📖 ZKIZ Archives

歐盟新數據保護法即將實施，谷歌、Facebook已修改政策

歐盟《通用數據保護法案》(下稱“GDPR”)5月25日就將正式生效，谷歌、Facebook這些科技巨頭都已經改寫了用戶政策條款，以符合歐盟數據保護新規。

GDPR是二十年來數據隱私規則領域發生的最重要變化，給歐盟、乃至全世界的企業都將帶來重大影響。無論企業是否在歐盟境內，只要與歐盟企業發生業務往來，或涉及存儲、處理、交換任何歐盟公民的數據，都必須嚴格遵守該條例。

與以往的隱私規則相比，GDPR的影響更為深遠。在數據保護上，數據供應鏈自上而下的各方（包括數據的擁有者和使用者）都會被問責；在獲取和管理個人信息上，GDPR提出了新的、更嚴格的要求，並賦予個人明確的權利，為企業通過人工、流程和技術進行客戶數據管理都帶來了一定的沖擊；而且，GDPR還大大增加了數據保護的強制性和責任性，對違規的處罰提高到了2000萬歐元或企業全球年營業額的4%（二者取較高值）。

新的條例要求企業用通俗的語言向用戶解釋他們是如何收集用戶數據的。比如谷歌就用了YouTube的視頻來解釋他們的理念。GDPR列出了企業處理用戶數據的六種方式，其中包括履行合同義務，或者在以廣告為目的的用戶信息收集過程中，必須征得用戶同意。企業同時被要求給予歐盟用戶進入或者刪除個人數據的權利；企業還必須告訴用戶他們將用戶數據保留多久。

值得註意的是，GDPR目前僅針對歐盟用戶。一些企業將至少一部分歐盟數據保護條例延伸至歐盟之外的用戶，但是針對這部分用戶，如果涉及GDPR不履行的問題，企業並不會受到懲罰，除非那些市場也將GDPR列入法律框架。但目前來看，近期美國和其它市場並不會跟隨歐洲。

GDPR推出於Facebook的數據醜聞之後，這無疑給Facebook施加了壓力。Facebook創始人CEO紮克伯格上個月在兩會作證時已經承諾將在全球範圍內都執行歐盟數據監管標準，不過對於具體該如何做仍然采取較為模糊的措施。當被問到美國用戶是否能夠像歐盟用戶享受到同樣的數據隱私保護待遇時，紮克伯格回答道：“我目前還不確定我們在美國會怎麽做。”

事實上，包括谷歌和Facebook在內的大大小小的科技公司都已經修改了他們的用戶政策條款，不過大部分企業條款的變化並不大，甚至有些模糊和寬泛。有媒體註意到，谷歌在修改條款時，出現了一個微妙的變化，悄悄將其長期堅持的座右銘“不作惡”（Don’t be evil）的條款移到了最後一條，提及的次數也明顯減少。

Facebook早在今年3月就已經更新了對用戶隱私的控制，使之更加通俗易懂。比如在使用人臉識別技術在用戶上傳照片中標識照片中的人物時，公司加強了用戶準許的條例，目前使用人臉識別的技術時，采取的是用戶默認同意的條款，除非用戶自己提出異議。

不過要把歐洲用戶與全球其它地區的用戶完全切割開來並不容易，尤其是對於那些規模不如谷歌和Facebook那麽大的科技公司。隱私研究機構Ponemon Institute創始人Larry Ponemon表示：“這看似是一種明智之舉，但實際上還有很多工作要做。”

GDPR對於科技公司而言將是巨大的挑戰。根據一項面向雲服務供應商的客戶感知調查顯示，僅6%的企業被認為符合GDPR、無需在新的規定條款框架下重新商談合同；而91%的企業出於對數據處理的複雜性和成本的考慮，對自身能否符合GDPR表現出了擔憂。

對此，咨詢和技術服務提供商埃森哲建議企業內部制定GDPR合規戰略，並對企業運營達標情況展開評估，制定最佳合規解決方案，確保數據處理供應商與合作夥伴安全可靠。

埃森哲全球技術研發董事總經理馬克-卡雷爾-比利亞德（Marc Carrel-Billiard）對第一財經記者表示：“人類正處於一個全新的科技複興時代。一個重要的趨勢是，所有的事情是建立在信任基礎上，企業的運作必須符合倫理道德。Facebook的數據泄露事件無疑給企業和用戶都敲響了警鐘，但是問題是人們還是要用社交媒體，企業必須給出更好的解決方案。”不過，比利亞德表示不確定全球其它國家會跟隨歐盟的步伐，實施更加嚴厲的數據保護法規。