什麼是 GDPR？今天生效的這部法律，要將你的數據重新交還給你

如果你是互聯網重度使用者，最近一定也收到了大量關於隱私政策更新的郵件。不同以往的是，這些新版隱私政策不再是充滿法律術語的長篇大論，而是真正給你「賦權」：既用「人話」清楚講明你的數據將被如何處理，又提供了簡便的退訂郵件選項，甚至還提供了查詢和下載自己數據的功能——讓你對自己的數據和隱私擁有了更多的知情權和控制權。這些變化，當然不是因為服務商們良心發現，而是和今天生效的歐盟新法規《通用數據保護條例》（General Data Protection Regulation，以下簡稱 GDPR）密切相關。

在 GDPR 的新規則下，服務商們將不能再用垃圾廣告塞滿我們的郵箱，也不能再用宂長晦澀的用戶知情同意書，獲取任意收集和處理我們數據的權利。一旦違反該條例，企業可能被處以全球百分之四營業額和兩千萬歐元兩者中，較高數額的罰款。

雖然這是一部歐盟法律，但在全球化時代，它產生的影響力絕不僅限於28個歐盟成員國。根據 GDPR，只要公司為歐盟居民提供服務，收集、持有或處理歐盟居民的數據，即便公司位於歐盟境外，也要受此條例約束。

這部有着史上最嚴數據隱私保護法之稱的 GDPR，和以往數據保護法例相比有什麼特點？它究竟賦予了你哪些具體的權利，又對服務商管理數據的權力進行了何種限制？它實施之後，將如何影響現在的科技巨頭，尤其是中國的互聯網企業？長遠來看，它由能否成為大數據時代，隱私新標準的引領者？本文將為你一一解析。

和以前的隱私保護法相比，GDPR 有哪些特點？

GDPR 的首要特點，就是上文提到的「域外適用性」（extra-territorial applicability）。它適用於任何採集、持有和處理歐盟居民數據，或為歐盟居民提供服務、監測歐盟居民行為的個人和機構，即使公司處於歐盟境外。也就是說，無論是 Google、Facebook、騰訊、阿里巴巴等全球性科技巨頭，還是普通的中小企業，只要你持有的數據來自歐盟成員國居民，你管理和處理數據的行為，都在 GDPR 的管轄權內。

GDPR 所指的數據，包括所有能識別數據主體（data subject）的信息（personal identifiable data），如姓名、照片、地址、郵箱地址、銀行賬戶信息、IP 地址等。它還特別規定種族、性取向、政治觀點、宗教信仰、工會會員身份、基因信息、健康信息為敏感信息（sensitive data），一般不允許被處理，除非是在數據主體公開了該數據、給予了明確同意、符合法律規定且基於公共利益、公共健康、社會保護的情況下。

其次，GDPR 既適用於數據管理者（data controller，即決定數據處理數據的目的、情況和方式的機構和個人），也適用於數據處理者（data processor，即代數據管理者處理數據的機構和個人）。

具體來說，處理、收集和分析數據的公司大都為數據管理者，而數據處理者則是相對容易被遺漏的部分，因為 GDPR 所指的處理數據，包括收集、記錄、組織、構架、儲存、改編、檢索、查詢、使用、傳播等等，例如雲服務（Cloud Service）、客戶關係管理（CRM），群發郵件工具（Maichinmp）、監控系統等等。如果某公司使用客戶關係管理軟件儲存客戶信息、用群發郵件工具發送促銷郵件，那麼該公司即為數據管理者，而軟件服務商則為數據處理者。

GDPR 還對兩種涉及到大規模、重要數據的情況作出了額外規定。第一種情況是，在系統性評估個人數據、持有大規模敏感數據和大規模監測數據的情況下，例如個人信用數據、醫院患者健康數據、公共交通工具的攝像監控等，必須執行數據保護影響測評（Data Protection Impact Assessment）；第二種情況是，公共機構和大規模系統性監控或處理「敏感個人信息」的機構，必須任命專門的數據保護官（Data Protection Officer）直接向管理層彙報，並在數據保護主管部門登記聯繫方式。

而對用戶來說，GDPR 帶來的最直接影響，就是自己的權利被大大增強。用戶在提供個人信息時，必須被準確告知處理信息的公司、處理目的、信息類別、法律依據、儲存時間、可能會獲取該信息的第三方、該信息是否會被轉移到歐盟以外等信息。而當用戶就自身權利提出訴求時，數據管理者應當在一個月內給予答覆。

