從4月傳出的QQ國際版在歐洲停止服務傳言，到Facebook創(chuàng)始人扎克伯格現(xiàn)身歐洲議會接受質詢，其背后的大背景都是史上最嚴的網絡數(shù)據管理法規(guī)即將在歐盟生效。

5月25日起，歐盟網絡數(shù)據隱私保護新規(guī)《通用數(shù)據保護條例》（General Data Protection Regulation，GDPR）將在歐盟全體成員國正式生效。新華社的報道稱，這被廣泛認為是歐盟有史以來最為嚴格的網絡數(shù)據管理法規(guī)。這一條例全面加強了歐盟所有網絡用戶的數(shù)據隱私權利，明確提升了企業(yè)的數(shù)據保護責任，并顯著完善了有關監(jiān)管機制。

歐洲《通用數(shù)據保護條例》雖然是歐盟地區(qū)的法案，卻對全世界科技公司的產品、運營等多方面產生了重大影響。因為該項法規(guī)擁有域外效力，歐盟以外的公司也可能要受到該法案的監(jiān)管。

5月22日，馬克·扎克伯在歐洲議會接受質詢時已經表態(tài)，F(xiàn)acebook將會在5月25日符合《通用數(shù)據保護條例》的要求。他還補充道，很多歐盟用戶已經閱讀并同意了平臺上符合《條例》要求的新隱私政策。

那么，《通用數(shù)據保護條例》是如何通過的，它嚴在哪兒，為何社交巨頭會如此關注，又將對用戶產生哪些影響？

《通用數(shù)據保護條例》的前世今生

歐盟5月25日將生效的《通用數(shù)據保護條例》是對其1995年《數(shù)據保護指令》的修訂、拓寬和升級。

據新華社報道，《數(shù)據保護指令》為當時歐洲國家立法保護個人數(shù)據設立了最低標準。隨著互聯(lián)網行業(yè)的迅猛發(fā)展和用戶數(shù)據的爆發(fā)式增長，歐盟在2012年提出改革數(shù)據保護法規(guī)，旨在幫助民眾進一步保護個人信息，幫助企業(yè)利用“單一數(shù)字市場”帶來的機遇。2015年6月，歐盟成員國的司法及內政事務部長會議就五項原則達成一致，而這些原則也構成了新規(guī)的重要框架：

“同一個大陸，同一套法規(guī)”，即在歐盟范圍內建立起一套法規(guī)；

“強化‘被遺忘權’”，即如果無必要的法律依據，用戶可以要求互聯(lián)網企業(yè)從網絡搜索結果中移除個人信息；

“歐洲境內適用歐洲法律”，即設在歐盟以外的企業(yè)如果要在歐盟范圍內提供服務，也需要遵守歐盟法律；

“強化各國數(shù)據保護機構權力”，并允許各成員國的數(shù)據保護機構對違法者處以高額罰金；

“一站式服務”，即企業(yè)和用戶都只需與一個國家的監(jiān)管機構打交道。

歐盟《通用數(shù)據保護條例》是一個具有里程碑意義的法案。它不僅規(guī)定了數(shù)據應被如何處理、保存、使用和交換，還意圖在當下公司普遍收集用戶數(shù)據的情況下，讓消費者擁有對自己個人數(shù)據的控制權。

2016年4月，歐洲《通用數(shù)據保護條例》獲得通過，2018年5月25日正式生效，通過和生效之間，有兩年的適應期，讓企業(yè)進行調整，以符合《通用數(shù)據保護條例》要求。

值得注意的是，該法案雖然由歐盟設立，但它不僅適用于歐盟本土公司，而是擁有域外效力。對歐盟以外的公司，只要它們向歐盟提供商品或服務、追蹤歐盟民眾的行為，都必須受到該法案的監(jiān)管。

Squire Patton Boggs律師事務所倫敦分所合伙人Ann J. LaFrance、上海分所資深法律顧問詹智鷹對澎湃新聞記者解釋，即使一家中國公司在歐盟沒有員工或運營，只要它在歐盟提供數(shù)字化的商品或服務，有行為或監(jiān)測行為發(fā)生在歐盟，它依舊有可能直接受到《通用數(shù)據保護條例》要求的制約。

