作為歐盟1995數(shù)據(jù)保護(hù)指令（The European 1995 Data Protection Directive, Dir.95/46/EC）的替代，2018年5月25日生效的《一般數(shù)據(jù)保護(hù)條例》（或《通用數(shù)據(jù)保護(hù)條例》，General Data Protection Regulation，簡(jiǎn)稱GDPR）具有更大的威力：對(duì)于用戶而言，他們有權(quán)訪問(wèn)、改正、移植和刪除其數(shù)據(jù)；對(duì)于監(jiān)管者而言，他們第一次擁有了在歐盟范圍內(nèi)統(tǒng)一行動(dòng)的權(quán)力，并有權(quán)對(duì)違法企業(yè)處以高達(dá)2000萬(wàn)歐元或者全球營(yíng)收4%（兩者取其大）的巨額罰款。該法規(guī)將影響歐盟內(nèi)所有獲取、存儲(chǔ)或處理個(gè)人數(shù)據(jù)的企業(yè)，包括設(shè)立地在歐盟之外但獲取過(guò)歐盟公民數(shù)據(jù)信息的企業(yè)。

企業(yè)應(yīng)對(duì)GDPR的措施

在實(shí)踐中，企業(yè)往往缺乏對(duì)于GDPR充分的理解：有些僅把它當(dāng)作原有數(shù)據(jù)條例的加強(qiáng)版；另一些則把它看作是企業(yè)的負(fù)擔(dān)，認(rèn)為很難滿足所有的要求。這兩種觀點(diǎn)都有失偏頗，應(yīng)該從更長(zhǎng)遠(yuǎn)的角度去認(rèn)識(shí)和觀察。中國(guó)涉及歐洲業(yè)務(wù)的諸多企業(yè)，已經(jīng)被自動(dòng)納入到GDPR的管轄范圍，應(yīng)提前做好預(yù)案。這樣，一方面可以有效規(guī)避潛在的高額懲罰；另一方面還可以抓住互聯(lián)網(wǎng)轉(zhuǎn)變的機(jī)遇，在新產(chǎn)業(yè)形成過(guò)程中占據(jù)有利地位，尋找新的利潤(rùn)增長(zhǎng)點(diǎn)。

第一，凝聚共識(shí)，應(yīng)對(duì)風(fēng)險(xiǎn)。企業(yè)首先需要在內(nèi)部進(jìn)行動(dòng)員，貫徹針對(duì)GDPR進(jìn)行改革的必要性和重要性，在思想上凝聚共識(shí)。這是因?yàn)楦母飼?huì)增加企業(yè)成本、降低利潤(rùn)、甚至需要對(duì)企業(yè)既定的戰(zhàn)略和計(jì)劃做出調(diào)整——而利益格局的改變必然會(huì)招致不同的聲音。為了將風(fēng)險(xiǎn)最小化，企業(yè)在前期規(guī)劃時(shí)一定要做好評(píng)估：清點(diǎn)所有的應(yīng)用程序，明確企業(yè)內(nèi)部數(shù)據(jù)的來(lái)源、儲(chǔ)存和處理方式，指派人員承擔(dān)相關(guān)職責(zé)，預(yù)測(cè)可能會(huì)帶來(lái)的危害并提前制訂應(yīng)對(duì)方案。值得一提的是，員工個(gè)人的移動(dòng)辦公設(shè)備也存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，因?yàn)檫@些設(shè)備接觸到了公司的數(shù)據(jù)，可能會(huì)被備份，所以也應(yīng)該納入定期排查的范圍。更重要的是，企業(yè)要善于在“?！敝袑ぁ皺C(jī)”，明確如何利用新規(guī)則挖掘商機(jī)。例如良好的數(shù)據(jù)保護(hù)會(huì)帶來(lái)口碑和聲譽(yù)、吸引潛在用戶；公司數(shù)據(jù)利用能力的提升也為未來(lái)新業(yè)務(wù)的發(fā)展構(gòu)筑了基礎(chǔ)。數(shù)據(jù)管理公司Hanse Orga Group的首席戰(zhàn)略官Christoph Dubies認(rèn)為“致力于保護(hù)用戶數(shù)據(jù)的企業(yè)可以預(yù)期得到良好的市場(chǎng)反應(yīng)，它可以作為營(yíng)銷策略提升品牌知名度并獲取用戶的信任?！?/p>