GDPR 賦予用戶的主要權利有：

• 「獲取權」（right to access）：用戶有權獲取自己的數據，和數據被處理的情況與目的。而數據管理者必須向用戶免費提供該用戶所有數據的電子稿。因此，Facebook 和 Google 等企業，最近已經提供了讓用戶下載全部個人數據的功能。

• 「被遺忘權」（right to be forgotten）或「數據清除權」（Data Erasure）：用戶可以要求數據管理者清除或停止傳播數據。

但是，這一權利需要和公共利益及相關法律進行權衡。早在 GDPR 問世前，被遺忘權訴訟已經在歐洲出現。2014年，歐盟最高法院就曾判決 Google 西班牙分公司刪除由第三方發布、不再有效的個人信息。（詳細案情見報導《大數據權利之爭：對不起，你的數據屬於你，但我們有權使用》）

值得一提的是，圍繞「被遺忘權」的爭議也隨着 GDPR 更加激烈。史丹福大學教授、前 Google 法律顧問 Daphne Keller 就曾撰文表示，科技平台可能會出於避免陷入法律糾紛的謹慎態度，過分接受利益相關方的訴求，甚至刪除網絡上真實有效的評論和任何有爭議的內容，最終限制了網絡上的言論自由。

• 「拒絕自動處理」：用戶可以要求自己的數據被自然人而非電腦處理。例如，用戶申請銀行貸款時，用戶可以要求自然人而非算法進行審核。

• 「轉移權」（Data Portability）：用戶可以要求數據管理者將自己的數據，通過「常用和機器可閲讀的形式」轉移給另一個數據管理者。例如，當用戶希望更換社交媒體平台時，原服務商應當將該用戶的全部數據（例如歌單、日誌等）轉移給新的服務商。

• 「反對權」（right to object）：用戶可以拒絕自己的數據被收集和處理，特別是數據管理者基於「合理權益」（見下文）而持有和處理數據的情況。

• 「使用限制權」（right to restrict）：用戶可以限制數據被處理的方式和目的，特別是在數據準確性不明、用戶尚不希望清除數據、數據原定適用範圍失效但尚未被刪除、和用戶行使反對權的要求尚在處理中的時候。

• 「更正權」（right to rectify）：用戶可以要求數據管理者更正不準確和不完整的數據。

• 「泄漏告示」（breach notification）：如果數據發生泄露，數據管理者應在72小時內向相關部門彙報，不得無理由拖延。

而對於企業最直接的影響是，GDPR 要求數據管理者和處理者的行為必須具備法律依據（legal ground）。

我們最為熟悉的法律依據，當然是用戶「知情同意」（consent）。根據 GDPR 的規定，用戶同意必須在自由、完全知情、充分了解目的後，通過清楚和直白的語言給予同意。所以，從前長達幾十頁的「用戶協議」，將無法構成 GDPR 所要求的知情同意。並且，用戶必須主動做出選擇，即主動勾選或填寫表格，例如在註冊時，服務商用灰色打勾默認的「同意」，將不再具有法律效力。

此外，基於「知情同意」收集和處理數據時，行為不得超出用戶給予同意時給出的具體目的和範圍。例如，若果用戶同意獲取促銷信息，公司將不得隨意發送其他內容的郵件。而且，用戶必須能夠隨時隨地撤回同意，也就是便捷地退訂郵件或取消服務。

其他法律依據，還包括相對好理解的「合同必要性」、「重大利益」、「公共利益」和「法定義務」。「合同必要性」是指用戶和數據控制者或持有者之間的合同要求。例如網店持有用戶的地址和手機號碼，用於寄送商品；「重大利益」是指保護用戶的生命安全的操作。如醫院在必要時，可不經同意收集和處理病人的信息，以便實施治療；「公共利益」是指歐盟或成員國法律要求、維護公共利益所需要的數據，例如税務、犯罪數據、醫生和律師的從業許可等；「法定義務」則是根據歐盟或成員國法律要求，而持有的數據信息，如公司因為社保要求而持有的員工信息。

除了以上幾個特點，GDPR 最為重要的是貫徹了「從設計開始保護隱私」（data protection by design）和「默認保護隱私」（data protection by default）的理念。

也就是說，數據管理者和處理者在其工作機制時，必須儘可能地保護用戶權利，在默認的設置中做到限制數據濫用，而不是要求用戶主動關閉相關選項。具體來說，數據管理和處理必須合法、透明、目的明確、只收集必要的數據（即最簡化，data minimisation），並限制數據儲存時間。它們還必須保證數據的安全，利用適當的科技手段做好加密，保留處理記錄，並防範入侵、丟失、損壞等情況。

