芥末堆注：大數(shù)據(jù)的互聯(lián)網(wǎng)時(shí)代，要泄露自己的個(gè)人信息非常容易，購(gòu)物軟件、打車(chē)軟件、外賣(mài)軟件等等，APP獲取隱私信息也許從你輕輕點(diǎn)下確認(rèn)鍵就開(kāi)始了。當(dāng)隱私泄露頻頻成為新聞時(shí)，解決問(wèn)題的措施就該出現(xiàn)了，歐盟即將執(zhí)行《通用數(shù)據(jù)保護(hù)法案》（GDPR），違反公司將受到巨額罰款，公司因此不得不重視用戶(hù)隱私保護(hù)，但這到底能有多大作用卻有待觀察。

歐盟的 GDPR 具體管了什么？

又有公司說(shuō)人造謠了。

4 月 12 日，有截圖顯示: QQ 國(guó)際版要在歐洲停止運(yùn)作。截圖中的官方鏈接也說(shuō)明因?yàn)椤斑\(yùn)營(yíng)需要，QQ 將從 5 月 20 日開(kāi)始停止運(yùn)營(yíng)”。一般認(rèn)為這是為了避開(kāi)歐盟即將執(zhí)行的《通用數(shù)據(jù)保護(hù)法案》（GDPR）。

一天之后，騰訊在微博上發(fā)聲明稱(chēng)，自己公司早先發(fā)布的公告其實(shí)是謠言，讓用戶(hù)不要聽(tīng)信?，F(xiàn)在打開(kāi)公告鏈接，文字被改成了目前版本在 5 月 20 日停止運(yùn)營(yíng)，但升級(jí)到下一個(gè)大版本之后就能恢復(fù)使用。至于什么時(shí)候發(fā)布更新，公告并無(wú)說(shuō)明。

具體怎么回事還不明確，但反正騰訊此次前后矛盾的公告讓歐盟的 GDPR 法案在中國(guó)被關(guān)注。5 月 25 日，《通用數(shù)據(jù)保護(hù)法案》（以下簡(jiǎn)稱(chēng) GDPR ）將正式開(kāi)始實(shí)施，這部法規(guī)由歐盟委員會(huì)制定，長(zhǎng)達(dá) 260 頁(yè)。

擔(dān)心 GDPR 的不只是中國(guó)公司。就在 QQ 國(guó)際版要在歐洲停止運(yùn)作的消息開(kāi)始傳播時(shí)，扎克伯格正在華盛頓面對(duì)國(guó)會(huì)第二場(chǎng) 5 小時(shí)的質(zhì)詢(xún)，他面前的本子上清楚寫(xiě)著一條加粗的顧問(wèn)建議，“不要說(shuō)我們已經(jīng)完成了 GDPR 的要求?！?/p>

確實(shí)得擔(dān)心?！哆B線(xiàn)》雜志稱(chēng) GDPR 這部法律為未來(lái) 10 年的全球數(shù)據(jù)保護(hù)定下了基礎(chǔ)，它幾乎對(duì)科技公司用個(gè)人數(shù)據(jù)來(lái)賺錢(qián)的所有環(huán)節(jié)進(jìn)行了規(guī)定和限制。

對(duì)于互聯(lián)網(wǎng)巨頭來(lái)說(shuō)，幾億人口的歐洲市場(chǎng)顯然不能放棄。但如果不遵守 GDPR ，代價(jià)最高會(huì)是公司年?duì)I收 4% 的罰金。以騰訊為例，去年騰訊整年?duì)I收 363.87 億美元，如果 QQ 國(guó)際版違反了 GDPR ，罰金將高達(dá) 14.6 億美元。而如果是一家利潤(rùn)少的小公司違法，歐盟也做好了準(zhǔn)備——GDPR 的罰金是從 2000 萬(wàn)歐元起算的。

Facebook 數(shù)據(jù)泄密的丑聞發(fā)酵后，美國(guó)國(guó)會(huì)也開(kāi)始討論數(shù)據(jù)保護(hù)立法可能。而他們也已經(jīng)在關(guān)注先行的歐洲。

在 Facebook 的聽(tīng)證會(huì)上，國(guó)會(huì)議員們也反復(fù)提及 GDPR。扎克伯格用了很長(zhǎng)的回答來(lái)強(qiáng)調(diào)稱(chēng)：Facebook 肯定會(huì)在全球范圍內(nèi)推出和歐盟 GDPR 法規(guī)程度相同的數(shù)據(jù)保護(hù)規(guī)定。

可以想象被歐盟新法案啟發(fā)的立法機(jī)構(gòu)不會(huì)只有美國(guó)一個(gè)國(guó)家。

在此之前，互聯(lián)網(wǎng)公司雖然也受法律管轄，但在搜集、使用用戶(hù)數(shù)據(jù)方面，互聯(lián)網(wǎng)公司基本還是按照自己的規(guī)則行事——現(xiàn)在我們都知道，那基本就是怎么賺錢(qián)怎么來(lái)。

GDPR 有可能改變現(xiàn)狀，而它的影響不會(huì)停在歐洲。

第一部大數(shù)據(jù)時(shí)代保護(hù)個(gè)人信息的隱私法案，有 6 個(gè)大變化

2012 年 1 月 25 日，以 Google，Amazon 和 Facebook 為主的美國(guó)互聯(lián)網(wǎng)巨頭們組成了龐大的游說(shuō)團(tuán)，在布魯塞爾歐洲議會(huì)總部所在地展開(kāi)了曠日持久的院外游說(shuō)活動(dòng)。