第二，在企業(yè)內(nèi)部構(gòu)建數(shù)據(jù)處理機(jī)制。一個(gè)完善的數(shù)據(jù)處理機(jī)制包括從數(shù)據(jù)訪問(wèn)、存儲(chǔ)、修正、乃至刪除的整個(gè)過(guò)程，它擁有可以按照外部用戶或監(jiān)管機(jī)構(gòu)的要求進(jìn)行提取展示的能力；在特性上，應(yīng)該兼顧全面性和專業(yè)性。GDPR影響了企業(yè)的整個(gè)運(yùn)作流程，客觀上要求企業(yè)在內(nèi)部建立一個(gè)跨部門的組織，應(yīng)該包括法律、財(cái)務(wù)、技術(shù)、市場(chǎng)等所有涉及用戶個(gè)人信息的部門。比如，企業(yè)的法律部門首先需要厘清GDPR賦予企業(yè)的責(zé)任和權(quán)利，因?yàn)镚DPR更多的是側(cè)重于原則上的闡述而非具體的規(guī)則，給實(shí)施預(yù)留了一定的操作空間——而這就需要法律上的咨詢建議，以確保企業(yè)行為在法規(guī)權(quán)限內(nèi)落地實(shí)施。此外，財(cái)務(wù)部門提供資源支撐，技術(shù)部門保證實(shí)際運(yùn)作，市場(chǎng)部門則將數(shù)據(jù)保護(hù)作為一項(xiàng)營(yíng)銷策略，用以增強(qiáng)用戶好感、提升企業(yè)知名度。值得一提的是，企業(yè)需要保持與外界的良好溝通，讓用戶、監(jiān)管者乃至社會(huì)公眾了解你為數(shù)據(jù)保護(hù)所做出的努力，構(gòu)造出一個(gè)數(shù)據(jù)守護(hù)者的形象，這無(wú)疑會(huì)有利于企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

第三，設(shè)置數(shù)據(jù)保護(hù)官（Data Protection Officer, DPO）等職位。GDPR第4章第4節(jié)明確規(guī)定，企業(yè)內(nèi)應(yīng)指派數(shù)據(jù)保護(hù)人員承擔(dān)數(shù)據(jù)保護(hù)合規(guī)相關(guān)職責(zé)。在企業(yè)內(nèi)部，要通過(guò)組織架構(gòu)的調(diào)整賦予DPO足夠權(quán)限，確保其可以同其他高管進(jìn)行順利溝通，并能爭(zhēng)取到足夠的資源。在企業(yè)外部，GDPR的規(guī)則會(huì)在不斷的實(shí)踐中逐漸成熟和完善，形成公認(rèn)的知識(shí)經(jīng)驗(yàn)，因此DPO需要同外界的同行、監(jiān)管機(jī)構(gòu)、司法系統(tǒng)等保持暢通的交流，以調(diào)整和優(yōu)化企業(yè)的數(shù)據(jù)保護(hù)機(jī)制。DPO可以是企業(yè)內(nèi)其他管理人員的兼職，如2018年5月東方航空任命總法律顧問(wèn)郭俊秀為DPO；內(nèi)部缺乏數(shù)據(jù)合規(guī)相關(guān)人才的企業(yè)也可以外部聘用DPO，因?yàn)镚DPR允許一名DPO同時(shí)為多個(gè)企業(yè)工作。

第四，建立完善的數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)不僅僅是目錄清單，用以追蹤用戶的數(shù)據(jù)流記錄；它還涵蓋了與數(shù)據(jù)相關(guān)的所有信息，包括數(shù)據(jù)來(lái)源、處理方式、法律依據(jù)、以及數(shù)據(jù)分享等。以此為基礎(chǔ)，企業(yè)可以建立完整的數(shù)據(jù)庫(kù)，它會(huì)是未來(lái)新興業(yè)務(wù)發(fā)展的重要基礎(chǔ)資產(chǎn)。數(shù)據(jù)庫(kù)的構(gòu)建要求企業(yè)擁有一定的信息技術(shù)的能力，可以操作海量數(shù)據(jù)，保證數(shù)據(jù)安全，并有能力在規(guī)定時(shí)間內(nèi)（72小時(shí)）向監(jiān)管者提取需要的信息。

