關于GDPR對企業(yè)所產(chǎn)生的影響分析

在大數(shù)據(jù)時代，要如何保護個人信息免于被泄露和販賣？

勇于向Facebok等硅谷巨頭宣戰(zhàn)的歐盟司法專員維拉·朱洛娃(Vera Jourova）對此曾有經(jīng)典形容，“今日的個人數(shù)據(jù)，就如同（觀看）人們在水族館里裸泳一樣?！?/p>

而在5月25日這一天，她驕傲地宣布，“《歐盟一般數(shù)據(jù)保護條例》（General Data Protection Regulation,GDPR）令歐洲人可以重新控制他們自己的數(shù)據(jù)了。”

咨詢公司埃森哲在最近一份報告中則直接將GDPR形容為“近二十年來數(shù)據(jù)隱私規(guī)則領域發(fā)生的最重要變化”。

資料來源：埃森哲報告

“它給高科技企業(yè)帶來了巨大的影響，其影響之深遠已超出歐盟，波及全球多個國家?！?埃森哲在該報告中指出，該條例適用于所有歐盟實體的數(shù)據(jù)，無論其身在何地或其數(shù)據(jù)被放在什么平臺。高科技公司存儲、處理或交換任何歐盟公民的數(shù)據(jù)時，都必須符合GDPR。

GDPR效力僅次于憲法

伴隨5月25日的臨近，第一財經(jīng)記者收到了海量GDPR條款更新郵件，來自歐洲智庫、歐洲媒體以及各類科技公司等，如此鋪天蓋地，如不仔細看還以為是垃圾郵件。

這些郵件均要求用戶更新其訂閱條款，并指出此次更新符合歐洲新數(shù)據(jù)保護法律——GDPR的標準，且根據(jù)這一條例，個人用戶從今年 5 月 25 日起將享有更多的權利。

為歐盟一家政府機構在華分支機構工作的何女士則對第一財經(jīng)記者表示，最近趕在5月25日之前接受了GDPR的網(wǎng)上培訓課程，學習未來企業(yè)應當如何在GDPR下應對數(shù)據(jù)保護工作。

之所以大費周章，其原因在于，GDPR的效力層級在歐盟是“條例”，編號為EU-DSGVO，其效力僅次于憲法。與以往的隱私規(guī)定相比，GDPR有何不同之處呢？

埃森哲在上述報告中指出，第一，GDPR要求責任共擔。在過去，收集和使用數(shù)據(jù)的數(shù)據(jù)擁有者需要對數(shù)據(jù)保護負責。如今，史無前例地，數(shù)據(jù)處理者（如提供數(shù)據(jù)處理服務的云服務提供商等）也將需要直接承擔合規(guī)風險和義務。在數(shù)據(jù)保護上，數(shù)據(jù)供應鏈自上而下的各方都會被問責。網(wǎng)絡公司必須與合作伙伴們明確各自的責任和義務。

不過，埃森哲指出大多數(shù)企業(yè)尚未做好準備。2016年秋季面向云服務供應商的客戶進行的感知調(diào)查顯示，僅6%的企業(yè)被認為是符合GDPR、無需在新的規(guī)定條款框架下重新商談合同； 而91%的企業(yè)出于對數(shù)據(jù)處理的復雜性和成本的考慮，對自身能否符合GDPR表示出擔憂。

其次，如不遵守GDPR，則后果很嚴重。埃森哲指出，GDPR對獲取和管理個人信息提出了新的、更嚴格的要求。它賦予個人明確的權利，給高科技企業(yè)通過人工、流程和技術進行客戶數(shù)據(jù)管理帶來了重要影響。不僅如此，GDPR還對客戶信任產(chǎn)生影響。根據(jù)埃森哲技術展望調(diào)查，83%的受訪者堅信，信任是數(shù)字化經(jīng)濟的基石。達到GDPR所要求的數(shù)據(jù)隱私和安全要求，是維系消費者信任和保護企業(yè)品牌的根本。同時，違規(guī)將被嚴令禁止。GDPR大大增加了數(shù)據(jù)保護的強制性和責任性，對違規(guī)的處罰金額提高到2000萬歐元或企業(yè)全球年營業(yè)額的4%（二者取較高值）。

