從4月傳出的QQ國際版在歐洲停止服務(wù)傳言，到Facebook創(chuàng)始人扎克伯格現(xiàn)身歐洲議會接受質(zhì)詢，其背后的大背景都是史上最嚴(yán)的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī)即將在歐盟生效。

5月25日起，歐盟網(wǎng)絡(luò)數(shù)據(jù)隱私保護新規(guī)《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）將在歐盟全體成員國正式生效。新華社的報道稱，這被廣泛認(rèn)為是歐盟有史以來最為嚴(yán)格的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī)。這一條例全面加強了歐盟所有網(wǎng)絡(luò)用戶的數(shù)據(jù)隱私權(quán)利，明確提升了企業(yè)的數(shù)據(jù)保護責(zé)任，并顯著完善了有關(guān)監(jiān)管機制。

歐洲《通用數(shù)據(jù)保護條例》雖然是歐盟地區(qū)的法案，卻對全世界科技公司的產(chǎn)品、運營等多方面產(chǎn)生了重大影響。因為該項法規(guī)擁有域外效力，歐盟以外的公司也可能要受到該法案的監(jiān)管。

5月22日，馬克·扎克伯在歐洲議會接受質(zhì)詢時已經(jīng)表態(tài)，F(xiàn)acebook將會在5月25日符合《通用數(shù)據(jù)保護條例》的要求。他還補充道，很多歐盟用戶已經(jīng)閱讀并同意了平臺上符合《條例》要求的新隱私政策。

那么，《通用數(shù)據(jù)保護條例》是如何通過的，它嚴(yán)在哪兒，為何社交巨頭會如此關(guān)注，又將對用戶產(chǎn)生哪些影響？

《通用數(shù)據(jù)保護條例》的前世今生

歐盟5月25日將生效的《通用數(shù)據(jù)保護條例》是對其1995年《數(shù)據(jù)保護指令》的修訂、拓寬和升級。

據(jù)新華社報道，《數(shù)據(jù)保護指令》為當(dāng)時歐洲國家立法保護個人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)。隨著互聯(lián)網(wǎng)行業(yè)的迅猛發(fā)展和用戶數(shù)據(jù)的爆發(fā)式增長，歐盟在2012年提出改革數(shù)據(jù)保護法規(guī)，旨在幫助民眾進一步保護個人信息，幫助企業(yè)利用“單一數(shù)字市場”帶來的機遇。2015年6月，歐盟成員國的司法及內(nèi)政事務(wù)部長會議就五項原則達成一致，而這些原則也構(gòu)成了新規(guī)的重要框架：

“同一個大陸，同一套法規(guī)”，即在歐盟范圍內(nèi)建立起一套法規(guī)；

“強化‘被遺忘權(quán)’”，即如果無必要的法律依據(jù)，用戶可以要求互聯(lián)網(wǎng)企業(yè)從網(wǎng)絡(luò)搜索結(jié)果中移除個人信息；

“歐洲境內(nèi)適用歐洲法律”，即設(shè)在歐盟以外的企業(yè)如果要在歐盟范圍內(nèi)提供服務(wù)，也需要遵守歐盟法律；

“強化各國數(shù)據(jù)保護機構(gòu)權(quán)力”，并允許各成員國的數(shù)據(jù)保護機構(gòu)對違法者處以高額罰金；

“一站式服務(wù)”，即企業(yè)和用戶都只需與一個國家的監(jiān)管機構(gòu)打交道。

歐盟《通用數(shù)據(jù)保護條例》是一個具有里程碑意義的法案。它不僅規(guī)定了數(shù)據(jù)應(yīng)被如何處理、保存、使用和交換，還意圖在當(dāng)下公司普遍收集用戶數(shù)據(jù)的情況下，讓消費者擁有對自己個人數(shù)據(jù)的控制權(quán)。

2016年4月，歐洲《通用數(shù)據(jù)保護條例》獲得通過，2018年5月25日正式生效，通過和生效之間，有兩年的適應(yīng)期，讓企業(yè)進行調(diào)整，以符合《通用數(shù)據(jù)保護條例》要求。

值得注意的是，該法案雖然由歐盟設(shè)立，但它不僅適用于歐盟本土公司，而是擁有域外效力。對歐盟以外的公司，只要它們向歐盟提供商品或服務(wù)、追蹤歐盟民眾的行為，都必須受到該法案的監(jiān)管。

Squire Patton Boggs律師事務(wù)所倫敦分所合伙人Ann J. LaFrance、上海分所資深法律顧問詹智鷹對澎湃新聞記者解釋，即使一家中國公司在歐盟沒有員工或運營，只要它在歐盟提供數(shù)字化的商品或服務(wù)，有行為或監(jiān)測行為發(fā)生在歐盟，它依舊有可能直接受到《通用數(shù)據(jù)保護條例》要求的制約。

