5月25日正式生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR),令全球企業(yè)嚴(yán)陣以待。5月25日當(dāng)天,多家美國(guó)知名新聞網(wǎng)站中止了在歐洲范圍內(nèi)的新聞服務(wù),不少游戲公司也紛紛暫時(shí)退出歐盟市場(chǎng),當(dāng)然,全球巨頭則調(diào)整隱私政策以應(yīng)對(duì)GDPR。中國(guó)涉歐企業(yè)也同樣受到GDPR的約束,騰訊、阿里巴巴、華為等均采取了相應(yīng)的政策應(yīng)對(duì),而短期難以適應(yīng)規(guī)則的公司則選擇暫時(shí)退出。不過(guò),歐盟相關(guān)監(jiān)管機(jī)構(gòu)或首先將大棒揮向大型企業(yè),谷歌、Facebook均在GDPR生效首日面臨相關(guān)訴訟。從行業(yè)影響來(lái)看, GDPR生效后,面臨最大挑戰(zhàn)的是廣告技術(shù)企業(yè)。因?yàn)镚DPR相關(guān)條例直指廣告數(shù)據(jù)收集和推廣, 大數(shù)據(jù)、云計(jì)算領(lǐng)域也將受到重大影響。(張星)
在大型企業(yè)中,GDPR的“快刀”首先可能揮向谷歌和Facebook。據(jù)了解,F(xiàn)acebook及其子公司W(wǎng)hatsApp、Instagram以及谷歌均在GDPR生效首日面臨相關(guān)訴訟,起訴來(lái)自?shī)W地利隱私活動(dòng)家Max Schrems。
于當(dāng)?shù)貢r(shí)間5月25日正式生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR),令全球企業(yè)嚴(yán)陣以待。
截至生效日,許多公司對(duì)GDPR的應(yīng)對(duì)準(zhǔn)備并沒(méi)有到位。5月25日當(dāng)天,多家美國(guó)知名新聞網(wǎng)站均中止了在歐洲范圍內(nèi)的新聞服務(wù),其中包括《洛杉磯時(shí)報(bào)》、《芝加哥時(shí)報(bào)》、《芝加哥論壇報(bào)》、《紐約每日新聞》、《奧蘭多哨兵報(bào)》、《巴爾的摩太陽(yáng)報(bào)》等。
游戲廠商同樣反應(yīng)強(qiáng)烈。5月初,開(kāi)發(fā)商Edge of Reality工作室宣布,旗下第三人稱射擊游戲《槍械師》將于5月24日關(guān)閉服務(wù)器。韓國(guó)大型在線游戲《仙境傳說(shuō)》同樣關(guān)停了歐盟地區(qū)的服務(wù)器。
其他企業(yè)亦陣痛連連,紛紛做出反應(yīng)。據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道記者不完全統(tǒng)計(jì),包括YouTube、Twitter、Instagram、谷歌、Facebook等巨頭,均對(duì)GDPR生效給出相應(yīng)措施,或更新服務(wù)條款,或暫停歐洲地區(qū)業(yè)務(wù)。盡管GDPR是由歐盟發(fā)布的,但卻是牽動(dòng)了全球每一家大型企業(yè)神經(jīng)的規(guī)定。
“GDPR全球適用。無(wú)論公司總部在哪里,無(wú)論數(shù)據(jù)存儲(chǔ)和處理地點(diǎn)在哪里,只要與身處歐盟的人做生意,或者監(jiān)視歐盟公民的行為,就必須遵從GDPR。”Veeam中國(guó)區(qū)總經(jīng)理施勤告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者,“再進(jìn)一步解釋:只要收集歐盟公民的數(shù)據(jù),就要受到GDPR的管轄。除非公司非常嚴(yán)格地排除了歐盟市場(chǎng),否則還是得處理GDPR合規(guī)問(wèn)題。”
緊急授權(quán)
電子郵件爆滿,是歐盟用戶對(duì)GDPR生效前后最直接的觀感。
“歐盟GDPR正式生效前后,每個(gè)郵箱至少收到十封電子郵件,主題都是關(guān)于更新最終用戶許可協(xié)議(End User Licence Agreement,EULA)的。”一位身處歐盟區(qū)域的用戶向記者無(wú)奈道。
根據(jù)最新生效的GDPR,機(jī)構(gòu)和企業(yè)必須先獲得用戶明確授權(quán)才可收集和使用其個(gè)人信息,包括姓名、地址、生日、信用卡、銀行、醫(yī)療信息、位置信息、IP地址等等。值得注意的是,GDPR中規(guī)定,對(duì)于個(gè)人數(shù)據(jù)的解釋權(quán)屬于伴隨GDPR成立的數(shù)據(jù)保護(hù)委員會(huì),同時(shí)屬于數(shù)據(jù)個(gè)體。