就在這里，歐洲議會(huì)第一次公布了《通用數(shù)據(jù)保護(hù)法案》草案，這個(gè)草案的內(nèi)容預(yù)示著個(gè)人數(shù)據(jù)保護(hù)管理提到了前所未有的高度。

一部歐洲議會(huì)制定的法案為何讓身處美國(guó)的科技公司如此緊張？

我們摘出了其中對(duì)用戶(hù)影響最大的 6 條法規(guī)，你可以了解到 GDPR 到底改變了什么。

• 1. GDPR 擴(kuò)大了用戶(hù)數(shù)據(jù)的保護(hù)范圍

在 GDPR 出現(xiàn)之前，無(wú)論是歐盟還是美國(guó)的法律，對(duì)于用戶(hù)數(shù)據(jù)的定義都很模糊。在歐盟最早的《數(shù)據(jù)保護(hù)指令》中對(duì)于用戶(hù)數(shù)據(jù)的定義僅包含了登陸名、密碼和購(gòu)物記錄等內(nèi)容。

GDPR 在條例的最開(kāi)始就描述了哪些類(lèi)型的隱私數(shù)據(jù)將受到保護(hù)，其中包括：

• 基本的身份信息，如姓名、地址和身份證號(hào)碼等；
  

• 網(wǎng)絡(luò)數(shù)據(jù)，如位置、IP 地址、Cookie 數(shù)據(jù)和 RFID 標(biāo)簽等；
  

• 醫(yī)療保健和遺傳數(shù)據(jù)；
  

• 生物識(shí)別數(shù)據(jù)，如指紋、虹膜等；
  

• 種族或民族數(shù)據(jù)；
  

• 政治觀點(diǎn)；
  

• 性取向。

對(duì)于這些數(shù)據(jù)的保護(hù)，GDPR 中明確規(guī)定，服務(wù)提供商不可以在未經(jīng)用戶(hù)同意的情況下處理這些數(shù)據(jù)。也就是說(shuō)，不能未經(jīng)允許就用這些數(shù)據(jù)來(lái)賣(mài)廣告。

這基本上包含了大部分可用于直接或間接識(shí)別用戶(hù)的數(shù)字信息。它完全從用戶(hù)的角度來(lái)考慮個(gè)人數(shù)據(jù)需要保護(hù)的邊界。

• 2. 不管公司總部在哪里，只要向歐盟地區(qū)提供服務(wù)都會(huì)被管

GDPR 較大的不同還在于規(guī)定了法規(guī)管轄范圍不是嚴(yán)格按照國(guó)家劃分，而是按照數(shù)據(jù)的分布來(lái)認(rèn)定。這打破了科技公司只需要遵守所在國(guó)法律的傳統(tǒng)做法，而從用戶(hù)的角度出發(fā)考慮法規(guī)的執(zhí)行。

GDPR 規(guī)定向歐盟居民提供產(chǎn)品或者服務(wù)，甚至只是收集或監(jiān)控相關(guān)數(shù)據(jù)的非歐盟企業(yè)和組織都必須遵守 GDPR，而與這些企業(yè)和組織所在位置無(wú)關(guān)。

傳統(tǒng)意義上，執(zhí)法的管轄權(quán)通常是按照國(guó)家或者地域進(jìn)行劃分的。硅谷公司遵守的是美國(guó)法律，但互聯(lián)網(wǎng)不受地域限制的特點(diǎn)，可以讓他們將服務(wù)推向全球。GDPR 的法規(guī)顯然更貼近互聯(lián)網(wǎng)這個(gè)虛擬世界的特點(diǎn)，所以，雖然是歐盟的數(shù)據(jù)保護(hù)條例，卻能應(yīng)用到全球任何為歐盟居民提供服務(wù)的企業(yè)身上。

這也就是硅谷科技公司，甚至是中國(guó)互聯(lián)網(wǎng)公司開(kāi)始重點(diǎn)關(guān)注這份法規(guī)的原因所在。實(shí)際上，根據(jù)服務(wù)地區(qū)監(jiān)管目前已經(jīng)被多個(gè)國(guó)家提出，其中就包括中國(guó)的《網(wǎng)絡(luò)安全法》。

• 3. 罰金數(shù)額巨大，大公司可能付出數(shù)十億美元

“按最低 2000 萬(wàn)歐元或公司年?duì)I收的 4% 進(jìn)行處罰，其中金額較高的數(shù)字被認(rèn)定為罰金?！边@是歐盟對(duì)違反 GDPR 的公司開(kāi)出的罰單，要對(duì)這個(gè)數(shù)字有些具體認(rèn)識(shí)的話(huà)，蘋(píng)果公司是個(gè)不錯(cuò)的例子。

蘋(píng)果公司最近兩年的年收入都超過(guò)了 2000 億美元，所以假如蘋(píng)果公司違反了 GDPR 的規(guī)定，那么罰金就有可能高達(dá) 80 億美元。沒(méi)有多少公司愿意承擔(dān)如此高額的罰金。與之相對(duì)的，如果蘋(píng)果公司在美國(guó)觸犯了相同等級(jí)的隱私保護(hù)條例，那通常情況下，罰金大概只有幾十萬(wàn)到幾百萬(wàn)美金。

歐盟此前就已經(jīng)對(duì)科技公司開(kāi)出過(guò)巨額罰單，2017 年 6 月 27 日，歐盟委員會(huì)宣布Google 違反規(guī)定，開(kāi)出了 27 億美元的罰單。

歐盟委員會(huì)主席巴羅佐此前就表示，罰金的意義是讓科技公司意識(shí)到侵犯隱私的嚴(yán)重性，最終可以在公司的流程上進(jìn)行改進(jìn)，從而對(duì)歐盟居民的信息進(jìn)行保護(hù)。

