关于GDPR对企业所产生的影响分析

在大数据时代，要如何保护个人信息免于被泄露和贩卖？

勇于向Facebok等硅谷巨头宣战的欧盟司法专员维拉·朱洛娃(Vera Jourova）对此曾有经典形容，“今日的个人数据，就如同（观看）人们在水族馆里裸泳一样。”

而在5月25日这一天，她骄傲地宣布，“《欧盟一般数据保护条例》（General Data Protection Regulation,GDPR）令欧洲人可以重新控制他们自己的数据了。”

咨询公司埃森哲在最近一份报告中则直接将GDPR形容为“近二十年来数据隐私规则领域发生的最重要变化”。

资料来源：埃森哲报告

“它给高科技企业带来了巨大的影响，其影响之深远已超出欧盟，波及全球多个国家。” 埃森哲在该报告中指出，该条例适用于所有欧盟实体的数据，无论其身在何地或其数据被放在什么平台。高科技公司存储、处理或交换任何欧盟公民的数据时，都必须符合GDPR。

GDPR效力仅次于宪法

伴随5月25日的临近，第一财经记者收到了海量GDPR条款更新邮件，来自欧洲智库、欧洲媒体以及各类科技公司等，如此铺天盖地，如不仔细看还以为是垃圾邮件。

这些邮件均要求用户更新其订阅条款，并指出此次更新符合欧洲新数据保护法律——GDPR的标准，且根据这一条例，个人用户从今年 5 月 25 日起将享有更多的权利。

为欧盟一家政府机构在华分支机构工作的何女士则对第一财经记者表示，最近赶在5月25日之前接受了GDPR的网上培训课程，学习未来企业应当如何在GDPR下应对数据保护工作。

之所以大费周章，其原因在于，GDPR的效力层级在欧盟是“条例”，编号为EU-DSGVO，其效力仅次于宪法。与以往的隐私规定相比，GDPR有何不同之处呢？

埃森哲在上述报告中指出，第一，GDPR要求责任共担。在过去，收集和使用数据的数据拥有者需要对数据保护负责。如今，史无前例地，数据处理者（如提供数据处理服务的云服务提供商等）也将需要直接承担合规风险和义务。在数据保护上，数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。

不过，埃森哲指出大多数企业尚未做好准备。2016年秋季面向云服务供应商的客户进行的感知调查显示，仅6%的企业被认为是符合GDPR、无需在新的规定条款框架下重新商谈合同； 而91%的企业出于对数据处理的复杂性和成本的考虑，对自身能否符合GDPR表示出担忧。

其次，如不遵守GDPR，则后果很严重。埃森哲指出，GDPR对获取和管理个人信息提出了新的、更严格的要求。它赋予个人明确的权利，给高科技企业通过人工、流程和技术进行客户数据管理带来了重要影响。不仅如此，GDPR还对客户信任产生影响。根据埃森哲技术展望调查，83%的受访者坚信，信任是数字化经济的基石。达到GDPR所要求的数据隐私和安全要求，是维系消费者信任和保护企业品牌的根本。同时，违规将被严令禁止。GDPR大大增加了数据保护的强制性和责任性，对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%（二者取较高值）。

资料来源：埃森哲报告

据第一财经记者统计，目前在28个欧盟国家中，有12个国家已经正式更新了其国内法，将GDPR嵌入其中，同时还有8个国家告知欧盟委员会它们将在近期尽快完成其立法程序。

5月25日之后，仍有8个欧盟国家在GDPR同其国内法融合方面毫无作为，包括保加利亚、比利时、塞浦路斯、希腊、捷克、匈牙利、立陶宛和斯洛文尼亚，大多是中东欧国家。

欧盟方面表示，已经对上述国家做出了警告，请它们尽快更新法律系统，否则将把它们告上欧洲法院。

企业可能准备不足

埃森哲也在上述报告中指出，企业有可能对此准备不足。要想全面落实GDPR，企业必须掌握所存储和处理数据的特征，从而可以全面保护数据。目前，领先企业能够成功追溯70%~80%的数据来源，但仍有许多企业尚不具备这一能力。甚至许多领先企业也表示难以探寻剩余20%相关数据的下落。

2015年，全球有十亿条客户记录遭到泄露。2016年，仅一次泄露事件就造成了十亿账户被黑客入侵。GDPR规定，如果数据遭到泄露，用户有权快速获取相关信息，这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。埃森哲指出，目前只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。

