欧盟最严数据保护法案来了 为何苹果谷歌要严阵以待?

　　你关心的数据隐私问题，欧洲的GDPR几乎都解决了。

　　欧盟地区5月25日天亮不久，为GDPR‘庆生’的话题就冲上了Twitter全平台的热搜榜。GDPR不是什么偶像或是明星，而是一部保护普通人隐私数据的法案。但带着这个话题的Twitter绝大部分用户发推表达的热情不亚于粉丝见到偶像，有人甚至专门做了蛋糕庆祝这天的到来。

　　然而，有人欢喜有人愁。小米生态链公司智能灯具品牌Yeelight成为GDPR敲醒中国互联网的第一钟。因违反GDPR规定，Yeelight将无法向欧洲用户提供服务。

　　事实上，更早之前，风声鹤唳的微软、Facebook、谷歌已经开始为遵守这项法规调整自己的产品设置。这些公司之所以如此小心翼翼，是因为根据GDPR规定，任何企业违反信息跨境流动要求和未经信息主体许可的收集、处理等行为，最大处罚额可达到2000万欧元或者当年全球收营业额的4%，且二者取较高值。

　　欧盟史上最严用户数据保护法案，为保护用户而生



　　欧盟一般数据保护法案（General Data Protection Regulation，679/2016，下简称‘GDPR’）通过于2016年，是欧盟为解决互联网时代用户数据的收集、使用问题而制定的。2016年GDPR获批通过后，为给科技公司一定缓冲时间，将生效时间定于今年5月25日。

　　与此前欧洲地区颁布的其他个人信息保护法规不同，GDPR具有强制力，直接对所有的欧盟成员国生效，也就是法规一旦生效自动对所有国家生效（部分国家如有其它规定，可协调处理）。GDPR规定欧盟所有成员国都必须在国内设立监管机构，且该机构有权调查各科技公司的产品或服务可能存在的违法情形，并进行相应的处罚。

　　GDPR就像一张巨大的筛子，所有在欧洲有产品或服务（无论公司是否在欧盟地区），会收集用户数据，或与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民数据的公司都要经过这把筛子筛选。留者生，漏者死。



　　总的来说，GDPR从管理机构、管理模式，和管理方法三个方面，对个人信息保护行政执法机构的管理方式做了改革创新。关于科技公司使用用户数据的边界、应当承担的责任和义务，GDPR进行了清晰的阐述，主要包括个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则。

　　通俗点来说，这部法规囊括了普通人正在遭遇或可能遭遇的绝大部分事关数据使用和保护的问题，且它主要对‘控制者’――数据的收集者和使用者做成了严格的规定。它将解决但不限于下列问题：

　　之前科技公司写的那些让人看不懂的用户协议将不被允许存在。按照GDPR的规定，所有用户协议必须采取普通用户能理解、接受的方式写清楚。如果用户在使用后不再愿意同意该协议，可随时撤回许可。另外，科技公司不得收集除提供服务必需之外的数据，收集之后不得滥用用户数据，同时还必须履行保护用户数据的义务。

　　用户信息主体权将进一步扩大，新增对信息遗忘权的详细规定。在符合GDPR规定的情况下，用户可以要求科技公司删除自己存储在该平台上的信息。并且，这些企业应当保证用户可以便利地查询和转移其信息。

　　控制者要通过技术保护措施和信息处理记录加强信息保护，在信息泄露时需要履行报告和通知义务。像Uber之前隐瞒2016年黑客盗取了Uber5000万乘客的姓名、电子邮件和电话号码，以及约60万名美国司机的姓名和驾照号码的事件如果再次发生，要面对的可就是GDPR的巨额罚款了。

　　请回答GDPR，这是一道大小企业都需要面对的生死题

　　所有在欧洲有产品或服务的科技互联网企业都有可能受到GDPR影响，但那些漠视用户隐私数据保护的注定会成为第一批。



　　近日，扎克伯格现身欧洲议会，讨论如何妥善解决用户数据隐私问题。这是扎克伯格在接受美国国会质询后接受的唯一质询。由不得扎克伯格不重视，因为如果Facebook再犯相关错误，面临的处罚将是Facebook全球营收的4%。按Facebook去年406.53亿美元的营收计算，Facebook可能就要交出16.26亿美元罚金。

　　事实上，在GDPR即将生效的数月内，大小公司都开始为这部法律调整自己的产品或服务。

　　比如，近日，苹果就修改了隐私政策，允许用户彻底注销AppleID；谷歌则于本月月初更新了文档的语言和导航等用户协议，使用户更清楚其收集和存储用户数据的方式，以及允许用户访问并删除这些数据；腾讯昨晚也宣布将对QQ国际版进行更新，以符合GDPR规定；连Steam也宣布，欧洲地区16岁以下用户如需使用旗下产品，必须经过家长允许。



　　相比大公司无法离开5亿人口的欧盟成熟市场，收集了不该收集的数据，对用户造成了不必要的打扰的小公司则要纠结许多。Yeeligh创始人兼CEO姜兆宁表示产品只是暂时下线，合规后将继续上线。当然，也有部分公司选择彻底离开欧洲市场，‘自觉’关停‘违法’产品或服务。

　　不过，留给那些逃避欧洲市场的公司的时间也不多了。欧盟立法机构除了自己落实GDPR之外，还在推动包括中、美、日、韩等互联网市场大国实施类似法规。肆无忌惮地收集用户数据，贩卖滥用数据的商业模式行将逝去，一道生死题正浮现在此前滥用用户数据的公司面前。