點擊上方“CSDN”，選擇關注

關鍵時刻，第一時間送達！

最近，筆者在瀏覽 Techmeme、HackerNews 甚至國內等主流門戶時，看到了許多關於 GDPR 的內容。就連打開微信公眾號的後臺，居然都收到了微信團隊推送的《關於歐盟數據保護通用條例（GDPR）的通知》。

那麼，這個滿世界刷屏的“GDPR”是什麼呢？

根據公眾號後臺所推送的這則消息顯示：歐盟數據保護通用條例（GDPR）於本月 25 日生效，微信公眾平臺為遵守 GDPR 的相關要求，當歐盟地區微信用戶撤銷授權該公眾號獲取其個人信息時，會以郵件形式告知公眾號的註冊郵箱刪除歐盟用戶的信息。而且，如果公眾號運營者在自己的服務器中存儲了以上用戶信息，需要在三週內，從自己的服務器中刪除該用戶相關的所有信息，包括用戶的暱稱、頭像、openid 以及與該用戶關聯的服務信息。

也就是說，在微信用戶取消關注公眾號或其自行註銷微信個人帳號後，公眾號運營者及微信官方都是無權保留任何用戶數據的——當然，這目前只限於所有歐盟地區註冊的微信用戶。

因此，GDPR 之於微信，就是要麼遵守，要麼放棄歐洲市場。為什麼有如此之說？因為本次的新條例波及範圍之廣是前所未及的。對於企業來說，無論你是不是把服務器放在了歐盟裡，只要你為歐盟範圍之內的客戶提供了服務，就在 GDPR 的管控範圍內。

那這個所謂的歐盟的 GDPR 條例具體是什麼？用戶能獲得哪些好處？對於企業來說又有怎樣強的殺傷力？我們來細細研究下。

歐盟出臺最嚴 GDPR 條例，懲戒強度全面升級

近日，歐洲新隱私法規《通用數據保護條例》（General Data Protection Regulation，簡稱 GDPR）正式推出，並在本月 25 日即時生效。

作為互聯網時代個人數據保護的典範，GDPR 能夠加強現有的個人隱私權利，同時也讓消費者能很好地控制數據，並且其隱私權也能得到更嚴格的保護。此外，這還將迫使企業更加註重處理客戶數據的方式。不過，過於繁瑣的新規定很有可能還會加大企業尋找客戶的難度。

歐盟最新的 GDPR 取代了 1995 年的舊規。該規定於 2016 年 4 月 14 日出臺，定於 2018 年 5 月 25 日正式投入實施，面向所有收集、處理、儲存、管理歐盟公民個人數據的企業，限制了這些企業收集與處理用戶個人信息的權限，旨在將個人信息的最終控制權交還給用戶本人。

毋庸置疑，本次新條例預示著一個“最嚴監管”時代的到來：對於違反隱私法的企業，歐盟監管機構將可以獲取該企業全年收入的 4% 作為罰金，或是直接處以 2000 萬歐元（約 2348 萬美元）的罰款，具體罰金數額取決於這兩個數字哪個更高——這遠遠超過之前 95 年舊規中幾十萬歐元的罰金。

“大勢所趨”下，對於想要投身全球市場的互聯網企業來說，全面理解 GDPR 就變得意義非凡。“蓬勃發展”的中國企業常常會因為國內市場的寬容氛圍，而忽視合規經營的重要性、違規的風險性。

下面，我們就來解讀下 GDPR 裡涉及互聯網數字化企業經營的內容：哪些行為是違規的，哪些動作存在較大風險。

• 取得用戶批准，保護消費者權益

首先，必須事先徵得數據主體的同意，而且"同意"必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。

比如國內企業常用的：以小字號淡顏色甚至缺省方式獲取用戶的授權，通過冗長晦澀的隱私政策來獲取用戶同意，或者讓用戶在簽訂業務協議時通過"打勾"作出一攬子授權......都可能被認定為違規。

