去年5月份正式生效的《欧盟通用数据保护条例》(简称《条例》或GDPR)实施已近一年。GDPR对个人数据保护范围之广、监管惩罚力度之大均前所未有,其主要面向所有收集、处理、储存、管理欧盟公民个人数据的企业,限制这些企业收集与处理用户个人信息的权限。
APP授权成常规性操作,网民隐私安全感提升
号称“史上最严隐私保护条例”的GDPR大大提升了网民的安全感。不少欧洲网民表示自从GDPR实施后,“APP开屏弹窗和邮件会提示你他们适用了哪些隐私条款,遵循了哪些政策。”微博网友“商业迷刀刀”认为GDPR的效果明显,“在欧洲时,所有网站在我访问时都注明要我同意一些法例,所有的邮件订阅都需要获得我的同意,支付宝和微信都显示根据欧盟最新法律,需要我同意最新服务条款才能继续服务,所有公司收集的个人信息个人都可以联系公司删除。”GDPR有力捍卫了网民的知情权、访问权、修正权、被遗忘权等。
欧盟密集调查隐私保护合规状况,互联网巨头遭冲击
虽然GDPR在正式实施前有两年调整期,但其严苛标准令众多互联网企业难以适从,在游说欧盟降低条例标准失败后,部分互联网企业的合规化进程缓慢,频频遭到欧盟指责和调查。
这一年来,欧盟大展拳脚,针对互联网企业开展了一系列调查,甚至开出天价罚单以儆效尤。2018年11月份,7个欧洲国家消费者团体集体投诉谷歌公司,指控其违反《条例》,秘密追踪数百万用户的移动位置。2019年1月21日,谷歌收到GDPR生效以来的第一张欧盟国家罚单,法国数据监管部门以“谷歌个性化广告方面缺乏透明度、充分的告知和有效的同意”为由对其罚款5000万欧元。2019年2月7日,德国反垄断监管机构认定Facebook在收集、融合、利用用户数据上滥用了市场地位,勒令其停止收集一些用户数据,并停止融合旗下不同App的用户数据。至今为止,包括苹果、谷歌、亚马逊、Facebook、Netflix、Spotify、Twitter、YouTube、Flimmit等在内的诸多互联网企业均已遭到调查。
首当其冲受到GDPR冲击的谷歌、Facebook等企业忧心忡忡,试图重新建立信任感。2019年3月30日,扎克伯格在《华盛顿邮报》《爱尔兰独立报》上发表公开信,一改之前反对政府干预的态度,呼吁加强监管,呼吁建立一个类似GDPR的统一数据保护规则作为框架,用以规范互联网平台企业的数据搜集行为。
GDPR示范效应明显,全球数据隐私保护趋严
虽然业内人士对GDPR的严苛标准和部分细则有所异议,但不可否认的是,GDPR向世界昭告了欧盟在隐私保护方面的决心,在全世界范围内产生了深刻影响,带动了全球个人信息保护规则升级。市场研究机构Forrester高级分析师Enza Iannopollo表示:“GDPR已经成为一种‘事实上的’国际隐私标准,它还重塑了已经实施并将继续实施的隐私法规。”
各国纷纷探索加强个人隐私保护。根据媒体梳理,2018年6月28日,美国加利福尼亚州州长签署公布一项数据隐私法案——《加利福尼亚州消费者隐私保护法案》;2018年7月27日,印度高级别委员会正式发布了《2018年个人数据保护法草案》;2018年8月14日,巴西通用数据保护法正式通过;2019年1月,日本通信部的一个专门小组表示,考虑修订法律,以便对谷歌、苹果、Facebook和亚马逊等海外科技巨头实施“通信保密”规定,据该小组公布的草案,上述外国巨头要在日本派驻代理商,同时还要与日本本土公司一样遵守现有法规。虽然各国的隐私保护细则与GDPR不尽相同,但毋庸置疑的是,加强监管、完善立法成为全球互联网治理共识。
GDPR对中国企业的影响不容小觑
目前并没有调查数据能详细说明GDPR对中国企业的实际影响,但从媒体报道可以看到,不少中国企业都受到GDPR的影响和冲击。
据《中国经济报告》、21财经等媒体梳理,GDPR正式实施前,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(AliExpress)等多家中国互联网公司,已纷纷向欧洲区用户更新隐私政策、请求重新授权。国航、东航均对其APP及官方网站隐私条款进行了更新。海尔、华为等在欧洲有较大市场份额并有意进军物联网的制造业领军者,也早已雇请专门团队应对GDPR,而短期难以适应规则的公司则选择暂时退出,如小米生态链企业、智能灯具品牌Yeelight暂停欧洲服务。2018年12月,英国《金融时报》消息称,摩拜正面临德国政府针对GDPR的审查。德国政府认为摩拜可能涉及侵犯用户数据和隐私保护法。
目前,一些中国企业和网站为免受GDPR的影响,禁止所有欧盟用户的访问。部分在欧网民表示美拍、网易云音乐等APP在欧洲无法正常使用。
何去何从?GDPR既是挑战更是机遇
尽管业界对GDPR的条款存在一些质疑,但企业要想进入欧洲市场或争取欧盟用户,就必须遵从欧盟规则。对于中国“出海”企业和涉及与欧盟合作的企业而言,暂停欧洲服务始终不是长远之计,尤其是在“一带一路”建设背景下,如何降低合规风险成为绕不过去的问题。
值得庆幸的是,中国企业在欧洲尚未出现涉及隐私保护问题的重大调查和诉讼,多数企业正在努力加速合规化进程。此前,在接受英国BBC采访时,任正非提到,华为未来五年会投资1000亿美元研发资金,其中一个重要任务就是重构网络,打造网络架构极简、站点极简、交易模式极简、网络对内对外都极度安全,遵守欧洲GDPR的标准进行隐私保护。目前,国内召开了众多合规化相关研讨会,业内人士纷纷发表文章和观点出谋划策,提出树立合规经营理念、通过内部或第三方做好相关风险评估、设置数据保护官职位、完善国内相关数据保护条例等建议。
从全球范围而言,GDPR对于互联网生态圈与产业链是一次洗礼,对于中国企业而言,既是挑战也是机遇。随着中欧贸易往来的持续深入,中国企业在欧开展的业务将日益扩大,加速遵循欧盟规则能够赢得欧盟国家信任,或将推动中国企业突破美国互联网巨头在欧垄断地位,迎来新的发展机遇。
深圳天磊联信科技有限公司 | 公司地址: 粤ICP备18077158号-1