大型科技公司往往跨國運營，業(yè)務(wù)遍及全球。因此，谷歌、Facebook、騰訊、阿里巴巴等在歐洲運營的大型跨國科技公司，均必須讓自己在當(dāng)?shù)貥I(yè)務(wù)運營符合歐洲《通用數(shù)據(jù)保護條例》的要求。除科技公司之外，《通用數(shù)據(jù)保護條例》適用于所有類型的公司，LaFrance和詹智鷹介紹，某些具體的行業(yè)立法對特定行業(yè)提出了補充要求，比如，電子隱私權(quán)（e-Privacy）法規(guī)適用于通信運營商。

《通用數(shù)據(jù)保護條例》嚴(yán)在哪

那么，《通用數(shù)據(jù)保護條例》到底嚴(yán)在哪兒呢？

（1）獲取用戶同意的細節(jié)要求：同意后必須容易撤回

按照《通用數(shù)據(jù)保護條例》要求，公司必須向它們的歐洲消費者具體說明，在何種允許下，公司持有哪些用戶的個人身份數(shù)據(jù)，如何使用這些數(shù)據(jù)，并獲取用戶的同意。獲取個人信息的同意請求必須清晰、容易找到。

值得注意的是，獲取用戶同意時，默認(rèn)選項必須是保護隱私的選項（Privacy by Design），用戶已經(jīng)提交了的同意請求也必須容易撤回。此外，對于16歲以下少年兒童，監(jiān)護人要代表他做出數(shù)據(jù)收集的授權(quán)。

（2）企業(yè)持有和刪除、轉(zhuǎn)移數(shù)據(jù)的要求：用戶可以要求公司清楚個人數(shù)據(jù)

除了對征得用戶同意做出細致規(guī)定，《通用數(shù)據(jù)保護條例》對企業(yè)如何持有數(shù)據(jù)，也做出了具體規(guī)定。其中數(shù)據(jù)的“被遺忘權(quán)”和“可轉(zhuǎn)移權(quán)”是當(dāng)下企業(yè)較難做到的，即用戶可以要求公司清除其個人數(shù)據(jù)，并禁止第三方獲取這些數(shù)據(jù)；用戶也可以帶著他們的數(shù)據(jù)轉(zhuǎn)移去不同的服務(wù)提供商。

（3）數(shù)據(jù)保護范圍擴大：政治傾向被列為敏感數(shù)據(jù)

《通用數(shù)據(jù)保護條例》擴大了數(shù)據(jù)的保護范圍，對個人敏感數(shù)據(jù)做出定義：新規(guī)適用于個人數(shù)據(jù)，包括姓名，電話號碼，位置信息，在線身份信息；以及個人敏感數(shù)據(jù)，包括：種族、性別及性取向、政治傾向、宗教信仰、生物數(shù)據(jù)、醫(yī)療狀況、犯罪記錄。

（4）發(fā)生信息泄露需72小時之內(nèi)通知

如果發(fā)生了高危信息安全泄露，公司必須在事故發(fā)生72小時內(nèi)通知權(quán)威機構(gòu)及受影響的個人。

（5）任命數(shù)據(jù)安全官

符合相應(yīng)要求的公司，包括大規(guī)模監(jiān)控的公司、處理與犯罪信息有關(guān)數(shù)據(jù)的公司等，必須雇傭或任命從事數(shù)據(jù)保護的管理人員。

（6）罰款2000萬歐元起，可能高達公司年度營業(yè)額4%

如果違反歐洲《通用數(shù)據(jù)保護條例》，公司可被判處其全球年度營業(yè)額4%或2000萬歐元的罰款，選擇二者中較高的數(shù)值判罰。對跨國科技巨頭來說，年度營業(yè)額的4%的罰款額非常巨大。2017財年Facebook營收為406.53億美元，4%即為16.3億美元。

為符合《條例》要求，F(xiàn)acebook是如何做的

為了使自己平臺上的隱私政策符合《通用數(shù)據(jù)保護條例》要求，在8700萬用戶數(shù)據(jù)泄露的劍橋分析事件曝光之后，F(xiàn)acebook加速了時間表，讓平臺的隱私和數(shù)據(jù)處理政策能夠提前達到《通用數(shù)據(jù)保護條例》要求。

除了更新了隱私政策，F(xiàn)acebook重新設(shè)計了移動設(shè)備上的設(shè)置菜單，讓相關(guān)內(nèi)容更易查找，設(shè)置欄里不同的區(qū)合并到了同一個地方。設(shè)置菜單里，可以方便地移除不再需要的應(yīng)用和網(wǎng)站，查看并更新第三方應(yīng)用可獲取的信息。

增加了隱私快捷菜單，用戶可以在登錄、瀏覽和刪除內(nèi)容、編輯個人公開資料的時候直接進入此菜單，做出額外的安全設(shè)置。

Facebook還引入了一個叫做“獲取你的信息”（Access Your Information）工具，讓你看到自己留下的評論或你分享后又刪除的帖子。公司稱這會讓用戶更容易下載自己的數(shù)據(jù)，如添加到賬戶中的照片和聯(lián)系人，也可以將這些數(shù)據(jù)搬運到其他服務(wù)上。