其次，GDPR 賦予數據主體可以隨時撤回同意的權利，用戶可隨時查看、修改、移動、刪除數據。而且數據控制者應當明確告知用戶現有該權利，併為用戶方便地行使該權利提供便利。用戶提出撤回之後，就意味著用戶不再"同意"，企業再使用這些數據就是違規的了。企業經客戶同意後獲取了數據，但用戶後悔了，提出刪除要求，企業就要從浩如煙海的數據裡找到相關數據（包括原始數據以及基於這些數據處理之後的信息）並刪除。

• 數據供應鏈各方責任共擔

過去，收集和使用數據的數據擁有者需要對數據保護負責。如今，史無前例的，數據處理者（如提供數據處理服務的雲服務提供商等）也將需要直接承擔合規風險和義務。在數據保護上，數據供應鏈自上而下的各方都會被問責。網絡公司必須與合作伙伴們明確各自的責任和義務。

而且無論是將數據提供給了第三方，還是把數據作為企業對外服務的一部分，都必須重新獲取數據主體的授權和同意。不僅如此，如果數據已經傳播出去，或者給第三方使用了，這個企業還有責任通知數據的使用者刪除。

互聯網的世界如此開放，要確定並通知所有的第三方停止利用並刪除，這幾乎是不可能完成的任務。然而這確確實實是 GDPR 的條款。

• 對於兒童的特殊保護

還有，在處理兒童個人數據時，必須獲得其父母或者其他監護人的同意。這意味著如果和企業打交道的是熊孩子，企業就得先識別出來他是兒童，再從父母或者監護人那裡或者正式的確認證據，才能進行下一步操作。

• 對企業處理和使用數據提出了苛刻的要求

首先，數據控制者必須以清楚、簡單、明瞭的方式向個人說明，其個人數據是如何被收集處理的。這些信息不僅包括數據控制者的身份和聯繫方式、數據的接收者或數據接收者的類型、還要包括個人數據的保留週期以及採取該週期的理由。如果涉及自動化的數據處理，包括數據畫像等活動，還需要提供基本的算法邏輯以及針對個人的運算結果。重點：那些拿客戶數據打標籤做畫像的，要提供基本算法邏輯和運算結果！

其次，個人有權獲得其提供給數據控制者的相關個人數據，且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。如果技術可行，數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。

• 條例適用範圍增大

資料保護指令（1995）的適用範圍為所有歐盟境內運營的企業和所有使用位於歐盟內的設備處理數據的企業；而 GDPR（2016）的適用範圍擴大為所有處理歐盟成員國公民個人信息的企業，無論公民現居住地是否在歐盟境內。

我們可以從兩個維度來看 GDPR 的實施範圍。首先，是成立地在歐盟的機構必須遵循 GDPR，無論數據處理的活動是否發生在歐盟境內。其次，成立地在歐盟以外的機構，只要其在提供產品或者服務的過程中，無論是收費還是免費，只要處理歐盟境內個體的個人數據，就必須遵循 GDPR。尤其是後面這條規則，意味著無論你是不是把服務器放在了歐盟裡，只要你為歐盟範圍之內的客戶提供服務，就在 GDPR 的管控範圍內。

種種嚴苛的要求下，相信沒有企業願意鋌而走險。或許一著不慎滿盤皆輸！

國內外開展了大規模的數據隱私保衛戰

據美國 CNET 報道，受 GDPR 的影響，Facebook、微軟、Twitter、Apple 等公司不僅修改了其在歐盟境內對於用戶個人數據的處理方式，還面對歐盟境外的公民也開放了更多對於個人信息的權利。

雖然在歐盟境外 GDPR 並無約束力，但是這些舉措無疑說明了該歐盟新規對於主流企業處理用戶信息的影響力之大。

事實上，在劍橋分析數據洩露的醜聞爆發後，全球都進入了隱私保護的緊張狀態，而數據保護一直是互聯網時代的重中之重。除去此次 GDPR 的推出，國內外的社交媒體企業們都曾在個人信息的保護上、處理方式的合法性上苦下功夫——從軍工到科技行業，再到各行各業。

