一部被稱為“史上最嚴”的個人數據保護法律，最近掀起了全球互聯網產業的大討論。

5月25日，由歐盟委員會制定的《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）正式落地實施。這部被稱為“歐盟數據憲章”的法律要求，網站經營者記錄客戶的搜索和購物記錄前，必須事先聲明並獲得用戶同意﹔不能再使用模糊、難以理解的語言或冗長的隱私政策從用戶處獲取數據使用許可﹔明文規定用戶個人可以要求責任方刪除關於自己的數據記錄。

更重要的是，GDPR的管轄范圍非常大，懲罰力度也很大。根據歐盟委員會官網的說法，隻要數據的收集方、提供方和處理方有任何一方是歐盟公民或法人，就將受到該法案管轄。此外，GDPR對違法企業的罰金最高可達2000萬歐元（約合1.5億元人民幣）或者其全球營業額的4%，以高者為准。

雖然早在2016年，歐洲議會就通過了GDPR，並給出了兩年的過渡期。但真正落地之后，仍有許多企業不適應，並且引發了個人數據的保護是否過度的疑惑和討論——若完全按照GDPR執行，大量與個人數據有關的網絡服務難以開展，大數據產業的發展也將遭遇難以突破的法律瓶頸。

要GDPR保護下的個人數據安全，還是要大數據支持下的網絡便利服務？這個歐洲已經作出選擇的問題，將給我們帶來哪些啟示？

GDPR落地 涉歐企業忙應對

網絡時代，個人數據信息的泄露是許多用戶非常頭疼又難以發現的問題。如何保護個人數據信息，成了網絡服務提供者和監管者共同面對的挑戰。

《中國網民權益保護調查報告(2017)》顯示，我國57%的網民認為個人信息泄露嚴重，76%的網民親身感受到個人信息泄露帶來的諸多不良影響。而在2018年，全球最受關注的社交媒體公司Facebook被曝有超過5000萬名用戶的資料被非法用來發送政治廣告，這一大型數據泄露事件讓Facebook的市值在一天內蒸發60億美元。

而GDPR顯然對這些問題有所防范。GDPR將自然人的“個人數據”列為保護目標，隻要該信息能被用於識別個人身份即為個人數據，例如姓名、地址、電子郵件地址、電話號碼、銀行賬戶、汽車牌照、IP地址，以及cookies（某些網站為了辨別用戶身份、進行跟蹤而儲存在用戶本地終端上的數據）等。此外，健康、宗教信仰、政治觀點、性取向等更是被GDPR列為高度敏感、重點保護的個人數據。

此外，GDPR還明確網站經營者記錄客戶的搜索和購物記錄前，必須事先聲明並獲得用戶同意﹔不能再使用模糊、難以理解的語言或冗長的隱私政策從用戶處獲取數據使用許可﹔規定用戶個人可以要求責任方刪除關於自己的數據記錄。

GDPR採用了“市場地原則”，在第三條規定，本例適用於在歐盟內部設立的數據控制者或處理者對個人數據的處理，不論其實際數據處理行為是否在歐盟內進行。隻要其為歐盟境內的數據主體提供商品或服務（不論此項商品或服務是否要求數據主體支付），或對發生在歐洲范圍內的數據主體的活動進行監控，GDPR都可對其進行管轄。

國際知名咨詢公司埃森哲的一份報告認為，GDPR是“近20年來數據隱私規則領域發生的最重要變化”。因為在數據保護問題上，GDPR要求數據供應鏈的各方（包括數據的收集者、存儲者、使用者、處理者）責任共擔，各方都需直接承擔合規風險和義務。

在GDPR落地后，谷歌和Facebook兩家互聯網巨頭被起訴強制用戶同意隱私條款，違反了GDPR的相關規定。受其影響，大量互聯網平台紛紛更新與用戶間的服務協議或隱私條款，許多中國企業的互聯網業務也紛紛作出回應。

中國青年報·中青在線記者注意到，包括華為、騰訊、高德地圖、國航、海爾等企業的網絡平台在內，最近都更新了各自的用戶隱私條款。阿裡巴巴旗下全球速賣通、微信海外版、新浪微博國際版等與歐洲市場關聯緊密的互聯網平台，也紛紛向歐洲區用戶請求重新授權。騰訊方面還曾表示，更新到5.0及以上版本的QQ國際版可繼續使用，舊版本則在5月20日停止使用。

數據保護與產業創新之間的矛盾

不過，GDPR的落地所帶來的不全是歡呼與掌聲，還有關於數據保護與產業創新之間矛盾的爭議。

例如，GDPR規定了數據的“被遺忘權”和“可攜帶權”，即用戶可以要求公司清除其個人數據，並禁止第三方獲取這些數據﹔用戶也可以帶著他們的數據轉移去不同的服務提供商。但在產業界看來，這是當下比較難做到的。