• 4. 科技公司不能把數(shù)據(jù)使用說(shuō)明藏在辭海一樣厚的用戶(hù)協(xié)議里

巴羅佐所提到第一個(gè)較大的改變，是互聯(lián)網(wǎng)公司必須獲得用戶(hù)明確同意才可以使用數(shù)據(jù)。聽(tīng)上去這和現(xiàn)在的情況沒(méi)有什么區(qū)別，我們?cè)谧?cè)時(shí)也必須點(diǎn)擊同意用戶(hù)協(xié)議才能免費(fèi)使用服務(wù)。雖然絕大部分人都不會(huì)認(rèn)真看復(fù)雜的用戶(hù)協(xié)議。

GDPR 則要求公司在收集和使用個(gè)人數(shù)據(jù)前必須向用戶(hù)明確告知數(shù)據(jù)的收集和使用方法，并且需要在獲得用戶(hù)明確同意后才可以進(jìn)行。這里的明確同意指的就是不可以和用戶(hù)協(xié)議捆綁，必須要在網(wǎng)站或應(yīng)用內(nèi)專(zhuān)門(mén)說(shuō)明，并獲取用戶(hù)同意，同時(shí)可以隨時(shí)便捷地取消和管理。

就在半個(gè)月前，F(xiàn)acebook 更新了該平臺(tái)的隱私工具。讓用戶(hù)可以查看或刪除 Facebook 所持有的用戶(hù)個(gè)人信息、刪除搜索歷史、設(shè)置廣告偏好、設(shè)置帖子可見(jiàn)性范圍等。

與上述更新同步推出的還有一種名為“Access Your Information”（獲取你的信息）的工具，這種工具允許用戶(hù)查看自己分享過(guò)的評(píng)論或帖子，并且可以選擇刪除。

Facebook 表示，這些工具原計(jì)劃在 5 月發(fā)布，就是想要遵守 GDPR 的要求，但因?yàn)閯蚴录坏貌惶崆鞍l(fā)布。蘋(píng)果也在同一時(shí)間發(fā)布聲明，表示將在未來(lái)幾個(gè)月內(nèi)更新 Apple ID 的功能，讓用戶(hù)可以下載存儲(chǔ)其中的所有數(shù)據(jù)副本，同時(shí)暫時(shí)停用其帳戶(hù)并將賬戶(hù)內(nèi)容徹底刪除。

• 5. 用戶(hù)可以要求將所有的個(gè)人數(shù)據(jù)刪除

Facebook 和蘋(píng)果公司都在強(qiáng)調(diào)可以徹底刪除儲(chǔ)存的用戶(hù)數(shù)據(jù)，是源自一個(gè)在歐盟討論很久的權(quán)利——徹底遺忘權(quán)（right to be forgotten）。

這個(gè)概念從 2006 年就在歐盟內(nèi)部提出，當(dāng)用戶(hù)向公司或組織撤回自己同意的個(gè)人數(shù)據(jù)使用權(quán)后，相關(guān)的企業(yè)和組織必須要立刻無(wú)條件地刪除所有的個(gè)人數(shù)據(jù)。

在 GDPR 中，遺忘權(quán)被當(dāng)作成用戶(hù)的基本人權(quán)。條例要求科技公司必須能夠在系統(tǒng)中無(wú)條件地快速刪除用戶(hù)的數(shù)據(jù)。這也能保護(hù)用戶(hù)不會(huì)因?yàn)檫z留的個(gè)人數(shù)據(jù)，遭受未知的影響。

換句話(huà)說(shuō)，當(dāng)一個(gè)歐盟居民要求刪除自己的新浪微博賬號(hào)和相關(guān)內(nèi)容時(shí)，新浪微博必須無(wú)條件刪除微博賬號(hào)內(nèi)的所有信息并不得保留其它備份，同時(shí)所有相關(guān)的分析或廣告公司也必須刪除保存的信息。

這個(gè)概念最初引發(fā)了很大的爭(zhēng)議，美國(guó)和歐盟的分歧很大。直到 2014 年，西班牙公民岡薩雷斯向 Google 西班牙公司提起訴訟，要求刪去 Google 搜索結(jié)果中關(guān)于自己欠錢(qián)的 2 篇新聞報(bào)道，理由是自己已經(jīng)還清了欠款。

經(jīng)過(guò)多方上訴和多輪討論后，歐盟法院最終裁決稱(chēng)，被遺忘權(quán)是人權(quán)的一部分，要求 Google 刪除岡薩雷斯的新聞。從此確立了被遺忘權(quán)的重要性。截至 2014 年 5 月，Google 已經(jīng)刪除了 13.9 萬(wàn)個(gè)網(wǎng)址。其中有 95% 的申請(qǐng)來(lái)自于普通用戶(hù)。

但刪除數(shù)據(jù)并不是像電腦上按一下刪除按鍵那么簡(jiǎn)單。

整個(gè)過(guò)程并不那樣清晰且易于執(zhí)行。尤其是對(duì)于一個(gè)大型公司來(lái)說(shuō)，用戶(hù)信息往往分布在營(yíng)銷(xiāo)、銷(xiāo)售、客服乃至財(cái)務(wù)和供應(yīng)鏈等多個(gè)系統(tǒng)中，甚至還會(huì)存在于一些本地文件中。

一旦需要把某個(gè)用戶(hù)的數(shù)據(jù)完全刪除，就必須要依靠一套數(shù)據(jù)同步機(jī)制確保刪除沒(méi)有遺漏，目前來(lái)看，這是非常困難且成本高昂的操作。這也是科技巨頭們非?？咕?GDPR 的原因之一。

