據(jù)外媒報(bào)道，歐盟“通用數(shù)據(jù)保護(hù)條例”(GDPR)于2018年5月25日生效。

　　GDPR被視為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)立法，企業(yè)在發(fā)生數(shù)據(jù)泄露事故的情況下可能會(huì)面臨高達(dá)年收入4%的罰款。

　　GDPR最初于2012年提出，并于2015年12月獲得了歐盟理事會(huì)的通過(guò)。作為統(tǒng)一的數(shù)據(jù)保護(hù)法，GDPR的前身是1995年的《數(shù)據(jù)保護(hù)指令》95/46/EC。

　　在實(shí)施后，GDPR將覆蓋所有28個(gè)歐盟成員國(guó)，替代各國(guó)自己的相關(guān)法律。但GDPR的覆蓋范圍可能不止于此。

　　從原則上說(shuō)，所有在歐洲大陸開(kāi)展業(yè)務(wù)或處理歐盟公民數(shù)據(jù)的組織，無(wú)論這些組織的總部設(shè)在哪里，都可能受到GDPR的影響。

　　普華永道指出：“這將影響在歐洲內(nèi)外保存或使用歐洲公民個(gè)人數(shù)據(jù)的每個(gè)實(shí)體。”

　　對(duì)于GDPR未來(lái)的影響和意義，各界人士有著不同的看法。以下為國(guó)外相關(guān)專家觀點(diǎn)摘要：

　　1、安格斯·麥克雷（Angus Macrae），倫敦國(guó)王學(xué)院信息安全負(fù)責(zé)人

　　GDPR的總原則是“統(tǒng)一歐盟范圍內(nèi)的監(jiān)管，讓公民重新掌控自己的個(gè)人數(shù)據(jù)，同時(shí)簡(jiǎn)化國(guó)際業(yè)務(wù)的監(jiān)管環(huán)境”。在大多數(shù)人看來(lái)，這肯定是件好事。

　　這套標(biāo)準(zhǔn)如果能得到良好協(xié)調(diào)，那么從長(zhǎng)遠(yuǎn)來(lái)看肯定會(huì)對(duì)數(shù)據(jù)保管或處理過(guò)程中的每個(gè)人都有有利。我們都是“數(shù)據(jù)主體”，在我們生活的這個(gè)世界中，有很多重要方面都在更多地依賴于與我們相關(guān)的數(shù)據(jù)。但這些數(shù)據(jù)處于風(fēng)險(xiǎn)之中，比以往更容易泄露。

　　數(shù)據(jù)主體目前擔(dān)心的是，由于很多國(guó)家和地區(qū)在通報(bào)數(shù)據(jù)泄露事件時(shí)都不必承擔(dān)法律責(zé)任，因此你甚至可能不知道自己的數(shù)據(jù)被盜或以其他方式受損。而GDPR實(shí)施后，如果發(fā)生數(shù)據(jù)泄露事件，那么數(shù)據(jù)保管者就必須及時(shí)向相應(yīng)監(jiān)管機(jī)構(gòu)匯報(bào)情況，時(shí)限為事故發(fā)生的72小時(shí)內(nèi)。

　　然而，GDPR會(huì)帶來(lái)額外的合規(guī)負(fù)擔(dān)，給企業(yè)造成額外成本，并導(dǎo)致某些企業(yè)處于競(jìng)爭(zhēng)劣勢(shì)。2013年，英國(guó)信息委員會(huì)辦公室(ICO)委托倫敦經(jīng)濟(jì)學(xué)院進(jìn)行了一項(xiàng)相關(guān)調(diào)查研究。其中重要發(fā)現(xiàn)之一是，大多數(shù)企業(yè)無(wú)法可靠地量化它們?cè)跀?shù)據(jù)保護(hù)上的投入。而在GDPR實(shí)施后，運(yùn)營(yíng)成本可能會(huì)出現(xiàn)怎樣的增長(zhǎng)，也同樣難以準(zhǔn)確量化。

　　根據(jù)新規(guī)定，長(zhǎng)期雇員超過(guò)250人的組織，或“核心活動(dòng)”需要對(duì)數(shù)據(jù)主體進(jìn)行定期和系統(tǒng)性監(jiān)測(cè)的組織，都需要任命數(shù)據(jù)保護(hù)官。盡管這個(gè)要求本身不算無(wú)理，但對(duì)很多中小企業(yè)來(lái)說(shuō)，這可能會(huì)是一筆切切實(shí)實(shí)的花費(fèi)。

　　最引人關(guān)注的行業(yè)是云計(jì)算，它可能會(huì)受到更大的影響，并承擔(dān)更多成本。有些企業(yè)肯定需要投資更好的技術(shù)方案才能滿足數(shù)據(jù)刪除、保留或可移植性的要求，而這些成本無(wú)疑很快就會(huì)轉(zhuǎn)嫁到用戶處。

