王孔祥

從根本的立法理念出發(fā)，理解該條例的精髓，客觀地將其與相關(guān)法律法規(guī)做比較，才能在“合規(guī)”成本最小化的當(dāng)下，探索具有中國特色且更適合中國國情的應(yīng)對策略和措施

2018年5月生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR），其影響遠(yuǎn)遠(yuǎn)超越了地理范疇，進(jìn)而擴(kuò)散到數(shù)據(jù)流通的全球網(wǎng)絡(luò)空間。原本是在歐盟網(wǎng)信行業(yè)總體發(fā)展和政策導(dǎo)向背景下出臺的條例，卻將保護(hù)歐盟公民個人數(shù)據(jù)的“域內(nèi)效力”上升為“全球標(biāo)準(zhǔn)”。從立法理念的根本出發(fā)，理解該條例的精髓，客觀地比較與其相關(guān)的法律法規(guī)，才能在“合規(guī)”成本最小化的當(dāng)下，探索具有中國特色且更適合中國國情的應(yīng)對策略和措施。

GDPR的生效表明，歐盟正在改變其數(shù)據(jù)隱私規(guī)則?，F(xiàn)在人們已經(jīng)習(xí)慣了以“免費(fèi)”換取服務(wù)：授予公司許可存儲、處理和利用其個人數(shù)據(jù)和信息。但是，近年來曝光的一些案例、關(guān)于大數(shù)據(jù)安全漏洞的丑聞，以及公司如何使用和銷售其收集的信息，已經(jīng)引起人們對個人數(shù)據(jù)如何被用來構(gòu)建自身無法控制的詳細(xì)個人檔案的擔(dān)憂。

對互聯(lián)網(wǎng)企業(yè)的影響

2018年4月10日，臉書公司首席執(zhí)行官馬克·扎克伯格在美國參議院聯(lián)合聽證會上曾表示，在用戶同意放棄數(shù)據(jù)之前，他“原則上”支持為用戶提供類似于GDPR的選擇標(biāo)準(zhǔn)，并認(rèn)為“總的來說，GDPR對互聯(lián)網(wǎng)將是非常積極的一步”。在4月22日出席歐洲議會聽證會時(shí)，扎克伯格承諾，一定會遵守這一新法規(guī)。

對于國際化公司而言，遵守當(dāng)?shù)卣吆头ㄒ?guī)是基本前提。畢竟，公司的國際化戰(zhàn)略布局繞不開當(dāng)?shù)乇O(jiān)管。同樣，互聯(lián)網(wǎng)公司也會遵守適用于其相關(guān)業(yè)務(wù)的GDPR規(guī)則。因此，歐盟新規(guī)對于互聯(lián)網(wǎng)巨頭們的威懾力不可謂不嚴(yán)。

許多大型在線服務(wù)和社交媒體公司都在更新他們的隱私政策和服務(wù)條款，為新立法做準(zhǔn)備。其中就包括Beacon廣告計(jì)劃，Beacon是臉書在2007年推出的一項(xiàng)富有爭議的社交廣告服務(wù)，該服務(wù)會將用戶在其他網(wǎng)站的行為公之于眾。為應(yīng)對GDPR的影響，美國科技巨頭正在按照新規(guī)定傾注資源，例如微軟公司聘用了超過1600名工程師。此外，像醫(yī)療保健提供商、保險(xiǎn)公司、銀行和任何其他處理敏感個人數(shù)據(jù)的公司都將面臨困境。有些小型美國公司正在退出歐盟市場，以避免受到GDPR的沖擊。美國科技初創(chuàng)企業(yè)擔(dān)心，合規(guī)成本可能超過其在歐盟地區(qū)獲得的收益。如果小公司退出市場，像谷歌和臉書這樣的公司就可以從GDPR中受益。