該條例還賦予用戶“知情權(quán)”、“修改權(quán)”和“被遺忘權(quán)”等,消費(fèi)者有權(quán)知道自己的哪些數(shù)據(jù)被企業(yè)保存,如果信息錯(cuò)誤或不完整,用戶有權(quán)要求更改,此外,用戶還可要求企業(yè)或機(jī)構(gòu)刪除其個(gè)人數(shù)據(jù)。
數(shù)據(jù)顯示,歐盟約有5億網(wǎng)民。一旦違反GDPR規(guī)定,相關(guān)企業(yè)將面臨最高達(dá)全球年?duì)I收4%或者2000萬(wàn)歐元(約1.5億人民幣)的巨額罰款。這也無(wú)怪乎各家企業(yè)為何如此謹(jǐn)慎:4月25日,Twitter、Instagram和域名注冊(cè)商GoDaddy分別向用戶發(fā)送郵件,表示將更新旗下產(chǎn)品服務(wù)條款和隱私政策;5月初,F(xiàn)acebook宣布重大更新,允許用戶選擇拒絕Facebook收集他們的瀏覽歷史記錄。
自5月21日起,YouTube將不再支持歐洲預(yù)訂購(gòu)買的第三方廣告服務(wù),并且有可能將這項(xiàng)政策推廣到全球。蘋果公司的隱私政策于5月22日更新,表示制定了涵蓋如何收集、使用、披露、轉(zhuǎn)讓及存儲(chǔ)用戶信息的隱私政策。谷歌則在GDPR生效前一天在紐約辦事處對(duì)70家媒體和廣告公司表示,該公司的合規(guī)計(jì)劃正在推進(jìn),他們還會(huì)在6月和8月發(fā)布額外的工具來(lái)幫助內(nèi)容發(fā)布商。
“微軟公司有超過(guò)1600位工程師參與GDPR有關(guān)的項(xiàng)目,對(duì)開(kāi)發(fā)工具、系統(tǒng)、流程進(jìn)行了大量的重新設(shè)計(jì),來(lái)確保其符合GDPR相關(guān)規(guī)定。”在接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí),一位微軟方面人士表示。圍繞GDPR,該人士稱微軟承諾提供充分滿足合規(guī)要求的技術(shù)、嚴(yán)格履行合同義務(wù)及進(jìn)行積極的經(jīng)驗(yàn)分享。
盡管大企業(yè)已有反應(yīng),但更多企業(yè)仍未做好準(zhǔn)備。“據(jù)Sophos去年下半年在英國(guó)針對(duì)IT決策者的一項(xiàng)調(diào)查顯示,超過(guò)半數(shù)的企業(yè)承認(rèn)對(duì)GDPR及其可能引發(fā)的財(cái)務(wù)風(fēng)險(xiǎn)并不了解。”Sophos公司中國(guó)區(qū)總經(jīng)理鐘明輝向21世紀(jì)經(jīng)濟(jì)報(bào)道記者坦言。
而對(duì)于這些企業(yè)而言,違規(guī)問(wèn)題可能嚴(yán)重到關(guān)系著生死存亡。“一旦遭遇GDPR處罰,超過(guò)25%的企業(yè)聲稱會(huì)讓其徹底倒閉;如果企業(yè)規(guī)模不足50人,將有超過(guò)一半的企業(yè)受處罰后會(huì)關(guān)閉,而且40%的IT決策者表示裁員將不可避免。”鐘明輝表示。
“快刀”將至
對(duì)于中小企業(yè)而言,好消息是,GDPR實(shí)行之初緊盯的是大型企業(yè)。
據(jù)報(bào)道,一位歐盟官員表態(tài),新規(guī)施行初期會(huì)緊盯大型技術(shù)類企業(yè),因?yàn)樗鼈儜{借大量用戶數(shù)據(jù)吸引商家“精準(zhǔn)投放”廣告,以實(shí)現(xiàn)盈利。該官員透露,歐盟會(huì)給小型企業(yè)更多時(shí)間適應(yīng)新規(guī)。
在大型企業(yè)中,GDPR的“快刀”首先可能揮向谷歌和Facebook。據(jù)了解,F(xiàn)acebook及其子公司W(wǎng)hatsapp、Instagram以及谷歌均在GDPR生效首日被投訴,投訴來(lái)自?shī)W地利隱私活動(dòng)家Max Schrems。如果相關(guān)監(jiān)管機(jī)構(gòu)認(rèn)可該投訴,F(xiàn)acebook和谷歌將分別面臨39億歐元(約合人民幣290億元)和37億歐元(約合人民幣276億元)的罰款。
據(jù)最新財(cái)報(bào)顯示,谷歌母公司Alphabet 2017年全年利潤(rùn)為127億美元(約合人民幣797.9億元),F(xiàn)acebook2017年全年利潤(rùn)為159.34億美元(約合人民幣1019.31億元)。這也就意味著,這一可能的罰款數(shù)額分別占兩家公司去年利潤(rùn)比例高達(dá)36.35%和27.08%。
值得注意的是,為了符合GDPR,谷歌和Facebook均推出了相應(yīng)的隱私政策和產(chǎn)品。Facebook目前已進(jìn)行調(diào)整并出現(xiàn)“許可屏幕”,詢問(wèn)用戶是否接受數(shù)據(jù)收集,否則無(wú)法繼續(xù)使用Facebook服務(wù)。谷歌同樣表示,將創(chuàng)建一個(gè)不基于任何個(gè)性化定位的新廣告服務(wù)。
