《通用数据保护条例》（GDPR）出台后

杨光

欧盟《通用数据保护条例》（GDPR）正式生效已经一个月有余，其涉及面广、影响深远，引发了各方的深入研究和激烈讨论。

GDPR对企业产生了怎样的影响？北京理工大学软件学院副教授闫怀志认为，首先从管辖地域范围来看，GDPR的管辖范围既包括在欧盟境内有实体的组织，也包括在欧盟境内提供商品或服务，或者监控在欧盟内欧盟居民行为的组织，而无论该组织是否在欧盟成员国内有无实体或在成员国内处理信息。也就是说，只要任何涉及欧盟境内个体的个人数据的处理行为，无论谁来处理无论在哪儿处理，只要涉及欧盟境内人员或成员国公民，均需遵循该条例，而且适用范围也由属地扩展到个人。“虽然GDPR表面上强调的是保护自然人的个人信息权利，但是个人信息权利是同政治、经济、文化、意识形态等都是息息相关的，必要时欧盟成员国可能会利用这个工具来为其国家安全、社会稳定、经济竞争服务。”

在全球一体化，特别是“工业互联网”向纵深发展、中美欧三家竞争激烈的当下，该条例必将对中国企业（不仅仅是大数据企业和数据安全企业）产生巨大的影响。闫怀志说：“欧盟与中国互为最大的合作伙伴之一，在商贸、金融、网络等领域深度交融、合作紧密，其中涉及大量的相关个人信息的处理，势必会成为GDPR的规约对象。这就提醒中国企业务虚了解、重视该条例，严格、细致评估该条例带来的影响，在数据保护、数据披露、数据处理等方面做好合规操作。”

GDPR的实际效用颇为有限？

南京信息工程大学法政学院副教授蒋洁认为，GDPR的实际效用颇为有限，甚至可以推测在很长一段时间内不能发挥出预想中保障用户数据权益、欧盟数据主权和提振本土数字经济的作用。首先，GDPR对跨境互联网巨头企业的规制作用较为有限。最初设想中，这部“史上最严的隐私数据保护条例”将通过用户“明确同意”、“被遗忘权利”、“数据使用知情权”等条款强有力地规制美国谷歌、脸书公司等在欧洲地区的数据收集、存储和使用。然而，目前不少企业更新的隐私条款采用隐性的“同意或退出”的强迫选择方式要求用户广泛、明确地进行授权。同时，当前国际互联网巨头企业的数据安全防护与数据去真处理的技术和程序普遍较为完善。此前在数据收集和使用上暴露出的问题常常是因为“忘记”写入隐私条款，而不是用户特别重视数据隐私。GDPR不过是促使这些企业通过冗长的隐私政策将可能违反GDPR规定的内容事无巨细地逐项写入，进而分门别类地、轻而易举地取得用户的“明确同意”，顺理成章地履行了合规义务。在GDPR落地实施的过程中，亟待对隐私政策条款“清晰而平实”的表达方式进行细化规定；对“同意或退出”的隐性强制进行广泛梳理；对企业在使用用户数据中保持公平、公正、公开的连贯性做法进行全面的技术规范（尤其是避免各种潜在歧视）。这些也是目前推测的GDPR解释条款的进一步发展方向。

GDPR或將抑制创新？

非但达不到预期效果，还有可能“误伤”，带来负效应，这恐怕是欧盟始料未及的。对于可能带来的负效应，中央财经大学法学院教授吴韬提到：“在归责方面，GDPR非常严苛，采用近似于客观归责的原则，即使相关企业对于数据泄露没有过错，也可能受到重罚。这使得提供数字服务可能成为一种高危行业，因此会极大抑制本领域的技术和商业模式创新。”

除了抑制创新，吴韬认为，GDPR无疑将极大增加所有相关企业的合规成本，但是对中小企业尤甚。由于中小企业在技术、法律能力等方面的局限，它们在GDPR面前更为脆弱。无论是违法成本（高额罚款）还是为了避免违法付出的合规成本，相对于有限的盈利而言，都是不成比例的。

