據(jù)外媒報道，歐盟“通用數(shù)據(jù)保護條例”(GDPR)于2018年5月25日生效。

　　GDPR被視為“史上最嚴”的數(shù)據(jù)保護立法，企業(yè)在發(fā)生數(shù)據(jù)泄露事故的情況下可能會面臨高達年收入4%的罰款。

　　GDPR最初于2012年提出，并于2015年12月獲得了歐盟理事會的通過。作為統(tǒng)一的數(shù)據(jù)保護法，GDPR的前身是1995年的《數(shù)據(jù)保護指令》95/46/EC。

　　在實施后，GDPR將覆蓋所有28個歐盟成員國，替代各國自己的相關法律。但GDPR的覆蓋范圍可能不止于此。

　　從原則上說，所有在歐洲大陸開展業(yè)務或處理歐盟公民數(shù)據(jù)的組織，無論這些組織的總部設在哪里，都可能受到GDPR的影響。

　　普華永道指出：“這將影響在歐洲內(nèi)外保存或使用歐洲公民個人數(shù)據(jù)的每個實體。”

　　對于GDPR未來的影響和意義，各界人士有著不同的看法。以下為國外相關專家觀點摘要：

　　1、安格斯·麥克雷（Angus Macrae），倫敦國王學院信息安全負責人

　　GDPR的總原則是“統(tǒng)一歐盟范圍內(nèi)的監(jiān)管，讓公民重新掌控自己的個人數(shù)據(jù)，同時簡化國際業(yè)務的監(jiān)管環(huán)境”。在大多數(shù)人看來，這肯定是件好事。

　　這套標準如果能得到良好協(xié)調(diào)，那么從長遠來看肯定會對數(shù)據(jù)保管或處理過程中的每個人都有有利。我們都是“數(shù)據(jù)主體”，在我們生活的這個世界中，有很多重要方面都在更多地依賴于與我們相關的數(shù)據(jù)。但這些數(shù)據(jù)處于風險之中，比以往更容易泄露。

　　數(shù)據(jù)主體目前擔心的是，由于很多國家和地區(qū)在通報數(shù)據(jù)泄露事件時都不必承擔法律責任，因此你甚至可能不知道自己的數(shù)據(jù)被盜或以其他方式受損。而GDPR實施后，如果發(fā)生數(shù)據(jù)泄露事件，那么數(shù)據(jù)保管者就必須及時向相應監(jiān)管機構匯報情況，時限為事故發(fā)生的72小時內(nèi)。

　　然而，GDPR會帶來額外的合規(guī)負擔，給企業(yè)造成額外成本，并導致某些企業(yè)處于競爭劣勢。2013年，英國信息委員會辦公室(ICO)委托倫敦經(jīng)濟學院進行了一項相關調(diào)查研究。其中重要發(fā)現(xiàn)之一是，大多數(shù)企業(yè)無法可靠地量化它們在數(shù)據(jù)保護上的投入。而在GDPR實施后，運營成本可能會出現(xiàn)怎樣的增長，也同樣難以準確量化。

　　根據(jù)新規(guī)定，長期雇員超過250人的組織，或“核心活動”需要對數(shù)據(jù)主體進行定期和系統(tǒng)性監(jiān)測的組織，都需要任命數(shù)據(jù)保護官。盡管這個要求本身不算無理，但對很多中小企業(yè)來說，這可能會是一筆切切實實的花費。

　　最引人關注的行業(yè)是云計算，它可能會受到更大的影響，并承擔更多成本。有些企業(yè)肯定需要投資更好的技術方案才能滿足數(shù)據(jù)刪除、保留或可移植性的要求，而這些成本無疑很快就會轉(zhuǎn)嫁到用戶處。

　　此外，GDPR的許多細節(jié)在實際操作中如何執(zhí)行?企業(yè)可能會面臨哪些不必要的成本，尤其是浪費在誤導性的管控措施和咨詢意見上的成本?即便是在專家中間，這些問題也存在很多分歧。

　　另一個風險是，盡管從原則上說，良好的信息安全和數(shù)據(jù)保護工作應該相互協(xié)調(diào)，互為補充，但企業(yè)可能過分強調(diào)其中某個點，把資金和資源放在滿足GDPR的合規(guī)要求上，導致在信息安全防御的其他領域蒙受損失。

　　市場研究公司Ovum的報告顯示，2015年12月，在調(diào)查的366家全球IT公司中，有66%似乎正在審查歐洲的業(yè)務戰(zhàn)略，這是GDPR草案通過帶來的直接反應。更值得關注的是，超過50%的IT公司認為自己不能滿足所有新要求。在美國公司中，這個比例為58%，而62%的德國公司認為自己最終可能會被罰款。