• 6. 提供少分享信息的選項(xiàng)還不夠，它得是默認(rèn)選項(xiàng)

不止是事后刪除，GDPR 之所以被稱(chēng)為規(guī)范了未來(lái) 10 年用戶(hù)數(shù)據(jù)使用方式的法規(guī)，在于它強(qiáng)制要求企業(yè)在業(yè)務(wù)設(shè)計(jì)初期就要考慮對(duì)于個(gè)人隱私數(shù)據(jù)的處理。

這包含了兩方面的要求。首先，科技公司今后在設(shè)計(jì)新的業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程和服務(wù)時(shí)，處理個(gè)人數(shù)據(jù)的環(huán)節(jié)必須按照 GDPR 要求的方式進(jìn)行設(shè)計(jì)。企業(yè)還必須提供相關(guān)信息證明自己滿(mǎn)足了上述要求。

無(wú)論是產(chǎn)品經(jīng)理還是策劃，都必須掌握 GDPR 中詳細(xì)的要求。從而讓保護(hù)用戶(hù)數(shù)據(jù)的概念和產(chǎn)品需求同時(shí)被考慮。同時(shí)，很多時(shí)候互聯(lián)網(wǎng)公司都會(huì)表示允許用戶(hù)如何如何。但它們很清楚的是大多數(shù)人不會(huì)調(diào)整默認(rèn)的選項(xiàng)。

所以 GDPR 另一個(gè)原則是，當(dāng)個(gè)人數(shù)據(jù)在系統(tǒng)、流程和服務(wù)中可能被多個(gè)不同級(jí)別的需求調(diào)用的話(huà)，默認(rèn)的選項(xiàng)必須是共享內(nèi)容最小的選項(xiàng)——不共享任何內(nèi)容。

簡(jiǎn)單地說(shuō)，微博關(guān)聯(lián)的淘寶想要獲取你的點(diǎn)贊記錄來(lái)推薦商品，默認(rèn)的情況下微博將不可以直接共享任何內(nèi)容。只能進(jìn)一步請(qǐng)求，提高需求級(jí)別才能獲取信息，這通常需要用戶(hù)的同意。

GDPR 的這個(gè)條例也產(chǎn)生了一個(gè)新的職業(yè)——數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）。

根據(jù) GDPR 中的要求，公司必須任命數(shù)據(jù)保護(hù)專(zhuān)員來(lái)實(shí)施 GDPR 計(jì)劃并監(jiān)測(cè)完成的情況。職責(zé)還要求 DPO 直接向公司領(lǐng)導(dǎo)層報(bào)告，負(fù)責(zé)推出各項(xiàng)措施來(lái)確保不會(huì)違反 GDPR。

除了這些針對(duì)公司流程的硬性規(guī)定，GDPR 內(nèi)還對(duì)此前模糊的隱私保護(hù)界限進(jìn)行了明確。其中兒童也擁有數(shù)據(jù)保護(hù)權(quán)，GDPR 要求公司必須獲得家長(zhǎng)同意，才能處理 16 歲以下兒童在線(xiàn)服務(wù)的個(gè)人數(shù)據(jù)。成員國(guó)可以就較低的同意年齡立法，但不能低于 13 歲。

而對(duì)于黑客攻擊這類(lèi)可能導(dǎo)致數(shù)據(jù)泄密的事件也進(jìn)行了規(guī)定。要求公司一旦發(fā)現(xiàn)數(shù)據(jù)泄漏，必須在 72 小時(shí)內(nèi)向數(shù)據(jù)保護(hù)機(jī)構(gòu) DPA 報(bào)告可能對(duì)個(gè)人構(gòu)成風(fēng)險(xiǎn)的數(shù)據(jù)泄露事件，并不可以無(wú)故拖延地向受影響個(gè)人通知。

在扎克伯格回應(yīng)劍橋分析事件的時(shí)候，他就聲稱(chēng) Facebook 在三年前就已經(jīng)從衛(wèi)報(bào)記者那里了解到劍橋分析違反規(guī)獲取 Facebook 的用戶(hù)數(shù)據(jù)，但 Facebook 并沒(méi)有及時(shí)對(duì)這個(gè)事情進(jìn)行處理。

不止是 Facebook，例如打車(chē)應(yīng)用 Uber、美國(guó)信用服務(wù)公司 Equifax 都曾爆出客戶(hù)數(shù)據(jù)遭到竊取的事件，但它們都沒(méi)有及時(shí)曝光，甚至 Uber 當(dāng)時(shí)的管理層還選擇私下給黑客錢(qián)來(lái)解決。

GDPR 是歐盟 20 多年數(shù)據(jù)保護(hù)立法的延續(xù)

所以 GDPR 的嚴(yán)苛條款并不是憑空被想出來(lái)的，而是從過(guò)去二十年里眾多數(shù)據(jù)泄密事件的錯(cuò)誤中吸取的。

歐盟的數(shù)據(jù)保護(hù)歷史可以追溯到上世紀(jì)九十年代。1995 年，歐盟通過(guò)了《數(shù)據(jù)保護(hù)指令》，它也被稱(chēng)為 “95指令”。第一次為歐盟成員國(guó)立法保護(hù)個(gè)人數(shù)據(jù)設(shè)立了明確標(biāo)準(zhǔn)。

在 1995 年，個(gè)人數(shù)據(jù)的概念僅僅限定在用戶(hù)名、家庭地址及郵編號(hào)碼這樣相對(duì)簡(jiǎn)單的信息。95 指令規(guī)定的內(nèi)容也只是讓用戶(hù)擁有訪問(wèn)權(quán)，用戶(hù)有權(quán)訪問(wèn)他們的信息并修改其中錯(cuò)誤的地方，確保信息正確。

