的隐私保护办公室,进一步加强对数据隐私管理体系、规范和能力。”蚂蚁金服首席隐私官聂正军对记者坦言。
华为公司在给21世纪经济报道记者的回复中称,为了确保有效的落实隐私保护各项要求,华为将通过成立已久的“全球网络安全与用户隐私保护委员会”的保护官,直接向CEO汇报。华为所有业务单元均设置有专职的隐私相关的角色/组织。同时根据GDPR的要求,华为还任命了欧盟数据保护官。
行业求变
从过去两年的过渡期运行来看,欧盟内企业关于GDPR合规的意识普遍较强,甚至有不少企业已经为GDPR合规付出了较大的财务、管理成本,削减了营业收入和营销手段。从5月25日开始,记者的邮箱内也收到了大量美国和欧洲公司的咨询邮件,对于是否要续订相关广告,都给了用户进一步的选择权。
相比巨头们的未雨绸缪,国内不少公司对此似乎反应并不明显。因此,也凸显出了风险。GDPR对企业如何持有数据,也做出了具体规定。其中数据的“被遗忘权”和“数据可携权”是当下企业较难做到的,即用户可以要求公司清除其个人数据,并禁止第三方获取这些数据;用户也可以带着他们的数据转移去不同的服务提供商。
资深互联网行业观察人士方兴东表现出了自己的担忧,只要欧盟用户可以访问和使用,就必然会产生个人数据问题。现有中国互联网公司在欧盟以外地区的做法基本难以符合GDPR规范。基于个人信息收集和隐私驱动的互联网企业,可能首当其冲。“国内互联网行业对GDPR的重视程度严重不足,或者说是严重低估和错判了它带来的影响。毕竟,在过去很多公司是以大规模搜集和运用网民个人数据为基础,从而建立起来的商业模式。”
因此,对于一些还不能达到合规要求的产品,相关公司选择了关闭欧洲业务。比如大热的《绝地求生》游戏就在4月份关闭了欧洲服务器。小米生态链企业、智能灯具品牌Yeelight于近日通知称,由于无法满足欧盟最新出台的GDPR要求,将不再向欧洲用户提供服务。
在全球化的趋势下,一部分中国企业对内反思,也未尝不是一次完善自己的机会。上海大邦律师事务所高级合伙人游云庭直言,GDPR只是提高了门槛,法律对全世界的公司来说都是公平的,企业可以通过改变自己去适应监管。“但是严苛的监管要避免因噎废食,否则未必是好事,也存在一定的局限性,比如降低社会效率,阻碍互联网科技行业的发展。”在大平台的带动下,游云庭认为国内互联网公司对于数据隐私的保护会上一个台阶。
中国社会科学院法学研究所研究员周汉华在“欧盟GDPR的影响及应对”高峰论坛上也表示,GDPR的总体思路就是制定更有效的内部治理,以及更强的外部威慑。实际上,它在个人信息使用目的限制、数据留存期限等方面“留了口子”,尽量为大数据开发利用开辟可能的路径;同时也更加强调责任原则、透明原则的地位和作用,调动信息控制者参与数据治理的积极性。
未来,基于大数据和隐私保护的相关产业,也会更加受到重视。毕竟,规则制定者的目的,是为了引导行业更好发展,而不是为了扼杀它们。