　　此外，GDPR的許多細(xì)節(jié)在實(shí)際操作中如何執(zhí)行?企業(yè)可能會(huì)面臨哪些不必要的成本，尤其是浪費(fèi)在誤導(dǎo)性的管控措施和咨詢意見(jiàn)上的成本?即便是在專家中間，這些問(wèn)題也存在很多分歧。

　　另一個(gè)風(fēng)險(xiǎn)是，盡管從原則上說(shuō)，良好的信息安全和數(shù)據(jù)保護(hù)工作應(yīng)該相互協(xié)調(diào)，互為補(bǔ)充，但企業(yè)可能過(guò)分強(qiáng)調(diào)其中某個(gè)點(diǎn)，把資金和資源放在滿足GDPR的合規(guī)要求上，導(dǎo)致在信息安全防御的其他領(lǐng)域蒙受損失。

　　市場(chǎng)研究公司Ovum的報(bào)告顯示，2015年12月，在調(diào)查的366家全球IT公司中，有66%似乎正在審查歐洲的業(yè)務(wù)戰(zhàn)略，這是GDPR草案通過(guò)帶來(lái)的直接反應(yīng)。更值得關(guān)注的是，超過(guò)50%的IT公司認(rèn)為自己不能滿足所有新要求。在美國(guó)公司中，這個(gè)比例為58%，而62%的德國(guó)公司認(rèn)為自己最終可能會(huì)被罰款。

　　2、基蒂·寇爾�。↘itty Kolding），Infocore CEO及總裁

　　假設(shè)理智的企業(yè)都認(rèn)同消費(fèi)者隱私權(quán)的重要性，，我們認(rèn)為立法最終不僅不利于用戶數(shù)據(jù)的隱私和安全，甚至有可能造成破壞。我們還認(rèn)為，此舉會(huì)對(duì)全球的營(yíng)銷和廣告行業(yè)構(gòu)成障礙，尤其是當(dāng)這類立法開(kāi)始向其他市場(chǎng)擴(kuò)散時(shí)。

　　以下就是我們最擔(dān)心的3件事：

　　1)“被遺忘權(quán)”適得其反

　　根據(jù)GDPR，歐盟公民必須能方便地撤回自己的數(shù)據(jù)授權(quán)許可，即所謂的“被遺忘權(quán)”。數(shù)據(jù)主體有權(quán)要求刪除自己的數(shù)據(jù)，讓數(shù)據(jù)收集商不能繼續(xù)處理自己的數(shù)據(jù)，其他任何實(shí)體也不能像以前一樣合法地使用、購(gòu)買和租賃這些數(shù)據(jù)。

　　為了做到這點(diǎn)，每家參與租賃或銷售歐盟數(shù)據(jù)主體信息的公司，都必須保留消費(fèi)者數(shù)據(jù)的完整細(xì)節(jié)。在單筆交易中，這可能包括7到8家獨(dú)立公司，例如廣告主、廣告公司、兩家或更多中介機(jī)構(gòu)、數(shù)據(jù)收集商和數(shù)據(jù)處理商。GDPR要求其中每家公司都必須保存消費(fèi)者在每筆交易中的所有詳細(xì)信息。一旦消費(fèi)者決定撤回許可，就可以在能驗(yàn)證的情況下，在數(shù)據(jù)曾出現(xiàn)過(guò)的所有地方刪除這些數(shù)據(jù)，包括硬盤、本地服務(wù)器、備份數(shù)據(jù)庫(kù)、云服務(wù)器等，以免落入黑客之手。

　　但現(xiàn)在的情況反而把數(shù)據(jù)被黑客獲取的概率提高了至少10倍，因?yàn)槠髽I(yè)無(wú)法刪除那些已不再需要的數(shù)據(jù)。所有參與這個(gè)過(guò)程的企業(yè)必須長(zhǎng)期保留所有記錄，以確保在獲得許可的3年后，消費(fèi)者仍可以撤銷許可，數(shù)據(jù)處理商可以證明這些記錄都已經(jīng)刪除。數(shù)據(jù)保留時(shí)間越長(zhǎng)，被黑客獲取的概率就越高。

　　2)A29WP將獲得極大的權(quán)力

　　針對(duì)GDPR組建的全新執(zhí)法機(jī)構(gòu)名為“第29條工作組”(Article 29 Working Party，A29WP)，該機(jī)構(gòu)可以對(duì)全球各地企業(yè)展開(kāi)監(jiān)管。所有的歐盟國(guó)家都受GDPR的管轄。此外無(wú)論企業(yè)位于何處，只要處理歐盟公民的數(shù)據(jù)，也都自動(dòng)受到該機(jī)構(gòu)的管轄。不過(guò)歐盟具體會(huì)如何對(duì)外執(zhí)法，目前還無(wú)法判斷。