但互聯(lián)網(wǎng)的發(fā)展，尤其是移動(dòng)互聯(lián)網(wǎng)在過(guò)去 20 年里的快速發(fā)展，讓當(dāng)時(shí)制定的法律無(wú)法覆蓋層出不窮的新變化和漏洞。

2002 年，歐盟第一次決定修正 95 指令。在當(dāng)年 7 月 12 日，新的的《隱私與電子通訊指令》發(fā)布。

其中詳細(xì)規(guī)定了科技公司禁止在未征得用戶(hù)同意的情況下存儲(chǔ)和使用用戶(hù)的數(shù)據(jù)，服務(wù)提供商應(yīng)該保障用戶(hù)的知情權(quán)，如告知用戶(hù)所收集的數(shù)據(jù)及進(jìn)一步處理此類(lèi)數(shù)據(jù)的意圖和用戶(hù)有權(quán)不同意等。

這基本構(gòu)建了現(xiàn)在隱私條款的基礎(chǔ)，但《隱私與電子通訊指令》在具體操作層面還較為粗略，也缺乏明確的違規(guī)懲罰措施，并沒(méi)有讓科技公司重視起來(lái)。

Cookie 是互聯(lián)網(wǎng)常用的用戶(hù)跟蹤和識(shí)別技術(shù)。2000 年之后，eBay 這類(lèi)的電子商務(wù)網(wǎng)站在全球流行，用戶(hù)在使用瀏覽器進(jìn)行網(wǎng)站內(nèi)容瀏覽時(shí)，網(wǎng)站可以在用戶(hù)電腦本地存放 Cookie 以識(shí)別和記錄用戶(hù)的登陸、瀏覽和購(gòu)買(mǎi)信息。

盡管 Cookie 可以被用戶(hù)手工操作關(guān)閉，但對(duì)于絕大多數(shù)的用戶(hù)來(lái)說(shuō)，如果網(wǎng)站在未明確提示下使用 Cookie 記錄相關(guān)信息，用戶(hù)是很難知道已經(jīng)被記錄的。

在當(dāng)時(shí)，記錄用戶(hù)登陸密碼，購(gòu)買(mǎi)等信息是一種在用戶(hù)協(xié)議里默認(rèn)同意的做法。網(wǎng)站將這些信息進(jìn)行分類(lèi)來(lái)向用戶(hù)推薦商品。但這也留下了黑客破解等安全問(wèn)題。

2009 年 11 月 25 日，歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)措施又進(jìn)行了一次重要修正，通過(guò)了《歐洲Cookie指令》，并確定 2011 年 5 月 25 日在歐盟正式啟用。

《歐洲Cookie指令》要求網(wǎng)站在用戶(hù)初始使用時(shí)網(wǎng)站必須關(guān)閉 Cookie 的使用，直到用戶(hù)明確同意啟用時(shí)才能開(kāi)啟此功能。這進(jìn)一步具體規(guī)范了用戶(hù)的知情權(quán)。

隱私調(diào)查機(jī)構(gòu) TRUSTe 在 2012 年 10 月的統(tǒng)計(jì)報(bào)告里稱(chēng)，《歐洲Cookie指令》推出之前，英國(guó)排名前 50 的網(wǎng)站只有 12% 遵照關(guān)于 Cookie 設(shè)置的要求，在網(wǎng)站上彈出窗口或在指定的頁(yè)眉頁(yè)腳提供 Cookie 信息確認(rèn)提示或信息說(shuō)明。而法國(guó)和德國(guó)的前 50 大網(wǎng)站則全部不合規(guī)。

現(xiàn)在打開(kāi)英國(guó)最大的生活服務(wù)網(wǎng)站 GumTree 服務(wù)平臺(tái)，你可以在最頂上很明顯地看到關(guān)于 Cookie 的使用提示，這個(gè)提示很難被忽略。

盡管歐盟不斷通過(guò)了不同的數(shù)據(jù)保護(hù)修正指令來(lái)完善用戶(hù)數(shù)據(jù)的保護(hù)，但是這些修正內(nèi)容還是架構(gòu)在 1995 年頒布的《數(shù)據(jù)保護(hù)指令》基本框架之上。

2008 年 10 月，F(xiàn)acebook 宣布在愛(ài)爾蘭的都柏林設(shè)立國(guó)際總部，開(kāi)始在歐洲推廣社交網(wǎng)絡(luò)。互聯(lián)網(wǎng)調(diào)研機(jī)構(gòu) comScore 的數(shù)據(jù)顯示，一年后，四分之三的歐洲網(wǎng)民都成為了社交網(wǎng)站 Facebook 的用戶(hù)。在 Facebook 之后，推特也進(jìn)入了歐洲。

用戶(hù)的個(gè)人隱私信息從基本的登陸密碼，購(gòu)物記錄逐漸變成了每天的轉(zhuǎn)發(fā)、照片、點(diǎn)贊和瀏覽記錄等一系列信息。但當(dāng)時(shí)，所有關(guān)于用戶(hù)隱私數(shù)據(jù)的法令都沒(méi)有明確地適應(yīng)這個(gè)變化。

歐盟希望能夠有一個(gè)全新的完整框架用來(lái)代替二十年前構(gòu)建的、已經(jīng)不能適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代需求的陳舊框架。

2012 年 1 月 25 日，GDPR 的草稿第一次放在了歐盟委員會(huì)的桌子上。

缺少大互聯(lián)網(wǎng)公司讓歐洲比較容易推進(jìn)立法，但其它地區(qū)現(xiàn)在也開(kāi)始關(guān)注這個(gè)問(wèn)題

