5月25日正式生效的歐盟《通用數(shù)據(jù)保護條例》(GDPR),令全球企業(yè)嚴陣以待。5月25日當天,多家美國知名新聞網(wǎng)站中止了在歐洲范圍內(nèi)的新聞服務,不少游戲公司也紛紛暫時退出歐盟市場,當然,全球巨頭則調(diào)整隱私政策以應對GDPR。中國涉歐企業(yè)也同樣受到GDPR的約束,騰訊、阿里巴巴、華為等均采取了相應的政策應對,而短期難以適應規(guī)則的公司則選擇暫時退出。不過,歐盟相關監(jiān)管機構或首先將大棒揮向大型企業(yè),谷歌、Facebook均在GDPR生效首日面臨相關訴訟。從行業(yè)影響來看, GDPR生效后,面臨最大挑戰(zhàn)的是廣告技術企業(yè)。因為GDPR相關條例直指廣告數(shù)據(jù)收集和推廣, 大數(shù)據(jù)、云計算領域也將受到重大影響。(張星)
在大型企業(yè)中,GDPR的“快刀”首先可能揮向谷歌和Facebook。據(jù)了解,F(xiàn)acebook及其子公司W(wǎng)hatsApp、Instagram以及谷歌均在GDPR生效首日面臨相關訴訟,起訴來自奧地利隱私活動家Max Schrems。
于當?shù)貢r間5月25日正式生效的歐盟《通用數(shù)據(jù)保護條例》(GDPR),令全球企業(yè)嚴陣以待。
截至生效日,許多公司對GDPR的應對準備并沒有到位。5月25日當天,多家美國知名新聞網(wǎng)站均中止了在歐洲范圍內(nèi)的新聞服務,其中包括《洛杉磯時報》、《芝加哥時報》、《芝加哥論壇報》、《紐約每日新聞》、《奧蘭多哨兵報》、《巴爾的摩太陽報》等。
游戲廠商同樣反應強烈。5月初,開發(fā)商Edge of Reality工作室宣布,旗下第三人稱射擊游戲《槍械師》將于5月24日關閉服務器。韓國大型在線游戲《仙境傳說》同樣關停了歐盟地區(qū)的服務器。
其他企業(yè)亦陣痛連連,紛紛做出反應。據(jù)21世紀經(jīng)濟報道記者不完全統(tǒng)計,包括YouTube、Twitter、Instagram、谷歌、Facebook等巨頭,均對GDPR生效給出相應措施,或更新服務條款,或暫停歐洲地區(qū)業(yè)務。盡管GDPR是由歐盟發(fā)布的,但卻是牽動了全球每一家大型企業(yè)神經(jīng)的規(guī)定。
“GDPR全球適用。無論公司總部在哪里,無論數(shù)據(jù)存儲和處理地點在哪里,只要與身處歐盟的人做生意,或者監(jiān)視歐盟公民的行為,就必須遵從GDPR。”Veeam中國區(qū)總經(jīng)理施勤告訴21世紀經(jīng)濟報道記者,“再進一步解釋:只要收集歐盟公民的數(shù)據(jù),就要受到GDPR的管轄。除非公司非常嚴格地排除了歐盟市場,否則還是得處理GDPR合規(guī)問題。”
緊急授權
電子郵件爆滿,是歐盟用戶對GDPR生效前后最直接的觀感。
“歐盟GDPR正式生效前后,每個郵箱至少收到十封電子郵件,主題都是關于更新最終用戶許可協(xié)議(End User Licence Agreement,EULA)的。”一位身處歐盟區(qū)域的用戶向記者無奈道。
根據(jù)最新生效的GDPR,機構和企業(yè)必須先獲得用戶明確授權才可收集和使用其個人信息,包括姓名、地址、生日、信用卡、銀行、醫(yī)療信息、位置信息、IP地址等等。值得注意的是,GDPR中規(guī)定,對于個人數(shù)據(jù)的解釋權屬于伴隨GDPR成立的數(shù)據(jù)保護委員會,同時屬于數(shù)據(jù)個體。
該條例還賦予用戶“知情權”、“修改權”和“被遺忘權”等,消費者有權知道自己的哪些數(shù)據(jù)被企業(yè)保存,如果信息錯誤或不完整,用戶有權要求更改,此外,用戶還可要求企業(yè)或機構刪除其個人數(shù)據(jù)。
