芥末堆注：大數(shù)據(jù)的互聯(lián)網(wǎng)時代，要泄露自己的個人信息非常容易，購物軟件、打車軟件、外賣軟件等等，APP獲取隱私信息也許從你輕輕點下確認(rèn)鍵就開始了。當(dāng)隱私泄露頻頻成為新聞時，解決問題的措施就該出現(xiàn)了，歐盟即將執(zhí)行《通用數(shù)據(jù)保護法案》（GDPR），違反公司將受到巨額罰款，公司因此不得不重視用戶隱私保護，但這到底能有多大作用卻有待觀察。

歐盟的 GDPR 具體管了什么？

又有公司說人造謠了。

4 月 12 日，有截圖顯示: QQ 國際版要在歐洲停止運作。截圖中的官方鏈接也說明因為“運營需要，QQ 將從 5 月 20 日開始停止運營”。一般認(rèn)為這是為了避開歐盟即將執(zhí)行的《通用數(shù)據(jù)保護法案》（GDPR）。

一天之后，騰訊在微博上發(fā)聲明稱，自己公司早先發(fā)布的公告其實是謠言，讓用戶不要聽信。現(xiàn)在打開公告鏈接，文字被改成了目前版本在 5 月 20 日停止運營，但升級到下一個大版本之后就能恢復(fù)使用。至于什么時候發(fā)布更新，公告并無說明。

具體怎么回事還不明確，但反正騰訊此次前后矛盾的公告讓歐盟的 GDPR 法案在中國被關(guān)注。5 月 25 日，《通用數(shù)據(jù)保護法案》（以下簡稱 GDPR ）將正式開始實施，這部法規(guī)由歐盟委員會制定，長達 260 頁。

擔(dān)心 GDPR 的不只是中國公司。就在 QQ 國際版要在歐洲停止運作的消息開始傳播時，扎克伯格正在華盛頓面對國會第二場 5 小時的質(zhì)詢，他面前的本子上清楚寫著一條加粗的顧問建議，“不要說我們已經(jīng)完成了 GDPR 的要求?！?/p>

確實得擔(dān)心?！哆B線》雜志稱 GDPR 這部法律為未來 10 年的全球數(shù)據(jù)保護定下了基礎(chǔ)，它幾乎對科技公司用個人數(shù)據(jù)來賺錢的所有環(huán)節(jié)進行了規(guī)定和限制。

對于互聯(lián)網(wǎng)巨頭來說，幾億人口的歐洲市場顯然不能放棄。但如果不遵守 GDPR ，代價最高會是公司年營收 4% 的罰金。以騰訊為例，去年騰訊整年營收 363.87 億美元，如果 QQ 國際版違反了 GDPR ，罰金將高達 14.6 億美元。而如果是一家利潤少的小公司違法，歐盟也做好了準(zhǔn)備——GDPR 的罰金是從 2000 萬歐元起算的。

Facebook 數(shù)據(jù)泄密的丑聞發(fā)酵后，美國國會也開始討論數(shù)據(jù)保護立法可能。而他們也已經(jīng)在關(guān)注先行的歐洲。

在 Facebook 的聽證會上，國會議員們也反復(fù)提及 GDPR。扎克伯格用了很長的回答來強調(diào)稱：Facebook 肯定會在全球范圍內(nèi)推出和歐盟 GDPR 法規(guī)程度相同的數(shù)據(jù)保護規(guī)定。

可以想象被歐盟新法案啟發(fā)的立法機構(gòu)不會只有美國一個國家。

在此之前，互聯(lián)網(wǎng)公司雖然也受法律管轄，但在搜集、使用用戶數(shù)據(jù)方面，互聯(lián)網(wǎng)公司基本還是按照自己的規(guī)則行事——現(xiàn)在我們都知道，那基本就是怎么賺錢怎么來。

GDPR 有可能改變現(xiàn)狀，而它的影響不會停在歐洲。

第一部大數(shù)據(jù)時代保護個人信息的隱私法案，有 6 個大變化

2012 年 1 月 25 日，以 Google，Amazon 和 Facebook 為主的美國互聯(lián)網(wǎng)巨頭們組成了龐大的游說團，在布魯塞爾歐洲議會總部所在地展開了曠日持久的院外游說活動。

就在這里，歐洲議會第一次公布了《通用數(shù)據(jù)保護法案》草案，這個草案的內(nèi)容預(yù)示著個人數(shù)據(jù)保護管理提到了前所未有的高度。