浙江墾丁律師事務所聯合創始人麻策表示，“被遺忘權”有些類似於我國網絡安全法確定的刪除權，但本質上卻不甚相同﹔數據可攜帶權更是非常大膽突破了數據利用的商業界限。但實際上，“被遺忘權”和“數據可攜帶權”的使用不可能是無限制的，在具體適用時，仍然要參考公共利益、數據遷移成本等。

此外，GDPR還要求網絡服務提供者要“響應數據主體的訪問請求”，歐盟居民有權要求查閱公司收集的個人信息﹔用戶可以要求刪除、糾正個人信息，甚至可以要求以文件的形式拿到數據。

北京師范大學法學院教授劉德良認為，GDPR所規定的上述用戶權利基本沿襲了歐盟在1995年發布的《歐盟數據保護指令》，進一步強化了用戶對個人數據的控制權利。但在個人數據已經存在於網絡上眾多節點的今天，一味地強調用戶對個人數據的絕對控制已經不現實。

“所謂的控制權在以前是可以實現的，但在移動互聯網的今天，個人數據控制權的行使在技術上不可行，經濟上成本巨大。”劉德良認為，歐盟的互聯網產業發展速度較慢，跟他們對網絡數據的嚴格管理有一定關系，而我國要發展大數據及互聯網產業，不能盲目照抄歐盟的立法，否則會阻礙產業創新的力量。

作為專業互聯網法律律師，麻策具體分析了GDPR對網絡產業的影響。例如，GDPR對數據畫像進行了規制，其第二十二條規定數據主體有權利拒絕自動化決策（包括數據支持下的用戶畫像），以及機器學習的結果。這樣一來，對在線貸款授權、自動信用評價等業務而言將產生不利影響。

他進一步分析，若按GDPR的要求，如果在線貸款機構通過大數據自動識別某個用戶的授信額度是10萬元，或識別其風險較高不通過貸款申請，則該貸款機構就必須提供說明或解釋，否則用戶可以不接受該機器認定的結果，這對數據畫像或深度學習等技術的商業化而言將帶來制度挑戰，對開展相應業務的科技公司而言也有一定傷害。

劉德良長期研究歐美的網絡及數據法律，他認為應該謹慎對待歐洲的經驗。“法律是幫助而不是限制產業發展，希望GDPR對我們而言，是一面鏡子而不是一把尺子。”

該如何看待“他山之石”

麻策認為，我國應該吸收國際上對於數據保護的共同性規則，例如對數據主體權益、個人信息定義、數據畫像等問題的規定，而不宜照搬了事。在他看來，強調數據或個人信息的“所有權”沒有現實意義，因為這類數據一旦被披露，理論上不存在全盤收回的可能，更應當講求如何讓數據由用戶控制、授權，以及數據流通過程中的安全性。“數據被稱為21世紀的‘石油’，若一味強調（對其的）所有權，實不利於這個行業的發展。”麻策表示，GDPR還規定了數據處理者或控制者處理數據時，用戶“同意”只是合法性條件之一，此外還有合同訂立之必要、執行公共利益等5個方面的條件，這些條件值得我們參考。

目前，我國法律僅明確“用戶同意”是網絡運營者對個人信息收集和使用的唯一前提（個人信息安全規范列舉了其他合法使用的來源），這與我國許多網絡應用權限過高、過度收集用戶隱私信息的現實存在一定差距。

九次方大數據創始人、貴陽大數據交易所執行總裁王三壽認為，目前我國對個人數據的使用、交易相關規定還不完善，個人數據所有權的界定不明確，數據黑市交易依然存在，導致很多用戶對數據的開放存在顧慮，也導致數據濫用時有發生。

在劉德良看來，對於數據保護與產業創新之間的矛盾，應該從問題出發尋找國際經驗。“你究竟擔心的是什麼？是個人信息被濫用，是一大堆垃圾短信、騷擾電話。”在他看來，針對這類問題，提出過高的道德和法律要求，會給產業發展帶來較大成本，因此應該厘清個人數據與個人信息、個人隱私的邊界，以及個人數據的所有權、使用權、收益權的分配關系，否則個人數據很難流動和利用，大數據產業也無法快速發展。

作為大數據產業一線的創業者，王三壽認為，個人數據經脫敏、脫密后，其所有權屬於個人，使用權由數據擁有者授權使用，收益權由個人或其授權的主體擁有。例如，如果把病人的姓名、身份証等信息脫敏脫密后，將成千上萬的病例數據提供給醫療研究機構，可以減少誤診、誤判的情況。

“邊界不清楚、權屬不明晰，就會給數據產業發展埋下障礙。”劉德良認為，這也是數據保護與產業發展之間必須要回答的問題。

分享讓更多人看到