一些西方人士指出，欧盟制定GDPR的初衷是限制谷歌、脸书、优步这些大企业，但是，结果可能是大量中小企业“躺枪”。因为大企业凭借其雄厚的资金和技术实力可以最终克服一时的困难，而对于广大中小企业来说，它们面临的则是生存危机。

对中国的借鉴意义

尽管可能有违初衷，GDPR的生效对中国数据安全保护现状仍然有借鉴意义。闫怀志指出，GDPR是与当前网络空间现状最为契合的数据保护条例，必将对包括我国在内的全球各国的数据保护、数据安全管理以及互联网治理提供重要的借鉴蓝本。他做了如下阐释：“第一，GDPR要求设立企业和机构设立专门的数据保护官员（Data Protection Officer）来负责数据管理，我国也可以适当考虑要求企业和机构设立类似职位或设定类似职能。第二，GDPR不仅倒逼中国企业更加重视个人数据安全和隐私保护，而且也为中国保护个人数据安全提供了一种思路：中国也可以制定类似条例来维护我国公民的数据安全，防止国内外机构非法滥用。第三，中国很多企业机构的业务流程、现用的大量系统（Web系统或手机App），均不同程度地不符合GDPR规定，因此，这也为相关产业的发展带来了新的机遇。比如，遵照GDPR规定，开发适用于企业业务流程与所用信息系统的GDPR合规检测或改造工具，可能会是一个较大的市场蓝海空间。”

企业需要做什么？

数据隐私保护是阿里云的第一原则。2015年7月，阿里云首家发起《数据保护倡议》，将“不碰客户数据”写入正式文本，并被同行认可跟进。GDPR生效之前，阿里云已全面推进数据保护工作。阿里云认为GDPR对企业的要求大致可以分为两大类：隐私合规和数据主体权利。在这两大类之下，企业需要逐步做行动落实，并提供书面文件来证明（GDPR对文件的要求非常高）。

第一，在隐私合规的保护维度下，企业需要保留数据处理库清册，把数据保护影响评估作为默认机制，将隐私嵌入到设计中（Privacy By Design）。

第二，在数据主体权利的保护维度下，企业需要保证那些“数据正在被处理”的数据主体权利：包括访问权，纠正权，删除权，信息权，限制处理权，撤回同意，数据可移动性的权利等。

绿盟科技认为，GDPR的合规不仅是隐私政策的文字调整，更是围绕个人信息保护和数据安全开展的产品、服务甚至是商业模式的调整。绿盟科技建议国内企业从以下几个方面进行落实：

第一，获得管理层支持设立支撑组织。企业GDPR的实施，不仅仅是IT部门的职责，也需要法律部门、业务部门、风险管理部门、服务交付部门等的参与，其中最重要的是得到管理层的充分重视。

第二，梳理个人数据，强化影响评估。企业应尽快梳理其所处理的个人数据，对个人信息的类别、存储位置、传输及存储方式、控制者和（或）处理者等信息进行识别，绘制个人数据处理的流程图。必要时，企业应开展DPIA，针对数据处理方式，特别是使用新技术进行的数据处理，统筹考虑处理过程的性质、范围、内容和目的，可能给自然人权利和自由带来的风险。

第三，调整完善企业隐私策略。为满足GDPR的合规要求，企业应对隐私策略进行调整，从个人数据的收集、保存、使用、对外提供、用户告知等方面，以简明易懂的文字通过公开、易于访问的方式告知用户。

第四，通过技术设计保护隐私功能。企业应在产品或服务设计之初，融入隐私保护的理念，将隐私理念植入技术架构设计，以用户为中心，提升透明度并基于用户更多对其个人信息的控制权。

第五，加强数据生命周期的安全能力建设。企业应对个人信息及隐私数据，需从生成、存储、使用、传输、共享、销毁六个阶段进行严格的保护，在各个环节明确责任主体和责任范围，完善数据安全管控组织和制度，加强安全管控技术，以确保安全标准的实施，保障数据主体权利。