但Max Schrems的訴訟特別針對(duì)兩家公司獲得隱私政策同意的方式,即要求用戶選擇“同意”選項(xiàng)以獲取服務(wù),否則就不能使用服務(wù)。在他看來(lái),這種行為違反了GDPR中關(guān)于獲取同意的規(guī)定。
中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心原秘書長(zhǎng)胡鋼向21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示,企業(yè)在要求用戶授權(quán)使用數(shù)據(jù)的時(shí)候,應(yīng)當(dāng)遵循正當(dāng)、必要、最小化原則,否則就是違法行為。
輸贏之間
在大部分觀點(diǎn)看來(lái),GDPR生效后,面臨最大挑戰(zhàn)的是廣告技術(shù)企業(yè)。因?yàn)镚DPR相關(guān)條例直指廣告數(shù)據(jù)收集和推廣。
事實(shí)上,在GDPR出臺(tái)之前,相關(guān)國(guó)際巨頭已經(jīng)麻煩不斷。今年3月,F(xiàn)acebook曝出數(shù)據(jù)泄露丑聞,其創(chuàng)始人扎克伯格不得不面對(duì)國(guó)會(huì)聽(tīng)證會(huì)。5月21日,谷歌因涉嫌秘密追蹤和整理440萬(wàn)名用戶信息以供廣告公司精準(zhǔn)定位而被索賠32億英鎊。勞德森代理律師湯姆林森表示,谷歌已經(jīng)支付3950萬(wàn)美元(約合2.5億元人民幣)在美國(guó)解決與此有關(guān)的索賠。
“GDPR對(duì)互聯(lián)網(wǎng)廣告企業(yè)的影響很大。”上海段和段律師事務(wù)所合伙人劉春泉表示,“現(xiàn)在廣告公司提出大數(shù)據(jù)應(yīng)用的精準(zhǔn)推薦,與用戶隱私保護(hù)的規(guī)則相矛盾。”
其他被認(rèn)為將成為GDPR監(jiān)管重災(zāi)區(qū)的領(lǐng)域是大數(shù)據(jù)、云計(jì)算領(lǐng)域。大數(shù)據(jù)企業(yè)從事包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析以及數(shù)據(jù)呈現(xiàn),因此很容易“觸雷”;云計(jì)算方面,GDPR對(duì)云服務(wù)商及使用云服務(wù)的企業(yè)均提出數(shù)據(jù)保護(hù)方面的要求,意味著兩者需同時(shí)遵守包括數(shù)據(jù)授權(quán)、數(shù)據(jù)處理等規(guī)定。
這意味著,云服務(wù)商與相關(guān)客戶的合規(guī)性缺一不可。在Edge of Reality工作室的官方解釋中,5月24日《槍械師》停服的很大原因在于GDPR需要廠商為消費(fèi)者提供更透明的數(shù)據(jù)管控,但他們無(wú)法提供足夠資源更新游戲以適應(yīng)GDPR,并且其云服務(wù)商無(wú)法繼續(xù)提供服務(wù),因而導(dǎo)致服務(wù)器成本大幅提高,只能選擇關(guān)服。
作為底層云服務(wù)商,微軟方面人士介紹,微軟提供的企業(yè)級(jí)云服務(wù)可以幫助客戶在涉及個(gè)人數(shù)據(jù)刪除、修改、傳輸、讀取、拒絕處理等方面滿足GDPR的要求;微軟遍布全球的合作伙伴生態(tài)系統(tǒng)還能為客戶提供專業(yè)的技術(shù)支持。
此外,微軟表示將嚴(yán)格履行與云服務(wù)相關(guān)的合同義務(wù),包括提供符合GDPR新規(guī)要求的定期安全支持及通知等服務(wù)。“早在2017年3月,微軟全球云服務(wù)的客戶授權(quán)協(xié)議中,就已經(jīng)加入了與GDPR合規(guī)相關(guān)的承諾條款。”該人士表示,“隨著條例細(xì)節(jié)的不斷深化和實(shí)踐的推進(jìn),微軟也會(huì)不斷對(duì)產(chǎn)品、服務(wù)、數(shù)據(jù)相關(guān)方面進(jìn)行與時(shí)俱進(jìn)的升級(jí),確保完全合規(guī)。”
然而,對(duì)于龐大的云服務(wù)生態(tài)的合規(guī)性而言,僅憑微軟自身還遠(yuǎn)遠(yuǎn)不夠。“微軟云服務(wù)在歐盟絕對(duì)是合法的,”在談及GDPR時(shí),微軟大中華區(qū)副總裁兼市場(chǎng)營(yíng)銷及運(yùn)營(yíng)總經(jīng)理康榮向記者表示,“當(dāng)然,我們能保證自身云服務(wù)絕對(duì)合法合規(guī),但落地在我們歐盟云服務(wù)上的企業(yè),也需要保證自身運(yùn)營(yíng)合法合規(guī)。”