• 美國稜鏡門事件

2013 年 6 月，前中情局（CIA）職員愛德華·斯諾登將兩份絕密資料交給英國《衛報》和美國《華盛頓郵報》。

《衛報》稱，美國國家安全局有一項代號為“稜鏡”的秘密項目，要求電信巨頭威瑞森公司必須每天上交數百萬用戶的通話記錄。《華盛頓郵報》也發佈稱，過去 6 年間，美國國家安全局和聯邦調查局通過進入微軟、谷歌、蘋果、雅虎等九大網絡巨頭的服務器，監控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。

斯諾登提供的文件表明，世界上的大部分電子通訊是通過美國的，當被跟蹤的外國對象的電子數據進入或通過美國時，美國的情報分析部門就有了截獲這些通訊數據的便利。

“稜鏡門”事件令美國政府十分尷尬，也引起了美國國內關於維護國家安全和公民權利之間關係的激烈爭論。它暴露出美國以犧牲公民隱私權為代價，來收集與恐怖主義有關的數據。

“稜鏡門”事件也使國際社會認識到，為了限制類似美國這樣的行動，必須建立起網絡空間方面的國際規範，雖然這一目標仍然十分遙遠，但各國必須採取切實步驟來朝著這個方向努力。

• 科技公司簽署“數字日內瓦協議”，保證不在網絡戰爭中協助政府

上個月，以微軟和 Facebook 為首的 30 多家高科技公司宣佈了一套原則，各大公司承諾會在任何國家遭受網絡攻擊時予以支持，無論攻擊的動機是“犯罪還是地緣政治”。這表明了硅谷正在努力從政府的網絡戰爭中脫身，更加註重保護用戶的隱私安全。

圖片：微軟總裁布拉德·史密斯曾在幕後努力創建“網絡安全技術協議”，他說：“這個問題演變得更加嚴重了，我認為我們需要從過去幾年中吸取經驗和教訓，加強我們之間的合作。”（來源：Getty Images）

此次宣言的推動力主要來自史密斯，多年來他一直認為世界需要制定“數字日內瓦協議”，就像日內瓦協議制定了物理世界中的戰爭規範一樣，“數字日內瓦協議”可以制定網絡行為規範。雖然幾年前通過聯合國組織的專家組制定了網絡行為的基本規範，但是之後此次行動就陷入了停滯。

史密斯表示，美國公司應該邁出第一步，這些公司常常在網絡攻擊客戶時充當著“第一個響應者”。他在接受採訪時說：“這個問題演變得更加嚴重了，我認為我們需要從過去幾年中吸取經驗和教訓，加強我們之間的合作。我們需要建立一種原則來對待這個問題，而且如果我們希望政府這麼做的話，那麼我們自己必須首先開始制定一些原則。”

然而，並非所有的政府都願意接受“網絡安全技術協議”，部分原因是協議支持的原則可能觸及政府秘密發展的網絡武器。

俄羅斯的情報機構通過俄羅斯公司 Kaspersky 出售的病毒防護程序，獲取了美國國家安全局一些關於自己的網絡武器的秘密。該公司表示對入侵產品一無所知，但美國官員沒有相信該公司的證詞，並且已經禁止美國政府系統使用 Kaspersky 的產品。Kaspersky 也沒有簽署此次的協議。

這項技術協議鄭重宣告，31 家簽名的公司“將在開發、設計、分銷和使用期間，保護技術產品和服務免於遭受篡改和利用。”簽名的公司包括 Oracle、賽門鐵克、FireEye 和惠普，還有芬蘭公司諾基亞和西班牙公司 Telefónica。

微軟官方說，他們已經向特朗普政府簡單介紹了新協議，並沒有聽到任何反對意見。

• 國內各大廠商紛紛修改用戶協議，保障用戶隱私

國外尚且如此，國內自然不甘落後。

去年 7 月份，中央網信辦等四部門就聯合開展了隱私條款專項工作，對微信、微博、淘寶、高德等十大常用網絡產品的隱私政策進行評審。評審期間，十大 APP 均更新了隱私政策，大多以彈窗的形式告知用戶。

今年初，賬號註銷難問題又引發了熱議。對此，工信部回應稱，明確電信業務經營者、互聯網信息服務提供者應當嚴格遵守國家法律法規要求，在用戶終止使用服務後，為用戶提供註銷賬號的服務。