大型科技公司往往跨國運營，業(yè)務遍及全球。因此，谷歌、Facebook、騰訊、阿里巴巴等在歐洲運營的大型跨國科技公司，均必須讓自己在當?shù)貥I(yè)務運營符合歐洲《通用數(shù)據保護條例》的要求。除科技公司之外，《通用數(shù)據保護條例》適用于所有類型的公司，LaFrance和詹智鷹介紹，某些具體的行業(yè)立法對特定行業(yè)提出了補充要求，比如，電子隱私權（e-Privacy）法規(guī)適用于通信運營商。

《通用數(shù)據保護條例》嚴在哪

那么，《通用數(shù)據保護條例》到底嚴在哪兒呢？

（1）獲取用戶同意的細節(jié)要求：同意后必須容易撤回

按照《通用數(shù)據保護條例》要求，公司必須向它們的歐洲消費者具體說明，在何種允許下，公司持有哪些用戶的個人身份數(shù)據，如何使用這些數(shù)據，并獲取用戶的同意。獲取個人信息的同意請求必須清晰、容易找到。

值得注意的是，獲取用戶同意時，默認選項必須是保護隱私的選項（Privacy by Design），用戶已經提交了的同意請求也必須容易撤回。此外，對于16歲以下少年兒童，監(jiān)護人要代表他做出數(shù)據收集的授權。

（2）企業(yè)持有和刪除、轉移數(shù)據的要求：用戶可以要求公司清楚個人數(shù)據

除了對征得用戶同意做出細致規(guī)定，《通用數(shù)據保護條例》對企業(yè)如何持有數(shù)據，也做出了具體規(guī)定。其中數(shù)據的“被遺忘權”和“可轉移權”是當下企業(yè)較難做到的，即用戶可以要求公司清除其個人數(shù)據，并禁止第三方獲取這些數(shù)據；用戶也可以帶著他們的數(shù)據轉移去不同的服務提供商。

（3）數(shù)據保護范圍擴大：政治傾向被列為敏感數(shù)據

《通用數(shù)據保護條例》擴大了數(shù)據的保護范圍，對個人敏感數(shù)據做出定義：新規(guī)適用于個人數(shù)據，包括姓名，電話號碼，位置信息，在線身份信息；以及個人敏感數(shù)據，包括：種族、性別及性取向、政治傾向、宗教信仰、生物數(shù)據、醫(yī)療狀況、犯罪記錄。

（4）發(fā)生信息泄露需72小時之內通知

如果發(fā)生了高危信息安全泄露，公司必須在事故發(fā)生72小時內通知權威機構及受影響的個人。

（5）任命數(shù)據安全官

符合相應要求的公司，包括大規(guī)模監(jiān)控的公司、處理與犯罪信息有關數(shù)據的公司等，必須雇傭或任命從事數(shù)據保護的管理人員。

（6）罰款2000萬歐元起，可能高達公司年度營業(yè)額4%

如果違反歐洲《通用數(shù)據保護條例》，公司可被判處其全球年度營業(yè)額4%或2000萬歐元的罰款，選擇二者中較高的數(shù)值判罰。對跨國科技巨頭來說，年度營業(yè)額的4%的罰款額非常巨大。2017財年Facebook營收為406.53億美元，4%即為16.3億美元。

為符合《條例》要求，F(xiàn)acebook是如何做的

為了使自己平臺上的隱私政策符合《通用數(shù)據保護條例》要求，在8700萬用戶數(shù)據泄露的劍橋分析事件曝光之后，F(xiàn)acebook加速了時間表，讓平臺的隱私和數(shù)據處理政策能夠提前達到《通用數(shù)據保護條例》要求。

除了更新了隱私政策，F(xiàn)acebook重新設計了移動設備上的設置菜單，讓相關內容更易查找，設置欄里不同的區(qū)合并到了同一個地方。設置菜單里，可以方便地移除不再需要的應用和網站，查看并更新第三方應用可獲取的信息。

增加了隱私快捷菜單，用戶可以在登錄、瀏覽和刪除內容、編輯個人公開資料的時候直接進入此菜單，做出額外的安全設置。

Facebook還引入了一個叫做“獲取你的信息”（Access Your Information）工具，讓你看到自己留下的評論或你分享后又刪除的帖子。公司稱這會讓用戶更容易下載自己的數(shù)據，如添加到賬戶中的照片和聯(lián)系人，也可以將這些數(shù)據搬運到其他服務上。

