作為歐盟1995數(shù)據(jù)保護指令（The European 1995 Data Protection Directive, Dir.95/46/EC）的替代，2018年5月25日生效的《一般數(shù)據(jù)保護條例》（或《通用數(shù)據(jù)保護條例》，General Data Protection Regulation，簡稱GDPR）具有更大的威力：對于用戶而言，他們有權訪問、改正、移植和刪除其數(shù)據(jù)；對于監(jiān)管者而言，他們第一次擁有了在歐盟范圍內(nèi)統(tǒng)一行動的權力，并有權對違法企業(yè)處以高達2000萬歐元或者全球營收4%（兩者取其大）的巨額罰款。該法規(guī)將影響歐盟內(nèi)所有獲取、存儲或處理個人數(shù)據(jù)的企業(yè)，包括設立地在歐盟之外但獲取過歐盟公民數(shù)據(jù)信息的企業(yè)。

企業(yè)應對GDPR的措施

在實踐中，企業(yè)往往缺乏對于GDPR充分的理解：有些僅把它當作原有數(shù)據(jù)條例的加強版；另一些則把它看作是企業(yè)的負擔，認為很難滿足所有的要求。這兩種觀點都有失偏頗，應該從更長遠的角度去認識和觀察。中國涉及歐洲業(yè)務的諸多企業(yè)，已經(jīng)被自動納入到GDPR的管轄范圍，應提前做好預案。這樣，一方面可以有效規(guī)避潛在的高額懲罰；另一方面還可以抓住互聯(lián)網(wǎng)轉(zhuǎn)變的機遇，在新產(chǎn)業(yè)形成過程中占據(jù)有利地位，尋找新的利潤增長點。

第一，凝聚共識，應對風險。企業(yè)首先需要在內(nèi)部進行動員，貫徹針對GDPR進行改革的必要性和重要性，在思想上凝聚共識。這是因為改革會增加企業(yè)成本、降低利潤、甚至需要對企業(yè)既定的戰(zhàn)略和計劃做出調(diào)整——而利益格局的改變必然會招致不同的聲音。為了將風險最小化，企業(yè)在前期規(guī)劃時一定要做好評估：清點所有的應用程序，明確企業(yè)內(nèi)部數(shù)據(jù)的來源、儲存和處理方式，指派人員承擔相關職責，預測可能會帶來的危害并提前制訂應對方案。值得一提的是，員工個人的移動辦公設備也存在數(shù)據(jù)泄露風險，因為這些設備接觸到了公司的數(shù)據(jù)，可能會被備份，所以也應該納入定期排查的范圍。更重要的是，企業(yè)要善于在“?！敝袑ぁ皺C”，明確如何利用新規(guī)則挖掘商機。例如良好的數(shù)據(jù)保護會帶來口碑和聲譽、吸引潛在用戶；公司數(shù)據(jù)利用能力的提升也為未來新業(yè)務的發(fā)展構筑了基礎。數(shù)據(jù)管理公司Hanse Orga Group的首席戰(zhàn)略官Christoph Dubies認為“致力于保護用戶數(shù)據(jù)的企業(yè)可以預期得到良好的市場反應，它可以作為營銷策略提升品牌知名度并獲取用戶的信任。”

第二，在企業(yè)內(nèi)部構建數(shù)據(jù)處理機制。一個完善的數(shù)據(jù)處理機制包括從數(shù)據(jù)訪問、存儲、修正、乃至刪除的整個過程，它擁有可以按照外部用戶或監(jiān)管機構的要求進行提取展示的能力；在特性上，應該兼顧全面性和專業(yè)性。GDPR影響了企業(yè)的整個運作流程，客觀上要求企業(yè)在內(nèi)部建立一個跨部門的組織，應該包括法律、財務、技術、市場等所有涉及用戶個人信息的部門。比如，企業(yè)的法律部門首先需要厘清GDPR賦予企業(yè)的責任和權利，因為GDPR更多的是側重于原則上的闡述而非具體的規(guī)則，給實施預留了一定的操作空間——而這就需要法律上的咨詢建議，以確保企業(yè)行為在法規(guī)權限內(nèi)落地實施。此外，財務部門提供資源支撐，技術部門保證實際運作，市場部門則將數(shù)據(jù)保護作為一項營銷策略，用以增強用戶好感、提升企業(yè)知名度。值得一提的是，企業(yè)需要保持與外界的良好溝通，讓用戶、監(jiān)管者乃至社會公眾了解你為數(shù)據(jù)保護所做出的努力，構造出一個數(shù)據(jù)守護者的形象，這無疑會有利于企業(yè)的長遠發(fā)展。