一部歐洲議會制定的法案為何讓身處美國的科技公司如此緊張？

我們摘出了其中對用戶影響最大的 6 條法規(guī)，你可以了解到 GDPR 到底改變了什么。

• 1. GDPR 擴大了用戶數(shù)據(jù)的保護范圍

在 GDPR 出現(xiàn)之前，無論是歐盟還是美國的法律，對于用戶數(shù)據(jù)的定義都很模糊。在歐盟最早的《數(shù)據(jù)保護指令》中對于用戶數(shù)據(jù)的定義僅包含了登陸名、密碼和購物記錄等內(nèi)容。

GDPR 在條例的最開始就描述了哪些類型的隱私數(shù)據(jù)將受到保護，其中包括：

• 基本的身份信息，如姓名、地址和身份證號碼等；
  

• 網(wǎng)絡(luò)數(shù)據(jù)，如位置、IP 地址、Cookie 數(shù)據(jù)和 RFID 標(biāo)簽等；
  

• 醫(yī)療保健和遺傳數(shù)據(jù)；
  

• 生物識別數(shù)據(jù)，如指紋、虹膜等；
  

• 種族或民族數(shù)據(jù)；
  

• 政治觀點；
  

• 性取向。

對于這些數(shù)據(jù)的保護，GDPR 中明確規(guī)定，服務(wù)提供商不可以在未經(jīng)用戶同意的情況下處理這些數(shù)據(jù)。也就是說，不能未經(jīng)允許就用這些數(shù)據(jù)來賣廣告。

這基本上包含了大部分可用于直接或間接識別用戶的數(shù)字信息。它完全從用戶的角度來考慮個人數(shù)據(jù)需要保護的邊界。

• 2. 不管公司總部在哪里，只要向歐盟地區(qū)提供服務(wù)都會被管

GDPR 較大的不同還在于規(guī)定了法規(guī)管轄范圍不是嚴(yán)格按照國家劃分，而是按照數(shù)據(jù)的分布來認(rèn)定。這打破了科技公司只需要遵守所在國法律的傳統(tǒng)做法，而從用戶的角度出發(fā)考慮法規(guī)的執(zhí)行。

GDPR 規(guī)定向歐盟居民提供產(chǎn)品或者服務(wù)，甚至只是收集或監(jiān)控相關(guān)數(shù)據(jù)的非歐盟企業(yè)和組織都必須遵守 GDPR，而與這些企業(yè)和組織所在位置無關(guān)。

傳統(tǒng)意義上，執(zhí)法的管轄權(quán)通常是按照國家或者地域進行劃分的。硅谷公司遵守的是美國法律，但互聯(lián)網(wǎng)不受地域限制的特點，可以讓他們將服務(wù)推向全球。GDPR 的法規(guī)顯然更貼近互聯(lián)網(wǎng)這個虛擬世界的特點，所以，雖然是歐盟的數(shù)據(jù)保護條例，卻能應(yīng)用到全球任何為歐盟居民提供服務(wù)的企業(yè)身上。

這也就是硅谷科技公司，甚至是中國互聯(lián)網(wǎng)公司開始重點關(guān)注這份法規(guī)的原因所在。實際上，根據(jù)服務(wù)地區(qū)監(jiān)管目前已經(jīng)被多個國家提出，其中就包括中國的《網(wǎng)絡(luò)安全法》。

• 3. 罰金數(shù)額巨大，大公司可能付出數(shù)十億美元

“按最低 2000 萬歐元或公司年營收的 4% 進行處罰，其中金額較高的數(shù)字被認(rèn)定為罰金?！边@是歐盟對違反 GDPR 的公司開出的罰單，要對這個數(shù)字有些具體認(rèn)識的話，蘋果公司是個不錯的例子。

蘋果公司最近兩年的年收入都超過了 2000 億美元，所以假如蘋果公司違反了 GDPR 的規(guī)定，那么罰金就有可能高達 80 億美元。沒有多少公司愿意承擔(dān)如此高額的罰金。與之相對的，如果蘋果公司在美國觸犯了相同等級的隱私保護條例，那通常情況下，罰金大概只有幾十萬到幾百萬美金。

