文：屈里里

“今后可能发生的悲剧会给我们目前的行动带来韩美效果。通过数字内存，圆形监狱可以随时随地监视我们。”维克多迈尔舍恩伯格被称为“大数据时代预言家”的维克多迈尔舍恩伯格这样描述了大数据时代可能给人类带来的灾难。在这一预言之后，欧盟起草了《通用数据保护规则》(GDPR)，《一般数据保护法案》，讨论四年后的2016年4月14日通过了欧洲议会的投票。

但是，长期以来，该规定在2018年5月25日、GDPR正式生效之日之前，欧洲互联网行业发生的重大变化(很多网络链接不可用，部分APP不在服务区域)、Google和Facebook分别获得了欧盟39亿欧元和37

线段和线段律师事务所合作伙伴知识产权部合作伙伴、中国电子商务协会政策法律委员会副主任刘春川律师在接受《中国经营报》记者采访时表示：“GDPR的重大影响力主要在两个方面。”其次，GDPR设计了对违法者的非常大的法律责任。也就是说，根据GDPR规定，被判违法的公司要缴纳罚款。这相当于全球销售额的4%，或者最高2000万欧元(如果销售额没有那么高)。" "

不仅如此，GDPR还堵住了科技巨头寻找异地审判的法律漏洞。在此之前，科技巨头根据“避难所”原则将案件移送欧盟以外(大部分是美国)法院审判，但GDPR阻止了“避难所”原则的适用，Facebook案件在这种背景下驳回了爱尔兰高等法院移交欧盟最高法院返回美国法院的申请。

从刘春川律师的角度来看，GDPR对实施的影响将超过当时欧盟首次推出的《反垄断法》。一方面，违法企业面临天文处罚，另一方面，诱发或启动GDPR的调查机制远远超过欧盟的《反垄断法》。事实上，一年前，中国政法大学互联网金融法律研究院院长李爱军在组织翻译共11章99条法规时表示：“GDPR的通过意味着欧盟对个人信息的保护和限制达到了前所未有的水平。可以说是历史上最严格的数据保护法案。”GDPR对我们的事业(包括欧盟成员国领土和公民)进行合规运营，避免高处罚，对我国的数据相关法学研究具有重要意义。

“长臂管辖”

让我们看看GDPR条例的适用范围。

GDPR第3条“地区范围”规定了三种可能的情况。一种适用于在欧盟内设立的控制者或处理者的个人数据处理。第二，适用于欧洲联盟内数据主体的个人数据处理。即使控制器和处理器没有在欧洲联盟设立，处理行为也将发生在：(a)向欧洲联盟内的数据主体提供商品或服务的过程中，无论数据主体是否需要为此商品或服务支付价格。(B)对欧盟内部发生数据主体行为的监测。第三，适用于在欧盟外部设立但根据国际公法、欧盟成员国法律可以适用的控制者的个人数据处理。

这意味着，无论是否在欧盟地区内建立，一旦开发的软件或APP被部署到应用商店，欧洲公民就可以使用它连接到这项规定。显然，在互联网时代，这种联系总是会发生。

刘春川律师对记者说：“传统观念的理解是，企业不在欧盟做生意，GDPR就不能直接管辖。”但是问题是，在互联网时代，企业的业务和产品，尤其是以APP为例，一般都是直接上传到应用商店的。此时企业不能限制全世界用户下载应用程序。这将包括部分欧盟用户，欧盟用户信息的收集也必将进行。这样，虽然企业在欧盟没有直接的业务往来，但在欧洲，业务存在的话，GDPR可以管辖。" "

因此，在互联网经济高度发达的美国，商务部长罗斯在谈到欧美关系时，将GDPR的实施提高到了贸易障碍的高度。他说：“由于以前生效的欧洲通用数据保护条例(GDPR)，美国企业保护消费者隐私的责任发生了很大变化。”GDPR的实施很可能中断大西洋两岸的合作，对贸易造成不必要的障碍。“刘春川律师就中国企业的适用问题说：“适用的关键是欧盟能否建立合法的管辖连接点，建立合法的管辖连接点后能否拥有管辖权。”“一旦中国企业的业务在欧盟扩展，欧盟就可以对中国企业的行为进行直接远程验证，然后通过法律程序执行。”

同时，这里需要注意的是，在欧盟，并不是只有少量的业务就能降低重视程度，GDPR明确规定根据全球收入进行处罚，全球大企业的平均年利润也只有5%左右，因此GDPR的处罚力度非常大。因此，在5月25日GDPR正式生效之前，许多美国企业为了应对GDPR做出了相应的调整。例如，4月25日，Twitter、Instagram和域名注册者godaddy分别向用户发送了电子邮件，要求更新产品服务条款和隐私政策。

另外，YouTube还表示，将从5月21日开始不再支持计划在欧洲购买的第三方广告服务，并有可能将这一政策扩大到全球。微软还在5月更新了隐私声明，并添加了GDPR要求(例如用户权利和法院)，说明微软收集了用户材料的种类、用途和例子。同时，5月22日宣布，将把GDPR隐私权扩大到全世界。

然而，在我国，除了极个别企业对该法规的实施有所应对之外(比如小米生态链企业的YeeLight智能灯泡产品，因为无法赶在GDPR生效之前满足合规要求，而不得不暂停服务)，大部分企业仍然认为GDPR与自己无关，认为仅有例如通信或互联网公司才会受其制约。但事实上，一旦企业使用了微博、微信与互联网相关，或是产品服务当中涉及到用户的隐私，都会受到监管。 “事实上，除了互联网企业之外，航空公司、银行等大多数行业，只要商业布点有在欧洲的，或者针对欧洲用户的，都很难避免与GDPR产生连接。”刘春泉律师告诉记者。