（1）企業(yè)需對其供應鏈負責

歐洲《通用數(shù)據保護條例》要求，如果某個歐盟境內運營的公司會將歐盟的數(shù)據傳輸?shù)綒W盟境外的公司，那么這些歐盟境外公司需要有合同或類似的具有約束力的保障措施制約。

LaFrance和詹智鷹介紹，這意味著企業(yè)將個人數(shù)據外包處理時，必須對供應鏈負責，并且只有在適當?shù)模ǔ浞侄x的）有合同或其他法律約束力保障措施的情況下，才能處理或轉移歐盟的個人數(shù)據。因此，企業(yè)內部和供應商管理的流程也要進行相應的變更。修改供應商協(xié)議以納入強制性合同保障成為了大多數(shù)公司的一個主要任務。

（2）企業(yè)須在歐盟指定一名代表接受相應投訴

另一個重大挑戰(zhàn)是，企業(yè)必須制定必要的程序，在30天之內能夠回應數(shù)據主體（包括歐盟員工、消費者、商業(yè)聯(lián)系人）要求行使《條例》中新增強的個人權力的要求。這些權利包括，有權訪問個人數(shù)據、糾正不正確的數(shù)據、刪除數(shù)據（受某些特定條件限制）、反對直接營銷、反對自動化決策和分析，或基于數(shù)據控制者的合法利益進行數(shù)據處理等。

LaFrance和詹智鷹介紹，不設立在歐盟、但屬于被《條例》域外規(guī)定監(jiān)管范圍的中國公司，必須在歐盟指定一名代表，接受數(shù)據主體和數(shù)據保護監(jiān)管機構的投訴。

（3）生效日是企業(yè)調整的開始

《通用數(shù)據保護條例》正式生效前，公司已經有了兩年適應期讓自己符合要求。如果公司認為它們的商業(yè)模式無法達到《條例》的要求，它們可能需要考慮退出歐洲市場。但如果它們能夠調整商業(yè)模式以適應《條例》，則需要迅速采取行動進行差距評估，并落實最低合規(guī)性所需要的一系列措施。

LaFrance和詹智鷹介紹，《通用數(shù)據保護條例》的生效日是這個過程的開始，而不是結束。即使在歐洲，也很少有公司能說自己2018年5月25日起能夠100%完全合規(guī)。《通用數(shù)據保護條例》要求的最大罰款額非常高，但除了罰款之外，監(jiān)管部門也能夠采取一系列其他措施，即使企業(yè)達到要求的時間有所延遲，真誠的努力也必須考慮在內。

其他國家的數(shù)據隱私保護法規(guī)

LaFrance和詹智鷹介紹，《通用數(shù)據保護條例》授權給歐盟委員會，如果發(fā)現(xiàn)一個非歐盟國家擁有“本質上等同”的數(shù)據保護制度時，會發(fā)布“充分性決定”（adequacy decision），這是歐盟-美國隱私保護框架的基礎，該框架允許美國公司在符合歐美之間此前達成的隱私保護要求Privacy Shield的情況下處理歐盟的個人數(shù)據?，F(xiàn)在，歐盟和日本也正在進行類似的協(xié)議談判，這可能會成為其他亞太地區(qū)的模式樣本。

在中國，《全國人民代表大會常務委員會關于加強網絡信息保護的決定》于2012年12月發(fā)布并生效，《中華人民共和國網絡安全法》于2017年6月1日生效，以上兩種法規(guī)均包含對數(shù)據隱私保護的要求。2018年1月24日，《信息安全技術個人信息安全規(guī)范》全文在國家標準全文公開系統(tǒng)上線，5月1日正式實施。該規(guī)范屬于推薦性國家標準，對個人信息的收集、保存、使用、轉讓等環(huán)節(jié)進行了規(guī)定。

LaFrance和詹智鷹介紹，《規(guī)范》是推薦國家標準，不是具有約束效力的法律，但還是強烈建議在中國的每個組織和實體都能采用《規(guī)范》指導自己的行為，因為《網絡安全法》和其他相關法律條例只提供了個人信息保護的總體規(guī)定，但《規(guī)范》對信息手機、存儲、適用、分享、轉移和公共披露等內容做出了具體的指導。