　　A29WP還擁有獨(dú)家且不可挑戰(zhàn)的權(quán)力，可以搜查和沒(méi)收存在疑問(wèn)的記錄(涵蓋位于世界各地的企業(yè))，而且還可以開(kāi)展獨(dú)立調(diào)查，并充當(dāng)調(diào)查結(jié)果的唯一裁決機(jī)構(gòu)。他們集法官、陪審團(tuán)和執(zhí)行者等多重身份于一身，而且不受監(jiān)督，也不提供上訴渠道。

　　數(shù)據(jù)存儲(chǔ)、許可追蹤，以及取證要求都非常復(fù)雜，即使真的有企業(yè)自信滿滿地認(rèn)為自己完全合規(guī)，數(shù)量也不會(huì)很多。這也意味著在當(dāng)今這個(gè)互聯(lián)程度越來(lái)越強(qiáng)的世界中，當(dāng)A29WP決定對(duì)企業(yè)進(jìn)行制裁時(shí)，許多企業(yè)隨時(shí)都會(huì)陷入風(fēng)險(xiǎn)。

　　3)法律幫助了歐盟最想打擊的企業(yè)

　　很多人認(rèn)為，歐盟希望利用這部法律懲罰或限制他們討厭的企業(yè)，包括Facebook、谷歌和Uber等。但諷刺的是，這些技術(shù)實(shí)力強(qiáng)的大企業(yè)反而可以克服GDPR的障礙，不容易受到影響。他們可以投入大量律師和工程團(tuán)隊(duì)來(lái)展開(kāi)合規(guī)工作。當(dāng)他們順利度過(guò)困境時(shí)，其他涉及歐盟公民隱私的企業(yè)幾乎都會(huì)面臨直接影響。在很多情況下，甚至?xí)��?dǎo)致這些企業(yè)面臨生存危機(jī)。

　　首先，這些企業(yè)(多數(shù)都是歐盟企業(yè))需要花很多年才能通過(guò)適當(dāng)?shù)募軜?gòu)來(lái)遵守所有規(guī)定，因此會(huì)忽視很多重要的業(yè)務(wù)元素。為了構(gòu)建和管理同樣的解決方案，他們勢(shì)必步履艱難。

　　英國(guó)的行業(yè)專家預(yù)計(jì)，用戶數(shù)據(jù)收集商、經(jīng)紀(jì)商、廣告平臺(tái)和相關(guān)服務(wù)(例如數(shù)據(jù)清理和處理)將因此損失50%的收入。毫無(wú)疑問(wèn)，可以使用的用戶數(shù)據(jù)將變得非常稀缺。跟任何自由市場(chǎng)類似，供給越少，價(jià)格越高。精準(zhǔn)營(yíng)銷的難度會(huì)加大，精準(zhǔn)程度會(huì)降低，觸達(dá)受眾會(huì)減少，價(jià)格變得更高。只有規(guī)模最大的企業(yè)和服務(wù)才能生存下去，存活下來(lái)的巨頭將主導(dǎo)市場(chǎng)、上調(diào)價(jià)格。

　　也就是說(shuō)，這種方法根本無(wú)法打擊歐盟所討厭的科技巨頭，反而會(huì)幫助這些巨頭擠出那些規(guī)模不夠大、盈利能力不夠強(qiáng)的對(duì)手，導(dǎo)致許多中小企業(yè)因?yàn)楹弦?guī)問(wèn)題而逐步被淘汰。

　　3、布萊恩·金漢姆（Brian Kingham），倫敦創(chuàng)業(yè)者和投資人、信息安全公司Reliance acsn董事長(zhǎng)

　　GDPR的目的是阻止企業(yè)濫用歐盟公民的個(gè)人數(shù)據(jù)。從表面看來(lái)，這的確是好事。個(gè)人隱私非常重要，尤其是在面對(duì)大企業(yè)和政府的嗅探時(shí)。然而，歐盟此舉可能會(huì)阻礙創(chuàng)新，還有可能導(dǎo)致企業(yè)因無(wú)法控制的情況而遭到處罰。

　　此外還有頗具諷刺之處：歐盟想讓公民能自由獲取企業(yè)存儲(chǔ)的與之有關(guān)的數(shù)據(jù)，但歐盟自身的運(yùn)行方式卻不夠透明，例如歐洲議會(huì)成員的投票記錄，以及各個(gè)利益群體試圖影響歐盟政策而展開(kāi)的游說(shuō)活動(dòng)。歐盟的官僚氣息嚴(yán)重。他們通過(guò)各種繁文縟節(jié)來(lái)監(jiān)管28個(gè)歐盟成員國(guó)的企業(yè)，并且掌握著關(guān)于歐盟5.1億公民的海量數(shù)據(jù)，以及在歐盟境內(nèi)運(yùn)作的企業(yè)數(shù)據(jù)。但法律已經(jīng)出臺(tái)，所以只能無(wú)條件遵守。