資料來源：埃森哲報告

據(jù)第一財經(jīng)記者統(tǒng)計，目前在28個歐盟國家中，有12個國家已經(jīng)正式更新了其國內(nèi)法，將GDPR嵌入其中，同時還有8個國家告知歐盟委員會它們將在近期盡快完成其立法程序。

5月25日之后，仍有8個歐盟國家在GDPR同其國內(nèi)法融合方面毫無作為，包括保加利亞、比利時、塞浦路斯、希臘、捷克、匈牙利、立陶宛和斯洛文尼亞，大多是中東歐國家。

歐盟方面表示，已經(jīng)對上述國家做出了警告，請它們盡快更新法律系統(tǒng)，否則將把它們告上歐洲法院。

企業(yè)可能準備不足

埃森哲也在上述報告中指出，企業(yè)有可能對此準備不足。要想全面落實GDPR，企業(yè)必須掌握所存儲和處理數(shù)據(jù)的特征，從而可以全面保護數(shù)據(jù)。目前，領先企業(yè)能夠成功追溯70%~80%的數(shù)據(jù)來源，但仍有許多企業(yè)尚不具備這一能力。甚至許多領先企業(yè)也表示難以探尋剩余20%相關數(shù)據(jù)的下落。

2015年，全球有十億條客戶記錄遭到泄露。2016年，僅一次泄露事件就造成了十億賬戶被黑客入侵。GDPR規(guī)定，如果數(shù)據(jù)遭到泄露，用戶有權快速獲取相關信息，這就要求企業(yè)必須在72小時內(nèi)向數(shù)據(jù)保護機構報告數(shù)據(jù)泄露事件。埃森哲指出，目前只有1%的云服務供應商能夠在24小時內(nèi)向客戶發(fā)出數(shù)據(jù)安全事故通知。

小米首席架構師、人工智能與云平臺副總裁崔寶秋博士表示：“整個行業(yè)都需要全力提升數(shù)據(jù)安全和隱私保護的意識，加大設計和研發(fā)時的投入，以加速符合GDPR的要求。”

針對企業(yè)如何更好地進行GDPR的合規(guī)，他主張從設計著手的隱私保護理念，“這項新規(guī)對于用戶而言是好事，用戶需要對自己的數(shù)據(jù)有一定的控制權。任何一家公司如果能夠做到遵循隱私保護的原則，就應該在做任何產(chǎn)品之前，從用戶的角度出發(fā)來設計產(chǎn)品?！?/p>

隨著移動互聯(lián)網(wǎng)高速發(fā)展，大量的隱私以及個人數(shù)據(jù)會存儲在移動設備端，這也使得用戶對移動設備的個人數(shù)據(jù)以及隱私資料保護非常重視。“目前市場上的智能設備大多數(shù)是與個人相關的產(chǎn)品，因此面臨很高的個人信息被泄露的風險。一個設備如果存在漏洞，可能被利用把用戶的視頻、音頻、日常對話等私密的信息發(fā)送出去，所以一定要引入嚴格的安全與隱私標準，進行嚴格安全檢測。

據(jù)第一財經(jīng)記者了解，目前GDPR的規(guī)定雖然強調(diào)了用戶的知情權、訪問權和被遺忘權，用戶可以要求被告知公司掌握了自己的哪些數(shù)據(jù)并要求對其進行刪除，然而，大多數(shù)企業(yè)在修改GDPR的用戶隱私政策時，措辭仍然比較寬泛模糊。