“被遗忘权”——用户数据保护条款

很显然，大数据时代带给人们新的生命体验是“遗忘成为例外，记忆成为常态”。然而，正如维克托所指出的：“数字化记忆加深了信息富民和信息贫民之间已经存在的鸿沟，进一步增强了权力的倾斜。” 正是基于对个人信息权利的保护，欧盟GDPR出台了世界范围内最严格的用户数据保护条款。

概括起来，这些条款包括两大内容： 一是数据收集者的操作规范，即针对数据收集者，不能用隐藏默认的方式获取用户许可，必须提前进行明确的提示与询问，获得允许后才可以获取使用用户数据;收集之后还需要为用户提供查看收集数据概览及用途，还必须有用户删除功能。 二是用户对自己数据完全的所有权，即便同意收集方收集，也可以随时查看撤回删除相关协议，在用户撤回删除相关授权后，数据收集者必须立即将相关数据进行匿名化处理。

说白了，法案要求所有的数据必须是最终用户可以完全控制的。这种控制体现在，他们可以自主决定分享/不分享哪些内容，将自己的数据导出/转移到其他平台上不受限制，以及在注销自己的账号之后，不在原网站上继续留存信息的“被遗忘权”。 同时，在长达91条、200多页的法案中，还规定了使用用户数据生成大数据画像的算法，必须向社会公开其基本运行原理，以及输入输出结果;不可以用算法黑箱子，或者是商业机密为借口，在收集用户数据的同时不给出理由。 “

法律的严格性不仅仅体现在对用户权利保护的充分完整方面，更重要的是，欧盟的立法经验让其在立法过程中对很多商业行为或现象给予了非常明确而细致的定义，杜绝了企业可能绕行的灰色地带。”一位来自德国的知识产权律师告诉记者。 以“个人数据”的定义为例。GDPR规定，“个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

再以个人数据的“处理”来看，GDPR对“处理”的定义可谓“无孔不入”。“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用，排列、组合、限制、删除或销毁，无论此操作是否采用自动化的手段。

此外，关于“同意的要件”(用户同意对个人数据进行处理)更是在极为详尽而严密的逻辑上做了非常明确的规定，即： 1. 如处理是基于同意，则控制者应能证明数据主体已经同意处理他或她的个人数据。 2. 如数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分，均不具约束力。 3. 数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前，数据主体应被告知上述权利。撤回同意应与作出同意同样容易。 4. 当评估同意是否是自由作出时，应尽最大可能考虑，还应考虑合同的履行，包括服务的提供是否是基于对履行合同不必要的个人数据的同意。

颠覆既有商业模式

作为牛津大学网络学院互联网研究所治理与监管专业教授，以及曾经的哈佛大学肯尼迪学院信息监管科研项目负责人，维克托认为：“从某种意义上来看，遗忘并不是令人困扰的缺陷，而是一种足以救命的优势。当我们忘记了过去的时候，我们便获得了去概括，去概念化的自由，以及最重要的行动自由。”

然而，这一行动自由却是以商业模式的重新颠覆为代价的。 刘春泉律师认为：“欧盟推出GDPR的背景有三，一是欧盟认为互联网时代，商业企业存在过度收集、滥用大数据的背景;二是互联网经济时代，中国和美国的互联网企业和科技巨头非常多，而欧洲这类企业则没有或者很少，所以欧盟没有产业保护的负担，在公民隐私保护和产业保护的平衡中，很自然地就会倾向于对公民个人的隐私保护;三是欧盟相对保守，一直以来都更注重对隐私权的保护。”

所以，在中美贸易战为大国科技而博弈的背景之下，在中美为争夺大数据、云计算、人工智能的领导地位而不断针对技术投资进行谈判的当口，欧盟推出的GDPR有了更深层次的战略意味。 “很明显，这一法规正在颠覆现有的商业模式，或者至少对现有的商业模式构成一定的影响。”

一位来自国内互联网业界的企业CEO告诉记者，面对GDPR，他们正在考虑如何避免进入欧盟市场可能带来的潜在影响。 在他看来：“互联网经济的本质正转向用户创造价值，围绕用户创造价值，用户画像以及精准营销正成为标配，它可以极大地提升企业获取真实用户的效率并降低维护成本。如果按照GDPR的要求来设计企业运营模式，企业的竞争力将会倒退很多年。”

的确，以YouTube为例， GDPR对其从事的第三方广告服务的数字广告业已经产生了巨大的影响。互联网很大一部分收入的来源是数字广告，通过数字广告平台，大数据的精准推荐广告，原本都是合法的。但GDPR的出现及其对隐私权的保护正将这一模式推上潜在违法的灰色地带。 因此有人表示：“下一步互联网依靠大数据做增值服务的商业模式也该走到尽头了。算下来，还是老老实实将互联网服务进行收费最省心。”

不过，对大部分企业来说，如何在短时间内适应GDPR带来的改变仍是主要问题，刘春泉律师对此给出了合规建议：“第一，明确责任人员，企业内部必须有掌管该职责的岗位/部门。第二，风险评估。网络安全法的合规并非只是网络安全或者法务部门的事情，具体包含：技术、法律、管理三个方面。第三，供应商遴选应科学合理，防止因供应商的短板行为连累业主公司和其他供应商。”