2018年5月生效的欧盟《通用数据保护条例》(GDPR),其影响远远超越了地理范畴,进而扩散到数据流通的全球网络空间。原本是在欧盟网信行业总体发展和政策导向背景下出台的条例,却将保护欧盟公民个人数据的“域内效力”上升为“全球标准”。从立法理念的根本出发,理解该条例的精髓,客观地比较与其相关的法律法规,才能在“合规”成本最小化的当下,探索具有中国特色且更适合中国国情的应对策略和措施。
GDPR的生效表明,欧盟正在改变其数据隐私规则。现在人们已经习惯了以“免费”换取服务:授予公司许可存储、处理和利用其个人数据和信息。但是,近年来曝光的一些案例、关于大数据安全漏洞的丑闻,以及公司如何使用和销售其收集的信息,已经引起人们对个人数据如何被用来构建自身无法控制的详细个人档案的担忧。
对互联网企业的影响
2018年4月10日,脸书公司首席执行官马克·扎克伯格在美国参议院联合听证会上曾表示,在用户同意放弃数据之前,他“原则上”支持为用户提供类似于GDPR的选择标准,并认为“总的来说,GDPR对互联网将是非常积极的一步”。在4月22日出席欧洲议会听证会时,扎克伯格承诺,一定会遵守这一新法规。
对于国际化公司而言,遵守当地政策和法规是基本前提。毕竟,公司的国际化战略布局绕不开当地监管。同样,互联网公司也会遵守适用于其相关业务的GDPR规则。因此,欧盟新规对于互联网巨头们的威慑力不可谓不严。
许多大型在线服务和社交媒体公司都在更新他们的隐私政策和服务条款,为新立法做准备。其中就包括Beacon广告计划,Beacon是脸书在2007年推出的一项富有争议的社交广告服务,该服务会将用户在其他网站的行为公之于众。为应对GDPR的影响,美国科技巨头正在按照新规定倾注资源,例如微软公司聘用了超过1600名工程师。此外,像医疗保健提供商、保险公司、银行和任何其他处理敏感个人数据的公司都将面临困境。有些小型美国公司正在退出欧盟市场,以避免受到GDPR的冲击。美国科技初创企业担心,合规成本可能超过其在欧盟地区获得的收益。如果小公司退出市场,像谷歌和脸书这样的公司就可以从GDPR中受益。
GDPR是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。从过去两年的过渡期运行来看,欧盟内企业关于GDPR合规的意识普遍较强,甚至有不少企业已经为GDPR合规付出了较大的财务和管理成本,削减了营业收入和营销手段。由于GDPR规定企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下各方都会被问责。为避免风险,欧盟企业日后在选择境外合作伙伴时,会将数据保护作为一项重要考量标准。当前,欧盟委员会甚至已经开始讨论,未来不排除限制欧盟与数据保护不过关的国家签订贸易协议的可能。
中国公司国际化面临严峻考验
适用GDPR的中国企业主要有两种情形:第一,在欧盟境内设有机构的中国企业,如果其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;第二,尚未在欧盟境内设有机构的中国企业,如果其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
相比西方巨头们的未雨绸缪,似乎不少中国公司对此反应并不明显。中国互联网企业对GDPR的重视程度严重不足,或者说是严重低估和错判了它带来的影响。毕竟,在过去很多公司是以大规模搜集和运用网民个人数据为基础建立起来的商业模式。现有中国互联网公司在欧盟以外地区的做法基本难以符合GDPR的规范。基于个人信息收集和隐私驱动的互联网企业,可能首当其冲。
2018年5月25日,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(AliExpress)等多家中国互联网公司,已纷纷向欧洲区用户更新隐私政策、请求重新授权。据了解,海尔、华为等在欧洲有较大市场份额并有意进军物联网的制造业领军者,也早已雇请专门团队应对GDPR。业界普遍认为,GDPR既对行业提出了更高要求和挑战,也使企业间的竞争有法可依,在一定程度上使行业更加规范。可谓,机遇与挑战并存。
腾讯的反应最为迅速。2018年4月13日,腾讯QQ就向其国际版用户发布通知,将在5月20日起停止向欧洲区用户提供服务。尽管腾讯随即声明会继续保留该服务,但可以看出,慑于强大的惩罚力度,不少中国企业已经对GDPR有所行动。随后,腾讯官方表示,更新到5.0及以上版本的QQ国际版可继续使用,旧版本则在5月20日停止使用。其中隐私政策于2018年5月23日已更新,详细说明所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点、信息保留时长等内容。显然,这是为符合GDPR的要求做出的修改。