歐盟此前就已經(jīng)對科技公司開出過巨額罰單，2017 年 6 月 27 日，歐盟委員會宣布Google 違反規(guī)定，開出了 27 億美元的罰單。

歐盟委員會主席巴羅佐此前就表示，罰金的意義是讓科技公司意識到侵犯隱私的嚴(yán)重性，最終可以在公司的流程上進行改進，從而對歐盟居民的信息進行保護。

• 4. 科技公司不能把數(shù)據(jù)使用說明藏在辭海一樣厚的用戶協(xié)議里

巴羅佐所提到第一個較大的改變，是互聯(lián)網(wǎng)公司必須獲得用戶明確同意才可以使用數(shù)據(jù)。聽上去這和現(xiàn)在的情況沒有什么區(qū)別，我們在注冊時也必須點擊同意用戶協(xié)議才能免費使用服務(wù)。雖然絕大部分人都不會認(rèn)真看復(fù)雜的用戶協(xié)議。

GDPR 則要求公司在收集和使用個人數(shù)據(jù)前必須向用戶明確告知數(shù)據(jù)的收集和使用方法，并且需要在獲得用戶明確同意后才可以進行。這里的明確同意指的就是不可以和用戶協(xié)議捆綁，必須要在網(wǎng)站或應(yīng)用內(nèi)專門說明，并獲取用戶同意，同時可以隨時便捷地取消和管理。

就在半個月前，F(xiàn)acebook 更新了該平臺的隱私工具。讓用戶可以查看或刪除 Facebook 所持有的用戶個人信息、刪除搜索歷史、設(shè)置廣告偏好、設(shè)置帖子可見性范圍等。

與上述更新同步推出的還有一種名為“Access Your Information”（獲取你的信息）的工具，這種工具允許用戶查看自己分享過的評論或帖子，并且可以選擇刪除。

Facebook 表示，這些工具原計劃在 5 月發(fā)布，就是想要遵守 GDPR 的要求，但因為劍橋事件而不得不提前發(fā)布。蘋果也在同一時間發(fā)布聲明，表示將在未來幾個月內(nèi)更新 Apple ID 的功能，讓用戶可以下載存儲其中的所有數(shù)據(jù)副本，同時暫時停用其帳戶并將賬戶內(nèi)容徹底刪除。

• 5. 用戶可以要求將所有的個人數(shù)據(jù)刪除

Facebook 和蘋果公司都在強調(diào)可以徹底刪除儲存的用戶數(shù)據(jù)，是源自一個在歐盟討論很久的權(quán)利——徹底遺忘權(quán)（right to be forgotten）。

這個概念從 2006 年就在歐盟內(nèi)部提出，當(dāng)用戶向公司或組織撤回自己同意的個人數(shù)據(jù)使用權(quán)后，相關(guān)的企業(yè)和組織必須要立刻無條件地刪除所有的個人數(shù)據(jù)。

在 GDPR 中，遺忘權(quán)被當(dāng)作成用戶的基本人權(quán)。條例要求科技公司必須能夠在系統(tǒng)中無條件地快速刪除用戶的數(shù)據(jù)。這也能保護用戶不會因為遺留的個人數(shù)據(jù)，遭受未知的影響。

換句話說，當(dāng)一個歐盟居民要求刪除自己的新浪微博賬號和相關(guān)內(nèi)容時，新浪微博必須無條件刪除微博賬號內(nèi)的所有信息并不得保留其它備份，同時所有相關(guān)的分析或廣告公司也必須刪除保存的信息。

這個概念最初引發(fā)了很大的爭議，美國和歐盟的分歧很大。直到 2014 年，西班牙公民岡薩雷斯向 Google 西班牙公司提起訴訟，要求刪去 Google 搜索結(jié)果中關(guān)于自己欠錢的 2 篇新聞報道，理由是自己已經(jīng)還清了欠款。

經(jīng)過多方上訴和多輪討論后，歐盟法院最終裁決稱，被遺忘權(quán)是人權(quán)的一部分，要求 Google 刪除岡薩雷斯的新聞。從此確立了被遺忘權(quán)的重要性。截至 2014 年 5 月，Google 已經(jīng)刪除了 13.9 萬個網(wǎng)址。其中有 95% 的申請來自于普通用戶。

但刪除數(shù)據(jù)并不是像電腦上按一下刪除按鍵那么簡單。

整個過程并不那樣清晰且易于執(zhí)行。尤其是對于一個大型公司來說，用戶信息往往分布在營銷、銷售、客服乃至財務(wù)和供應(yīng)鏈等多個系統(tǒng)中，甚至還會存在于一些本地文件中。

一旦需要把某個用戶的數(shù)據(jù)完全刪除，就必須要依靠一套數(shù)據(jù)同步機制確保刪除沒有遺漏，目前來看，這是非常困難且成本高昂的操作。這也是科技巨頭們非?？咕?GDPR 的原因之一。