個(gè)案分析：Facebook應(yīng)對(duì)GDPR的措施

Facebook因“泄密門”事件遭遇了自公司成立以來(lái)最大的“滑鐵盧”，扎克伯格在歐盟委員會(huì)上的聽(tīng)證也在客觀上樹立了GDPR的權(quán)威性。Facebook被質(zhì)疑強(qiáng)行索取個(gè)人信息，用戶不得不在注銷賬戶和“同意”之間二選一。在面對(duì)英國(guó)《衛(wèi)報(bào)》的采訪時(shí)，F(xiàn)acebook首席隱私官（Chief Privacy Officer，CPO）Erin Egan說(shuō)：“為了滿足GDPR的要求，我們提前做了18個(gè)月的充分準(zhǔn)備。我們讓政策更加清晰，隱私設(shè)置更為便利，還可以讓用戶方便的訪問(wèn)、下載和刪除他們的信息。在5月25日GDPR正式生效之后，我們還會(huì)繼續(xù)完善用戶隱私權(quán)。比如建立‘清晰歷史’（Clear History），它可以讓用戶查詢到曾經(jīng)提交過(guò)的網(wǎng)站和應(yīng)用信息、清除這些信息、或者拒絕Facebook繼續(xù)存儲(chǔ)個(gè)人信息?！?/p>

在登錄Facebook時(shí)，用戶需要在界面跳出的公告中重新選擇數(shù)據(jù)使用權(quán)限。為打消公眾疑慮，公告第一句便是：“我們重視對(duì)你隱私的保護(hù)，不會(huì)出售你的數(shù)據(jù)”，并闡明“會(huì)通過(guò)廣告主，應(yīng)用開發(fā)者和發(fā)行商提供的數(shù)據(jù)，了解你在Facebook旗下產(chǎn)品站外的活動(dòng)，據(jù)此為你展示更好的廣告”。這些從合作伙伴那里獲取的數(shù)據(jù)包括“Facebook業(yè)務(wù)工具的網(wǎng)站和應(yīng)用上的活動(dòng)，例如在線購(gòu)物或下載應(yīng)用”以及“與合作伙伴的線下活動(dòng)，例如在自行車店購(gòu)買安全帽”。

為體現(xiàn)GDPR的“限制處理權(quán)”和“拒絕權(quán)”，F(xiàn)acebook闡明“你可以控制是否允許我們使用這些數(shù)據(jù)向你展示更好的廣告”。例如，F(xiàn)acebook在獲取用戶使用數(shù)據(jù)的允諾之后（點(diǎn)擊“接受并繼續(xù)”）會(huì)向具備特定特征的用戶展示廣告；如果用戶不愿意分享數(shù)據(jù)，則可以在“數(shù)據(jù)設(shè)置”里面進(jìn)行設(shè)置。但是，公告中特別聲明，即便用戶不愿意分享數(shù)據(jù)來(lái)推送廣告，F(xiàn)acebook仍會(huì)在法律框架內(nèi)有限度的使用用戶數(shù)據(jù)。

為了讓用戶直接控制自己的數(shù)據(jù)，F(xiàn)acebook將用戶登錄過(guò)的應(yīng)用和網(wǎng)站信息放在設(shè)置頁(yè)面下的“應(yīng)用和網(wǎng)站”板塊，用戶可以方便地進(jìn)行清除?！皯?yīng)用和網(wǎng)站”板塊包含“使用中”“已過(guò)期”和“已移除”等三個(gè)部分。在“使用中”，用戶可以查看并更新對(duì)方可獲取的信息，并清除不再需要的應(yīng)用和網(wǎng)站；“已過(guò)期”的應(yīng)用和網(wǎng)站無(wú)法再訪問(wèn)用戶的私人信息，但用戶可以更新訪問(wèn)權(quán)限、編輯信息或者直接清除；“已移除”的應(yīng)用和網(wǎng)站仍可以訪問(wèn)用戶之前分享的信息，但無(wú)法獲取更多私人信息。對(duì)于“使用中”和“已過(guò)期”的應(yīng)用和網(wǎng)站，用戶可以通過(guò)簡(jiǎn)單的點(diǎn)選進(jìn)行清除，并通過(guò)“查看和編輯”按鈕設(shè)置信息、應(yīng)用可見(jiàn)度以及能否向用戶發(fā)送通知等功能?！耙岩瞥钡膽?yīng)用和網(wǎng)站只能通過(guò)“查看詳情”了解移除日期、用戶編號(hào)以及數(shù)據(jù)訪問(wèn)權(quán)限等信息。有趣的是，F(xiàn)acebook以防止陌生人訪問(wèn)用戶的照片和視頻為由，在公告中順便推銷了自己的人臉識(shí)別技術(shù)。如果選擇打開人臉識(shí)別設(shè)置，F(xiàn)acebook會(huì)“把它與其他照片和視頻的分析進(jìn)行對(duì)比，從而辨別這些照片或視頻中是否有你”。