第三，設置數(shù)據(jù)保護官（Data Protection Officer, DPO）等職位。GDPR第4章第4節(jié)明確規(guī)定，企業(yè)內(nèi)應指派數(shù)據(jù)保護人員承擔數(shù)據(jù)保護合規(guī)相關職責。在企業(yè)內(nèi)部，要通過組織架構的調(diào)整賦予DPO足夠權限，確保其可以同其他高管進行順利溝通，并能爭取到足夠的資源。在企業(yè)外部，GDPR的規(guī)則會在不斷的實踐中逐漸成熟和完善，形成公認的知識經(jīng)驗，因此DPO需要同外界的同行、監(jiān)管機構、司法系統(tǒng)等保持暢通的交流，以調(diào)整和優(yōu)化企業(yè)的數(shù)據(jù)保護機制。DPO可以是企業(yè)內(nèi)其他管理人員的兼職，如2018年5月東方航空任命總法律顧問郭俊秀為DPO；內(nèi)部缺乏數(shù)據(jù)合規(guī)相關人才的企業(yè)也可以外部聘用DPO，因為GDPR允許一名DPO同時為多個企業(yè)工作。

第四，建立完善的數(shù)據(jù)庫。數(shù)據(jù)庫不僅僅是目錄清單，用以追蹤用戶的數(shù)據(jù)流記錄；它還涵蓋了與數(shù)據(jù)相關的所有信息，包括數(shù)據(jù)來源、處理方式、法律依據(jù)、以及數(shù)據(jù)分享等。以此為基礎，企業(yè)可以建立完整的數(shù)據(jù)庫，它會是未來新興業(yè)務發(fā)展的重要基礎資產(chǎn)。數(shù)據(jù)庫的構建要求企業(yè)擁有一定的信息技術的能力，可以操作海量數(shù)據(jù)，保證數(shù)據(jù)安全，并有能力在規(guī)定時間內(nèi)（72小時）向監(jiān)管者提取需要的信息。

個案分析：Facebook應對GDPR的措施

Facebook因“泄密門”事件遭遇了自公司成立以來最大的“滑鐵盧”，扎克伯格在歐盟委員會上的聽證也在客觀上樹立了GDPR的權威性。Facebook被質(zhì)疑強行索取個人信息，用戶不得不在注銷賬戶和“同意”之間二選一。在面對英國《衛(wèi)報》的采訪時，F(xiàn)acebook首席隱私官（Chief Privacy Officer，CPO）Erin Egan說：“為了滿足GDPR的要求，我們提前做了18個月的充分準備。我們讓政策更加清晰，隱私設置更為便利，還可以讓用戶方便的訪問、下載和刪除他們的信息。在5月25日GDPR正式生效之后，我們還會繼續(xù)完善用戶隱私權。比如建立‘清晰歷史’（Clear History），它可以讓用戶查詢到曾經(jīng)提交過的網(wǎng)站和應用信息、清除這些信息、或者拒絕Facebook繼續(xù)存儲個人信息?！?/p>

在登錄Facebook時，用戶需要在界面跳出的公告中重新選擇數(shù)據(jù)使用權限。為打消公眾疑慮，公告第一句便是：“我們重視對你隱私的保護，不會出售你的數(shù)據(jù)”，并闡明“會通過廣告主，應用開發(fā)者和發(fā)行商提供的數(shù)據(jù)，了解你在Facebook旗下產(chǎn)品站外的活動，據(jù)此為你展示更好的廣告”。這些從合作伙伴那里獲取的數(shù)據(jù)包括“Facebook業(yè)務工具的網(wǎng)站和應用上的活動，例如在線購物或下載應用”以及“與合作伙伴的線下活動，例如在自行車店購買安全帽”。