在國(guó)會(huì)上主持對(duì)扎克伯格質(zhì)詢(xún)的參議員 Bill Nelson 在聽(tīng)證會(huì)的開(kāi)場(chǎng)時(shí)說(shuō)：“如果 Facebook 以及其他社交媒體公司不按規(guī)則來(lái)，那我們?nèi)魏我粋€(gè)人的隱私都將不存。”

但實(shí)際上，美國(guó)對(duì)于社交媒體的監(jiān)管法規(guī)和審查力度和歐洲相比始終沒(méi)有那么嚴(yán)格。

受到硅谷科技公司全球化的影響，歐盟國(guó)家內(nèi)的科技服務(wù)基本被美國(guó)科技公司壟斷，無(wú)論是社交媒體 Facebook 、Instagram 還是打車(chē)應(yīng)用 Uber 等，這些才是歐盟居民常用的服務(wù)。

目前，歐洲并沒(méi)有大型的互聯(lián)網(wǎng)公司，這樣讓保護(hù)數(shù)據(jù)隱私的法規(guī)可以比較容易推進(jìn)和立法。同時(shí)由于自身法律體系的完善和注重人權(quán)等特點(diǎn)，歐盟一直在維護(hù)用戶(hù)權(quán)利上做的更早，更有標(biāo)桿性。

嚴(yán)苛的 GDPR 草案在 2012 年公布后收到超過(guò) 4400 份修正意見(jiàn)，數(shù)量之多為歐盟立法修正案中所罕見(jiàn)，而其中大部分修正意見(jiàn)來(lái)自于美國(guó)互聯(lián)網(wǎng)企業(yè)。光是討論這些修正意見(jiàn)就花費(fèi)了 4 年的時(shí)間，但最終 GDPR 還是以 640 多票同意，10 票反對(duì)獲得了通過(guò)。

而在美國(guó)，硅谷的科技公司每年在國(guó)會(huì)中花費(fèi)大量的游說(shuō)資金來(lái)確保不會(huì)受到嚴(yán)苛的監(jiān)管。

2015 年美國(guó)媒體統(tǒng)計(jì)，美國(guó)科技企業(yè)每年在游說(shuō)上的支出高達(dá) 26 億美元，甚至超過(guò)了美國(guó)國(guó)會(huì)每年的預(yù)算（眾議院 12 億美元、參議院 8.6 億美元）。而大企業(yè)進(jìn)行游說(shuō)的支出回報(bào)比甚至高達(dá) 220 倍。

其中，亞馬遜和 Google 的支出最多。尤其是在特朗普上臺(tái)之后，科技公司為了拉近和白宮在政策上的分歧，游說(shuō)花費(fèi)每年都會(huì)突破新高。

投行美銀美林的報(bào)告顯示：在美國(guó)，科技股是目前受監(jiān)管最輕的一個(gè)行業(yè)板塊，僅面臨著 2.7 萬(wàn)條監(jiān)管條例，而相比之下制造業(yè)的監(jiān)管條例有 21.5 萬(wàn)條，金融行業(yè)也有 12.8 萬(wàn)條。

但現(xiàn)在，這個(gè)情況開(kāi)始發(fā)生變化。 GDPR 完全從用戶(hù)的角度發(fā)出制定的內(nèi)容獲得了美國(guó)民權(quán)組織的廣泛好評(píng)。越來(lái)越多的美國(guó)媒體開(kāi)始討論 GDPR 這類(lèi)嚴(yán)格的條例是否應(yīng)該引入美國(guó)。

非盈利組織民主與技術(shù)中心的杰夫切斯特接受收集的時(shí)候表示，“倒計(jì)時(shí)正在開(kāi)始，我們將看到國(guó)會(huì)因?yàn)閴毫Χ罱K采取行動(dòng)“，他認(rèn)為扎克伯格的聽(tīng)證會(huì)是幫助公眾來(lái)理解用戶(hù)隱私問(wèn)題的重要門(mén)口。大眾的憤怒正在積累，現(xiàn)在正是美國(guó)互聯(lián)網(wǎng)隱私戰(zhàn)爭(zhēng)的開(kāi)始，而不是結(jié)束。

而硅谷風(fēng)投公司 True Ventures 的合伙人奧姆馬利克則表示，他非常肯定硅谷將遭到監(jiān)管的沖擊。“甚至這一切將由亞馬遜、Google 和 Facebook 來(lái)推動(dòng)，這并不令人意外，立法將可以防止規(guī)模較小的競(jìng)爭(zhēng)對(duì)手收集數(shù)據(jù)，來(lái)獲得商業(yè)上的優(yōu)勢(shì)?！?/p>

但華盛頓消費(fèi)者權(quán)益保護(hù)組織 Public Knowledge 的總裁 Gene Kimmelman 則提出反對(duì)意見(jiàn)，他認(rèn)為即使有強(qiáng)烈的兩黨共識(shí)，但立法行動(dòng)是一個(gè)大問(wèn)題，在這種環(huán)境下立法將非常困難。他預(yù)測(cè)可能需要幾年時(shí)間美國(guó)才能推出和 GDPR 一樣嚴(yán)苛的立法。

與此同時(shí)，多個(gè)其它國(guó)家也開(kāi)始立法限制數(shù)據(jù)流出國(guó)境，中國(guó)和俄羅斯都是先行者，但側(cè)重點(diǎn)和 GDPR 差別比較大。在中國(guó)，蘋(píng)果公司被要求將 iCloud 用戶(hù)數(shù)據(jù)留在中國(guó)，以便于國(guó)營(yíng)公司去管理這些數(shù)據(jù)。