• 6. 提供少分享信息的選項還不夠，它得是默認(rèn)選項

不止是事后刪除，GDPR 之所以被稱為規(guī)范了未來 10 年用戶數(shù)據(jù)使用方式的法規(guī)，在于它強制要求企業(yè)在業(yè)務(wù)設(shè)計初期就要考慮對于個人隱私數(shù)據(jù)的處理。

這包含了兩方面的要求。首先，科技公司今后在設(shè)計新的業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程和服務(wù)時，處理個人數(shù)據(jù)的環(huán)節(jié)必須按照 GDPR 要求的方式進行設(shè)計。企業(yè)還必須提供相關(guān)信息證明自己滿足了上述要求。

無論是產(chǎn)品經(jīng)理還是策劃，都必須掌握 GDPR 中詳細的要求。從而讓保護用戶數(shù)據(jù)的概念和產(chǎn)品需求同時被考慮。同時，很多時候互聯(lián)網(wǎng)公司都會表示允許用戶如何如何。但它們很清楚的是大多數(shù)人不會調(diào)整默認(rèn)的選項。

所以 GDPR 另一個原則是，當(dāng)個人數(shù)據(jù)在系統(tǒng)、流程和服務(wù)中可能被多個不同級別的需求調(diào)用的話，默認(rèn)的選項必須是共享內(nèi)容最小的選項——不共享任何內(nèi)容。

簡單地說，微博關(guān)聯(lián)的淘寶想要獲取你的點贊記錄來推薦商品，默認(rèn)的情況下微博將不可以直接共享任何內(nèi)容。只能進一步請求，提高需求級別才能獲取信息，這通常需要用戶的同意。

GDPR 的這個條例也產(chǎn)生了一個新的職業(yè)——數(shù)據(jù)保護官（Data Protection Officer，DPO）。

根據(jù) GDPR 中的要求，公司必須任命數(shù)據(jù)保護專員來實施 GDPR 計劃并監(jiān)測完成的情況。職責(zé)還要求 DPO 直接向公司領(lǐng)導(dǎo)層報告，負(fù)責(zé)推出各項措施來確保不會違反 GDPR。

除了這些針對公司流程的硬性規(guī)定，GDPR 內(nèi)還對此前模糊的隱私保護界限進行了明確。其中兒童也擁有數(shù)據(jù)保護權(quán)，GDPR 要求公司必須獲得家長同意，才能處理 16 歲以下兒童在線服務(wù)的個人數(shù)據(jù)。成員國可以就較低的同意年齡立法，但不能低于 13 歲。

而對于黑客攻擊這類可能導(dǎo)致數(shù)據(jù)泄密的事件也進行了規(guī)定。要求公司一旦發(fā)現(xiàn)數(shù)據(jù)泄漏，必須在 72 小時內(nèi)向數(shù)據(jù)保護機構(gòu) DPA 報告可能對個人構(gòu)成風(fēng)險的數(shù)據(jù)泄露事件，并不可以無故拖延地向受影響個人通知。

在扎克伯格回應(yīng)劍橋分析事件的時候，他就聲稱 Facebook 在三年前就已經(jīng)從衛(wèi)報記者那里了解到劍橋分析違反規(guī)獲取 Facebook 的用戶數(shù)據(jù)，但 Facebook 并沒有及時對這個事情進行處理。

不止是 Facebook，例如打車應(yīng)用 Uber、美國信用服務(wù)公司 Equifax 都曾爆出客戶數(shù)據(jù)遭到竊取的事件，但它們都沒有及時曝光，甚至 Uber 當(dāng)時的管理層還選擇私下給黑客錢來解決。

GDPR 是歐盟 20 多年數(shù)據(jù)保護立法的延續(xù)

所以 GDPR 的嚴(yán)苛條款并不是憑空被想出來的，而是從過去二十年里眾多數(shù)據(jù)泄密事件的錯誤中吸取的。

歐盟的數(shù)據(jù)保護歷史可以追溯到上世紀(jì)九十年代。1995 年，歐盟通過了《數(shù)據(jù)保護指令》，它也被稱為 “95指令”。第一次為歐盟成員國立法保護個人數(shù)據(jù)設(shè)立了明確標(biāo)準(zhǔn)。

在 1995 年，個人數(shù)據(jù)的概念僅僅限定在用戶名、家庭地址及郵編號碼這樣相對簡單的信息。95 指令規(guī)定的內(nèi)容也只是讓用戶擁有訪問權(quán)，用戶有權(quán)訪問他們的信息并修改其中錯誤的地方，確保信息正確。