為體現(xiàn)GDPR的“限制處理權”和“拒絕權”，F(xiàn)acebook闡明“你可以控制是否允許我們使用這些數(shù)據(jù)向你展示更好的廣告”。例如，F(xiàn)acebook在獲取用戶使用數(shù)據(jù)的允諾之后（點擊“接受并繼續(xù)”）會向具備特定特征的用戶展示廣告；如果用戶不愿意分享數(shù)據(jù)，則可以在“數(shù)據(jù)設置”里面進行設置。但是，公告中特別聲明，即便用戶不愿意分享數(shù)據(jù)來推送廣告，F(xiàn)acebook仍會在法律框架內(nèi)有限度的使用用戶數(shù)據(jù)。

為了讓用戶直接控制自己的數(shù)據(jù)，F(xiàn)acebook將用戶登錄過的應用和網(wǎng)站信息放在設置頁面下的“應用和網(wǎng)站”板塊，用戶可以方便地進行清除?！皯煤途W(wǎng)站”板塊包含“使用中”“已過期”和“已移除”等三個部分。在“使用中”，用戶可以查看并更新對方可獲取的信息，并清除不再需要的應用和網(wǎng)站；“已過期”的應用和網(wǎng)站無法再訪問用戶的私人信息，但用戶可以更新訪問權限、編輯信息或者直接清除；“已移除”的應用和網(wǎng)站仍可以訪問用戶之前分享的信息，但無法獲取更多私人信息。對于“使用中”和“已過期”的應用和網(wǎng)站，用戶可以通過簡單的點選進行清除，并通過“查看和編輯”按鈕設置信息、應用可見度以及能否向用戶發(fā)送通知等功能?！耙岩瞥钡膽煤途W(wǎng)站只能通過“查看詳情”了解移除日期、用戶編號以及數(shù)據(jù)訪問權限等信息。有趣的是，F(xiàn)acebook以防止陌生人訪問用戶的照片和視頻為由，在公告中順便推銷了自己的人臉識別技術。如果選擇打開人臉識別設置，F(xiàn)acebook會“把它與其他照片和視頻的分析進行對比，從而辨別這些照片或視頻中是否有你”。

此外，F(xiàn)acebook在頁面下方新設了“廣告選項”和“隱私權政策”。在“廣告選項”里，F(xiàn)acebook提供了多種控制向用戶推送廣告的方式，如選擇退訂所有相關公司的廣告，并提供了如何在瀏覽器和設備中退訂廣告的方法。“隱私權政策”展現(xiàn)了Facebook收集的用戶信息的類型，包括用戶和他人執(zhí)行的操作及提供的信息、設備信息以及來自合作伙伴（廣告主、應用開發(fā)者以及發(fā)行商）的信息。在收集信息后，F(xiàn)acebook會提供、定制并優(yōu)化產(chǎn)品，提供成效衡量、分析和其他商業(yè)服務，加強用戶安全、數(shù)據(jù)安全和產(chǎn)品信譽，為社會公益目的進行研究和創(chuàng)新。不過，用戶有權拒絕將數(shù)據(jù)用于企業(yè)利益或公益的目的。

針對GDPR的“刪除權（被遺忘權）”，F(xiàn)acebook規(guī)定會對用戶數(shù)據(jù)進行存儲，但在不需要該數(shù)據(jù)或者賬戶注銷時才能刪除。例如，用戶可在搜索后刪除歷史記錄，但該搜索的日志要在六個月后才能真正清除；用戶提交的用于賬戶驗證的身份證件副本，要在30天后才能清除。此外，為回應GDPR的要求，F(xiàn)acebook還提供了負責用戶信息的數(shù)據(jù)管控方Facebook Ireland的具體聯(lián)系地址，并聲明用戶有權向其及主要監(jiān)管者“愛爾蘭數(shù)據(jù)保護專員”或當?shù)乇O(jiān)管者提起投訴。

在英國《衛(wèi)報》的報道中，美國數(shù)字民主研究中心的創(chuàng)始人Jeffrey Chester將GDPR的實施稱為“不可思議的突破”，因為它改變了互聯(lián)網(wǎng)巨頭與用戶之間的權力平衡。對于企業(yè)而言，不遵守GDPR規(guī)則可能會在無意間面臨聲譽受損、高額罰款甚至是刑事責任，從而在市場競爭處于劣勢地位；而因應時勢，借由數(shù)據(jù)保護新規(guī)則開辟新的商業(yè)機會和利潤空間的企業(yè)，則可以創(chuàng)造出更高的價值，轉(zhuǎn)危為機，實現(xiàn)企業(yè)的新發(fā)展。

（作者邵慶龍為深圳大學博士后，經(jīng)濟學博士）