（1）企業(yè)需對其供應(yīng)鏈負責(zé)

歐洲《通用數(shù)據(jù)保護條例》要求，如果某個歐盟境內(nèi)運營的公司會將歐盟的數(shù)據(jù)傳輸?shù)綒W盟境外的公司，那么這些歐盟境外公司需要有合同或類似的具有約束力的保障措施制約。

LaFrance和詹智鷹介紹，這意味著企業(yè)將個人數(shù)據(jù)外包處理時，必須對供應(yīng)鏈負責(zé)，并且只有在適當(dāng)?shù)模ǔ浞侄x的）有合同或其他法律約束力保障措施的情況下，才能處理或轉(zhuǎn)移歐盟的個人數(shù)據(jù)。因此，企業(yè)內(nèi)部和供應(yīng)商管理的流程也要進行相應(yīng)的變更。修改供應(yīng)商協(xié)議以納入強制性合同保障成為了大多數(shù)公司的一個主要任務(wù)。

（2）企業(yè)須在歐盟指定一名代表接受相應(yīng)投訴

另一個重大挑戰(zhàn)是，企業(yè)必須制定必要的程序，在30天之內(nèi)能夠回應(yīng)數(shù)據(jù)主體（包括歐盟員工、消費者、商業(yè)聯(lián)系人）要求行使《條例》中新增強的個人權(quán)力的要求。這些權(quán)利包括，有權(quán)訪問個人數(shù)據(jù)、糾正不正確的數(shù)據(jù)、刪除數(shù)據(jù)（受某些特定條件限制）、反對直接營銷、反對自動化決策和分析，或基于數(shù)據(jù)控制者的合法利益進行數(shù)據(jù)處理等。

LaFrance和詹智鷹介紹，不設(shè)立在歐盟、但屬于被《條例》域外規(guī)定監(jiān)管范圍的中國公司，必須在歐盟指定一名代表，接受數(shù)據(jù)主體和數(shù)據(jù)保護監(jiān)管機構(gòu)的投訴。

（3）生效日是企業(yè)調(diào)整的開始

《通用數(shù)據(jù)保護條例》正式生效前，公司已經(jīng)有了兩年適應(yīng)期讓自己符合要求。如果公司認(rèn)為它們的商業(yè)模式無法達到《條例》的要求，它們可能需要考慮退出歐洲市場。但如果它們能夠調(diào)整商業(yè)模式以適應(yīng)《條例》，則需要迅速采取行動進行差距評估，并落實最低合規(guī)性所需要的一系列措施。

LaFrance和詹智鷹介紹，《通用數(shù)據(jù)保護條例》的生效日是這個過程的開始，而不是結(jié)束。即使在歐洲，也很少有公司能說自己2018年5月25日起能夠100%完全合規(guī)?！锻ㄓ脭?shù)據(jù)保護條例》要求的最大罰款額非常高，但除了罰款之外，監(jiān)管部門也能夠采取一系列其他措施，即使企業(yè)達到要求的時間有所延遲，真誠的努力也必須考慮在內(nèi)。

其他國家的數(shù)據(jù)隱私保護法規(guī)

LaFrance和詹智鷹介紹，《通用數(shù)據(jù)保護條例》授權(quán)給歐盟委員會，如果發(fā)現(xiàn)一個非歐盟國家擁有“本質(zhì)上等同”的數(shù)據(jù)保護制度時，會發(fā)布“充分性決定”（adequacy decision），這是歐盟-美國隱私保護框架的基礎(chǔ)，該框架允許美國公司在符合歐美之間此前達成的隱私保護要求Privacy Shield的情況下處理歐盟的個人數(shù)據(jù)?，F(xiàn)在，歐盟和日本也正在進行類似的協(xié)議談判，這可能會成為其他亞太地區(qū)的模式樣本。

在中國，《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》于2012年12月發(fā)布并生效，《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日生效，以上兩種法規(guī)均包含對數(shù)據(jù)隱私保護的要求。2018年1月24日，《信息安全技術(shù)個人信息安全規(guī)范》全文在國家標(biāo)準(zhǔn)全文公開系統(tǒng)上線，5月1日正式實施。該規(guī)范屬于推薦性國家標(biāo)準(zhǔn)，對個人信息的收集、保存、使用、轉(zhuǎn)讓等環(huán)節(jié)進行了規(guī)定。

LaFrance和詹智鷹介紹，《規(guī)范》是推薦國家標(biāo)準(zhǔn)，不是具有約束效力的法律，但還是強烈建議在中國的每個組織和實體都能采用《規(guī)范》指導(dǎo)自己的行為，因為《網(wǎng)絡(luò)安全法》和其他相關(guān)法律條例只提供了個人信息保護的總體規(guī)定，但《規(guī)范》對信息手機、存儲、適用、分享、轉(zhuǎn)移和公共披露等內(nèi)容做出了具體的指導(dǎo)。