　　應(yīng)該承認(rèn)的是，個(gè)人數(shù)據(jù)面臨的威脅主要來(lái)自復(fù)雜的網(wǎng)絡(luò)犯罪，而非持有數(shù)據(jù)的企業(yè)。為了保護(hù)公民數(shù)據(jù)免受網(wǎng)絡(luò)攻擊的傷害，歐盟決定處罰受害者，即遭到攻擊的企業(yè)，而非犯罪者。如果你在網(wǎng)絡(luò)攻擊中丟失用戶數(shù)據(jù)，那就是你的錯(cuò)，歐盟現(xiàn)在有權(quán)對(duì)你處以年收入4%的罰款或2000萬(wàn)歐元，二者取較大值。

　　這有點(diǎn)不公平。處罰金額顯然過(guò)重，4%的營(yíng)收已超過(guò)很多企業(yè)的利潤(rùn)。沒(méi)有任何本分的企業(yè)愿意丟失數(shù)據(jù)，也沒(méi)有企業(yè)愿意因?yàn)樾孤稊?shù)據(jù)而流失用戶。正因如此，他們才投入大筆資金發(fā)展強(qiáng)大的網(wǎng)絡(luò)安全軟件和服務(wù)。所以，GDPR跟網(wǎng)絡(luò)安全關(guān)系不大。

　　相反，這會(huì)迫使各類企業(yè)投入寶貴的時(shí)間和資源來(lái)確保合規(guī)，從而知道數(shù)據(jù)的確切位置。不幸的是，在大數(shù)據(jù)和云計(jì)算時(shí)代，即使對(duì)大企業(yè)來(lái)說(shuō)，這也是艱巨的任務(wù)。企業(yè)已經(jīng)非常關(guān)注此事。

　　調(diào)查顯示，InfoSecurity Europe的與會(huì)者有半數(shù)認(rèn)為GDPR會(huì)阻礙創(chuàng)新，導(dǎo)致企業(yè)對(duì)云計(jì)算感到緊張。GDPR規(guī)定的另一大問(wèn)題在于，如果提供外包服務(wù)的數(shù)據(jù)處理公司丟失了客戶數(shù)據(jù)，他們并不需要為此負(fù)責(zé)，這意味著他們加強(qiáng)信息安全保障的動(dòng)力較弱。這也提醒我們：選擇云計(jì)算提供商時(shí)要格外小心。

　　這部立法似乎沒(méi)有清晰地意識(shí)到一個(gè)問(wèn)題：數(shù)據(jù)是產(chǎn)品和企業(yè)創(chuàng)新至關(guān)重要的原料，甚至可以幫助企業(yè)降低運(yùn)營(yíng)成本。GDPR也可能阻礙由數(shù)據(jù)驅(qū)動(dòng)的創(chuàng)新，因?yàn)槠髽I(yè)可能因擔(dān)心遭到起訴而不太敢獲取或存儲(chǔ)數(shù)據(jù)。

　　作為消費(fèi)者，只要我們?cè)敢猓�就有�?quán)與企業(yè)和各類組織分享數(shù)據(jù)。事實(shí)上，的確有許多消費(fèi)者存在這種意愿。我們也可以選擇退出這種機(jī)制，但很多人還是很享受因此帶來(lái)的好處，而亞馬遜這樣的企業(yè)也可以借此了解我們的消費(fèi)模式。通過(guò)數(shù)據(jù)分享機(jī)制，網(wǎng)絡(luò)購(gòu)物才得以更便利。

　　如果歐盟認(rèn)為GDPR可以幫助歐洲企業(yè)超過(guò)美國(guó)競(jìng)爭(zhēng)對(duì)手，那就應(yīng)該三思而行。Facebook、亞馬遜和谷歌等數(shù)字巨頭都已十分強(qiáng)大，他們擁有先進(jìn)的基礎(chǔ)設(shè)施和充分的靈活性來(lái)執(zhí)行GDPR的很多要求，也可以通過(guò)很多方式，比歐洲傳統(tǒng)媒體巨頭更快地適應(yīng)數(shù)據(jù)立法變化。

　　GDPR可能引發(fā)意想不到的巨大影響。至于那些已經(jīng)困境重重的企業(yè)將會(huì)遭受何種影響，目前還很難判斷。GDPR有可能讓我們?cè)俅瘟私�，政府的好意在�?shí)際執(zhí)行中會(huì)出現(xiàn)什么樣的偏差。這些措施太嚴(yán)厲，太急迫，無(wú)疑會(huì)對(duì)創(chuàng)新、企業(yè)發(fā)展和就業(yè)造成破壞。