GDPR是一部重整全球數(shù)據(jù)秩序的法令，歐盟以外的公司也將從多個層面受到影響。從過去兩年的過渡期運(yùn)行來看，歐盟內(nèi)企業(yè)關(guān)于GDPR合規(guī)的意識普遍較強(qiáng)，甚至有不少企業(yè)已經(jīng)為GDPR合規(guī)付出了較大的財(cái)務(wù)和管理成本，削減了營業(yè)收入和營銷手段。由于GDPR規(guī)定企業(yè)間數(shù)據(jù)交流的方式，一旦出現(xiàn)不合規(guī)的現(xiàn)象，數(shù)據(jù)供應(yīng)鏈上下各方都會被問責(zé)。為避免風(fēng)險(xiǎn)，歐盟企業(yè)日后在選擇境外合作伙伴時(shí)，會將數(shù)據(jù)保護(hù)作為一項(xiàng)重要考量標(biāo)準(zhǔn)。當(dāng)前，歐盟委員會甚至已經(jīng)開始討論，未來不排除限制歐盟與數(shù)據(jù)保護(hù)不過關(guān)的國家簽訂貿(mào)易協(xié)議的可能。

中國公司國際化面臨嚴(yán)峻考驗(yàn)

適用GDPR的中國企業(yè)主要有兩種情形：第一，在歐盟境內(nèi)設(shè)有機(jī)構(gòu)的中國企業(yè)，如果其通過該機(jī)構(gòu)開展業(yè)務(wù)的過程中涉及對個人數(shù)據(jù)的處理，不管該處理是否發(fā)生在歐盟境內(nèi)，都應(yīng)適用GDPR；第二，尚未在歐盟境內(nèi)設(shè)有機(jī)構(gòu)的中國企業(yè)，如果其向歐盟境內(nèi)的個人提供商品或服務(wù)的過程中（無論是否收費(fèi)），涉及對個人數(shù)據(jù)的處理，也應(yīng)適用于GDPR。

相比西方巨頭們的未雨綢繆，似乎不少中國公司對此反應(yīng)并不明顯。中國互聯(lián)網(wǎng)企業(yè)對GDPR的重視程度嚴(yán)重不足，或者說是嚴(yán)重低估和錯判了它帶來的影響。畢竟，在過去很多公司是以大規(guī)模搜集和運(yùn)用網(wǎng)民個人數(shù)據(jù)為基礎(chǔ)建立起來的商業(yè)模式?，F(xiàn)有中國互聯(lián)網(wǎng)公司在歐盟以外地區(qū)的做法基本難以符合GDPR的規(guī)范?；趥€人信息收集和隱私驅(qū)動的互聯(lián)網(wǎng)企業(yè)，可能首當(dāng)其沖。

2018年5月25日，包括微信海外版、新浪微博國際版、阿里巴巴旗下的全球速賣通（AliExpress）等多家中國互聯(lián)網(wǎng)公司，已紛紛向歐洲區(qū)用戶更新隱私政策、請求重新授權(quán)。據(jù)了解，海爾、華為等在歐洲有較大市場份額并有意進(jìn)軍物聯(lián)網(wǎng)的制造業(yè)領(lǐng)軍者，也早已雇請專門團(tuán)隊(duì)?wèi)?yīng)對GDPR。業(yè)界普遍認(rèn)為，GDPR既對行業(yè)提出了更高要求和挑戰(zhàn)，也使企業(yè)間的競爭有法可依，在一定程度上使行業(yè)更加規(guī)范?？芍^，機(jī)遇與挑戰(zhàn)并存。

騰訊的反應(yīng)最為迅速。2018年4月13日，騰訊QQ就向其國際版用戶發(fā)布通知，將在5月20日起停止向歐洲區(qū)用戶提供服務(wù)。盡管騰訊隨即聲明會繼續(xù)保留該服務(wù)，但可以看出，懾于強(qiáng)大的懲罰力度，不少中國企業(yè)已經(jīng)對GDPR有所行動。隨后，騰訊官方表示，更新到5.0及以上版本的QQ國際版可繼續(xù)使用，舊版本則在5月20日停止使用。其中隱私政策于2018年5月23日已更新，詳細(xì)說明所搜集的信息類型、存儲和使用方法、信息共享對象、數(shù)據(jù)處理地點(diǎn)、信息保留時(shí)長等內(nèi)容。顯然，這是為符合GDPR的要求做出的修改。