　　2、基蒂·寇爾�。↘itty Kolding），Infocore CEO及總裁

　　假設理智的企業(yè)都認同消費者隱私權的重要性，，我們認為立法最終不僅不利于用戶數(shù)據(jù)的隱私和安全，甚至有可能造成破壞。我們還認為，此舉會對全球的營銷和廣告行業(yè)構成障礙，尤其是當這類立法開始向其他市場擴散時。

　　以下就是我們最擔心的3件事：

　　1)“被遺忘權”適得其反

　　根據(jù)GDPR，歐盟公民必須能方便地撤回自己的數(shù)據(jù)授權許可，即所謂的“被遺忘權”。數(shù)據(jù)主體有權要求刪除自己的數(shù)據(jù)，讓數(shù)據(jù)收集商不能繼續(xù)處理自己的數(shù)據(jù)，其他任何實體也不能像以前一樣合法地使用、購買和租賃這些數(shù)據(jù)。

　　為了做到這點，每家參與租賃或銷售歐盟數(shù)據(jù)主體信息的公司，都必須保留消費者數(shù)據(jù)的完整細節(jié)。在單筆交易中，這可能包括7到8家獨立公司，例如廣告主、廣告公司、兩家或更多中介機構、數(shù)據(jù)收集商和數(shù)據(jù)處理商。GDPR要求其中每家公司都必須保存消費者在每筆交易中的所有詳細信息。一旦消費者決定撤回許可，就可以在能驗證的情況下，在數(shù)據(jù)曾出現(xiàn)過的所有地方刪除這些數(shù)據(jù)，包括硬盤、本地服務器、備份數(shù)據(jù)庫、云服務器等，以免落入黑客之手。

　　但現(xiàn)在的情況反而把數(shù)據(jù)被黑客獲取的概率提高了至少10倍，因為企業(yè)無法刪除那些已不再需要的數(shù)據(jù)。所有參與這個過程的企業(yè)必須長期保留所有記錄，以確保在獲得許可的3年后，消費者仍可以撤銷許可，數(shù)據(jù)處理商可以證明這些記錄都已經(jīng)刪除。數(shù)據(jù)保留時間越長，被黑客獲取的概率就越高。

　　2)A29WP將獲得極大的權力

　　針對GDPR組建的全新執(zhí)法機構名為“第29條工作組”(Article 29 Working Party，A29WP)，該機構可以對全球各地企業(yè)展開監(jiān)管。所有的歐盟國家都受GDPR的管轄。此外無論企業(yè)位于何處，只要處理歐盟公民的數(shù)據(jù)，也都自動受到該機構的管轄。不過歐盟具體會如何對外執(zhí)法，目前還無法判斷。

　　A29WP還擁有獨家且不可挑戰(zhàn)的權力，可以搜查和沒收存在疑問的記錄(涵蓋位于世界各地的企業(yè))，而且還可以開展獨立調(diào)查，并充當調(diào)查結果的唯一裁決機構。他們集法官、陪審團和執(zhí)行者等多重身份于一身，而且不受監(jiān)督，也不提供上訴渠道。

　　數(shù)據(jù)存儲、許可追蹤，以及取證要求都非常復雜，即使真的有企業(yè)自信滿滿地認為自己完全合規(guī)，數(shù)量也不會很多。這也意味著在當今這個互聯(lián)程度越來越強的世界中，當A29WP決定對企業(yè)進行制裁時，許多企業(yè)隨時都會陷入風險。

　　3)法律幫助了歐盟最想打擊的企業(yè)

　　很多人認為，歐盟希望利用這部法律懲罰或限制他們討厭的企業(yè)，包括Facebook、谷歌和Uber等。但諷刺的是，這些技術實力強的大企業(yè)反而可以克服GDPR的障礙，不容易受到影響。他們可以投入大量律師和工程團隊來展開合規(guī)工作。當他們順利度過困境時，其他涉及歐盟公民隱私的企業(yè)幾乎都會面臨直接影響。在很多情況下，甚至會導致這些企業(yè)面臨生存危機。

　　首先，這些企業(yè)(多數(shù)都是歐盟企業(yè))需要花很多年才能通過適當?shù)募軜媮碜袷厮�有�?guī)定，因此會忽視很多重要的業(yè)務元素。為了構建和管理同樣的解決方案，他們勢必步履艱難。

　　英國的行業(yè)專家預計，用戶數(shù)據(jù)收集商、經(jīng)紀商、廣告平臺和相關服務(例如數(shù)據(jù)清理和處理)將因此損失50%的收入。毫無疑問，可以使用的用戶數(shù)據(jù)將變得非常稀缺。跟任何自由市場類似，供給越少，價格越高。精準營銷的難度會加大，精準程度會降低，觸達受眾會減少，價格變得更高。只有規(guī)模最大的企業(yè)和服務才能生存下去，存活下來的巨頭將主導市場、上調(diào)價格。