此外，F(xiàn)acebook在頁(yè)面下方新設(shè)了“廣告選項(xiàng)”和“隱私權(quán)政策”。在“廣告選項(xiàng)”里，F(xiàn)acebook提供了多種控制向用戶推送廣告的方式，如選擇退訂所有相關(guān)公司的廣告，并提供了如何在瀏覽器和設(shè)備中退訂廣告的方法。“隱私權(quán)政策”展現(xiàn)了Facebook收集的用戶信息的類型，包括用戶和他人執(zhí)行的操作及提供的信息、設(shè)備信息以及來(lái)自合作伙伴（廣告主、應(yīng)用開發(fā)者以及發(fā)行商）的信息。在收集信息后，F(xiàn)acebook會(huì)提供、定制并優(yōu)化產(chǎn)品，提供成效衡量、分析和其他商業(yè)服務(wù)，加強(qiáng)用戶安全、數(shù)據(jù)安全和產(chǎn)品信譽(yù)，為社會(huì)公益目的進(jìn)行研究和創(chuàng)新。不過(guò)，用戶有權(quán)拒絕將數(shù)據(jù)用于企業(yè)利益或公益的目的。

針對(duì)GDPR的“刪除權(quán)（被遺忘權(quán)）”，F(xiàn)acebook規(guī)定會(huì)對(duì)用戶數(shù)據(jù)進(jìn)行存儲(chǔ)，但在不需要該數(shù)據(jù)或者賬戶注銷時(shí)才能刪除。例如，用戶可在搜索后刪除歷史記錄，但該搜索的日志要在六個(gè)月后才能真正清除；用戶提交的用于賬戶驗(yàn)證的身份證件副本，要在30天后才能清除。此外，為回應(yīng)GDPR的要求，F(xiàn)acebook還提供了負(fù)責(zé)用戶信息的數(shù)據(jù)管控方Facebook Ireland的具體聯(lián)系地址，并聲明用戶有權(quán)向其及主要監(jiān)管者“愛(ài)爾蘭數(shù)據(jù)保護(hù)專員”或當(dāng)?shù)乇O(jiān)管者提起投訴。

在英國(guó)《衛(wèi)報(bào)》的報(bào)道中，美國(guó)數(shù)字民主研究中心的創(chuàng)始人Jeffrey Chester將GDPR的實(shí)施稱為“不可思議的突破”，因?yàn)樗淖兞嘶ヂ?lián)網(wǎng)巨頭與用戶之間的權(quán)力平衡。對(duì)于企業(yè)而言，不遵守GDPR規(guī)則可能會(huì)在無(wú)意間面臨聲譽(yù)受損、高額罰款甚至是刑事責(zé)任，從而在市場(chǎng)競(jìng)爭(zhēng)處于劣勢(shì)地位；而因應(yīng)時(shí)勢(shì)，借由數(shù)據(jù)保護(hù)新規(guī)則開辟新的商業(yè)機(jī)會(huì)和利潤(rùn)空間的企業(yè)，則可以創(chuàng)造出更高的價(jià)值，轉(zhuǎn)危為機(jī)，實(shí)現(xiàn)企業(yè)的新發(fā)展。

（作者邵慶龍為深圳大學(xué)博士后，經(jīng)濟(jì)學(xué)博士）