但互聯(lián)網(wǎng)的發(fā)展，尤其是移動互聯(lián)網(wǎng)在過去 20 年里的快速發(fā)展，讓當(dāng)時制定的法律無法覆蓋層出不窮的新變化和漏洞。

2002 年，歐盟第一次決定修正 95 指令。在當(dāng)年 7 月 12 日，新的的《隱私與電子通訊指令》發(fā)布。

其中詳細規(guī)定了科技公司禁止在未征得用戶同意的情況下存儲和使用用戶的數(shù)據(jù)，服務(wù)提供商應(yīng)該保障用戶的知情權(quán)，如告知用戶所收集的數(shù)據(jù)及進一步處理此類數(shù)據(jù)的意圖和用戶有權(quán)不同意等。

這基本構(gòu)建了現(xiàn)在隱私條款的基礎(chǔ)，但《隱私與電子通訊指令》在具體操作層面還較為粗略，也缺乏明確的違規(guī)懲罰措施，并沒有讓科技公司重視起來。

Cookie 是互聯(lián)網(wǎng)常用的用戶跟蹤和識別技術(shù)。2000 年之后，eBay 這類的電子商務(wù)網(wǎng)站在全球流行，用戶在使用瀏覽器進行網(wǎng)站內(nèi)容瀏覽時，網(wǎng)站可以在用戶電腦本地存放 Cookie 以識別和記錄用戶的登陸、瀏覽和購買信息。

盡管 Cookie 可以被用戶手工操作關(guān)閉，但對于絕大多數(shù)的用戶來說，如果網(wǎng)站在未明確提示下使用 Cookie 記錄相關(guān)信息，用戶是很難知道已經(jīng)被記錄的。

在當(dāng)時，記錄用戶登陸密碼，購買等信息是一種在用戶協(xié)議里默認(rèn)同意的做法。網(wǎng)站將這些信息進行分類來向用戶推薦商品。但這也留下了黑客破解等安全問題。

2009 年 11 月 25 日，歐盟對個人數(shù)據(jù)保護措施又進行了一次重要修正，通過了《歐洲Cookie指令》，并確定 2011 年 5 月 25 日在歐盟正式啟用。

《歐洲Cookie指令》要求網(wǎng)站在用戶初始使用時網(wǎng)站必須關(guān)閉 Cookie 的使用，直到用戶明確同意啟用時才能開啟此功能。這進一步具體規(guī)范了用戶的知情權(quán)。

隱私調(diào)查機構(gòu) TRUSTe 在 2012 年 10 月的統(tǒng)計報告里稱，《歐洲Cookie指令》推出之前，英國排名前 50 的網(wǎng)站只有 12% 遵照關(guān)于 Cookie 設(shè)置的要求，在網(wǎng)站上彈出窗口或在指定的頁眉頁腳提供 Cookie 信息確認(rèn)提示或信息說明。而法國和德國的前 50 大網(wǎng)站則全部不合規(guī)。

現(xiàn)在打開英國最大的生活服務(wù)網(wǎng)站 GumTree 服務(wù)平臺，你可以在最頂上很明顯地看到關(guān)于 Cookie 的使用提示，這個提示很難被忽略。

盡管歐盟不斷通過了不同的數(shù)據(jù)保護修正指令來完善用戶數(shù)據(jù)的保護，但是這些修正內(nèi)容還是架構(gòu)在 1995 年頒布的《數(shù)據(jù)保護指令》基本框架之上。

2008 年 10 月，F(xiàn)acebook 宣布在愛爾蘭的都柏林設(shè)立國際總部，開始在歐洲推廣社交網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)調(diào)研機構(gòu) comScore 的數(shù)據(jù)顯示，一年后，四分之三的歐洲網(wǎng)民都成為了社交網(wǎng)站 Facebook 的用戶。在 Facebook 之后，推特也進入了歐洲。

用戶的個人隱私信息從基本的登陸密碼，購物記錄逐漸變成了每天的轉(zhuǎn)發(fā)、照片、點贊和瀏覽記錄等一系列信息。但當(dāng)時，所有關(guān)于用戶隱私數(shù)據(jù)的法令都沒有明確地適應(yīng)這個變化。

