欧盟“史上最严”数据保护法GDPR生效

在实施后，GDPR将覆盖所有28个欧盟成员国，替代各国自己的相关法律。但GDPR的覆盖范围可能不止于此。

据外媒报道，欧盟“通用数据保护条例”（GDPR）于2018年5月25日生效。

GDPR被视为“史上最严”的数据保护立法，企业在发生数据泄露事故的情况下可能会面临高达年收入4%的罚款。

GDPR最初于2012年提出，并于2015年12月获得了欧盟理事会的通过。作为统一的数据保护法，GDPR的前身是1995年的《数据保护指令》95/46/EC。

在实施后，GDPR将覆盖所有28个欧盟成员国，替代各国自己的相关法律。但GDPR的覆盖范围可能不止于此。

从原则上说，所有在欧洲大陆开展业务或处理欧盟公民数据的组织，无论这些组织的总部设在哪里，都可能受到GDPR的影响。

普华永道指出：“这将影响在欧洲内外保存或使用欧洲公民个人数据的每个实体。”

对于GDPR未来的影响和意义，各界人士有着不同的看法。以下为国外相关专家观点摘要：

1、安格斯·麦克雷（Angus Macrae），伦敦国王学院信息安全负责人

GDPR的总原则是“统一欧盟范围内的监管，让公民重新掌控自己的个人数据，同时简化国际业务的监管环境”。在大多数人看来，这肯定是件好事。

这套标准如果能得到良好协调，那么从长远来看肯定会对数据保管或处理过程中的每个人都有有利。我们都是“数据主体”，在我们生活的这个世界中，有很多重要方面都在更多地依赖于与我们相关的数据。但这些数据处于风险之中，比以往更容易泄露。

数据主体目前担心的是，由于很多国家和地区在通报数据泄露事件时都不必承担法律责任，因此你甚至可能不知道自己的数据被盗或以其他方式受损。而GDPR实施后，如果发生数据泄露事件，那么数据保管者就必须及时向相应监管机构汇报情况，时限为事故发生的72小时内。

然而，GDPR会带来额外的合规负担，给企业造成额外成本，并导致某些企业处于竞争劣势。2013年，英国信息委员会办公室（ICO）委托伦敦经济学院进行了一项相关调查研究。其中重要发现之一是，大多数企业无法可靠地量化它们在数据保护上的投入。而在GDPR实施后，运营成本可能会出现怎样的增长，也同样难以准确量化。

根据新规定，长期雇员超过250人的组织，或“核心活动”需要对数据主体进行定期和系统性监测的组织，都需要任命数据保护官。尽管这个要求本身不算无理，但对很多中小企业来说，这可能会是一笔切切实实的花费。

最引人关注的行业是云计算，它可能会受到更大的影响，并承担更多成本。有些企业肯定需要投资更好的技术方案才能满足数据删除、保留或可移植性的要求，而这些成本无疑很快就会转嫁到用户处。

此外，GDPR的许多细节在实际操作中如何执行？企业可能会面临哪些不必要的成本，尤其是浪费在误导性的管控措施和咨询意见上的成本？即便是在专家中间，这些问题也存在很多分歧。

另一个风险是，尽管从原则上说，良好的信息安全和数据保护工作应该相互协调，互为补充，但企业可能过分强调其中某个点，把资金和资源放在满足GDPR的合规要求上，导致在信息安全防御的其他领域蒙受损失。

市场研究公司Ovum的报告显示，2015年12月，在调查的366家全球IT公司中，有66%似乎正在审查欧洲的业务战略，这是GDPR草案通过带来的直接反应。更值得关注的是，超过50%的IT公司认为自己不能满足所有新要求。在美国公司中，这个比例为58%，而62%的德国公司认为自己最终可能会被罚款。

2、基蒂·寇尔丁（Kitty Kolding），Infocore CEO及总裁

假设理智的企业都认同消费者隐私权的重要性，，我们认为立法最终不仅不利于用户数据的隐私和安全，甚至有可能造成破坏。我们还认为，此举会对全球的营销和广告行业构成障碍，尤其是当这类立法开始向其他市场扩散时。

以下就是我们最担心的3件事：

1）“被遗忘权”适得其反

根据GDPR，欧盟公民必须能方便地撤回自己的数据授权许可，即所谓的“被遗忘权”。数据主体有权要求删除自己的数据，让数据收集商不能继续处理自己的数据，其他任何实体也不能像以前一样合法地使用、购买和租赁这些数据。

为了做到这点，每家参与租赁或销售欧盟数据主体信息的公司，都必须保留消费者数据的完整细节。在单笔交易中，这可能包括7到8家独立公司，例如广告主、广告公司、两家或更多中介机构、数据收集商和数据处理商。GDPR要求其中每家公司都必须保存消费者在每笔交易中的所有详细信息。一旦消费者决定撤回许可，就可以在能验证的情况下，在数据曾出现过的所有地方删除这些数据，包括硬盘、本地服务器、备份数据库、云服务器等，以免落入黑客之手。

但现在的情况反而把数据被黑客获取的概率提高了至少10倍，因为企业无法删除那些已不再需要的数据。所有参与这个过程的企业必须长期保留所有记录，以确保在获得许可的3年后，消费者仍可以撤销许可，数据处理商可以证明这些记录都已经删除。数据保留时间越长，被黑客获取的概率就越高。

2）A29WP将获得极大的权力

针对GDPR组建的全新执法机构名为“第29条工作组”（Article 29 Working Party，A29WP），该机构可以对全球各地企业展开监管。所有的欧盟国家都受GDPR的管辖。此外无论企业位于何处，只要处理欧盟公民的数据，也都自动受到该机构的管辖。不过欧盟具体会如何对外执法，目前还无法判断。

