数据的价值在于流动,但欧盟正为其加上诸多限定和枷锁,「如何平衡数据利益与数据法律的天平」已成为全球性企业的核心议题。
上周,布鲁塞尔的欧洲议会室里弥漫在草木皆兵的紧张氛围,扎克伯格开始接受新一轮的盘问——这次是欧盟机构。三天后,欧盟个人资产保护新法GDPR (General Data Protection Regulation)正式上路,扎克伯格的「微笑战术」将不再管用。
这部欧盟「史上最严」数据保护法案在5月25日正式生效,因其适用范围最广、定责条例最严、处罚金额最昂贵的「三最」引起各方的高度关注。「GDPR为未来十年的全球数据保护定下了基础,它几乎对科技公司用个人数据来赚钱的所有环节进行了规定和限制。」《连线》杂志对其评价。
GDPR对个人资产的定义进行了非常广泛地覆盖,「除个人电话号码、地址、健康资料、电子信箱等之外,像是指纹、人脸识别、视网膜扫描、线上辨识码以及线上定位资料,如Cookie、IP位置、行动装置ID等,全都纳入个资范畴。」安侯法律事务所执行顾问翁士杰分析道。
就影响范围而言,GDPR不仅适用在欧盟设立子公司或分公司的企业,也适用所有有处理欧盟居民个资的欧盟境外企业。这意味着,企业规模无论大小,横跨服务、科技、制造、金融产业,都无可避免会受到影响。
作为全球第三大经济体,希望打开全球市场的企业想要绕开欧盟几乎不可能。只要企业有电脑系统、伺服器及员工使用手机,都可能触及GDPR规范,其中无法预测的不确定性终究成为风险。
靴子落地:闪转腾挪还是直面应对?
从2016年至今,欧盟已经预留了足足两年的时间给相关企业进行过渡和调整。但如今,当真金白银的罚款数额公布后,很多公司还是一片手忙脚乱。
调查显示,大部分企业可能还没有做好准备。为避免违规风险,一些企业只能选择在欧洲暂停访问更为安全,至少目前是这样。
根据数据分析公司SAS的调研,全球仅有不到一半的企业(49%)表示他们能按期达到GDPR的合规要求。不少小公司由于缺乏资源和指导,仍然处于观望状态。直接营销协会(DMA)研究也发现,只有15%的营销人员相信他们的业务符合GDPR。
果不其然,法案生效的第一天,Facebook和谷歌便遭到了起诉。
奥地利运动人士Max Schrems以违法运作为由,分别对谷歌(Google)的安卓系统、脸书(Facebook)及其旗下的Instagram(IG)和WhatsApp的子公司提起诉讼,一共是四起。
在诉状中,施伦斯表示,这种只能「接受或拉倒」的方式,违反GDPR让民众可自由选择是否允许企业使用他们的个资。
诉讼要求法国、比利时、德国和奥地利的监管机构对这几家公司进行罚款。根据GDPR的规定,违反该法律的公司将面临2000万欧元或全球年度营业额4%的罚款(两者取其高)。
按此规则计算,若欧洲的监管机构定性成违法,谷歌的母公司Alphabet最高将面临37亿欧元罚款,Facebook及其两家子公司WhatsApp和Instagram分别最高面临13亿欧元罚款,其金额逼近反垄断法的处罚力度。
此前,业界估计欧盟一年内收到的罚金可能达到60亿美金(51亿欧元)。现在看来,这个数字很可能被低估了。
隐私维权人士愤愤不平提起诉讼,数据保护监管机构也正准备挥起执法大棒。
欧盟最高隐私监管负责人本周警告称,可能会很快有企业遭到处罚。新上任的的欧洲信息保护委员会(European Data Protection Board)负责人Andrea Jelinek表示:可以肯定的是,这跟本不用等到几个月之后。
人心惶惶的不只有国际巨头,中国厂商的动作和回应也变得积极起来。
今年4月份,QQ国际版就已经在欧洲暂停运作。公告显示,欧洲地区将在升级到下一个版本之后才能恢复使用,但并未就具体上线时间做出说明。