歐盟希望能夠有一個全新的完整框架用來代替二十年前構(gòu)建的、已經(jīng)不能適應(yīng)移動互聯(lián)網(wǎng)時代需求的陳舊框架。

2012 年 1 月 25 日，GDPR 的草稿第一次放在了歐盟委員會的桌子上。

缺少大互聯(lián)網(wǎng)公司讓歐洲比較容易推進立法，但其它地區(qū)現(xiàn)在也開始關(guān)注這個問題

在國會上主持對扎克伯格質(zhì)詢的參議員 Bill Nelson 在聽證會的開場時說：“如果 Facebook 以及其他社交媒體公司不按規(guī)則來，那我們?nèi)魏我粋€人的隱私都將不存?！?/p>

但實際上，美國對于社交媒體的監(jiān)管法規(guī)和審查力度和歐洲相比始終沒有那么嚴(yán)格。

受到硅谷科技公司全球化的影響，歐盟國家內(nèi)的科技服務(wù)基本被美國科技公司壟斷，無論是社交媒體 Facebook 、Instagram 還是打車應(yīng)用 Uber 等，這些才是歐盟居民常用的服務(wù)。

目前，歐洲并沒有大型的互聯(lián)網(wǎng)公司，這樣讓保護數(shù)據(jù)隱私的法規(guī)可以比較容易推進和立法。同時由于自身法律體系的完善和注重人權(quán)等特點，歐盟一直在維護用戶權(quán)利上做的更早，更有標(biāo)桿性。

嚴(yán)苛的 GDPR 草案在 2012 年公布后收到超過 4400 份修正意見，數(shù)量之多為歐盟立法修正案中所罕見，而其中大部分修正意見來自于美國互聯(lián)網(wǎng)企業(yè)。光是討論這些修正意見就花費了 4 年的時間，但最終 GDPR 還是以 640 多票同意，10 票反對獲得了通過。

而在美國，硅谷的科技公司每年在國會中花費大量的游說資金來確保不會受到嚴(yán)苛的監(jiān)管。

2015 年美國媒體統(tǒng)計，美國科技企業(yè)每年在游說上的支出高達 26 億美元，甚至超過了美國國會每年的預(yù)算（眾議院 12 億美元、參議院 8.6 億美元）。而大企業(yè)進行游說的支出回報比甚至高達 220 倍。

其中，亞馬遜和 Google 的支出最多。尤其是在特朗普上臺之后，科技公司為了拉近和白宮在政策上的分歧，游說花費每年都會突破新高。

投行美銀美林的報告顯示：在美國，科技股是目前受監(jiān)管最輕的一個行業(yè)板塊，僅面臨著 2.7 萬條監(jiān)管條例，而相比之下制造業(yè)的監(jiān)管條例有 21.5 萬條，金融行業(yè)也有 12.8 萬條。

但現(xiàn)在，這個情況開始發(fā)生變化。 GDPR 完全從用戶的角度發(fā)出制定的內(nèi)容獲得了美國民權(quán)組織的廣泛好評。越來越多的美國媒體開始討論 GDPR 這類嚴(yán)格的條例是否應(yīng)該引入美國。

非盈利組織民主與技術(shù)中心的杰夫切斯特接受收集的時候表示，“倒計時正在開始，我們將看到國會因為壓力而最終采取行動“，他認(rèn)為扎克伯格的聽證會是幫助公眾來理解用戶隱私問題的重要門口。大眾的憤怒正在積累，現(xiàn)在正是美國互聯(lián)網(wǎng)隱私戰(zhàn)爭的開始，而不是結(jié)束。

而硅谷風(fēng)投公司 True Ventures 的合伙人奧姆馬利克則表示，他非?？隙ü韫葘⒃獾奖O(jiān)管的沖擊?！吧踔吝@一切將由亞馬遜、Google 和 Facebook 來推動，這并不令人意外，立法將可以防止規(guī)模較小的競爭對手收集數(shù)據(jù)，來獲得商業(yè)上的優(yōu)勢?！?/p>

但華盛頓消費者權(quán)益保護組織 Public Knowledge 的總裁 Gene Kimmelman 則提出反對意見，他認(rèn)為即使有強烈的兩黨共識，但立法行動是一個大問題，在這種環(huán)境下立法將非常困難。他預(yù)測可能需要幾年時間美國才能推出和 GDPR 一樣嚴(yán)苛的立法。

與此同時，多個其它國家也開始立法限制數(shù)據(jù)流出國境，中國和俄羅斯都是先行者，但側(cè)重點和 GDPR 差別比較大。在中國，蘋果公司被要求將 iCloud 用戶數(shù)據(jù)留在中國，以便于國營公司去管理這些數(shù)據(jù)。