上述的原則和許多科技公司實際運作方法恰恰相反。比如 Facebook 和 Google 這一類公司，本身的商業模式就建立在獲取用戶數據、進行分析並獲取廣告收入，而 Uber 、Airbnb 這一類公司，也必須依靠收集和分析用戶數據才能服務體驗優化。對於以盈利為目的的公司，數據最大化才是最符合它們商業利益的做法。

那麼，既然 GDPR 的立法精神和規定，都與公司的商業利益存在衝突，這部新法規到底會對企業產生怎樣的影響呢？

GDPR 將會給互聯網企業帶來哪些影響？

GDPR 的前身《數據保護指導條例》（Data Protection Directive）頒布於1995年，當時就是一部領先世界的數據保護法。但是指導條例（Directive）僅為歐盟成員國設下目標，而各國可以根據情況制定相關法律。相比之下， GDPR 作為法規（Regulation），是適用於歐盟全境的強制性法律，統一了歐盟各成員國對數據保護法律要求。

GDPR 即將生效時，正好趕上了 Facebook 劍橋分析（Cambridge Analytica）醜聞。由於劍橋分析竊取了5000 萬 Facebook 用戶數據，並用於提供政治宣傳服務，民意質疑的不僅是 Facebook 沒有盡到保護用戶數據的責任，更是互聯網服務商持有並分析大量用戶數據，而從中盈利的行為並沒有充分告知用戶，也沒有受到充分的法律監管。在用戶認識、企業責任和監管缺位三重缺位的情況下，某些利益群體甚至別國政府，都可能通過精準投放的社交媒體廣告，對美國總統大選或者英國脱歐公投這樣的重大民主政治決策，產生難以明確估計的影響。

圍繞着劍橋分析醜聞，數據保護和用戶隱私權成為了當下最熱門的話題，Facebook 和谷歌等矽谷科技巨頭，也不得不格外謹慎地遵守這一新條例。除了收到大量精心撰寫的數據授權請求外，現在用戶可以 Facebook 的賬戶設置和谷歌的用戶活動記錄處，下載自己的全部數據，還可以關閉谷歌的「搜索活動」和 YouTube 「瀏覽歷史」功能。另外，據媒體報導，Facebook 此前在得知劍橋分析竊取數據的情況下並沒有公開消息，但按照 GDPR 的要求，它將有義務即時、主動向主管部門報告數據泄漏的情況。

按照 GDPR 所要求的標準，互聯網公司除了更新用戶協議和重新要求授權外，可能還會徹底改變其收集和處理數據的模式。例如，由於 GDPR 將政治傾向和宗教信仰等信息被列為「敏感信息」，針對特定群體的分析和精準投放行為可能會受到很大影響，甚至有分析預測，今後 Facebook 可能會提供按月收費的無廣告版本。

同時，企業還要付出大量的合規成本，聘請專業的法律和合規人才，辨別數據類型，制定數據處理規則，指定數據保護官，進行數據影響評估等。企業還必須在收到用戶的數據權利請求時（見上文），及時合法地做出回覆。如果出現大量用戶要求獲取或轉移數據的情況，企業將會面臨巨大的技術和資源壓力。如果企業和用戶或者鼓吹隱私權的非營利組織產生糾紛，還要準備好承擔輿論的壓力，指定危機公關預案，應對來自監管部門的調查，並承擔相應的訴訟和賠償成本等。

更重要的是，受到 GDPR 影響得遠不只是科技巨頭，任何持有或處理個人數據的公司一旦違規，都將面臨高達兩千萬歐元或4%全球營業額的罰款。銀行、酒店、保險、醫院，公共交通運營商等等，都需要深入分析自身持有和處理數據的情況，做好合規工作。但比起擁有專業法律顧問、政策分析師和合規人員的大型跨國企業和科技巨頭，這些中小企業理解和應對新法規的能力都較為有限，也難以承擔訴訟和罰款成本，卻同樣面臨着相關的法律風險。

對於中國企業來說，不僅要注意到 GDPR 本身的域外適用性，還要考慮該法規對數據從歐盟向第三國轉移的專門規定。根據規定，當數據從歐盟轉移到沒有「提供充分數據保護」的第三方國家，數據管理者必須採取恰當的保護措施，包括簽訂相關的數據保護協議等。