數(shù)據(jù)顯示,歐盟約有5億網(wǎng)民。一旦違反GDPR規(guī)定,相關企業(yè)將面臨最高達全球年營收4%或者2000萬歐元(約1.5億人民幣)的巨額罰款。這也無怪乎各家企業(yè)為何如此謹慎:4月25日,Twitter、Instagram和域名注冊商GoDaddy分別向用戶發(fā)送郵件,表示將更新旗下產(chǎn)品服務條款和隱私政策;5月初,F(xiàn)acebook宣布重大更新,允許用戶選擇拒絕Facebook收集他們的瀏覽歷史記錄。
自5月21日起,YouTube將不再支持歐洲預訂購買的第三方廣告服務,并且有可能將這項政策推廣到全球。蘋果公司的隱私政策于5月22日更新,表示制定了涵蓋如何收集、使用、披露、轉(zhuǎn)讓及存儲用戶信息的隱私政策。谷歌則在GDPR生效前一天在紐約辦事處對70家媒體和廣告公司表示,該公司的合規(guī)計劃正在推進,他們還會在6月和8月發(fā)布額外的工具來幫助內(nèi)容發(fā)布商。
“微軟公司有超過1600位工程師參與GDPR有關的項目,對開發(fā)工具、系統(tǒng)、流程進行了大量的重新設計,來確保其符合GDPR相關規(guī)定。”在接受21世紀經(jīng)濟報道記者采訪時,一位微軟方面人士表示。圍繞GDPR,該人士稱微軟承諾提供充分滿足合規(guī)要求的技術、嚴格履行合同義務及進行積極的經(jīng)驗分享。
盡管大企業(yè)已有反應,但更多企業(yè)仍未做好準備。“據(jù)Sophos去年下半年在英國針對IT決策者的一項調(diào)查顯示,超過半數(shù)的企業(yè)承認對GDPR及其可能引發(fā)的財務風險并不了解。”Sophos公司中國區(qū)總經(jīng)理鐘明輝向21世紀經(jīng)濟報道記者坦言。
而對于這些企業(yè)而言,違規(guī)問題可能嚴重到關系著生死存亡。“一旦遭遇GDPR處罰,超過25%的企業(yè)聲稱會讓其徹底倒閉;如果企業(yè)規(guī)模不足50人,將有超過一半的企業(yè)受處罰后會關閉,而且40%的IT決策者表示裁員將不可避免。”鐘明輝表示。
“快刀”將至
對于中小企業(yè)而言,好消息是,GDPR實行之初緊盯的是大型企業(yè)。
據(jù)報道,一位歐盟官員表態(tài),新規(guī)施行初期會緊盯大型技術類企業(yè),因為它們憑借大量用戶數(shù)據(jù)吸引商家“精準投放”廣告,以實現(xiàn)盈利。該官員透露,歐盟會給小型企業(yè)更多時間適應新規(guī)。
在大型企業(yè)中,GDPR的“快刀”首先可能揮向谷歌和Facebook。據(jù)了解,F(xiàn)acebook及其子公司W(wǎng)hatsapp、Instagram以及谷歌均在GDPR生效首日被投訴,投訴來自奧地利隱私活動家Max Schrems。如果相關監(jiān)管機構認可該投訴,F(xiàn)acebook和谷歌將分別面臨39億歐元(約合人民幣290億元)和37億歐元(約合人民幣276億元)的罰款。
據(jù)最新財報顯示,谷歌母公司Alphabet 2017年全年利潤為127億美元(約合人民幣797.9億元),F(xiàn)acebook2017年全年利潤為159.34億美元(約合人民幣1019.31億元)。這也就意味著,這一可能的罰款數(shù)額分別占兩家公司去年利潤比例高達36.35%和27.08%。
值得注意的是,為了符合GDPR,谷歌和Facebook均推出了相應的隱私政策和產(chǎn)品。Facebook目前已進行調(diào)整并出現(xiàn)“許可屏幕”,詢問用戶是否接受數(shù)據(jù)收集,否則無法繼續(xù)使用Facebook服務。谷歌同樣表示,將創(chuàng)建一個不基于任何個性化定位的新廣告服務。