俄羅斯則在 2014 年推出了網(wǎng)絡(luò)信息管理的法律修正案。修正案規(guī)定，外國(guó)通訊服務(wù)、搜索引擎和社交網(wǎng)站必須將俄羅斯用戶(hù)的個(gè)人數(shù)據(jù)存儲(chǔ)在俄羅斯境內(nèi)，互聯(lián)網(wǎng)服務(wù)供應(yīng)商也必須在政府進(jìn)行登記。

去年 4 月初，聊天通信軟件 Zello 就因?yàn)槿狈Φ怯涃Y料被封鎖了。此后，Line、黑莓 BlackBerry Messenger 以及聊天軟件 vChat 也相繼被封。

嚴(yán)格保護(hù)數(shù)據(jù)可以保護(hù)用戶(hù)，但它也很可能助長(zhǎng)壟斷

從互聯(lián)網(wǎng)誕生之后很長(zhǎng)一段時(shí)間，互聯(lián)網(wǎng)的數(shù)據(jù)監(jiān)管其實(shí)主要靠科技公司自己。

當(dāng)時(shí)，立法僅僅提供了一個(gè)模糊的保護(hù)用戶(hù)數(shù)據(jù)的概念，但沒(méi)有清晰的具體要求?；ヂ?lián)網(wǎng)公司們一步一步來(lái)修訂這《用戶(hù)協(xié)議》，嘗試從用戶(hù)信息中挖掘出商機(jī)，同時(shí)盡可能地避免法律責(zé)任。

通過(guò)《用戶(hù)協(xié)議》， 互聯(lián)網(wǎng)公司一步一步讓用戶(hù)允許公開(kāi)自己更多的數(shù)據(jù)，從而分析用戶(hù)的喜好，利用算法在信息流中針對(duì)性的推薦用戶(hù)喜歡的內(nèi)容。

在這個(gè)過(guò)程中，先行者 Facebook 一次次道歉，一次次被原諒，而全球的互聯(lián)網(wǎng)公司都效仿著它的做法。這個(gè)具體的過(guò)程，《好奇心日?qǐng)?bào)》在上周的報(bào)道中有詳細(xì)回顧。

現(xiàn)在問(wèn)題終于爆發(fā)了，而互聯(lián)網(wǎng)巨頭們的財(cái)務(wù)數(shù)據(jù)將會(huì)受到影響。

“煙草行業(yè)（1992年）、金融行業(yè)（2010年）和生物技術(shù)行業(yè)（2015年）都已經(jīng)證明，監(jiān)管浪潮會(huì)帶來(lái)投資低下的結(jié)果?！泵楞y美林的首席投資策略師邁克爾·哈特奈特（Michael Hartnett）發(fā)布的一份研究報(bào)告中寫(xiě)道。他在報(bào)告中列出了一系列理由，說(shuō)明他為何認(rèn)為應(yīng)在今年減持科技股，而預(yù)計(jì)將有的監(jiān)管壓力加大是其中第十條，也是最后一條。

報(bào)告指出，美國(guó)和歐盟各國(guó)即將實(shí)施的監(jiān)管措施，比如說(shuō)提高在線(xiàn)銷(xiāo)售稅等手段，可能會(huì)導(dǎo)致科技公司遭受大約 4% 的營(yíng)收損失。

嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)所帶來(lái)的高額成本，復(fù)雜的數(shù)據(jù)使用授權(quán)（尤其是跨企業(yè)數(shù)據(jù)共享）和政府過(guò)度監(jiān)管的風(fēng)險(xiǎn)，會(huì)讓企業(yè)的信息資產(chǎn)管理的運(yùn)營(yíng)成本顯著增加。

同時(shí)歐盟、中國(guó)、俄羅斯等地的數(shù)據(jù)法案都根據(jù)用戶(hù)所在地區(qū)管轄數(shù)據(jù)，也會(huì)進(jìn)一步改變互聯(lián)網(wǎng)公司全球化的生意。

根據(jù) Ovum 公司提供的調(diào)查報(bào)告顯示，52% 的科技公司管理者預(yù)計(jì)他們會(huì)因?yàn)檫`規(guī)行為而面臨罰款。而管理咨詢(xún)公司奧利弗·懷曼（Oliver Wyman）報(bào)告稱(chēng)，歐盟在第一年可能會(huì)收到高達(dá) 60 億美元的罰款金額。

巨頭們會(huì)付出代價(jià)，但它們的地位反倒可能更穩(wěn)固了。

今天所有主要互聯(lián)網(wǎng)服務(wù)的快速擴(kuò)張基本都可以追溯到收集更多信息、打破隱私邊界的行為上，例如掃描通訊錄、拿聊天記錄和郵箱的信息打廣告、和其它公司交換用戶(hù)數(shù)據(jù)、利用用戶(hù)協(xié)議讓用戶(hù)“自愿”交出越來(lái)越多的數(shù)據(jù)。

當(dāng)這些行為陸續(xù)被監(jiān)管起來(lái)之后，用戶(hù)的數(shù)據(jù)是會(huì)更安全，但這也意味著新公司越來(lái)越難拿到數(shù)據(jù)。與此同時(shí)，今天的巨頭們已經(jīng)拿到的數(shù)據(jù)、建立起來(lái)的對(duì)我們每個(gè)人的分析都還在。同時(shí)它們也有更多利潤(rùn)在應(yīng)對(duì)數(shù)據(jù)監(jiān)管所增加的成本。

這些大公司的收益會(huì)受到影響，但它們目前已經(jīng)非常壟斷的地位也將變得更加難以挑戰(zhàn)了。同樣的事情，在銀行、保險(xiǎn)、能源、汽車(chē)等行業(yè)都已經(jīng)發(fā)生過(guò)。

