相比華為和聯(lián)想這樣的“老司機”，OfO和摩拜需要快速地補上歐盟個人數(shù)據(jù)保護(hù)要求這一課，否則將面對天價罰單

近期中國互聯(lián)網(wǎng)界最吸引眼球的事莫過于中國的共享單車企業(yè)OfO和摩拜單車齊頭并進(jìn)開拓歐洲市場了。

繼今年初OfO和摩拜單車先后進(jìn)軍英國劍橋和曼徹斯特之后，7月24日摩拜單車宣布進(jìn)入意大利佛羅倫薩和米蘭，并在佛羅倫薩市政廳“舊宮”舉行盛大發(fā)布會。

發(fā)布會規(guī)格很高，佛羅倫薩市長達(dá)里奧·納德拉（Dario Nardella）、米蘭市長貝佩·薩拉（BeppeSala）及摩拜單車創(chuàng)始人兼總裁胡瑋煒共同出席發(fā)布會，為摩拜單車進(jìn)入意大利揭幕。

依托國內(nèi)自由的創(chuàng)新氛圍和充足的資金支撐，再加上政府對于“互聯(lián)網(wǎng)+”的大力扶持和引導(dǎo)，中國形成了獨特的互聯(lián)網(wǎng)創(chuàng)新生態(tài)環(huán)境，并逐漸形成了多種超越海外發(fā)達(dá)國家互聯(lián)網(wǎng)發(fā)展的產(chǎn)業(yè)環(huán)境。中國互聯(lián)網(wǎng)創(chuàng)新產(chǎn)業(yè)中的共享單車、支付寶、網(wǎng)購甚至和國之重器“高鐵”被新華社并列為中國“新四大發(fā)明”。

中國的互聯(lián)網(wǎng)行業(yè)在多年的創(chuàng)新發(fā)展下形成了自己獨特的競爭優(yōu)勢，并具備了走出國門向發(fā)達(dá)國家和地區(qū)進(jìn)行業(yè)務(wù)擴展的能力，他們進(jìn)軍歐洲，并不是中國互聯(lián)網(wǎng)企業(yè)走出國門的特例。越來越多的中國企業(yè)在全球互聯(lián)網(wǎng)市場大融合和中國“一帶一路”國家戰(zhàn)略的背景下把目光投向了歐洲。

7月18日，騰訊旗下云計算公司騰訊云位于德國法蘭克福Interxion數(shù)據(jù)中心開放，這個數(shù)據(jù)中心是從原有的騰訊云法蘭克福服務(wù)節(jié)點升級而成，也是中國云服務(wù)商首次將服務(wù)全面覆蓋歐洲。騰訊在媒體上表示，其法蘭克福數(shù)據(jù)中心將成為給在歐洲的中國企業(yè)以及歐洲本土企業(yè)提供高性能云計算解決方案的重要平臺。

繼東南亞之后，歐洲已經(jīng)成為中國互聯(lián)網(wǎng)企業(yè)走出國門，開拓海外市場的下一個重要目標(biāo)。

作為數(shù)據(jù)戰(zhàn)略與數(shù)據(jù)治理領(lǐng)域的專家，我需要提醒國內(nèi)互聯(lián)網(wǎng)企業(yè)的是：歐洲市場在數(shù)據(jù)治理和數(shù)據(jù)保護(hù)方面，有著獨特的監(jiān)管要求。中國互聯(lián)網(wǎng)企業(yè)走向歐洲的時候，需要清晰了解歐洲的相關(guān)規(guī)定，并未雨綢繆做好數(shù)據(jù)保護(hù)的合規(guī)性準(zhǔn)備，否則將會面臨極為被動的局面。

歐洲數(shù)據(jù)保護(hù)條例有四大坑

歐洲雖然由幾十個國家構(gòu)成，但歐盟作為歐洲最重要的跨國組織，制定了大量適用于歐洲絕大多數(shù)國家的法律法規(guī)和行政管理條例。

中國互聯(lián)網(wǎng)企業(yè)在開拓歐洲市場時，應(yīng)該高度重視歐盟在數(shù)據(jù)保護(hù)的相關(guān)規(guī)定。而目前在數(shù)據(jù)治理和數(shù)據(jù)保護(hù)領(lǐng)域，對于中國互聯(lián)網(wǎng)企業(yè)最重要的條例就是《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）。

2016年4月，歐洲議會（European parliament）通過了《一般數(shù)據(jù)保護(hù)條例》，以歐盟法規(guī)的形式確定了對個人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式，并確定所有企業(yè)和組織必須于2018年5月25日前滿足條例規(guī)定的數(shù)據(jù)保護(hù)要求。