但Max Schrems的訴訟特別針對兩家公司獲得隱私政策同意的方式,即要求用戶選擇“同意”選項以獲取服務,否則就不能使用服務。在他看來,這種行為違反了GDPR中關于獲取同意的規(guī)定。
中國互聯(lián)網(wǎng)協(xié)會研究中心原秘書長胡鋼向21世紀經(jīng)濟報道記者表示,企業(yè)在要求用戶授權使用數(shù)據(jù)的時候,應當遵循正當、必要、最小化原則,否則就是違法行為。
輸贏之間
在大部分觀點看來,GDPR生效后,面臨最大挑戰(zhàn)的是廣告技術企業(yè)。因為GDPR相關條例直指廣告數(shù)據(jù)收集和推廣。
事實上,在GDPR出臺之前,相關國際巨頭已經(jīng)麻煩不斷。今年3月,F(xiàn)acebook曝出數(shù)據(jù)泄露丑聞,其創(chuàng)始人扎克伯格不得不面對國會聽證會。5月21日,谷歌因涉嫌秘密追蹤和整理440萬名用戶信息以供廣告公司精準定位而被索賠32億英鎊。勞德森代理律師湯姆林森表示,谷歌已經(jīng)支付3950萬美元(約合2.5億元人民幣)在美國解決與此有關的索賠。
“GDPR對互聯(lián)網(wǎng)廣告企業(yè)的影響很大。”上海段和段律師事務所合伙人劉春泉表示,“現(xiàn)在廣告公司提出大數(shù)據(jù)應用的精準推薦,與用戶隱私保護的規(guī)則相矛盾。”
其他被認為將成為GDPR監(jiān)管重災區(qū)的領域是大數(shù)據(jù)、云計算領域。大數(shù)據(jù)企業(yè)從事包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析以及數(shù)據(jù)呈現(xiàn),因此很容易“觸雷”;云計算方面,GDPR對云服務商及使用云服務的企業(yè)均提出數(shù)據(jù)保護方面的要求,意味著兩者需同時遵守包括數(shù)據(jù)授權、數(shù)據(jù)處理等規(guī)定。
這意味著,云服務商與相關客戶的合規(guī)性缺一不可。在Edge of Reality工作室的官方解釋中,5月24日《槍械師》停服的很大原因在于GDPR需要廠商為消費者提供更透明的數(shù)據(jù)管控,但他們無法提供足夠資源更新游戲以適應GDPR,并且其云服務商無法繼續(xù)提供服務,因而導致服務器成本大幅提高,只能選擇關服。
作為底層云服務商,微軟方面人士介紹,微軟提供的企業(yè)級云服務可以幫助客戶在涉及個人數(shù)據(jù)刪除、修改、傳輸、讀取、拒絕處理等方面滿足GDPR的要求;微軟遍布全球的合作伙伴生態(tài)系統(tǒng)還能為客戶提供專業(yè)的技術支持。
此外,微軟表示將嚴格履行與云服務相關的合同義務,包括提供符合GDPR新規(guī)要求的定期安全支持及通知等服務。“早在2017年3月,微軟全球云服務的客戶授權協(xié)議中,就已經(jīng)加入了與GDPR合規(guī)相關的承諾條款。”該人士表示,“隨著條例細節(jié)的不斷深化和實踐的推進,微軟也會不斷對產(chǎn)品、服務、數(shù)據(jù)相關方面進行與時俱進的升級,確保完全合規(guī)。”
然而,對于龐大的云服務生態(tài)的合規(guī)性而言,僅憑微軟自身還遠遠不夠。“微軟云服務在歐盟絕對是合法的,”在談及GDPR時,微軟大中華區(qū)副總裁兼市場營銷及運營總經(jīng)理康榮向記者表示,“當然,我們能保證自身云服務絕對合法合規(guī),但落地在我們歐盟云服務上的企業(yè),也需要保證自身運營合法合規(guī)。”