因此近日來，有很多國內企業都修改了用戶協議，以更好地保障用戶數據和隱私安全，包括熱門的抖音、快手，還有知乎、微信等等。

今年以來，抖音、快手等短視頻 APP 成為最火爆的手機應用之一，日活躍用戶數量均超過 1 億。此前有媒體報道稱，快手客服明確表示不能註銷，抖音 APP 內沒有註銷按鈕、用戶協議中也沒有註銷內容。近期，上述兩款應用在用戶協議中悄然添加註銷條款，允許用戶提交註銷請求。

不過，知乎的最新用戶協議也引起了一波吐槽熱潮。通過隱私政策的要點簡介和 11 個章節條款，知乎逐一告知了將如何處理用戶的個人信息，並申明瞭保護用戶隱私的承諾。

收集個人信息，將具體收集的內容告訴用戶，本應是一件好事，但卻引發了不小的爭議和質疑：很多用戶吐槽，不同意隱私政策就無法繼續使用知乎，用戶甚至沒有說“不”的權利。

按照知乎的說法，收集這些數據是為了通過附加功能提升用戶體驗，主要包括：消息設置、郵件設置、推送通知設置、知乎實驗室等。並且其保證，“目前，除法律法規、法律程序、訴訟或政府主管部門強制性要求外，知乎不會主動公開披露您的個人信息，如果存在其他需要公開披露個人信息的情形，我們會徵得您的明示同意。”但是，同樣提到由於“技術的限制”以及“可能存在的各種惡意手段”，知乎“不可能始終保持信息百分百的安全。”

對於這種“強制同意”操作，網友們表示也是不太懂。

此外，很多用戶發現騰訊 QQ 也開始支持賬號註銷了，但該功能上線不久很快就下線了。對此騰訊官方回應，將優化體驗後再次上線。

總而言之，國內外的種種舉措不一而足。

對隱私“不敏感”的中國人又當如何應對？

無論是 GDPR 還是美國的“數字日內瓦協議”、國內廠商們的跟風舉動，都在表明，科技巨頭們已經明顯意識到數據保護的重要性。

據第一財經報道，埃森哲大中華區首席創新官劉東即認為：

“（這次的）GDPR 是一個很好的契機，讓我們的企業審視自己的隱私保護政策，倒逼我們去努力合規。拒絕或者存有僥倖心理都是不對的。

這一過程中需要數據公司的服務和技術上的支持，會增加客戶成本，但同時也能令企業的價值得到提升。”

所以，GDPR 必將對中國互聯網帶來翻天覆地的衝擊——“最直面衝擊的，就是基於蒐集個人信息和隱私驅動的整個中國互聯網產業主體收入模式將產生重大影響，甚至是顛覆性影響。” 互聯網實驗室創始人方興東表示。

目前，GDPR 影響的還只是歐盟區域的用戶，但是對於我們這些李彥宏口中的“以隱私換便利性”的人來說，如何去保護自己的隱私則顯得更加重要。市場環境已經打開，下面就要求我們的企業從技術上、態度上認真應對了。

參考鏈接：

[1]http://www.tmtpost.com/3254146.html

[2]http://www.sohu.com/a/233241288_481741

[3]https://www.sohu.com/a/230411395_563950

[4]http://fortune.com/2018/05/25/google-facebook-gdpr-forced-consent/

[5]https://www.nytimes.com/2018/04/17/us/politics/tech-companies-cybersecurity-accord.html，譯者：彎月，審校：言則。

徵稿啦！

CSDN 公眾號秉持著「與千萬技術人共成長」理念，不僅以「極客頭條」、「暢言」欄目在第一時間以技術人的獨特視角描述技術人關心的行業焦點事件，更有「技術頭條」專欄，深度解讀行業內的熱門技術與場景應用，讓所有的開發者緊跟技術潮流，保持警醒的技術嗅覺，對行業趨勢、技術有更為全面的認知。

如果你有優質的文章，或是行業熱點事件、技術趨勢的真知灼見，或是深度的應用實踐、場景方案等的新見解，歡迎聯繫 CSDN 投稿，聯繫方式：微信（guorui_1118，請備註投稿+姓名+公司職位），郵箱（[email protected]）。