A29WP还拥有独家且不可挑战的权力，可以搜查和没收存在疑问的记录（涵盖位于世界各地的企业），而且还可以开展独立调查，并充当调查结果的唯一裁决机构。他们集法官、陪审团和执行者等多重身份于一身，而且不受监督，也不提供上诉渠道。

数据存储、许可追踪，以及取证要求都非常复杂，即使真的有企业自信满满地认为自己完全合规，数量也不会很多。这也意味着在当今这个互联程度越来越强的世界中，当A29WP决定对企业进行制裁时，许多企业随时都会陷入风险。

3）法律帮助了欧盟最想打击的企业

很多人认为，欧盟希望利用这部法律惩罚或限制他们讨厌的企业，包括Facebook、谷歌和Uber等。但讽刺的是，这些技术实力强的大企业反而可以克服GDPR的障碍，不容易受到影响。他们可以投入大量律师和工程团队来展开合规工作。当他们顺利度过困境时，其他涉及欧盟公民隐私的企业几乎都会面临直接影响。在很多情况下，甚至会导致这些企业面临生存危机。

首先，这些企业（多数都是欧盟企业）需要花很多年才能通过适当的架构来遵守所有规定，因此会忽视很多重要的业务元素。为了构建和管理同样的解决方案，他们势必步履艰难。

英国的行业专家预计，用户数据收集商、经纪商、广告平台和相关服务（例如数据清理和处理）将因此损失50%的收入。毫无疑问，可以使用的用户数据将变得非常稀缺。跟任何自由市场类似，供给越少，价格越高。精准营销的难度会加大，精准程度会降低，触达受众会减少，价格变得更高。只有规模最大的企业和服务才能生存下去，存活下来的巨头将主导市场、上调价格。

也就是说，这种方法根本无法打击欧盟所讨厌的科技巨头，反而会帮助这些巨头挤出那些规模不够大、盈利能力不够强的对手，导致许多中小企业因为合规问题而逐步被淘汰。

3、布莱恩·金汉姆（Brian Kingham），伦敦创业者和投资人、信息安全公司Reliance acsn董事长

GDPR的目的是阻止企业滥用欧盟公民的个人数据。从表面看来，这的确是好事。个人隐私非常重要，尤其是在面对大企业和政府的嗅探时。然而，欧盟此举可能会阻碍创新，还有可能导致企业因无法控制的情况而遭到处罚。

此外还有颇具讽刺之处：欧盟想让公民能自由获取企业存储的与之有关的数据，但欧盟自身的运行方式却不够透明，例如欧洲议会成员的投票记录，以及各个利益群体试图影响欧盟政策而展开的游说活动。欧盟的官僚气息严重。他们通过各种繁文缛节来监管28个欧盟成员国的企业，并且掌握着关于欧盟5.1亿公民的海量数据，以及在欧盟境内运作的企业数据。但法律已经出台，所以只能无条件遵守。

应该承认的是，个人数据面临的威胁主要来自复杂的网络犯罪，而非持有数据的企业。为了保护公民数据免受网络攻击的伤害，欧盟决定处罚受害者，即遭到攻击的企业，而非犯罪者。如果你在网络攻击中丢失用户数据，那就是你的错，欧盟现在有权对你处以年收入4%的罚款或2000万欧元，二者取较大值。

这有点不公平。处罚金额显然过重，4%的营收已超过很多企业的利润。没有任何本分的企业愿意丢失数据，也没有企业愿意因为泄露数据而流失用户。正因如此，他们才投入大笔资金发展强大的网络安全软件和服务。所以，GDPR跟网络安全关系不大。

相反，这会迫使各类企业投入宝贵的时间和资源来确保合规，从而知道数据的确切位置。不幸的是，在大数据和云计算时代，即使对大企业来说，这也是艰巨的任务。企业已经非常关注此事。

调查显示，InfoSecurity Europe的与会者有半数认为GDPR会阻碍创新，导致企业对云计算感到紧张。GDPR规定的另一大问题在于，如果提供外包服务的数据处理公司丢失了客户数据，他们并不需要为此负责，这意味着他们加强信息安全保障的动力较弱。这也提醒我们：选择云计算提供商时要格外小心。

这部立法似乎没有清晰地意识到一个问题：数据是产品和企业创新至关重要的原料，甚至可以帮助企业降低运营成本。GDPR也可能阻碍由数据驱动的创新，因为企业可能因担心遭到起诉而不太敢获取或存储数据。

作为消费者，只要我们愿意，就有权与企业和各类组织分享数据。事实上，的确有许多消费者存在这种意愿。我们也可以选择退出这种机制，但很多人还是很享受因此带来的好处，而亚马逊这样的企业也可以借此了解我们的消费模式。通过数据分享机制，网络购物才得以更便利。

如果欧盟认为GDPR可以帮助欧洲企业超过美国竞争对手，那就应该三思而行。Facebook、亚马逊和谷歌等数字巨头都已十分强大，他们拥有先进的基础设施和充分的灵活性来执行GDPR的很多要求，也可以通过很多方式，比欧洲传统媒体巨头更快地适应数据立法变化。

GDPR可能引发意想不到的巨大影响。至于那些已经困境重重的企业将会遭受何种影响，目前还很难判断。GDPR有可能让我们再次了解，政府的好意在实际执行中会出现什么样的偏差。这些措施太严厉，太急迫，无疑会对创新、企业发展和就业造成破坏。（编译/长歌、Kathy）