本刊记者|王熙

经过近四年的讨论以及两年的过渡期，欧盟《通用数据保护条例》（GDPR）近日在欧盟全体成员国正式生效，该条例被视为“史上最严”数据监管条例。由于拥有超重罚款和最广泛管辖权，全球各行各业都不得不重新审视自己的数据处理政策和行为，以避免高额的罚款。

GDPR涉及广泛、处罚重

GDPR的起源可以追溯到38年前。1980年，由20个欧洲经济共同体成员国、美国和加拿大等国构成的的经济合作与发展组织(OECD)便提出了一份关于“保护隐私和个人数据跨境流动”的指导方针，其中提出了“知会用户、目的明确、用户同意、信息安全、明确收集方、用户查验、追责渠道”七个关键词，对企业使用、收集和保存用户数据的目的、步骤和数据的跨境流动做出了基本限制。虽然如此，由于该法案对于其成员国没有约束力，成员国间的隐私保护条例并未得到实际统一。

随后时间来到了2012年1月，欧盟委员会宣布即将通过一个全新的“通用数据保护条例”取代之前各欧盟成员国根据“资料保护指令”的相关立法，并称为欧盟各国间的唯一、统一的数据保护条例。其主要目的还包括优化数据流向欧盟外国家的管理办法，以及增强用户对于其个人信息的控制。经过4年酝酿，GDPR最终于2016年被通过，并设置2年缓冲期，于今年5月25日正式投入实施。

而最终落地的GDPR大幅拓展了对于“个人数据”的定义，除了姓名、手机号、用户名、IP地址、定位地址这些常规信息外，还包括生物信息、健康数据、政治观点等敏感信息。

需要强调的是，GDPR不仅针对注册地在欧盟的企业，甚至于非欧盟的企业，只要提供产品或服务的过程中涉及欧盟境内个体数据，便必须遵循GDPR。而一旦企业企业违规记录用户个人数据、违规后未及时通知监管人员、存在数据安全问题、违反隐私影响评估等相关条例，最高可获1000万欧元或其全球年营业额2%的罚款；若企业违规内容涉及未经用户同意使用数据、侵犯用户人权、或非法跨境流通数据，最高可获2000万欧元或其全球年营业额4%的罚款（两者取较高值）。

企业应对迅速 长期影响更良好

据外媒报道，GDPR一经落地，包括Facebook、微软、苹果、谷歌等在内的公司不仅修改了其在欧盟境内对于用户个人数据的处理方式，还面对欧盟境外的公民也开放了更多对于个人信息的权利。同时，许多在欧盟境内运营的中国公司（例如阿里巴巴、腾讯、小米、国航等）也纷纷于5月25日前修改了隐私政策，以保证符合GDPR。比如，在腾讯QQ国际版官网，为了符合GDPR的要求就做出了修改，其最新版本中的隐私政策详细说明了所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点、信息保留时长等内容。

虽然目前看来，GDPR给全球很多企业带来了一阵“隐私保护”恐慌，但是从长久影响来看，是推动数据产业发展和个人信息安全之间能够激励相容的催化剂。

在5月24日召开的“欧盟GDPR的影响及应对”论坛上，中国社会科学院法学研究所研究员周汉华认为，要避免片面认识GDPR甚至曲解。他表示，GDPR追求发展和保护之间的平衡，其核心是“激励相容”原则。互联网企业的核心资产是数据，所以对数据控制者来说，给用户提供差异化、个性化的精准服务能够激励他们使用数据。这个时候，数据就是资源，数据就是金钱。但是，企业往往缺乏同等程度的保护激励，这是数据本身的特性使然。这样一来，就产生了激励不相容。

而GDPR的实施，一方面既保护个人信息决定权利，又促进个人信息自由流动的双重价值，也就是在保护和发展之间实现平衡。部分人只关注GDPR加强个人权利保护的内容，却忽略GDPR有推进合作治理的制度设计。正是被忽略的部分，体现了欧盟对于推动大数据发展的良苦用心。

在推动大数据发展方面，周汉华认为GDPR的变化体现在3个地方：首先是在个人信息使用目的限制、数据留存期限等方面“留了口子”，尽量为大数据开发利用开辟可能的路径；其次是更突出强调责任原则、透明原则的地位和作用，强化信息控制者内部治理机制，调动信息控制者参与数据治理的积极性；最后是吸取从美国学到的经验，设计了强有力的外部执法威慑机制。

“GDPR的总体思路就是制定更有效的内部治理，以及更强的外部威慑，这就是激励监管的基本要求，使得合规成为企业的内在需要。一个企业无非就是追求发展，没有安全怎么谈发展？GDPR等于把个人数据安全嵌入到企业的整体安全观当中去，实现了两者之间的正向相容。”周汉华说道。