俄羅斯則在 2014 年推出了網(wǎng)絡(luò)信息管理的法律修正案。修正案規(guī)定，外國通訊服務(wù)、搜索引擎和社交網(wǎng)站必須將俄羅斯用戶的個人數(shù)據(jù)存儲在俄羅斯境內(nèi)，互聯(lián)網(wǎng)服務(wù)供應(yīng)商也必須在政府進行登記。

去年 4 月初，聊天通信軟件 Zello 就因為缺乏登記資料被封鎖了。此后，Line、黑莓 BlackBerry Messenger 以及聊天軟件 vChat 也相繼被封。

嚴(yán)格保護數(shù)據(jù)可以保護用戶，但它也很可能助長壟斷

從互聯(lián)網(wǎng)誕生之后很長一段時間，互聯(lián)網(wǎng)的數(shù)據(jù)監(jiān)管其實主要靠科技公司自己。

當(dāng)時，立法僅僅提供了一個模糊的保護用戶數(shù)據(jù)的概念，但沒有清晰的具體要求?；ヂ?lián)網(wǎng)公司們一步一步來修訂這《用戶協(xié)議》，嘗試從用戶信息中挖掘出商機，同時盡可能地避免法律責(zé)任。

通過《用戶協(xié)議》， 互聯(lián)網(wǎng)公司一步一步讓用戶允許公開自己更多的數(shù)據(jù)，從而分析用戶的喜好，利用算法在信息流中針對性的推薦用戶喜歡的內(nèi)容。

在這個過程中，先行者 Facebook 一次次道歉，一次次被原諒，而全球的互聯(lián)網(wǎng)公司都效仿著它的做法。這個具體的過程，《好奇心日報》在上周的報道中有詳細回顧。

現(xiàn)在問題終于爆發(fā)了，而互聯(lián)網(wǎng)巨頭們的財務(wù)數(shù)據(jù)將會受到影響。

“煙草行業(yè)（1992年）、金融行業(yè)（2010年）和生物技術(shù)行業(yè)（2015年）都已經(jīng)證明，監(jiān)管浪潮會帶來投資低下的結(jié)果?！泵楞y美林的首席投資策略師邁克爾·哈特奈特（Michael Hartnett）發(fā)布的一份研究報告中寫道。他在報告中列出了一系列理由，說明他為何認(rèn)為應(yīng)在今年減持科技股，而預(yù)計將有的監(jiān)管壓力加大是其中第十條，也是最后一條。

報告指出，美國和歐盟各國即將實施的監(jiān)管措施，比如說提高在線銷售稅等手段，可能會導(dǎo)致科技公司遭受大約 4% 的營收損失。

嚴(yán)格的個人數(shù)據(jù)保護所帶來的高額成本，復(fù)雜的數(shù)據(jù)使用授權(quán)（尤其是跨企業(yè)數(shù)據(jù)共享）和政府過度監(jiān)管的風(fēng)險，會讓企業(yè)的信息資產(chǎn)管理的運營成本顯著增加。

同時歐盟、中國、俄羅斯等地的數(shù)據(jù)法案都根據(jù)用戶所在地區(qū)管轄數(shù)據(jù)，也會進一步改變互聯(lián)網(wǎng)公司全球化的生意。

根據(jù) Ovum 公司提供的調(diào)查報告顯示，52% 的科技公司管理者預(yù)計他們會因為違規(guī)行為而面臨罰款。而管理咨詢公司奧利弗·懷曼（Oliver Wyman）報告稱，歐盟在第一年可能會收到高達 60 億美元的罰款金額。

巨頭們會付出代價，但它們的地位反倒可能更穩(wěn)固了。

今天所有主要互聯(lián)網(wǎng)服務(wù)的快速擴張基本都可以追溯到收集更多信息、打破隱私邊界的行為上，例如掃描通訊錄、拿聊天記錄和郵箱的信息打廣告、和其它公司交換用戶數(shù)據(jù)、利用用戶協(xié)議讓用戶“自愿”交出越來越多的數(shù)據(jù)。

當(dāng)這些行為陸續(xù)被監(jiān)管起來之后，用戶的數(shù)據(jù)是會更安全，但這也意味著新公司越來越難拿到數(shù)據(jù)。與此同時，今天的巨頭們已經(jīng)拿到的數(shù)據(jù)、建立起來的對我們每個人的分析都還在。同時它們也有更多利潤在應(yīng)對數(shù)據(jù)監(jiān)管所增加的成本。

這些大公司的收益會受到影響，但它們目前已經(jīng)非常壟斷的地位也將變得更加難以挑戰(zhàn)了。同樣的事情，在銀行、保險、能源、汽車等行業(yè)都已經(jīng)發(fā)生過。