GDPR之所以被我認(rèn)為是對于中國互聯(lián)網(wǎng)企業(yè)最重要的數(shù)據(jù)治理和數(shù)據(jù)保護(hù)法規(guī)，理由有四點。

首先，適用范圍跨越全球。

傳統(tǒng)來說，任何法律法規(guī)都有管轄權(quán)，而管轄權(quán)一般是由物理位置決定的，數(shù)據(jù)在哪個國家物理存放，就適用于哪個國家的法律法規(guī)。而GDPR則打破了國家和地區(qū)的限制，明確指出任何處理歐盟公民相關(guān)信息的公司都必須遵守GDPR對于個人數(shù)據(jù)保護(hù)的相關(guān)要求，而不受物理位置的約束。

李軍

云計算時代，數(shù)據(jù)往往是在云端動態(tài)地操作管理，其物理位置有可能在短時間內(nèi)發(fā)生重大改變。

GDPR的規(guī)定讓向歐盟提供數(shù)據(jù)和互聯(lián)網(wǎng)服務(wù)的云計算和互聯(lián)網(wǎng)企業(yè)對于數(shù)據(jù)保護(hù)的責(zé)任無可逃避。存在于任何國家的“云服務(wù)”都將不會被GDPR法規(guī)豁免。

因此，受GDPR約束的對象是所有處理歐盟公民數(shù)據(jù)的歐盟或非歐盟組織和企業(yè)。

所有進(jìn)軍歐盟的中國企業(yè)，甚至只是遠(yuǎn)程向歐盟提供數(shù)據(jù)服務(wù)的企業(yè)和組織都要適用GDPR，要遵守GDPR規(guī)定的監(jiān)管要求，并在違反規(guī)定時接受歐盟處罰。

中國互聯(lián)網(wǎng)企業(yè)意識到自己在監(jiān)管范圍內(nèi)了嗎？在摩拜單車（英國）網(wǎng)站的隱私與Cookie政策頁面上，目前是這樣的內(nèi)容：“從您那里收集到的數(shù)據(jù)，將被傳輸和存儲到歐洲經(jīng)濟區(qū)（European Economic Area）以外的地區(qū)，例如中國和新加坡等對于數(shù)據(jù)保護(hù)力度較弱的地區(qū)。”

言下之意是，我們將滿足數(shù)據(jù)物理存儲所在國家的數(shù)據(jù)保護(hù)監(jiān)管要求，但會比歐盟的數(shù)據(jù)保護(hù)要求要低。在2018年5月25日GDPR強制合規(guī)日期前，這樣的免責(zé)陳述或許還能被接受。

2018年5月25日GDPR強制合規(guī)日期后，這樣的陳述根本不會被消費者和歐盟監(jiān)管部門認(rèn)可，因為GDPR監(jiān)管的是數(shù)據(jù)本身，和數(shù)據(jù)存儲的物理位置無關(guān)。

其二，涉及領(lǐng)域包含流程、組織、系統(tǒng)等多個方面。

GDPR對于個人數(shù)據(jù)保護(hù)的要求首先從業(yè)務(wù)流程入手。所有收集了歐盟客戶數(shù)據(jù)的企業(yè)和組織在對個人數(shù)據(jù)進(jìn)行操作時，必須記錄相關(guān)的操作流程和步驟。任何沒有系統(tǒng)監(jiān)控或不可審計的數(shù)據(jù)操作都不可接受。而所有的數(shù)據(jù)操作監(jiān)控和審計信息都需要備案并接受政府和相關(guān)監(jiān)管機構(gòu)檢查。

對于存儲個人數(shù)據(jù)的系統(tǒng)和相關(guān)設(shè)備，企業(yè)和機構(gòu)都必須將其記錄并納入數(shù)據(jù)安全策略管轄范圍內(nèi)，并確保數(shù)據(jù)加密策略的合理利用。這里談到的系統(tǒng)和相關(guān)設(shè)備包括但不限于服務(wù)器、傳統(tǒng)硬盤、固態(tài)硬盤、USB 閃存盤、計算機和各種移動設(shè)備等。

對于組織機構(gòu)方面，在個人數(shù)據(jù)被廣泛使用的情況下，例如被超過250名雇員的企業(yè)使用、或者個人數(shù)據(jù)在特定目的下被持續(xù)和系統(tǒng)地收集監(jiān)控，那么進(jìn)行數(shù)據(jù)處理或控制的企業(yè)或組織應(yīng)該任命有專門數(shù)據(jù)保護(hù)知識的數(shù)據(jù)保護(hù)專員/數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）。