目前，歐盟委員會已經將加拿大、以色列、新西蘭等國家列為「提供充分數據保護」的國家，並正在和韓國、日本進行商談。根據金融時報報導，歐盟甚至有可能在未來的貿易協議中，把數據保護法列入不可妥協的基本個人隱私權，也就是說，限制歐盟與和個人隱私不受保護的國家簽訂貿易協議。

今年4月，部分 QQ 國際版用戶收到通知稱，QQ 國際版將暫停在歐洲運營。儘管騰訊公司隨即聲明服務不會下線，但是騰訊究竟將如何應對，至今還未見騰訊有公開說明。正如上文所說，除了科技企業，通過淘寶海外購向歐洲客戶出售產品的網店、向歐盟居民提供金融服務的銀行、為歐洲企業提供服務或是有其他貿易往來的國內公司，也都可能落入 GDPR 的監管範圍內。故而，GDPR 給中國企業帶來的合規性問題，與歐盟企業並無本質差異。

GDPR 將會怎樣推動數據保護和隱私權發展？

除了目前看到的這些影響外，GDPR 作為一部影響範圍極大又領先世界的數據保護法，極有可能成為未來全球各國數據保護和隱私權定義的重要參考標準。

歐盟委員會通訊局局長 Roberto Viola 在採訪中表示，如果歐洲能發展一個穩定、透明、由人民控制、尊重人民未來的道德框架，世界其他地區也可能會緊跟歐洲的腳步。

但由於歐盟法律對全球企業的直接作用，和對全球未來立法起到的重要影響，一些美國企業也增加了在歐盟的遊說與合規支出。2016年，Google 公布的遊說歐盟機構支出約為500萬歐元，位居所有企業之首；同年，Facebook 的遊說支出約為100萬歐元，次年則增加到了約200萬歐元。除此以外，這些企業還加入了各類協會，如美歐貿易協會（Am Cham EU），商業歐洲（Business Europe），數字歐洲（Digital Europe）等，還聘請了多家諮詢公司和律師事務所，進行政策遊說和合規操作。

對於大多數中國企業來說，被用戶訴諸歐盟監管機構或法庭的風險還沒有到迫在眉睫的程度。但是在全球化高速發展的今天，每天都有大量數據在歐盟和中國之間流動，積極理解、適應甚至參與歐盟的決策過程，將是中國企業不可忽視的重要任務。

此外，還有分析稱，嚴格的數據保護可能會限制機器學習和 AI 的發展，例如人工智能的處理方法能否符合 GDPR 公開處理過程的要求，機器學習所使用的數據如何計算儲存時間等問題，在技術和法律上尚有爭議。相比較監管環境更為嚴格的歐洲，中國和美國的企業可能更容易獲取和處理大量數據，從而在相關行業上取得顯著優勢。

與之對應的是，歐盟委員會4月25日發布的 AI 戰略（Communications Artificial Intelligence for Europe）宣布，2020年前，歐盟將在 AI 研發中投資15億歐元，並通過公私夥伴關係（public-private partnership）吸引25億歐元投資。該戰略還列明，歐盟保證 AI 發展和應用的同時，必須尊重「歐盟的價值觀、基本權利，和透明、負責任的道德準則」，並希望歐盟在全球舞台上領導這一議題。

結語

一方面，GDPR 在歐盟內統一了數據和隱私保護的法律要求，使得歐盟內的數據流動更加透明、統一，甚至還推動了全球數據保護和隱私權的發展。但另一方面，GDPR 也增加了收集、轉移、處理數據的難度，給相關科技和服務帶來了諸多限制。未來的數據保護將何去何從，高度監管的歐盟市場究竟是會落後於野蠻發展的自由市場，還是會給企業和社會提供更加公正透明的發展環境，仍是未知之數。實際上，由於 GDPR 的管轄範圍之大、執行難度之高，其最終的實施情況，還要經過長期的探索實踐和判例完善，才能真正落地生根。

近期關於劍橋分析事件的討論，已經顯示出技術發展正在倒逼立法機構和公民社會對數據保護和隱私權提起重視。數據保護問題已經深入到了各行各業，也早已跨越了國境，世界範圍內監管合作和協調管理將成為新的趨勢。不過，這還有太多立法的空白，需要在技術、法律、政治和公民社會等各方通力合作，才能在鼓勵技術發展和保護用戶權利之間找到適當平衡。GDPR 是歐盟在該領域的一個重要嘗試，而隨着技術的發展，相關領域在未來的立法、監管、執行以及全球合作，都還有相當長的路要走。