數(shù)據(jù)隱私被保護(hù)起來(lái)，但數(shù)據(jù)使用的其它負(fù)面影響并沒(méi)有被 GDPR 所解決

時(shí)政媒體 Vox 稱(chēng)，GDPR 更深層次的意義是，這個(gè)法案將廣泛地解決全球各個(gè)行業(yè)必須面對(duì)的用戶(hù)數(shù)據(jù)問(wèn)題，還包括依靠數(shù)據(jù)來(lái)增強(qiáng)控制的政府和政治機(jī)構(gòu)。

在互聯(lián)網(wǎng)出現(xiàn)之前，政府監(jiān)管能夠做到的事情是極其有限的，政府很難做到大規(guī)模地掌握公民的個(gè)人數(shù)據(jù)，有的只是姓名、住址這類(lèi)必須登記的簡(jiǎn)單信息。

而現(xiàn)在，隨著人們的生活、信息都出現(xiàn)在互聯(lián)網(wǎng)上，監(jiān)管的范圍也一步步擴(kuò)展了。

在印度總理納蘭德拉莫迪的領(lǐng)導(dǎo)下，印度正在從公民那里收集大量敏感數(shù)據(jù)，包括使用生物識(shí)別設(shè)備追蹤公共部門(mén)員工的工作表現(xiàn)。而中國(guó)也在正在積累大量有關(guān)其公民的數(shù)據(jù)，包括面部數(shù)據(jù)，公共場(chǎng)合的行動(dòng)錄像等等信息，最終依靠這些數(shù)據(jù)建立“ 社會(huì)信用 ” 排名。

而美國(guó)的棱鏡事件也讓公民意識(shí)到政府正在通過(guò)科技公司侵犯?jìng)€(gè)人數(shù)據(jù)隱私，EFF 等民權(quán)機(jī)構(gòu)不斷呼吁為隱私信息進(jìn)行立法保護(hù)。

立法會(huì)越來(lái)越多，但對(duì)政府權(quán)力的限制，你不能太指望。與此同時(shí)，還有技術(shù)對(duì)人行為的影響。

計(jì)算機(jī)科學(xué)家亞隆·蘭尼爾（Jaron Lanier）在這個(gè)月進(jìn)行的 TED 大會(huì)上總結(jié)了目前社交網(wǎng)絡(luò)對(duì)于整個(gè)社會(huì)的問(wèn)題。

蘭尼爾引述 1950 年代計(jì)算機(jī)科學(xué)家 Norbert Wiener 探討了一種可能：一個(gè)全球的計(jì)算機(jī)系統(tǒng)，人們每天隨身帶著設(shè)備，設(shè)備根據(jù)人們的行為給予反饋，這樣整個(gè)人類(lèi)的行為都會(huì)被系統(tǒng)改造。這樣的社會(huì)實(shí)在太瘋狂了，沒(méi)法生存下去。

蘭尼爾說(shuō) Wiener 當(dāng)時(shí)不太擔(dān)心這個(gè)問(wèn)題，因?yàn)樗X(jué)得技術(shù)上難以實(shí)現(xiàn)，只能是一個(gè)思想實(shí)驗(yàn)。現(xiàn)場(chǎng)一片笑聲，如今這樣的設(shè)備人人都有。

是的，移動(dòng)互聯(lián)網(wǎng)的便捷讓人們將太多的生活，想法和信息都放在了網(wǎng)絡(luò)上了?；ヂ?lián)網(wǎng)公司通過(guò)算法分析數(shù)據(jù)來(lái)讓你花更多的時(shí)間在平臺(tái)上，這樣才會(huì)看更多廣告。

當(dāng)計(jì)算機(jī)變得越加聰明、算法更加精準(zhǔn)，所有的設(shè)計(jì)、所有的內(nèi)容，就為了讓你在小屏幕上多留一分鐘而存在。這些刺激很有效。就像心理學(xué)上經(jīng)典的巴普洛夫案例，如果每次在給狗送食物前搖鈴鐺，久而久之，一搖鈴鐺，狗就會(huì)開(kāi)始分泌唾液，鈴鐺成了條件“刺激”。社交媒體在某種程度上也成了人類(lèi)的某種“象征性刺激。”

技術(shù)不但讓每個(gè)人花更多時(shí)間在網(wǎng)上，還鼓勵(lì)每個(gè)人發(fā)布可以幫助消耗更多時(shí)間的內(nèi)容，為平臺(tái)帶來(lái)更多廣告收入。與此同時(shí)，并不是我們的一切行為都可以被數(shù)據(jù)量化。但在精準(zhǔn)廣告驅(qū)動(dòng)的互聯(lián)網(wǎng)產(chǎn)品里，不能數(shù)據(jù)化的信息就不存在。

在這樣的機(jī)制下，獲得更多傳播的信息總是那些可以為平臺(tái)帶來(lái)收入的或者掌權(quán)者想要傳遞的信息，而不一定是對(duì)受眾有幫助的。

保護(hù)數(shù)據(jù)很重要，GDPR 有望限制大公司對(duì)數(shù)據(jù)的濫用。但數(shù)據(jù)帶來(lái)的問(wèn)題還沒(méi)有結(jié)束。

本文轉(zhuǎn)自好奇心日?qǐng)?bào)，作者羅驄，原標(biāo)題《第一部大數(shù)據(jù)時(shí)代保護(hù)個(gè)人信息的隱私法案出現(xiàn)，它讓騰訊和 Facebook 都緊張起來(lái)》。文章為作者獨(dú)立觀點(diǎn)，不代表芥末堆立場(chǎng)。