此外，微信也在5月更新了其國際版的隱私條款，條款詳細(xì)說明了信息的使用規(guī)則、存儲地點(diǎn)、適用法規(guī)等。值得注意的是，微信國際版的隱私政策中對信息的保留時(shí)間也有明示：未登錄賬號時(shí)間達(dá)到180天后，賬號信息會被刪除；聊天記錄會被存儲72小時(shí)，隨后永久刪除。但是，這些改變在中國的微信版本中并沒有體現(xiàn)。

早在2016年，阿里巴巴集團(tuán)董事局主席馬云就提出，未來海外市場要占到阿里收入的一半。截至目前，阿里云在全球已覆蓋18個國家和地區(qū)，完成42個可用域。阿里云相關(guān)業(yè)務(wù)已從平臺、系統(tǒng)、產(chǎn)品、服務(wù)、合規(guī)、流程、政策等全方面進(jìn)行改進(jìn)。按照GDPR的要求，持續(xù)進(jìn)行數(shù)據(jù)保護(hù)與相關(guān)服務(wù)的整改。

此外，螞蟻金服也一直非常重視數(shù)據(jù)安全和個人信息保護(hù)。2017年，螞蟻金服率先成立了隱私保護(hù)辦公室，進(jìn)一步加強(qiáng)對數(shù)據(jù)隱私的管理體系、規(guī)范和能力。為確保有效地落實(shí)隱私保護(hù)各項(xiàng)要求，華為公司成立了“全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)委員會”，是華為公司最高的網(wǎng)絡(luò)安全和用戶隱私保護(hù)管理機(jī)構(gòu)，聚集了全球網(wǎng)絡(luò)安全和用戶隱私保護(hù)領(lǐng)域的精英人士，設(shè)立并任命了全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)官，直接向CEO匯報(bào)。華為所有業(yè)務(wù)單元均設(shè)置有專職的隱私相關(guān)的角色或組織。同時(shí)，根據(jù)GDPR的要求，華為還任命了歐盟數(shù)據(jù)保護(hù)官。小米表示，整個行業(yè)都需要全力提升數(shù)據(jù)安全和隱私保護(hù)的意識，加大設(shè)計(jì)和研發(fā)投入，以加速符合GDPR的要求。

中國企業(yè)對GDPR的態(tài)度

GDPR正在改變大公司對待用戶數(shù)據(jù)的方式。中國企業(yè)對GDPR的態(tài)度分化比較明顯。一方面，有很早就開始為GDPR做準(zhǔn)備的企業(yè)，主要是一些大型互聯(lián)網(wǎng)或物聯(lián)網(wǎng)公司。他們既有動力要保住歐洲市場，又有財(cái)力可以負(fù)擔(dān)合規(guī)成本。另一方面，也有大量企業(yè)并未認(rèn)真對待GDPR。其中有一類企業(yè)面臨的風(fēng)險(xiǎn)最大，即在某個細(xì)分市場已經(jīng)做到了領(lǐng)頭羊、擁有涉歐業(yè)務(wù)、但尚未進(jìn)行GDPR合規(guī)的中國企業(yè)。這類企業(yè)有一定的關(guān)注度和財(cái)力，在歐盟通常會有本地的競爭對手，而對手很有可能在過去兩年已經(jīng)投入了GDPR合規(guī)成本，甚至就此調(diào)整了業(yè)務(wù)、減少了廣告活動。此時(shí)，尚未進(jìn)行合規(guī)的中國企業(yè)將很容易成為“槍靶子”。因?yàn)樽鳛楦偁帉κ值臍W盟企業(yè)將有很強(qiáng)的動機(jī)向所在國監(jiān)管機(jī)關(guān)投訴、舉報(bào)。而成員國政府出于保護(hù)本國企業(yè)的目的，也會有很強(qiáng)的動機(jī)進(jìn)行調(diào)查。中國企業(yè)將因此面臨巨大的GDPR處罰風(fēng)險(xiǎn)。