「早在2014年,小米就成立了隐私委员会,和官方认证机构展开隐私保护相关业务。到2016年,MIUI操作系统和小米网的国内版和国际版都得到了TRUSTe隐私认证。」小米首席架构师、人工智能与云平台副总裁崔宝秋博士在接受第一财经采访时表示。
尽管如此,小米旗下生态链企业的小米智能灯(YeeLight)还是因为无法及时符合GDPR法规而被迫关闭服务。当智慧灯炮一秒退化成普通灯泡,有人怀疑是因为该电灯会记录使用者的开关灯纪录。
Yeelight CEO姜兆宁则在回复中否认了此行为,并表示关闭数据服务是基于GDPR对于非欧盟地区公司的API测试规定所致,只是暂时下线。
这让问题开始线聚焦在物联网企业在数据搜集的合规性上,其中可能涉及到智能家居、智能机器人、无人机、智能穿戴等一众中国创业公司。
「大疆在欧洲市场的一切运行正常。我们和数据打交道,但我们并不会涉及到数据隐私或者「个人数据」」大疆公关总监谢阗地向极客公园表示,「数据处理都在本地进行。」
而事实上,去年大疆曾受到美国陆军(US Army)关于「网络安全漏洞」的指控,还一度要求各部门停用大疆无人机。随后,由美国国家海洋和大气管理局(NOAA)出具的数据安全报告,确认大疆无人机在飞行途中没有收集任何数据,才得以让指控平息。
在这个案例中,大疆主要通过第三方的数据机构来调查证明企业的数据安全问题。
目前,为配合低空飞行监管,所属美国和中国地区的无人机用户已经强制实行实名认证。面向欧洲市场,大疆方面表示,实名制的执行将根据每个国家甚至国家里不同省份地区的要求确定,大疆主要以配合为主。
对于用户的飞行轨迹等数据,大疆方面回应,除非是用户主动提交做飞行分析,否则不会触碰该类数据。凭借多年的海外市场实战经验,大疆在面向比国内更为严苛的市场环境时显得更加自如。
在极客公园与优必选、出门问问等相对更为年轻的创业公司就如何应对GDPR进行交流时,他们的应对策略和态度更为积极和主动——主要采取多管齐下的方式,包括从设计流程,业务运营以及关键硬件等三个方面入手。
首先,为了应对GDPR更为严苛的新规,公司在运营层面都迅速成立了专题项目组,包括由专门高管担任DPO(数据保护官员),同时加强相关人员的教育,提高数据保护意识。
在GDPR的细则中已经提到,相关公司必须设立DPO岗位。如果组织是公共机构,正在进行需要定期或系统监控的加工业务,或者有大规模的加工活动时,这点更加重要。
在产品设计流程层面,出门问问CEO李志飞向极客公园表示,公司已经从数据加密、脱敏及分类分级管理上开展了相应措施。在产品设计上需要进行特定优化,以保证用户可以去实现GDPR要求的用户权利比如删除、更正用户信息、撤回同意等。
谈到DGPR落地后对于公司在欧洲市场的影响,优必选CEO周剑对极客公园表示,「在合作伙伴的筛选过程中将更加严格,要求合作伙伴在涉及到相关条例时也必须合规。」
合作伙伴的调整必将在一定程度上影响原有的市场推进效率,周剑认为,这是实施全球化战略必须要经历的。
「GDPR对公司在欧洲市场的运营一定会有影响,」李志飞介绍道,比如原来的opt-out需要变成opt-in模式;对用户权利的保护上更加全面了,比如说需要提供通道给用户删除其信息以实现GDPR的被遗忘权。
根据业内不具名的人士分析,在涉及到物联网、互联网这种本身存在数据生意的领域,使用一些通用协议的厂商需要等待更新。而使用私有协议,或者说自主技术的公司则不会有太多影响。即便有确实需要调整的,调整自己的协议也很快的。
对于准备积极投身全球市场的互联网企业而言,国内过于野蛮生长的市场环境和「中国式」的快节奏发展实际上掩盖了很多问题和漏洞。
「像是以前国内软件厂商推行的全民开机时间PK,在欧洲是不可想象的,因为那完全涉及到个人隐私。国内很多博噱头的运营方式在欧盟新规下就未必合适了。」
可以说,GDPR对数据隐私的部分保护条款甚至有违背我们的「常理」,而这又是出海企业不得不面对的问题,否则只能放弃欧盟市场,所以才更值得企业的领导层面以及产品业务的设计者重视和学习。