比如硅谷科技巨頭谷歌和Facebook都已經(jīng)修改了它們的用戶政策條款，其中Facebook主要強調(diào)了人臉識別技術的應用應獲得用戶的準許。目前用戶上傳照片時，系統(tǒng)會自動通過人臉識別技術標識出照片中的人物，采取的是用戶默認同意的條款，除非用戶自己提出異議。

據(jù)報道，蘋果公司已經(jīng)停止了在機器學習和人工智能系統(tǒng)開發(fā)中使用用戶數(shù)據(jù)，微軟也為GDPR投入了1600多名工程師，F(xiàn)acebook則將約15億用戶的注冊地從愛爾蘭轉(zhuǎn)向了美國。不過對于注冊地的遷移，愛爾蘭投資發(fā)展局中國區(qū)總監(jiān)張哲偉對第一財經(jīng)說：“個人認為意義不大，因為企業(yè)考慮的不僅僅是數(shù)據(jù)放在哪里的問題，同時也與數(shù)據(jù)的來源地有關?！?/p>

埃森哲大中華區(qū)首席創(chuàng)新官劉東在中國大數(shù)據(jù)博覽會上對第一財經(jīng)記者表示：“GDPR是一個比較好的契機，讓我們的企業(yè)審視自己的隱私保護政策，倒逼我們?nèi)ヅ弦?guī)。拒絕或者存有僥幸心理都是不對的。這一過程中需要數(shù)據(jù)公司的服務和技術上的支持，會增加客戶成本，但同時也能令企業(yè)的價值得到提升?！?/p>

根據(jù)數(shù)據(jù)分析公司SAS上個月的一份調(diào)研報告，隨著GDPR大限到來，只有7%的企業(yè)完成了合規(guī)，近半數(shù)的受訪企業(yè)表示這一新規(guī)將對公司的人工智能相關項目產(chǎn)生重大影響。全球僅有不到一半的企業(yè)（49%）表示它們能按期達到GDPR的合規(guī)要求。不少小公司由于缺乏資源和指導，仍然處于觀望狀態(tài)。

中企國際化繞不開“合規(guī)性”

違反GDPR罰款很高，有一定的威懾力，企業(yè)只有三種選擇，要么退出歐洲市場；要么努力合規(guī)；還有一種就是承擔被罰款的風險。最后一個選項不是任何一家負責任的公司愿意選擇的，所以真正的選擇就只有前兩個。

第一財經(jīng)記者注意到，國航、東航均在5月24日對其APP和官方網(wǎng)站的隱私政策條款進行了更新，東航也在5月作出了調(diào)整，以前的隱私政策條款相對籠統(tǒng)，在如何收集個人信息、收集哪些類型的個人信息、收集后如何使用等方面的規(guī)定并不細致，而在最新版的隱私政策中，這幾家航空公司將可能收集的個人信息的范圍列得更加詳細。國內(nèi)其他幾家開設有歐盟航線的航空公司，如海航、四川航空，尚未對隱私政策進行調(diào)整。

張哲偉表示：“GDPR合規(guī)要求十分高，企業(yè)需要投入大量人力財力，才能確保執(zhí)行。對于中國企業(yè)來說，必須立刻敲響警鐘，做好充分準備，加強對數(shù)據(jù)安全和用戶隱私的保護工作?！?他建議，在數(shù)據(jù)保護方面，中國企業(yè)可以選擇一個歐盟成員國作為主溝通國，通過這個國家跟其他成員國的相關監(jiān)管當局打交道。

方興東認為，GDPR將成為未來全球網(wǎng)絡空間規(guī)則的基石，即以數(shù)據(jù)為抓手，與美國過去掌控的另一大基石，即底層技術治理相得益彰。低估GDPR，將會付出巨大代價。最首當其沖的，就是基于搜集個人信息和隱私驅(qū)動的整個中國互聯(lián)網(wǎng)產(chǎn)業(yè)主體收入模式將產(chǎn)生重大影響，甚至是顛覆性影響。