小米首席架构师、人工智能与云平台副总裁崔宝秋博士表示：“整个行业都需要全力提升数据安全和隐私保护的意识，加大设计和研发时的投入，以加速符合GDPR的要求。”

针对企业如何更好地进行GDPR的合规，他主张从设计着手的隐私保护理念，“这项新规对于用户而言是好事，用户需要对自己的数据有一定的控制权。任何一家公司如果能够做到遵循隐私保护的原则，就应该在做任何产品之前，从用户的角度出发来设计产品。”

随着移动互联网高速发展，大量的隐私以及个人数据会存储在移动设备端，这也使得用户对移动设备的个人数据以及隐私资料保护非常重视。“目前市场上的智能设备大多数是与个人相关的产品，因此面临很高的个人信息被泄露的风险。一个设备如果存在漏洞，可能被利用把用户的视频、音频、日常对话等私密的信息发送出去，所以一定要引入严格的安全与隐私标准，进行严格安全检测。

据第一财经记者了解，目前GDPR的规定虽然强调了用户的知情权、访问权和被遗忘权，用户可以要求被告知公司掌握了自己的哪些数据并要求对其进行删除，然而，大多数企业在修改GDPR的用户隐私政策时，措辞仍然比较宽泛模糊。

比如硅谷科技巨头谷歌和Facebook都已经修改了它们的用户政策条款，其中Facebook主要强调了人脸识别技术的应用应获得用户的准许。目前用户上传照片时，系统会自动通过人脸识别技术标识出照片中的人物，采取的是用户默认同意的条款，除非用户自己提出异议。

据报道，苹果公司已经停止了在机器学习和人工智能系统开发中使用用户数据，微软也为GDPR投入了1600多名工程师，Facebook则将约15亿用户的注册地从爱尔兰转向了美国。不过对于注册地的迁移，爱尔兰投资发展局中国区总监张哲伟对第一财经说：“个人认为意义不大，因为企业考虑的不仅仅是数据放在哪里的问题，同时也与数据的来源地有关。”

埃森哲大中华区首席创新官刘东在中国大数据博览会上对第一财经记者表示：“GDPR是一个比较好的契机，让我们的企业审视自己的隐私保护政策，倒逼我们去努力合规。拒绝或者存有侥幸心理都是不对的。这一过程中需要数据公司的服务和技术上的支持，会增加客户成本，但同时也能令企业的价值得到提升。”

根据数据分析公司SAS上个月的一份调研报告，随着GDPR大限到来，只有7%的企业完成了合规，近半数的受访企业表示这一新规将对公司的人工智能相关项目产生重大影响。全球仅有不到一半的企业（49%）表示它们能按期达到GDPR的合规要求。不少小公司由于缺乏资源和指导，仍然处于观望状态。

中企国际化绕不开“合规性”

违反GDPR罚款很高，有一定的威慑力，企业只有三种选择，要么退出欧洲市场；要么努力合规；还有一种就是承担被罚款的风险。最后一个选项不是任何一家负责任的公司愿意选择的，所以真正的选择就只有前两个。

第一财经记者注意到，国航、东航均在5月24日对其APP和官方网站的隐私政策条款进行了更新，东航也在5月作出了调整，以前的隐私政策条款相对笼统，在如何收集个人信息、收集哪些类型的个人信息、收集后如何使用等方面的规定并不细致，而在最新版的隐私政策中，这几家航空公司将可能收集的个人信息的范围列得更加详细。国内其他几家开设有欧盟航线的航空公司，如海航、四川航空，尚未对隐私政策进行调整。

张哲伟表示：“GDPR合规要求十分高，企业需要投入大量人力财力，才能确保执行。对于中国企业来说，必须立刻敲响警钟，做好充分准备，加强对数据安全和用户隐私的保护工作。” 他建议，在数据保护方面，中国企业可以选择一个欧盟成员国作为主沟通国，通过这个国家跟其他成员国的相关监管当局打交道。

方兴东认为，GDPR将成为未来全球网络空间规则的基石，即以数据为抓手，与美国过去掌控的另一大基石，即底层技术治理相得益彰。低估GDPR，将会付出巨大代价。最首当其冲的，就是基于搜集个人信息和隐私驱动的整个中国互联网产业主体收入模式将产生重大影响，甚至是颠覆性影响。