中國企業(yè)的應(yīng)對策略

應(yīng)對GDPR，企業(yè)越早做準(zhǔn)備越好。雖然短期內(nèi)會增加一定成本，但是可幫助企業(yè)避免風(fēng)險(xiǎn)，且對長期的聲譽(yù)有好處。以下建議可供中國相關(guān)互聯(lián)網(wǎng)企業(yè)應(yīng)對GDPR的參考：

第一，企業(yè)應(yīng)先對GDPR有大致了解，進(jìn)行初步評估，判斷該企業(yè)是否適用GDPR。在情況復(fù)雜、無法判斷的情況下，企業(yè)可以聘請外部機(jī)構(gòu)做進(jìn)一步調(diào)查確認(rèn)。一旦確認(rèn)適用GDPR，應(yīng)開展相應(yīng)的GDPR專項(xiàng)合規(guī)工作。由于GDPR涉及業(yè)務(wù)、信息技術(shù)、法務(wù)等多個部門的協(xié)同，在人力方面，應(yīng)考慮設(shè)置內(nèi)部數(shù)據(jù)保護(hù)方面的負(fù)責(zé)人，或是聘請外部合規(guī)顧問。

第二，對于一些還不能達(dá)到合規(guī)要求的產(chǎn)品，建議相關(guān)公司選擇關(guān)閉其歐洲業(yè)務(wù)。比如熱門的《絕地求生》游戲就在2018年4月份關(guān)閉了歐洲服務(wù)器。小米生態(tài)鏈企業(yè)、智能燈具品牌Yeelight則通知稱，由于無法滿足歐盟最新出臺的GDPR要求，將不再向歐洲用戶提供服務(wù)。

第三，要盡快落實(shí)數(shù)據(jù)合規(guī)的基礎(chǔ)設(shè)施，調(diào)整隱私政策、審查數(shù)據(jù)處理協(xié)議、開展數(shù)據(jù)審計(jì)、評估合規(guī)差距，并進(jìn)行持續(xù)性的培訓(xùn)、檢測與跟蹤。

第四，在具體細(xì)節(jié)方面，盡管這部法律未作強(qiáng)制性的要求，但是結(jié)合GDPR立法的本意是將用戶同意視為數(shù)據(jù)處理最重要的條件，其核心變化是，數(shù)據(jù)主體做出聲明，或者做出清晰的肯定性動作，同意才被認(rèn)為有效。個人沉默、提前勾選的選項(xiàng)、靜止等狀態(tài)，不足以認(rèn)定個人表達(dá)了同意。GDPR還明確了何種情況下，同意不是由數(shù)據(jù)主體自由地做出。數(shù)據(jù)控制方還應(yīng)當(dāng)告知數(shù)據(jù)主體撤回同意的權(quán)利。建議采用隱私政策單獨(dú)彈框同意，作為風(fēng)險(xiǎn)相對較小的做法。

GDPR的總體思路就是制定更有效的內(nèi)部治理，以及更強(qiáng)的外部威懾。實(shí)際上，它在個人信息使用目的限制、數(shù)據(jù)留存期限等方面“留了口子”，盡量為大數(shù)據(jù)開發(fā)利用開辟可能的路徑；同時(shí)也更加強(qiáng)調(diào)責(zé)任原則、透明原則的地位和作用，調(diào)動信息控制者參與數(shù)據(jù)治理的積極性。GDPR只是提高了門檻，法律對全世界的公司來說都是公平的，企業(yè)可以通過改變自己去適應(yīng)監(jiān)管。

未來，基于大數(shù)據(jù)和隱私保護(hù)的相關(guān)產(chǎn)業(yè)，也會更加受到重視。畢竟，規(guī)則制定者的目的，是為了引導(dǎo)行業(yè)更好發(fā)展，而不是為了扼殺它們。在全球化趨勢下，一部分中國企業(yè)對此反思，也未嘗不是一次完善自己的機(jī)會。在大平臺的帶動下，中國互聯(lián)網(wǎng)公司對于數(shù)據(jù)隱私的保護(hù)也會更上一個臺階。

（作者為中國國際關(guān)系學(xué)院法律系教授。碩士生李劍對此文亦有貢獻(xiàn)）