近年來曝光的一些案例、關于大數據安全漏洞的醜聞,以及公司如何使用和銷售其收集的信息,已經引起人們的擔憂。2018年5月生效的歐盟《通用數據保護條例》(GDPR),其影響遠遠超越了地理範疇,進而擴散到數據流通的全球網絡空間。原本是在歐盟網信行業總體發展和政策導向背景下出台的條例,卻将保護歐盟公民個人數據的“域内效力”上升為“全球标準”。從立法理念的根本出發,理解該條例的精髓,客觀地比較與其相關的法律法規,才能在“合規”成本最小化的當下,探索具有中國特色且更适合中國國情的應對策略和措施。
GDPR的生效表明,歐盟正在改變其數據隐私規則。現在人們已經習慣了以“免費”換取服務:授予公司許可存儲、處理和利用其個人數據和信息。但是,近年來曝光的一些案例、關于大數據安全漏洞的醜聞,以及公司如何使用和銷售其收集的信息,已經引起人們對個人數據如何被用來構建自身無法控制的詳細個人檔案的擔憂。
對互聯網企業的影響
2018年4月10日,臉書公司首席執行官馬克·紮克伯格在美國參議院聯合聽證會上曾表示,在用戶同意放棄數據之前,他“原則上”支持為用戶提供類似于GDPR的選擇标準,并認為“總的來說,GDPR對互聯網将是非常積極的一步”。在4月22日出席歐洲議會聽證會時,紮克伯格承諾,一定會遵守這一新法規。
對于國際化公司而言,遵守當地政策和法規是基本前提。畢竟,公司的國際化戰略布局繞不開當地監管。同樣,互聯網公司也會遵守适用于其相關業務的GDPR規則。因此,歐盟新規對于互聯網巨頭們的威懾力不可謂不嚴。
許多大型在線服務和社交媒體公司都在更新他們的隐私政策和服務條款,為新立法做準備。其中就包括Beacon廣告計劃,Beacon是臉書在2007年推出的一項富有争議的社交廣告服務,該服務會将用戶在其他網站的行為公之于衆。為應對GDPR的影響,美國科技巨頭正在按照新規定傾注資源,例如微軟公司聘用了超過1600名工程師。此外,像醫療保健提供商、保險公司、銀行和任何其他處理敏感個人數據的公司都将面臨困境。有些小型美國公司正在退出歐盟市場,以避免受到GDPR的沖擊。美國科技初創企業擔心,合規成本可能超過其在歐盟地區獲得的收益。如果小公司退出市場,像谷歌和臉書這樣的公司就可以從GDPR中受益。
GDPR是一部重整全球數據秩序的法令,歐盟以外的公司也将從多個層面受到影響。從過去兩年的過渡期運行來看,歐盟内企業關于GDPR合規的意識普遍較強,甚至有不少企業已經為GDPR合規付出了較大的财務和管理成本,削減了營業收入和營銷手段。由于GDPR規定企業間數據交流的方式,一旦出現不合規的現象,數據供應鍊上下各方都會被問責。為避免風險,歐盟企業日後在選擇境外合作夥伴時,會将數據保護作為一項重要考量标準。當前,歐盟委員會甚至已經開始讨論,未來不排除限制歐盟與數據保護不過關的國家簽訂貿易協議的可能。
中國公司國際化面臨嚴峻考驗
适用GDPR的中國企業主要有兩種情形:第一,在歐盟境内設有機構的中國企業,如果其通過該機構開展業務的過程中涉及對個人數據的處理,不管該處理是否發生在歐盟境内,都應适用GDPR;第二,尚未在歐盟境内設有機構的中國企業,如果其向歐盟境内的個人提供商品或服務的過程中(無論是否收費),涉及對個人數據的處理,也應适用于GDPR。
相比西方巨頭們的未雨綢缪,似乎不少中國公司對此反應并不明顯。中國互聯網企業對GDPR的重視程度嚴重不足,或者說是嚴重低估和錯判了它帶來的影響。畢竟,在過去很多公司是以大規模搜集和運用網民個人數據為基礎建立起來的商業模式。現有中國互聯網公司在歐盟以外地區的做法基本難以符合GDPR的規範。基于個人信息收集和隐私驅動的互聯網企業,可能首當其沖。
2018年5月25日,包括微信海外版、新浪微博國際版、阿裡巴巴旗下的全球速賣通(AliExpress)等多家中國互聯網公司,已紛紛向歐洲區用戶更新隐私政策、請求重新授權。據了解,海爾、華為等在歐洲有較大市場份額并有意進軍物聯網的制造業領軍者,也早已雇請專門團隊應對GDPR。業界普遍認為,GDPR既對行業提出了更高要求和挑戰,也使企業間的競争有法可依,在一定程度上使行業更加規範。可謂,機遇與挑戰并存。
騰訊的反應最為迅速。2018年4月13日,騰訊QQ就向其國際版用戶發布通知,将在5月20日起停止向歐洲區用戶提供服務。盡管騰訊随即聲明會繼續保留該服務,但可以看出,懾于強大的懲罰力度,不少中國企業已經對GDPR有所行動。随後,騰訊官方表示,更新到5.0及以上版本的QQ國際版可繼續使用,舊版本則在5月20日停止使用。其中隐私政策于2018年5月23日已更新,詳細說明所搜集的信息類型、存儲和使用方法、信息共享對象、數據處理地點、信息保留時長等内容。顯然,這是為符合GDPR的要求做出的修改。
