管得寬罰得狠：今天實施的歐盟《通用數據保護條例》能借鑒

正在與歐盟做生意的中國企業都準備好了嗎?因為歐盟《通用數據保護條例》(General Data Protection Regulation，簡稱GDPR，)已于5月25日正式生效了。

據了解，GDPR此前歷經了長達四年的討論，于2016年4月在歐洲議會上正式通過，將完全替代1995年的《歐盟數據保護指令》(Directive 95/46/EC)。該條例被稱為“史上最嚴”，主要體現在：首先，設定了天價罰款，至少1000萬歐元或企業上一財年全球營業總額的2%-4%，并以較高者為準;其次，大幅拓展了對于“個人數據”的定義，除了姓名、住址、身份證號碼以及網絡IP地址這些常規信息外，還包括了指紋、虹膜這些生物識別數據，以及種族和宗教信仰等信息。最后，全面加強了對個人數據的保護，并大幅提升了企業的數據保護責任。

當然，GDPR從頒布到正式生效，期間存在一定的過渡時間，方便企業對自己相關隱私條款進行必要的修改。截至目前，包括華為、阿里巴巴、騰訊在內的中國企業都已經在GDPR生效前修改了各自的隱私條款，而且與國外其他企業一樣通過電子郵件等形式將更新后的條款告知于用戶。

但是這遠遠不夠。隨著全球化日漸加深，中國與歐盟之間的合作范圍也在不斷地擴展，比如終端、電子商務、互聯網服務、金融等領域都有涉及，特別是手機終端、支付寶、微信等軟硬件無時無刻不在收集用戶的個人數據。前不久爆發的Facebook用戶數據泄露事件恰恰就是這一方面的典型案例。

因此對于中國企業而言，尤其是繼續在歐盟國家開展業務的公司，在GDPR生效之后，要嚴格執行修訂后的隱私保護條例，形成用戶使用、保護機制，及時發現和反饋公司運營期間遇到的一系列情況，避免觸及GDPR的監管紅線。在這方面，國外網站的做法具有一定的參考價值，即在網站首頁設置警告，提示用戶該網站如何收集和使用Cookie信息。不過遺憾的是這一做法國內效仿者寥寥，特別是那些在歐盟國家開展業務的中小型民營企業，甚至這些企業連隱私條款都不全面，顯然這存在著一定的風險，需引起相關企業的注意。

事實上，不僅是歐盟，全世界其他國家和地區均有相關法例用以保護用戶的網絡數據和隱私安全。就在GDPR生效之前，中國已于5月1日正式實施了《信息安全技術個人信息安全規范》，該規范屬于推薦性國家標準，對個人信息的收集、保存、使用、轉讓等環節進行了規定。而去年生效的《中華人民共和國網絡安全法》也包含對數據隱私保護的要求。

不過值得注意的是，盡管中國已經立法保護用戶隱私，但是互聯網企業涉嫌違規使用用戶數據的報道時常見諸報端，最近一起就是國內某些App利用大數據“殺熟”的事情。為此，網絡安全專家指出，數據所有權歸用戶所有，互聯網公司有義務在獲得用戶許可之下，合法合規的使用相關數據，并告知用戶這些數據的使用情況。與此同時，互聯網公司有責任保護好用戶數據的安全，防止數據泄露。

GDPR是鏡子，反映的是企業保護用戶隱私的力度;是借鑒，為全球其他國家相關法律法規的修訂提供有益的參考，更為那些對用戶數據和隱私保護不夠重視的企業敲響了警鐘。