Loading
2018-07-09 11:00:00
從小米Yeelight在歐洲上線受阻說起
近日來,諸多互聯網企業都不約而同地搞起了“大動作”:包括騰訊在內的各大互聯網企業紛紛更新用戶協議、隱私政策;美國《洛杉磯時報》《New York Daily News》等媒體機構突然停止對歐盟地區提供服務;Steam開始對16歲以下歐洲玩家做出額外限制,甚至添加了“一鍵刪除賬號”功能;我國以收集用戶習慣數據為特色功能的小米智能硬件生態鏈旗下智能燈Yeelight也于5月23日晚宣布停止為歐洲用戶提供服務。
這些“大動作”的產生都與個人數據保護領域一項“大事件”有關--《通用數據管理條例》(General Data Protection Regulation 簡稱GDPR)的全面生效。GDPR一經生效便在世界范圍內掀起了軒然大波,在目前的情勢下,有的企業積極調整、嚴陣以待,也有企業畏懼合規風險,撤出市場,更有為數不少的企業身處險境而不自知。可以預見的是,GDPR所帶來的個人數據規制浪潮將為全球互聯網企業的發展帶來極大的機遇與挑戰。
二、GDPR是什么?
“史上最嚴數據保護條例” “用戶數據憲章”
2018年5月正式生效的《通用數據保護條例》(GDPR)是歐盟委員會醞釀多年的一部數據保護法令,旨在通過規范數據處理行為,保護個人用戶的數據隱私。該法規因其監管內容之細,適用范圍之廣,懲罰力度之強而一經出臺即被媒體稱為“史上最嚴數據保護條例”。對此最直觀的表現便是:在GDPR生效的第一天,Facebook和谷歌便被控強迫用戶同意共享數據而面臨數十億歐元的罰款危機。而在其生效短短數十日內,已經有幾十家公司被投訴而開始被監管機構調查。
GDPR針對新時代下大數據、云計算等商業新生態對個人數據的沖擊與威脅,建立起強大而統一的數據保護框架。從具體內容上看,GDPR中主要有以下重要規定:
①六個基本原則:在設計個人數據利用的問題上,數據控制者與處理者必須遵循合法、合理、透明原則,目的限制原則,最小化適用原則,準確使用原則,限期留存原則,安全使用原則。
②六大合法性基礎:我國立法當中主要以用戶的同意作為認定數據處理合法的標準,而GDPR在此基礎上完善了對“主體同意”的確認方法,并在此之外補充了“為履行法定義務”“為實現公共利益”“為實現用戶的合同目的”“為用戶的核心利益”“為追求企業或第三方所追求的正大利益”五個認定標準。
③較為完備的主體權利:用戶對其自身數據信息享有知情權、變更權、被遺忘權等重要權利,同時與權利相匹配的,GDPR還提供了充分的權利救濟方式。
④嚴格的跨境傳輸:GDPR對用戶的數據信息跨境傳輸施加了嚴格的限制,其中具有代表性的是充分性認定國家清單制度的應用(我國不在其中)。
圖片轉自公眾號“數字通信世界”
三、GDPR和國內企業的關系
首先,GDPR雖然是歐盟法令,但基于其確認的長臂管轄(Long arm Jurisdiction)機制,此法令的輻射范圍可以擴張到全球。GDPR所規范的企業主要包括以下兩種:
1.設立于歐盟內部的企業,無論其數據處理行為是否發生在歐盟
2.對歐盟內自然人提供商品或服務的企業,無論所提供的商品或服務是否收費
基于此,不僅我國企業在歐洲境內設立或收購的子公司將直接受到GDPR的規制,那些在歐洲開展國際業務而獲取了相關用戶數據的企業同樣需要遵守法令的規定。任何意圖在歐洲開拓市場的企業都須警惕GDPR所帶來的合規風險。GDPR并不是舶來的宣傳指引,而將是與企業生存利益直接相關的強制性法律規范。
除去GDPR廣泛的國際性影響之外,對于我國企業而言,迅速熟悉GDPR,完善合規工作,還有特別重大和緊急的意義。主要有以下兩個原因:
(1)從宏觀形勢上看,我國企業很有可能成為GDPR規制的重災區
