史上最严数据法来袭，中国出海企业怎么办？

发布者：风中百合来源：世界经理人 2018/06/01 17:42

5月30日， Facebook公司首席运营官（COO）雪莉·桑德伯格和首席技术官（CTO）麦克·施罗普弗就数月前的数据泄露丑闻再次登上演讲台。Facebook两大高管继续向公众道歉。

数据泄露引发的蝴蝶效应

马克·扎克伯格称，Facebook将在全球范围内推出与GDPR 相关的数据控制措施。

但如今要想恢复公众对Facebook在隐私保护和数据保护上的信任，需要付出更为巨大的努力。该丑闻凸显了Facebook的“DNA”中存在的问题：数据挖掘。

具体来说就是，Facebook通过收集数据并将其出售给应用程序开发人员和广告客户来赚钱。而防止这些买家将这些数据传递给别有用心的第三方，基本是很难做到的。也就是说，由于公司自身盈利模式的限制，类似的数据泄露事件是迟早会发生的。

事实上，这并不是第一次互联网巨头因用户隐私的问题被推上舆论风口浪尖。近年来，随着大数据应用技术的发展，用户在线隐私问题便一直如影随形。如今在互联网时代，我们所有人都可能随时处于“裸奔”状态，无人能够幸免于难。只是，我们从未想过自己的隐私信息会产生蝴蝶效应，而Facebook的此次泄密事件把问题摆在明面上了。

我们可以检索到无论是在欧美，还是在中国，个人隐私数据泄露都不是新鲜事，更有用“隐私交换便捷性和效率”的说法，随之而来的多次用户数据泄露事件也让用户对企业失去信任。

Gigya公司2017年消费者对隐私和安全态度报告显示：

69%的消费者正在担心设备安全和隐私风险，尤其是在物联网日益普及之后；

2/3的消费者（68%）表示，不信任品牌处理个人信息，例如姓名、电子邮件、地理位置或婚姻状况；

63%的受访者承认，在保护自己的信息方面需要承担一些责任，在信息泄露后，62%的受访者更改了密码，32%的消费者增加了第二个认证因素，还有18%的受访者关闭了账户；

此外，61%的Facebook用户已经通过升级偏好提高了社交网络的隐私设置；

尽管采取了一些措施来保护自己，但是，仍有70%的受访者使用7个或更少的密码来应对所有的网络账号。

益普索公司发布了“2017年全球互联网安全和信任报告”，报告显示：

虽然大部分受访者信任网络提供商、网络银行和搜索引擎，但是很少有人绝对信任这些网络服务；

而且，对互联网不信任影响了网民的行为，网民在网上发布更少的个人信息、对上网设备更谨慎，而且会有选择地使用互联网；

网民尽量避免从未知来源打开电子邮件，使用防病毒软件，并避免访问不安全的网站。1/10的网民甚至减少了网络购物，只有2/10的网民没有采取任何措施。其他改变包括，避免点击未知链接、使用更安全的设置，以及经常升级软件等。

技术无需为平台内容负责的日子已经过去了，GDPR法规来了

2018年5月25日生效的欧盟新数据保护法规《通用数据保护条例》（下称“GDPR”）这部新法规将公民个人信息保护提到前所未有的高度，为信息的收集、管理和利用流程划出明确红线，违规企业最高可能面临全球营业额4%的罚款。除重罚之外，其管辖范围广及任何一家与欧盟有相关贸易往来的数字经济企业。

GDPR代表了全球兴起的数据保护立法潮的趋势，美国、中国也在向欧盟靠拢。

究其本质，该条例制定的目的，是想借赋予欧盟公民个人信息保护的基本权利，来增加消费者对在线服务和电子商务的信心。GDPR的核心，是对个人数据的收集和之后的存储使用，规定更高的透明度与管控。对GDPR的正面阐释，是公司企业可通过给消费者一种自身数据被合理存储和保护的安全感，来赢得消费者的信任。

路透社评论称，GDPR将迫使企业更加关注如何处理客户数据，同时也让消费者能很好地控制数据，并且其隐私权也能得到更严格的保护。

注意，GDPR全球适用

事实上，无论公司总部在哪儿，无论数据存储和处理地点在哪儿，只要与身处欧盟的人做生意，或者监视欧盟公民的行为，就必须遵从GDPR。再进一步解释：如果你收集欧盟公民的数据，你就受到GDPR的管辖。除非你的公司非常严格地排除了欧盟，否则你还是得处理GDPR合规问题。要知道，GDPR其实就是《欧盟数据保护指南》的升级版本，所以，某种程度上，如何改进现有标准，也是关注的焦点。

GDPR已经于2018年5月25日正式施行，但无论是公司还是监管者似乎都没有做好迎接它的准备。没有谁敢轻言自己能做到百分之百合规。

GDPR实施后会发生什么？

对许多公司来说，GDPR对数据处理敲黑板划重点了，但他们可能从没有认真对待过数据保护指令。

世界各地的许多隐私维权人士都称赞这项新规是互联网时代个人数据保护的典范，并呼吁其它国家效仿欧洲模式。不过，也有认为新规过于繁琐——尤其是对小型企业而言。科罗拉多大学波尔得分校人类学和信息科学教授AlisonCool在《纽约时报》上写道，这项法律“非常复杂”，并且难以理解，科学家和数据管理员都“怀疑这项条例甚至不可能做到完全遵守”。广告商和出版商则担心，这将加大他们寻找客户的难度。

企业最终有理由理解其拥有的数据，并重新考虑它对数据的处理。所以关于GDPR实施之后发生的事情取决于企业，无论企业如何将其作为一项业务作出反应，都需要对此重视。一个公司可能有成百上千份的协议，但它们都需要被重新审阅一遍，以确保它们能达到新条例的严格要求。

在现行的旧规则下，通常是由公司来决定数据收集的目的（无论这些收集是否涉嫌违法）。但GDPR改变了这一点：以前仅仅是代表其客户来处理或存储数据的数据处理者（如云计算供应商）将直接承担责任、面临制裁（如果有违法行为的话），并可能会直接面临来自个人的诉讼。这些都需要在新合同中反映出来。GDPR澄清并加强了现有的个人隐私权利，例如用户有权删除数据，并有权要求公司提供一份个人数据的副本。但它也包括了一些全新的授权，比如要求将数据从一个服务提供商转移到另一个服务提供商，以及限制公司使用个人数据，等等。

GDPR设定了对许可相对高的标准：它意味着消费者可以真实选择使用他们数据的不同公司。而用户和企业一致同意的数据采集，能帮助企业和用户建立更稳固的信任和品牌口碑。换句话来说，将用户隐私数据的所有权和控制器归还给用户。用户数据隐私的保护体现在用户数据的获取、告知、使用和审计上。用户拥有被告知的权利以及控制数据使用范围的权利。