數(shù)據(jù)保護(hù)專員/數(shù)據(jù)保護(hù)官的任職期限至少為兩年，并向公眾及監(jiān)管機構(gòu)通報其姓名及詳細(xì)的聯(lián)系方式。

數(shù)據(jù)保護(hù)專員/數(shù)據(jù)保護(hù)官需要確保企業(yè)遵從個人數(shù)據(jù)保護(hù)條例的規(guī)定，并在企業(yè)發(fā)生個人數(shù)據(jù)操作違規(guī)時承擔(dān)相應(yīng)的法律責(zé)任。

可以說，GDPR就是個人數(shù)據(jù)保護(hù)領(lǐng)域的薩班斯法案（對在美國上市的公司提供了合規(guī)性要求，使上市公司不得不考慮控制IT風(fēng)險在內(nèi)的各種風(fēng)險），為個人數(shù)據(jù)保護(hù)套上了從流程到風(fēng)險控制再到組織架構(gòu)的層層約束，并通過強制設(shè)定數(shù)據(jù)保護(hù)專員的方式讓個人數(shù)據(jù)保護(hù)的責(zé)任落實到企業(yè)的組織架構(gòu)設(shè)置中。

第三，實施要求清楚明確。

歐盟從1995年通過《數(shù)據(jù)保護(hù)指令》（即“95指令”）以來，就不斷通過完善法律法規(guī)來加強互聯(lián)網(wǎng)時代對個人隱私數(shù)據(jù)的保護(hù)。從2002年發(fā)布的《隱私與電子通訊指令》，到2009年通過的《歐洲Cookie指令》，這一系列法律法規(guī)和監(jiān)管主要是從明確個人數(shù)據(jù)保護(hù)基本原則的角度作出了監(jiān)管規(guī)定。

但是在具體操作層面還相當(dāng)粗略，既沒有給出企業(yè)在遵循相關(guān)規(guī)定時需要達(dá)到的客觀標(biāo)準(zhǔn)，也缺乏有威懾力的違規(guī)懲戒措施。

GDPR作為歐盟歷史上最嚴(yán)格的數(shù)據(jù)保護(hù)措施，一改以往的大處著眼、細(xì)節(jié)模糊的做法，從各個角度明確了企業(yè)和組織在涉及個人數(shù)據(jù)保護(hù)時需要承擔(dān)的責(zé)任和義務(wù)，甚至包括個人數(shù)據(jù)泄露時需要完成的強制補救措施。

除了前文提到的設(shè)置數(shù)據(jù)保護(hù)專員/數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）之外，GDPR還明確了企業(yè)在進(jìn)行個人數(shù)據(jù)操作時需要承擔(dān)的監(jiān)控記錄責(zé)任，以便監(jiān)管機構(gòu)對于個人數(shù)據(jù)保護(hù)的合規(guī)審計。

當(dāng)發(fā)生嚴(yán)重的數(shù)據(jù)泄露時，GDPR要求公司及組織第一時間通知相關(guān)國家監(jiān)管機構(gòu)，并把數(shù)據(jù)泄露的數(shù)量、方式、渠道以及可能的影響范圍上報，甚至明確了數(shù)據(jù)泄露的通知上報必須在獲知泄露的72小時內(nèi)完成。

最后也是最有威懾力的是，GDPR對未滿足合規(guī)要求的企業(yè)和組織給出了罰金標(biāo)準(zhǔn)。

這讓未來歐盟針對違反GDPR的行為開出高額罰款有了明確的法律依據(jù)。一旦違規(guī)，罰款金額巨大。

條例中最引人注目的就是巨額的罰金上限，因為罰金上限是按照企業(yè)全球年收入劃定的，并不局限于歐盟范圍的業(yè)務(wù)收入。

對于嚴(yán)重的違法，如大量泄露個人數(shù)據(jù)、嚴(yán)重違反個人數(shù)據(jù)保護(hù)操作規(guī)范或在歐盟警告下多次違反GDPR的相關(guān)規(guī)定，罰款上限是2000萬歐元或前一年全球營業(yè)收入的4%（兩值中取大者）。如果是針對Google這樣年收入近900億美元的公司，基于一年全球營業(yè)收入4%的罰款就將達(dá)到36億美元。

對于不太嚴(yán)重的違法，例如沒有保持清晰明確的個人數(shù)據(jù)操作記錄、沒有向監(jiān)管機構(gòu)和數(shù)據(jù)所有者通知數(shù)據(jù)泄露、或者沒有就個人數(shù)據(jù)操作流程進(jìn)行實施影響評估，罰金上限是1000萬歐元或前一年全球營業(yè)收入的2%（兩值中取大者）。