此外,微信也在5月更新了其國際版的隐私條款,條款詳細說明了信息的使用規則、存儲地點、适用法規等。值得注意的是,微信國際版的隐私政策中對信息的保留時間也有明示:未登錄賬号時間達到180天後,賬号信息會被删除;聊天記錄會被存儲72小時,随後永久删除。但是,這些改變在中國的微信版本中并沒有體現。
早在2016年,阿裡巴巴集團董事局主席馬雲就提出,未來海外市場要占到阿裡收入的一半。截至目前,阿裡雲在全球已覆蓋18個國家和地區,完成42個可用域。阿裡雲相關業務已從平台、系統、産品、服務、合規、流程、政策等全方面進行改進。按照GDPR的要求,持續進行數據保護與相關服務的整改。
此外,螞蟻金服也一直非常重視數據安全和個人信息保護。2017年,螞蟻金服率先成立了隐私保護辦公室,進一步加強對數據隐私的管理體系、規範和能力。為确保有效地落實隐私保護各項要求,華為公司成立了“全球網絡安全與用戶隐私保護委員會”,是華為公司最高的網絡安全和用戶隐私保護管理機構,聚集了全球網絡安全和用戶隐私保護領域的精英人士,設立并任命了全球網絡安全與用戶隐私保護官,直接向CEO彙報。華為所有業務單元均設置有專職的隐私相關的角色或組織。同時,根據GDPR的要求,華為還任命了歐盟數據保護官。小米表示,整個行業都需要全力提升數據安全和隐私保護的意識,加大設計和研發投入,以加速符合GDPR的要求。
GDPR既對行業提出了更高要求和挑戰,也使企業間的競争有法可依,在一定程度上使行業更加規範
中國企業對GDPR的态度
GDPR正在改變大公司對待用戶數據的方式。中國企業對GDPR的态度分化比較明顯。一方面,有很早就開始為GDPR做準備的企業,主要是一些大型互聯網或物聯網公司。他們既有動力要保住歐洲市場,又有财力可以負擔合規成本。另一方面,也有大量企業并未認真對待GDPR。其中有一類企業面臨的風險最大,即在某個細分市場已經做到了領頭羊、擁有涉歐業務、但尚未進行GDPR合規的中國企業。這類企業有一定的關注度和财力,在歐盟通常會有本地的競争對手,而對手很有可能在過去兩年已經投入了GDPR合規成本,甚至就此調整了業務、減少了廣告活動。此時,尚未進行合規的中國企業将很容易成為“槍靶子”。因為作為競争對手的歐盟企業将有很強的動機向所在國監管機關投訴、舉報。而成員國政府出于保護本國企業的目的,也會有很強的動機進行調查。中國企業将因此面臨巨大的GDPR處罰風險。
中國企業的應對策略
應對GDPR,企業越早做準備越好。雖然短期内會增加一定成本,但是可幫助企業避免風險,且對長期的聲譽有好處。以下建議可供中國相關互聯網企業應對GDPR的參考:
第一,企業應先對GDPR有大緻了解,進行初步評估,判斷該企業是否适用GDPR。在情況複雜、無法判斷的情況下,企業可以聘請外部機構做進一步調查确認。一旦确認适用GDPR,應開展相應的GDPR專項合規工作。由于GDPR涉及業務、信息技術、法務等多個部門的協同,在人力方面,應考慮設置内部數據保護方面的負責人,或是聘請外部合規顧問。
第二,對于一些還不能達到合規要求的産品,建議相關公司選擇關閉其歐洲業務。比如熱門的《絕地求生》遊戲就在2018年4月份關閉了歐洲服務器。小米生态鍊企業、智能燈具品牌Yeelight則通知稱,由于無法滿足歐盟最新出台的GDPR要求,将不再向歐洲用戶提供服務。
第三,要盡快落實數據合規的基礎設施,調整隐私政策、審查數據處理協議、開展數據審計、評估合規差距,并進行持續性的培訓、檢測與跟蹤。
第四,在具體細節方面,盡管這部法律未作強制性的要求,但是結合GDPR立法的本意是将用戶同意視為數據處理最重要的條件,其核心變化是,數據主體做出聲明,或者做出清晰的肯定性動作,同意才被認為有效。個人沉默、提前勾選的選項、靜止等狀态,不足以認定個人表達了同意。GDPR還明确了何種情況下,同意不是由數據主體自由地做出。數據控制方還應當告知數據主體撤回同意的權利。建議采用隐私政策單獨彈框同意,作為風險相對較小的做法。
GDPR的總體思路就是制定更有效的内部治理,以及更強的外部威懾。實際上,它在個人信息使用目的限制、數據留存期限等方面“留了口子”,盡量為大數據開發利用開辟可能的路徑;同時也更加強調責任原則、透明原則的地位和作用,調動信息控制者參與數據治理的積極性。GDPR隻是提高了門檻,法律對全世界的公司來說都是公平的,企業可以通過改變自己去适應監管。
未來,基于大數據和隐私保護的相關産業,也會更加受到重視。畢竟,規則制定者的目的,是為了引導行業更好發展,而不是為了扼殺它們。在全球化趨勢下,一部分中國企業對此反思,也未嘗不是一次完善自己的機會。在大平台的帶動下,中國互聯網公司對于數據隐私的保護也會更上一個台階。
未來,基于大數據和隐私保護的相關産業,會更加受到重視
(作者為中國國際關系學院法律系教授。碩士生李劍對此文亦有貢獻)