①隨著“一帶一路”戰略的施行與開放政策的不斷深化,國內企業“走出去”的情形越來越常見,而人口眾多、經濟發達的歐洲地區則是企業發展國際業務的“兵家必爭之地”。我國諸多企業已經在歐洲積累了龐大的用戶群。例如國內極為火熱的手游“王者榮耀”的海外版在上線歐洲、北美地區之后,本地注冊用戶已經超過兩億,每日活躍用戶高達8000萬。如此規模的用戶基礎除了可觀的海外收入外,也為數據合規風險埋下了伏筆。
②從GDPR的監管邏輯上看,今后對中國企業的監管力度可能會加強。對于Facebook、谷歌這樣實力強勁、經驗豐富的互聯網企業,監管機關在進行調查時的阻力大、耗時長,也較難得到理想的效果。與之相比,我國國內企業由于意識、經驗等方面的缺乏,無疑是較容易突破的“軟柿子”。特別是在我國企業在世界市場上占有率逐漸抬升的情況下,監管機構對中國國內企業的重視將會將來監管壓力的加重。
③與前述趨勢相矛盾的,目前我國企業對于用戶數據保護的自覺意識仍十分缺乏,整體合規程度低。百度CEO李彥宏在2018中國發展高層論壇上所做的關于中國網民“愿用隱私換便捷”的公開言論正反應了這一點,而南都信息中心對企業隱私政策的測評更顯示樣本中50%的APP存在越限獲取用戶信息的情形,整體上不合規企業所占比例甚至高達80%。這樣的情勢下,若GDPR監管機構對國內有關主體進行嚴格檢查,結果可能將是十分慘烈的。
(2)從微觀角度上看,GDPR對企業自身發展具有重大指導意義
①通過推動合規工作,規避巨額懲罰
GDPR對于違反其規定的數據控制者和處理者采取的主要救濟措施是罰款。根據GDPR的懲罰規則,違規企業將面臨最高2000W歐元或本年全球營收4%的罰款(以二者間更高的為準)。以亞馬遜為例,按照2017年的全球營收計算,若其違反GDPR規定,則其將面臨高達71億美元的罰款。這種程度的處罰,對于任何企業都將是沉重的打擊,因此盡快實現GDPR框架下最低限度的合規對國內企業而言是非常必要的。
②指導企業更好地適應國內立法趨勢
隨著國內外法律體系的完善,其受到國內、國際雙重規制的情形將十分普遍。可以看到,對用戶數據信息的保護是世界范圍內立法發展的趨勢,我國近年來出臺的《網絡安全法》《關于處理侵犯個人信息 解釋》《信息安全技術個人信息安全規范》也反映了我國立法對個人數據保護的重視程度在逐漸提升。
從內容上看,對GDPR的合規管理和對國內規制的調整是相輔相成的,對GDPR規則的了解也將有助于我國企業適應國內立法的要求,從而更好克服“雙重壓力”
③促進企業競爭力的提升,推動企業戰略發展
在互聯網經濟下,用戶對自身數據信息保護意識不斷增強,用戶在挑選產品、選擇服務時將不僅會考慮傳統的產品質量等問題,也會逐漸關注其對自身數據信息的處理情況等新因素。而企業對GDPR的合規情況必然成為用戶考量其產品數據保護情況的重要客觀依據。在對此問題有所懈怠的企業也將在日趨激烈的市場競爭中處于劣勢。
另一方面,對數據保護的國家共識和保護力度整在提升,對于個人數據信息保護情況很可能成為特定市場準入條件與行業門檻的一部分。若企業連門檻都夠不上,就更談不上收益與擴張了。
四、結語
GDPR的出臺作為個人數據保護的一個里程碑,對世界范圍內用戶的數據信息保護具有重要的意義。而作為以盈利為主要目的的企業而言,GDPR更像是一把篩子,以合規狀況為標準對企業進行篩選,在激烈的競爭下,篩選的結果往往是“留者生,去者亡”。綜上,對GDPR的合規情況將直接影響企業的生存發展,相關企業必須保持警覺重視的態度。
在認識到GDPR的重要性后,如何準確理解GDPR中各項制度的內容,又有那些合理可行的合規途徑呢?
作者將嗣后撰文予以介紹。
注:感謝實習生黃宇哲為這篇文章做的支持工作。