　　也就是說，這種方法根本無法打擊歐盟所討厭的科技巨頭，反而會幫助這些巨頭擠出那些規(guī)模不夠大、盈利能力不夠強的對手，導致許多中小企業(yè)因為合規(guī)問題而逐步被淘汰。

　　3、布萊恩·金漢姆（Brian Kingham），倫敦創(chuàng)業(yè)者和投資人、信息安全公司Reliance acsn董事長

　　GDPR的目的是阻止企業(yè)濫用歐盟公民的個人數(shù)據(jù)。從表面看來，這的確是好事。個人隱私非常重要，尤其是在面對大企業(yè)和政府的嗅探時。然而，歐盟此舉可能會阻礙創(chuàng)新，還有可能導致企業(yè)因無法控制的情況而遭到處罰。

　　此外還有頗具諷刺之處：歐盟想讓公民能自由獲取企業(yè)存儲的與之有關的數(shù)據(jù)，但歐盟自身的運行方式卻不夠透明，例如歐洲議會成員的投票記錄，以及各個利益群體試圖影響歐盟政策而展開的游說活動。歐盟的官僚氣息嚴重。他們通過各種繁文縟節(jié)來監(jiān)管28個歐盟成員國的企業(yè)，并且掌握著關于歐盟5.1億公民的海量數(shù)據(jù)，以及在歐盟境內(nèi)運作的企業(yè)數(shù)據(jù)。但法律已經(jīng)出臺，所以只能無條件遵守。

　　應該承認的是，個人數(shù)據(jù)面臨的威脅主要來自復雜的網(wǎng)絡犯罪，而非持有數(shù)據(jù)的企業(yè)。為了保護公民數(shù)據(jù)免受網(wǎng)絡攻擊的傷害，歐盟決定處罰受害者，即遭到攻擊的企業(yè)，而非犯罪者。如果你在網(wǎng)絡攻擊中丟失用戶數(shù)據(jù)，那就是你的錯，歐盟現(xiàn)在有權對你處以年收入4%的罰款或2000萬歐元，二者取較大值。

　　這有點不公平。處罰金額顯然過重，4%的營收已超過很多企業(yè)的利潤。沒有任何本分的企業(yè)愿意丟失數(shù)據(jù)，也沒有企業(yè)愿意因為泄露數(shù)據(jù)而流失用戶。正因如此，他們才投入大筆資金發(fā)展強大的網(wǎng)絡安全軟件和服務。所以，GDPR跟網(wǎng)絡安全關系不大。

　　相反，這會迫使各類企業(yè)投入寶貴的時間和資源來確保合規(guī)，從而知道數(shù)據(jù)的確切位置。不幸的是，在大數(shù)據(jù)和云計算時代，即使對大企業(yè)來說，這也是艱巨的任務。企業(yè)已經(jīng)非常關注此事。

　　調(diào)查顯示，InfoSecurity Europe的與會者有半數(shù)認為GDPR會阻礙創(chuàng)新，導致企業(yè)對云計算感到緊張。GDPR規(guī)定的另一大問題在于，如果提供外包服務的數(shù)據(jù)處理公司丟失了客戶數(shù)據(jù)，他們并不需要為此負責，這意味著他們加強信息安全保障的動力較弱。這也提醒我們：選擇云計算提供商時要格外小心。

　　這部立法似乎沒有清晰地意識到一個問題：數(shù)據(jù)是產(chǎn)品和企業(yè)創(chuàng)新至關重要的原料，甚至可以幫助企業(yè)降低運營成本。GDPR也可能阻礙由數(shù)據(jù)驅(qū)動的創(chuàng)新，因為企業(yè)可能因擔心遭到起訴而不太敢獲取或存儲數(shù)據(jù)。

　　作為消費者，只要我們愿意，就有權與企業(yè)和各類組織分享數(shù)據(jù)。事實上，的確有許多消費者存在這種意愿。我們也可以選擇退出這種機制，但很多人還是很享受因此帶來的好處，而亞馬遜這樣的企業(yè)也可以借此了解我們的消費模式。通過數(shù)據(jù)分享機制，網(wǎng)絡購物才得以更便利。

　　如果歐盟認為GDPR可以幫助歐洲企業(yè)超過美國競爭對手，那就應該三思而行。Facebook、亞馬遜和谷歌等數(shù)字巨頭都已十分強大，他們擁有先進的基礎設施和充分的靈活性來執(zhí)行GDPR的很多要求，也可以通過很多方式，比歐洲傳統(tǒng)媒體巨頭更快地適應數(shù)據(jù)立法變化。

　　GDPR可能引發(fā)意想不到的巨大影響。至于那些已經(jīng)困境重重的企業(yè)將會遭受何種影響，目前還很難判斷。GDPR有可能讓我們再次了解，政府的好意在實際執(zhí)行中會出現(xiàn)什么樣的偏差。這些措施太嚴厲，太急迫，無疑會對創(chuàng)新、企業(yè)發(fā)展和就業(yè)造成破壞。