數(shù)據(jù)隱私被保護起來，但數(shù)據(jù)使用的其它負(fù)面影響并沒有被 GDPR 所解決

時政媒體 Vox 稱，GDPR 更深層次的意義是，這個法案將廣泛地解決全球各個行業(yè)必須面對的用戶數(shù)據(jù)問題，還包括依靠數(shù)據(jù)來增強控制的政府和政治機構(gòu)。

在互聯(lián)網(wǎng)出現(xiàn)之前，政府監(jiān)管能夠做到的事情是極其有限的，政府很難做到大規(guī)模地掌握公民的個人數(shù)據(jù)，有的只是姓名、住址這類必須登記的簡單信息。

而現(xiàn)在，隨著人們的生活、信息都出現(xiàn)在互聯(lián)網(wǎng)上，監(jiān)管的范圍也一步步擴展了。

在印度總理納蘭德拉莫迪的領(lǐng)導(dǎo)下，印度正在從公民那里收集大量敏感數(shù)據(jù)，包括使用生物識別設(shè)備追蹤公共部門員工的工作表現(xiàn)。而中國也在正在積累大量有關(guān)其公民的數(shù)據(jù)，包括面部數(shù)據(jù)，公共場合的行動錄像等等信息，最終依靠這些數(shù)據(jù)建立“ 社會信用 ” 排名。

而美國的棱鏡事件也讓公民意識到政府正在通過科技公司侵犯個人數(shù)據(jù)隱私，EFF 等民權(quán)機構(gòu)不斷呼吁為隱私信息進行立法保護。

立法會越來越多，但對政府權(quán)力的限制，你不能太指望。與此同時，還有技術(shù)對人行為的影響。

計算機科學(xué)家亞隆·蘭尼爾（Jaron Lanier）在這個月進行的 TED 大會上總結(jié)了目前社交網(wǎng)絡(luò)對于整個社會的問題。

蘭尼爾引述 1950 年代計算機科學(xué)家 Norbert Wiener 探討了一種可能：一個全球的計算機系統(tǒng)，人們每天隨身帶著設(shè)備，設(shè)備根據(jù)人們的行為給予反饋，這樣整個人類的行為都會被系統(tǒng)改造。這樣的社會實在太瘋狂了，沒法生存下去。

蘭尼爾說 Wiener 當(dāng)時不太擔(dān)心這個問題，因為他覺得技術(shù)上難以實現(xiàn)，只能是一個思想實驗?，F(xiàn)場一片笑聲，如今這樣的設(shè)備人人都有。

是的，移動互聯(lián)網(wǎng)的便捷讓人們將太多的生活，想法和信息都放在了網(wǎng)絡(luò)上了?；ヂ?lián)網(wǎng)公司通過算法分析數(shù)據(jù)來讓你花更多的時間在平臺上，這樣才會看更多廣告。

當(dāng)計算機變得越加聰明、算法更加精準(zhǔn)，所有的設(shè)計、所有的內(nèi)容，就為了讓你在小屏幕上多留一分鐘而存在。這些刺激很有效。就像心理學(xué)上經(jīng)典的巴普洛夫案例，如果每次在給狗送食物前搖鈴鐺，久而久之，一搖鈴鐺，狗就會開始分泌唾液，鈴鐺成了條件“刺激”。社交媒體在某種程度上也成了人類的某種“象征性刺激?！?/p>

技術(shù)不但讓每個人花更多時間在網(wǎng)上，還鼓勵每個人發(fā)布可以幫助消耗更多時間的內(nèi)容，為平臺帶來更多廣告收入。與此同時，并不是我們的一切行為都可以被數(shù)據(jù)量化。但在精準(zhǔn)廣告驅(qū)動的互聯(lián)網(wǎng)產(chǎn)品里，不能數(shù)據(jù)化的信息就不存在。

在這樣的機制下，獲得更多傳播的信息總是那些可以為平臺帶來收入的或者掌權(quán)者想要傳遞的信息，而不一定是對受眾有幫助的。

保護數(shù)據(jù)很重要，GDPR 有望限制大公司對數(shù)據(jù)的濫用。但數(shù)據(jù)帶來的問題還沒有結(jié)束。

本文轉(zhuǎn)自好奇心日報，作者羅驄，原標(biāo)題《第一部大數(shù)據(jù)時代保護個人信息的隱私法案出現(xiàn)，它讓騰訊和 Facebook 都緊張起來》。文章為作者獨立觀點，不代表芥末堆立場。