對于大型公司來說2%-4%的罰金上限，對于中小型公司來說1000萬-2000萬歐元（近8000萬-1.6億元人民幣）的罰金上限，都是足夠有威懾力的。

中國公司尚未做好準(zhǔn)備

GDPR對于歐盟內(nèi)整個數(shù)字化產(chǎn)業(yè)的影響都將是深遠(yuǎn)的。一方面各個企業(yè)和組織需要重新審視自己的數(shù)據(jù)業(yè)務(wù)流程，并根據(jù)GDPR的要求調(diào)整現(xiàn)有的業(yè)務(wù)并改造IT系統(tǒng)，以滿足GDPR的合規(guī)性要求。

另一方面，企業(yè)在引入任何新技術(shù)和新平臺/軟件時，都會把GDPR合規(guī)作為一票否決的需求。這一點對于像騰訊這樣積極開拓歐洲市場的云計算服務(wù)提供商來說，是必須要面對的強制客戶要求。

目前進(jìn)軍歐洲的OfO和摩拜單車為明年5月就將落下的“達(dá)摩克里斯之劍”做好準(zhǔn)備了嗎？

在摩拜單車英國的網(wǎng)站上（https：//mobike.com/uk/privacy），有關(guān)《隱私和Cookie使用聲明》（PRIVACY AND COOKIE STATEMENT）中，就個人數(shù)據(jù)保存與保留有如下描述：

VI. Retention of Personal Data（個人數(shù)據(jù)保留）：We shall retain your personal data for such period as you have an account with us（在您擁有[摩拜單車]賬戶期間，我們將保留您的個人數(shù)據(jù)）。

GDPR明確規(guī)定，數(shù)據(jù)所有者（用戶）擁有個人數(shù)據(jù)刪除權(quán)（有時也被稱為“數(shù)據(jù)被遺忘權(quán)”，“right to be forgotten”）。當(dāng)數(shù)據(jù)所有者（用戶）撤回自己向企業(yè)或組織授予的個人數(shù)據(jù)使用權(quán)時，相關(guān)企業(yè)或組織必須立即無條件刪除所有的個人數(shù)據(jù)。

在目前摩拜單車英國的網(wǎng)站上，只列出了個人數(shù)據(jù)保留的內(nèi)容，但對于個人數(shù)據(jù)刪除權(quán)的保障，以及具體的個人數(shù)據(jù)刪除功能提供，都只字未提。目前這樣的描述如果延續(xù)到明年5月不做修改，一定是違反GDPR的。

至于OfO英國的網(wǎng)站，連最基本的隱私和數(shù)據(jù)保護(hù)策略的內(nèi)容都沒有，更談不上GDPR合規(guī)的其他要求了（作者注：雖然英國脫離歐盟已經(jīng)在進(jìn)程中，但英國政府明確表示GDPR同時在英國生效）。

或許有人質(zhì)疑，GDPR目前還沒有到最后截止期，OfO和摩拜單車也許已經(jīng)開始了針對GDPR的合規(guī)性準(zhǔn)備，目前還沒有正式發(fā)布相關(guān)內(nèi)容。

那么我們可以看看2011年5月25日在歐盟正式啟用的《歐洲Cookie指令》。該指令要求網(wǎng)站在用戶初始使用時必須關(guān)閉Cookie的使用，直到用戶明確同意啟用Cookie時才能開啟此功能。

目前歐盟范圍內(nèi)絕大多數(shù)企業(yè)和政府網(wǎng)站都遵從此指令對用戶給出了明確的Cookie使用選擇。遺憾的是，目前OfO和摩拜單車都沒有給出明確的Cookie使用選擇提示。

多年前就開始全球化進(jìn)程并進(jìn)入歐洲市場的華為和聯(lián)想，在自己的歐洲國家主頁上都明確給出了網(wǎng)站使用Cookie的提示，提供了用戶關(guān)閉Cookie的選擇，并在條款中明確包含了隱私政策的詳細(xì)說明鏈接。

相比華為和聯(lián)想這樣的“老司機”，OfO和摩拜單車需要快速地補上歐盟個人數(shù)據(jù)保護(hù)要求這一課。

企業(yè)全球化和開拓歐洲市場需要建立在對當(dāng)?shù)胤煞ㄒ?guī)和監(jiān)管要求清晰了解的基礎(chǔ)上，希望未來更多走出國門的中國互聯(lián)網(wǎng)企業(yè)能夠認(rèn)識到這一點，避免未來要付出的高昂“學(xué)費”。

（作者為科技與互聯(lián)網(wǎng)資深分析師，編輯：謝麗容）